rejestr ident ryzyka-nr 2-14-2

załącznik A do I1/P9
z dnia 25.03.2014
REJESTR IDENTYFIKACJI I OCENY RYZYKA NR 2/2014 - RYZYKO W OBSZARACH WSKAZANE PRZEZ ZKZ
IDENTYFIKACJA RYZYKA
Lp.
1
Obszar/ proces
Zadania
2
3
ANALIZA RYZYKA
Numer celu,
Istniejące mechanizmy Prawdopodo
Wartość
Potencjalne
do którego Opis ryzyka/ zagrożenia kontroli wewnętrznej
bieństwao
ryzyka
skutki ryzyka
w zadaniach
odnosi się
(podjęte działania,
ryzyka w
kolumna
w skali 1-5
zadanie
procedury, zasady itp.)
skali 0,2-1
7*8
4
5
ciągłość działania IT
1.
awaria serwera
przeciwdziałanie
przerwom w działalności
działania
zabezpieczenia związane doskonalące
ZKZ
z zapewnieniem ciągłości
działania dla systemów IT
2.
działania
doskonalące
ZKZ
zarządzanie
oprogramowaniem i
licencjami - zapobieganie
utracie, uszkodzeniu lub
naruszeniu aktywów
3.
zapewnienie, że
pracownicy odchodzą z
uczelni lub zmieniają
stanowisko w sposób
zorganizowany
4.
5.
uwierzytelnianie problemy związane z
uwierzytelnieniem i
hasłami
6.
bezpieczeństwo IT
7.
8.
9.
działania
doskonalące
ZKZ
utrata danych - awaria
zasilania
zainstalowanie przez
pracowników na
komputerach firmowych
nielicencjonowanego
oprogramowania
6
wykonywanie przez
administratora serwera
kopi bezpieczeństwa
ważnych danych, serwer
zapasowy do uruchomienia
w przypadku awarii
serwera głównego,
przeglądanie logów
systemowych przez
administratora serwera,
aktualizacja
oprogramowania serwera,
uruchomione
zabezpieczenia
system dysków lustrzanych
(RAID 1), wykonywanie
przez administratora
serwera kopi
bezpieczeństwa ważnych
danych, awaryjne
podtrzymanie zasilania
polityka bezpieczeństwa
AM, nadzór osoby
odpowiedzialnej w
jednostce (LASI), sieciowe
wersje oprogramowania z
dostępem do licencji dla
pracowników poprzez sieć
uczelnianą
nie zablokowane na czas
konta w systemach
działania informatycznych, osób
doskonalące które zakończyły pracę w
ZKZ
uczelni
nie dotyczy
przetwarzanie danych
osobowych z uwagi na
działania brak przeglądu uprawnień
uprawnienia aktualizowane
doskonalące przez LABI/LASI w
jednostkach
okresowo
ZKZ
działania niedostateczne
doskonalące zabezpieczenie dostępu
ZKZ
do danych (słabe hasło)
brak lub zbyt słabe
działania zabezpieczenia
doskonalące antywirusowe na stacjach
ZKZ
roboczych
brak skutecznego
zabezpieczenia
działania antywirusowego z uwagi
doskonalące na brak nadzoru nad
ZKZ
aktualnością zabezpieczeń
polityka bezpieczeństwa
AMG, blokowanie kont po
wykryciu
nieautoryzowanego dostepu
z powodu słabych haseł
polityka bezpieczeństwa
AMG, nadzór ze strony inż.
ds. aparatury,
polityka bezpieczeństwa
AMG, nadzór ze strony inż.
ds. aparatury,
blokada serwera
pocztowego jednostki z
uwagi na uleganie
wyłudzaniu danych
dostępowych do swojego
działania konta pocztowego
doskonalące (phishing)
ZKZ
nie dotyczy
ODPOWIEDŹ NA RYZYKO
Poziom ryzyka
P-pomijalne
A-akceptowalne
N-nieakceptowalne
Opis działań
korygujących
Osoba
odpopowiedzialna
11
12
planowana wymiana
serwera
Administrator
serwera
7
8
9
10
0,2
1
0,2
P
0,2
1
0,2
KONTROLA WYKONANIA
Planowany
Osoba
termin
odpowiedzialna
wykonania
13
P
Administrator
serwera
0,4
3
1,2
A
kontola okresowa LABI, LASI LABI, LASI
0
0,2
2
0,4
P
LABI,LASI
0,4
2
0,8
P
0,2
3
0,6
P
LASI, LABI
0,2
4
0,8
P
LASI
0,4
3
1,2
A
informowanie pracowników
o zagrożeniach oraz
instruowanie jakie należy
podjąć działania w związku
z działalnością hackerów
X - XI 2014
14
Numer
"karty
ryzyka"
Wynik kontroli
Uwagi
15
16
17
kopie zapasowe
backup i odtwarzanie
danych - zapewnienie
integralności i dostępności działania
informacji
doskonalące
10.
utrata danych z uwagi na
brak objęcia backupem
wszystkich systemów lub
ich nieodpowiednia
częstotliwość
ZKZ
utrata informacji/danych
osobowych z uwagi na
utratę/uszkodzenie
bezpieczeństwo sprzętu
działania /kradzież sprzętu
ochrona informacji na
doskonalące mobilnego wyniesionego
urządzeniach mobilnych ZKZ
poza terenem uczelni
11.
zapobieganie utracie
sprzętu/danych
12.
zgłaszanie zdarzeń i
monitoring niewystarczające
monitorowanie działań
użytkowników i zdarzeń
związanych z
bezpieczeństwem
informacji:
13.
14.
bezpieczeństwo sprzętu
zapobieganie utracie
sprzętu lub danych
15.
zapewnienie ochrony
przed nieautoryzowanym
bezpieczeństwo fizyczne
dostępem fizycznym,
zabezpieczenie
pomieszczeń i sprzętu
16.
polityka bezpieczeństwa
AMG, nadzór osoby
odpowiedzialnej w
jednostce (LASI)
0,4
polityka bezpieczeństwa
AMG, nadzór osoby
odpowiedzialnej w
jednostce (LASI)
0,4
utrata informacji/danych
osobowych z uwagi na
działania wyniesienie sprzętu
doskonalące mobilnego bez zgody
ZKZ
przełożonego
polityka bezpieczeństwa
AMG, nadzór osoby
odpowiedzialnej w
jednostce (LASI)
polityka bezpieczeństwa
AMG,
nadzór osoby
zagrożenie
bezpieczeństwa informacji odpowiedzialnej w
z uwagi na nie zgłaszanie jednostce (LASI), próby
włamania zgłaszane do ABI
zdarzeń naruszenia w
oraz ASI
systemach
działania informatycznych/ ataki
doskonalące hackerskie
ZKZ
polityka bezpieczeństwa
utrata/ udostępnienie
danych z uwagi na
przekazanie sprzętu
komputerowego do
naprawy bez
działania odpowiedniego
doskonalące zabezpieczenia danych na
ZKZ
dysku
nieautoryzowane fizyczne
umożliwienie dostępu do
pomieszczeń w których
przetwarzane są dane
osobowe (pozostawienie
otwartych pomieszczeń,
działania udostępnienie kluczy
doskonalące osobom
ZKZ
nieupoważnionym)
utrata sprzętu z uwagi na
słabe zabezpieczenia
pomieszczeń przed
nieautoryzowanym
dostępem (słabe zamki,
działania brak alarmów,
doskonalące niezabezpieczone okna,
ZKZ
itd)
4
4
1,6
1,6
A
regularna aktualizacja
danych na serwerze
wydziałowym oraz w
dziekanacie
osoby wyznaczone,
administartor
serwera
A
zarządzający
sprzętem mobilnym
0,4
4
1,6
A
zarządzający
sprzętem mobilnym
0,4
3
1,2
A
LASI, ASI, ABI,
administartor
serwera
wydziałowego
AMG, nadzór osoby
odpowiedzialnej w
jednostce (LASI), nadzór ze
strony inż. ds. aparatury,
wykonywanie kopii danych
oraz czyszczenie dysków
przed oddaniem sprzętu do
naprawy
0,2
regulamin pracy, karta
odpowiadzialności i
uprawnień, lista osób
uprawnionych do
pobierania kluczy do
pomieszczeń, książka
pokwitowań kluczy
0,2
3
0,6
P
polityka bezpieczeństwa
AMG, audity
bezpieczeństwa, nadzór
osób odpowiedzialnych w
jednostce
0,2
4
0,8
P
2
0,4
P
LASI, inż. ds.
aparatury
17.
Polityka bezpieczeństwa
18.
19.
20.
21.
realizacja Projektów
krajowych i zagranicznych
23.
współpraca z otoczeniem
zewnętrznym (współpraca z
uczelniami, instytucjami,
międzynarodowa wymiana
studentów i pracowników)
26.
wspomaganie zarządzania archiwizacja i
przechowywanie
dokumentacji
28.
29.
poprawny kosztorys
projektu, kontrola
kierownika projektu, nadzór
działania powstanie
osoby
odpowiedzialnej z
doskonalące niekwalifikowanych
Kwestury
ZKZ
wydatków w projekcie
poprawny kosztorys
projektu, prowadzenie
wydatków zgodnie z
kosztorysem
działania konieczność zwrotu
zaakceptowanym w
doskonalące środków w wyniku zaleceń
umowie, kontrola
ZKZ
pokontrolnych
kierownika projektu
działania
doskonalące niewłaściwa archiwizacja Kwestura, kierownik
ZKZ
dokumentów
projektu
działania
doskonalące
ZKZ
działania
doskonalące
ZKZ
24.
27.
utrata danych osobowych
polityka bezpieczeństwa
z uwagi na przetwarzanie
AMG, audity
ich przez osoby nie
działania
bezpieczeństwa, nadzór
posiadające upoważnienia
doskonalące
osób odpowiedzialnych w
ZKZ
jednostce
nieautoryzowane
powierzenie danych
polityka bezpieczeństwa
firmom/wykonawcom AMG, audity
działania
zewnętrznym bez
bezpieczeństwa, nadzór
doskonalące
uprzedniego zawarcia osób odpowiedzialnych w
ZKZ
umowy w tym zakresie jednostce
błędy w kierowaniu
działania projektem z uwagi na
doskonalące niejednolite zasady
ZKZ
rozliczania projektów
22.
25.
niestosowanie
postanowień Polityki
bezpieczeństwa, zasad
przetwarzania danych
osobowych i instrukcji
zarządzania systemami
informatycznymi AMG
0,2
3
0,6
P
0,2
3
0,6
P
0,4
3
1,2
A
0,4
2
0,8
P
0,2
2
0,4
P
0,2
3
0,6
P
0,6
2
1,2
A
0,4
2
0,8
P
0,2
1
0,2
P
0,2
1
0,2
P
0,3
2
0,6
P
kierownik projektu
brak osoby do
wyszukiwania i
przekazywania informacji
o projektach
nie dotyczy
brak zainteresowania
misja uczelni, misja
podejmowaniem nowych
wydziału, plany KZ
projektów
zbyt niskie środki
działania finansowe na podjęcie
doskonalące współpracy z otoczeniem
ZKZ
zewnętrznym
brak aktualnych przepisów
wewnętrznych dot.
działania archiwizowania i obiegu
doskonalące dokumentów (instrukcja
ZKZ
kancelaryjna)
niestosowanie
postanowień zawartych w
instrukcji kancelaryjnej i
działania przepisach archiwalnych
doskonalące (nieprawidłowe
ZKZ
znakowanie spraw)
prodziekan ds.
naukowych
budżet wydziału, środki z
DS.
procedury ISO, instrukcja
kancelaryjna
procedury ISO, instrukcja
kancelaryjna
przypisanie zbyt wielu
kompetencji/obowiązków
działania jednej osobie
doskonalące uniemożliwiające
statut uczelni, ustawa o
ZKZ
prawidłowe działanie
szkolnictwie wyższym
delegowanie obowiązków
na pracowników
działania nieposiadających
doskonalące dostatecznych kwalifikacji procedury ISO, statut
ZKZ
do ich pełnienia
uczelni
Dziekan, Kierownicy
Katedr
0,2
2
0,4
P
Dziekan, Kierownicy
Katedr
30.
wspomaganie zarządzania komunikacja i obieg
informacji
działania
doskonalące brak koncepcji rozwoju
ZKZ
inwestycyjnego jednostki
31.
32.
inwestycje i remonty
33.
gospodarowanie środkami
trwałymi
35.
37.
38.
zamówienia publiczne
41.
42.
działania brak kompetentnych osób
doskonalące wyszukujących źródeł
misja i strategia uczelni i
ZKZ
finansowania
wydziału
brak współdziałania DT z
jednostkami
organizacyjnymi w celu
szybkiego i sprawnego
działania/realizacji
działania inwestycji bez
doskonalące przerywania ciągłości
ZKZ
pracy
nie dotyczy
wybór
niekonkurencyjnego trybu
lub błędny wybór trybu
określonego w ustawie
PZP bądź powołanie się na
niewłaściwą podstawę
działania prawna w przypadku nie
doskonalące stosowania przepisów
ZKZ
ustawy PZP
niewłaściwe określenie
przedmiotu zamówienia
publicznego oraz kosztów
ze względu na
działania delegowanie zadań w tym
doskonalące zakresie na pracowników
ZKZ
jednostek
działania
doskonalące nabywanie zamówień
ZKZ
niskiej jakości
działania
doskonalące źle oszacowana wartość
ZKZ
zamówienia
dopuszczenie do pracy
działania pracownika bez
doskonalące aktualnych badań
ZKZ
lekarskich
2
0,4
P
0,2
2
0,4
P
osoby
odpowiedzialne na
szczeblu uczelni,
Dziekan, Kierownicy
Katedr
Dziekan
0,4
4
1,6
A
Dziekan
1
0,2
P
wyznaczone osoby,
Kierownicy Katedr,
z-cy Kierowników
Katedr
0,2
1
0,2
P
0,2
1
0,2
P
wyznaczone osoby,
Kierownicy Katedr,
z-cy Kierowników
Katedr
wyznaczone osoby,
Kierownicy Katedr,
z-cy Kierowników
Katedr
zespół ds. zamówień
publicznych
0,2
1
0,2
P
ustawa o PZP; przepisy
wewn. o PZP
0,4
4
1,6
A
działania kierownika
jednostki organizacyjnej
0,4
4
1,6
A
nie wprowadzanie na
bieżąco nowych zakupów inwentaryzacja prowadzona
do ewidencji
na bieżąco
błędy w specyfikacjach
0,2
0,2
majątek
zinwentaryzowany
niezgodnie z
działania obowiązującymi
doskonalące przepisami wewnętrznymi inwentaryzacja prowadzona
ZKZ
(brak kodu kreskowego) na bieżąco
działania
doskonalące
ZKZ
działania
doskonalące
ZKZ
36.
40.
misja i strategia wydziału,
plan budżetu wydziału,
plany inwestycji i remontów
nieterminowe uzgadnianie
ksiąg inwentarzowych
prowadzonych w
działania jednostkach
doskonalące organizacyjnych z działem inwentaryzacja prowadzona
ZKZ
inwentaryzacji
na bieżąco
34.
39.
niewłaściwy obieg
informacji/dokumentacji
działania (nieautoryzowanie
doskonalące dokumentów,
procedury ISO,
ZKZ
publikowanych informacji) rozporządzenia rektora
inż. Ds. aparatury,
Dziekan, Kierownicy
Katedr, dział
zamówień
publicznych
Dziekan, Kierownicy
Katedr
wstępna ocena kosztów;
wstępne oferty firm
niedpuszczalne
0,4
4
1,6
A
0,2
3
0,6
P
0,2
5
1
A
Kierownicy Katedr,
dział kadr
43.
44.
45.
46.
zarządzanie zasobami
ludzkimi
47.
48.
49.
51.
52.
54.
55.
niedopuszczalne
brak kontroli aktualności
działania badań lekarskich przez
doskonalące kierowników jednostek
ZKZ
organizacyjnych
nieprawidłowo określona
statut uczelni, ustawa o
szkolnictwie wyższym,
dokument określający
zakres obowiązków
kierownika jednostki
lub nieokreślona
charakterystyka
warunków środowiska
pracy w wystawianych
skierowaniach w
sytuacjach występowania
działania czynników szkodliwych lub wykaz stanowisk pracy w
doskonalące warunków uciążliwych w których występują warunki
pracy
szkodliwe
ZKZ
działania
doskonalące
plan urlopów w jednostkach
ZKZ
brak planów urlopowych organizacyjnych
wypłaty ekwiwalentów
urlopowych mające
związek z nieprawidłową
działania polityką urlopową
doskonalące jednostek organizacyjnych
ZKZ
- duże zaległości urlopowe
ograniczone środki
finansowe (nie
zabezpieczenie w planach
rzeczowo finansowych
jednostek) środków na
szkolenia zarówno
działania zgłaszane przez
doskonalące pracownika jak i z
inicjatywy uczelni
ZKZ
nie wywiązywanie się
kierowników jednostek
organizacyjnych z
obowiązku sporządzania i
bieżącego aktualizowania
działania zakresów obowiązków i
doskonalące uprawnień podległych
ZKZ
pracowników
działania brak zakresów czynności
doskonalące dla nauczycieli
ZKZ
akademickich
50.
53.
nieaktualne badania
okresowe i brak ważnych
badań kontrolnych po
działania okresie absencji
doskonalące chorobowej trwającej
ZKZ
powyżej 30 dni
działalność naukowobadawcza
polityka urlopowa tak
prowadzona aby nie
wystąpiła taka sytuacja
procedura ISO, statut
uczelni
ustawa o szkolnictwie
wyższym, zakres
obowiązków kierowników
jednostej organizacyjnych
(katedr)
misja i cele uczelni i
wydziału, plany KZ,
regulamin oceny okresowej
pracowników, omawianie
wyników badań naukowych
na RW
zbyt powolna ścieżka
działania kariery naukowej doskonalące zmniejszanie się
ZKZ
potencjału naukowego
nieprawidłowo i
nieefektywnie
działania wydatkowane środki DS. - ustawa o finansach
doskonalące brak związku z
publicznych, procedura P2,
ZKZ
realizowanym tematem
regulamin DS.
misja i cele uczelni i
wydziału, plany KZ,
regulamin oceny okresowej
pracowników, omawianie
działania niewielka aktywność
wyników badań naukowych
doskonalące naukowa pracowników
na RW
ZKZ
(minimalizm twórczy)
działania mała liczba znaczących
doskonalące publikacji naukowych,
misja i cele uczelni i
ZKZ
monografii
wydziału, plany KZ,
działania brak aktualnych danych w
doskonalące bazie Polska Bibliografia
ZKZ
Naukowa
nie dotyczy
0,2
4
0,8
P
0,2
4
0,8
P
0,2
1
0,2
P
dział kadr,
Kierownicy Katedr,
Dziekan
dział kadr,
Kierownicy Katedr,
Dziekan
dział kadr,
Kierownicy Katedr,
Dziekan
0,2
1
0,2
P
0,2
2
0,4
P
Kierownicy katedr,
dziekan
Kierownicy Katedr,
Dziekan
0,4
2
0,8
P
0,2
3
0,6
P
Kierownicy Katedr,
Dziekan
0,2
3
0,6
P
0,2
3
0,6
P
0,3
3
0,9
P
0,3
5
1,5
A
0,2
3
0,6
P
działania dyscyplinujące,
rotacja zgodnie z ustawą,
zebezpieczenie środków
finansowych na badania
naukowe
Kierownicy Katedr
Dziekan,
Prodziekan ds
naukowych,Kierow
nicy Katedr,
opienkun naukowy promotor
Kierownicy DS.,
Dziekan, Kierownicy
Katedr
działania dyscyplinujące,
rotacja zgodnie z ustawą,
negatywna ocena okresowa,
zwolnienie pracownika lub
przekwalifikowanie
działania dyscyplinujące,
rotacja zgodnie z ustawą
Kierownicy DS.,
Dziekan, Kierownicy
Katedr, komisja ds.
okresowej oceny
pracowników
Kierownicy DS.,
Dziekan, Kierownicy
Katedr
niski poziom naukowy
realizowanych tematów efekty działalności
działania naukowej nie odpowiadają
doskonalące standardom
ZKZ
międzynarodowym
cytowanie przez
studentów cudzych
utworów w taki sposób, by
prezentowane treści
wyglądały na własne
działania przemyślenia i refleksje
doskonalące studenta-prace
ZKZ
dyplomowe
niewłaściwe (tj. niezgodne
z obowiazującą normą i
działania zwyczajami
doskonalące wydawniczymi) cytowanie
cudzych prac
ZKZ
ryzyko finansowe
związane z
nieprawidłowym
pobraniem zaliczek(50%
koszty uzyskania
przychodów) na podatek
działania dochodowy od osób
doskonalące będących właścicielami
praw autorskich
ZKZ
56.
57.
58.
59.
ochrona własności
intelektualnej
brak ewidencji prac
działania twórczych, które stanowią
doskonalące przedmiot prawa
autorskiego
ZKZ
60.
brak programu antyplagiatowego; recenzje
promotora, recenzenta,
opiekuna naukowego
62.
proces kształcenia
63.
64.
proces kształcenia-ocena
pracy nauczycieli
akademickich
szkolenie na wydziałach WE,
WM,WN zgodnie z
wymaganiami prawnymi
nie dotyczy
coroczne plany i
sprawozdania z działaności
twórczej; coroczne
informacja pracowników o
ich publikacjach
rozporządzenie mistra w
działania brak uznania ministerstwa sprawie kształcenia
doskonalące na przeprowadzenie
członków statków morskich;
ZKZ
szkoleń przez jednostkę procedury ISO
brak możliwości
działania organizacji takiego
doskonalące szkolenia w ramach
ZKZ
własnej jednostki
brak wpływu dokonanej
oceny na dalszą karierę
działania zawodową ocenianego
doskonalące (pozytywne i negatywne
konsekwencje)
ZKZ
3
0,6
P
recenzenci
0,4
3
1,2
A
Promotor,
recenzent
0,2
3
0,6
P
0,2
1
0,2
P
0,4
3
1,2
A
procedury czasopism
naukowych, recenzenzje
ryzyko plagiatu z uwagi
naniestosowanie systemu
informatycznego
pozwalającego na szybkie i
działania sprawne przeprowadzenie
doskonalące oceny prac na szeroką
brak systemu antyZKZ
skalę
plagiatowego
nieaktualny program
kształcenia z uwagi na
zmiany w rozporządzeniu
w sprawie ramowych
działania programów przeszkoleń
doskonalące dla członków statków
procedura P1-1
ZKZ
morskich
61.
65.
0,2
recenzje wyników badań
naukowych i publikacji
redaktor czasopism
naukowych,
recenzenci
wydziałowe komisje
ds. jakości
kształcenia
wydziałowe komisje
0,2
5
1
A
0,4
3
1,2
A
ds. jakości
kształcenia,
Dziekan,
Prodziekan ds.
kształcenia
nie dotyczy
ustawa o szkolnictwie
wyższym, regulamin oceny
okresowej nauczycieli
akademickich
Dziekan, Kierownicy
Katedr