centalny rejestr ryzyk
Transkrypt
centalny rejestr ryzyk
MIEJSKI OŚRODEK POMOCY RODZINIE w TORUNIU ul. Konstytucji 3 Maja 40 c, 87-100 Toruń , tel. centr. 0-56/65 – 08 – 565, fax 64 – 86 – 447 Załącznik Nr 1 do Polityki Zarządzania Ryzykiem CENTALNY REJESTR RYZYK Dział Rehabilitacji Społecznej Osób Niepełnosprawnych Obszar ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) Brak moŜliwości przeprowadzenia wizji lokalnej w miejscu zamieszkania osoby niepełnosprawnej Ręczne prowadzenie ewidencji osób ubiegających się o pomoc Brak środków finansowych Brak właściwych warunków lokalowych Brak moŜliwości sprawdzenia ośrodka w Rejestrze Wojewody Brak moŜliwości weryfikacji dochodu wnioskodawców na etapie składania wniosków (dot. wszystkich zadań) Brak dokumentów źródłowych stanowiących podstawę wypłaty dofinansowania Zbyt mała obsługa kadrowa Brak odpowiedniego oprogramowania komputerowego wspierającego zadania działu OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE prawdopo dobieństw o opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) skutek iloczyn 6 3 3 9 6 3 3 9 9 3 3 9 9 3 3 9 6 3 3 9 6 3 3 9 9 3 3 9 9 3 3 9 2 3 6 6 KaŜdorazowo są sporządzane notatki na okoliczność przeprowadzenia wizji lokalnej, Zarządzenie nr 5 MOPR w kontrole o charakterze ciągłym sprawie wprowadzenia Regulaminu dofinansowania ze środków MOPR, dobra praktyka Brak mechanizmów Brak źródło Brak mechanizmów Brak mechanizmów BieŜąca kontrola wniosków Plan finsowo -rzeczowego Dobra praktyka Dobra praktyka Rozporządzenie w sprawie określenia rodzajów zadań Pismo do wnioskodawców o nadesłanie powiatu, które mogą być dokumentów potwierdzających dochód. finansowane z PFRON Pisma do producentów. Brak mechanizmów Brak mechanizmów Rozporządzenie j.w Dobra praktyka Dobra praktyka OCENA RYZYKA PO MECHANIZMACH skutek prawdopo dobieństw o iloczyn 2 3 6 3 3 9 3 3 9 3 3 9 3 2 6 3 2 6 3 3 9 3 3 9 2 3 6 Dział Finansowo-Ksiegowy Obszar MECHANIZMY KONTROLNE skutek prawdopo dobieństw o iloczyn opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) 6 3 3 9 3 2 3 6 6 3 3 9 ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) Nieterminowe przekazanie środków dla podopiecznych Nieterminowe przekazanie dochodów Brak płynności finansowej dla podopiecznych w zakresie zasiłków Krótkie terminy sporządzania sprawozdań dla Gminy, Wojewody, Powielanie czynności związanych z ewidencją wpłat naleŜności Brak programu kadrowo-płacowego Brak kompetencji, wiedzy i doświadczenia pracowników rejonowych Dział Pomocy Środowiskowej OCENA RYZYKA PIERWOTNEGO 3 6 2 2 4 3 2 3 6 4 3 2 6 4 Nietrminowe zarejestrowanie podopiecznego do ZUS Brak płynności w przekazywaniu śrdoków przez Wojewodę dot. zasiłków okresowych 3 4 Nie terminowe sporządzenie wywiadów przez pracownika rejonowego Sporządznie wywiadu niezgodnie ze stanem faktycznym "Wypalenie zawodowe" Nieprawidłowe dane otrzymane od podopiecznego 2 3 2 BieŜący monitoring środków finansowych przeznaczonych dla podopiecznych Harmonogramu płatności i dobre praktyki BieŜąca kontrola terminowości przekazywania dochodów do gminy Dobra praktyka Sprawozdania finansowe i zadaniowe w okresie miesięcznym Plan rzeczowo - finansowy BieŜąca kontrola przez Księgowego Brak mechanizmów Okresowa weryfikacja zatrudnienie Samoocena co dwa lata Informacje od Wojewody kiedy naleŜy sporządzić sprawozdanie oraz dobre praktyki Dobre praktyki Dobra praktyka Wymogi Ustawy o pomocy społecznej w szczególności art. 116 OCENA RYZYKA PO MECHANIZMACH skutek prawdopo dobieństw o iloczyn 2 3 6 1 3 3 2 3 6 1 3 3 2 2 4 1 3 3 3 2 6 6 BieŜąca weryfikacja przez Kierownika Zespołu Pomocy Środowiskowej + Kierownika Działu Pomocy Środowiskowej Dobre praktyki 2 1 2 BieŜąca weryfikacja przez Kierownika Zespołu Pomocy Środowiskowej + Kierownika Działu Pomocy Środowiskowej Dobre praktyki 2 2 4 Brak Dobre praktyki 2 3 2 3 4 9 Dobre praktyki 2 2 4 Dobre praktyki 4 1 4 4 2 3 6 4 9 3 3 2 3 6 9 4 2 2 4 4 4 1 4 Rotacja pracowników między rejonami Brak mechanizmów Brak mechanizmów Brak mechanizmów Działu Wspierania Rodziny i Systemu Pieczy Zastępczej Obszar OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE skutek prawdopo dobieństw o iloczyn opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) 6 3 3 9 Brak środków finansowych 12 4 3 12 Brak informacji o istotnych elementach funkcjonowania rodzin zastępczych 4 3 2 6 Brak konsekwencji realizacji planu osób usamodzielniających się Nie realizowanie celów załoŜonych przez rodziny zastępcze 6 ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) Nieprawidłowe sporządzenie wniosku o pomoc społeczną Dział Świadczeń Rodzinnych Nieprzestrzeganie przepisów zewnętrznych 3 3 9 6 3 3 9 6 3 3 9 Weryfikacja wniosków przez kierownika działu Monitorowanie realizacji planów przez kierownika działu OCENA RYZYKA PO MECHANIZMACH Dobre praktyki Planu budŜetowy skutek prawdopo dobieństw o iloczyn 2 3 6 4 3 12 2 2 4 2 3 6 2 3 6 Sporządzanie okresowej opinii o rodzinie zastępczej przez pracownika MOPR( specjalista) Okresowa ocena realizacji planów usamodzielnienia przeprowadzona przez pracownika socjalnego Okresowa ocena realizacji celów załoŜonych przez rodziny zastępcze. Prowadzenie rejestru przepisów prawnych (sprawdzanie 1 raz w miesiącu) załącznik nr 1 do rejestru ryzyk Planu usamodzielnienia Dobre praktyki 3 2 6 Dobre praktyki 2 2 4 Dobre praktyki 2 2 4 3 2 6 3 1 3 Ustawy Dobre praktyki Przyjmowanie niekompletnych wniosków 4 2 3 6 Weryfikacja bieŜąca przez pracowników, 1 raz w miesiącu wyrywkowe sprawdzenie teczek pod względem kompletności dokumentów (min. 10 teczek w akcji), załącznik nr 2 do rejestru ryzyk Nieprawidłowe wydanie decyzji administracyjnej 4 2 3 6 Kontrola na etapie weryfikacji teczek 1 raz w miesiącu (min. 10 teczek w akcji), załącznik nr 3 do rejestru ryzyk Zaginięcie akt Wnioskodawcy 6 3 3 9 Brak zastępstwa na stawiskach kluczowych 3 3 2 6 Błędne, nieprawidłowe sporządzenie sprawozdań dla innych komórek organizacyjnych 4 3 2 6 Sporządzanie sprawozdań cząstkowych w Zarządzenia wewnętrzne, róŜnych okresie tj. miesięczne, kwartalne dobre praktyki, oraz roczne pod nadzorem kierownika działu 2 2 4 Nieterminowe wykonanie zadań w tzw. AKCJI 6 3 3 9 Brak mechanizmów kontrolnych 3 2 6 Niewłaściwa ochrona prywatności danych osobowych 4 3 3 9 Zarządzenia wewnętrzne, dobre praktyki, 2 2 4 Brak wykwalifikowanego personelu 4 2 3 6 Okresowe szkolenia o ochronie danych osobowych Ocena okresowa pracownika ( raz ma dwa lata) Zarządzenia wewnętrzne 2 2 4 Brak windykacji nieprawidłowo wypłaconych świadczeń 3 3 2 6 Zarządzenia wewnętrzne, dobre praktyki, 3 1 3 Rejestr przyjmowania i oddawania akt oraz Instrukcja kancelaryjna, harmonogram dobre praktyki Wpisanie zastępstwa na wnioskach Dobre praktyki urlopowych BieŜące sporządzanie sprawozdania dot. windykacji - nadzór kierownika działu Dobre praktyki Obszar ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) Brak archiwizacji akt Wnioskodawców 2 OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE skutek prawdopo dobieństw o iloczyn opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) 2 2 4 Brak mechanizmów kontrolnych Zarządzenia wewnętrzne, dobra praktyka OCENA RYZYKA PO MECHANIZMACH skutek prawdopo dobieństw o iloczyn 1 2 2 Obszar ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE prawdopo dobieństw o opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) skutek iloczyn Nieprzestrzeganie przepisów zewnętrznych 4 2 4 8 skutek prawdopo dobieństw o iloczyn 1 4 4 1 3 3 Ustawa o pomocy osobom uprawnionym do alimentów, dobra praktyka 1 3 3 Kontrola na etapie weryfikacji teczek 1 raz w miesiącu (min. 10 teczek w akcji), załącznik nr 3 do rejestru ryzyk Weryfikacja teczek przy naliczaniu próbnej listy wypłat (min. 10 teczek), analiza wydruku błędów naliczeń generowanego przy próbnej liście wypłat, załącznik nr 4 do rejestru ryzyk obowiązujące przepisy prawa 2 3 6 proces z dnia 17.05.2011 r. - kontrola list wypłat na etapie ich przygotowania 2 3 6 Wpisanie zastępstwa na wnioskach urlopowych Szkolenia Dobra praktyka 3 1 3 2 3 6 Prowadzenie rejestru przepisów prawnych Dobra praktyka (sprawdzanie 1 raz w miesiącu) załącznik nr 1 do rejestru ryzyk Dobra praktyka Przyjmowanie niekompletnych wniosków Dział Świadczeń Alimentacyjnych 3 Niepoprawne ustalenie wysokości dochodu wnioskodawcy 2 3 6 3 2 3 6 6 3 3 9 Nieprawidłowe wydanie decyzji administracyjnych Nieprawidłowe naliczanie list wypłat Brak zastępstwa na stanowiskach kluczowych 6 3 3 9 3 4 1 4 Niewłaściwa ochrona prywatności danych osobowych datków Mieszkaniowych Brak windykacji nienaleŜnie pobranych świadczeń OCENA RYZYKA PO MECHANIZMACH 6 3 3 9 4 3 2 6 4 2 4 8 Nieprawidłowe wydanie decyzji administracyjnej Nieprawidłowe naliczone wydatki 6 3 3 9 Weryfikacja bieŜąca przez pracowników, 1 raz w miesiącu wyrywkowe sprawdzenie teczek pod względem kompletności dokumentów (min. 10 teczek w akcji), załącznik nr 2 do rejestru ryzyk Kontrola na etapie weryfikacji teczek 1 raz w miesiącu (min. 10 teczek w akcji), załącznik nr 3 do rejestru ryzyk Zarządzenie Nr 6/08 dyrektora MOPR w sprawie wprowadzenia w MOPR Polityki Bezpieczeństwa Danych Osobowych Brak mechanizmów kontrolnych Dobra praktyka Prowadzenie rejestru przepisów prawnych (sprawdzanie 1 raz w miesiącu) załącznik nr 1 do rejestru ryzyk Dobra praktyka 2 2 4 2 3 6* Weryfikacja bieŜąca przez pracowników, 1 raz w miesiącu wyrywkowe sprawdzenie teczek pod względem kompletności dokumentów (min. 10 teczek ), załącznik nr 2 do rejestru ryzyk Dobra praktyka 3 3 9* Dział Dodatków Mieszkaniowych Obszar ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE prawdopo dobieństw o opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) skutek iloczyn Zatwierdzanie merytoryczne list wypłat 6 4 2 OCENA RYZYKA PO MECHANIZMACH skutek prawdopo dobieństw o iloczyn 8 Rozdzielenie funkcji kontrolnych poprzez podziała wykonywanych czynności na osoby: - sporządzająca, - sprawdzająca, - zatwierdzająca do wypłat 4 2 8* 2 3 6* 2 2 4 Instrukacja obiegu dokumnetów, Dobra praktyka Brak windykacji nieprawidłowo wypłaconych świadczeń 4 2 3 6 Kwartalna kontrola wypłacanych świadczeń TEST do przygotowania Dobra praktyka Brak archiwizacji akt Wnioskodawców 4 3 2 6 Brak mechanizmów Instrukcja kancelaryjna Dział organizacyjno - administracyjny - Kadry Obszar OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE skutek prawdopo dobieństw o iloczyn opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) 2 2 2 4 4 3 2 6 2 2 2 4 2 2 2 4 2 2 2 4 ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) Nieprzestrzeganie przepisów BHP w zakresie szkoleń pracowników Niewłaściwe zabezpieczenie stanowiska pracy Nieprawidłowa, niezgodna z przepisami archiwizacja dokumentów Niewłaściwe przechowywanie i zabezpieczenie pieczęci i druków ścisłego zarachowania Nieprzestrzeganie wew. uregulowań w sprawie terminów regulujących obieg informacji, dokumentacji osobowo –finansowej Nie prowadzenie akt osobowych dla kaŜdego pracownika Brak ewidencji czasu pracy pracowników Brak systemu przekazywania inf. z kadr nt. zbliŜającego się terminu waŜności profilaktycznych badań lekarskich Brak systemu zastępstw, w tym określonego pisemnie obowiązków przekazywania stanu wykonywanych zadań w przypadku planowanej lub nieoczekiwanej nieobecności pracownika Brak procedur rozliczania odchodzacych pracowników ( zwrto aktywów ) - obiegówka Brak zakresów obowiązków pracowników dla kaŜdego stanowiska pracy Brak systemu oceny pracowników i powiązania z wynagrodzeniem, w tym brak systemu motywujących i zasad awansu płacowego. Brak zatwierdzenia merytorycznego przez pracownika działu org-adm. Zatrudnienie pracownika bez odpowiednich kwalifikacji Brak zatrudnienia i nadmiar obowiązków Bardzo duŜa rotacja pracowników Brak rozdzielanie funkcji utrzymania akt osobowych a funkcją opracowania list płac Nieterminowe sporządzenie umowy o pracę lub umowy zlecenie. 4 3 2 6 4 3 2 6 4 3 2 6 KaŜdorazowo nowo zatrudnionych pracownik podlega szkoleniu BHP Dobra praktyka Kontrola o charakterze doraźnym Instrukcja BHP Co rocznie przekazywanie dokumentacji do archiwum Instrukcja Kancelaryjna Kontrola o charakterze doraźnym Dobra praktyka Kontrola o charakterze doraźnym Instrukcja obiegu dokumentów, Kontrola o charakterze doraźnym Dobra praktyka Co miesięczna kontrola list obecności przez przełoŜonego Dobra praktyka Kontrola o charakterze doraźnym 4 3 2 2 2 2 4 2 2 2 4 2 2 2 4 6 2 3 6 3 2 2 4 9 4 2 2 3 3 6 6 2 2 2 4 2 2 2 4 skutek prawdopo dobieństw o iloczyn 1 2 2 2 2 4 1 2 2 1 2 2 1 2 2 2 2 4 2 2 4 2 2 4 2 2 4 1 2 2 1 2 2 1 2 2 2 3 6 1 3 3 3 2 3 2 9 4 1 2 2 1 2 2 Dobra praktyka 6 Kontrola o charakterze doraźnym OCENA RYZYKA PO MECHANIZMACH Kontrola o charakterze doraźnym Dobra praktyka Indywidualne zakresy czynności Kontrola o charakterze doraźnym Dobra praktyka Kontrola o charakterze doraźnym Regulamin organizacyjny Kontrola o charakterze doraźnym Regulamin premiowania Brak mechanizmów kontrolnych Weryfikacja przez Komisje rekrutacyjną Brak mechanizmów kontrolnych Kontrola o charakterze doraźnym Brak źródeł regulamin rekrutacyjny Brak źródeł Instrukcja obiegu dokumentów, Kontrola o charakterze doraźnym Dobra praktyka acyjno - Administracyjny - Zamówienia publiczne i zaoptrzenie Dział Organizacyjno - Administracyjny - Zarządzanie majątkiem Obszar ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) Nieznajomość prawa i/lub skomplikowane przepisy prawa dot. zarządzania majątkiem Brak wpisów do ewidencji środków trwałych Nieprzestrzeganie obowiązkowych terminów przeprowadzania inwentaryzacji Nieaktualne dane ewidencyjne obiektów Brak ewidencji pobierania i wydawania kluczu do pomieszczeń pracownikom Brak moŜliwości egzekwowania odpowiedzialności pracowniczej za powierzone mienie Nieterminowe wyjaśnienie róŜnic inwentaryzacyjnych Brak funduszy na regularną konserwacje maszyn i urządzeń Brak komputerowego systemu do ewidencji, rozliczania i przeprowadzenia inwentaryzacji Brak archiwizacji ksiąg inwentarzowych oraz dokumentacji dot. majątku Brak odpowiedniego oznakowania składników majątku Nieprecyzyjne przygotowanie umowy o zmówienie publiczne Brak rzetelnego rozeznania rynku w przypadku nowych zamówień Nieprecyzyjne sporządzenie SIWZ Nieprawidłowy wybór dostawcy Brak procedury w przypadku zakupów poniŜej 14 000 euro Brak planu zakupów Nie prowadzenie Rejestru umów w zakresie zamówień Brak konsekwencji przy realizacji podejmowanych działań w obszarze zamówień publicznych 4 OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE skutek prawdopo dobieństw o iloczyn opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) 3 3 9 4 2 2 4 2 3 3 9 4 3 3 9 2 2 2 4 1 2 1 2 Okresowa kontrola zgdoności oboiwazujacych przespiów z przpisami wew. Okresowa kontrola zgdoności oboiwazujacych przespiów z przpisami wew. 2 1 2 2 1 2 2 4 4 4 3 12 2 2 2 4 4 4 3 12 3 4 3 12 1 2 1 2 6 3 3 9 6 3 3 9 6 2 3 6 4 4 1 4 3 2 6 3 0 3 skutek prawdopo dobieństw o iloczyn 2 2 4 2 2 4 2 1 2 2 2 4 2 1 2 1 1 1 1 2 2 1 1 1 2 2 4 1 2 2 2 2 4 Dobra praktyka 1 3 3 Dobra praktyka 1 1 1 2 3 6 2 3 6 2 3 6 4 1 4 1 3 3 2 3 6 Dobra praktyka Zarządznie w sprawie prowadzenia ewidencji środków trwałych Inwenatryzacja co 4 lata Kontrola o charakterze doraźnym Plan inwenatryzacji Dobra praktyka Kontrola o charakterze doraźnym Dobra praktyka BieŜąca kontrola Rejestru umów Protokół róŜnic inwentaryzacyjnych Brak Dobra praktyka Instrukcja inwentaryzacyjna Plan rzeczowo - finansowy Brak źródeł Brak Kontrola spisu przekazanych dokumentów na koniec roku Instrukcja kancelaryjna Kontrola o charakterze doraźnym Wszystkie umowy są sprawdzane przez Dział prawny Przy zamówiniach poniŜej 14000 euro stsowana jest zadsada 3 ofert Stosuje się rozdzilenie funkcji w procesie opracowywania a kontrolą SIWZ Protokół komisji ds. zamównień publicznych Przy zamówiniach poniŜej 14000 euro stsowana jest zadsada 3 ofert Brak Okresowe kontrole Rejestru 9 Instrukcja kancelaryjna Regulamin zamównień publicznych Regulamin zamównień publicznych Dobra praktyka Brak Regulamin zamównień publicznych Dobra praktyka Kontrola o charakterze doraźnym OCENA RYZYKA PO MECHANIZMACH Dział Organizacyjno - Administracyjny - Zam Obszar OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE skutek prawdopo dobieństw o iloczyn opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) 6 3 3 9 6 3 3 9 ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) Przyjęcie kryterium ceny jako najwaŜniejszy czynnik wyboru oferty Brak współpracy, niedostateczna ilość informacji niezbędnych do przeprowadzenia procedury przetargowej Nieprawidłowe szacowanie wartości towaru lub usługi 6 3 3 9 Kontrola o charakterze doraźnym Regulamin zamównień publicznych Instrukacja obiegu dokumnetów, Dobra praktyka Kontrola o charakterze doraźnym Dobre praktyki Kontrola o charakterze doraźnym OCENA RYZYKA PO MECHANIZMACH skutek prawdopo dobieństw o iloczyn 2 3 6 2 3 6 2 3 6 Obszar MECHANIZMY KONTROLNE skutek prawdopo dobieństw o iloczyn opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) 1 4 1 4 4 3 2 6 9 3 4 12 2 3 2 6 4 4 3 12 6 3 3 9 4 4 3 3 2 2 6 6 4 3 2 6 Dobra praktyka, serwery stoją 30 cm powyŜej poziomu podłogi 3 3 3 9 Funkcjonujace UPS podtrzymujace serwery ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) Brak ochrony fizycznej budynku przed kradzieŜą, poŜarem, zalaniem Brak harmonogramu okresowych przeglądów sprzętu bezpośrednio zabezpieczającego system Brak procedur wydawania i zdawania kluczy do pomieszczenia serwerowi Brak procedur na wypadek nietypowych zdarzeń związanych z serwerem Brak procedur w zakresie ochrony danych informatycznych Brak procedur związanej z dostępem do serwerowi Brak zasilania awaryjnego Brak zabezpieczeń przeciwpoŜarowych Brak środków ochrony przed zalaniem Brak środków na ochronę danych związanych z przerwą w zasilaniu Dział Organizacyjno - Administracyjny - Infromatyzacja OCENA RYZYKA PIERWOTNEGO System alarmowy 6 2 4 Dobre praktyki Brak mechanizmów kontrolnych Brak Brak mechanizmów kontrolnych 8 Brak Brak Dobra praktyka, , po godzinach urzędowania pomieszczenia zabezpieczone systemem alarmowym Regularna - co trzy lata wymiana kluczowych elementów - zasilaczy awaryjnych 3 3 3 9 Testy sprzetowe monitorowane na serwerze 4 2 3 6 Podjęto decyzję o wymianie drzwi i zasadach zabezpieczania kluczy do pomieszczenia z serwerami/ 4 3 2 6 wstępne szkolenie BHP 9 Dobowy Backup - serwera Novell na streamar-ze dobowy zrzut danych wg zapisu Dobra praktyka crona, co tygodniowy backup danych na dysku twardym z co miesięcznym zapisem na DVD 3 Brak procedur w zakresie archiwizowania danych Brak Zamknięta sieć LAN, dostęp do sieci Zasady ochrony danych komputerowej poprzez autoryzację osobowych Podjęto decyzję o wymianie drzwi i zasadach zabezpieczania kluczy do Brak pomieszczenia z serwerami Funkcjonowanie UPS Brak mechanizmów kontrolnych Instrukcja ochrony ppoŜ Brak testów zasilania awaryjnego Brak okresowego monitoringu dostępu do serwerowni Brak szkoleń pracowników z zakresu stosowania zabezpieczeń logicznych Brak Brak mechanizmów kontrolnych Brak mechanizmów kontrolnych Brak zabezpieczenia fizycznych do pomieszczeń ze sprzętem komputerowym (np. pomieszczenia zamykane na klucz) OCENA RYZYKA PO MECHANIZMACH 3 3 Brak Brak skutek prawdopo dobieństw o iloczyn 1 1 1 2 2 4 3 3 9 1 2 2 2 3 6 2 3 6 2 2 2 2 4 4 2 2 4 1 3 3 2 3 6 1 3 3 2 3 6 3 2 6 1 3 3 Obszar ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) Brak procedur udostępniania lub ujawniania informacji nieautoryzowanym osobom 8 OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE skutek prawdopo dobieństw o iloczyn opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) 4 2 8 3 2 Zbyt szeroki lub nieuprawniony dostęp do bazy danych Brak systemu wykrywania prób dostępu do danych przez niepowołane osoby skutek prawdopo dobieństw o iloczyn 4 2 8 1 3 3 1 2 2 3 3 9 1 3 3 1 3 3 Brak 3 3 9 Brak zabezpieczeń integralności systemu przed nieautoryzowanymi manipulacjami Brak aktualnego spisu sprzętu i oprogramowania MoŜliwość kradzieŜy sprzętu i oprogramowania z powodu niewystarczających zabezpieczeń Brak OCENA RYZYKA PO MECHANIZMACH 3 2 6 9 3 3 9 3 2 3 6 3 3 3 9 tylko autoryzowany dostęp do komputera z lokalnej sieci - brak dhcp, poprzez protokół IPX autoryzacja i zapis poczynań osób na serwerze bazodanowym Ewidencja środków trwałych, ewidencja legalnego oprogramowania, nazw, adresów IP, dobra praktyka Brak mechanizmów kontrolnych Brak Brak Brak Dostęp wg zakresu obowiązków Monitoring na routerze, logi systemowe prehistoryczny system sieciowy - Novell 4.11 Dobra praktyka dobra praktyka Dział Interwencji Kryzysowej i Poradnictwa Specjalistycznego Obszar ZIDENTYFIKOWANE RYZYKA/ZDARZENIA Akceptowalny (opis zidentyfikowanych zagroŜeń osiągnięcia celów poziom ryzyka ( firmy w badanym procesie) 1- 16 ) OCENA RYZYKA PIERWOTNEGO MECHANIZMY KONTROLNE OCENA RYZYKA PO MECHANIZMACH skutek prawdopo dobieństw o iloczyn opis mechanizmu (zestawienie źródło (np.: obowiązujące przykładowych mechanizmów kontrolnych przepisy, dobre praktyki) stanowi załącznik do tabeli) skutek prawdopo dobieństw o iloczyn Niepecyzyjne przepisy wykonanwecze oraz czeste ich zmiany 2 2 2 4 Wszelkie zmiany w przpisach prawa są przeprowadzane na bieŜace prze biuroprawne Dobre praktyki 1 2 2 Nie wystraczjaca ilość pracowników - specjalistów (pedagog,prawnik, pracowników socjalny, psychologa) Brak specjalistycznych szkoleń, 6 3 3 9 W ogragniczonym stopniu system zastępstw Ustawa 2 3 6 6 3 2 6 Dobre praktyki 3 2 6 4 3 2 6 Dobre praktyki 2 2 4 4 3 2 6 Brak mechanizmów Profilaktyczne szkolenia w placówka oświatowych - w 2012 4 szkolenia Stała współpraca z inst, dysponującymi schroniem Dobre praktyki 2 2 4 Ograniczona wiedza młodzieŜy Brak moŜliwości udzielenia schronienia