ZARZĄDZANIE RYZYKIEM
XXIII Promocja
Krajowa Szkoła Administracji Publicznej
ZARZĄDZANIE RYZYKIEM
Zarządzanie ryzykiem jest elementem budowy dobrego ładu organizacyjnego w instytucji. Jako element good governance zarządzanie ryzykiem sprzyja realizacji celów, efektywniejszemu wykorzystaniu zasobów i lepszemu reagowaniu na sytuacje nieprzewidziane.
KORZYŚCI WYPŁYWAJĄCE Z ZARZĄDZANIA RYZYKIEM
KONTEKST PRAWNY
Podstawy prawne dla wdrażania zarządzania ryzykiem
USTAWA Z DNIA 27 SIERPNIA 2009 O FINANSACH PUBLICZNYCH
art. 68 – jednym z celów kontroli zarządczej jest wdrożenie w urzędzie zarządzania ryzykiem. ust.1 Kontrolę zarządczą w jednostkach sektora
finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy.
ust.2 Celem kontroli zarządczej jest w szczególności (…) zarządzanie ryzykiem.
art. 69 – za zapewnienie funkcjonowania zarządzania ryzykiem w ministerstwie (tak jak i całej kontroli zarządczej) odpowiedzialny jest minister.
KOMUNIKAT NR 23 MINISTRA FINANSÓW Z DNIA 16 GRUDNIA 2009 W SPRAWIE STANDARDÓW KONTROLI ZARZĄDCZEJ DLA
SEKTORA FINANSÓW PUBLICZNYCH
Komunikat formułuje standardy kontroli zarządczej,w tym wytyczne i wskazówki w zakresie zarządzania ryzykiem skierowane do podmiotów sektora finansów publicznych.
Standardy określają podstawowe wymagania odnoszące się do sposobu wdrażania zarządzania ryzykiem w urzędzie.
Wymienia się takie elementy jak określenie celów i zadań (oraz ocena ich realizacji i monitorowanie), identyfikacja ryzyka, analiza ryzyka i reakcja na ryzyko.
ROLA PLANU DZIAŁALNOŚCI W ZARZĄDZANIU RYZYKIEM
PLAN DZIAŁALNOŚCI DLA DZIAŁU
Minister sporządza do końca listopada każdego roku plan działalności na rok następny dla kierowanych przez niego działów (Art. 70 ufp). Plan ten zawiera cele wraz z miernikami stopnia ich realizacji. W odniesieniu
do celów i zadań przeprowadza się kompleksowe zarządzanie ryzykiem (identyfikacja, analiza, reagowanie).
Jako jednostkę właściwą w obszarze monitorowania i koordynowania zarządzania ryzykiem w ministerstwie powinno wyznaczać się departamenty strategii i analiz.
PLANY DZIAŁALNOŚCI KOMÓRKI ORGANIZACYJNEJ
Akty prawne nie dają szczegółowych wytycznych, w jaki sposób zorganizować proces zarządzania ryzykiem w całym urzędzie.
Dobrą praktyką jest opieranie zarządzania ryzykiem na celach zawartych w planie działalności ministra. Komórki organizacyjne urzędu (departamenty merytoryczne) tworzą wówczas własne plany działalności zawierające szczegółowe cele i zadania w obszarze ich kompetencji. Muszą być one spójne z celami strategicznymi z planu działalności urzędu i stanowić ich uszczegółowienie. W odniesieniu do tak sformułowanych celów, komórki te przeprowadzają identyfikację i analizę ryzyka na swoim poziomie.
KWESTIA AUDYTU WEWNĘTRZNEGO
Kontroli zarządczej nie należy mylić z działaniami podejmowanymi w ramach audytu wewnętrznego, a planu działalności z planem audytu urzędu.
Audyt wewnętrzny w ministerstwie wspiera proces zarządzania ryzykiem, nie odpowiada jednak za całokształt działań w tym obszarze.
Analizy ryzyka o której mowa w art. 283 ust. 3 i 4 ufp nie należy mylić z analizą ryzyka dokonywaną w ramach zarządzania ryzykiem. Analiza ryzyka przeprowadzana przez komórkę audytu służy jedynie przygotowaniu planu audytu.
Z uwagi na powyższe, nie jest wskazane przypisywanie komórce audytu wiodącej roli w zakresie zarządzania ryzykiem. Właściwymi jednostkami w tym obszarze byłyby departamenty odpowiedzialne za strategie.
Poziom operacyjny – narzędzia zarządzania ryzykiem
IDETYFIKACJA RYZYKA
IDENTYFIKACJA RYZYKA
Zgodnie ze standardami kontroli zarządczej identyfikacja ryzyk powinna być dokonywana w odniesieniu do zadań określonych w planie działalności urzędu, mając przy tym zawsze na uwadze cele, jakie mają być osiągnięte dzięki realizacji tych zadań.
OPIS RYZYKA
Do sporządzania opisu ryzyka może służyć trójelementowa metoda R-P-S: ryzyko (R), jego przyczyna (P), skutek (S).
Należy unikać stwierdzenia ryzyka, które nie ma wpływu na cele, jak również stwierdzenia ryzyka, które jest po prostu odwrotnością celów. Konieczne jest odróżnienie samego ryzyka od jego oddziaływania.
METODY IDENTYFIKACJI RYZYKA
TABELA IDENTYFIKACJI RYZYKA
ZBIORCZA TABELA IDENTYFIKACJI RYZYKA (WRAZ Z PRZYKŁADEM)
Zadanie Kategoria ryzyka Opis ryzyka(max. 5) Sygnatura
Umożliwienie składania deklaracji podatkowych drogą elektroniczną poprzez udostępnienie przez Ministerstwo Finansów odpowiednich usług informatycznych.
Zasoby ludzkie
Obecnie w Wydziale X nie są obsadzone dwa etaty, w których opisie stanowisk znajduje się obowiązek zajmowania się zagadnieniem wskazanym w zadaniu. Kwestią tą zajmować się będzie tylko jeden pracownik. Istnieje zatem ryzyko przedłużania się okresu prac nad projektem, a w konsekwencji nie wykonania zadania w terminie
DY1
Obecnie w Departamencie Y brakuje zastępcy dyrektora, który nadzoruje wydziały odpowiedzialne za realizację zadania. Pan Z pełni jedynie obowiązki zastępcy dyrektora. Zmiana na tym stanowisku może oznaczać pojawienie się nowej koncepcji realizacji zadania, co skutkować będzie brakiem terminowości w realizacji zadania.
DY2
Sprzęt i informacja
Program komputerowy potrzebny do realizacji zadania ulega częstym awariom. Kilkukrotnie doprowadziło to do utraty wprowadzanych danych. Powtarzanie się awarii spowoduje nie możność kontynuowania pracy a w konsekwencji nie zrealizowanie zadania.
DZ1
Zebrane dane na temat ryzyka należy zestawić tak, aby możliwe było dalsze przetwarzanie tych informacji. Może do tego służyć zbiorcza tabela identyfikacji ryzyka.
ANALIZA RYZYKA
ANALIZA RYZYKA
Analiza pod kątem
identyfikacji ryzyka
krzyżowego
Kolejnym etapem po identyfikacji ryzyka jest poddanie go szczegółowej analizie, tak, aby możliwe stało się zrozumienie jego istoty, a następnie dokonanie we właściwy sposób jego oceny. Wyróżnić można cztery etapy analizy:
OKREŚLENIE PRZYCZYN I SKUTKÓW ZIDENTYFIKOWANEGO RYZYKA
W opisie ryzyka dokonanym w trakcie identyfikacji każdemu z zagrożeń została przyporządkowana przyczyna oraz skutek. Jednak pogłębiona analiza ryzyka wymaga wypunktowania wszystkich oddziaływań, dlatego należy zwrócić szczególną uwagę na: wpływ na przestrzeganie prawa przez urząd, wpływ na zdrowie/życie pracowników, straty finansowe, wpływ na wizerunek urzędu, wpływ na standard świadczenia usług.
ANALIZA POD KĄTEM IDENTYFIKACJI RYZYKA KRZYŻOWEGO
Pewne ryzyka mogą mieć wpływ na różne działania podejmowane przez urząd lub powtarzać się w jej poszczególnych jednostkach. W związku z tym bardzo ważne jest, aby na etapie analizy ryzyka zidentyfikować takie niebezpieczeństwo i przygotować kompleksowy plan działania, który uwzględni zagrożenie w różnych aspektach działalności urzędu.
ODDZIELENIE RYZYKA ISTOTNEGO OD NIEWIELKIEGO
Odróżnianie ryzyka niewielkiego od istotnego jest dokonywane przede wszystkim poprzez “Punktową ocenę poziomu ryzyka”, która stanowi kolejny etap procesu zarządzania ryzykiem. Jednak prowadząc szczegółową analizę ryzyka warto zebrać już na tym etapie odpowiednie informacje dotyczące zidentyfikowanego ryzyka. W tym celu można posłużyć się odpowiednią tabelą wyszczególniającą przyczyny i skutki określonego ryzyka, funkcjonujące w urzędzie mechanizmy kontrolne wraz z określeniem ich adekwatności, skuteczności oraz efektywności.
OCENA RODZAJU I KATEGORII RYZYKA
Odpowiednie wyodrębnienie rodzaju i kategorii ryzyka ułatwi na dalszym etapie kwestię określenia jego właściciela. Ryzyko może mieć charakter strategiczny lub operacyjny. Ryzyko strategiczne wpływa na podstawy
funkcjonowania urzędu. Zarządzanie nim jest przede wszystkim zadaniem kierownika jednostki we współdziałaniu z innymi pracownikami na kluczowych stanowiskach.
Ryzyko operacyjne jest elementem codziennej pracy całego personelu. W związku z tym nie jest z góry określone, że zarządzanie nim należy do zadań kierownika jednostki.
PUNKTOWA OCENA RYZYKA
PUNKTOWA OCENA RYZYKA
Punktowa ocena ryzyka jest etapem dostarczającym informacji, które pozwalają na uszeregowanie ryzyk oraz tym samym pomagają w podjęciu decyzji, dotyczących sposobów postępowania z nimi. Ryzyko ocenia się, biorąc pod uwagę: Prawdopodobieństwo jego wystąpienia oraz Jego oddziaływanie na urząd w razie wystąpienia (skutek).
W tym celu wykorzystywane są skale punktowe (najczęściej stosuje się skale 3-stopniowe, 4-stopniowe i 5-stopniowe). Niezwykle istotne jest, aby przed oceną punktową wypracować jednolite dla całego urzędu definicje prawdopodobieństwa oraz poziomu oddziaływania. Należy także pamiętać o tym, że punktową analizę ryzyka przeprowadzamy, biorąc pod uwagę istniejące w urzędzie mechanizmy kontrolne.
MATRYCA RYZYKA
Skutek
Bardzo duży 5 10 15 20 25
Duży 4 8 12 16 20
Średni 3 6 9 12 15
Mały 2 4 6 8 10
Nieznaczny 1 2 3 4 5
RzadkieMało
prawdopodobneŚrednie Prawdopodobne Prawie pewne Prawdopodobieństwo
Nakładając na siebie wymiar oddziaływania oraz wymiar prawdopodobieństwa, uzyskujemy matrycę ryzyka. Każdemu zidentyfikowanemu ryzyku w urzędzie odpowiada jedno pole na matrycy ryzyka. Istotność danego ryzyka uzyskujemy mnożąc punktową ocenę prawdopodobieństwa oraz skutku. Matryca ryzyka jest podstawą do ustalenia hierarchii (ewentualnych) działań, mających na celu zmniejszenie
MAPA RYZYKA
Wykorzystując indywidualne oceny poszczególnych ryzyk możemy stworzyć mapę ryzyka, umożliwiającą ustalenie „progów tolerancji” dla zidentyfikowanych ryzyk. Przy pomocy mapy ryzyka możliwe staje się określenie: poziomów akceptowanego ryzyka dla kategorii
prawdopodobieństwa oraz kategorii oddziaływania (skutku)
lub poziomu akceptowanego ryzyka dla kategorii istotności,
rozumianej jako iloczyn punktowej oceny prawdopodobieństwa oraz oddziaływania (skutku).
REJESTR RYZYKA
Jest to dokument podsumowujący, w którym umieszczane są informacje dotyczące wszystkich zidentyfikowanych zagrożeń.
Aktualizacja dokumentu powinna odbywać się regularnie, co najmniej raz w roku, tak, aby zarządzający ryzykiem mogli porównać stan obecny z poprzednim.
Rada: Podczas opracowywania rejestru ryzyka warto przed jego stworzeniem, pamiętać o celach, jakie postawione są przed urzędem.
METODY SPORZĄDZANIA REJESTRU RYZYKA
SZABLON REJESTRU RYZYKA
SZABLON REJESTRU RYZYKA
Identyfikator ryzyka Kategoria ryzyka
Przyczyna ryzyka, charakter, skutek
Punktowa ocena ryzyka
Reakcja na ryzyko
Ryzyko Rezydualne
Właściciel ryzyka
DX1 Zasoby ludzkie
Opis zgodny z analizą
przeprowadzoną w pkt. 2
opracowania
20Dyrektor
departamentu X
DZ1Sprzęt
i informacja
Opis zgodny z analizą
przeprowadzoną w pkt. 2
opracowania
16
Naczelnik wydziału Z
w departamencie X
Kolejność kolumn w powyższym szablonie, jak i kolumn dodawanych do niego, powinna odzwierciedlać sekwencję, w jakiej informacje są pozyskiwane
PROCES ZARZĄDZANIA RYZYKIEM
PROCES ZARZĄDZANIA RYZYKIEM
DECYZJE I DZIAŁANIA ZMNIEJSZAJĄCE RYZYKO
MECHANIZMY KONTROLI
MONITORING RYZYKA
WIĘCEJ SZCZEGÓŁÓW POD ADRESEM:
www.XXIII.pl