Zarządzanie ryzykiem
w sektorze publicznym
Podręcznik wdroŜenia systemu zarządzania
ryzykiem w administracji publicznej w
Polsce
Zarządzanie ryzykiem
w sektorze publicznym
Podręcznik wdroŜenia systemu zarządzania
ryzykiem w administracji publicznej w
Polsce
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
2
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
S
S
pis treści
P
PRZEDMOWA ....................................................................................................................................... 4
W
WSTĘP ..................................................................................................................................................... 6
C
ZYM JEST RYZYKO
? ............................................................................................................................ 6
C
ZYM JEST PROCES ZARZĄDZANIA RYZYKIEM
? .................................................................................... 7
D
LACZEGO ZARZĄDZANIE RYZYKIEM JEST WAśNE
? ........................................................................... 10
S
STRUKTURA ZARZĄDZANIA RYZYKIEM ................................................................................. 13
J
AK NALEśY ZBUDOWAĆ STRUKTURĘ ZARZĄDZANIA RYZYKIEM
? ...................................................... 13
D
OKUMENTACJA DOT
.
ZARZĄDZANIA RYZYKIEM
............................................................................... 13
P
OLITYKA ZARZĄDZANIA RYZYKIEM
.................................................................................................. 13
P
ROCEDURA ZARZĄDZANIA RYZYKIEM
............................................................................................... 15
ROCZNY RAPORT DOT
.
ZARZĄDZANIA RYZYKIEM
................................................................................ 15
R
OLE I ZADANIA
.................................................................................................................................. 16
P
LANY ŁADU ORGANIZACYJNEGO
....................................................................................................... 16
W
WDROśENIE ZARZĄDZANIA RYZYKIEM.................................................................................. 17
J
AK WDROśYĆ ZARZĄDZANIE RYZYKIEM
? .......................................................................................... 17
R
OLA AUDYTU WEWNĘTRZNEGO
........................................................................................................ 19
R
OLA
BHP.......................................................................................................................................... 19
I
IDENTYFIKACJA RYZYKA ............................................................................................................. 21
J
AK MOśNA ZIDENTYFIKOWAĆ RYZYKO
?............................................................................................ 21
M
ETODY IDENTYFIKACJI RYZYKA
....................................................................................................... 22
„Burza mózgów” ........................................................................................................................... 22
Kwestionariusze ............................................................................................................................. 24
Doświadczenia i prognozy na przyszłość....................................................................................... 24
A
ANALIZA RYZYKA ............................................................................................................................ 27
J
AK MOśNA DOKONAĆ ANALIZY RYZYKA
?.......................................................................................... 27
P
PUNKTOWA OCENA RYZYKA....................................................................................................... 40
J
AK NALEśY WYKONAĆ PUNKTOWĄ OCENĘ RYZYKA
? ........................................................................ 40
H
H
I
I
E
E
R
R
A
A
R
R
C
C
H
H
I
I
Z
Z
A
A
C
C
J
J
A
A RYZYKA ......................................................................................................... 43
J
AK NALEśY DOKONAĆ PRIORYTETYZACJI RYZYKA
(
OKREŚLIĆ JEGO KOLEJNOŚĆ
)?............................ 43
R
EJESTR RYZYKA
................................................................................................................................ 43
Z
ZARZĄDZANIE RYZYKIEM ............................................................................................................ 46
J
AK NALEśY ZARZĄDZAĆ RYZYKIEM
?................................................................................................. 46
P
ODJĘCIE DZIAŁAŃ
............................................................................................................................. 46
M
ONITORING RYZYKA
........................................................................................................................ 47
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
3
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
ZAŁ
Ą
CZNIKI
Zał
ą
cznik nr 1:
Polityka zarz
ą
dzanie ryzykiem
Strona 46
Zał
ą
cznik nr 2:
Zakres zada
ń
i obowi
ą
zków grupy ds.
zarz
ą
dzania ryzykiem
Strona 61
Zał
ą
cznik nr 3:
Szablon zapisu wyników sesji burzy mózgów
w celu identyfikacji ryzyka
Strona 64
Zał
ą
cznik nr 4:
Kwestionariusz identyfikacji ryzyka
Strona 68
Zał
ą
cznik nr 5:
Lista mechanizmów kontrolnych ryzyka
(wewn
ę
trzne mechanizmy kontrolne)
Strona 76
Zał
ą
cznik nr 6:
Szablon punktowej oceny ryzyka
Strona 80
Zał
ą
cznik nr 7:
Szablon rejestru ryzyka
Strona 82
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
4
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
P
P
rzedmowa
Zarz
ą
dzanie ryzykiem to kwestia kluczowa dla wszystkich organizacji,
zarówno w sektorze publicznym, jak i prywatnym. Proces ten jest wynikiem
debaty dotycz
ą
cej governance (ładu organizacyjnego), która toczyła si
ę
szczególnie w ci
ą
gu ostatniego dziesi
ę
ciolecia. Niedawne niepowodzenia firm
i organizacji w sektorze publicznym i prywatnym na całym
ś
wiecie, zwróciły
uwag
ę
organizacji na potrzeb
ę
skutecznej identyfikacji i zarz
ą
dzania
ryzykiem.
Jednak
Ŝ
e,
ś
wiadomo
ść
istnienia potrzeby lepszego zarz
ą
dzania ryzykiem nie
oznacza automatycznie lepszego zarz
ą
dzania ryzykiem. Wiele organizacji
sektora publicznego i prywatnego regularnie wykonuje czynno
ś
ci zwi
ą
zane
z zarz
ą
dzaniem ryzykiem, corocznie na potrzeby organów regulacyjnych lub
nieregularnie, niezale
Ŝ
nie od innych działa
ń
. Niestety,
Ŝ
adna z powy
Ŝ
szych
metod nie umo
Ŝ
liwia realizacji celów i nie jest zgodna z duchem governance
(ładu organizacyjnego), natomiast obie z nich przyczyniły si
ę
do niepowodze
ń
firm i organizacji.
Tym samym, organizacje winny wpisa
ć
ś
wiadomo
ść
ryzyka, zarówno
w odniesieniu do zada
ń
, które mog
ą
zosta
ć
nieprawidłowo wykonane oraz
mo
Ŝ
liwo
ś
ci, które mog
ą
zosta
ć
wykorzystane, w ramy całej swojej
działalno
ś
ci. Organizacje, które potrafi
ą
w ten sposób uwzgl
ę
dni
ć
ś
wiadomo
ść
zarz
ą
dzania ryzykiem, b
ę
d
ą
w stanie wykorzysta
ć
proces zarz
ą
dzania
ryzykiem w celu poprawy uzyskiwanych wyników oraz podniesienia
zadowolenia wszystkich zainteresowanych stron.
Polski Rz
ą
d uznaje warto
ść
dodan
ą
, jak
ą
mo
Ŝ
e przynie
ść
wła
ś
ciwe
zarz
ą
dzanie ryzykiem obywatelom oraz polskiej administracji publicznej.
Niniejszy podr
ę
cznik został opracowany w celu przedstawienia metodologii,
która umo
Ŝ
liwi kierownikom JSFP ka
Ŝ
dego szczebla zrozumienie roli oraz
sposobu, w jaki proces zarz
ą
dzania ryzykiem mo
Ŝ
na wpisa
ć
do zakresu ich
obowi
ą
zków.
Istotn
ą
spraw
ą
jest równie
Ŝ
fakt, by wszyscy pracownicy jednostek
administracji pa
ń
stwowej w pełni rozumieli podstawow
ą
koncepcj
ę
zarz
ą
dzania ryzykiem. Jej celem nie jest przeciwstawianie si
ę
ryzyku, lecz
zarz
ą
dzanie nim zgodnie z polityk
ą
akceptacji ryzyka realizowan
ą
przez
kierownictwo. Dlatego te
Ŝ
, Rz
ą
d podejmie odpowiednie starania, których
celem b
ę
dzie zapoznanie kierowników jednostek administracji publicznej
z wła
ś
ciw
ą
metodologi
ą
zarz
ą
dzania ryzykiem i odpowiednie jej wdro
Ŝ
enie.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
5
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Rz
ą
dy i słu
Ŝ
by publiczne w pa
ń
stwach Unii Europejskiej coraz cz
ęś
ciej musz
ą
udost
ę
pnia
ć
informacje o sposobie i zakresie inwestycji w zarz
ą
dzanie
ryzykiem. Zainteresowane strony oraz jednostki dokonuj
ą
ce takich inwestycji
chc
ą
mie
ć
pewno
ść
, i
Ŝ
ryzyko jest odpowiednio zarz
ą
dzane, a zasoby s
ą
chronione i wła
ś
ciwie wykorzystywane. Pod koniec 2005 r., Komisja
Europejska opublikowała dokument
1
okre
ś
laj
ą
cy strategi
ę
zarz
ą
dzania
ryzykiem w Komisji w odniesieniu do
ś
wiadczonych usług. Polska
administracja publiczna powinna wdro
Ŝ
y
ć
wła
ś
ciwe systemy zarz
ą
dzania, aby
zademonstrowa
ć
spełnienie odpowiednich standardów zarz
ą
dzania. Jest to
warunkiem postrzegania pa
ń
stwa członkowskiego jako miejsca, gdzie warto
inwestowa
ć
oraz silnego partnera w interesach.
Zdecentralizowany system administracji powierza odpowiedzialno
ść
za
zarz
ą
dzanie ryzykiem personelowi kierowniczemu wy
Ŝ
szego szczebla
ka
Ŝ
dego ministerstwa, agencji lub władz samorz
ą
dowych. Kierownictwo
zapewnia:
•
realizacj
ę
celów;
•
ochron
ę
aktywów;
•
wydajne, ekonomiczne i efektywne wykorzystanie zasobów.
Utworzenie skutecznego systemu zarz
ą
dzania ryzykiem odgrywa zasadnicz
ą
rol
ę
w tym procesie. Dlatego te
Ŝ
, ka
Ŝ
dy kierownik JSFP b
ę
dzie zobowi
ą
zany
wdro
Ŝ
y
ć
ś
rodki odpowiednie do osi
ą
gni
ę
cia tego celu.
Niniejszy podr
ę
cznik procesu zarz
ą
dzania ryzykiem został opracowany po to,
by ułatwi
ć
wdro
Ŝ
enie procesu zarz
ą
dzania ryzykiem w administracji publicznej
poprzez udzielenie wskazówek kadrze kierowniczej. Jego skuteczne
wdro
Ŝ
enie przyczyni si
ę
do poprawy governance (ładu organizacyjnego) oraz
wyników uzyskiwanych przez polsk
ą
administracj
ę
.
1
Ku skutecznemu i spójnemu zarządzaniu ryzykiem w słuŜbach Komisji (SEC/2005/1327)
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
6
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Rozdział 1
W
W
st
ę
p
Niniejsza cz
ęść
dokumentu obja
ś
nia znaczenie ryzyka i procesu zarz
ą
dzania
ryzykiem oraz wag
ę
tych zagadnie
ń
.
Czym jest ryzyko?
Glosariusz Mi
ę
dzynarodowych Standardów Profesjonalnej Praktyki Audytu
Wewn
ę
trznego wydanych przez Audytorów Wewn
ę
trznych definiuje ryzyko w
nast
ę
puj
ą
cy sposób:
„Ryzyko- mo
Ŝ
liwo
ść
zaistnienia zdarzenia, które b
ę
dzie miało wpływ na
realizacj
ę
zało
Ŝ
onych celów.
Ryzyko to niepewno
ść
zwi
ą
zana ze zdarzeniem lub działaniem, które wpłynie
na zdolno
ść
organizacji do realizacji celów jej działalno
ś
ci. Mo
Ŝ
e mie
ć
charakter negatywnego zagro
Ŝ
enia lub te
Ŝ
pozytywnej mo
Ŝ
liwo
ś
ci.
Ryzyko jest cz
ęś
ci
ą
naszego
Ŝ
ycia, napotykamy je codziennie w
Ŝ
yciu
prywatnym i zawodowym.
Przykłady ryzyka napotykanego w
Ŝ
yciu prywatnym:
•
Przy przechodzeniu przez ulic
ę
, mo
Ŝ
emy zosta
ć
potr
ą
ceni. Dlatego te
Ŝ
,
przed wej
ś
ciem na ni
ą
, a tak
Ŝ
e w trakcie przechodzenia, nieustannie
sprawdzamy ruch pojazdów na ulicy.
•
Istnieje ryzyko, i
Ŝ
nasze mienie zostanie skradzione. Dlatego te
Ŝ
,
chronimy je zamkami i wykupujemy ubezpieczenie, które pokryje koszt
odtworzenia utraconego mienia w razie jego kradzie
Ŝ
y lub zniszczenia.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
7
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Przykłady te ukazuj
ą
, jak identyfikujemy ryzyko, oceniamy jego oddziaływanie
na nasze
Ŝ
ycie i jakie podejmujemy
ś
rodki w celu usuni
ę
cia lub zmniejszenia
oddziaływania tego ryzyka.
Tak samo organizacje napotykaj
ą
ryzyko, które mo
Ŝ
e im uniemo
Ŝ
liwi
ć
realizacj
ę
celów. Ryzyko takie nale
Ŝ
y zidentyfikowa
ć
i odpowiednio nim
zarz
ą
dza
ć
.
Przykłady ryzyka napotykanego przez organizacje:
•
Organizacja nie mo
Ŝ
e
ś
wiadczy
ć
usług na odpowiednim poziomie, ze
wzgl
ę
du na brak dost
ę
pnych i wykwalifikowanych pracowników;
•
Dostawca ma wpływ na wynik decyzji podj
ę
tej w zwi
ą
zku
z zamówieniem publicznym wr
ę
czaj
ą
c łapówki lub zastraszaj
ą
c
pracowników uczestnicz
ą
cych w procedurze przetargowej.
Czym jest proces zarz
ą
dzania ryzykiem?
„Zarz
ą
dzanie ryzykiem to logiczna i systematyczna metoda tworzenia
kontekstu, identyfikacji, analizy, oceny, działania, nadzoru oraz informowania
o ryzyku w sposób, który umo
Ŝ
liwi organizacji minimalizacj
ę
strat
i maksymalizacj
ę
mo
Ŝ
liwo
ś
ci”.
Norma australijska/nowozelandzka 4360: 1999
Nale
Ŝ
y przeanalizowa
ć
:
•
Co mo
Ŝ
e pój
ść
nie tak?
•
Jakie jest tego prawdopodobie
ń
stwo?
•
Co si
ę
stanie, je
ś
li co
ś
pójdzie nie tak?
•
Co nale
Ŝ
y zrobi
ć
, by usun
ąć
zagro
Ŝ
enie?
•
Co mo
Ŝ
na zrobi
ć
, by zmniejszy
ć
prawdopodobie
ń
stwo ponownego
wyst
ą
pienia zagro
Ŝ
enia?
Powy
Ŝ
szy, uproszczony proces mo
Ŝ
na stosowa
ć
wobec ró
Ŝ
nych decyzji
podejmowanych ka
Ŝ
dego dnia, na ka
Ŝ
dym szczeblu organizacji.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
8
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Tym samym, proces zarz
ą
dzania ryzykiem obejmuje:
•
mo
Ŝ
liwie jak najszybsz
ą
identyfikacj
ę
ryzyka zwi
ą
zanego z działaniem
operacyjnym, ocen
ę
stopnia wpływu ryzyka na wyniki lub cele
organizacji oraz zastosowanie odpowiednich
ś
rodków kontroli ryzyka;
oraz
•
upewnienie si
ę
, i
Ŝ
ś
rodki kontroli stosowane przez organizacj
ę
do
zarz
ą
dzania ryzykiem b
ę
d
ą
skuteczne.
Przykłady działa
ń
, dla których mo
Ŝ
na zastosowa
ć
zarz
ą
dzanie ryzykiem:
•
planowanie usług;
•
planowanie finansowe;
•
rozwój polityki i strategii;
•
zmiana organizacyjna;
•
raporty decyzyjne;
•
sporz
ą
dzenie modelu operacyjnego;
•
wdra
Ŝ
anie projektów; oraz
•
funkcje i procedury działalno
ś
ci, np. system płatno
ś
ci.
We wszystkich organizacjach na całym
ś
wiecie, zarz
ą
dzanie ryzykiem uwa
Ŝ
a
si
ę
za dobr
ą
praktyk
ę
kierownicz
ą
. Proces zarz
ą
dzania ryzykiem składa si
ę
z
nast
ę
puj
ą
cych etapów:
•
Zrozumienie wykonywanej działalno
ś
ci
•
Identyfikacja (Rozdział 4)
•
Analiza (Rozdział 5)
•
Ocena punktowa (scoring) (Rozdział 6)
•
Hierarchizacja ryzyka (Rozdział 7)
•
Zarz
ą
dzanie (Rozdział 8)
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
9
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Poni
Ŝ
szy schemat przedstawia powi
ą
zania pomi
ę
dzy tymi etapami.
[
W oparciu o przegl
ą
d procesu zarz
ą
dzania ryzykiem (AS / NZS 4360:1999)
]
Zrozumienie wykonywanej
działalno
ś
ci
Zarz
ą
dzanie ryzykiem
•
Akceptacja ryzyka
•
Identyfikacja i ocena
planów redukcji
•
Przygotowanie planów
działania
•
Wdro
Ŝ
enie działania
Identyfikacja ryzyka
•
Co mo
Ŝ
e si
ę
sta
ć
?
Analiza ryzyka
•
Sposób wyst
ą
pienia
•
Wpływ
•
Prawdopodobie
ń
stwo
Punktowa ocena i
hierarchizacja ryzyka
N
a
d
z
ó
r
i
w
e
ry
fi
k
a
c
ja
In
fo
rm
o
w
a
n
ie
i
k
o
n
s
u
lt
a
c
ja
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
10
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Zarz
ą
dzanie ryzykiem to wła
ś
ciwe zarz
ą
dzanie zasobami, ochrona organizacji
i jej klientów, dbanie o maj
ą
tek i
ś
rodowisko, oraz utrzymanie reputacji
organizacji.
Zarz
ą
dzania ryzykiem nie mo
Ŝ
na traktowa
ć
jako obci
ąŜ
enia dla organizacji,
lecz jako sposób maksymalizacji dost
ę
pnych mo
Ŝ
liwo
ś
ci i zmniejszenia
prawdopodobie
ń
stwa pora
Ŝ
ki. Identyfikacja i zarz
ą
dzanie ryzykiem winno
dotyczy
ć
ka
Ŝ
dej osoby w organizacji i by
ć
realizowane przez kierownictwo
organizacji.
Zarz
ą
dzanie ryzykiem:
•
NIE sprowadza si
ę
do wypełniania papierków;
•
NIE jest jednorazowym zadaniem;
•
NIE dotyczy tylko pewnych osób;
•
NIE dotyczy tylko kwestii finansowych;
•
NIE sprowadza si
ę
do likwidacji całego ryzyka; ani te
Ŝ
•
NIE ogranicza si
ę
do ryzyka obj
ę
tego mo
Ŝ
liwo
ś
ci
ą
ubezpieczenia.
Dlaczego zarz
ą
dzanie ryzykiem jest wa
Ŝ
ne?
Zarz
ą
dzanie ryzykiem stanowi podstaw
ę
utworzenia wła
ś
ciwego governance
(ładu organizacyjnego), tj. kombinacji procesów oraz struktur wprowadzonych
przez kierownictwo dla uzyskania przepływu informacji, zarz
ą
dzania,
kierowania oraz monitorowania działa
ń
w organizacji nakierowanych na
realizacj
ę
celów tej organizacji. W tym celu, organizacja musi zapewni
ć
odpowiednie zarz
ą
dzanie ryzykiem zwi
ą
zanym ze
ś
wiadczeniem usług na
rzecz społecze
ń
stwa. Dlatego te
Ŝ
, proces zarz
ą
dzania ryzykiem nale
Ŝ
y
wdro
Ŝ
y
ć
w całej organizacji. Korzy
ś
ci płyn
ą
ce z takiego działania, to:
•
wi
ę
kszy nacisk kierownictwa na sprawy faktycznie istotne;
•
krótszy czas reakcji kierownictwa na sprawy kryzysowe;
•
mniej nieprzewidzianych zdarze
ń
maj
ą
cych negatywny wpływ na
organizacj
ę
;
•
wi
ę
kszy nacisk w organizacji na poprawne wykonywanie wła
ś
ciwych
zada
ń
;
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
11
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
•
wi
ę
ksze prawdopodobie
ń
stwo realizacji celów organizacji;
•
wi
ę
ksze prawdopodobie
ń
stwo wdro
Ŝ
enia planowanych zmian;
•
lepsze wykorzystanie zasobów;
•
bardziej
ś
wiadome podejmowanie ryzyka oraz decyzji; oraz
•
wi
ę
ksze zaufanie społecze
ń
stwa do polskiej administracji publicznej.
Nowoczesne organizacje rozumiej
ą
, i
Ŝ
musz
ą
patrze
ć
z wyprzedzeniem
w przyszło
ść
, by
ć
dynamiczne, reagowa
ć
na zmiany i optymalnie
wykorzystywa
ć
dost
ę
pne mo
Ŝ
liwo
ś
ci. Zarz
ą
dzanie ryzykiem stanowi
podstaw
ę
takiego działania.
Coraz powszechniej uznaje si
ę
, i
Ŝ
zarz
ą
dzanie ryzykiem mo
Ŝ
e pomóc
organizacji w poprawie jako
ś
ci
ś
wiadczenia usług i wykorzystaniu dost
ę
pnych
mo
Ŝ
liwo
ś
ci.
Zarz
ą
dzanie
ryzykiem
mo
Ŝ
e
odgrywa
ć
aktywn
ą
rol
ę
w zarz
ą
dzaniu działalno
ś
ci
ą
operacyjn
ą
i usługow
ą
, a tak
Ŝ
e w implementacji
zmian, przed którymi stoj
ą
organizacje. Proces ten stanowi narz
ę
dzie, które
słu
Ŝ
y organizacjom do osi
ą
gni
ę
cia sukcesu.
Oczekuje si
ę
,
Ŝ
e zgodnie ze swoim ustawowym zobowi
ą
zaniem, sektor
publiczny b
ę
dzie zarz
ą
dzał ryzykiem i tym samym chronił
ś
rodki publiczne.
Proces ten winien cechowa
ć
si
ę
otwarto
ś
ci
ą
i rozliczalno
ś
ci
ą
, czyli wła
ś
ciwym
governance (ładem organizacyjnym).
Zarz
ą
dzanie ryzykiem nie sprowadza si
ę
wył
ą
cznie do wdro
Ŝ
enia funkcji
audytu wewn
ę
trznego. Zarz
ą
dzanie ryzykiem to zadanie ka
Ŝ
dego pracownika,
nie tylko nielicznych specjalistów. Proces ten nale
Ŝ
y postrzega
ć
jako
podstawowy
obowi
ą
zek
zarz
ą
dzaj
ą
cych,
którzy
powinni
zach
ę
ca
ć
pracowników
ś
wiadcz
ą
cych usługi do stosowania podej
ś
cia opartego na
ś
wiadomo
ś
ci wyst
ę
powania ryzyka.
W tym celu, polskie jednostki administracji pa
ń
stwowej winny:
•
postrzega
ć
zarz
ą
dzanie ryzykiem jako pozytywny wkład do sukcesu
instytucji, a nie ograniczenie lub dodatkow
ą
warstw
ę
biurokracji;
•
uzna
ć
, i
Ŝ
proces zarz
ą
dzania ryzykiem nale
Ŝ
y wesprze
ć
solidn
ą
baz
ą
informacyjn
ą
, obejmuj
ą
c
ą
:
o
identyfikacj
ę
ryzyka;
o
analiz
ę
ryzyka;
o
punktow
ą
ocen
ę
ryzyka (risk scoring); oraz
o
hierarchizacj
ę
ryzyka;
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
12
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
•
zapewni
ć
, by podejmowane decyzje były przekazywane i wdra
Ŝ
ane
w ka
Ŝ
dej działalno
ś
ci wykonywanej przez instytucj
ę
;
•
zach
ę
ci
ć
pracowników do zastanowienia si
ę
, w jaki sposób ich praca
mo
Ŝ
e przyczyni
ć
si
ę
do osi
ą
gni
ę
cia korzystnej relacji pomi
ę
dzy
ponoszonym ryzykiem, a osi
ą
ganymi korzy
ś
ciami;
•
zapewni
ć
, by personel kierowniczy wy
Ŝ
szego szczebla był osobi
ś
cie
odpowiedzialny za wspieranie procesu zarz
ą
dzania ryzykiem w całej
organizacji; oraz
•
wypracowa
ć
i umocni
ć
postawy i metody oparte na
ś
wiadomo
ś
ci
ryzyka.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
13
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Rozdział 2
S
S
truktura zarz
ą
dzania ryzykiem
Jak nale
Ŝ
y zbudowa
ć
struktur
ę
zarz
ą
dzania ryzykiem?
Struktura taka obejmuje:
•
dokumentacj
ę
dot. zarz
ą
dzania ryzykiem;
•
pełnione role i wykonywane zadania; oraz
•
plany governance (ładu organizacyjnego).
Dokumentacja dot. zarz
ą
dzania ryzykiem
Dokumentacja taka obejmuje:
•
polityk
ę
dot. zarz
ą
dzania ryzykiem;
•
procedur
ę
zarz
ą
dzania ryzykiem; oraz
•
roczny raport dot. zarz
ą
dzania ryzykiem.
Polityka zarz
ą
dzania ryzykiem
Celem tego dokumentu jest okre
ś
lenie:
•
listy głównych celów dot. zarz
ą
dzania ryzykiem oraz sposobu, w jaki
ł
ą
cz
ą
si
ę
one z celami organizacji oraz charakterem usług przez ni
ą
ś
wiadczonych;
•
struktury zarz
ą
dzania ryzykiem, w tym danych o wszystkich zespołach
i osobach ponosz
ą
cych odpowiedzialno
ść
za ryzyko;
•
sposobu praktycznego zarz
ą
dzania ryzykiem; oraz
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
14
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
•
roli i zada
ń
pracowników i kierownictwa, w tym kierownika jednostki
oraz kierowników wy
Ŝ
szego szczebla.
Wdro
Ŝ
enie polityki:
•
okre
ś
li kierunki i zobowi
ą
zania organizacji;
•
zapewni instytucji wła
ś
ciw
ą
ochron
ę
.
Dzi
ę
ki:
•
zapewnieniu pomocy przy definiowaniu zakresu zarz
ą
dzania ryzykiem;
•
prezentacji metody zarz
ą
dzania ryzykiem;
•
zrozumieniu sposobu działania organizacji;
•
informowaniu o zamierzeniach dot. zarz
ą
dzania ryzykiem;
•
promocji dobrych praktyk;
•
u
ś
wiadomieniu korzy
ś
ci z zarz
ą
dzania ryzykiem.
Kluczowym elementem polityki zarz
ą
dzania jest okre
ś
lenie poziomu ryzyka,
które organizacja mo
Ŝ
e ponie
ść
(znane te
Ŝ
jako „apetyt na ryzyko
organizacji”). Jest to poziom nara
Ŝ
enia na ryzyko, akceptowany w razie jego
wyst
ą
pienia.
Poniewa
Ŝ
rol
ą
wy
Ŝ
szego kierownictwa jest wdro
Ŝ
enie skutecznych procesów
zarz
ą
dzania
ryzykiem,
personel
kierowniczy
winien
przeanalizowa
ć
i aktualizowa
ć
tre
ść
polityki dot. zarz
ą
dzania ryzykiem przynajmniej raz
w roku, a tak
Ŝ
e sporz
ą
dzi
ć
raport zawieraj
ą
cy wyniki tej oceny.
Patrz Zał
ą
cznik nr 1 zawieraj
ą
cy przykład polityki zarz
ą
dzania ryzykiem
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
15
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Procedura zarz
ą
dzania ryzykiem
Niniejszy podr
ę
cznik umo
Ŝ
liwia opracowanie i wdro
Ŝ
enie procesu zarz
ą
dzania
ryzykiem. Podr
ę
czniki, które powstan
ą
w jednostkach na podstawie
niniejszego podr
ę
cznika, nale
Ŝ
y aktualizowa
ć
wraz z rozwojem procesów
zarz
ą
dzania ryzykiem w organizacji.
Roczny raport dot. zarz
ą
dzania ryzykiem
Co roku, organizacja winna dokona
ć
weryfikacji metody zarz
ą
dzania
ryzykiem. Weryfikacja taka winna obejmowa
ć
:
•
ocen
ę
post
ę
pów organizacji w dziedzinie zarz
ą
dzania ryzykiem;
•
ocen
ę
skuteczno
ś
ci
ś
rodowiska systemu kontroli wewn
ę
trznej
organizacji (control environment), w tym struktury organizacyjnej,
informowania, komunikacji i raportowania; oraz
•
ocen
ę
nara
Ŝ
enia organizacji na ryzyko w nadchodz
ą
cym roku oraz
ocen
ę
skuteczno
ś
ci bie
Ŝą
cych mechanizmów kontroli wewn
ę
trznej.
Wynikiem corocznego raportu s
ą
zmiany lub usprawnienia kluczowych
elementów podstaw zarz
ą
dzania ryzykiem w organizacji.
Roczny raport opiera si
ę
na:
•
Sukcesach odniesionych w dziedzinie zarz
ą
dzania ryzykiem –
zarówno:
o
działaniach podj
ę
tych w ramach planu działania; oraz
o
wahaniach poziomu ryzyka wykazanych zmianami w punktowej
ocenie ryzyka.
•
Opinii audytu wewn
ę
trznego dot. skuteczno
ś
ci i efektywno
ś
ci
zarz
ą
dzania ryzykiem w organizacji.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
16
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Role i zadania
Tworz
ą
c proces zarz
ą
dzania ryzykiem, organizacje stosuj
ą
ró
Ŝ
ne metody,
zale
Ŝ
ne od wielko
ś
ci i charakteru organizacji.
Cho
ć
zarz
ą
dzanie ryzykiem jest zadaniem wy
Ŝ
szego kierownictwa, proces ten
jest własno
ś
ci
ą
całej organizacji. Zazwyczaj do kierowania i nadzoru nad
zarz
ą
dzaniem ryzykiem wyznacza si
ę
jednego z kierowników wy
Ŝ
szego
szczebla, natomiast zespół lub okre
ś
lona osoba odpowiada za promocj
ę
i koordynacj
ę
działa
ń
podejmowanych w ramach zarz
ą
dzania ryzykiem .
Niektóre organizacje wyznaczaj
ą
mened
Ŝ
era ds. ryzyka, odpowiedzialnego za
wdro
Ŝ
enie systemu zarz
ą
dzania ryzykiem.
W celu wsparcia realizacji roli i obowi
ą
zków z zakresu zarz
ą
dzania ryzykiem
nale
Ŝ
y opracowa
ć
program szkoleniowy.
Zał
ą
cznik nr 2 zawiera przykładowy zakres zada
ń
i obowi
ą
zków dla grupy ds.
zarz
ą
dzania ryzykiem.
Plany governance
(
ładu organizacyjnego)
Nale
Ŝ
y podj
ąć
odpowiednie działania, by raporty dot. zarz
ą
dzania ryzykiem
były przedkładane wyznaczonej, osobie/zespołowi/komitetowi. Przyj
ę
te
rozwi
ą
zanie b
ę
dzie zale
Ŝ
ało od indywidualnej struktury organizacji.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
17
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Rozdział 3
W
W
droŜenie zarządzania ryzykiem
Jak wdro
Ŝ
y
ć
zarz
ą
dzanie ryzykiem?
Zarz
ą
dzanie ryzykiem stanowi zadanie całej organizacji. Jest ono prowadzone
przez personel kierowniczy wy
Ŝ
szego szczebla i stanowi integraln
ą
cz
ęść
codziennej pracy.
Dobra praktyka dotycz
ą
ca wdro
Ŝ
enia zarz
ą
dzania ryzykiem
•
Wsparcie zapewniane przez kierownika najwy
Ŝ
szego szczebla
(kierownik jednostki):
Kierownik ma wpływ na metod
ę
zarz
ą
dzania ryzykiem stosowan
ą
przez organizacj
ę
, zatwierdzaj
ą
c i wdra
Ŝ
aj
ą
c polityki i strategie
zarz
ą
dzania ryzykiem.
•
Regularne aktualizacje:
Wła
ś
ciwi
kierownicy
(kierownicy
komórek
organizacyjnych)
odpowiadaj
ą
za regularn
ą
aktualizacj
ę
rejestrów ryzyka/ systemów
informatycznych dot. zarz
ą
dzania ryzyka oraz profilu ryzyka
organizacji. W niektórych organizacjach oznacza to codzienn
ą
weryfikacj
ę
istotnych kwestii; w innych rzadsz
ą
weryfikacj
ę
i
aktualizacj
ę
krytycznych kwestii. Wyniki aktualizacji nale
Ŝ
y przekaza
ć
kierownikowi wy
Ŝ
szego szczebla.
•
Otwarte forum dyskusyjne:
Konieczny jest stworzenie mechanizmu otwartego forum, na którym
pracownicy mog
ą
spokojnie omawia
ć
te ryzyka, które nie s
ą
skutecznie i wydajnie zarz
ą
dzane. W tym celu niezb
ę
dna jest tzw.
kultura nieobwiniania lub kultura nauczania.
•
Kanał komunikacyjny:
Organizacja winna rozwa
Ŝ
y
ć
wdro
Ŝ
enie oficjalnego mechanizmu lub
systemu uwypuklania przypadków faktycznej lub potencjalnej
nieskutecznej kontroli. System ten nale
Ŝ
y wprowadzi
ć
w całej
organizacji
.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
18
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
•
Ramy przegl
ą
du:
Ryzyko oraz zarz
ą
dzanie ryzykiem nale
Ŝ
y weryfikowa
ć
w hierarchii
operacyjnej, na spotkaniach regionalnych i spotkaniach lokalnych
komitetów/rad pionów. Ponadto, nale
Ŝ
y je weryfikowa
ć
na
spotkaniach specjalistów, np. departamentów prawnych, dyrektorów
odpowiedzialnych za
ochron
ę
zdrowia i bezpiecze
ń
stwo osób
, na
których mo
Ŝ
na porówna
ć
ryzyko w organizacji, a nast
ę
pnie je
zrozumie
ć
i zredukowa
ć
.
•
Kontrola post
ę
pów:
Osoby odpowiedzialne za zarz
ą
dzanie ryzykiem winny nieustannie
kontrolowa
ć
realizacj
ę
tego procesu.
•
Integracja:
Identyfikacj
ę
i analiz
ę
ryzyka nale
Ŝ
y zintegrowa
ć
z głównymi
działaniami operacyjnymi, tj.
planowaniem, tworzeniem bud
Ŝ
etu
i podejmowaniem decyzji.
•
Powi
ą
zanie rozwoju kariery z rolami i zadaniami dot. zarz
ą
dzania
ryzykiem:
Odpowiedzialno
ść
za ryzyko winna by
ć
wpisana do rocznych celów
ka
Ŝ
dego kierownika i stanowi
ć
element oceny jego pracy.
•
Integracja zarz
ą
dzania ryzykiem w ramach zarz
ą
dzania wynikami
organizacji:
W ramach zrównowa
Ŝ
onej metody oceny jako
ś
ci
ś
wiadczonych usług
sporz
ą
dza si
ę
raport z zarz
ą
dzania ryzykiem i raport dot. rezultatów
podejmowanych inicjatyw.
•
Wsparcie procesu zarz
ą
dzania ryzykiem poprzez szkolenie i rozwój
pracowników.
•
Stały element porz
ą
dku obrad:
Zagadnienia dot. ryzyka oraz zarz
ą
dzania ryzykiem nale
Ŝ
y wpisa
ć
do
porz
ą
dku obrad spotka
ń
, na których omawia si
ę
strategi
ę
, zatwierdza
bud
Ŝ
et, ocenia i analizuje wyniki, planuje i ocenia projekty, a tak
Ŝ
e
uwzgl
ę
dni
ć
je jako stałe elementy programów spotka
ń
kierowników
wy
Ŝ
szego szczebla.
•
Wykorzystanie dotychczasowych mechanizmów:
Ka
Ŝ
da organizacja zatrudnia ju
Ŝ
„specjalistów” ds. zarz
ą
dzania
ryzykiem. Organizacje winny wykorzysta
ć
istniej
ą
ce ju
Ŝ
procesy
i procedury, zamiast rozpoczyna
ć
prac
ę
od pocz
ą
tku.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
19
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Rola audytu wewn
ę
trznego
Audyt wewn
ę
trzny pełni kluczow
ą
rol
ę
we wsparciu zarz
ą
dzania ryzykiem.
Rol
ą
audytu wewn
ę
trznego jest przedstawienie kierownictwu niezale
Ŝ
nej
opinii dotycz
ą
cej skuteczno
ś
ci wewn
ę
trznych mechanizmów kontrolnych
zwi
ą
zanych z zarz
ą
dzaniem ryzykiem.
Roczny plan audytu wewn
ę
trznego winien opiera
ć
si
ę
na informacjach
pochodz
ą
cych z rejestru ryzyka i uwzgl
ę
dnia
ć
:
•
obszary wysokiego ryzyka oraz
ś
rodki za pomoc
ą
których potencjalny
negatywny wpływ ryzyka jest utrzymywany na mo
Ŝ
liwym do przyj
ę
cia
poziomie
•
prawidłowo
ść
i skuteczno
ść
systemów zarz
ą
dzania ryzykiem i kontroli
danej działalno
ś
ci
•
mo
Ŝ
liwo
ś
ci istotnych udoskonale
ń
systemu zarz
ą
dzania ryzykiem
i kontroli danej działalno
ś
ci
Kierownicy wy
Ŝ
szego szczebla musz
ą
mie
ć
pewno
ść
, i
Ŝ
system zarz
ą
dzania
ryzykiem wła
ś
ciwie funkcjonuje. Audyt wewn
ę
trzny musi dysponowa
ć
narz
ę
dziami umo
Ŝ
liwiaj
ą
cymi uzyskanie obiektywnej opinii niezale
Ŝ
nej od
kierownictwa.
Mi
ę
dzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewn
ę
trznego
stanowi
ą
, i
Ŝ
audyt wewn
ę
trzny jest działalno
ś
ci
ą
niezale
Ŝ
n
ą
, obiektywnie
zapewniaj
ą
c
ą
i doradcz
ą
, której celem jest przysporzenie warto
ś
ci
i usprawnienie działalno
ś
ci operacyjnej organizacji. Pomaga on organizacji w
osi
ą
ganiu jej celów poprzez systematyczne i zdyscyplinowane podej
ś
cie do
oceny i doskonalenia skuteczno
ś
ci procesów zarz
ą
dzania ryzykiem, kontroli
i governance.
Rola ochrony zdrowia i bezpiecze
ń
stwa osób.
Niektóre jednostki SFP s
ą
nara
Ŝ
one na powa
Ŝ
ne ryzyko dot. ochrony zdrowia
i bezpiecze
ń
stwa osób, bezpo
ś
rednio w odniesieniu do pracowników i innych
osób oraz po
ś
rednio, w formie potencjalnego wpływu na reputacj
ę
organizacji.
Tak jak audytorzy wewn
ę
trzni, równie
Ŝ
kierownicy oraz pracownicy
odpowiedzialni za ochron
ę
zdrowia i bezpiecze
ń
stwo odgrywaj
ą
kluczow
ą
rol
ę
w zapewnieniu wsparcia dla systemu zarz
ą
dzania ryzykiem. Najcz
ęś
ciej, ich
rol
ą
jest:
•
Gromadzenie
ocen
ryzyka
w
zakresie
ochrony
zdrowia
i bezpiecze
ń
stwa osób
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
20
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
•
Składanie sprawozda
ń
dot. ryzyka w ww. zakresie oraz
•
Wdra
Ŝ
anie planów działania dot. ryzyka w ww. obszarze.
Ponadto, rol
ą
kierowników i pracowników odpowiedzialnych za ochron
ę
zdrowia i bezpiecze
ń
stwo osób winna by
ć
promocja zarz
ą
dzania ryzykiem,
zwa
Ŝ
ywszy na ich umiej
ę
tno
ść
wykorzystania koncepcji ryzyka oraz
do
ś
wiadczenie w punktowej ocenie ryzyka.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
21
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Rozdział 4
I
I
dentyfikacja ryzyka
Jak mo
Ŝ
na zidentyfikowa
ć
ryzyko?
Główn
ą
i wył
ą
czn
ą
odpowiedzialno
ść
za proces identyfikacji ryzyka ponosi
kierownik jednostki. Jednak
Ŝ
e,
Ŝ
adna osoba nie dysponuje kompletn
ą
wiedz
ą
umo
Ŝ
liwiaj
ą
c
ą
realizacj
ę
zadania, jakim jest identyfikacja ryzyka dla całej
organizacji.
Identyfikacja ryzyka odbywa si
ę
:
•
odgórnie – kierownik jednostki lub pozostali kierownicy wy
Ŝ
szego
szczebla
2
identyfikuj
ą
ryzyko w organizacji; oraz
•
oddolnie – kierownicy
ś
redniego szczebla
3
i pracownicy identyfikuj
ą
ryzyko zwi
ą
zane z ich działem oraz wykonywanymi zadaniami.
Nie ma pojedynczej, „wła
ś
ciwej” metody identyfikacji ryzyka. Ka
Ŝ
da
organizacja musi opracowa
ć
własn
ą
metod
ę
, bior
ą
c pod uwag
ę
swoje
do
ś
wiadczenie,
wielko
ść
i
charakter
organizacji.
Istnieje
nikłe
prawdopodobie
ń
stwo, i
Ŝ
jedna, konkretna metoda wystarczy do identyfikacji
wszystkich rodzajów ryzyka napotykanego przez organizacj
ę
. Dlatego te
Ŝ
,
zwykle konieczna jest kombinacja metod, które umo
Ŝ
liwi
ą
likwidacj
ę
luk
w procesie identyfikacji ryzyka. Organizacja musi wdro
Ŝ
y
ć
odpowiedni
program identyfikacji ryzyka, który w planowy sposób umo
Ŝ
liwi identyfikacj
ę
i
zrozumienie wszystkich rodzajów ryzyka, na które jest ona nara
Ŝ
ona.
Organizacja musi równie
Ŝ
zapewni
ć
utrzymanie odpowiedniej wiedzy
o ryzyku. Dlatego te
Ŝ
, identyfikacj
ę
ryzyka nale
Ŝ
y wbudowa
ć
do głównych
procesów operacyjnych i kierowniczych organizacji. Dzi
ę
ki temu, organizacja
b
ę
dzie dysponowa
ć
aktualnym obrazem ryzyka, na które jest nara
Ŝ
ona
ś
wiadcz
ą
c usługi i realizuj
ą
c swoje cele.
2
Kierujący departamentami lub komórkami równorzędnymi w ministerstwach i urzędach centralnych
oraz urzędach obsługujących przewodniczących komitetów wchodzących w skład Rady Ministrów,
Kancelarii Prezesa Rady Ministrów, urzędach wojewódzkich, państwowych jednostkach
organizacyjnych.
3
Kierujący wydziałami lub komórkami równorzędnymi w ramach ww. komórek organizacyjnych.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
22
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Po pierwsze, identyfikacja ryzyka wymaga, by instytucja rozumiała charakter
oraz cele
ś
wiadczonych usług. Dzi
ę
ki temu, instytucja poradzi sobie
z identyfikacj
ą
ryzyka, na które jest nara
Ŝ
ona. Nast
ę
pnie, nale
Ŝ
y okre
ś
li
ć
ś
rodki konieczne do
ś
wiadczenia ka
Ŝ
dej usługi, w oparciu o znajomo
ść
funkcjonowania usługi oraz ryzyko wyst
ę
puj
ą
ce na ka
Ŝ
dym etapie
działalno
ś
ci.
Przykładowo:
•
Usługa - Edukacja
•
Cele – bezpiecze
ń
stwo dzieci, dobre wyniki z egzaminów
•
Wymagania – zatrudnienie wykwalifikowanej kadry, utrzymanie
budynków i sprz
ę
tu, zapewnienie
ś
rodków pieni
ęŜ
nych
Realizuj
ą
c powy
Ŝ
sze działania, organizacja mo
Ŝ
e zidentyfikowa
ć
ryzyko za
pomoc
ą
:
•
„Burzy mózgów”;
•
Kwestionariuszy; oraz
•
Posiadanego do
ś
wiadczenia i prognoz na przyszło
ść
.
Elementy te mo
Ŝ
na wykorzysta
ć
osobno lub ł
ą
cznie, gdy
Ŝ
s
ą
to elementy
wzajemnie si
ę
uzupełniaj
ą
ce, które poprawi
ą
jako
ść
procesu identyfikacji
ryzyka. Organizacja powinna udokumentowa
ć
metody wykorzystywane do
systematycznej identyfikacji ryzyka, by zapewni
ć
przejrzysto
ść
stosowanej
metody.
Metody identyfikacji ryzyka
„Burza mózgów”
Metoda ta wymaga oceny wszystkich
ź
ródeł ryzyka pochodz
ą
cych
z czynników wewn
ę
trznych i zewn
ę
trznych. W sesjach tych winny
uczestniczy
ć
osoby z ró
Ŝ
nych szczebli organizacji. Sesje musz
ą
by
ć
odpowiednio zorganizowane w celu zapewnienia systematycznej identyfikacji
ryzyka. Dobrym punktem wyj
ś
cia jest identyfikacja ryzyka zwi
ą
zanego
z realizacj
ą
celów strategicznych i operacyjnych. Nale
Ŝ
y te
Ŝ
rozpatrzy
ć
ryzyko
w kilku kategoriach.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
23
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Ryzyko strategiczne::
Ryzyko operacyjne:
•
Polityczne
•
Ekonomiczne
•
Społeczne
•
Technologiczne
•
Legislacyjne
•
Ś
rodowiskowe
•
Finansowe
•
Prawne
•
Zawodowe
•
Fizyczne
•
Umowne
•
Technologiczne
•
Ś
rodowiskowe
Istotn
ą
spraw
ą
jest uczestnictwo odpowiednich pracowników w procesie
identyfikacji ryzyka, szczególnie osób zdolnych okre
ś
li
ć
codzienne problemy
zwi
ą
zane z realizacj
ą
usług, oraz kierowników posiadaj
ą
cych kompleksow
ą
znajomo
ść
działalno
ś
ci organizacji.
Korzy
ś
ci
ą
płyn
ą
c
ą
z „burzy mózgów” jest jasne i powszechne zrozumienie
ryzyka, przed jakim stoi organizacja lub jej usługi, i tym samym, okre
ś
lenie
zakresu, w jakim mo
Ŝ
na poprawi
ć
zarz
ą
dzanie ryzykiem.
Aby „burza mózgów” była skuteczna:
•
Przygotowuj
ą
c si
ę
do sesji, kierownicy oraz pracownicy powinni mie
ć
mo
Ŝ
liwo
ść
rozwa
Ŝ
enia oddziaływania ryzyka na działalno
ść
organizacji
lub usługi
ś
wiadczone przez jednostk
ę
. Nale
Ŝ
y sporz
ą
dzi
ć
szablon
identyfikacji ryzyka i przekaza
ć
go ka
Ŝ
demu uczestnikowi przed sesj
ą
.
Patrz zał
ą
czniki 3 i 4.
•
Na wykonanie zadania nale
Ŝ
y wyznaczy
ć
czas niezb
ę
dny do
omówienia ryzyka, jego przyczyn i skutków. Tym samym, konieczne
jest zrozumienie przyczyn ryzyka.
•
Nale
Ŝ
y zapewni
ć
ś
rodki zach
ę
caj
ą
ce do rozpocz
ę
cia i kontrolowania
dyskusji, pobudzania do dyskusji, utrzymania sesji w wyznaczonych
ramach godzinowych i zarejestrowania wyników sesji.
•
Ka
Ŝ
dy uczestnik sesji mo
Ŝ
e zadawa
ć
pytania/okre
ś
la
ć
ryzyko bez
obawy o jakiekolwiek reperkusje. Sesje powinny by
ć
otwartym forum,
na
którym
pracownicy
mog
ą
bezpiecznie
dyskutowa
ć
o zidentyfikowanym ryzyku.
•
Wyniki sesji nale
Ŝ
y zapisa
ć
i przekaza
ć
do weryfikacji i rozpatrzenia
uczestnikom sesji, co umo
Ŝ
liwi wyja
ś
nienie lub poszerzenie opisów
ryzyka.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
24
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Zał
ą
cznik nr 3 zawiera przykładowy szablon, który mo
Ŝ
na wykorzysta
ć
do
zapisania wyników sesji.
Kwestionariusze
Metoda ta obejmuje sporz
ą
dzenie uzgodnionej listy pyta
ń
, która umo
Ŝ
liwi
identyfikacj
ę
obszarów ryzyka. Kwestionariusz niekoniecznie identyfikuje
ryzyko, lecz słu
Ŝ
y do sprowokowania dyskusji o ryzyku. Wad
ą
tej metody jest
problem ze sporz
ą
dzeniem kwestionariusza zawieraj
ą
cego parametry, które
mo
Ŝ
na potem wykorzysta
ć
w obr
ę
bie całej organizacji.
Kwestionariusze
nale
Ŝ
y
regularnie
weryfikowa
ć
,
odpowiednio
do
rozpatrywanych obszarów działalno
ś
ci operacyjnej.
Zał
ą
cznik nr 4 zawiera przykładow
ą
list
ę
kontroln
ą
.
Do
ś
wiadczenia i prognozy na przyszło
ść
Je
ś
li przyjrzymy si
ę
zdarzeniom, które miały miejsce w przeszło
ś
ci, lub
sporz
ą
dzimy prognozy na przyszło
ść
, otrzymamy wiele informacji, które
pomagaj
ą
organizacji zidentyfikowa
ć
ryzyko. Ostro
Ŝ
na analiza mo
Ŝ
e stanowi
ć
istotny element procesu identyfikacji ryzyka. Informacje te musz
ą
by
ć
wiarygodne i maksymalnie kompleksowe. W najlepszym wypadku, informacje
historyczne winny opisywa
ć
potencjalne niekorzystne zdarzenia oraz
faktycznie wyst
ę
puj
ą
ce niekorzystne zdarzenia. Je
ś
li dost
ę
pne dane
pokrywaj
ą
okres trzech do pi
ę
ciu lat, istnieje mniejsze prawdopodobie
ń
stwo
krótkoterminowych zaburze
ń
trendu.
Przykłady dost
ę
pnych informacji, które mog
ą
wskazywa
ć
obszary ryzyka:
•
Skargi: czy pewne piony instytucji otrzymuj
ą
ilo
ść
za
Ŝ
ale
ń
wy
Ŝ
sz
ą
ni
Ŝ
akceptowalny poziom? Czy za
Ŝ
alenia te s
ą
skutecznie rozpatrywane?
•
Raporty z audytu i kontroli: czy dokumenty te dotycz
ą
istotnych
pionów/obszarów? Czy s
ą
skutecznie wykorzystywane?
•
Szkody ubezpieczeniowe: czy z obecnych tendencji wynika, i
Ŝ
napotykamy na szczególne problemy? Czy posiadamy odpowiedni
ą
polis
ę
? Czy pojawiły si
ę
nowe rodzaje ryzyka, na które nie jeste
ś
my
przygotowani? Czy nasz zakres ubezpieczenia jest zbyt szeroki? Czy
pozytywnie rozpatrujemy zbyt wiele szkód bez przeprowadzenia
koniecznego dochodzenia? Czy nasze koszty ubezpieczenia wzrosły,
a je
ś
li tak, to dlaczego?
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
25
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
•
Dzienniki wypadków: czy wyst
ę
puj
ą
tendencje sugeruj
ą
ce okre
ś
lone
problemy? Czy skutecznie reagujemy na zgłaszane wypadki?
•
Prognozy bud
Ŝ
etowe i finansowe: czy organizacja ma problemy
z planowaniem zrównowa
Ŝ
onego bud
Ŝ
etu? Czy niedostateczny bud
Ŝ
et
ma wpływ na
ś
wiadczone usługi? Czy bud
Ŝ
ety s
ą
solidne? Czy
wyst
ę
puj
ą
obszary, w których regularnie wydaje si
ę
za du
Ŝ
o lub za
mało?
•
Opó
ź
nienia projektowe/programowe: czy uczestniczymy w wielu
pracach projektowych? Czy napotykamy na problemy z zarz
ą
dzaniem
projektami – czasowe, bud
Ŝ
etowe, z zasobami, wykonawcami
i partnerami? Jakie działania podejmuje organizacja w odpowiedzi na
te problemy? Czy działania te s
ą
skuteczne?
•
Ryzyko
zgłaszane
przez
podobne
organizacje,
do
celów
porównawczych. Czy jeste
ś
my nara
Ŝ
eni na podobne rodzaje ryzyk?
•
Ankiety zadowolenia: czego organizacja si
ę
z nich dowiaduje? Jakie
podj
ę
li
ś
my działania? Czy s
ą
one skuteczne?
•
Zmiany populacji. Czy organizacja mo
Ŝ
e sprosta
ć
wyst
ę
puj
ą
cym
zmianom – czy organizacja b
ę
dzie
ś
wiadczy
ć
wła
ś
ciwe usługi lub
utrzyma odpowiedni poziom usług?
•
Doniesienia medialne: czy organizacja ma zł
ą
pras
ę
? Dlaczego, i jakie
działania organizacja podj
ę
ła w tym celu? Czy organizacja mo
Ŝ
e
utrzyma
ć
dobry wizerunek?
Przykład identyfikacji ryzyka
Korzystaj
ą
c z poprzedniego przykładu „edukacyjnego”, wyniki
ć
wiczenia
w identyfikacji ryzyka mog
ą
obj
ąć
:
Przykładowo:
•
Usługa - Edukacja
•
Cele – bezpiecze
ń
stwo dzieci, dobre wyniki z egzaminów
•
Wymagania – zatrudnienie wykwalifikowanej kadry, utrzymanie
budynków i sprz
ę
tu, zapewnienie
ś
rodków pieni
ęŜ
nych
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
26
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Zidentyfikowane ryzyko:
•
brak mo
Ŝ
liwo
ś
ci utrzymania lub poprawy jako
ś
ci nauczania;
•
brak mo
Ŝ
liwo
ś
ci optymalizacji wkładu wnoszonego przez wszystkich
pracowników szkoły;
•
zmiany polityki rz
ą
du maj
ą
ce wpływ na program nauczania;
•
ś
rodki finansowe niewystarczaj
ą
ce do tworzenia maj
ą
tku;
•
nieodpowiedni plan utrzymania maj
ą
tku;
•
powa
Ŝ
ne naruszenia legislacyjne;
•
niewykrycie oszustw; oraz
•
brak mo
Ŝ
liwo
ś
ci utrzymania rentowno
ś
ci finansowej organizacji.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
27
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Rozdział 5
A
A
naliza ryzyka
Jak mo
Ŝ
na dokona
ć
analizy ryzyka?
Po zidentyfikowaniu ryzyka, nale
Ŝ
y je podda
ć
analizie.
Konieczno
ść
analizy ryzyka wynika z potrzeby lepszego zrozumienia
charakteru zidentyfikowanego ryzyka, na które nara
Ŝ
ona jest organizacja.
Analiza ryzyka obejmuje:
•
okre
ś
lenie przyczyny i skutku zidentyfikowanego ryzyka;
•
sprawdzenie ryzyka krzy
Ŝ
owego (duplikacja i eskalacja ryzyka);
•
odseparowanie niewielkiego ryzyka od istotnego ryzyka;
•
ocen
ę
rodzaju i kategorii ryzyka; oraz
•
powi
ą
zanie ryzyka z celami organizacji.
Przyczyny i skutki ryzyka
Aby identyfikacja ryzyka przyniosła odpowiednie rezultaty oraz umo
Ŝ
liwiła
okre
ś
lenie
przyszłej
metody
zarz
ą
dzania
ryzykiem,
dla
ka
Ŝ
dego
zidentyfikowanego ryzyka nale
Ŝ
y okre
ś
li
ć
:
•
Przyczyny ryzyka (np. tj. strajki, braki istotnych zapasów, zjawiska
naturalne); oraz
•
Oddziaływanie ryzyka na organizacj
ę
w razie jego wyst
ą
pienia.
Pytania, które umo
Ŝ
liwi
ą
okre
ś
lenie oddziaływania:
o
czy organizacja b
ę
dzie działa
ć
niezgodnie z prawem?
o
czy organizacja naruszy swój obowi
ą
zek ochrony ludzi – czy
zgin
ą
ludzie? Czy ludzie odnios
ą
obra
Ŝ
enia lub zachoruj
ą
?
o
czy ryzyko doprowadzi do strat finansowych?
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
28
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
o
czy ryzyko doprowadzi do utraty wizerunku lub reputacji
organizacji?
o
czy u
Ŝ
ytkownicy usług zauwa
Ŝą
jak
ą
kolwiek ró
Ŝ
nic
ę
?
Przykładowo:
Ryzyko:
Ryzyko wyst
ą
pienia obra
Ŝ
e
ń
u pracownika.
Przyczyna:
•
Brak szkolenia z zakresu ochrony zdrowia i bezpiecze
ń
stwa;
•
Niebezpieczny sprz
ę
t.
Skutek:
•
Roszczenie zwi
ą
zane z zaniedbaniem;
•
Zakłócenia w
ś
wiadczeniu usługi (w wyniku nieobecno
ś
ci pracownika);
•
Utrata reputacji.
Ryzyko krzy
Ŝ
owe
Niektóre zidentyfikowane rodzaje ryzyka mog
ą
powtórzy
ć
si
ę
przy
wykonywaniu wielu ró
Ŝ
nych czynno
ś
ci lub wpływa
ć
na organizacj
ę
w wielu
aspektach jej działania; by je zlikwidowa
ć
nale
Ŝ
y podj
ąć
kompleksowe
działania.
Przykładowo:
Kilka pionów instytucji niezale
Ŝ
nie uznało, i
Ŝ
nie dysponuj
ą
planem ci
ą
gło
ś
ci
lub przywrócenia działalno
ś
ci w razie powa
Ŝ
nego zdarzenia, w wyniku czego
nie b
ę
d
ą
ś
wiadczone
Ŝ
adne usługi.
Sytuacja taka wynika z braku kompleksowego podej
ś
cia do planowania
ci
ą
gło
ś
ci działalno
ś
ci, planowania na wypadek nieprzewidzianych okoliczno
ś
ci
lub planowania działa
ń
nast
ę
pczych.
Skutki dla organizacji mog
ą
obejmowa
ć
:
•
utrat
ę
zaufania ze strony u
Ŝ
ytkowników usługi oraz inwestorów;
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
29
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
•
nadszarpni
ę
cie reputacji;
•
pogorszenie wyników;
•
wysoce niekorzystn
ą
eskalacj
ę
kosztów.
Cho
ć
kierownicy wy
Ŝ
szego szczebla mog
ą
wdro
Ŝ
y
ć
własne plany awaryjne
oraz plany ci
ą
gło
ś
ci działalno
ś
ci, b
ę
d
ą
to działania fragmentaryczne, które nie
b
ę
d
ą
ani skuteczne ani wydajne, szczególnie w razie stosowania niespójnych
standardów w ró
Ŝ
nych, niepoł
ą
czonych działach organizacji.
Dlatego konieczne jest, by kierownik jednostki wdro
Ŝ
ył jednolit
ą
dla
organizacji metod
ę
redukcji takiego ryzyka.
Oddzielenie niewielkiego i istotnego ryzyka
Ryzyko dzieli si
ę
bior
ą
c pod uwag
ę
:
•
jego oddziaływanie na organizacj
ę
w razie wyst
ą
pienia;
•
prawdopodobie
ń
stwo wyst
ą
pienia ryzyka; oraz
•
istniej
ą
ce mechanizmy kontrolne ryzyka.
Procedura ta umo
Ŝ
liwia ocen
ę
poziomu ryzyka, oraz czy mog
ą
zosta
ć
podj
ę
te
działania w celu kontrolowania ryzyka. Punktowa ocena ryzyka jest
sporz
ą
dzana poprzez poł
ą
czenie oddziaływania i prawdopodobie
ń
stwa
wyst
ą
pienia ryzyka.
Uwaga:
W nast
ę
pnym punkcie podr
ę
cznika opisano najlepsz
ą
praktyk
ę
punktowej
oceny ryzyka.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
30
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
Oddziaływanie
S
ą
to mo
Ŝ
liwe wyniki, skutki lub konsekwencje dla organizacji, takie jak straty,
obra
Ŝ
enia, niekorzystne zdarzenia, koszty lub opó
ź
nienia.
Prawdopodobie
ń
stwo
Jest to szacowane prawdopodobie
ń
stwo lub mo
Ŝ
liwo
ść
wyst
ą
pienia
zdarzenia.
Mechanizmy kontrolne ryzyka
Wyst
ę
powanie i funkcjonowanie polityki, standardów, procedur i fizycznych
ś
rodków powstrzymuj
ą
cych, których celem jest minimalizacja negatywnych
skutków ryzyka dla organizacji.
Zał
ą
cznik nr 5 zawiera list
ę
przykładowych mechanizmów kontrolnych ryzyka.
Polski podr
ę
cznik procesu zarz
ą
dzania ryzykiem
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów publicznych”
31
Relacja pomi
ę
dzy oddziaływaniem, prawdopodobie
ń
stwem i mechanizmami kontrolnymi ryzyka
Oddziaływanie
x’
x
Prawdopod
obie
ń
stwo
Zastosowanie mechanizmów kontrolnych ryzyka
Funkcjonowanie i skuteczne zastosowanie mechanizmów kontrolnych zmniejsza prawdopodobie
ń
stwo wyst
ą
pienia ryzyka, tj.
przesuni
ę
cie ryzyka z prawej do lewej na osi prawdopodobie
ń
stwa w powy
Ŝ
szym schemacie.
Najmniejsze prawdopodobie
ń
stwo
wyst
ą
pienia ryzyka i najmniejsze
oddziaływanie na organizacj
ę
.
Najwy
Ŝ
sze
prawdopodobie
ń
stwo
wyst
ą
pienia ryzyka i
najwi
ę
ksze
oddziaływanie na
organizacj
ę
Powy
Ŝ
sza o
ś
przedstawia
prawdopodobie
ń
stwo, z jakim mo
Ŝ
e wyst
ą
pi
ć
ryzyko. Im prawdopodobie
ń
stwo jest wy
Ŝ
sze
ryzyko umieszczane jest bardziej na prawo,
Ta o
ś
przedstawia
oddziaływanie
wyst
ą
pienia ryzyka
dla organizacji. Im to
oddziaływanie jest
wi
ę
ksze, ryzyko
umieszczane jest
wy
Ŝ
ej.
Funkcjonowanie i skuteczne zastosowanie
mechanizmów kontrolnych zmniejszyło
prawdopodobie
ń
stwo wyst
ą
pienia ryzyka
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
32
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Analiza ryzyka – przykład
Korzystaj
ą
c z dwóch przykładów podanych powy
Ŝ
ej mo
Ŝ
na przedstawi
ć
relacj
ę
pomi
ę
dzy oddziaływaniem a prawdopodobie
ń
stwem, a tak
Ŝ
e
skuteczne zastosowanie mechanizmów kontrolnych.
Ryzyko
Analiza:
Przyczyna i skutek
ryzyka
Analiza:
Funkcjonuj
ą
ce
mechanizmy kontrolne
ryzyka
Analiza: Relacja
pomi
ę
dzy
oddziaływaniem,
prawdopodobie
ń
stwem
oraz mechanizmami
kontrolnymi
Ryzyko
odniesienia
obra
Ŝ
e
ń
przez
pracownika.
Przyczyna:
•
Brak szkolenia z
zakresu ochrony
zdrowia i
bezpiecze
ń
stwa
osób;
•
Niebezpieczny
sprz
ę
t.
Skutek:
•
Roszczenie
zwi
ą
zane
z zaniedbaniem;
•
Zakłócenia
w
ś
wiadczeniu usługi
(w wyniku
nieobecno
ś
ci
pracownika);
•
Uszczerbek na
reputacji.
•
Kompleksowy
program
szkoleniowy;
•
Ocena ka
Ŝ
dej
kluczowej czynno
ś
ci
pod k
ą
tem ochrony
zdrowia i
bezpiecze
ń
stwa
osób;
•
Zapewnienie
w bud
Ŝ
ecie
wi
ę
kszych
ś
rodków
na ochron
ę
zdrowia i
bezpiecze
ń
stwo
osób ;
•
Program kontroli
i serwisowania
sprz
ę
tu;
•
Bud
Ŝ
et na serwis;
•
Program wymiany
sprz
ę
tu;
•
Proces raportowania
zdarze
ń
z zakresu
ochrony zdrowia i
bezpiecze
ń
stwa
osób oraz
•
Obecno
ść
osoby
odpowiedzialnej za
ochron
ę
zdrowia i
bezpiecze
ń
stwo
osób w ka
Ŝ
dym
dziale.
Wst
ę
pna analiza ryzyka
sugeruje umieszczenie
ryzyka w górnym,
prawym rogu wykresu,
ze wzgl
ę
du na wysokie
prawdopodobie
ń
stwo
wypadku bior
ą
c pod
uwag
ę
liczb
ę
pracowników
uczestnicz
ą
cych
w wykonywanej
działalno
ś
ci lub
charakter działalno
ś
ci,
który mo
Ŝ
e prowadzi
ć
do
wypadku.
Jednak
Ŝ
e,
funkcjonowanie
mechanizmów kontroli
ryzyka zmniejsza
prawdopodobie
ń
stwo
wyst
ą
pienia obra
Ŝ
e
ń
lub
ś
mierci w wyniku
wypadku. Dlatego te
Ŝ
,
ryzyko przesuwa si
ę
z prawej do lewej na osi
prawdopodobie
ń
stwa.
Brak kontynuacji
lub ponownego
rozpocz
ę
cia
działalno
ś
ci, tym
samym brak
ś
wiadczenia
usług.
Przyczyna:
Brak kompleksowego
planowania ci
ą
gło
ś
ci
działalno
ś
ci, planowania
na wypadek
nieprzewidzianych
okoliczno
ś
ci lub
planowania działa
ń
Brak funkcjonuj
ą
cych
mechanizmów
kontrolnych ryzyka.
Prawdopodobie
ń
stwo
wyst
ą
pienia powa
Ŝ
nego
zdarzenia mo
Ŝ
e by
ć
bardzo niskie. Jednak
Ŝ
e,
w razie jego wyst
ą
pienia,
organizacja nie
zlikwiduje jego skutków.
Tym samym, ryzyko
mo
Ŝ
e znajdowa
ć
si
ę
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
33
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Ryzyko
Analiza:
Przyczyna i skutek
ryzyka
Analiza:
Funkcjonuj
ą
ce
mechanizmy kontrolne
ryzyka
Analiza: Relacja
pomi
ę
dzy
oddziaływaniem,
prawdopodobie
ń
stwem
oraz mechanizmami
kontrolnymi
nast
ę
pczych .
Skutek:
•
utrata zaufania ze
strony usługobiorców
oraz inwestorów;
•
nadszarpni
ę
cie
reputacji;
•
pogorszenie
wyników;
•
wysoce niekorzystna
eskalacja kosztów.
w górnej, lewej cz
ęś
ci
powy
Ŝ
szego wykresu (tj.
du
Ŝ
e oddziaływanie
i niskie
prawdopodobie
ń
stwo).
Mo
Ŝ
liwe zwi
ę
kszone
prawdopodobie
ń
stwo
wyst
ą
pienia ryzyka, je
ś
li
charakter zdarzenia
ulegnie zmianie, tj.
masowe zachorowanie
(np. pandemia grypy)
mo
Ŝ
e mie
ć
wpływ na
wszystkich lub cz
ęść
pracowników organizacji
lub dostawców. Dlatego
te
Ŝ
, oddziaływanie
ryzyka na organizacj
ę
mo
Ŝ
e pozosta
ć
na takim
samym poziomie przy
zwi
ę
kszeniu
prawdopodobie
ń
stwa,
a ryzyko przejdzie
z lewej na praw
ą
stron
ę
zakresu czasowego.
W ka
Ŝ
dym wypadku,
nale
Ŝ
y utworzy
ć
odpowiednie plany
ci
ą
gło
ś
ci działalno
ś
ci,
itd.
Rodzaj i kategoria ryzyka
Zidentyfikowane ryzyko ma charakter strategiczny lub operacyjny.
Zrozumienie rodzaju ryzyka ułatwi jego zarz
ą
dzanie. Dlatego te
Ŝ
, warto
dokona
ć
odpowiedniego podziału ryzyka.
Ryzyko strategiczne
Dokonuj
ą
c oceny długoterminowych celów i priorytetów organizacji nale
Ŝ
y
wzi
ąć
pod uwag
ę
ryzyko strategiczne. Zarz
ą
dzanie ryzykiem strategicznym
stanowi zadanie kierownika jednostki we współpracy z innymi osobami na
kluczowych stanowiskach.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
34
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Ryzyko strategiczne ma cz
ę
sto wpływ na fundamenty działania lub
funkcjonowania organizacji.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
35
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Przykładowo:
Instytucja edukacyjna zajmuje si
ę
nauczaniem młodzie
Ŝ
y w wieku do lat 16.
Zmiana polityki edukacyjnej przez rz
ą
d wymaga nauczania młodzie
Ŝ
y w wieku
do lat 18. Wymaga to znacz
ą
cej zmiany podej
ś
cia organizacyjnego do
ś
wiadczenia usług, w tym governance (ładu organizacyjnego), finansowania,
nauczania, zapewnienia sprz
ę
tu oraz rodzaju edukacji.
Tym samym, instytucja napotyka na ryzyko zwi
ą
zane z procesem
transformacji, którym musi zarz
ą
dza
ć
kierownik jednostki/kierownictwo
najwy
Ŝ
szego szczebla
4
.
Kategorie ryzyka strategicznego
•
Polityczne – zwi
ą
zane z brakiem mo
Ŝ
liwo
ś
ci
ś
wiadczenia usług
zgodnie z wymaganiami władz centralnych lub samorz
ą
dowych.
•
Ekonomiczne – maj
ą
ce wpływ na zdolno
ść
organizacji do realizacji
zobowi
ą
za
ń
finansowych. Ryzyko to obejmuje czynniki takie jak
wewn
ę
trzne
naciski
bud
Ŝ
etowe,
brak
wykupionej
polisy
ubezpieczeniowej oraz zmiany ogólnej sytuacji gospodarczej.
•
Społeczne – dotycz
ą
ce skutków zmian tendencji demograficznych,
społeczno-gospodarczych
oraz
odnosz
ą
cych
si
ę
do
miejsca
zamieszkania.
•
Technologiczne – zwi
ą
zane ze zdolno
ś
ci
ą
organizacji do nad
ąŜ
enia za
tempem/skal
ą
zmian technologicznych lub mo
Ŝ
liwo
ś
ci
ą
wykorzystania
odpowiednich technologii, by sprosta
ć
zmianom popytu. Ryzyko to
mo
Ŝ
e
obejmowa
ć
oddziaływanie
wewn
ę
trznych
niepowodze
ń
technologicznych na zdolno
ść
organizacji do realizacji jej celów.
•
Legislacyjne – zwi
ą
zane z bie
Ŝą
cymi lub mo
Ŝ
liwymi zmianami
w ustawodawstwie krajowym lub europejskim.
•
Ś
rodowiskowe
–
dotycz
ą
ce
konsekwencji
ś
rodowiskowych
wynikaj
ą
cych
z
realizacji
celów
organizacji,
np.
wydajno
ś
ci
energetycznej, hałasu, zanieczyszczenia lub ska
Ŝ
enia.
4
W zaleŜności od struktury organizacji. Kierownictwo najwyŜszego szczebla to ciało kolegialne, o
którego składzie decydują przepisy prawa lub kierownik jednostki.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
36
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Ryzyko operacyjne
Ryzyko napotykane przez kierowników i pracowników w trakcie codziennej
pracy.
Przykładowo:
Niezrozumienie polityki bezpiecze
ń
stwa informatycznego przez pracowników
niesie ze sob
ą
ryzyko nara
Ŝ
enia na wirusy w wyniku pomini
ę
cia skanowania
systemu pod k
ą
tem wirusów, zgodnie z wymaganiami polityki.
W razie jego wyst
ą
pienia, ryzyko niekoniecznie zmienia charakter działalno
ś
ci
organizacji, cho
ć
mo
Ŝ
e by
ć
przyczyn
ą
zakłóce
ń
w
ś
wiadczeniu usług oraz
utraty zasobów do chwili usuni
ę
cia wirusa z systemu.
Ryzykiem mo
Ŝ
na operacyjnie zarz
ą
dza
ć
, zapewniaj
ą
c, by pracownicy znali,
rozumieli i przestrzegali polityk
ę
bezpiecze
ń
stwa informatycznego.
Kategorie ryzyka operacyjnego
•
Finansowe
– zwi
ą
zane z planowaniem finansowym i kontrol
ą
.
•
Prawne
– dotycz
ą
ce ewentualnego naruszenia przepisów prawa.
•
Zawodowe
– zwi
ą
zane z charakterem konkretnego zawodu, np. usługi
społeczne zwi
ą
zane z pomoc
ą
społeczn
ą
dla młodych osób
•
Fizyczne
– dotycz
ą
ce po
Ŝ
aru, bezpiecze
ń
stwa, zapobiegania
wypadkom oraz kwestii
ochrony zdrowia i bezpiecze
ń
stwa osób
, np.
zagro
Ŝ
enia dla budynków, pojazdów, zakładów lub sprz
ę
tu, itd.
•
Umowne
– zwi
ą
zane z brakiem realizacji usług lub dostarczenia
produktów przez dostawców wg uzgodnionej ceny i specyfikacji.
•
Technologiczne
– dotycz
ą
ce uzale
Ŝ
nienia instytucji od sprz
ę
tu
wykorzystywanego w jej działalno
ś
ci, np. systemów informatycznych
lub sprz
ę
tu i maszyn.
•
Ś
rodowiskowe
– dotycz
ą
ce hałasu lub energooszcz
ę
dno
ś
ci bie
Ŝą
cej
działalno
ś
ci usługowej.
Kolejnym rodzajem ryzyka jest ryzyko „projektu”. Jest to ryzyko zwi
ą
zane
z procesem zmiany lub programem rozwojowym, obejmuj
ą
cym czynno
ś
ci
wykonywane jednorazowo lub wyj
ą
tkowo. Ryzyko to mo
Ŝ
e mie
ć
charakter
strategiczny, operacyjny lub zarówno strategiczny, jak i operacyjny.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
37
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Przykładowo:
Uniwersytet rozbudowuje wydział nauk
ś
cisłych. Uniwersytet dysponuje
odpowiednimi
ś
rodkami finansowymi, lecz nie przygotował si
ę
na
nieprzewidziane okoliczno
ś
ci.
W trakcie realizacji umowy, wykonawca traci kilku pracowników z powodu
choroby, kolejnych kilku pracowników odchodzi z firmy. W rezultacie, prace
prowadzone w uniwersytecie opó
ź
niaj
ą
si
ę
.
Uniwersytet mo
Ŝ
e rozwi
ą
za
ć
ten problem zatrudniaj
ą
c drugiego wykonawc
ę
,
co jest kosztownym rozwi
ą
zaniem.
Budowa zostaje w dalszym stopniu opó
ź
niona ze wzgl
ę
du na nieoczekiwane
pogorszenie pogody.
W rezultacie, nowe skrzydło budynku nie jest gotowe na nowy rok akademicki.
Opó
ź
nienie przynosi nast
ę
puj
ą
ce skutki dla uniwersytetu:
Uniwersytet nie mo
Ŝ
e przyj
ąć
wi
ę
kszej liczby studentów;
Prasa donosi o opó
ź
nieniu realizacji prac nad nowym skrzydłem uniwersytetu;
Zawiesza si
ę
wypłat
ę
stypendiów do czasu uruchomienia wykładów; mo
Ŝ
liwe
jest dalsze opó
ź
nienie w wypłatach, je
ś
li kursy naukowe nie zostan
ą
uko
ń
czone;
Niektórzy studenci rezygnuj
ą
z kursu i wybieraj
ą
kursy w innych placówkach;
oraz
Studenci ostatniego roku gro
Ŝą
podj
ę
ciem działa
ń
prawnych, je
ś
li nie
otrzymaj
ą
odpowiedniego wykształcenia.
Z powy
Ŝ
szego wida
ć
, i
Ŝ
ryzyko projektu mo
Ŝ
e mie
ć
charakter zarówno
operacyjny, jak i w niektórych przypadkach, strategiczny. Brak kursu mo
Ŝ
e
mie
ć
ogromne reperkusje dla uniwersytetu, szczególnie w wyniku utraty
zaufania ze strony studentów, społeczno
ś
ci lokalnej oraz organizacji
finansuj
ą
cej, która uznaje, i
Ŝ
uniwersytet nie jest w stanie odpowiednio
realizowa
ć
swoich zada
ń
Powi
ą
zanie z celami i priorytetami organizacyjnymi
Cho
ć
identyfikacja ryzyka winna by
ć
uwarunkowana celami i priorytetami
organizacji, etap analizy ryzyka procesu mo
Ŝ
na wykorzysta
ć
do potwierdzenia
relacji i zapewnienia poprawno
ś
ci powi
ą
za
ń
.
Dzi
ę
ki temu, organizacja mo
Ŝ
e zidentyfikowa
ć
cele lub priorytety:
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
38
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
•
z którymi wi
ąŜ
e si
ę
wi
ę
ksze ryzyko wymagaj
ą
ce bardziej
rygorystycznego zarz
ą
dzania w przyszło
ś
ci; oraz
•
z którymi nie wi
ąŜ
e si
ę
Ŝ
adne lub prawie
Ŝ
adne ryzyko. Z kolei mo
Ŝ
na
tu zada
ć
pytanie o jako
ść
procesu identyfikacji ryzyka – czy mo
Ŝ
liwe
jest wyst
ą
pienie innego ryzyka?
Istnieje te
Ŝ
mo
Ŝ
liwo
ść
wyst
ą
pienia ryzyka, które nie b
ę
dzie powi
ą
zane
z celami lub priorytetami organizacji, w którym to wypadku, organizacja mo
Ŝ
e
zada
ć
pytanie o przyczyny wyst
ę
powania takiego ryzyka – czy jest to
czynno
ść
, któr
ą
organizacja winna podj
ąć
.
Dobra praktyka podczas sesji analizy ryzyka.
•
Wyznacz osob
ę
, który b
ę
dzie przewodniczy
ć
sesji i zapewni otwarto
ść
sesji dla ka
Ŝ
dej zainteresowanej osoby.
•
Upewnij si
ę
,
Ŝ
e ka
Ŝ
dy rozumie potrzeb
ę
otwarto
ś
ci i szczero
ś
ci przy
omawianiu przyczyn i skutków ryzyka.
•
Wr
ę
cz ka
Ŝ
demu uczestnikowi kopi
ę
definicji wykorzystanych do
wykonania
punktowej
oceny
i
okre
ś
lenia
oddziaływania
i prawdopodobie
ń
stwa wyst
ą
pienia ryzyka.
•
Wypisz
ryzyka
oraz
przedstaw
proponowan
ą
punktacj
ę
dla
oddziaływania i prawdopodobie
ń
stwa wyst
ą
pienia ryzyka na tablicy flip-
chart, tak by list
ę
t
ę
mo
Ŝ
na było pó
ź
niej rozbudowa
ć
. Mo
Ŝ
na te
Ŝ
rozwa
Ŝ
y
ć
wykorzystanie oprogramowania do głosowania, które
umo
Ŝ
liwia uzyskanie wyników analizy ryzyka od ka
Ŝ
dego uczestnika
i automatyczne podsumowanie wyników.
•
Szukaj
porozumienia
–
spory
dotycz
ą
ce
oddziaływania
i prawdopodobie
ń
stwa wyst
ą
pienia ryzyka mo
Ŝ
na rozwi
ą
za
ć
w terminie
pó
ź
niejszym.
•
Przed dokonaniem oceny punktowej pod k
ą
tem oddziaływania
i prawdopodobie
ń
stwa wyst
ą
pienia ryzyka omów ryzyko za pomoc
ą
analizy – inaczej dojdzie do zb
ę
dnych nieporozumie
ń
, o ile ka
Ŝ
dy
uczestnik nie b
ę
dzie oceniał tej samej opcji.
Organizacja winna prowadzi
ć
główn
ą
list
ę
stosowanych metod analizy ryzyka.
Osoby odpowiedzialne lub uczestnicz
ą
ce w ocenie ryzyka winny przej
ść
odpowiednie przeszkolenie, by ocena ta była realizowana w taki sam sposób
w całej organizacji.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
39
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Uwaga:
Identyfikacja i analiza ryzyka to proces ci
ą
gły, a nie jednorazowe
ć
wiczenie.
Za pierwszym razem, kompleksowa analiza z pewno
ś
ci
ą
umo
Ŝ
liwi wykrycie
kilku rodzajów ryzyka, lecz w ci
ą
gu kilku tygodni lub miesi
ę
cy pojawi
ą
si
ę
nowe rodzaje ryzyka, a istniej
ą
ce ryzyka ulegn
ą
zmianie.
Ponadto, w niektórych wypadkach, identyfikacj
ę
, analiz
ę
i ocen
ę
punktow
ą
ryzyka mo
Ŝ
na wykona
ć
jednocze
ś
nie.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
40
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Rozdział 6
P
P
unktowa ocena ryzyka
Jak nale
Ŝ
y wykona
ć
punktow
ą
ocen
ę
ryzyka?
Ryzyko nale
Ŝ
y oceni
ć
na dwa sposoby:
1. tak, jakby nie wyst
ę
powały
Ŝ
adne mechanizmy kontrolne (ryzyko
nieodł
ą
czne); oraz
2. bior
ą
c pod uwag
ę
istniej
ą
ce mechanizmy kontrolne (ryzyko
rezydualne).
Ocen
ę
tak
ą
przeprowadza si
ę
w celu:
•
zademonstrowania skuteczno
ś
ci wewn
ę
trznych mechanizmów
kontrolnych przy zmniejszaniu ryzyka; oraz
•
uwypuklenia powa
Ŝ
nego ryzyka, które mo
Ŝ
e by
ć
ukryte, mimo
funkcjonuj
ą
cych mechanizmów kontrolnych.
Organizacja musi uzgodni
ć
i wdro
Ŝ
y
ć
system punktowej oceny ryzyka
obejmuj
ą
cy
definicje
dla
ró
Ŝ
nych
poziomów
prawdopodobie
ń
stwa
i oddziaływania ryzyka. Po dokonaniu takich uzgodnie
ń
, nale
Ŝ
y zastosowa
ć
kryteria zarz
ą
dzania ryzykiem w jednakowy sposób w całej organizacji. Dzi
ę
ki
temu:
•
zidentyfikowane ryzyka zostan
ą
ocenione wg ich oddziaływania na cał
ą
organizacj
ę
, tj. ryzyka w najwi
ę
kszym stopniu oddziaływuj
ą
ce na
zdolno
ść
organizacji do osi
ą
gni
ę
cia celów to te ryzyka, którym
przypisuje si
ę
najwy
Ŝ
szy priorytet z punktu widzenia procesu
zarz
ą
dzania ryzykiem;
•
zmniejsza si
ę
subiektywno
ść
zwi
ą
zana z punktow
ą
ocen
ą
ryzyka,
a zwi
ę
ksza przejrzysto
ść
i rozliczalno
ść
procesu punktowej oceny
i hierarchizacji ryzyka.
Zał
ą
cznik nr 6 zawiera szablon definicji oceny punktowej.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
41
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Proponowana metodologia najlepszej praktyki punktowej oceny ryzyka
Poni
Ŝ
szy szablon ma charakter przykładowy, w oparciu o najlepsz
ą
praktyk
ę
.
Tabela punktowa prawdopodobie
ń
stwa wyst
ą
pienia ryzyka
1
2
3
4
5
Opis
Rzadkie
Mało
prawdopodobne
Ś
rednie
Prawdopodobne Prawie pewne
Prawdo-
podobie
ń
stwo
0-20%
21-40%
41-60%
61-80%
81-100%
Tabela punktowa oddziaływania ryzyka
Punktacja
Opis
Kryteria
Finansowe
Organizacyjne
Ochrona
zdrowia i
bezpiecze
ń
st
wa osób
Reputacja
5
Katastrofalne
Strata finansowa
> 500.000 PLN
Brak realizacji
kluczowych celów.
Utrata
Ŝ
ycia
Doniesienia
prasowe w całym
kraju
4
Powa
Ŝ
ne
Strata finansowa
100.000 PLN <
500.000 PLN
Brak realizacji
kluczowego celu
Powa
Ŝ
ne
obra
Ŝ
enia
Pewne informacje
w mediach
ogólnokrajowych
3
Ś
rednie
Strata finansowa
10.000 PLN <
100.000 PLN
Zakłócenia
w działalno
ś
ci
Pewne
obra
Ŝ
enia
Pewne informacje
w mediach
lokalnych lub
regionalnych
2
Małe
Strata finansowa
100 PLN < 1.000
PLN
Niewielkie
zakłócenia
w działalno
ś
ci
Niewielkie
obra
Ŝ
enia
Ograniczone
informacje
w mediach
lokalnych lub
regionalnych
1
Nieznaczne
Mała strata
finansowa < 100
PLN
Krótkotrwałe
zakłócenia
w działalno
ś
ci
Niewielkie
obra
Ŝ
enia
Ubogie informacje
w mediach
lokalnych lub
regionalnych
Zazwyczaj liczbowe oceny punktowe oddziaływania i prawdopodobie
ń
stwa
wyst
ą
pienia ryzyka mno
Ŝ
y si
ę
, by uzyska
ć
ł
ą
czn
ą
punktow
ą
ocen
ę
ryzyka, np.
je
ś
li ocena punktowa oddziaływania i prawdopodobie
ń
stwa wynosi 5 punktów,
ocena ryzyka wynosi 25 tj. 5 X 5.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
42
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Przykład – matryca punktowej oceny ryzyka
Oddziaływanie
Katastrofalne
5
10
15
20
25
Powa
Ŝ
ne
4
8
12
16
20
Ś
rednie
3
6
9
12
15
Małe
2
4
6
8
10
Nieznaczne
1
2
3
4
5
Rzadkie
Mało
prawdopod
obne
Ś
rednie
Prawdopod
obne
Prawie
pewne
Prawdopod
obie
ń
stwo
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
43
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Rozdział 7
H
H
ierarchizacja ryzyka
Jak nale
Ŝ
y dokona
ć
hierarchizacji ryzyk (uporz
ą
dkowa
ć
je
według przyznanych ocen)?
Punktowa ocena ryzyka umo
Ŝ
liwia uporz
ą
dkowanie rodzajów ryzyka wg ich
wagi lub kryteriów matrycy punktowej oceny ryzyka podanych w punkcie 4.
Metoda ta umo
Ŝ
liwia hierarchizacj
ę
działa
ń
podejmowanych w celu
zmniejszenia ryzyka:
•
ryzyka znajduj
ą
ce si
ę
w prawym, górnym rogu (kolor czerwony)
wymagaj
ą
pilnej uwagi organizacji;
•
ryzyka znajduj
ą
ce si
ę
w
ś
rodku matrycy (kolor
Ŝ
ółty) nale
Ŝ
y omówi
ć
i monitorowa
ć
. W pewnych wypadkach, organizacja mo
Ŝ
e podj
ąć
dalsze działania; oraz
•
ryzyka znajduj
ą
ce si
ę
w lewym, dolnym rogu (kolor zielony) to
najni
Ŝ
sze zagro
Ŝ
enie dla organizacji.
Nale
Ŝ
y zauwa
Ŝ
y
ć
,
Ŝ
e:
•
Natychmiastowe podj
ę
cie działa
ń
wymaganych dla pewnych ryzyk
o wysokiej ocenie punktowej mo
Ŝ
e by
ć
niemo
Ŝ
liwe w danej chwili.
•
Pewne czynno
ś
ci mo
Ŝ
na łatwo i szybko podj
ąć
, by zmniejszy
ć
ś
rednie
i niskie ryzyko.
Rejestr ryzyka
Aby zrozumie
ć
profil ryzyka organizacji, wszystkie informacje o ryzyku nale
Ŝ
y
wprowadzi
ć
do „rejestru ryzyka”.
Rejestr ryzyka mo
Ŝ
e by
ć
prowadzony w formie papierowej, arkuszu
kalkulacyjnego, bazy danych lub w specjalistycznym programie do
zarz
ą
dzania
ryzykiem.
Rejestr
winien
zawiera
ć
wszystkie
rodzaje
zidentyfikowanego ryzyka.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
44
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Rejestr
ryzyka
stanowi
ą
cy
podstaw
ę
planu
zarz
ą
dzania
ryzykiem
w organizacji musi by
ć
„
Ŝ
ywym dokumentem”, zmieniaj
ą
cym si
ę
tak, by
odzwierciedli
ć
dynamiczny charakter ryzyka oraz sposób zarz
ą
dzania
ryzykiem przez organizacj
ę
. Nie istnieje okre
ś
lony format rejestru ryzyka.
Zał
ą
cznik nr 7 zawiera szablon rejestru ryzyka.
Przykłady informacji zawartych w rejestrze ryzyka.
•
Numer identyfikacyjny ryzyka – unikalny numer referencyjny dla
ka
Ŝ
dego rodzaju zidentyfikowanego ryzyka.
•
Opis ryzyka – Opis ryzyka, ewentualna skala czasowa wyst
ą
pienia
ryzyka oraz mo
Ŝ
liwe oddziaływanie na organizacj
ę
.
•
Rodzaj/kategoria ryzyka – Charakter ryzyka, tj. strategiczne,
finansowe, operacyjne, itd.
•
Zarz
ą
dzaj
ą
cy ryzykiem – Kierownik odpowiadaj
ą
cy za zarz
ą
dzanie
ryzykiem.
•
Oddziaływanie – ocena punktowa przypisana do konsekwencji lub
skutków ryzyka dla organizacji.
•
Prawdopodobie
ń
stwo (prawdopodobie
ń
stwo nieodł
ą
czne) – ocena
punktowa przypisana do prawdopodobie
ń
stwa wyst
ą
pienia ryzyka
w razie braku mechanizmów kontrolnych.
•
Ł
ą
czna punktowa ocena ryzyka (nieodł
ą
cznego).
•
Funkcjonuj
ą
ce mechanizmy kontrolne – mechanizmy kontrolne
obecnie
funkcjonuj
ą
ce
w
organizacji,
które
zmniejszaj
ą
prawdopodobie
ń
stwo wyst
ą
pienia ryzyka.
•
Prawdopodobie
ń
stwo (prawdopodobie
ń
stwo rezydualne) – ocena
punktowa przypisana do prawdopodobie
ń
stwa wyst
ą
pienia ryzyka po
uwzgl
ę
dnieniu funkcjonuj
ą
cych mechanizmów kontrolnych.
•
Ł
ą
czna punktowa ocena ryzyka (rezydualnego).
•
Wymagane działanie – uzgodnione działanie, które nale
Ŝ
y podj
ąć
, by
dalej zmniejszy
ć
prawdopodobie
ń
stwo wyst
ą
pienia ryzyka. Działanie
takie winno zmniejszy
ć
punktow
ą
ocen
ę
ryzyka rezydualnego.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
45
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
•
Odpowiedzialno
ść
za działanie i data wdro
Ŝ
enia – osoba
odpowiedzialna za przeprowadzenie działania oraz termin, do którego
nale
Ŝ
y wykona
ć
działanie.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
46
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Rozdział 8
Z
Z
arz
ą
dzanie ryzykiem
Jak nale
Ŝ
y zarz
ą
dza
ć
ryzykiem?
Proces ten obejmuje:
•
Podj
ę
cie działa
ń
w celu zmniejszenia ryzyka, gdy zachodzi taka
potrzeba;
•
Zapewnienie skuteczno
ś
ci funkcjonuj
ą
cych mechanizmów kontrolnych;
oraz
•
Dalszy monitoring i raportowanie ryzyka.
Podj
ę
cie działa
ń
Po uszeregowaniu rodzajów ryzyka, organizacja musi rozwa
Ŝ
y
ć
działania,
które mo
Ŝ
na podj
ąć
, by kontrolowa
ć
ryzyko. Charakter takich działa
ń
zale
Ŝ
y
od:
•
stopnia, w jakim organizacja mo
Ŝ
e zaakceptowa
ć
ryzyko, tj. apetytu na
ryzyko;
•
stopnia, w jakim organizacja mo
Ŝ
e kontrolowa
ć
ryzyko;
•
zakresu ubezpieczenia i innych metod przeniesienia lub współdzielenia
ryzyka; oraz
•
relacji kosztów i korzy
ś
ci zmniejszenia ryzyka.
Organizacja musi rozwa
Ŝ
y
ć
, czy:
•
nale
Ŝ
y podj
ąć
działania, by zmniejszy
ć
ryzyko (post
ę
powanie z
ryzykiem/redukcja ryzyka);
•
zdecydowa
ć
, czy nie podejmowa
ć
działa
ń
ze wzgl
ę
du na niskie ryzyko
lub przewag
ę
kosztów podj
ę
cia działa
ń
nad korzy
ś
ciami, czy te
Ŝ
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
47
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
wdro
Ŝ
y
ć
plany awaryjne w razie wyst
ą
pienia ryzyka (tolerowa
ć
ryzyko);
•
podj
ąć
działania, by zlikwidowa
ć
ryzyko lub zaprzesta
ć
ryzykownych
działa
ń
(likwidacja/weliminowanie ryzyka); oraz
•
przenie
ść
ryzyko (przeniesienie/transfer ryzyka). Ryzyko mo
Ŝ
na
przenie
ść
wykupuj
ą
c ubezpieczenie, lub płac
ą
c stronie trzeciej, by
przej
ę
ła ryzyko w inny sposób.
Monitoring ryzyka
Monitoring ryzyka obejmuje:
•
wykonanie przegl
ą
du, w celu okre
ś
lenia, czy ryzyko uległo zmianie;
•
sprawdzenie, czy punktowa ocena ryzyka jest wci
ąŜ
odpowiednia;
•
zapewnienie
skuteczno
ś
ci
dotychczasowych
mechanizmów
kontrolnych; oraz
•
monitorowanie rozwoju uzgodnionych działa
ń
w zakresie zarz
ą
dzania
ryzykiem.
Organizacja winna opracowa
ć
proces nadzorowania rozwoju kontroli ryzyka
oraz weryfikacji poziomu ryzyka. Nale
Ŝ
y sporz
ą
dza
ć
regularne raporty w tym
zakresie.
Kierownik jednostki musi otrzyma
ć
odpowiednie raporty z rejestru ryzyka, by
mógł zaj
ąć
si
ę
najpowa
Ŝ
niejszym ryzykiem, przed którym stoi organizacja.
Gdy tylko jest to mo
Ŝ
liwe, raportowanie ryzyka nale
Ŝ
y zintegrowa
ć
z istniej
ą
cymi procesami raportowania zarz
ą
dczego, w tym zarz
ą
dzania
wynikami.
Cz
ę
stotliwo
ść
raportowania nale
Ŝ
y dostosowa
ć
do organizacji; cz
ę
stsze
raporty s
ą
konieczne dla działa
ń
nios
ą
cych ze sob
ą
wysokie ryzyko.
Kierownicy winni monitorowa
ć
ryzyko we własnym pionie.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
48
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
ZAŁĄCZNIKI
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
49
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
ZAŁĄCZNIK NR 1
P
P
olityka zarządzania ryzykiem
Celem niniejszego dokumentu jest okre
ś
lenie:
•
Listy głównych celów dot. zarz
ą
dzania ryzykiem oraz sposobu, w jaki
ł
ą
cz
ą
si
ę
one z celami organizacji oraz charakterem usług przez ni
ą
ś
wiadczonych;
•
struktury zarz
ą
dzania ryzykiem, w tym danych o wszystkich zespołach
i osobach ponosz
ą
cych odpowiedzialno
ść
za ryzyko;
•
sposobu praktycznego zarz
ą
dzania ryzykiem; oraz
•
roli i zada
ń
pracowników i kierownictwa, w tym kierownika jednostki
oraz kierowników wy
Ŝ
szego szczebla.
Kwestie te nale
Ŝ
y rozpatrywa
ć
w wymiarze całej organizacji.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
50
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Przykład polityki zarz
ą
dzania ryzykiem
Rozdział 1
Przegl
ą
d procesu zarz
ą
dzania ryzykiem
1.1
Jako instytucja pa
ń
stwowa, xxxx jest zobowi
ą
zana realizowa
ć
swoje
cele, by
ś
wiadczy
ć
usługi na rzecz społecze
ń
stwa.
1.2
Tym samym, instytucja napotyka wszelkie rodzaje ryzyka. Zadaniem
kierownictwa jest podejmowanie działa
ń
w celu zwi
ę
kszenia
prawdopodobie
ń
stwa osi
ą
gni
ę
cia celów.
1.3
Poniewa
Ŝ
zasoby maj
ą
charakter sko
ń
czony, pewne ryzyko jest
nieuniknione.Dlatego te
Ŝ
, znajomo
ść
, pomiar i redukcja ryzyka ma
pierwszorz
ę
dne znaczenie. Niniejsza polityka okre
ś
la sposób reakcji
organizacji na problemy dotycz
ą
ce zarz
ą
dzania ryzykiem.
1.4
Celem niniejszego przegl
ą
du jest okre
ś
lenie podej
ś
cia organizacji do
procesu zarz
ą
dzania ryzykiem, w tym:
•
interpretacji i zarz
ą
dzania ryzykiem; oraz
•
celów operacyjnych zwi
ą
zanych z zarz
ą
dzaniem ryzykiem.
1.5
Ogólnie rzecz ujmuj
ą
c, ryzyko to wymierny (cho
ć
w pewnych
wypadkach niewymierny) poziom zagro
Ŝ
enia zwi
ą
zany z wyst
ą
pieniem
jakiegokolwiek zdarzenia, działania lub braku działania, które mo
Ŝ
e
zniszczy
ć
mienie lub wizerunek organizacji lub zahamowa
ć
realizacj
ę
celów organizacji. Ryzyko to niepewno
ść
zwi
ą
zana ze zdarzeniem lub
działaniem, które wpłynie na zdolno
ść
organizacji do realizacji celów jej
działalno
ś
ci. Mo
Ŝ
e mie
ć
charakter negatywnego zagro
Ŝ
enia lub te
Ŝ
pozytywnej mo
Ŝ
liwo
ś
ci. Organizacja winna wła
ś
ciwie zarz
ą
dza
ć
nara
Ŝ
eniem na ryzyko zwi
ą
zane z działalno
ś
ci
ą
lub planami
sporz
ą
dzanymi przez organizacj
ę
.
1.6
Wła
ś
ciwy governance (ład organizacyjny) wymaga wdro
Ŝ
enia
odpowiednich
planów
zarz
ą
dzania
ryzykiem,
wspieranych
i
egzekwowanych przez personel kierowniczy wy
Ŝ
szego szczebla
organizacji.
1.7
Powszechnie uznaje si
ę
,
Ŝ
e dzi
ę
ki dobremu zarz
ą
dzaniu ryzykiem,
organizacja mo
Ŝ
e lepiej i elastyczniej reagowa
ć
na nowe naciski
i wymagania zewn
ę
trzne. Skuteczna analiza i zarz
ą
dzanie ryzykiem
mo
Ŝ
e przynie
ść
faktyczne korzy
ś
ci.
Polski podr
ę
cznik procesu zarz
ą
dzania
ryzykiem
51
Niniejszy podręcznik sporządzono w ramach środków projektu UE Transition Facility 2004/016-829.01.08
„Zarządzanie ryzykiem i wzmocnienie efektywności słuŜb audytu wewnętrznego w jednostkach sektora finansów
publicznych”
Ponadto:
•
jest mało prawdopodobne, by instytucja publiczna musiała
rozpocz
ąć
cały proces od zera, poniewa
Ŝ
wiele elementów
procesu zarz
ą
dzania ryzyka z pewno
ś
ci
ą
ju
Ŝ
funkcjonuje
w instytucji.
•
jest mało prawdopodobne, by instytucja unikaj
ą
ca ryzyka
uzyskiwała dobre wyniki. Konieczny jest odpowiedni talent,
innowacyjno
ść
i zdolno
ść
podejmowania
ś
wiadomego
ryzyka
oraz
skutecznego
nim
zarz
ą
dzania,
by
zoptymalizowa
ć
wyniki.
Podsumowuj
ą
c, zarz
ą
dzanie ryzykiem to dobra praktyka zarz
ą
dcza,
która stanowi podstaw
ę
procesu ustawicznej poprawy oraz planów
sporz
ą
dzanych przez organizacj
ę
w zakresie kierowania i kontroli nad
prowadzon
ą
działalno
ś
ci
ą
.
1.8
Zarz
ą
dzanie ryzykiem nie jest procesem opartym na zgodno
ś
ci,
a z pewno
ś
ci
ą
nie jest procesem realizowanym za pomoc
ą
listy
kontrolnej. Tak jak dla governance (ładu organizacyjnego), równie
Ŝ
dla
procesu zarz
ą
dzania ryzykiem przewidziano plany i systemy, które
mog
ą
pomóc i uzupełni
ć
zarz
ą
dzanie ryzykiem prowadzonej
działalno
ś
ci. Niemniej jednak, kwesti
ą
niezb
ę
dn
ą
jest „dobre
zarz
ą
dzanie”, obejmuj
ą
ce:
•
zrozumienie celu prowadzonej działalno
ś
ci;
•
identyfikacj
ę
sposobów umo
Ŝ
liwiaj
ą
cych osi
ą
gni
ę
cie tego celu;
•
okre
ś
lenie mo
Ŝ
liwych niepowodze
ń
i strat;
•
okre
ś
lenie
ś
rodków zaradczych, które umo
Ŝ
liwi
ą
unikni
ę
cie
niepowodze
ń
lub zmniejszenie strat; oraz
