Polityka zarządzania ryzykiem w Naczelnej Dyrekcji Archiwów Państwowych.
Dzienniki resortowe
Dz.Urz.NDAP.2024.17
Akt obowiązujący Wersja od: 29 czerwca 2024 r.
ZARZĄDZENIE Nr 16
NACZELNEGO DYREKTORA ARCHIWÓW PAŃSTWOWYCH
z dnia 28 czerwca 2024 r.
w sprawie Polityki zarządzania ryzykiem w Naczelnej Dyrekcji Archiwów Państwowych
Na podstawie art. 69 ust. 1 pkt 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r. poz. 1270, z późn. zm. 1 ) oraz ust. 2.2 części I załącznika do komunikatu nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. MF poz. 84) zarządza się, co następuje:
§ 1.
Wprowadza się Politykę zarządzania ryzykiem w Naczelnej Dyrekcji Archiwów Państwowych, stanowiącą załącznik do zarządzenia.§ 2.
Traci moc zarządzenie nr 69 Naczelnego Dyrektora Archiwów Państwowych z dnia 3 października 2018 r. w sprawie wprowadzenia Instrukcji zarządzania ryzykiem w Naczelnej Dyrekcji Archiwów Państwowych.§ 3.
Zarządzenie wchodzi w życie z dniem następującym po dniu podpisania.Naczelny Dyrektor Archiwów Państwowych: P. Pietrzyk
ZAŁĄCZNIK
Polityka zarządzania ryzykiem w Naczelnej Dyrekcji Archiwów Państwowych
Polityka zarządzania ryzykiem w Naczelnej Dyrekcji Archiwów Państwowych
Rozdział 1
Przepisy ogólne
Przepisy ogólne
§ 1.
Ilekroć w Polityce zarządzania ryzykiem w Naczelnej Dyrekcji ArchiwówPaństwowych, zwanej dalej "NDAP", jest mowa o:
1)
akceptowalnym poziomie ryzyka - należy przez to rozumieć jasno określony poziom ryzyka, wobec którego właściciel ryzyka nie podejmuje dalszych działań (godzi się na jego istnienie);2)
aktywach - należy przez to rozumieć środki materialne i niematerialne oraz zasoby majątkowe o wiarygodnie określonej wartości, powstałe w wyniku przeszłych zdarzeń;3)
czynniku ryzyka - należy przez to rozumieć okoliczności, stan prawny, stan faktyczny, działania, zaniechania oraz wydarzenia zewnętrzne i wewnętrzne, które mogą, ale nie muszą wywołać ryzyko wystąpienia nieprawidłowości;4)
działaniach zaradczych - należy przez to rozumieć działania wzmacniające mechanizmy kontroli (procedury, wytyczne, zasady, nadzór) i zastosowane zabezpieczenia (techniczne, organizacyjne, finansowe);5)
kontekście wewnętrznym - należy przez to rozumieć środowisko wewnętrzne, w którym NDAP dąży do osiągnięcia swoich celów;6)
kontekście zewnętrznym - należy przez to rozumieć środowisko zewnętrzne, w którym NDAP dąży do osiągnięcia swoich celów;7)
kryteriach ryzyka - należy przez to rozumieć poziomy odniesienia, względem których określana jest waga ryzyka, oparte na celach organizacyjnych oraz na zewnętrznym i wewnętrznym kontekście działalności NDAP, mogące pochodzić w szczególności z norm, przepisów prawa i innych wymagań;8)
podatności - należy przez to rozumieć słabość wynikającą z czynników wewnętrznych lub czynników ludzkich, która może zostać wykorzystana przez zagrożenie, powodując niekorzystne skutki;9)
pracowniku realizującym zadania z zakresu kontroli zarządczej - należy przez to rozumieć pracownika Wydziału Organizacyjnego NDAP;10)
reakcji na ryzyko - należy przez to rozumieć wybór i wdrożenie środków, polegających w szczególności na przeciwdziałaniu, przesunięciu, transferze, tolerowaniu, unikaniu lub usunięciu źródła ryzyka;11)
rozliczalności - należy przez to rozumieć właściwość pozwalającą przypisać określone działanie do osoby fizycznej lub procesu oraz umiejscowić je w czasie;12)
ryzyku - należy przez to rozumieć prawdopodobieństwo wystąpienia dowolnego zdarzenia, działania lub braku działania, którego skutkiem może być szkoda w majątku lub wizerunku NDAP, albo które przeszkodzi w osiągnięciu wyznaczonych celów i zadań;13)
ryzyku nieakceptowalnym - należy przez to rozumieć ryzyko wymagające podjęcia reakcji z uwagi na jego wysokie prawdopodobieństwo lub ewentualne skutki, które stanowi realne zagrożenie dla realizacji priorytetowych celów i zadań;14)
ryzyku szczątkowym - należy przez to rozumieć ryzyko jakie pozostaje po przeprowadzeniu działań zmierzających do zminimalizowania wpływu (skutków) oraz prawdopodobieństwa wystąpienia niepomyślnych zdarzeń, w tym działań kontrolnych podjętych w odpowiedzi na ryzyko;15)
skutku - należy przez to rozumieć konsekwencje lub rezultat zdarzenia wyrażone ilościowo, mające wpływ pozytywny lub negatywny na osiągnięcie celu, przy czym. skutek może być pewny lub niepewny;16)
szacowaniu ryzyka - należy przez to rozumieć identyfikację oraz analizę i ocenę ryzyka;17)
środkach kontroli ryzyka - należy przez to rozumieć wszystko, co modyfikuje ryzyko (hamuje ryzyko lub zmniejsza prawdopodobieństwo jego wystąpienia), w tym procesy, polityki, urządzenia, praktyki, procedury i fizyczne działania;18)
właścicielu ryzyka - należy przez to rozumieć osobę kierującą komórką organizacyjną NDAP i osobę zajmującą jednoosobowe samodzielne stanowisko ds. ochrony danych osobowych, które są odpowiedzialne za identyfikowanie i zarządzanie ryzykiem w danym obszarze działalności NDAP;19)
zagrożeniu - należy przez to rozumieć wszystkie niekorzystne czynniki mogące przyczynić się do wystąpienia negatywnego zdarzenia;20)
zarządzaniu ryzykiem - należy przez to rozumieć proces, którego celem jest identyfikacja potencjalnych ryzyk mogących mieć wpływ na realizację zadań NDAP oraz podjęcie działań uniemożliwiających wystąpienie ryzyk lub - jeśli ryzyko się zmaterializowało - odpowiednie zarządzenie skutkami.§ 2.
1.
Polityka zarządzania ryzykiem w Naczelnej Dyrekcji Archiwów Państwowych, zwana dalej "Polityką", służy minimalizacji wpływu zagrożeń na realizację zadań ustawowych i regulaminowych NDAP, przyjętych w dokumentach strategicznych i planistycznych.2.
W NDAP identyfikowane są ryzyka:1)
akceptowalne;2)
istotne;3)
nieakceptowalne.3.
Ryzyko akceptowalne to ryzyko ocenione według macierzy ryzyk, o której mowa w § 12 ust. 7, na poziomie średnim.4.
Polityka będzie poddawana cyklicznej kontroli pod kątem jej aktualności nie rzadziej niż co trzy lata.5.
Mając na uwadze rolę pracowników NDAP, w szczególności kadry kierowniczej, w procesie analizy ryzyka, przeprowadza się cykliczne szkolenia z tego zakresu.§ 3.
Wobec ryzyk w obszarze bezpieczeństwa informacji podejmuje się działania na podstawie odrębnej procedury SZBI.5, stanowiącej element Systemu Zarządzania Bezpieczeństwem Informacji, dostępnej pod adresem:https://nadpanstwowych.sharepoint.com/sites/intranet/SitePages/BEZPIECZE%C5%83STWO-INFORMACJI.aspx
§ 4.
1.
Polityka stanowi narzędzie zarządzania NDAP i ma zastosowanie do wszystkich komórek organizacyjnych NDAP oraz do wszystkich pracowników.2.
Polityka może mieć zastosowanie także do ryzyk identyfikowanych w archiwach państwowych pod warunkiem, że NDAP ma realny wpływ na przeciwdziałanie tym ryzykom lub zarządzenie nimi w przypadku ich materializacji.3.
Polityka jest realizowana z uwzględnieniem kontekstu wewnętrznego oraz kontekstu zewnętrznego działalności NDAP.4.
Kontekst wewnętrzny działalności NDAP stanowią:1)
ład organizacyjny, struktura organizacyjna, role i rozliczalność;2)
regulacje wewnętrzne, cele i strategie ustanowione w celu ich osiągnięcia;3)
zdolności rozumiane jako zasoby i wiedza (np. kapitał, czas, ludzie, procesy, systemy i technologie);4)
systemy informacyjne, przepływ informacji i procesy podejmowania decyzji (formalne i nieformalne);5)
relacje z wewnętrznymi interesariuszami, ich postrzeganie i wartości; kultura organizacyjna;6)
normy, wytyczne i modele przyjęte przez NDAP oraz forma i zakres relacji zawartych w zawartych przez NDAP umowach i porozumieniach.5.
Kontekst zewnętrzny działalności NDAP stanowią:1)
środowisko kulturowe, społeczne, polityczne, prawne, regulacyjne, finansowe, technologiczne, ekonomiczne, naturalne oraz konkurencyjne;2)
kluczowe czynniki i trendy mające wpływ na cele NDAP oraz relacje z zewnętrznymi interesariuszami, ich postrzeganie i wartości.6.
Wszyscy pracownicy NDAP są obowiązani do znajomości i przestrzegania Polityki, a w zakresie swoich kompetencji do:1)
monitorowania poziomu ryzyka w trakcie realizacji obowiązków służbowych;2)
informowania przełożonych o zdarzeniach, które mogą doprowadzić do negatywnych skutków dla działalności NDAP, w tym o potencjalnych zagrożeniach lub istotnych zmianach poziomu ryzyka.§ 5.
1.
Celem przyjętego podejścia do zarządzania ryzykiem jest:1)
wykrycie potencjalnych zdarzeń, które mogą wywrzeć wpływ na działalność NDAP, w szczególności zapewnienie bezpieczeństwa zasobów;2)
zarządzanie zidentyfikowanymi ryzykami, tj. zapewnienie, iż ryzyka są identyfikowane i analizowane na bieżąco, a dla ryzyk nieakceptowalnych są opracowywane i wdrażane odpowiednie plany postępowania;3)
efektywne wyznaczanie kierunków i celów działalności przez właściwe planowanie, realizację i koordynację działań na poziomie NDAP;4)
usystematyzowanie analizy, tj. zapewnienie powtarzalności i porównywalności wyników oceny ryzyka przeprowadzanej w różnych obszarach działalności NDAP;5)
precyzyjne określenie odpowiedzialności związanej z zarządzaniem poszczególnymi ryzykami;6)
możliwość działania w zmieniającym się otoczeniu faktycznym i prawnym.2.
Polityka realizowana jest w oparciu o:1)
planowanie strategiczne, które odnosi się do przeprowadzanej identyfikacji i analizy ryzyka;2)
planowanie operacyjne, które odnosi się do bieżącej identyfikacji i analizy ryzyka przez komórki organizacyjne;3)
ocenę ryzyka i podejmowanie działań zaradczych, zgodnie z przepisami Polityki.3.
Niezbędne warunki funkcjonowania Polityki to:1)
jasne (spójne) cele i zadania oraz mierzalne wskaźniki ich realizacji;2)
wskazanie, jaki poziom ryzyka jest akceptowalny dla wyznaczonych celów i zadań;3)
bieżący monitoring realizacji celów i zadań;4)
wysoka świadomość właścicieli ryzyk i umiejętne wykorzystanie wniosków z bieżącego monitoringu realizacji celów.§ 6.
1.
Proces zarządzania ryzykiem jest przeprowadzany w każdym roku w cyklach półrocznych:1)
pierwszy cykl dotyczy ryzyk, które mogą wystąpić w pierwszym półroczu;2)
drugi cykl dotyczy ryzyk, które mogą wystąpić w drugim półroczu.2.
Czynności w ramach każdego cyklu realizowane są następująco:czynność w ramach procesu | odpowiedzialny za realizację | terminy graniczne | |
I. cykl | II. cykl | ||
identyfikacja, analiza i ocena ryzyka w komórce organizacyjnej | właściciel ryzyka | pierwsza połowa stycznia | pierwsza połowa lipca |
przygotowanie i przekazanie do pracownika realizującego zadania z zakresu kontroli zarządczej rejestrów ryzyk oraz informacji o stanie ryzyk wykazanych w poprzednim cyklu | właściciel ryzyka | pierwsza połowa stycznia | pierwsza połowa lipca |
przygotowanie i przekazanie do pracownika realizującego zadania z zakresu kontroli zarządczej planu postępowania dla ryzyka nieakceptowalnego (jeśli wystąpiło) wraz z propozycją reakcji na to ryzyko | właściciel ryzyka | pierwsza połowa stycznia | pierwsza połowa lipca |
przegląd poprzednio zgłoszonych ryzyk oraz stanu radzenia sobie z nimi i porównanie z aktualnie zgłoszonymi | pracownik realizujący zadania z zakresu kontroli zarządczej | druga połowa stycznia | druga połowa lipca |
przygotowanie zbiorczego rejestru ryzyk oraz planu postępowania z ryzykiem nieakceptowalnym | pracownik realizujący zadania z zakresu kontroli zarządczej | druga połowa stycznia | druga połowa lipca |
przekazanie zbiorczego rejestru oraz planu postępowania z ryzykiem nieakceptowalnym do Dyrektora Generalnego | pracownik realizujący zadania z zakresu kontroli zarządczej | druga połowa stycznia | druga połowa lipca |
spotkanie z kierującymi (właścicielami ryzyk) i omówienie planu postępowania z ryzykiem nieakceptowalnym | Dyrektor Generalny NDAP | druga połowa stycznia | druga połowa lipca |
pismo Dyrektora Generalnego do Naczelnego Dyrektora AP wraz z rekomendacjami ws. postępowania z ryzykiem nieakceptowalnym | Dyrektor Generalny NDAP | druga połowa stycznia | druga połowa lipca |
decyzja Naczelnego Dyrektora Archiwów Państwowych w sprawie planu postępowania z ryzykiem nieakceptowalnym | Naczelny Dyrektor Archiwów Państwowych | po otrzymaniu rekomendacji | po otrzymaniu rekomendacji |
poinformowanie właścicieli ryzyk o decyzji Naczelnego Dyrektora w sprawie planu postępowania z ryzykiem nieakceptowalnym | pracownik realizujący zadania z zakresu kontroli zarządczej | po decyzji Naczelnego Dyrektora | po decyzji Naczelnego Dyrektora |
wdrożenie planu postępowania z ryzykiem nieakceptowalnym | właściciel ryzyka | po otrzymaniu informacji o decyzji Naczelnego Dyrektora | po otrzymaniu informacji o decyzji Naczelnego Dyrektora |
bieżący monitoring | właściciel ryzyka | cały cykl | cały cykl |
3.
W spotkaniu Dyrektora Generalnego NDAP z właścicielami ryzyk mogą uczestniczyć inne osoby przez niego wskazane, w szczególności:1)
naczelnik komórki organizacyjnej NDAP koordynującej realizację kontroli zarządczej;2)
pracownik realizujący zadania z zakresu kontroli zarządczej.§ 7.
Odpowiedzialność za prawidłowy przebieg procesu zarządzania ryzykiem ponoszą:1)
Dyrektor Generalny NDAP, który odpowiada za zarządzanie ryzykiem na poziomie strategicznym m.in. przez:a)
przygotowanie i realizację polityki zarządzania ryzykiem,b)
nadzór i monitorowanie skuteczności procesu zarządzania ryzykiem,c)
przedstawienie Naczelnemu Dyrektorowi rekomendacji dotyczących proponowanych rozwiązań;2)
właściciele ryzyk, którzy odpowiadają za zarządzanie ryzykiem m.in. przez:a)
identyfikację, analizę i ocenę ryzyk z uwzględnieniem posiadanych środków kontroli,b)
raportowanie o zmaterializowaniu się ryzyka,c)
przygotowanie propozycji sposobu postępowania z ryzykiem,d)
wdrożenie planu postępowania z ryzykiem,e)
monitorowanie ryzyka oraz dostarczenie na czas kompletnej i wiarygodnej informacji na temat ryzyka,f)
współpracę z pracownikiem NDAP realizującym zadania z zakresu kontroli zarządczej;3)
pracownik NDAP realizujący zadania z zakresu kontroli zarządczej, który odpowiada za koordynację procesu zarządzania ryzykiem na poziomie NDAP przez:a)
przekazywanie właścicielom ryzyka niezbędnych informacji w zakresie ryzyk oraz mechanizmów kontroli,b)
koordynację procesu analizy ryzyka w ramach poszczególnych cykli,c)
wspieranie Naczelnego Dyrektora Archiwów Państwowych i Dyrektora Generalnego NDAP w procesie zarządzania ryzykiem.Rozdział 2
Realizacja
Realizacja
§ 8.
1.
Szacowanie ryzyka to proces, na który składają się trzy główne elementy:1)
identyfikacja;2)
analiza;3)
ocena.2.
Proces przebiega według następującego schematu:1)
identyfikacja, w ramach której:a)
nazywane jest ryzyko i definiowany obszar, z jakiego ono pochodzi,b)
typuje się działania, w których może wystąpić ryzyko,c)
typuje się aktywa, których może dotyczyć ryzyko,d)
bada się, czy ryzyko mogło już wystąpić (zmaterializować się);2)
analiza, w ramach której:a)
bada się czynniki ryzyka (co może sprawić materializację),b)
bada się środki kontroli (posiadane zabezpieczenia);3)
ocena, w ramach której:a)
ocenia się prawdopodobieństwo wystąpienia ryzyka,b)
ocenia się, jaki wpływ na NDAP będzie mieć wystąpienie ryzyka,c)
ocenia się istotność ryzyka oraz w razie potrzeby tworzy się plan postępowania z ryzykiem, a ponadto można określić ryzyko szczątkowe, tzn. ocenić, czy oprócz profilaktyki możliwe są jeszcze inne działania.§ 9.
1.
Ryzyko identyfikuje się wyszukując, rozpoznając i opisując występujące lub możliwe do wystąpienia niebezpieczeństwa w obszarach działalności NDAP.2.
Istnieją dwa źródła ryzyka:1)
zagrożenia bezpośrednie (zdarzenia szkodliwe), które powodują że cele i zadania NDAP nie zostaną osiągnięte;2)
szanse (zdarzenia korzystne), które dają możliwość skutecznego i efektywnego osiągnięcia celów i realizacji zadań (ryzyko utracenia korzyści).3.
Ryzyka bada się uwzględniając następujące poziomy:1)
stanowiska pracy i zakres zadań realizowanych na tych stanowiskach;2)
zadania bieżące komórki organizacyjnej;3)
działania w komórce organizacyjnej;4)
posiadane aktywa;5)
realizowane projekty;6)
zagrożenia związane z realizacją zadań komórki organizacyjnej;7)
wyniki szacowania ryzyka w nadzorowanym obszarze;8)
warunki współpracy z podmiotami zewnętrznymi oraz ich zmiany.4.
Identyfikowane ryzyka dzielą się na:1)
zewnętrzne, tj. pochodzące spoza NDAP i wywierające na nią wpływ2)
wewnętrzne, tj. powstające w NDAP.5.
Ryzyka, które wystąpią (zmaterializują się), wywołują określone skutki:1)
natychmiastowe (operacyjne), gdy konieczne jest zarządzenie nimi w celu minimalizacji szkody;2)
odłożone w czasie (biznesowe), np. stopniowa utrata dobrej reputacji.6.
Skutki natychmiastowe wystąpienia ryzyka klasyfikuje się jako:1)
bezpośrednie (np. poniesione nieuzasadnione koszty);2)
pośrednie (np. związane z naruszeniem prawa i procedur).§ 10.
1.
Obszary działalności NDAP, w ramach których rozpoznaje się ryzyka, stanowią:1)
w ramach obszaru zarządzania:a)
legislacja,b)
obsługa kancelaryjna,c)
strategie i prognozy,d)
planowanie i sprawozdawczość,e)
informatyzacja,f)
kontrole, w tym kontrola zarządcza,g)
audyt,h)
zarządzanie kryzysowe,i)
ochrona i udostępnianie informacji ustawowo chronionej;2)
w ramach obszaru spraw kadrowych:a)
nawiązywanie, przebieg, rozwiązywanie stosunku pracy oraz innych form zatrudnienia,b)
ewidencja osobowa,c)
bezpieczeństwo i higiena pracy,d)
szkolenia,e)
dyscyplina pracy,f)
działalność socjalna,g)
ubezpieczenia i opieka zdrowotna;3)
w ramach obszaru administrowania:a)
inwestycje i remonty,b)
eksploatacja i gospodarka materiałowa,c)
transport, w tym podróże służbowe,d)
łączność,e)
bezpieczeństwo fizyczne i ochrona obiektu,f)
sprawy obronne, w tym obrona cywilna;4)
w ramach obszaru finansów:a)
planowanie i realizacja budżetu,b)
rachunkowość,c)
obsługa finansowa,d)
opłaty,e)
inwentaryzacja,f)
dyscyplina finansów publicznych;5)
w ramach obszaru kształtowania narodowego zasobu archiwalnego i dokumentacji o czasowym okresie przechowywania:a)
wartościowanie dokumentacji,b)
czynności nadzorcze,c)
postępowanie w sferze niepaństwowego zasobu archiwalnego;6)
w ramach obszaru gromadzenia materiałów archiwalnych:a)
przekazywanie materiałów archiwalnych,b)
powierzanie i użyczanie materiałów archiwalnych,c)
scalanie i rozmieszczanie zasobu archiwalnego,d)
ewidencja;7)
w ramach obszaru metodyki opracowywania materiałów archiwalnych:a)
koordynowanie działań w zakresie metodyki opracowywania materiałów archiwalnych,b)
przygotowywanie wytycznych i wskazówek metodycznych oraz monitorowanie aktualności obowiązujących przepisów metodycznych,c)
sprawowanie nadzoru nad opracowywaniem zasobu w archiwach państwowych;8)
w ramach obszaru zabezpieczania zasobu archiwalnego, w tym digitalizacji:a)
nadzór nad konserwacją,b)
udostępnianie zasobu, w tym kwerendy;9)
w ramach obszaru działalności naukowej i wydawniczej:a)
projekty naukowe,b)
popularyzacja,c)
wydawnictwa NDAP,d)
biblioteka;10)
w ramach obszaru reprezentacji i promocji:a)
patronat,b)
organizacja wydarzeń;11)
w ramach obszaru współpracy z podmiotami zewnętrznymi:a)
zamówienia publiczne,b)
skargi, odwołania, wnioski, decyzje, petycje i interpelacje,c)
realizacja umów i zamówień,d)
pełnomocnictwa i upoważnienia,e)
udostępnianie informacji publicznej,f)
współpraca krajowa,g)
restytucja i rewindykacja materiałów archiwalnych;12)
obszar dotacji;13)
obszar projektów;14)
w ramach obszaru współpracy międzynarodowej:a)
współpraca archiwalna z zagranicznymi organami i instytucjami oraz międzynarodowymi organizacjami działającymi w dziedzinie archiwistyki,b)
gromadzenie informacji o materiałach archiwalnych dotyczących dziejów państwa polskiego i narodu polskiego znajdujących się poza terytorium Rzeczypospolitej Polskiej (poloników),c)
wykonywanie zadań określonych w przepisach o restytucji narodowych dóbr kultury,d)
współpraca z instytucjami polonijnymi prowadzącymi działalność archiwalną,e)
wymiana kadr w dziedzinach związanych z działalnością archiwalną.2.
Podczas identyfikowania możliwych ryzyk w obszarach bierze się pod uwagę także dostępne aktywa, które w wyniku zmaterializowania się ryzyka mogą ucierpieć, zostać nieprawnie udostępnione podmiotom trzecim lub utracone.3.
Aktywa opisuje się w zależności od przyjętych kryteriów w podziale na:1)
podstawowe i wspierające;2)
aktywa materialne i aktywa niematerialne.4.
Aktywa podstawowe stanowią:1)
osoby, tj. decydenci (ścisłe kierownictwo NDAP), zarządzający (kierujący komórkami organizacyjnymi NDAP) oraz pozostali pracownicy;2)
procesy i działania:a)
takie, których utrata uniemożliwia wypełnienie zadań NDAP,b)
niejawne,c)
zmodyfikowane i wywierające wpływ na realizację działań NDAP,d)
związane z wymogami prawnymi i umowami zawartymi przez NDAP,e)
informacje podstawowe związane z działalnością NDAP oraz dotyczące jej strategicznych kierunków,f)
dane wrażliwe, w tym osobowe,g)
informacje o dużych wartościach.5.
Aktywa wspierające stanowią:1)
sprzęt i oprogramowanie;2)
siedziba NDAP i jej lokalizacja (wszystkie budynki, istniejące strefy bezpieczeństwa fizycznego, urządzenia i systemy dostarczane przez operatorów telekomunikacyjnych, sieć energetyczna NDAP oraz rezerwowe źródła zasilania);3)
NDAP jako organ administracji publicznej i struktura organizacyjna, a także wykonawcy, z którymi NDAP zawarła umowy.6.
Aktywa materialne (nieruchomości, sprzęt i wyposażenie, gotówka itp.) dzielą się na:1)
widoczne;2)
niezbędne do zapewnienia bezawaryjnego funkcjonowania;3)
możliwe do zwartościowania;4)
powszechnie dostępne i łatwe w zbyciu;5)
objęte ochroną własności.7.
Aktywa niematerialne (wizerunek NDAP, wiedza pracowników, licencje, prawa autorskie, własność intelektualna, patenty, bazy danych i rejestry, pracownicy, współpracownicy i usługodawcy itp.) dzielą się na:1)
niewidoczne, trudno wymierne;2)
rzadkie, trudne do skopiowania;3)
nie będące w pełni własnością NDAP, których wykorzystanie jest ograniczone prawnie.8.
Liczba zasobów, w których dostępne są aktywa, może mieć wpływ na ich bezpieczeństwo, przy czym rozproszenie aktywów utrudnia ich ewidencjonowanie i ochronę.9.
W przypadku aktywów, które powinny być dostępne, zwiększenie liczby miejsc, gdzie one się znajdują, wpływa na zwiększenie ich dostępności.10.
Lokalizując posiadane aktywa, bierze się pod uwagę liczbę zasobów, w których aktywa się znajdują oraz wpływ tej liczby na podatność aktywu, tzn. czy zwiększenie liczby miejsc zwiększa czy zmniejsza podatność aktywu, czy też nie ma na nią wpływu.11.
Określając wartości aktywu:1)
rozważa się, jaki wpływ na funkcjonowanie NDAP będzie miała jego utrata, awaria lub inne problemy z tym związane, przy czym im większy ten wpływ, tym większa wartość aktywu;2)
ocenia się wartość aktywu z punktu widzenia tego, jak ważny jest dla realizacji celów i najlepiej wyraża się tę wartość w pieniądzu.12.
W przypadku aktywów niematerialnych, gdy trudno określić wartość kwotowo, można przyjąć inny sposób oceny wartości, tj. względną ocenę istotności aktywu w stosunku do pozostałych aktywów ("istotniejsze niż", "mniej istotne niż").§ 11.
1.
Przy analizie poszczególnych ryzyk bierze się pod uwagę następujące kryteria:1)
czynniki ryzyka (podatność), czyli co może spowodować, że ryzyko się zmaterializuje;2)
możliwe do zastosowania środki kontroli (zabezpieczenia).2.
Czynnikami ryzyka (przyczynami możliwego wystąpienia ryzyka) są w szczególności:czynnik ryzyka | przykłady |
ludzie | niskie kwalifikacje pracowników |
brak procedur | |
nieprzestrzeganie procedur | |
brak upoważnienia do podejmowania kluczowych decyzji (również w sytuacji kryzysowej) | |
niewłaściwa współpraca z innymi komórkami organizacyjnymi oraz podmiotami zewnętrznymi | |
niedobór dostawców i usługodawców | |
zła reputacja instytucji, kryzys wizerunkowy | |
procesy, systemy, zarządzanie | nieskuteczne mechanizmy kontroli realizacji zadań lub brak kontroli/nadzoru |
brak przypisanej odpowiedzialności | |
usterki sprzętu i systemów | |
brak planu zastępczego w sytuacji nadzwyczajnej | |
brak zabezpieczenia budżetowego brak lub błędna sprawozdawczość | |
przeszłe niepowodzenia w osiąganiu celów | |
przeszłe przypadki nieprawidłowości lub nadużyć | |
zdarzenia zewnętrzne i czynności zlecone na zewnątrz | "siła wyższa" |
nietypowe zjawiska | |
brak lub zła współpraca z podmiotem zewnętrznym | |
brak umiejętności wykorzystania nowoczesnych technologii | |
przekazanie odpowiedzialności za realizację na niewłaściwy podmiot | |
niewystarczająca infrastruktura | |
zmiany polityczne i naciski zewnętrzne | |
zmiany prawne |
3.
Do oceny posiadanych środków kontroli ryzyka stosuje się następującą skalę:nieskuteczne środki kontroli ryzyka | 1 pkt | Środki kontroli ryzyka funkcjonują nieformalnie lub cechuje je bardzo wysoki potencjał do poprawy lub zastosowane zabezpieczenia nie mają wpływu na podatności. |
średnia skuteczność środków kontroli ryzyka | 2 pkt | Środki kontroli wprowadzono formalnie, stwierdzono nieznaczne uchybienia w stosowaniu, cechuje je niewielki potencjał do poprawy lub zastosowane zabezpieczenia w większości obszarów chronią przed wykorzystaniem podatności. |
wysoka skuteczność środków kontroli ryzyka | 3 pkt | Środki kontroli wprowadzono formalnie, nie stwierdzono uchybień w stosowaniu, są adekwatne i optymalne do stawianych przed nimi zadań lub zastosowane zabezpieczenia chronią skutecznie przed wykorzystaniem podatności. |
§ 12.
1.
Ocena ryzyka uwzględnia następujące elementy:1)
prawdopodobieństwo wystąpienia ryzyka;2)
wpływ, jaki będzie miało wystąpienie ryzyka na NDAP (komórkę organizacyjną).2.
Prawdopodobieństwo wystąpienia ryzyka szacuje się zgodnie z następującą tabelą:średnie prawdopodobieństwo wystąpienia ryzyka | 2 pkt | Wystąpienie ryzyka jest mało realne lub w ciągu ostatniego roku nie występowały zdarzenia związane z ryzykiem lub ryzyko materializowało się w ciągu ostatnich 3 lat. Wykorzystanie w sposób świadomy lub nieświadomy podatności jest mało realne. |
wysokie prawdopodobieństwo wystąpienia ryzyka | 3 pkt | Wystąpienie ryzyka jest realne lub w ciągu ostatniego roku występowały pojedyncze zdarzenia związane z ryzykiem lub ryzyko materializowało się w ciągu ostatniego roku. Wykorzystanie w sposób świadomy lub nieświadomy podatności jest realne. |
bardzo wysokie prawdopodobieństwo wystąpienia ryzyka | 4 pkt | Prawie pewne, że ryzyko wystąpi lub w ciągu ostatniego półrocza ryzyko materializowało się lub występowały liczne zdarzenia związane z ryzykiem. Wykorzystanie w sposób świadomy lub nieświadomy podatności jest prawie pewne. |
3.
W przypadku wyznaczania poziomu prawdopodobieństwa wystąpienia ryzyka (niskie/średnie/wysokie/bardzo wysokie), które może być wywołane przez wiele przyczyn, należy, wskazując poziom, odnieść się do tej przyczyny, która jest najbardziej realna i w największym stopniu przekłada się na prawdopodobieństwo wystąpienia analizowanego ryzyka.4.
Wpływ ryzyka ocenia się według następującej skali:Finanse | Prawo | Realizacja procesów i celów statutowych | Wizerunek | ||
średni wpływ ryzyka na NDAP | 2 pkt | Odczuwalny wpływ na budżet komórki organizacyjnej | Niesystemowa niezgodność z procedurami i regulacjami wewnętrznymi bez wpływu na zgodność z przepisami prawa | Utrudnienia w realizacji procesu powodujące zakłócenie lub opóźnienie w wykonaniu zadań lub realizacji celu komórki organizacyjnej lub zakłócenia w działalności odczuwalne dla ograniczonej liczby interesariuszy | Pojedyncze negatywne informacje o działalności NDAP w mediach lokalnych, regionalnych lub branżowych lub nie wywołuje zmniejszenia zaufania obywateli do NDAP |
wysoki wpływ ryzyka na NDAP | 3 pkt | Bardzo duży wpływ na budżet komórki organizacyjnej oraz zauważalny wpływ na budżet NDAP | Może powodować problemy z wywiązaniem się z obowiązków nałożonych prawem, niezgodność z postanowieniami umów lub systemową niezgodność z procedurami i regulacjami wewnętrznymi | Utrudnienia w realizacji kilku procesów lub duże opóźnienia w realizacji zadania, skutkujące zagrożeniem realizacji celów statutowych i ustawowych lub zakłócenia w działalności odczuwalne dla grupy interesariuszy | Negatywne informacje o działalności NDAP w mediach regionalnych, branżowych oraz w niewielkim stopniu w mediach ogólnopolskich o dużym zasięgu lub utrata zaufania obywateli do NDAP |
bardzo wysoki wpływ ryzyka na NDAP | 4 pkt | Znaczący wpływ na budżet NDAP | Wywołuje niezgodność z procedurami i regulacjami wewnętrznymi kwalifikowaną jako naruszenie przepisów prawa zagrożone karą lub niezgodność z postanowieniami umów grożące procesem sądowym | Wstrzymanie możliwości realizacji kluczowych procesów lub celów statutowych i ustawowych lub zakłócenia w działalności odczuwalne dla większości interesariuszy | Negatywne informacje o działalności NDAP w mediach ogólnopolskich o dużym zasięgu wymagające działań w celu poprawy utraconego wizerunku; trwała utrata zaufania obywateli |
5.
Poziom ryzyka może być wynikiem następującej identyfikacji:1)
średnie prawdopodobieństwo wystąpienia ryzyka x średni wpływ tego ryzyka na działalność = ryzyko na poziomie 4 pkt (akceptowalne);2)
wysokie prawdopodobieństwo wystąpienia ryzyka x średni wpływ tego ryzyka na działalność = ryzyko na poziomie 6 pkt (istotne);3)
bardzo wysokie prawdopodobieństwo wystąpienia ryzyka x średni wpływ tego ryzyka na działalność = ryzyko na poziomie 8 pkt (istotne);4)
średnie prawdopodobieństwo wystąpienia ryzyka x wysoki wpływ tego ryzyka na działalność = ryzyko na poziomie 6 pkt (istotne);5)
wysokie prawdopodobieństwo wystąpienia ryzyka x wysoki wpływ tego ryzyka na działalność = ryzyko na poziomie 9 pkt (istotne);6)
bardzo wysokie prawdopodobieństwo wystąpienia ryzyka x wysoki wpływ tego ryzyka na działalność = ryzyko na poziomie 12 pkt (nieakceptowalne);7)
średnie prawdopodobieństwo wystąpienia ryzyka x bardzo wysoki wpływ tego ryzyka na działalność = ryzyko na poziomie 8 pkt (istotne);8)
wysokie prawdopodobieństwo wystąpienia ryzyka x bardzo wysoki wpływ tego ryzyka na działalność = ryzyko na poziomie 12 pkt (nieakceptowalne);9)
bardzo wysokie prawdopodobieństwo wystąpienia ryzyka x bardzo wysoki wpływ tego ryzyka na działalność = ryzyko na poziomie 16 pkt (nieakceptowalne).6.
Podczas oceny bierze się pod uwagę najbardziej prawdopodobny skutek wystąpienia ryzyka. Jeżeli z ryzykiem nie wiąże się dany rodzaj skutku, wartość tego ryzyka przyjmuje się na poziomie 1 pkt.7.
Bazowym wzorem opisującym poziom ryzyka (istotność) jest następująca formuła wykorzystująca wartości punktowe prawdopodobieństwa i wpływu wystąpienia ryzyka:W = PR x W
gdzie:
W - wartość (poziom) ryzyka
PR - prawdopodobieństwo wystąpienia ryzyka
W - wpływ wystąpienia ryzyka (maksymalna wartość) gdzie:
Macierz ryzyka
PRAWDOPODOBIEŃSTWO:
Ś - średnie = 2 pkt
W - wysokie = 3 pkt
BW - bardzo wysokie = 4 pkt
PRAWDOPODOBIEŃSTWO | BW | 8 | 12 | 16 |
W | 6 | 9 | 12 | |
Ś | 4 | 6 | 8 | |
Ś | W | BW |
WPŁYW:
Ś - średni = 2 pkt
W - wysoki = 3 pkt
BW - bardzo wysoki = 4 pkt WPŁYW
8.
Jeżeli zaistnieje taka potrzeba, właściciel ryzyka konsultuje wartość punktową prawdopodobieństwa i wpływu z przedstawicielami innych komórek organizacyjnych NDAP.9.
Po zidentyfikowaniu poziomu (istotności) ryzyka na podstawie poniższej tabeli właściciel ryzyka planuje działanie:POZIOM RYZYKA | OPIS DZIAŁANIA |
ŚREDNI (Ś) | poziom ryzyka akceptowalny - działanie możemy przesunąć w czasie, ale wymaga okresowego monitorowania |
WYSOKI (W) | poziom ryzyka istotny - działanie powinniśmy podjąć jak najszybciej, wymaga stałego monitorowania |
BARDZO WYSOKI (BW) | poziom ryzyka nieakceptowalny- wymaga natychmiastowego działania (i wdrożenia planu postępowania z ryzykiem) |
10.
W przypadku, gdy wystąpi ryzyko akceptowalne, właściciel ryzyka:1)
uwzględnia je w rejestrze ryzyk;2)
na bieżąco je monitoruje;3)
nie musi go minimalizować (toleruje).11.
W przypadku, gdy wystąpi ryzyko istotne, właściciel ryzyka:1)
uwzględnia je w rejestrze ryzyk;2)
na bieżąco je monitoruje;3)
może uruchomić działania minimalizujące, o ile takie działanie jest możliwe.12.
W przypadku, gdy wystąpi ryzyko nieakceptowalne, właściciel ryzyka:1)
uwzględnia je w rejestrze ryzyk;2)
na bieżąco je monitoruje;3)
obligatoryjnie wypełnia plan postępowania z ryzykiem, o którym mowa w § 14 ust. 4, i przekazuje Dyrektorowi Generalnemu NDAP.13.
W odniesieniu do ryzyk można podjąć następujące działanie:1)
przeciwdziałanie ryzyku polegające na wdrożeniu mechanizmów kontroli, których celem jest ograniczenie ryzyka do poziomu akceptowalnego, podjęciu działań minimalizujących prawdopodobieństwo lub skutki wystąpienia ryzyka lub obu jednocześnie;2)
przesunięcie ryzyka polegające na odłożeniu w czasie wykonania zadań, z którymi się wiąże określone ryzyko;3)
transfer ryzyka (dzielenie ryzyka z inną stroną lub stronami) polegający na ograniczeniu prawdopodobieństwa i efektu wystąpienia danego zdarzenia przez przeniesienie ryzyka w całości lub częściowo na podmiot zewnętrzny lub zleceniu innej instytucji realizacji zadań wspierających, np. outsourcing;4)
tolerowanie ryzyka polegające na niepodejmowaniu dodatkowych działań w odpowiedzi na ryzyko w sytuacji, gdy ryzyko jest zarządzane w sposób wystarczający lub modyfikacja ryzyka jest nieopłacalna, stanowiące akceptację ciężaru strat wynikających z konkretnego ryzyka, przy czym ryzyka skrajne, nieakceptowalne można zaakceptować w przypadku, gdy nie ma możliwości podjęcia działań ograniczających poziom danego ryzyka;5)
unikanie ryzyka polegające na nierozpoczynaniu lub niekontynuowaniu działań powodujących ryzyko (świadoma decyzja o nieangażowaniu się lub odejściu od ryzyka, eliminacja narażenia na konkretne ryzyko);6)
usunięcie źródła ryzyka polegające na działaniach, które mają wyeliminować źródła ryzyka czyli elementy, które same lub w połączeniu z innymi mają wewnętrzny potencjał, aby powodować powstanie ryzyka.14.
Opracowując działania minimalizujące ryzyko, należy rozważyć wdrożenie zabezpieczeń:1)
organizacyjnych (procedury);2)
technicznych (systemy);3)
fizycznych (zabezpieczenie).15.
Monitorowanie ryzyka polega na okresowym sprawdzeniu, czy:1)
status ryzyka się nie zmienił (zmaterializowane/niezmaterializowane);2)
poziom ryzyka się nie zmienił (akceptowalny/istotny/nieakceptowalny);3)
nie pojawiły się nowe ryzyka.Rozdział 3
Rejestr ryzyk
Rejestr ryzyk
§ 13.
1.
Rejestr ryzyk, którego wzór stanowi załącznik nr 1 do Polityki, jest zbiorem ryzyk zidentyfikowanych w komórce organizacyjnej NDAP.2.
Rejestr ryzyk zawiera następujące dane:1)
obszar, którego dotyczy zidentyfikowane ryzyko;2)
nazwę ryzyka;3)
grupę aktywów, której dotyczy ryzyko;4)
czynniki ryzyka (przyczyny możliwego wystąpienia ryzyka);5)
środki kontroli (zabezpieczenia);6)
informację, czy w poprzedniej analizie ryzyko było zgłoszone;7)
informację, czy od poprzedniej analizy ryzyko uległo materializacji;8)
ocenę prawdopodobieństwa wystąpienia ryzyka - w wartości punktowej;9)
ocenę wpływu wystąpienia ryzyka - w wartości punktowej;10)
poziom ryzyka (istotność) - w wartości punktowej;11)
poziom ryzyka (istotność) - w wartości opisowej;12)
poziom ryzyka, który mógłby być zaakceptowany - w wartości punktowej,13)
planowaną reakcję na ryzyko;14)
informację, czy dla ryzyka zostanie opracowany plan postępowania z ryzykiem.3.
Właściciel ryzyka przekazuje rejestr ryzyk pracownikowi realizującemu zadania z zakresu kontroli zarządczej. Następnie rejestry otrzymane z komórek organizacyjnych NDAP są przekazywane Dyrektorowi Generalnemu NDAP jako zbiorczy rejestr ryzyk.Rozdział 4
Plan postępowania z ryzykiem nieakceptowalnym
Plan postępowania z ryzykiem nieakceptowalnym
§ 14.
1.
Dla ryzyk ocenionych jako nieakceptowalne właściciel ryzyka obligatoryjnie przygotowuje plan postępowania z ryzykiem nieakceptowalnym, zwany dalej "planem postępowania z ryzykiem", w ramach którego przedstawia propozycję działań zmierzających do zminimalizowania ryzyka.2.
W planie postępowania z ryzykiem właściciel ryzyka wskazuje status działań wobec każdego z tych ryzyk jako jedną z opcji:1)
działanie zgłoszone do planu i przed realizacją;2)
działanie w trakcie realizacji wraz z terminem ukończenia;3)
działanie wdrożone;4)
działanie wycofane z realizacji (wraz z uzasadnieniem powodu wycofania).3.
Za wdrożenie planów postępowania z ryzykiem oraz monitorowanie postępów we wdrażaniu planów odpowiada właściciel ryzyka.4.
Wzór formularza planu postępowania z ryzykiem stanowi załącznik nr 2 do Polityki.1 Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2023 r. poz. 1273, 1407, 1429, 1641, 1693 i 1872 oraz z 2024 r. poz. 858.