Szczegółowe wytyczne dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem.
Dz.Urz.MF.2012.56
Akt obowiązującyKOMUNIKAT Nr 6
MINISTRA FINANSÓW
z dnia 6 grudnia 2012 r.
w sprawie szczegółowych wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem
1) Zmiany tekstu wymienionej ustawy zostały ogłoszone w Dz. U. z 2010 r. Nr 28, poz. 146, Nr 96, poz. 620, Nr 123, poz. 835, Nr 152, poz. 1020, Nr 238, poz. 1578 i Nr 257, poz. 1726 oraz z 2011 r. Nr 185, poz. 1092, Nr 201, poz. 1183, Nr 291, poz. 1707, Nr 234, poz. 1386, Nr 185, poz. 1092 i Nr 240, poz. 1429.
ZAŁĄCZNIK
Szczegółowe wytyczne dla jednostek sektora finansów publicznych w zakresie planowania oraz zarządzania ryzykiem
Szczegółowe wytyczne dla jednostek sektora finansów publicznych w zakresie planowania oraz zarządzania ryzykiem
Wprowadzenie
Istotą tworzenia i funkcjonowania jednostek sektora finansów publicznych jest terminowa realizacja określonych celów i zadań publicznych zgodnie z przepisami prawa, w sposób oszczędny i efektywny. Realizacja ustanowionych celów i zadań zawsze obciążona jest niepewnością, tj. ryzykiem. Ryzyko definiowane jest jako możliwość zaistnienia zdarzenia, które negatywnie wpłynie na osiągnięcie celów i zadań. Nie jest możliwe, ani celowe zredukowanie niepewności do zera. Zarządzanie ryzykiem to procedury i polityki oraz skoordynowane działania, podejmowane zarówno przez kierownictwo jednostki, jak i jej pracowników, które poprzez identyfikację i analizę ryzyka oraz określanie adekwatnych reakcji na ryzyko zwiększają prawdopodobieństwo osiągnięcia celów i realizacji zadań. Z uwagi, iż na zarządzanie ryzykiem składa się wiele, wzajemnie przenikających się i zależnych od siebie elementów, można nazwać go systemem. W niniejszych wytycznych pojęcie "zarządzanie ryzykiem" będzie zatem stosowane wymiennie z pojęciem "system zarządzania ryzykiem".
Niniejsze wytyczne uzupełniają zapisy Standardów kontroli zarządczej dla jednostek sektora finansów publicznych (Komunikat Nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych, Dz. Urz. Min. Fin. Nr 15, poz. 84), dalej "Standardy", w zakresie planowania działalności oraz zarządzania ryzykiem przede wszystkim na I poziomie kontroli zarządczej. Odnoszą się również do problematyki mechanizmów kontroli, komunikacji i wymiany informacji oraz monitorowania w zakresie zarządzania ryzykiem. Wytyczne opisują także role osób zaangażowanych w funkcjonowanie systemu zarządzania ryzykiem, a w szczególności określają zadania audytu wewnętrznego w tym systemie.
Podstawowym warunkiem skuteczności każdego systemu zarządzania ryzykiem jest jego dopasowanie do jednostki.
W wytycznych przedstawione są przykłady różnych rozwiązań stosowanych przez jednostki sektora finansów publicznych, które mogą być zastosowane w jednostkach, w przypadku odpowiedniej ich adaptacji. Reagowanie na ryzyko związane jest zazwyczaj z kosztami, zatem przyjęty system zarządzania ryzykiem jest pewnego rodzaju kompromisem pomiędzy poziomem ryzyka, jaki kierownik jednostki jest w stanie zaakceptować, a kosztami związanymi z zabezpieczeniem jednostki przed ryzykami.
Zasadniczą rolę w kształtowaniu i w późniejszym funkcjonowaniu systemu zarządzania ryzykiem na poziomie jednostki sektora finansów publicznych pełni kierownik tej jednostki. Jego postawa i zaangażowanie wpływają na to, jak zarządzanie ryzykiem jest postrzegane przez pozostałych pracowników jednostki. W związku z odpowiedzialnością kierownika jednostki, wynikającą z art. 69 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Nr 157, poz. 1240, z późn. zm.), dalej "ustawa", za zapewnienie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej, musi on dążyć do stworzenia skutecznie funkcjonującego systemu zarządzania ryzykiem. Delegowanie obowiązków w tym zakresie nie zmienia ostatecznej odpowiedzialności kierownika jednostki za zapewnienie prawidłowego funkcjonowania kontroli zarządczej.
1.2. Zarządzanie ryzykiem a kontrola zarządcza
Zarządzanie ryzykiem jest jednym z elementów kontroli zarządczej. Aby kontrolę zarządczą można było określić jako adekwatną, skuteczną i efektywną, w jednostce powinny prawidłowo funkcjonować wszystkie elementy kontroli zarządczej. Poza zarządzaniem ryzykiem do elementów kontroli zarządczej zaliczamy również:
Każdy z powyższych elementów jest równie istotny i powiązany z pozostałymi. Ich prawidłowe funkcjonowanie determinuje także skuteczność zarządzania ryzykiem. Wprowadzanie systemu zarządzania ryzykiem bez uwzględnienia funkcjonujących rozwiązań w pozostałych elementach kontroli zarządczej może być nieefektywne czy wręcz nieskuteczne. Konieczność uwzględniania środowiska, w którym jednostka funkcjonuje oraz zasad zarządzania już w niej stosowanych, powoduje, iż nie ma jednego, modelowego rozwiązania z zakresu zarządzania ryzykiem.
Przykład 1. Środowisko wewnętrzne
Jednym z elementów środowiska wewnętrznego jest przestrzeganie wartości etycznych. Osoby zarządzające i pracownicy powinni być świadomi wartości etycznych przyjętych w jednostce i przestrzegać ich przy wykonywaniu powierzonych zadań. Brak takiej świadomości lub nieprzestrzeganie wartości etycznych może skutkować tym, że zaprojektowane mechanizmy kontroli nie będą funkcjonować tak, jak powinny (np. procedury zamówień publicznych nie będą stosowane), a tym samym ryzyka nie będą prawidłowo zabezpieczone.
Przykład 2. Mechanizmy kontroli
W odpowiedzi na powtarzające się w jednostce problemy z terminowością udzielania odpowiedzi zdecydowano się na wprowadzenie w jednostce systemu informatycznego, którego zadaniem będzie m.in. monitorowanie terminów udzielania odpowiedzi. System został wdrożony, ale informacje z niego nie są okresowo analizowane. Bez tych analiz trudno ocenić skuteczność wprowadzonego mechanizmu.
Przykład 3. Informacja i komunikacja
W celu łatwego dostępu pracowników do uregulowań wewnętrznych utworzono w wewnętrznej sieci intranetowej bazę aktów prawnych. Jednakże nie zakomunikowano tego faktu pracownikom, ponadto część pracowników jednostki nie posiada dostępu do intranetu.
Przykład 4. Monitorowanie i ocena
Jednostka realizuje strategię wieloletnią oraz roczne plany działania. Ocena stanu realizacji celów i zadań określonych w planie rocznym odbywa się co kwartał, natomiast celów i zadań określonych w strategii co pół roku. Wdrażając system zarządzania ryzykiem w jednostce monitorowanie i ocena ryzyka zostało włączone do istniejącego w jednostce procesu sprawozdawczości. Dzięki temu kierownik jednostki otrzymuje nie tylko informacje nt. stanu realizacji celów i zadań, ale także informacje o najważniejszych ryzykach, które mogą wpłynąć na ich realizację i może szybko podejmować odpowiednie decyzje.
Wstępem do zarządzania ryzykiem jest zawsze prawidłowe określenie celów i zadań jednostki. Cele muszą być ustalone, aby można było nie tylko dokonać identyfikacji ryzyk oraz ich analizy, ale przede wszystkim aby skutecznie zarządzać daną instytucją.
Zarządzanie ryzykiem nie jest działaniem jednokrotnym - udokumentowana identyfikacja i analiza ryzyka, a więc określanie reakcji na ryzyko czy zastosowanie mechanizmów kontroli może odbywać się kilka razy w ciągu roku oraz na bieżąco wskutek zachodzących zmian i potrzeb.
1.3. Zarządzanie ryzykiem a I i II poziom kontroli zarządczej
W myśl przepisów ustawy kontrola zarządcza powinna funkcjonować na dwóch poziomach:
Rola osoby odpowiedzialnej za zapewnianie funkcjonowania systemu zarządzania ryzykiem w ramach II poziomu kontroli zarządczej może polegać m.in. na zharmonizowaniu działań jednostek podległych i nadzorowanych oraz upewnianiu się poprzez np. monitorowanie, że systemy zarządzania ryzykiem w jednostkach podległych i nadzorowanych/jednostkach organizacyjnych jst funkcjonują prawidłowo. Ponieważ zarządzanie ryzykiem jest ściśle związane z celami i zadaniami, rozwiązania w tym zakresie powinny być dopasowane do systemu planowania oraz sprawozdawczości w dziale administracji rządowej czy jst.
Kierownicy jednostek organizacyjnych jst oraz kierownicy jednostek w dziale administracji rządowej powinni otrzymać jasny komunikat ze strony odpowiednio kierownika jst oraz ministra kierującego działem, że w jednostkach powinny funkcjonować adekwatne, skuteczne i efektywne systemy zarządzania ryzykiem. Należy podkreślić, że realny sens wdrożenia systemów zarządzania ryzykiem występuje, gdy w jednostkach dokonywana jest rzetelna identyfikacja i ocena ryzyka, a informacje z systemu zarządzania ryzykiem są wykorzystywane w codziennym zarządzaniu daną jednostką. Dlatego też informacje z systemów zarządzania ryzykiem z jednostek organizacyjnych jst/jednostek w dziale powinny być prawidłowo wykorzystywane przez kierowników jst/ministrów, a także komitety audytu.
Zadania związane z efektywnym sprawowaniem kontroli zarządczej na II poziomie powinny być realizowane w ramach i na podstawie posiadanych kompetencji przyznanych w przepisach odrębnych.
Przykład 5. II poziom kontroli zarządczej w dziale administracji rządowej
Podsekretarz Stanu w Ministerstwie został zobowiązany zarządzeniem kompetencyjnym do nadzoru i monitorowania zadań z zakresu kontroli zarządczej w jednostkach podległych i nadzorowanych. Na podstawie tych kompetencji powołał zespół, który wypracował zasady zarządzania ryzykiem w jednostkach podległych i nadzorowanych. Wszyscy kierownicy jednostek podległych i nadzorowanych zostali zobowiązani przez Podsekretarza Stanu do stosowania wypracowanych zasad.
Przykład 6. II poziom kontroli zarządczej w jst
Prezydent Miasta jako osoba odpowiedzialna za zapewnienie funkcjonowania II poziomu kontroli zarządczej podjął decyzję o powołaniu Zespołu ds. opracowania i wdrożenia systemu kontroli zarządczej w jednostkach podległych i nadzorowanych. W skład tego Zespołu Prezydent Miasta wyznaczył Dyrektorów Departamentów sprawujących merytoryczny nadzór nad jednostkami organizacyjnymi miasta, powołanymi do realizacji jego celów i zadań. W wyniku prac Zespołu podjęto decyzję o określeniu zasad kontroli zarządczej, w tym w szczególności o:
Określono również zasady dokonywania czynności nadzoru właścicielskiego w stosunku do spółek prawa handlowego, w których Miasto posiada udziały lub akcje, a w szczególności wobec spółek komunalnych.
Przykład 7. Planowanie działalności w jst a II poziom kontroli zarządczej
Kierownik komórki organizacyjnej urzędu jednostki samorządu terytorialnego przy współudziale kierowników podległych i nadzorowanych jednostek organizacyjnych na podstawie celów strategicznych wyznacza najważniejsze cele do realizacji przez ww. jednostki. Przy uwzględnieniu ww. celów jednostek kierownik komórki organizacyjnej urzędu wyznacza cele dla swojej komórki.
Przyjęto, iż kierownik komórki organizacyjnej dokona podziału jednostek organizacyjnych na grupy i w ich ramach ustali cele do realizacji w porozumieniu z kierownikami jednostek. Grupy będą skupiać jednostki o zbliżonym charakterze działalności.
Założeniem tak zbudowanego systemu wyznaczania celów było zmniejszenie rozbieżności w celach jednostek organizacyjnych dzięki wspólnym ustaleniom oraz osiągnięcie pewności, iż wyznaczone cele będą służyć realizacji celów strategicznych jednostki samorządu terytorialnego. Cele jednostek organizacyjnych i komórek organizacyjnych urzędu nie powinny pozostawać ze sobą w sprzeczności. Spójny katalog celów jednostek organizacyjnych powinien przyczynić się do skutecznego monitorowania realizacji celów jednostek przez kierownika komórki.
Jasne określenie misji może sprzyjać ustaleniu hierarchii celów i zadań oraz efektywnemu zarządzaniu ryzykiem.
Należy rozważyć możliwość wskazania celu istnienia jednostki w postaci krótkiego i syntetycznego opisu misji. Misja ministerstwa powinna odnosić się do działów administracji rządowej kierowanych przez ministra, a misja urzędu jednostki samorządu terytorialnego odpowiednio do tej jednostki.
Cele i zadania należy określać jasno i w co najmniej rocznej perspektywie. Ich wykonanie należy monitorować za pomocą wyznaczonych mierników.
W jednostce nadrzędnej lub nadzorującej należy zapewnić odpowiedni system monitorowania realizacji celów i zadań przez jednostki podległe lub nadzorowane.
Zaleca się przeprowadzanie oceny realizacji celów i zadań uwzględniając kryterium oszczędności, efektywności i skuteczności.
Należy zadbać, aby określając cele i zadania wskazać także jednostki, komórki organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie oraz zasoby przeznaczone do ich realizacji.
2.1. Misja
Misja określa najważniejszy powód istnienia jednostki, najważniejszy cel w zakresie świadczenia usług dla obywateli. Tworząc misję można rozważyć takie kwestie jak: czym jednostka powinna się zajmować, co chce oferować obywatelom.
Jednostka może także posiadać wizję, która określa jak chce być postrzegana. Misja czy wizja nie muszą być spisane w postaci formalnego dokumentu. Jednakże forma pisemna daje możliwość upowszechnienia misji i wizji jednostki w szerszym kręgu odbiorców.
Poniżej przedstawiono przykłady określenia przez niektóre jednostki swoich misji i wizji.
Przykład 8. Najwyższa Izba Kontroli1)
Misją Najwyższej Izby Kontroli jest dbałość o gospodarność i skuteczność w służbie publicznej dla Rzeczypospolitej Polskiej.
Wizją Najwyższej Izby Kontroli jest cieszący się powszechnym autorytetem najwyższy organ kontroli państwowej, którego raporty będą oczekiwanym i poszukiwanym źródłem informacji dla organów władzy i społeczeństwa.
Przykład 9. Zakład Ubezpieczeń Społecznych2)
(Ze strategii przekształceń Zakładu Ubezpieczeń Społecznych na lata 2010-2012 wynika cel nadrzędny - pojedynczy cel ogólny, uspójniający cele główne wyznaczone dla poszczególnych perspektyw Zrównoważonej Karty Wyników (ZKW), pełniący rolę misji i wizji dla ZUS.)
Celem nadrzędnym Zakładu Ubezpieczeń Społecznych jest zwiększenie satysfakcji klientów poprzez projektowanie procesów i organizację zasobów przy zachowaniu przejrzystości i efektywności gospodarowania środkami publicznymi.
Przykład 10. Miasto Białystok3)
Misja: Białystok - miasto, w którym żyje się najlepiej. W oparciu o walory środowiska, wielokulturową tradycję, wysokiej jakości infrastrukturę oraz potencjał nowoczesnej gospodarki, Białystok liderem jakości życia i współpracy.
Wizja: Białystok w 2020 r. to kluczowy ośrodek metropolitalny na Wschodzie Unii Europejskiej, atrakcyjny i otwarty na współpracę, miasto nowoczesnej gospodarki opartej na wiedzy generujące wysokiej jakości miejsca pracy, zapewniające warunki dla rozwoju mieszkańców, zaspokajania ich potrzeb i aspiracji, z poszanowaniem tradycji, dziedzictwa kulturowego i środowiska przyrodniczego.
2.2. Określanie celów i zadań
Praktyka zarządzania w administracji publicznej wskazuje, że kierownicy jednostek rzadko w sposób sformalizowany i komunikowany w jednostce wyznaczają cele i zadania dla jednostek oraz prowadzą systematyczną ocenę stopnia ich wykonania. Wprowadzenie formalnego obowiązku wyznaczania celów i przygotowywania planów zadań dla działu oraz dla jednostek sektora finansów publicznych, a także sporządzanie sprawozdań z wykonania tych planów jest warunkiem koniecznym i niezbędnym dla właściwego zarządzania jednostką, a w konsekwencji efektywnego wykorzystania środków publicznych.
Planowanie działalności jest procesem, w którym są ustalane cele i zadania oraz wskazywane są środki do ich osiągania. Planowanie ma podstawowe znaczenie dla zarządzania jednostką, w tym dla zarządzania ryzykiem. Cele są bowiem:
Przy planowaniu można wyróżnić dwie zasadnicze grupy celów: strategiczne oraz operacyjne. Cele strategiczne powinny wynikać z przyjętej misji i wizji. Mają raczej stały i ogólny charakter, dotyczą dłuższego horyzontu czasu. Cele operacyjne powinny wynikać z celów strategicznych, mają bardziej dynamiczny charakter, obejmują krótszy okres (np. rok) i dotyczą konkretnych działań, które będą realizowane. Cele strategiczne można również postrzegać jako najważniejsze cele całej jednostki, natomiast cele operacyjne jako cele poszczególnych komórek organizacyjnych, których realizacja jest konieczna do osiągnięcia celów strategicznych.
Jeżeli jednostka definiuje cele w obu perspektywach, zarządzanie ryzykiem powinno odnosić się do obu tych aspektów.
Cele niższego rzędu muszą wynikać z celów wyższego rzędu, stanowić ich uszczegółowienie poprzez rozpisanie na poszczególne piony/komórki organizacyjne. Jeżeli określane są zarówno cele strategiczne i operacyjne, te pierwsze powinny być uzgadniane na poziomie najwyższego kierownictwa, natomiast "przekładanie" celów strategicznych na operacyjne powinno z kolei odbywać się co najmniej z udziałem komórek realizujących cele operacyjne.
W przypadku planowania działalności jst można zastosować rozwiązanie analogiczne jak zapisane w ustawie dla działu administracji rządowej, tj. ustalenie celów i zadań dla całej jst przez kierownika tej jednostki, a następnie wskazanie celów szczegółowych w jednostkach organizacyjnych jst. Takie podejście powinno zapewnić spójność celów i zadań jednostek organizacyjnych z celami i zadaniami jst.
Planowanie działalności można rozpocząć od analizy takich kwestii jak:
W wyniku tej analizy kierownictwo jednostki powinno uzyskać zbiór zagadnień/problemów, spośród których należy dokonać wyboru najistotniejszych i na ich podstawie sformułować propozycje celów, które zostaną zawarte w dokumencie planistycznym jednostki.
Celem nie powinno być samo działanie czy czynność, ale rezultat/efekt tego działania/czynności. Formułując cel należy dbać, aby spełniał warunki przedstawione w tabeli nr 1.
Tabela nr 1. Kryteria formułowania celów
Kryterium | Opis |
Istotny | Powinien obejmować najważniejsze obszary działalności jednostki oraz jednocześnie odzwierciedlać istotne potrzeby społeczno - gospodarcze zawarte, m.in. w aktualnych dokumentach strategicznych i programowych. Powinien być postrzegany jako istotny i stanowić ważny krok naprzód, a jednocześnie stanowić określoną wartość dla jednostki, która będzie go realizować. |
Precyzyjny i konkretny | Sformułowany jednoznacznie i nie pozostawiający miejsca na swobodną interpretację. Cel powinien odnosić się bezpośrednio do zamierzonego wyniku realizacji celu. W opisie celu nie należy stosować skrótów bez ich rozwinięcia. |
Mierzalny | Sformułowany w taki sposób, by można było liczbowo/ wartościowo wyrazić stopień jego realizacji lub przynajmniej umożliwić jednoznaczną "sprawdzalność" jego realizacji. |
Osiągalny, realistyczny | Cel powinien oscylować wokół spodziewanych pozytywnych wyników możliwych do wykonania. Zbyt ambitny cel podważa wiarę w jego osiągnięcie i tym samym obniża motywację do jego realizacji. Mało ambitny cel utrwala stan obecny w danym zakresie, nie zakładając rozwoju, postępu i może także demotywować. Należy unikać określania celu na poziomie minimalnym. |
Określony w czasie | Powinien mieć dokładnie określony horyzont czasowy, w jakim zamierzamy go osiągnąć. Standardy zalecają, aby cele były określane w co najmniej rocznej perspektywie. |
Cele realizowane są poprzez zadania. Określając zadania należy dążyć, aby one również spełniały kryteria określone w tabeli nr 1.
Określając cele i zadania należy wskazać, kto będzie odpowiedzialny za ich realizację, czyli wskazać osoby i/lub komórki organizacyjne w jednostce, które będą realizować dany cel lub zadanie, oraz odpowiadać za przygotowywanie okresowych informacji na temat realizacji celów i zadań.
Aby móc jednoznacznie odpowiedzieć na pytanie czy cel został zrealizowany, do każdego celu należy określić miernik. Miernik powinien:
Należy starannie rozważyć zasadność tworzenia nowych źródeł informacji jedynie w celu gromadzenia informacji niezbędnych do pomiaru stopnia realizacji celu. Optymalną sytuacją jest, gdy wykorzystujemy do tego już istniejące systemy.
2.3. Planowanie działalności jednostek a zadania określone w przepisach prawa
Należy unikać automatycznego formułowania celów i zadań na podstawie zadań określonych przez przepisy prawa regulujące dany obszar działalności jednostki, w szczególności w sytuacji trudności ze spełnianiem kryteriów określonych w tabeli nr 1. Poniżej przedstawiono przykłady zadań określonych w przepisach prawa lub wewnętrznych regulacjach oraz cele, jakie można w odniesieniu do tych zadań sformułować nie tylko w odniesieniu do całej jednostki, ale także do jej komórek organizacyjnych.
Przykład 11. Ochrona zdrowia w gminie
Zgodnie z art. 7 ust 1 ustawy z dnia 8 marca 1990 roku o samorządzie gminnym (Dz. U. z 2001 r. Nr 142, poz. 1591, z późn. zm.) zadania własne gminy obejmują m.in. zadania w zakresie ochrony zdrowia. Uwzględniając powyższe można sformułować następujący cel oraz zadania prowadzące do osiągnięcia celu na rok następny:
Cel: Ochrona zdrowia mieszkańców.
Miernik: Ilość zachorowań na daną chorobę przypadająca na 1000 mieszkańców gminy.
Zadanie 1: Kreowanie możliwości tworzenia dodatkowych medycznych gabinetów specjalistycznych na terenie gminy.
Miernik: Utworzenie 5 nowych specjalistycznych gabinetów medycznych na terenie gminy.
Zadanie 2: Wspieranie programów badań profilaktycznych mieszkańców gminy.
Miernik: Objęcie badaniem profilaktycznym 90% kobiet (po 50-tym roku życia) zamieszkujących na terenie gminy.
Przykład 12. Zadania komórki organizacyjnej określone w regulaminie organizacyjnym a określanie celów
Do zakresu zadań komórki obsługi bezpośredniej urzędu skarbowego należą m.in. następujące zadania:
Uwzględniając powyższe można sformułować następujący cel i zadanie na rok następny:
Cel: Zapewnienie wpływu dochodów do budżetu państwa na poziomie określonym dla urzędu skarbowego "X" na rok 2012.
Miernik: Kwota wpływów, wartość miernika ≥ 100% zaplanowanych wpływów.
Zadanie dla komórki organizacyjnej: Bieżące ewidencjonowanie dokumentów podatkowych i ich weryfikacja.
Miernik nr 1: Upływ czasu pomiędzy wpływem deklaracji a datą pierwszego księgowania, wartość miernika ≤ 17 dni.
Miernik nr 2: Szybkość zatwierdzania dokumentów, wartość miernika ≤ 16 dni.
Miernik nr 3: Szybkość zaewidencjonowania w systemie POLTAX dokumentów, wartość miernika ≤ 15dni.
Przykład 13. Zadania komórki organizacyjnej określone w regulaminie organizacyjnym a określanie celów
Do zadań Departamentu Inwestycji należy programowanie i koordynacja przedsięwzięć służących rozwojowi Miasta oraz obsługa inwestycji realizowanych z budżetu Miasta lub z innych środków pozyskanych przez Miasto, w tym ze środków własnych mieszkańców, a w szczególności:
Uwzględniając powyższe można sformułować następujący cel oraz zadania prowadzące do osiągnięcia celu na rok następny:
Cel: Usprawnienie układu komunikacyjnego miasta i poprawa bezpieczeństwa ruchu (do 2015 r.).
Mierniki (propozycje):
Zadanie 1: Budowa i przebudowa układu drogowego o długości 15 km w części północno-wschodniej miasta "X".
Miernik: 100% wykonania inwestycji.
Zadanie 2: Zaprojektowanie i wybudowanie ulicy "X" wraz z odwodnieniem, kanalizacją deszczową i oświetleniem.
Miernik: 100% wykonania inwestycji.
Zadanie 3: Wykonanie przebudowy ulicy "X" wraz z infrastrukturą komunalną.
Miernik: 100% wykonania inwestycji.
Zadanie 4: Remont i konserwacja infrastruktury drogowej, w tym obiektów mostowych położonych przy ul. "X".
Miernik: 100% wykonania inwestycji.
2.4. Uczestnicy procesu planowania
W procesie planowania działalności bardzo ważną kwestią jest silne zaangażowanie wyższego kierownictwa oraz sposób dochodzenia do wyznaczenia celów. Proces planowania nie powinien opierać się jedynie na oddolnym składaniu propozycji celów przez pracowników czy też komórki organizacyjne, czyli cele wyższego rzędu nie mogą być prostą sumą celów niższego rzędu. Wyznaczanie celów w taki sposób stanowi zaprzeczenie zasadzie, że jednostką zarządza kierownik i powoduje, że tak zidentyfikowane cele nie wyznaczają nowych i ambitnych kierunków, lecz raczej odtwarzają dotychczas wykonywane zadania.
Dobrą praktyką jest też uczestniczenie w procesie planowania kierownictwa komórek zajmujących się finansami jednostki.
Przykład 14. Uczestnicy procesu planowania w Ministerstwie
W Ministerstwie wszyscy członkowie Kierownictwa składają propozycje celów i zadań, które zostaną umieszczone w planie działalności, na podstawie informacji przygotowywanych przez nadzorowane komórki organizacyjne. Ostateczną decyzję, które cele zostaną zawarte w planie działalności, podejmuje Kierownictwo.
Przykład 15. Proces planowania działalności w Urzędzie Skarbowym
W Urzędzie Skarbowym "X" proces planowania przedstawia się następująco:
Przykład 16. Zasady planowania działalności w Policji
Zarządzając strategicznie Komendant Główny Policji określa swoje priorytety w perspektywie trzyletniej. Priorytety te realizują biura Komendy Głównej Policji, szkoły Policji oraz komendy wojewódzkie (Komenda Stołeczna Policji). Na poziomie komend wojewódzkich (Stołecznej), w oparciu o analizę uwarunkowań miejscowych tworzone są priorytety lokalne. Ich zadaniem jest uwzględnienie specyfiki terytorialnej, odrębności zagrożeń, itp. Priorytety Komendanta Głównego oraz priorytety lokalne są opracowywane w formie strategii wojewódzkich, w których opisane są sposoby osiągnięcia tych kluczowych celów. Metodyka zakłada coroczną ewaluację metod osiągania celów. Każdy z priorytetów (celów) opisany jest przy pomocy mierników (wartości oczekiwanych dla wskaźników oraz sposobu ich wyliczania), mierniki oparte są na policyjnych bazach danych oraz badaniach społecznych wykonywanych wewnątrz i na zewnątrz organizacji.
2.5. Wyniki procesu planowania
Z uwagi na to, że cele powinny być dobrze znane w jednostce, zaleca się ich spisanie i upowszechnienie wśród wszystkich pracowników.
Końcowym efektem procesu planowania powinna być lista celów i zadań jednostki w określonej perspektywie czasowej ze wskazaniem mierników, które pozwolą na jednoznaczne określenie, czy cele i zadania zostały osiągnięte oraz osób/komórek organizacyjnych, które będą realizować określone cele.
Zgodnie z art. 70 ust. 4. ustawy kierownicy jednostek w dziale administracji rządowej, zobowiązani przez ministra kierującego działem do sporządzania planu działalności na rok następny, sporządzają go według wzoru określonego w rozporządzeniu Ministra Finansów wydanym na podstawie art. 70 ust. 7 ustawy. Pozostałe jednostki sektora finansów publicznych, przygotowując własne dokumenty planistyczne, mogą wykorzystać ww. wzór lub też opracować własny.
Przykład 17. Cele i zadania jednostki sądownictwa powszechnego
Cel strategiczny jednostki sądownictwa powszechnego: Zwiększenie sprawności postępowań sądowych oraz stopniowe ograniczenie poziomu zaległości sądowych.
Cele operacyjne wszystkich wydziałów orzeczniczych (procesowych):
Miernik: Wskaźnik opanowania wpływu spraw.
Miernik: Odsetek spraw trwających ponad 12 miesięcy.
Miernik: Średni czas trwania postępowania.
Zadania służące realizacji powyższych celów to m.in.:
3. Identyfikacja ryzyka
Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań. W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego należy uwzględnić, że cele i zadania są realizowane także przez jednostki podległe i nadzorowane. W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka należy dokonać ponownej identyfikacji ryzyka.
3.1. Czas przeprowadzania identyfikacji ryzyka
Moment identyfikacji ryzyk ma podstawowe znaczenie, bowiem ryzyka, które nie zostaną określone na tym etapie, nie będą brane pod uwagę na dalszych etapach zarządzania ryzykiem, a więc nie będą zarządzane. Dlatego też identyfikacja ryzyka powinna być jak najbardziej kompleksowa. Początkiem identyfikacji ryzyka jest zawsze dokładne zrozumienie celów i zadań jednostki, w tym czynników, które mogą wpłynąć na osiągnięcie zamierzonych celów.
Identyfikację ryzyka należy przeprowadzać :
Najlepszym momentem identyfikacji ryzyk jest czas, kiedy określane są cele i zadania na rok następny oraz zasoby przeznaczone na realizację tych zamierzeń. Identyfikacja ryzyk w późniejszym terminie powoduje, że nie zarządza się ryzykami w sposób uporządkowany od początku roku. Identyfikacja ryzyk na etapie planowania działalności pozwala też na określenie, które z planowanych działań obarczone są zbyt dużym ryzykiem - wówczas staje się konieczne rozważenie rezygnacji z ich podejmowania. W ten sposób można uniknąć rozpoczynania projektów, które mają niewielką szansę na zakończenie sukcesem, a których realizacja zawsze związana jest z wydatkowaniem publicznych środków. W identyfikację ryzyk powinny być zaangażowane te same osoby, które będą później odpowiedzialne za realizację wyznaczonych celów i zadań.
3.2. Informacje wykorzystywane przy identyfikacji ryzyka
Ryzyko występuje na wszystkich szczeblach organizacji (kierownik jednostki, kierownictwo średniego szczebla, pracownicy), dlatego też identyfikacja ryzyka również powinna być przeprowadzana na wszystkich poziomach jednostki.
Ryzyka mogą mieć swoje źródła wewnątrz jednostki, jak również w środowisku, w jakim jednostka funkcjonuje. W przypadku działu administracji rządowej lub jst mogą to być również ryzyka sygnalizowane przez jednostki podległe i nadzorowane. Identyfikując ryzyka należy wziąć pod uwagę wszystkie ryzyka, niezależnie od miejsca/źródła ich powstania.
Przykłady czynników zewnętrznych i wewnętrznych przedstawia tabela nr 2.
Tabela nr 2. Przykładowe czynniki zewnętrzne i wewnętrzne, które mogą zostać uwzględnione przy identyfikacji ryzyka
Czynniki zewnętrzne: | Czynniki wewnętrzne: |
* zmieniające się oczekiwania lub potrzeby | * charakter wykonywanej działalności |
obywateli | * kultura organizacji |
* zmiany przepisów prawa | * dostępne środki finansowe |
* zagrożenia naturalne | * plany i strategie |
* zmiany gospodarcze | * komunikacja |
* naciski na jednostkę z zewnątrz | * systemy informatyczne |
* zmiany technologii | * liczba pracowników i ich kwalifikacje |
* odpowiedzialność i postawa kierownictwa | |
* liczba, rodzaj i wielkość dokonywanych operacji finansowych | |
* przetwarzanie informacji |
3.3. Sposób opisywania ryzyka
Identyfikując ryzyka zaleca się opisanie przyczyn jego wystąpienia oraz możliwych skutków, bowiem jest to potrzebne dla dalszej analizy ryzyka, tj. oszacowania istotności ryzyka. Dokładne zidentyfikowanie zarówno przyczyn, jak i skutków ryzyka będzie również wpływało na decyzje dotyczące sposobu postępowania z ryzykiem. Poszczególne ryzyka mogą wpływać na wiele celów jednostki, np. ryzyko znacznego ograniczenia budżetu jednostki wpłynie na wiele celów, które jednostka ustaliła przy innym poziomie finansowania. Ryzyka mogą się kumulować, np. w przypadku ryzyka występującego w wielu komórkach organizacyjnych, w każdej z nich jego wpływ na funkcjonowanie komórki może być niewielki, ale w skali jednostki jego skumulowane efekty mogą w znaczący sposób wpłynąć na realizację celów i zadań jednostki.
Nie należy określać ryzykiem sytuacji/czynników/wydarzeń, które są zaprzeczeniem celów.
Przykład 18. Ryzyko a nie osiągnięcie celu
Jeżeli celem jest zrealizowanie dochodów na założonym poziomie, to ryzykiem nie jest niezrealizowanie dochodów na założonym poziomie. Ten stan należałoby określić jako niezrealizowanie celu. Ryzykiem będą natomiast zdarzenia, które mogą wpłynąć na niezrealizowanie celu, np. kryzys w gospodarce, zwiększony przemyt towarów objętych akcyzą (spadek wpływów z akcyzy), zwiększanie się szarej strefy (spadek wpływów podatkowych) czy oszustwa w zakresie VAT, i będą one specyficzne dla danej jednostki.
Należy unikać określania ryzykiem sytuacji/czynników/wydarzeń, które nie mają wpływu na realizację celów lub zadań.
Wszystkie ryzyka powinny mieć swojego właściciela, który jest odpowiedzialny za zapewnienie, że ryzyko jest zarządzane i monitorowane. Właściciel ryzyka powinien mieć możliwości (uprawnienia) wystarczające do zapewnienia efektywnego zarządzania ryzykiem.
Przykład 19. Wskazywanie właściciela ryzyka
W strukturze jednostki składającej się z komórek organizacyjnych kierowanych przez dyrektorów, którym podlegają naczelnicy wydziałów, naczelnik wydziału może nie być właścicielem ryzyka związanego z odejściem kluczowych pracowników z uwagi na pogarszające się warunki finansowe. Dyrektor komórki organizacyjnej w ramach swoich kompetencji może już mieć możliwości zarządzania tym ryzykiem poprzez odpowiednią organizację pracy komórki organizacyjnej, ustalenie systemu zastępstw czy kierowanie pracowników na specjalistyczne szkolenia. Inne również będą możliwości zarządzania tym ryzykiem kierownika jednostki, np. zwiększenie wynagrodzenia kluczowych pracowników.
Zaleca się identyfikowanie ryzyk zarówno do celów, jak i do zadań. Nie można określić minimalnej czy maksymalnej liczby ryzyk, którą należy zidentyfikować i przeanalizować. Istotne jest, aby zidentyfikowane ryzyka w rzeczywisty sposób opisywały zagrożenia, które mogą wpłynąć na realizację celów i zadań. Należy jednak pamiętać, że określenie zbyt dużej ilości ryzyk może powodować problemy w zarządzaniu nimi.
Po zakończonej identyfikacji ryzyka może się okazać, że ryzyka będą tworzyć pewne grupy. Grupowanie ryzyk może stanowić ułatwienie i usprawnienie zarządzania ryzykiem.
Przykładowe grupy ryzyk zostały przedstawione w załączniku nr 1 do wytycznych.
3.4. Techniki identyfikacji ryzyka
Istnieje wiele technik identyfikacji ryzyka. Przykładowe techniki, jakie mogą być zastosowane przedstawia tabela nr 3. W jednostce mogą być wykorzystywane różne techniki identyfikacji ryzyka, o ile procedury zarządzania ryzykiem nie wskazują jednej wymaganej metody. Ryzyka mogą być identyfikowane przez kierownictwo wyższego szczebla, kierownictwo średniego szczebla oraz pracowników jednostki.
Tabela nr 3. Przykładowe techniki identyfikacji ryzyk
Technika | Opis |
Listy potencjalnych zdarzeń | Tworzone są na podstawie doświadczeń innych jednostek wykonujących podobną działalność. Listy te mogą być stosowane jako punkt wyjściowy do identyfikacji zdarzeń. |
Moderowane warsztaty i wywiady | Identyfikacja zdarzeń poprzez wykorzystanie w dyskusji skumulowanej wiedzy i doświadczenia kierownictwa i pracowników. Moderator prowadzi dyskusję na temat zdarzeń, które mogą wpływać na osiąganie celów i zadań. Dzięki połączeniu wiedzy i doświadczenia uczestników warsztatów czy wywiadów mogą być zidentyfikowane ważne zdarzenia, które inaczej mogłyby zostać pominięte. Warsztaty lub wywiady powinny być odpowiednio zorganizowane, aby zapewnić systematyczną identyfikację ryzyka. |
Analiza procesów | Analiza nakładów, zadań, obowiązków i rezultatów, które składają się na proces, poznanie relacji zachodzących pomiędzy nimi. Jednostka/komórka organizacyjna identyfikuje zdarzenia, które mogą wpływać na osiąganie celów poprzez analizę czynników wewnętrznych i zewnętrznych wpływających na nakłady i działania w ramach procesów. |
Burza mózgów | Dyskusja, w której uczestnicy spotkania mogą swobodnie zgłaszać wszelkie potencjalne ryzyka, nieprawidłowości, możliwości wystąpienia błędów, które następnie są weryfikowane i selekcjonowane. Istotą burzy mózgów jest pobudzanie jej uczestników do zebrania jak największej ilości potencjalnych zdarzeń, które mogą wpłynąć na osiągnięcie celów i zadań. |
3.5. Uczestnicy procesu identyfikacji ryzyka
W identyfikacji ryzyk powinny uczestniczyć osoby, które są odpowiedzialne za realizację wyznaczonych celów i zadań oraz osoby je realizujące. Potencjalni uczestnicy procesu identyfikacji ryzyk to najwyższe kierownictwo (przynajmniej w odniesieniu do celów strategicznych), kierownictwo średniego szczebla, wybrani pracownicy, osoba/zespół/kierownik komórki, osoba odpowiedzialna za koordynację systemu zarządzania ryzykiem w jednostce, komitet audytu.
3.6. Wyniki identyfikacji ryzyk
W wyniku prowadzonej identyfikacji ryzyk otrzymuje się listę ryzyk odnoszących się do sformułowanych celów, określającą przyczyny i skutki ich wystąpienia.
Przykład 20. Ochrona zdrowia w gminie
Cel: Ochrona zdrowia mieszkańców.
Zadanie 1: Kreowanie możliwości tworzenia dodatkowych medycznych gabinetów specjalistycznych na terenie gminy.
Miernik: Utworzenie 5 nowych specjalistycznych gabinetów medycznych na terenie gminy. Przykładowe ryzyka:
- nieskuteczna akcja promocyjna - brak zainteresowania potencjalnych lekarzy specjalistów,
- niesprzyjające warunki lokalowe i komunikacyjne - problemy z dotarciem do specjalisty,
- brak możliwości zawarcia kontraktów z NFZ,
- brak lekarzy specjalistów zainteresowanych otwarciem gabinetu.
Zadanie 2: Wspieranie programów badań profilaktycznych mieszkańców gminy.
Miernik: Objęcie badaniem profilaktycznym 90% kobiet (po 50-tym roku życia) zamieszkujących na terenie gminy.
Przykładowe ryzyka:
Przykład 21. Zarządzanie zasobami ludzkimi
Cel procesu zarządzania zasobami ludzkimi: skuteczne zarządzanie zasobami ludzkimi, poprzez pozyskiwanie, rozwój i utrzymywanie efektywnie działającej kadry, która zapewni pełną i efektywną realizację zadań jednostki.
Miernik: ilość osób nowozatrudnionych, z którymi zawarto stałą umowę o pracę w stosunku do ogółu ilości osób zatrudnionych w tym samym okresie.
Przykładowe ryzyka:
Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Należy określić akceptowany poziom ryzyka.
4.1. Kryteria analizy ryzyka
Po identyfikacji ryzyka należy przeprowadzić analizę ryzyka, której celem jest poznanie zakresu, w jakim ryzyka mogą wywrzeć wpływ na osiągnięcie celów. Analiza dostarcza informacji niezbędnych do uszeregowania zidentyfikowanych ryzyk i podjęcia decyzji, jak należy z nimi postąpić. Horyzont czasowy analizy ryzyka powinien być spójny z horyzontem czasowym celów, dla których prowadzona jest analiza ryzyka (jeżeli cele wyznaczane są w rocznej perspektywie, analiza ryzyka powinna dotyczyć analogicznego okresu).
Analiza ryzyka polega na oszacowaniu tzw. istotności ryzyka poprzez określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków, np. poprzez iloczyn oceny prawdopodobieństwa wystąpienia ryzyka oraz oceny jego skutków. Jednostka sama ustala sposób szacowania istotności ryzyka, określając kryteria analizy, które powinny wskazywać na sposób mierzenia prawdopodobieństwa wystąpienia ryzyka i jego skutków. Kryteria te powinny umożliwiać najbardziej obiektywną analizę ryzyka. W przypadku ryzyk związanych z finansami możliwe jest stosowanie obiektywnych kryteriów finansowych; w przypadku innych ryzyk, np. reputacyjnych, konieczne jest zastosowanie innych kryteriów. Przykładowe skale oceny skutków i prawdopodobieństwa wystąpienia ryzyka przedstawia załącznik nr 2.
4.2. Ryzyko nieodłączne i ryzyko rezydualne
Jednostka może przyjąć dwustopniową metodę, polegającą na (1) ocenie ryzyka przed uwzględnieniem istniejących mechanizmów kontrolnych - tzw. ryzyka nieodłącznego, czyli ryzyka występującego niezależnie od istnienia bądź nie działań ograniczających, (2) a następnie tzw. ryzyka rezydualnego, które pozostaje po wprowadzeniu reakcji na ryzyko.4)
Przykład 22. Ryzyko wewnętrzne a rezydualne
Ryzyko wewnętrzne niejednolitego stosowania przepisów ustawy o zamówieniach publicznych w przypadku zamówień powyżej 14 tys. euro zostało ocenione przez kierownictwo następująco (przy zastosowaniu 3- stopniowej skali ocen):
Łącznie poziom ryzyka nieodłącznego został oceniony jako 9. Powyższe ryzyko przewyższało akceptowany poziom ryzyka przyjęty w jednostce. W odpowiedzi kierownictwo jednostki zaproponowało przygotowanie wewnętrznych procedur dotyczących zamówień powyżej 14 tys. euro. Następnie ponownie dokonano oceny ryzyka.
Ryzyko rezydualne zostało ocenione następująco:
Ryzyko rezydualne mieści się w przyjętym akceptowanym poziomie ryzyka i nie ma konieczności stosowania innych mechanizmów kontroli.
Możliwe jest też stosowanie jednostopniowej oceny ryzyka od razu po uwzględnieniu funkcjonujących mechanizmów kontroli tego ryzyka, tj. wyłącznie ryzyka rezydualnego.
Dokonując oceny ryzyka rezydualnego istniejące mechanizmy kontroli można ocenić według kryteriów określonych w tabeli nr 4.
Tabela nr 4. Kryteria oceny mechanizmów kontroli
Kryterium | Definicja | Sposób oceny |
Adekwatność | Zaprojektowane mechanizmy kontroli stanowią zamierzoną odpowiedź na zidentyfikowane ryzyka. | Dokonując oceny adekwatność mechanizmów kontroli należy ocenić, czy mechanizmy kontroli: |
* wpływają na przyczyny lub skutki wystąpienia ryzyka, lub na obie te kwestie, | ||
* zostały skonstruowane tak, że ich prawidłowe stosowanie zabezpieczy jednostkę przed danym ryzykiem, | ||
* są odpowiednie w odniesieniu do ustalonego akceptowalnego poziomu ryzyka przy jednoczesnej skuteczności i efektywności kosztowej. | ||
Skuteczność | Zaprojektowane mechanizmy kontroli skutecznie radzą sobie z zidentyfikowanym ryzykiem, działają tak jak zostały zaprojektowane. | Dokonując oceny skuteczności należy ocenić, czy mechanizmy kontroli: |
* ograniczają ryzyka w pożądanym stopniu (do akceptowalnego poziomu), | ||
* w sposób automatyczny zabezpieczają przed daną przyczyną lub ograniczają skutek, bez konieczności podejmowania innych działań, | ||
* są niezależne od uznania, decyzji lub błędu człowieka. | ||
Efektywność | Zaprojektowane mechanizmy kontroli pozwalają na skuteczną reakcję na ryzyko przy możliwie najmniejszych nakładach związanych z funkcjonowaniem tych mechanizmów. | Dokonując oceny efektywności mechanizmów kontroli należy ocenić, czy: |
* koszty wdrożenia i funkcjonowania mechanizmów nie przewyższają szkód, które by powstały w wypadku zmaterializowania się ryzyka, | ||
* dotychczasowe nakłady na mechanizm kontroli są niższe od efektów uzyskiwanych w wyniku jego działania. |
Przykład 23. Ocena adekwatności, skuteczności i efektywności
CEL: Terminowa wypłata świadczenia X w 2012 roku RYZYKO: Błędy w danych wprowadzonych do systemu informatycznego | |||
MECHANIZM | OCENA | ||
ADEKWATNOŚĆ | SKUTECZNOŚĆ | EFEKTYWNOŚĆ | |
Automatyczna kontrola poprawności wpisywanych dat w aplikacji - uniemożliwia wprowadzenie wstecznej daty. | Mechanizm dotyczący zidentyfikowanego ryzyka. Pozwala na wiarygodną ocenę wprowadzonych do systemu dat związanych z załatwieniem sprawy. | Mechanizm kontrolny działa automatycznie, bez możliwości modyfikacji przez użytkownika. | Mechanizm efektywny, jednokrotnie zaimplementowany w aplikacji. Nie są ponoszone bieżące koszty jego funkcjonowania. |
Kontrola funkcjonalna sprawowana przez bezpośredniego przełożonego. | Mechanizm pozwalający na kompleksową ocenę poprawności załatwiania spraw. | Mechanizm zależny do decyzji lub błędu człowieka. Przeprowadzona kontrola wewnętrzna potwierdziła skuteczność mechanizmu. | Mechanizm efektywny, kontrola funkcjonalna sprawowana jest zgodnie z zakresem obowiązków bez ponoszenia dodatkowych kosztów na jego funkcjonowanie. |
Przykład 24. Skuteczność mechanizmu kontrolnego
Kierownik jednostki mając na uwadze zasadę wynikającą z ustawy o finansach publicznych tj. gospodarności i oszczędności przy wydatkowaniu środków publicznych przyjął zasadę określoną w procedurach, że każdy wydatek, który ma miejsce w urzędzie, poprzedzony jest analizą w zakresie konieczności jego dokonania. W tym celu pracownik wypełnia odpowiedni formularz, wskazując i uzasadniając cel wydatkowania środków publicznych, następnie musi uzyskać akceptację (zgodę) ze strony kierownictwa na jego dokonanie oraz potwierdzenie ze strony głównego księgowego, że w budżecie zabezpieczono odpowiednie środki finansowe na ten cel. Kierownik jednostki takim postępowaniem zabezpiecza się przed niegospodarnymi czy też niecelowymi wydatkami w swojej jednostce (adekwatny mechanizm kontrolny do potencjalnego ryzyka). Analizując skuteczność tego mechanizmu, musimy odpowiedzieć na pytanie czy nie wystąpiły przypadki niegospodarnego czy też niecelowego wydatkowania środków finansowych. Jeżeli wystąpiły, jest to dowód na brak skuteczności działania tak ustanowionego mechanizmu kontrolnego.
Z powyższego przykładu wynika, że ustanowiony mechanizm może być adekwatny i skuteczny, jak i adekwatny, ale nieskutecznie zabezpieczający przed danym ryzykiem.
Przykład 25. Efektywność mechanizmu na podstawie procedury wydatkowania środków publicznych
Kierownik jednostki przyjął zasadę uzgadniania każdego wydatku, bez określonego limitu kwoty wydatków, powyżej którego przeprowadza się procedurę. Taka sytuacja może doprowadzić do paraliżu funkcjonowania jednostki. W takich okolicznościach wydatek niewielkiej kwoty, związanej np. z usuwaniem drobnej awarii w jednostce, będzie wymuszał zastosowanie obowiązującej procedury w instytucji. Ponadto, czas poświęcony na wypełnienie zadań w tym zakresie, koszty związane z wydrukiem i przygotowaniem takiego wniosku są nieadekwatne do uzyskanych korzyści. Stąd też często w procedurach wewnętrznych pojawiają się zapisy o limitach kwotowych, które obowiązują w danym urzędzie.
4.3. Akceptowany poziom ryzyka
Akceptowany poziom ryzyka to poziom ryzyka, który kierownik jednostki jest w stanie zaakceptować i nie podejmować dalszych działań wobec danego ryzyka. Odzwierciedla on filozofię zarządzania ryzykiem oraz nastawienie kierownictwa do ryzyka. Akceptowany poziom ryzyka powinien być jasno określony, przy czym może być on różny dla różnych celów jednostki, np. bardzo niski w odniesieniu do celów związanych z zapewnieniem bezpieczeństwa pracowników ale nieco wyższy w przypadku celów związanych z podstawową działalnością jednostki. Akceptowany poziom ryzyka powinien także być prawidłowo zakomunikowany, aby wszystkie zainteresowane osoby dobrze go znały.
Akceptowany poziom ryzyka może być wyrażony:
Dobre opisanie poszczególnych ryzyk umożliwia wskazanie poziomu ryzyka akceptowanego w sposób bezpośredni i zrozumiały dla każdej osoby, której to ryzyko dotyczy. Wymaga to większego nakładu pracy, jednakże stanowi jednocześnie konkretną i jednoznaczną wytyczną co jest ryzykiem i do którego momentu jest ono akceptowane. Sformułowanie ryzyk w powiązaniu z celami w jednoznaczny i mierzalny sposób daje konkretne wskazówki jakich zachowań mają oczekiwać pracownicy oraz jakie są kryteria oceny ich komórek organizacyjnych.
Dwie jednostki realizujące podobne zadania mogą akceptować ryzyka na różnym poziomie, co będzie konsekwencją różnego podejścia do ryzyka przez kierowników tych jednostek.
Przykład 26. Akceptowany poziom ryzyka określony przy pomocy kryteriów wykorzystywanych w analizie ryzyka
Kierownik jednostki może ustalić, że akceptowalne jest ryzyko średnie (przy trzystopniowej skali oceny ryzyka) i przy tym poziomie nie będą podejmowane dodatkowe działania przeciwdziałające ryzyku. Nie będą też wprowadzane żadne zmiany w związku z wystąpieniem niekorzystnego zjawiska, a jedynie prowadzony będzie monitoring ryzyk w ramach istniejących mechanizmów kontroli. Natomiast ryzyka, których istotność zostanie ocenia powyżej średniego poziomu nie są akceptowalne i wymagają zastosowania dodatkowych mechanizmów kontrolnych, których zadaniem będzie obniżenie ryzyka do poziomu akceptowalnego.
Przykład 27. Akceptowany poziom ryzyka określony przy pomocy kryteriów wykorzystywanych w analizie ryzyka
Ustalono następujące przedziały oceny ryzyka:
Próg istotności zidentyfikowanego i poddanego analizie ryzyka ustala się na poziomie 5 - ryzyko nieznaczne. Po przekroczeniu tej wartości kierownicy komórek organizacyjnych oraz pracownicy zatrudnieni na samodzielnych stanowiskach pracy zobowiązani są do zgłoszenia tego faktu kierownikowi jednostki oraz wskazania konkretnych działań zaradczych ograniczających wystąpienie ryzyka i jego skutków.
Przykład 28. Akceptowany poziom ryzyka w dostępie do systemów informatycznych
Zadania komórki organizacyjnej polegają głównie na terminowym wprowadzaniu do centralnego systemu wniosków oraz ich obróbce. Brak dostępu do systemu uniemożliwi (ryzyko duże) bądź utrudni (ryzyko średnie) realizację celu (terminowa i poprawna obsługa złożonych wniosków). W trakcie burzy mózgów, w której uczestniczył naczelnik wydziału rejestrującego oraz naczelnik komórki informatycznej ustalono, iż akceptowalną przerwą w dostępie do sieci będzie 5 godzin tygodniowo. Taki pułap pozwoli zrealizować cel z niewielkimi utrudnieniami (ryzyko niskie) oraz odzwierciedla możliwości komórki informatycznej w zakresie zapewnienia ciągłości działalności (utrzymanie dostępu tak, aby przerwa nie przekraczała 5 godzin tygodniowo jest celem komórki informatycznej).
4.4. Graficzne przedstawienie analizy ryzyka
Po dokonaniu analizy ryzyka możliwe jest uszeregowane ryzyk i sporządzenie mapy ryzyka (w formie graficznej), obrazującej jak oceniane są poszczególne ryzyka.
Przykład 29. Mapa ryzyka przy zastosowaniu 3 - stopniowej oceny skali skutku i prawdopodobieństwa; poziom ryzyka akceptowanego ustalony poniżej 6 punktów
grafika
Przykład 30. Mapa ryzyka przy zastosowaniu 4 - stopniowej skali ocen, poziom akceptowany - niski i średni
grafika
W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Należy określić działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu.
5.1. Możliwe reakcje na ryzyko
Uszeregowanie ryzyk ma zasadnicze znaczenie dla zarządzania nimi. Po porównaniu oceny ryzyka oraz akceptowanego poziomu ryzyka zostaną wskazane:
Uszeregowanie ryzyk pozwala skupić zasoby jednostki na ograniczaniu najistotniejszych ryzyk. Możliwe rodzaje reakcje na ryzyko oraz ich przykłady przedstawiono w tabeli nr 5.
Tabela nr 5. Przykłady rodzajów reakcji na ryzyko
Rodzaj reakcji | Tolerowanie | Przeniesienie | Wycofanie się | Działanie |
Opis: | Brak działań wpływających na ryzyko. | Przeniesienie części lub całego ryzyka innej stronie/podmiotowi /jednostce. | Odejście od działań, które wiążą się z ryzykiem. | Podejmowanie działań ograniczających ryzyko do akceptowanego poziomu. |
Przykłady: | Nie są podejmowane żadne działania, np. z powodu kosztów przewyższających spodziewane korzyści. | Zakup polisy ubezpieczeniowej, zlecanie czynności na zewnątrz. | Rezygnacja z projektu. | Wszelkie mechanizmy kontroli stosowane w jednostce w codziennym jej funkcjonowaniu, np. podział obowiązków. |
Rodzaj reakcji na ryzyko zależy od:
Wyznaczenie odpowiedniej reakcji zależy od świadomej decyzji właściwych osób.
Przykład 31. Wpływ potencjalnych reakcji na prawdopodobieństwo wystąpienia ryzyka i jego skutek
Cel strategiczny jednostki sądownictwa powszechnego: Zwiększenie sprawności postępowań sądowych oraz stopniowe ograniczenie poziomu zaległości sądowych.
Cele operacyjne wszystkich wydziałów orzeczniczych (procesowych):
RYZYKO | PRZYCZYNY | SKUTKI | DZIAŁANIA OGRANICZAJĄCE PRAWDOPODOBIEŃSTWO | DZIAŁANIA OGRANICZAJĄCE SKUTEK |
Nieskuteczne doręczenie korespondencji (wezwań, zawiadomień) | * błędny adres * zbyt późna wysyłka pisma * zaginięcie przesyłki | * zwrot przesyłki, doręczenie po terminie lub brak doręczenia skutkujące niepowiadomieniem uczestnika postępowania | * kontrola wprowadzania danych adresowych * wysyłka korespondencji z wyprzedzeniem * zwrotne poświadczenie odbioru * doręczenie przez służbę sądową lub policję | * wezwanie telefoniczne, mailowe, faksem |
Zaginięcie akt sprawy | * brak zasad udostępniania akt * wynoszenie przez pracowników akt poza siedzibę sądu * brak monitoringu w czytelni | * przewlekłość postępowania (czasochłonne odtworzenie akt) * przedawnienie czynu * utrata reputacji (negatywny wpływ na wizerunek) | * określenie zasad przechowywania akt i ich udostępniania * ewidencjonowanie akt wysyłanych * kwitowanie akt wynoszonych przez pracowników z sądu * monitoring czytelni akt lub przeglądanie w obecności pracownika | * wersje elektroniczne dokumentów w systemie biurowości * skanowanie dokumentów * obowiązek bezzwłocznego zgłoszenia zaginięcia |
Brak opinii biegłego w wyznaczonym terminie | * obciążenie zleceniami * niesolidność * choroba biegłego | * konieczność odroczenia rozprawy * dodatkowe koszty * przedłużenie postępowania | * uzgodnienie możliwości wykonania opinii w terminie przed jej zleceniem * ewidencja terminowości czynności biegłego | * zlecenie wykonania opinii innemu biegłemu |
Przykład 32. Relacja kosztów i korzyści z wdrożenia działań
Zakładając, że ryzyko utraty kluczowych pracowników jest powyżej akceptowanego poziomu, kierownictwo może rozważyć kilka możliwych do wdrożenia reakcji: podniesienie pensji kluczowym pracownikom, przeszkolenie innych osób, tworzenie zespołów, aby inne osoby również uczestniczyły w realizowaniu określonych zadań.
Każda z powyższych reakcji inaczej zabezpiecza ryzyko. Tylko pierwsza z nich ogranicza prawdopodobieństwo wystąpienia ryzyka ale może też wiązać się z największymi kosztami dla jednostki. Pozostałe ograniczają skutek ryzyka; mogą wiązać się z niższymi kosztami ale nie muszą skutecznie zabezpieczać danego ryzyka, tj. ryzyko nadal będzie oceniane wyżej niż przyjęty akceptowany poziom ryzyka.
Przykład 33. Rodzaje reakcji na ryzyko i ich skuteczność
Ryzyko wprowadzenia do bazy danych błędnie sporządzonych dokumentów ocenione zostało na poziomie powyżej akceptowanego. Można rozważyć dwie przykładowe reakcje na to ryzyko:
W pierwszym przypadku reakcja na ryzyko może być nieskuteczna z uwagi na szeroko pojęty "czynnik ludzki". W przypadku opracowania i implementacji mechanizmów kontrolnych bezpośrednio w aplikacji ich skuteczność będzie na stałym poziomie, natomiast koszt wdrożenia poniesiony zostanie jednorazowo.
Mechanizmy kontroli powinny stanowić odpowiedź na konkretne ryzyko. Koszty wdrożenia i stosowania mechanizmów kontroli nie powinny być wyższe niż uzyskane dzięki nim korzyści.
6.1. Podstawowe mechanizmy kontroli
Standardy zawierają zestawienie podstawowych mechanizmów, które mogą funkcjonować w ramach kontroli zarządczej. Nie tworzą one jednak zamkniętego katalogu. Jeden mechanizm kontrolny może stanowić odpowiedź na wiele ryzyk, ale też wobec niektórych ryzyk istnieje możliwość ustanowienia wielu mechanizmów kontroli. Mechanizmy kontroli stanowią ważną część polityk/procedur, za pomocą których jednostka dąży do osiągnięcia własnych celów i zadań.
Zestawienie podstawowych mechanizmów kontroli oraz ich przykłady przedstawiono w tabeli nr 6.
Tabela nr 6. Podstawowe mechanizmy kontroli wraz z przykładami
Mechanizmy kontroli | Przykłady |
Nadzór | Weryfikacja przez kierownika komórki organizacyjnej dokumentów przygotowywanych przez podległych pracowników pod kątem zgodności z obowiązującymi w jednostce procedurami, monitorowanie wykonania celów i zadań. |
Ciągłość działalności | Plany ciągłości działalności określające, np.: dostęp do budynku, dostęp do informacji/danych w sytuacji awarii czy katastrofy naturalnej, tryb odzyskiwania informacji. |
Ochrona zasobów | Tworzenie stref dostępu dla upoważnionych osób. |
Szczegółowe mechanizmy kontroli dotyczące operacji finansowych i gospodarczych | Podział obowiązków dotyczących akceptacji i ewidencjonowania operacji finansowych pomiędzy pracowników, autoryzacja transakcji przez przełożonego, sprawdzanie ksiąg rachunkowych oraz salda na rachunku bankowym, sprawdzenie dokumentacji przez przełożonego/uprawnionego pracownika (tzw. zasada drugiej pary oczu). |
Mechanizmy kontroli dotyczące systemów informatycznych | Hasła dostępu, zatwierdzanie zmian w programach, kontrola poprawności wprowadzania danych do systemu. |
Wdrożenie systemu zarządzania ryzykiem nie musi oznaczać konieczności wprowadzania nowych mechanizmów kontroli. W jednostkach istnieje już bowiem wiele procedur określających mechanizmy kontroli, np. w zakresie zarządzania i dokumentowania operacji finansowych, udzielania zamówień publicznych, tworzenia aktów prawnych. Decyzja o wprowadzeniu dodatkowych mechanizmów kontroli powinna wynikać z analizy ryzyka uwzględniającej już istniejące mechanizmy kontroli, w tym także analizy kosztów wprowadzenia dodatkowych mechanizmów.
Przykład 34. Ochrona zdrowia w gminie
Cel: Ochrona zdrowia mieszkańców.
Zadanie 1: Kreowanie możliwości tworzenia dodatkowych medycznych gabinetów specjalistycznych na terenie gminy.
Miernik: Utworzenie 5 nowych specjalistycznych gabinetów medycznych na terenie gminy.
Ryzyka:
* nieskuteczna akcja promocyjna - brak zainteresowania potencjalnych lekarzy specjalistów,
* niesprzyjające warunki lokalowe i komunikacyjne - problemy z dotarciem do specjalisty.
Reakcja na ryzyka:
* plan ochrony zdrowia mieszkańców,
* analiza potrzeb mieszkańców w zakresie ochrony zdrowia,
* zachęty w postaci ulg (np. zwolnienie z opłat za czynsz dla lekarza specjalisty),
* polityka informacyjna i promocyjna.
Zadanie 2: Wspieranie programów badań profilaktycznych mieszkańców gminy
Miernik: Objęcie badaniem profilaktycznym 90% kobiet (po 50-tym roku życia) zamieszkujących na terenie gminy.
Przykładowe ryzyka:
Reakcja na ryzyko:
* opracowanie planu i harmonogramu badań profilaktycznych,
* kampanie informacyjne w lokalnej prasie,
* współpraca z miejscowymi organizacjami społecznymi i kościelnymi.
Procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników i inne dokumenty wewnętrzne stanowią dokumentację systemu kontroli zarządczej. Dokumentacja powinna być spójna i dostępna dla wszystkich osób, dla których jest niezbędna.
7.1. Procedura zarządzania ryzykiem
Aby zarządzanie ryzykiem przebiegało w jednostce w sposób systematyczny, jednolity oraz by było prawidłowo dokumentowane, powinna zostać opracowana procedura zarządzania ryzykiem, zawierająca następujące elementy:
Należy stanowczo podkreślić, że funkcjonowanie zarządzania ryzykiem nie jest celem samym w sobie. Nie należy tworzyć czy rozbudowywać procedur zarządzania ryzykiem w sytuacji, gdy działania określone w tych dokumentach nie będą w rzeczywistości realizowane.
7.2. Dokumentowanie działań
Działania podejmowane w ramach systemu zarządzania ryzykiem powinny być odpowiednio udokumentowane. Dokumentowanie identyfikacji, analizy ryzyka czy wyboru reakcji na ryzyko pozwala na łatwiejsze monitorowanie ryzyk, ale również jest pomocne przy kolejnym przejściu przez cały proces. Zatem wyniki analizy ryzyka powinny zostać odpowiednio udokumentowane, np. za pomocą rejestru ryzyk. Rejestr ryzyka powinien zawierać przynajmniej następujące informacje:
Przykładowe rejestry ryzyk przedstawiono w załączniku nr 3.
Osoby zarządzające oraz pracownicy powinni mieć zapewniony dostęp do informacji niezbędnych do wykonywania przez nich obowiązków. System komunikacji powinien umożliwiać przepływ potrzebnych informacji wewnątrz jednostki, zarówno w kierunku pionowym jak i poziomym. Efektywny system komunikacji powinien zapewnić nie tylko przepływ informacji, ale także ich właściwe zrozumienie przez odbiorców.
8.1. Jakość informacji
Informacja powinna być:
8.2. Efektywna komunikacja
Jednostka powinna określić wewnętrzne i zewnętrzne kanały komunikacyjne oraz mechanizmy raportowania, tak aby zachęcać do rozliczalności i podjęcia roli właściciela ryzyk. Mechanizmy te powinny zapewnić, że:
Wszyscy pracownicy, a przede wszystkim kadra kierownicza, muszą otrzymać jednoznaczny przekaz od kierownika jednostki, że zarządzanie ryzykiem należy traktować bardzo poważnie. Informacje od kierownika jednostki powinny dotyczyć:
Przykład 35. Informowanie pracowników o najważniejszych zasadach systemu zarządzania ryzykiem
Przykładowe informacje, które powinny zostać przekazane przy wdrażaniu formalnego systemu zarządzania ryzykiem w jednostce:
Przykład 36. Informowanie o wadze i znaczeniu wprowadzanych mechanizmów kontroli w wyniku zarządzania ryzykiem
Przykładowe informacje przy wdrożeniu procedury w przypadku realizacji zamówień publicznych powyżej 14 tys. euro w odpowiedzi na ryzyko działania niezgodnie z przepisami ustawy o zamówieniach publicznych z powodu nieznajomości tych przepisów i niejednolitego ich stosowania w jednostce:
System kontroli zarządczej powinien podlegać bieżącemu monitorowaniu i ocenie.
9.1. Mechanizmy monitorowania
Wraz z działaniami związanymi z zarządzaniem ryzykiem ustanawia się mechanizmy, które umożliwiają monitorowanie wdrożonych rozwiązań i dokonywanie oceny ich efektywności. Należy sprawdzić, czy system zarządzania ryzykiem spełnia założone cele, czy polityki i procedury ustanowione w jego ramach są nadal aktualne, odpowiednie i wydajne.
Aby uzyskać zapewnienie, że zarządzanie ryzykiem funkcjonuje efektywnie i wspiera działanie jednostki należy:
Przykład 37. Monitorowanie skuteczności mechanizmów kontroli
Przykładowe informacje, które będą niezbędne do monitorowania czy wewnętrzna procedura dotycząca udzielania zamówień publicznych powyżej 14 tys. euro funkcjonuje skutecznie to, np. liczba błędów zidentyfikowanych przy akceptacji postępowań o zamówienie publicznych w porównaniu do liczby błędów z analogicznego okresu przed wprowadzeniem procedury.
Przykład 38. Częstotliwość monitorowania
Do wszystkich kluczowych zadań jednostki zostały ustalone wskaźniki wykonania, które są monitorowane w cyklach kwartalnych, co pozwala na bieżące analizowanie i podejmowanie działań naprawczych w sytuacji uzyskania wartości wskaźników poniżej ustalonych poziomów.
Raportowanie na temat ryzyka może odbywać się w różny sposób: poprzez okresowe raporty pisemne, ustne, okresową sprawozdawczość w zakresie realizacji celów i zadań, na bieżąco. Istotne jest, aby informacje zawarte w sprawozdaniach na temat ryzyka były wykorzystywane przy podejmowaniu decyzji zarządczych. Dobrą praktyką jest, aby informacje na temat ryzyk były przekazywane wraz z okresowymi informacjami opisującymi stan realizacji celów i zadań.
Przykładowe okresowe raporty na temat ryzyk przedstawiono w załączniku nr 4.
Na schemacie nr 1 przedstawiono przykładowe role, jakie mogą pełnić w systemie zarządzania ryzykiem pracownicy jednostki. Należy jednak pamiętać, że do decyzji kierownika należy przypisanie poszczególnym pracownikom ról w systemie zarządzania ryzykiem. Wyjątkiem jest kierownik jednostki, który w każdym przypadku ostatecznie odpowiada za zapewnienie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej w jednostce. Ważne jest jednoznaczne określenie ról i ich powszechna znajomość. Należy pamiętać, że zarządzanie ryzykiem jest w różnym stopniu obowiązkiem każdego pracownika jednostki (zarówno kadry zarządzającej, jak i pracowników).
Schemat nr 1. Przykładowe role w systemie zarządzania ryzykiem
grafika
10.1. Kierownik jednostki
Kierownik jednostki jest odpowiedzialny za zapewnienie adekwatnej, skutecznej i efektywnej kontroli zarządczej, której jednym z elementów jest zarządzanie ryzykiem. Kierownik jednostki odpowiada za prawidłowe zorganizowanie systemu zarządzania ryzykiem oraz za nadzór nad efektywnością i skutecznością systemu, a także za wprowadzanie niezbędnych zmian w systemie.
10.2. Kadra zarządzająca
Kierownik jednostki ustala cele i zadania jednostki wraz z kadrą zarządzającą. Kierownictwo:
Istotne jest, aby kadra zarządzająca rozumiała znaczenie zarządzania ryzykiem i była aktywnie zaangażowana w ten system. Kadra zarządzająca wraz z kierownikiem jednostki jest odpowiedzialna za promowanie wysokich standardów etycznych i stosowanie zasad zarządzania ryzykiem w jednostce. Wypowiedzi, postawy i działania kadry zarządzającej zarówno wewnątrz, jak i na zewnątrz jednostki w istotny sposób wpływają na środowisko wewnętrzne jednostki.
Obowiązki kadry zarządzającej powinny wiązać się zarówno z posiadaniem uprawnień, jak i zakresem odpowiedzialności. Każdy powinien odpowiadać przed swoim przełożonym za swoją część systemu zarządzania ryzykiem.
10.3. Komitet audytu
Do ustawowych zadań komitetu audytu należy m.in. sygnalizowanie istotnych ryzyk, wyznaczanie priorytetów do rocznych i strategicznych planów audytu wewnętrznego, przegląd istotnych wyników audytu wewnętrznego oraz monitorowanie ich wdrożenia. Komitet audytu może gromadzić informacje o ryzykach z systemów zarządzania ryzykiem ze wszystkich jednostek w działach, analizować je i przekazywać ministrowi. Dzięki monitorowaniu wdrożenia istotnych wyników audytu wewnętrznego może także analizować, czy istotne ryzyka są prawidłowo zabezpieczone.
10.4. Pracownicy
Pracownicy mogą przygotowywać informacje wykorzystywane przy identyfikacji i ocenie ryzyka, są odpowiedzialni za komunikację i przepływ informacji niezbędny dla prawidłowego zarządzania ryzykiem, np. za informowanie o problemach, nieprzestrzeganiu kodeksu postępowania lub innych wewnętrznych procedur. Trzeba jednak pamiętać, że pracownicy przede wszystkim w ramach codziennych obowiązków wykonują zaprojektowane mechanizmy kontroli. Role i obowiązki w tym zakresie powinny być jasno zdefiniowane i efektywnie przekazane. Każdy z pracowników powinien znać swoje obowiązki i formułowane wobec niego oczekiwania, np. jeżeli kierownictwo oczekuje informowania o zidentyfikowaniu nowego ryzyka pracownicy powinni o tym wiedzieć, jak również znać formę przekazania tej informacji.
10.5. Koordynator zarządzania ryzykiem
W jednostkach można wskazać osobę, komórkę organizacyjną, czy też zespół, który będzie odpowiedzialny za koordynację systemu zarządzania ryzykiem. Zadania koordynatora mogą być bardzo różne - od gromadzenia w jednym miejscu wszystkich informacji na temat zarządzania ryzykiem do roli bardziej aktywnej, w tym:
Wraz z zadaniami koordynator powinien posiadać odpowiednie uprawnienia, które umożliwią wykonywanie przydzielonych zadań. Istotną kwestią jest także stały i bezpośredni kontakt z kierownikiem jednostki oraz widoczne wsparcie z jego strony dla działań koordynatora.
Wyznaczenie koordynatora, niezależnie od jego kompetencji i zadań, nie zmienia ostatecznej odpowiedzialności kierownika jednostki za zarządzanie nią.
10.6. Audyt wewnętrzny
Zgodnie ze Standardem 2120 Międzynarodowych Standardów Praktyki Zawodowej Audytu Wewnętrznego (dalej Standardy audytu wewnętrznego)5) audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem. Audyt wewnętrzny poza swoją kluczową rolą, tj. dostarczaniem zapewnienia w zakresie zarządzania ryzykiem, może wykonywać również inne zadania, zaprezentowane na schemacie nr 2. Charakter roli i odpowiedzialności audytu wewnętrznego w ramach systemu zarządzania ryzykiem powinien zostać zdefiniowany w zatwierdzonej karcie audytu wewnętrznego.
Schemat nr 2. Zadania audytu wewnętrznego w systemie zarządzania ryzykiem
grafika
W przypadku wykonywania przez audyt wewnętrzny innych zadań niż wskazane jako kluczowe (tj. zadań możliwych do wykonania), powinien on zastosować określone zabezpieczenia, np. traktując takie zadania jak usługi doradcze i w związku z tym zastosować odpowiednie Standardy audytu wewnętrznego (dla usług doradczych). W ten sposób audyt wewnętrzny zapewni niezależność i obiektywność swoich działań o charakterze zapewniającym. Te działania zabezpieczające to m. in.:
Audytorzy wewnętrzni powinni wykorzystywać informacje pochodzące z systemu zarządzania ryzykiem zarówno na etapie planowania rocznego, jak i przygotowywania i przeprowadzania konkretnych zadań audytowych. Na swoje potrzeby audytorzy dokonują jednak własnej i niezależnej oceny ryzyka, której nie można utożsamiać z analizą ryzyka prowadzoną w ramach systemu zarządzania ryzykiem w jednostce.
Zarządzanie ryzykiem ma charakter całościowy i powinno dotyczyć całej jednostki, w tym komórki audytu wewnętrznego. Zarządzanie ryzykiem w komórce audytu wewnętrznego jest elementem programu zapewnienia i poprawy jakości.
Wdrożenie formalnego systemu zarządzania ryzykiem w jednostce powinno zawsze być poprzedzone decyzją kierownictwa jednostki. Ważny jest komunikat zarówno do kadry zarządzającej na każdym szczeblu, jak również pracowników, że jest to istotna kwestia dla jednostki. Wraz z informacją o wdrożeniu takiego systemu kierownik jednostki powinien wskazać osoby, które będą koordynowały cały system oraz zapewnić dla nich niezbędne wsparcie.
Po podjęciu niezbędnych decyzji wdrożenie i doskonalenie systemu zarządzania ryzykiem przebiega według cyklu przedstawionego na schemacie nr 3:
Schemat nr 3. Wdrożenie i funkcjonowanie zarządzania ryzykiem
grafika
Stosowanie cyklu zapewnia, że wprowadzony system zarządzania ryzykiem będzie usprawniany i doskonalony, a system zarządzania ryzykiem będzie dostosowany do jednostki i jej otoczenia.
W ramach poszczególnych etapów cyklu przedstawionego powyżej wykonywane są takie zadania jak:
Dodatkowe informacje na temat kontroli zarządczej oraz zarządzania ryzykiem można znaleźć w następujących dokumentach i publikacjach:
1. Kompendium wiedzy na temat kontroli zarządczej w sektorze finansów publicznych www.mf.gov.pl
2. Zarządzanie ryzykiem w sektorze publicznym. Podręcznik wdrożenia systemu zarządzania ryzykiem w administracji publicznej w Polsce, www.mf.gov.pl
3. Pomarańczowa księga - zarządzanie ryzykiem zasady i koncepcje, www.mf.gov.pl
4. Zarządzanie ryzykiem. Zasady i wytyczne PN-ISO 31000
5. Zarządzanie ryzykiem korporacyjnym - zintegrowana struktura ramowa, Polski Instytut Kontroli Wewnętrznej
6. Standard zarządzania ryzykiem, Federation of European Risk Management Associations, 2002, www.ferm.org
7. Embracing enterprise risk management, practical approaches for getting started, COSO 2011, www.coso.org
8. A structural approach to Enterprise Risk management (ERM) and the requirement of ISO 31000, AIRMIC, Alarm, IRM, 2010 r. www.ferm.org
9. A holistic view of risk, The Institute of Internal Auditors, www.theiia.org
10. Materiały ogólnodostępne na stronie www.coso.org
11. Materiały ogólnodostępne na stronie www.theiia.org
12. Materiały ogólnodostępne na stronie www.knf.gov.pl
13. Wdrażanie budżetu zadaniowego, Ministerstwo Finansów
Załącznik nr 1. Przykładowe grupy ryzyk
Załącznik nr 2. Przykładowe skale oceny prawdopodobieństwa i skutku wystąpienia ryzyk
Załącznik nr 3 Przykładowe rejestry ryzyk
Załącznik nr 4. Przykładowe okresowe sprawozdania na temat ryzyk
______
1) Źródło: www.nik.gov.pl
2) Źródło: www.zus.pl/bip/pliki/Strategia 2010-2012.pdf
3) Źródło: Strategia Rozwoju Miasta Białegostoku na lata 2011 - 2020 plus, www.bialystok.pl
4) W literaturze przedmiotu funkcjonują także inne nazwy dla obu rodzajów ryzyk: 1. Ryzyko nieodłączne - wewnętrzne, inherentne, brutto, pierwotne, wrodzone. 2. Ryzyko rezydualne - netto, rzeczywiste, kontrolowane.
5) Komunikat Nr 4 Ministra Finansów z dnia 20 maja 2011 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz. Urz. Min. Fin. Nr 5, poz. 23)
Załącznik Nr 1
Przykładowe grupy ryzyk
Przykładowe grupy ryzyk
Zidentyfikowane ryzyka można sklasyfikować w następujących grupach:
Przykład 2
Grupy i podgrupy ryzyk wraz z przykładami dotyczącymi jego możliwych źródeł przyczyn oraz skutków. Tabela nie określa zamkniętego katalogu ryzyka.
Ryzyko finansowe | |
Budżetowe | Związane z planowaniem dochodów i wydatków, dostępnością środków publicznych, dokonywaniem wydatków i pobieraniem dochodów. |
Oszustwa i kradzieży | Związane ze stratą środków rzeczowych i finansowych, będącą wynikiem przestępstwa lub wykroczenia. |
Podlegające ubezpieczeniu | Związane ze stratami finansowymi, które mogą być przedmiotem ubezpieczenia, np. ryzyko pożaru, wypadku, zalania, itp. |
Zamówień publicznych i zlecania zadań publicznych | Związane z podejmowaniem decyzji oraz udzielaniem zamówień publicznych lub zlecaniem zadań publicznych jednostkom nadzorowanym, np. ryzyko naruszenia zasad, form lub trybu ustawy o zamówieniach publicznych. |
Odpowiedzialności | Związane z obowiązkiem zapłaty kwot pieniężnych tytułem, np. odszkodowań, odsetek karnych, kosztów procesowych. |
Ryzyko dotyczące zasobów ludzkich | |
Personel | Związane z liczebnością i kompetencjami pracowników. |
Bhp | Związane ze zdrowiem pracowników i wypadkami przy pracy. |
Ryzyko działalności | |
Regulacji wewnętrznych | Związane z adekwatnością regulacji wewnętrznych. |
Organizacji i podejmowania decyzji | Związane ze strukturą organizacyjną, organizacją pracy oraz przekazywaniem obowiązków i uprawnień, np. ryzyko nieprecyzyjnie określonych obowiązków, ryzyko braku formalnie powierzonych obowiązków, ryzyko nieodpowiedniej struktury organizacyjnej. |
Kontroli wewnętrznej | Związane z funkcjonowaniem systemu kontroli wewnętrznej, np. ryzyko niedostatecznej kontroli, ryzyko nieskutecznych mechanizmów kontrolnych. |
Informacji | Związane z jakością informacji, na podstawie których podejmowane są decyzje, np. ryzyko braku komunikacji wewnętrznej i zewnętrznej. |
Wizerunku | Związane z wizerunkiem jednostki, np. ryzyko negatywnych opinii o jej działalności. |
Systemów informatycznych | Związane z używanymi w jednostce systemami i programami informatycznymi oraz ochrona zawartych w nich danych, np. ryzyko awarii, ryzyko udostępnienia danych osobom nieuprawnionym, ryzyko nieuprawnionych modyfikacji danych. |
Ryzyko zewnętrzne | |
Infrastrukturalne | Związane z infrastrukturą, np. wyposażeniem, bazą lokalową, środkami transportu i środkami łączności. |
Gospodarcze | Związane z czynnikami ekonomicznymi, np. inflacja, kursy walut. |
Środowiska prawnego | Związane ze zmianami prawa i niejednolitym orzecznictwem. |
Środowiska politycznego | Związane ze zmianami politycznymi. |
Przykład 3
Grupy ryzyk utworzone w oparciu o grupy czynników ryzyk:
Przykład 4
Grupy ryzyk
Ludzie | Ryzyko straty związanej z pracownikami lub związanej z relacjami z obywatelami, instytucjami nadzorczymi lub stronami trzecimi. |
Systemy | Ryzyko związane z zakłóceniami i przerwami w działalności infrastruktury telekomunikacyjnej bądź informatycznej. |
Procesy | Ryzyka wiążące się np. z brakiem kontroli poprawności danych, z brakiem kontroli zawieranych transakcji, z błędną dokumentacją. |
Zdarzenia zewnętrzne i wewnętrzne | Wiążą się np. ze zmianami w organizacji i środowisku zewnętrznym, utratą zasobów, błędami w otrzymywanych danych. |
Outsourcing | Ryzyko związane ze zlecaniem krytycznych albo wrażliwych czynności na zewnątrz nie objętych np. dostateczną kontrolą. |
Przykład 5
Podział ryzyk na grupy dotyczące:
Załącznik Nr 2
Przykładowe skale oceny prawdopodobieństwa i skutku wystąpienia ryzyk
Przykładowe skale oceny prawdopodobieństwa i skutku wystąpienia ryzyk
Skutek | Opis |
Duży | Znaczny wpływ na realizację zadania i osiągnięcie założonego celu (uniemożliwiający realizację celu), w tym wpływ na: - terminowość - przekroczenie czasu realizacji celu o 25 %, - reputację - znaczące doniesienia w mediach w całym kraju. |
Średni | Umiarkowany wpływ na realizację zadania i osiągnięcie założonego celu, w tym wpływ na: - terminowość - przekroczenie czasu realizacji celu w przedziale 6% - 25%, - reputację - nieliczne informacje w mediach o zasięgu krajowym oraz liczne doniesienia w mediach o zasięgu regionalnym. |
Mały | Mały wpływ na realizację zadania i osiągnięcie założonego celu, w tym wpływ na: - terminowość - przekroczenie czasu realizacji celu do 5%, - reputację - nieliczne informacje w mediach o zasięgu regionalnym. |
Prawdopodobieństwo | Opis |
Wysokie | Zdarza się częściej niż raz na rok |
Średnie | Zdarza się raz na rok lub rzadziej |
Małe | Nie zdarzyło się |
Przykład 2
Skutek | Przesłanki |
Katastrofalny - 5 punktów | Zdarzenie objęte ryzykiem powoduje uszczerbek mający krytyczny lub bardzo duży wpływ na realizację kluczowych zadań lub osiąganie założonych celów, poważny uszczerbek w zakresie jakości wykonywanych zadań, poważna strata finansowa albo niekorzystny wpływ na wizerunek jednostki. Z wystąpieniem zdarzenia objętego ryzykiem wiąże się długotrwały i trudny proces przywracania stanu poprzedniego. |
Poważny - 4 punkty | Zdarzenie objęte ryzykiem powoduje poważną stratę posiadanych zasobów, ma negatywny wpływ na efektywność działania, jakość wykonywanych zadań, wizerunek jednostki. Z wystąpieniem zdarzenia objętego ryzykiem wiąże się trudny proces przywracania stanu poprzedniego. Zdarzenie objęte ryzykiem powoduje średnią stratę finansową. |
Średni - 3 punkty | Zdarzenie objęte ryzykiem powoduje średnią stratę posiadanych zasobów, ma negatywny wpływ na efektywność działania, jakość wykonywanych zadań, wizerunek jednostki. Z wystąpieniem zdarzenia objętego ryzykiem może się wiązać trudny proces przywracania stanu poprzedniego. Zdarzenie objęte ryzykiem powoduje małą stratę finansową. |
Mały - 2 punkty | Małe zakłócenie lub opóźnienie w wykonywaniu zadań. Częściowo wpływa na wizerunek jednostki. Skutki zdarzenia można usunąć. |
Nieznaczny - 1 punkt | Nieznaczne zakłócenie lub opóźnienie w wykonywaniu zadań. Nie wpływa na wizerunek jednostki. Skutki zdarzenia można łatwo usunąć. |
Prawdopodobieństwo | Przesłanki |
Prawie pewne - 5 punktów | Istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się wielokrotnie w ciągu roku. |
Prawdopodobne - 4 punkty | Istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się więcej niż kilkakrotnie w ciągu roku. |
Średnie - 3 punkty | Istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się kilkakrotnie w ciągu roku. |
Mało prawdopodobne - 2 punkty | Istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się dwa lub trzy razy się w ciągu roku. |
Rzadkie - 1 punkt | Istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się raz lub nie zdarzy się w ciągu roku. |
Przykład 3
Ocena prawdopodobieństwa wystąpienia oraz skutku wg skali parzystej (stosowanie skali parzystej zapobiega uśrednianiu wyników):
1 - niskie,
2 - średnie,
3 - wysokie,
4 - bardzo wysokie.
ZAŁĄCZNIK Nr 3
Przykładowe rejestry ryzyk
Przykładowe rejestry ryzyk
Rejestr ryzyka
Jednostka .........................................
CEL: | ZADANIE: |
L.p. | Ryzyko | Kategoria ryzyka | Właściciel ryzyka | Prawdopodobieństwo (1-4) | Skutki (1-4) | Punktowa ocena ryzyka | Mechanizmy kontrolne | Prawdopodobieństwo (1-4) | Punktowa ocena ryzyka nieodłącznego | Wymagane działania | Odpowiedzialność i data wykonania |
miejscowość, dnia ....................... ...................................................
(podpis kierownika jednostki)
Przykład 2
Rejestr ryzyka | ||||||||||
Identyfikacja ryzyka | Analiza ryzyka | Odpowiedź na ryzyko | ||||||||
Lp | Obszar ryzyka (zadania) | Zidentyfikowane ryzyko - opis | Symbol ryzyka | Skutki wystąpienia ryzyka | Prawdopodobieństwo wystąpienia ryzyka | Istotność ryzyka (5 x 6) | Działania podjęte | Reakcja na ryzyko | Działania planowane | Właściciel ryzyka |
(1) | (2) | (3) | (4) | (5) | (6) | (7) | (8) | (9) | (10) | (11) |
Cel 1: Zadanie: | ||||||||||
Przykład 3
Arkusz identyfikacji, analizy i postępowania z ryzykiem komórki organizacyjnej w jednostce
Nazwa komórki organizacyjnej .........................................................
L.p. | Cel ogólny wynikający z rocznego planu działalności jednostki | Cele szczegółowe | Miernik / wskaźnik realizacji celu | Opis zidentyfikowanego ryzyka | Odniesienie do kategorii ryzyka | Ryzyko kluczowe (T/N) | Skutek ryzyka - jaki będzie skutek dla departamentu / ministerstwa jeżeli zagrożenie wejdzie w życie | Istniejące mechanizmy kontroli | Wpływ wg skali d 1 do 5 | Podobieństwa wg skali od 1 do 5 | Ocena ryzyka (kol. 10x kol. 11) | Konieczne działania do podjęcia | Priorytet działań wg skali od 1-3 | Komórki odpowiedzialna za wdrożenie | Termin realizacji kw./m-c | Działania podjęte w okresie od poprzedniej oceny ryzyka | Uwagi |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 |
1 | |||||||||||||||||
2 | |||||||||||||||||
3... kolejne ryzyka | |||||||||||||||||
Objaśnienia:
- w kol. 2 - należy wskazać cel ogólny, zapisany w rocznym planie działalności jednostki, z którego wynika cel szczegółowy;
- w kol. 3 - należy wpisać najważniejsze cele realizowane przez komórkę organizacyjną; liczba celów szczegółowych nie powinna przekraczać 5;
- w kol. 4 - należy wskazać, jakie określone zostały mierniki realizacji celu - do czego dążymy, jaki jest oczekiwany rezultat. W przypadku, gdy jest to możliwe należy podać konkretne wielkości;
- w kol. 5 - należy opisać na czym polega ryzyko nieosiągnięcia zamierzonego celu; liczba ryzyk w odniesieniu do każdego z celów nie powinna przekroczyć 5;
- w kol. 6 - należy odnieść dane ryzyko do poniższych kategorii ryzyka poprzez wstawienie odpowiedniego oznaczenia literowego, podanego w nawiasach:
* zarządzanie(Z),
* finanse (F),
* bezpieczeństwo (B),
* czynniki zewnętrzne(CZ),
* przepisy, procedury (P),
* działalność operacyjna (O);
- w kol. 7 - należy wskazać (odpowiadając TAK lub NIE) czy dane ryzyko jest ryzykiem kluczowym, mogącym zagrozić realizacji celów jednostki, określonych w rocznym planie działalności;
- w kol. 8 - należy podać, jakie byłyby skutki zaistnienia wskazanego ryzyka;
- w kol. 9 - należy podać, jakie wdrożono mechanizmy zabezpieczające przed wystąpieniem zidentyfikowanego ryzyka (np. odpowiednie procedury, nadzór, podział odpowiedzialności, listy sprawdzające, odpowiednie zapisy dokumentów / umów, itp.). W przypadku kolejnych ocen ryzyka należy uwzględnić działania już podjęte (a wykazane w poprzednim arkuszu oceny ryzyka w kol. 13 - działania do podjęcia) jako istniejące mechanizmy kontrolne;
- w kol. 10 - należy podać, uwzględniając istniejące mechanizmy kontroli, jaki byłby skutek gdyby dane ryzyko zmaterializowało się, wykorzystując do tego celu następująca skalę od 1 do 5, gdzie:
* 1 - oznacza nieznaczne skutki,
* 2 - oznacza małe skutki,
* 3 - oznacza średnie skutki,
* 4 - oznacza poważne skutki,
* 5 - oznacza skutki katastrofalne;
- w kol. 11 - należy podać, jakie jest prawdopodobieństwo wystąpienia danego ryzyka, uwzględniając istniejące mechanizmy kontrolne, według skali od 1do 5, gdzie:
* 1 - oznacza prawdopodobieństwo rzadkie,
* 2 - oznacza mało prawdopodobną możliwość wystąpienia ryzyka,
* 3 - oznacza średnie prawdopodobieństwo,
* 4 - oznacza prawdopodobieństwo znaczne,
* 5 - oznacza prawie pewne wystąpienie danego ryzyka;
- w kol. 12 - należy podać poziom / ocenę ryzyka poprzez mnożenie wartości z kol. 10 i kol. 11;
- w kol. 13 - należy podać, jakie działania są niezbędne (w jaki sposób postąpimy z danym ryzykiem) w celu minimalizacji prawdopodobieństwa wystąpienia niepożądanego zdarzenia lub złagodzenia jego skutków, biorąc pod uwagę poziom zagrożeń dla realizacji celów jednostki, a w szczególności rocznego planu działalności, prawdopodobieństwo wystąpienia ryzyka oraz istniejący już system kontroli;
- w kol. 14 - należy podać priorytet działania, przyjmując skalę od 1 do 3, gdzie:
* 1 oznacza niski priorytet,
* 2 oznacza średni priorytet,
* 3 oznacza priorytet wysoki.
Przy wyborze ważności priorytetu działania należy wziąć pod uwagę wysokość ryzyka podaną w kol. 12.
- w kol. 15 - należy wskazać osobę / Wydział odpowiedzialne za wdrożenie działań;
- w kol. 16 - należy podać planowany termin wdrożenia działań (w zależności od potrzeb uwzględniając miesiąc lub kwartał);
- w kol. 17 - działania podjęte od ostatniej oceny ryzyka (wykazane w ocenie za poprzedni kwartał jako działania do podjęcia - w kol. 13), minimalizujące prawdopodobieństwo wystąpienia i/lub skutek ryzyka;
- w kol. 18 - w zależności od potrzeb można wpisać uwagi, dodatkowe wyjaśnienia.
Załącznik Nr 4
Przykładowe okresowe sprawozdania na temat ryzyk
Przykładowe okresowe sprawozdania na temat ryzyk
Sprawozdanie na temat ryzyka w ............... 20... roku | |
Właściciel ryzyka (komórka organizacyjna: |
I. Informacja na temat braku zagrożeń przy realizacji celów i zadań |
CZĘŚĆ A
Informuję, że w okresie ... kwartału 20.... roku w nadzorowanym przeze mnie obszarze działalności tut. Urzędu(*) :
[] Zostały zrealizowane cele, zadania wynikające z planu pracy/działalności
[] Nie wystąpiły ryzyka wskazane w Rejestrze Ryzyk
[] Nie zmienił się poziom istotności zidentyfikowanych zagrożeń
[] Nie zidentyfikowano nowych zagrożeń, które nie byłyby ujęte w Rejestrze Ryzyk i poprzez swoje wystąpienie mogłyby zagrozić realizacji celów i zadań Urzędu
Niniejsze sprawozdanie opiera się na mojej ocenie i informacjach dostępnych w czasie jego sporządzania, pochodzących z(*):
[] bieżącego monitoringu (Planu pracy/działalności, sprawowanego nadzoru kierowniczego, rejestru ryzyka, itp.)
[] wyników audytu wewnętrznego
[] wyników samooceny kontroli zarządczej
[] wyników kontroli wewnętrznych
[] wyników kontroli zewnętrznych
[] innych źródeł informacji (należy wymienić):
..................................................................................................................................................
II. Działanie/proces w jakim występują zagrożenia, informacja na temat działań podjętych |
CZĘŚĆ B
Informuję, że w okresie ... kwartału 20.... roku w nadzorowanym przeze mnie obszarze działalności tut. Urzędu wystąpiły następujące ryzyka:(*)
[] TAK [] NIE
______
(*) Właściwe zaznaczyć
I.
Niezrealizowany cel lub zadanie:
.......................................................................................................................................................
Ryzyko w sposób poważny zagraża realizacji celów i zadań Urzędu(*):
[] TAK [] NIE
II.
Niezrealizowany cel lub zadanie:
.......................................................................................................................................................
Ryzyko w sposób poważny zagraża realizacji celów i zadań Urzędu(*):
[] TAK [] NIE
CZĘŚĆ C
Propozycje aktualizacji lub zgłoszenia nowych ryzyk, zidentyfikowanych w nadzorowanym obszarze działania Urzędu (należy złożyć na wzorze rejestru ryzyk, zgodnie z procedurą obowiązującą w Urzędzie).(*)
[] TAK [] NIE
CZĘŚĆ D
Efekty działań eliminujących, podjętych w przypadku ryzyk, które wystąpiły w poprzednim okresie sprawozdawczym (czy podjęte działania przynoszą spodziewane efekty, czy są wystarczające, czy istnieje konieczność podejmowania jakichkolwiek działań?) (*):
[] TAK [] NIE
.................................................................................................................................................
III. Działanie/proces w jakim występuje możliwość usprawnienia(*) | |
Podjęte działania: | |
Spodziewane efekty: |
..........................................................
(data, podpis osoby składającej
sprawozdanie)
Przykład 2
Sprawozdanie z wykonania planu komórki organizacyjnej w ministerstwie za pierwsze półrocze ........ roku
Część A - realizacja celów określonych w planie działalności ministra
(należy wymienić cele wskazane w planie działalności ministra na rok, którego dotyczy sprawozdanie, które realizowała komórka organizacyjna oraz cele wskazane w planie działalności ministra, odnośnie których komórka organizacyjna opracowuje okresowe informacje)
Lp. | Cel | Mierniki określające stopień realizacji celu | Opis ryzyka (z podaniem symbolu) | Ocena ryzyka po I półroczu | Czy realizacja celu jest zagrożona (w zależności od oceny dyrektora komórki organizacyjnej: tak/nie) | ||
Nazwa | Planowana wartość do osiągnięcia na koniec roku, którego dotyczy sprawozdanie | Osiągnięta wartość na koniec I półrocza | |||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
1 | 1. 2. 3. ................. | 1. 2. 3. .................. | |||||
2 | |||||||
3 |
Część B - realizacja pozostałych celów zawartych w planie komórki organizacyjnej
(należy wymienić pozostałe cele wskazane w planie komórki organizacyjnej)
Lp. | Cel | Mierniki określające stopień realizacji celu | Ryzyka (z podaniem symbolu) | Ocena ryzyka po I półroczu | Czy realizacja celu jest zagrożona (w zależności od oceny dyrektora komórki organizacyjnej: tak/nie) | ||
Nazwa | Planowana wartość do osiągnięcia na koniec roku, którego dotyczy sprawozdanie | Osiągnięta wartość na koniec I półrocza | |||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
1 | 1. 2. 3. ................ | 1. 2. 3. ................. | 1. 2. 3. ................. | ||||
2 | |||||||
3 |
(data i podpis dyrektora komórki
organizacyjnej)