Szczegółowe wytyczne w zakresie kontroli zarządczej dla działów administracji rządowej gospodarka wodna i środowisko.
Dz.Urz.MŚ.2014.11
Akt obowiązującyKOMUNIKAT Nr 1
MINISTRA ŚRODOWISKA
z dnia 30 stycznia 2014 r.
w sprawie szczegółowych wytycznych w zakresie kontroli zarządczej dla działów administracji rządowej gospodarka wodna i środowisko
Rozdział I
Przepisy ogólne
Przepisy ogólne
Rozdział II
System kontroli zarządczej w działach
System kontroli zarządczej w działach
Rozdział III
Zakres odpowiedzialności oraz metodologia przeprowadzania cyklicznej oceny kontroli zarządczej
Zakres odpowiedzialności oraz metodologia przeprowadzania cyklicznej oceny kontroli zarządczej
Rozdział IV
Standardy kontroli zarządczej w działach
Standardy kontroli zarządczej w działach
założonych celów jednostki oraz planowanego poziomu realizacji zadań.
- przy czym dokumentacja ta powinna być dostępna dla wszystkich osób, dla których jest niezbędna;
ZAŁĄCZNIKI
ZAŁĄCZNIK Nr 1
Zarządzanie ryzykiem oraz reakcja na ryzyko.
Zarządzanie ryzykiem oraz reakcja na ryzyko.
Ryzykami, które mogą utrudnić lub uniemożliwić realizację celów należy zarządzać. Warunkiem właściwego zarządzania ryzykiem jest dokładne poznanie i opisanie ryzyka.
Proces zarządzania ryzykiem w działach administracji rządowej - gospodarka wodna i środowisko przedstawiono na poniższym schemacie.
Schemat nr 1 - proces zarządzania ryzykiem
1. Identyfikacja ryzyka
Identyfikacja ryzyka polega na ustaleniu występującego lub możliwego do wystąpienia ryzyka zagrażającego realizacji celów i zadań jednostki w działach. Dla zwiększenia prawdopodobieństwa realizacji celów i zadań kierownik jednostki powinien identyfikować wszystkie zagrożenia związane z realizacją poszczególnych celów i zadań. Ryzyka identyfikowane są przez poszczególnych kierowników jednostek w ramach podległych im obszarów, z uwzględnieniem zagrożeń w jednostkach podległych lub nadzorowanych. Każdy właściciel ryzyka prowadzi własny rejestr ryzyk w formie udokumentowanej (np. w formie elektronicznej z możliwością wydruku i podpisania), przy czym obowiązek ten może delegować na wyznaczonego przez siebie koordynatora do spraw ryzyka. Podstawą do budowania rejestru ryzyk są cele i zadania określone w jednostkowych planach działalności komórek organizacyjnych Ministerstwa Środowiska oraz planach działalności jednostek w działach.
Identyfikując ryzyka należy:
1) określić nazwę ryzyka;
2) opisać ryzyko;
3) skategoryzować ryzyko - należy przypisać ryzyko do jednej z kategorii zgodnie z załącznikiem nr 2 do kominikatu;
4) opisać potencjalne przyczyny wystąpienia ryzyka (wewnętrzne oraz zewnętrzne).
Istotne jest, aby zidentyfikowane ryzyka w rzeczywisty sposób opisywały zagrożenia, które mogą wpłynąć na realizację celów i zadań.
Identyfikacja ryzyka powinna być przeprowadzana:
1) okresowo, przynajmniej raz w roku w sposób udokumentowany (np. w formie elektronicznej z możliwością wydruku i podpisania przez kierownika jednostki);
2) na bieżąco, jako element rutynowego działania pracowników.
Właściwym momentem analizy ryzyka jest czas, kiedy określane są cele i zadania jednostki na rok następny oraz zasoby przeznaczane na realizację tych zamierzeń.
W identyfikację ryzyk powinny być zaangażowane te same osoby, które będą później odpowiedzialne za realizację wyznaczonych celów i zadań jednostki.
Po zakończonej identyfikacji ryzyk może się okazać, że ryzyka będą tworzyć określone grupy, dlatego też wskazane jest ich grupowanie, dzięki czemu zarządzanie ryzykiem zostanie ułatwione i usprawnione.
Ryzyko występuje na wszystkich szczeblach organizacji (osoby zarządzające i pozostali pracownicy), dlatego też identyfikacja ryzyka powinna być przeprowadzana na wszystkich poziomach jednostki.
Ryzyka zidentyfikowane przez pracowników:
1) każdy pracownik zobligowany jest do informowania bezpośredniego przełożonego o wszystkich ryzykach przez niego zidentyfikowanych;
2) bezpośredni przełożony po przeanalizowaniu zgłoszenia decyduje o konieczności poinformowania koordynatora do spraw ryzyka lub właściciela ryzyka w celu umieszczenia ryzyka w rejestrze ryzyk. Przekazanie informacji na temat ryzyka powinno nastąpić w formie pisemnej (np. e-mailowej) zawierającej szczegółowy opis ryzyka obejmujący przynajmniej nazwę ryzyka oraz potencjalne przyczyny wystąpienia ryzyka;
3) właściciel ryzyka decyduje o umieszczeniu nowego ryzyka w rejestrze ryzyk.
2. Ocena ryzyka
Ocena ryzyka powinna być dokonywana przynajmniej dwa razy w roku w terminach uwzględniających termin opracowania planu działalności jednostki w działach oraz termin okresowej sprawozdawczości z wykonania planu działalności jednostki.
Dokonując oceny ryzyka właściciel ryzyka powinien określić:
1) prawdopodobieństwo wystąpienia ryzyka - zgodnie z częścią A załącznika nr 3 do komunikatu,
2) skutki wystąpienia ryzyka - zgodnie z częścią B załącznika nr 3 do komunikatu,
3) mechanizm kontroli - należy wskazać nazwy stosowanych w odniesieniu do danego ryzyka mechanizmów kontroli, określić ich kategorię oraz ocenić skuteczność - zgodnie z częścią C załącznika nr 3 do komunikatu.
Mechanizmy kontroli powinny stanowić odpowiedź na konkretne ryzyko. Należy stosować takie mechanizmy kontroli, których koszty wdrożenia i stosowania nie przewyższają uzyskanych dzięki nim korzyści.
Osoby kierujące komórkami organizacyjnymi Ministerstwa Środowiska oraz kierownicy jednostek podległych lub nadzorowanych powinni przekazać właściwemu członkowi kierownictwa resortu wyniki oceny ryzyka wraz z:
1) projektem planu działalności komórki albo jednostki:
2) półrocznym sprawozdaniem z wykonania planu działalności komórki albo jednostki.
Ocena ryzyka dostarcza informacji niezbędnych do uszeregowania ryzyk oraz zawiera propozycje postępowania z nimi.
Poziom ryzyka oraz poziom skuteczności mechanizmów kontroli należy określać przyporządkowując im właściwą wartość liczbową, określoną w załączniku nr 3 do komunikatu. Opis dla danej wartości jest pomocniczy i nie w każdym przypadku będzie w pełni adekwatny.
3. Uszeregowanie ryzyka
Każdy właściciel ryzyka w ramach przeprowadzanej oceny ryzyka powinien wskazać ryzyka z grupy ryzyk o najwyższej wartości poziomu ryzyka, które uważa za nieakceptowalne w swojej działalności.
Dla każdego z ryzyk nieakceptowalnych należy zaproponować działania - sposób postępowania.
Poprzez uszeregowanie ryzyk zostaną wskazane:
1) ryzyka nieakceptowalne, wobec których muszą zostać podjęte dodatkowe działania;
2) ryzyka, które wymagają szczególnego monitorowania;
3) ryzyka nie niosące istotnego zagrożenia dla realizacji celów i zadań.
4. Reakcja na ryzyko
W celu określenia metody postępowania z ryzykiem należy przeanalizować:
1) przyczyny ryzyka i możliwe scenariusze rozwoju;
2) skuteczność istniejących mechanizmów kontroli, tj. zakres, w jakim przeciwdziałają one ryzyku.
Aby określić metody postępowania z ryzykiem nieakceptowalnym rekomendowane jest rozpisanie ryzyka zgodnie z załącznikiem nr 4 do komunikatu.
Przyjmuje się, iż w odniesieniu do ryzyk nieakceptowalnych można podjąć następujące działania:
1) unikanie ryzyka - odejście od działań, które wiążą się z ryzykiem;
2) minimalizacja ryzyka - podjęcie działań mających na celu minimalizację prawdopodobieństwa lub skutków wystąpienia ryzyka lub obu jednocześnie;
3) transfer ryzyka - ograniczenie prawdopodobieństwa i skutków wystąpienia danego ryzyka poprzez przekazanie ryzyka w całości lub części innej jednostce;
4) tolerowanie ryzyka - przyjmuje się, iż ryzyka skrajne, nieakceptowalne można tolerować poprzez świadomą decyzję, w przypadku braku możliwości podjęcia działań ograniczających poziom danego ryzyka.
Dla każdej propozycji postępowania z ryzykiem nieakceptowalnym należy dokonać analizy korzyści i kosztów, zgodnie z załącznikiem nr 5 do komunikatu, a następnie ustalić "budżet na dane ryzyko". Analiza kosztów i korzyści powinna obejmować porównanie każdego z proponowanych działań w zakresie:
1) wpływu na prawdopodobieństwo zaistnienia ryzyka;
2) wpływu na skutki wystąpienia ryzyka;
3) korzyści (również dodatkowych szans);
4) kosztu (nie tylko finansowego);
5) możliwego wpływu na inne ryzyka.
Biuro Kontroli i Audytu Wewnętrznego w Ministerstwie Środowiska powinno gromadzić zebrane od osób kierujących komórkami organizacyjnymi Ministerstwa Środowiska oraz kierowników jednostek podległych lub nadzorowanych dane w zakresie planów postępowania z ryzykiem.
Za wdrożenie planów postępowania z ryzykiem odpowiadają właściciele ryzyk.
5. Ryzyka zmaterializowane
Ryzyko zmaterializowane jest to ryzyko, które faktycznie zaistniało i miało wpływ na osiągnięcie celów i zadań jednostki w działach w danym roku.
Właściciel ryzyka przed złożeniem oświadczenia/oświadczenia cząstkowego o stanie kontroli zarządczej powinien stworzyć wykaz obrazujący zaistniałe ryzyka w roku poprzednim.
Kierownik jednostki w działach powinien przekazać Ministrowi Środowiska, wraz z oświadczeniem o stanie kontroli zarządczej, wykaz wszystkich ryzyk zmaterializowanych w roku poprzednim, za pośrednictwem właściwej komórki organizacyjnej Ministerstwa Środowiska, w terminie do 14 lutego każdego roku.
Kierownicy jednostek w działach, w których nie funkcjonuje kontrola zarządcza, powinni przekazać Ministrowi Środowiska wykaz wszystkich ryzyk zmaterializowanych w roku poprzednim, za pośrednictwem właściwej komórki organizacyjnej Ministerstwa Środowiska, w terminie do 14 lutego każdego roku.
Osoby kierujące komórkami organizacyjnymi Ministerstwa Środowiska powinny przekazać wraz z oświadczeniem cząstkowym o stanie kontroli zarządczej, wykaz wszystkich ryzyk zmaterializowanych w roku, za który składane jest oświadczenie, do Biura Kontroli i Audytu Wewnętrznego, w terminie do końca lutego każdego roku.
ZAŁĄCZNIK Nr 2
Kategorie ryzyk
Kategorie ryzyk
a) ryzyko strategiczne,
b) ryzyko finansowe,
c) ryzyko operacyjne.
Podział na kategorie i podkategorie ryzyka:
Obszar ryzyka | Kategoria | Opis |
I. Ryzyko strategiczne Ryzyka związane ze zdarzeniami mającymi bezpośredni wpływ na osiągnięcie celów strategicznych lub ich zaniechanie. Ryzyka w tym obszarze mają charakter długoterminowy. | I.1 Otoczenie polityczne | Ryzyka związane z tworzeniem prawa. |
I.2 Otoczenie społeczne | Ryzyka związane ze społecznym odbiorem działalności jednostki. | |
II. Ryzyko finansowe Ryzyka związane z finansowaniem działalności Ministerstwa, w tym między innymi zapewnieniem środków na bieżące funkcjonowanie, racjonalnym zarządzaniem wolnymi środkami oraz właściwym rozliczaniem wyniku finansowego. | II.1 Proces inwestycyjny | Ryzyka związane z uczestnictwem w procesach inwestycyjnych. |
II.2 Księgowanie | Ryzyka związane z błędami księgowymi. | |
II.3 Sprawozdawczość finansowa | Ryzyka związane z przygotowaniem, przekazaniem sprawozdań finansowych. | |
II.4 Pozyskanie | Ryzyka związane z finansowaniem | |
środków finansowych | działalności jednostki. | |
II.5 Wydatkowanie środków finansowych | Ryzyka związane z wydatkowaniem środków finansowych przez jednostkę. | |
III. Ryzyko operacyjne Ryzyka związane bezpośrednio z zadaniami realizowanymi przez poszczególne komórki organizacyjne i wynikające z niedoskonałości procesów wewnętrznych, błędów ludzkich, błędów systemów komputerowych oraz zdarzeń zewnętrznych. | III.1 Bezpieczeństwo informacji | Ryzyka związane z utratą poufności, integralności, dostępności informacji. |
III.2 Informatyka | Ryzyka związane z zapewnieniem i wykorzystywaniem zasobów informatycznych. | |
III.3 Zasoby ludzkie | Ryzyka związane z zatrudnianiem, szkoleniem zasobów ludzkich. | |
III.4 Organizacja | Ryzyka związane bezpośrednio z organizacyjnymi problemami w działalności jednostki. | |
III.5 Sprawozdawczość | Ryzyka związane z przygotowaniem, przekazaniem sprawozdań (nie dotyczących stricte finansów). | |
III.6 Oszustwo | Ryzyka związane z łamaniem prawa oraz przekraczaniem uprawnień. | |
III.7 Współpraca | Ryzyka związane ze współdziałaniem Ministerstwa z innymi jednostkami. | |
III.8 Bezpieczeństwo i ochrona | Ryzyka związane z bezpieczeństwem i ochroną obiektów Ministerstwa oraz zawartych w nich zasobów. | |
III.9 Prawo | Ryzyka z wiązane ze zgodnością z obowiązującym prawem. | |
III.10 Zdarzenia zewnętrzne | Ryzyka o charakterze losowym, bez możliwości wpływu na nie. |
ZAŁĄCZNIK Nr 3
Skale oceny ryzyka
Skale oceny ryzyka
CZĘŚĆ A
Pierwszym kryterium oceny każdego z ryzyk jest prawdopodobieństwo wystąpienia ryzyka na dzień przeprowadzenia oceny. Prawdopodobieństwo wystąpienia danego ryzyka należy ocenić w pięciostopniowej skali:
Pierwszym kryterium oceny każdego z ryzyk jest prawdopodobieństwo wystąpienia ryzyka na dzień przeprowadzenia oceny. Prawdopodobieństwo wystąpienia danego ryzyka należy ocenić w pięciostopniowej skali:
P | Prawdopodobieństwo |
5 | Zagrożenie jest bardzo wysokie. |
4 | Zagrożenie jest wysokie. |
3 | Zagrożenie jest realne. |
2 | Zagrożenie jest mało realne. |
1 | Zagrożenie jest raczej nierealne. |
CZĘŚĆ B
Dokonując oceny wystąpienia danego ryzyka należy brać pod uwagę najbardziej prawdopodobne konsekwencje zmaterializowania się ryzyka. Skutki zmaterializowania się ryzyka oceniane są według trzech kryteriów: finanse, reputacja oraz realizacja zadań. Przyjęte skale oceny skutków wystąpienia ryzyka na poziomie resortu wskazane zostały poniżej. Skala oceny skutków wystąpienia ryzyka na poziomie jednostki powinna być dostosowana, w zakresie opisów poszczególnych ocen, do charakterystyki jednostki.
Dokonując oceny wystąpienia danego ryzyka należy brać pod uwagę najbardziej prawdopodobne konsekwencje zmaterializowania się ryzyka. Skutki zmaterializowania się ryzyka oceniane są według trzech kryteriów: finanse, reputacja oraz realizacja zadań. Przyjęte skale oceny skutków wystąpienia ryzyka na poziomie resortu wskazane zostały poniżej. Skala oceny skutków wystąpienia ryzyka na poziomie jednostki powinna być dostosowana, w zakresie opisów poszczególnych ocen, do charakterystyki jednostki.
Skutek- finanse | |
5 | Bardzo duży wpływ na finanse dla całego resortu. |
4 | Znaczny wpływ na finanse jednostki lub resortu. |
3 | Umiarkowany wpływ na finanse jednostki lub resortu. |
2 | Nieznaczny wpływ na finanse jednostki lub resortu. |
1 | Brak wpływu finansowego. |
Skutek - reputacja | |
5 | Długoterminowe negatywne informacje w mediach/ w administracji rządowej. |
4 | Krótkoterminowe negatywne informacje w mediach/ w administracji rządowej. |
3 | Zwiększona liczba skarg, wniosków, listów, telefonów. |
2 | Negatywne informacje wewnątrz jednostki. |
1 | Brak negatywnych skutków wizerunkowych. |
Skutek - realizacja zadań | |
5 | Zdarzenie znacząco utrudnia funkcjonowanie jednostki. |
4 | Zdarzenie w nieznaczny sposób utrudnia funkcjonowanie jednostki. |
3 | Zdarzenie znacząco utrudnia funkcjonowanie komórki organizacyjnej. |
2 | Zdarzenie w nieznaczny sposób utrudnia funkcjonowanie komórki organizacyjnej. |
1 | Zdarzenie nie wpływa na funkcjonowanie komórki organizacyjnej. |
CZĘŚĆ C
Każdy z mechanizmów kontroli powinien zostać przyporządkowany do jednej z kategorii:
Każdy z mechanizmów kontroli powinien zostać przyporządkowany do jednej z kategorii:
2) technologiczne, np. system alarmowy, system monitorowania,
3) prawno-finansowe, np. przepisy prawa, kary umowne, ubezpieczenia.
Skala oceny skuteczności mechanizmów kontroli ryzyka pozwala na ocenę działań zarządczych wdrożonych względem zidentyfikowanych ryzyk. Skala przygotowana została w celu oceny możliwości wpłynięcia na wartość ryzyka poprzez podniesienie skuteczności aktualnie wdrożonych działań zarządczych (kontroli) względem zidentyfikowanych ryzyk.
Każdy z mechanizmów kontroli oceniany jest osobno.
Skala oceny skuteczności mechanizmów kontroli:
P | Skuteczność mechanizmów kontroli |
3 | Wysoka skuteczność - środek adekwatny i optymalny dla ryzyka. |
2 | Średnia skuteczność - środki kontroli z umiarkowanym potencjałem do poprawy. |
1 | Niska skuteczność - środek kontroli z dużym potencjałem do poprawy. |
ZAŁĄCZNIK Nr 5
Tabela postępowania z ryzykiem nieakceptowalnym
Tabela postępowania z ryzykiem nieakceptowalnym
Liczba porządkowa ryzyka z rejestru ryzyk oraz nazwa ryzyka | |||||||
Lp. | Opis działania | Korzyści | Osoba odpowiedzialna | Termin realizacji | Szacowany koszt | Stan realizacji1 | |
1. | |||||||
2. | |||||||
3. |
1 Należy określić stopień realizacji (niezrealizowane; w trakcie realizacji; zrealizowane) wraz z komentarzem/wyjaśnieniem. Stan realizacji powinien być poddawany bieżącemu monitorowaniu.
ZAŁĄCZNIK Nr 6
Wzór rejestru ryzyk2
Wzór rejestru ryzyk2
Lp. | Komórka organizacyjna | Osoba odpowiedzialna | Cele3 | Zadania4 | Nazwa ryzyka | Kategoria ryzyka | Obszar ryzyka | Potencjalne przyczyny: zewnętrzne, wewnętrzne | Prawdopodobieństwo | Skutek - finanse | Skutek - reputacja | Skutek -realizacja zadań | Nr | Mechanizm kontroli | Kategoria mechanizmu kontroli | Skuteczność mechanizmu kontroli | Ryzyko nieakceptowalne [tak/nie] |
1 | 1 | ||||||||||||||||
2 | |||||||||||||||||
... | |||||||||||||||||
2 | 1 | ||||||||||||||||
2 | |||||||||||||||||
... | |||||||||||||||||
... | 1 | ||||||||||||||||
2 | |||||||||||||||||
... |
______
2 Wzór określa minimum informacji potrzebnych do utworzenia rejestru ryzyk jednostki.
3 Cele wynikające z planu działalności jednostki.
4 Zadania wynikające z planu działalności jednostki.