Zasady zarządzania ryzykiem i szansą w Głównym Urzędzie Miar
Dzienniki resortowe
Dz.Urz.GUM.2023.6
Akt obowiązujący Wersja od: 7 marca 2023 r.
ZARZĄDZENIE Nr 1
PREZESA GŁÓWNEGO URZĘDU MIAR
z dnia 7 marca 2023 r.
w sprawie zasad zarządzania ryzykiem i szansą w Głównym Urzędzie Miar
Na podstawie art. 69 ust. 1 pkt 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2022 r. poz. 1634, z późn. zm. 1 ) oraz § 3 ust. 1 regulaminu organizacyjnego Głównego Urzędu Miar stanowiącego załącznik do zarządzenia nr 19 Prezesa Głównego Urzędu Miar z dnia 30 grudnia 2021 r. w sprawie nadania regulaminu organizacyjnego Głównemu Urzędowi Miar (Dz. Urz. GUM poz. 30 oraz z 2022 r. poz. 8 i 31) zarządza się, co następuje:
Rozdział 1
Przepisy ogólne
Przepisy ogólne
§ 1.
Ustanawia się zasady zarządzania ryzykiem i szansą w Głównym Urzędzie Miar, zwanym dalej "Urzędem", określające ogólne zasady wykonywania kontroli zarządczej w obszarze zarządzania ryzykiem i szansą.§ 2.
Użyte w zarządzeniu określenia oznaczają:1)
kierownictwo Urzędu - Prezesa Urzędu, Wiceprezesów Urzędu oraz Dyrektora Generalnego Urzędu;2)
kontrola zarządcza - ogół działań podejmowanych dla zapewnienia realizacji zadań i osiągnięcia celów Urzędu, w sposób zgodny z prawem, efektywny, oszczędny i terminowy;3)
mechanizmy kontroli - elementy systemu zarządzania, obejmujące rozwiązania organizacyjne, techniczne, prawne lub finansowe służące do ograniczenia ryzyka do akceptowalnego poziomu;4)
nieakceptowalny poziom ryzyka - ustalony poziom ryzyka, przy którym wymagane jest podejmowanie działań przeciwdziałających ryzyku;5)
Prezes - Prezesa Urzędu;6)
ryzyko - możliwość zaistnienia zdarzenia, które może mieć negatywny wpływ na osiągnięcie celów lub realizację zadań Urzędu;7)
szansa - możliwość zaistnienia zdarzenia mającego pozytywny wpływ na osiągnięcie celów lub realizację zadań Urzędu;8)
właściciel ryzyka - osobę posiadającą uprawnienia i kompetencje do podjęcia działań zarządczych w stosunku do ryzyka, którym zarządza;9)
właściciel szansy - osobę posiadającą uprawnienia i kompetencje do podjęcia działań zarządczych w stosunku do szansy, którą zarządza.§ 3.
Celem zarządzania ryzykiem i szansą jest w szczególności:1)
zapewnienie kierownictwu Urzędu informacji o zidentyfikowanych ryzykach i szansach oraz zagrożeniach dla realizacji celów i zadań Urzędu, aby mogło skutecznie kontrolować ryzyko i szanse i nimi zarządzać;2)
rozpoznanie obszarów narażonych na ryzyko korupcji i nadużyć oraz ograniczenie sytuacji sprzyjających działaniom korupcyjnym oraz brakowi bezstronności;3)
zidentyfikowanie podatności aktywów informacyjnych i aktywne zapobieganie incydentom bezpieczeństwa informacji;4)
stworzenie możliwości przeciwdziałania wystąpieniu zdarzeń podnoszących poziom ryzyka lub wczesnego reagowania na nie;5)
poprawa jakości świadczonych usług i zwiększenia zadowolenia klientów Urzędu;6)
zwiększenie świadomości pracowników Urzędu na temat ryzyk oraz stosowanych mechanizmów kontroli.§ 4.
Skuteczną i spójną realizację zasad zarządzania ryzykiem i szansą w Urzędzie zapewnia komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania.Rozdział 2
Zarządzanie ryzykiem
Zarządzanie ryzykiem
§ 5.
1.
Zarządzanie ryzykiem jest jednym z elementów kontroli zarządczej, ma charakter ciągły i jest ściśle związany z określaniem celów i realizacją zadań Urzędu.2.
Zarządzenie nie ma zastosowania w zarządzaniu ryzykiem w obszarach: bezpieczeństwa i higieny pracy, informacji niejawnych, audytu wewnętrznego i niepewności pomiaru. Zarządzanie ryzykiem w powyższych obszarach uregulowane jest w odrębnych przepisach.3.
Kierownicy projektów na bieżąco identyfikują i zarządzają ryzykami dotyczącymi realizowanych przez Urząd projektów.§ 6.
1.
Zarządzanie ryzykiem w Urzędzie odbywa się na dwóch poziomach - strategicznym oraz operacyjnym.2.
Zarządzanie ryzykiem na poziomie strategicznym dotyczy zarządzania ryzykiem związanym z realizacją długoterminowych celów i zadań Urzędu wyznaczonych przez kierownictwo Urzędu określonych w szczególności w "Czteroletnim strategicznym planie działania Głównego Urzędu Miar".3.
Zarządzanie ryzykiem na poziomie operacyjnym dotyczy zarządzania ryzykiem w stosunku do celów i zadań szczegółowych realizowanych przez komórki organizacyjne Urzędu, których realizacja jest konieczna do osiągnięcia celów i zadań strategicznych oraz zadań szczegółowych, wynikających z regulaminu organizacyjnego Urzędu oraz regulaminów wewnętrznych komórek organizacyjnych Urzędu.§ 7.
1.
Właściciele ryzyk są zobowiązani do efektywnego zarządzania ryzykiem na poziomie operacyjnym, a w szczególności do:1)
współpracy z komórką organizacyjną Urzędu właściwą do spraw systemu zarządzania;2)
dokonania, przy wsparciu komórki organizacyjnej Urzędu właściwej do spraw systemu zarządzania, oceny ryzyka, co najmniej dwa razy w roku, w terminach ustalonych przez komórkę organizacyjną Urzędu właściwą do spraw systemu zarządzania, albo każdorazowo w przypadku zmiany zakresu podległego im obszaru działalności;3)
planowania sposobu postępowania z ryzykiem, wdrażania planów postępowania z ryzykiem i monitorowania ich realizacji;4)
projektowania, adekwatnych do zidentyfikowanego ryzyka, mechanizmów kontroli w zakresie podległego im obszaru działalności oraz monitorowania i oceny ich skuteczności;5)
monitorowania poziomu poszczególnych ryzyk;6)
informowania komórki organizacyjnej Urzędu właściwej do spraw systemu zarządzania o zmaterializowanych ryzykach, zwiększeniu poziomu ryzyka oraz zidentyfikowaniu nowych ryzyk;7)
informowania podległych pracowników o ryzykach oraz o planie postępowania z ryzykiem dotyczącym podległego im obszaru działalności.2.
Pracownicy Urzędu są zobowiązani do bieżącego informowania właścicieli ryzyk o potencjalnych ryzykach, mogących mieć wpływ na realizację zadań z zakresu podległego właścicielom ryzyk obszaru działalności.§ 8.
1.
Właściciele ryzyk, w ramach podległych im obszarów działalności, dokonują oceny ryzyka na poziomie:1)
podstawowym;2)
pogłębionym - w odniesieniu do ryzyk ocenionych na poziomie wysokim i bardzo wysokim oraz w przypadku nieakceptowania ryzyka ocenionego na poziomie średnim.2.
Właściciel danego ryzyka o poziomie nieakceptowalnym może zadecydować o tolerowaniu ryzyka w sytuacji, gdy podejmowanie działań przeciwdziałających ryzyku jest bardzo utrudnione albo niemożliwe albo koszt podejmowania tych działań przekracza przewidywane korzyści.3.
W stosunku do ryzyka, co do którego podjęto decyzję o jego tolerowaniu, właściciel ryzyka przedstawia komórce organizacyjnej Urzędu właściwej do spraw systemu zarządzania uzasadnienie takiej decyzji.4.
W stosunku do ryzyka, co do którego podjęto decyzję o jego nietolerowaniu, właściciel ryzyka przedstawia komórce organizacyjnej Urzędu właściwej do spraw systemu zarządzania propozycję postępowania z ryzykiem nietolerowanym.§ 9.
1.
Komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania weryfikuje wyniki przeprowadzonej oceny ryzyka, w szczególności może zaproponować zmianę poziomu ryzyka, konieczność przeprowadzenia oceny ryzyka na poziomie pogłębionym dla ryzyk na poziomie średnim oraz nieakceptowanie ryzyka ocenionego na poziomie średnim.2.
W przypadku braku zgody właściciela ryzyka na propozycje, o których mowa w ust. 1, decyzję w tym zakresie podejmuje Dyrektor Generalny Urzędu w uzgodnieniu z pozostałymi członkami kierownictwa Urzędu.3.
Komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania ustala termin oceny ryzyka, biorąc pod uwagę termin sporządzania planów w Urzędzie, w szczególności Planu działalności i Rocznego planu działania oraz termin sporządzania oświadczenia o stanie kontroli zarządczej.§ 10.
1.
Komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania, na podstawie wyników oceny ryzyk na poziomie pogłębionym oraz planów postępowania z ryzykami nietolerowanymi, sporządza "Rejestr ryzyk kluczowych Głównego Urzędu Miar", obejmujący ryzyka, których poziom przekracza 14 punktów i które oddziałują negatywnie na osiągnięcie celów i zadań strategicznych Urzędu.2.
Rejestr, o którym mowa w ust. 1, komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania przekazuje do akceptacji Dyrektorowi Generalnemu Urzędu oraz Wiceprezesom Urzędu, a następnie do zatwierdzenia Prezesowi.3.
Zatwierdzony "Rejestr ryzyk kluczowych Głównego Urzędu Miar" komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania zamieszcza w programie SharePoint na platformie Microsoft 365.§ 11.
Ocenę ryzyk przez właścicieli ryzyk, weryfikację ocenianych ryzyk oraz "Rejestr ryzyk kluczowych Głównego Urzędu Miar" sporządza się według tabel, których wzory określa załącznik nr 1 do zarządzenia.§ 12.
1.
Przegląd i aktualizacja wyników oceny ryzyka następuje nie rzadziej niż raz w roku, przy czym obowiązkowo przed podpisaniem rocznego oświadczenia Prezesa o stanie kontroli zarządczej.2.
W przypadku wystąpienia istotnej zmiany poziomu ryzyka lub zidentyfikowaniu nowego ryzyka kluczowego, komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania, po dokonaniu analizy, może podjąć decyzję o aktualizacji "Rejestru ryzyk kluczowych Głównego Urzędu Miar". Do aktualizacji "Rejestru ryzyk kluczowych Głównego Urzędu Miar" stosuje się odpowiednio § 8-11.§ 13.
1.
Właściciele ryzyk, w terminie do dnia 15 stycznia każdego roku, przekazują komórce organizacyjnej Urzędu właściwej do spraw systemu zarządzania informacje na temat ryzyk kluczowych.2.
Komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania na podstawie przekazanych informacji, o których mowa w ust. 1, sporządza "Sprawozdanie na temat ryzyk kluczowych Głównego Urzędu Miar", które przedstawia do akceptacji Dyrektorowi Generalnemu Urzędu oraz Wiceprezesom Urzędu, a następnie do zatwierdzenia Prezesowi.3.
Wzór sprawozdania, o którym mowa w ust. 2, określa załącznik nr 2 do zarządzenia.Rozdział 3
Zarządzanie szansą
Zarządzanie szansą
§ 14.
1.
Zarządzanie szansą ma na celu zapewnienie skuteczności i efektywności działania Urzędu i jest działaniem o charakterze ciągłym.2.
Kierownicy komórek organizacyjnych Urzędu w zarządzaniu szansą są zobowiązani do:1)
współpracy z komórką organizacyjną Urzędu właściwą do spraw systemu zarządzania;2)
dokonania, przy wsparciu komórki organizacyjnej Urzędu właściwej do spraw systemu zarządzania, oceny szans, co najmniej raz w roku, w terminie ustalonym przez komórkę organizacyjną Urzędu właściwą do spraw systemu zarządzania, albo każdorazowo w przypadku zmiany zakresu podległego im obszaru działalności;3)
planowania sposobu postępowania z szansą, wdrażania planów postępowania z szansą i monitorowania ich realizacji.§ 15.
1.
Właściciele szans, w ramach podległych im obszarów działalności, dokonują oceny szans na poziomie:1)
podstawowym;2)
pogłębionym - w odniesieniu do szans, których wykorzystanie jest możliwe nie później niż w ciągu 24 miesięcy od dnia ich identyfikacji.2.
W stosunku do szansy, którą zidentyfikowano jako szansę do bieżącego wykorzystania, właściciel szansy przedstawia komórce organizacyjnej Urzędu właściwej do spraw systemu zarządzania plan postępowania z szansą.§ 16.
1.
Komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania weryfikuje wyniki przeprowadzonej oceny szans, w szczególności może zaproponować właścicielowi szansy zmianę poziomu szansy oraz możliwości i terminu jej wykorzystania.2.
W przypadku braku zgody właściciela szansy na propozycje, o których mowa w ust. 1, decyzję w tym zakresie podejmuje Dyrektor Generalny Urzędu w uzgodnieniu z pozostałymi członkami kierownictwa Urzędu.3.
Komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania ustala termin oceny szans, biorąc pod uwagę termin sporządzania planów w Urzędzie, w szczególności Planu działalności i Rocznego planu działania.§ 17.
1.
Komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania, na podstawie wyników oceny szans na poziomie pogłębionym oraz planów postępowania z szansami, sporządza "Rejestr kluczowych szans Głównego Urzędu Miar", obejmujący szanse, których poziom przekracza 14 punktów i które oddziałują pozytywnie na osiągnięcie celów i zadań strategicznych Urzędu.2.
Rejestr, o którym mowa w ust. 1, komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania przekazuje do akceptacji Dyrektorowi Generalnemu Urzędu oraz Wiceprezesom Urzędu, a następnie do zatwierdzenia Prezesowi.3.
Zatwierdzony "Rejestr kluczowych szans Głównego Urzędu Miar" komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania zamieszcza w programie SharePoint na platformie Microsoft 365.§ 18.
Ocenę szans przez właścicieli ryzyk, weryfikację ocenianych szans oraz "Rejestr kluczowych szans Głównego Urzędu Miar" sporządza się według tabel, których wzory określa załącznik nr 3 do zarządzenia.§ 19.
1.
Właściciele szans, w terminie do dnia 15 stycznia każdego roku, przekazują komórce organizacyjnej Urzędu właściwej do spraw systemu zarządzania informacje na temat kluczowych szans.2.
Komórka organizacyjna Urzędu właściwa do spraw systemu zarządzania na podstawie przekazanych informacji sporządza "Sprawozdanie na temat kluczowych szans Głównego Urzędu Miar", które przedstawia do akceptacji Dyrektorowi Generalnemu Urzędu oraz Wiceprezesom Urzędu, a następnie do zatwierdzenia Prezesowi.3.
Wzór sprawozdania, o którym mowa w ust. 2, określa załącznik nr 4 do zarządzenia.Rozdział 4
Postanowienia przejściowe i końcowe
Postanowienia przejściowe i końcowe
§ 20.
Sprawozdanie, o którym mowa w § 19 ust. 2, sporządza się po raz pierwszy w roku 2024.§ 21.
Zarządzenie wchodzi w życie z dniem następującym po dniu podpisania.ZAŁĄCZNIKI
ZAŁĄCZNIK Nr 1
Tabela nr 1
Ocena ryzyk Głównego Urzędu Miar - poziom podstawowy (wypełnia KOty
| Nr ryzyka (skrót nazwy KO/liczba porządkowa) | Zgłaszający ryzyko (KO /komórka wewnętrzna | Cel główny (np. Cel l) /nie dotyczy | Działania ze strategii, zadania z planów albo regulaminu organizacyjnego itp. | Właściciel ryzyka | Opis ryzyka (ryzyko-przyczyna - skutek) | Obszar ryzyka | Kategoria ryzyka | Wpływ na bezpieczeństwo informacji (P -poufność, I - integralność, D - dostępność, N - naruszenie danych osobowych)/ nie dotyczy | Następstwo | Prawdopodobieństwo | Poziom ryzyka | Ewaluacja (ryzyko akceptowalne albo ryzyko nieakceptowalne) | Uwagi |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 |
*komórka organizacyjna
Tabela nr 2
Ocena ryzyk Głównego Urzędu Miar - poziom pogłębiony (wypełnia KCfy
| Charaktery styka następstw | Charaktery styka prawdopodobieństwa | Następstwo | Prawdopodobieństwo | O N o' S N P | Ewaluacja (ryzyko akceptowalne albo ryzyko nieakceptowalne) | Reakcja na ryzyko (tolerowanie albo nietolerowanie) | Uzasadnienie w przypadku tolerowania ryzyka nieakceptowalnego /nie dotyczy | Plan postępowania w przypadku nietolerowania ryzyka | |||||
| Występowanie | Mechanizmy kontroli | Podatność aktywów | Opis postępowania z ryzykiem | N P ë ero p N« O Š B o W-' O | Odpowiedzialny za realizację | Termin realizacji | |||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 |
komórka organizacyjna
Tabela nr 3
Rejestr ryzyk kluczowych Głównego Urzędu Miar (wypełnia K (fwłaściwa do spraw systemu zarządzania)
| Nr ryzyka (skrót KO /liczba porządkowa) | Cel główny (np. Cel I)/nie dotyczy | Działania ze strategii, zadania z planów albo regulaminu organizacyjnego, proces itp. | Właściciel ryzyka | Opis ryzyka | Obszar ryzyka | Kategoria ryzyka | Wpływ na bezpieczeństwo informacji (P -poufność, I - integralność, D - dostępność, N - naruszenie danych osobowych)/ nie dotyczy | Następstwo | Prawdopodobieństwo | Poziom ryzyka | Reakcja na ryzyko (tolerowanie albo nietolerowanie) | Uzasadnienie w przypadku tolerowania ryzyka nieakceptowalnego/ nie dotyczy | Plan postępowania w przypadku nietolerowania ryzyka | |||
| Opis postępowania | Zaangażowane środki | Odpowiedzialny za realizację | s3 s B' o pa. n' n | |||||||||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 |
'komórka organizacyjna
Wskazówki dotyczące wypełniania tabeli nr 1-3
Podstawowe pojęcia:
1) ryzyko - możliwość zaistnienia negatywnego zdarzenia, które może mieć wpływ na osiągnięcie celów lub realizację zadań Urzędu;
2) ocena ryzyka - identyfikacja, analiza i ewaluacja ryzyka;
3) identyfikacja ryzyka - ustalenie, rozpoznanie i opisanie występującego lub możliwego do wystąpienia ryzyka;
4) analiza ryzyka - poznanie charakteru ryzyka i ustalenie poziomu ryzyka. Stanowi podstawę do ewaluacji ryzyka oraz podejmowania decyzji w zakresie postępowania z ryzykiem;
5) ewaluacja ryzyka - proces porównywania wyników analizy ryzyka z kryteriami ryzyka w celu stwierdzenia czy ryzyko lub jego poziom jest akceptowalne albo nieakcepto walne;
6) poufność - właściwość polegająca na tym, że informacja nie jest udostępniana ani ujawniania nieautoryzowanym podmiotom;
7) dostępność - właściwość polegająca na tym, że informacja jest dostępna i użyteczna na żądanie upoważnionego podmiotu;
8) integralność - właściwość polegająca na zapewnieniu dokładności i kompletności informacji;
9) następstwo - skutek jaki może wywołać zdarzenie. W ocenie należy wykorzystać punktację określoną w tabeli "Kryteria oceny następstw";
10) prawdopodobieństwo - możliwość wystąpienia zdarzenia. W ocenie należy wykorzystać kryteria, punktację określoną w tabeli "Prawdopodobieństwo";
11) poziom ryzyka - wielkość ryzyka, wyrażona w postaci iloczynu następstwa oraz prawdopodobieństwa jego wystąpienia;
12) akceptowalny poziom ryzyka - ustalony poziom ryzyka, przy którym nie jest wymagane podejmowanie działań przeciwdziałających ryzyku. Przedziały punktowe poziomu ryzyka przedstawione są w tabeli "Poziom ryzyka";
13) właściciel ryzyka - osoba posiadająca uprawnienia i kompetencje do podjęcia działań zarządczych w stosunku do ryzyka, którym zarządza;
14) kategoria ryzyka - uszczegółowienie obszaru występowania ryzyka;
15) obszar ryzyka - klasyfikacja ryzyka w odniesieniu do działalności Urzędu;
16) zdarzenie - działanie lub zaniechanie działania lub zjawisko, którego wystąpienie ma związek z ryzykiem;
17) mechanizmy kontroli - elementy systemu zarządzania, obejmujące rozwiązania organizacyjne, techniczne, prawne lub finansowe służące do ograniczenia ryzyka do akceptowalnego poziomu;
18) adekwatne mechanizmy kontroli - zaprojektowane mechanizmy kontroli stanowią zamierzoną odpowiedź na zidentyfikowane ryzyka;
19) skuteczne mechanizmy kontroli - zaprojektowane mechanizmy kontroli skutecznie radzą sobie z zidentyfikowanym ryzykiem, działają tak jak zostały zaprojektowane;
20) efektywne mechanizmy kontroli - zaprojektowane mechanizmy kontroli pozwalają na skuteczną reakcję na ryzyko przy możliwie najmniejszych nakładach związanych z funkcjonowaniem tych mechanizmów;
21) aktywa - wszystko to, co ma wartość dla Urzędu;
22) podatność aktywów - słabe strony aktywów Urzędu, które tworzą korzystne środowisko do wystąpienia ryzyka.
Tabela nr 4
Kryteria oceny prawdopodobieństwa
| Prawdopodobieństwo zdarzenia | Punkty | Występowanie | Mechanizmy kontroli | Podatność aktywów |
| 1 | 2 | 3 | 4 | 5 |
| Bardzo niskie | 1 | Zdarzenie nie wystąpiło w ciągu ostatnich 5 lat | Są w pełni właściwe | Minimalna |
| Niskie | 2 | Zdarzenie wystąpiło jednokrotnie w ciągu ostatnich 5 lat | Są właściwe | Niska |
| Średnie | 3 | Zdarzenie wystąpiło kilkukrotnie (2-3 razy) w ciągu ostatnich 3 lat | Są właściwe, ale niepełne | Średnia |
| Wysokie | 4 | Zdarzenie wystąpiło więcej niż wielokrotnie (więcej niż 3) w ciągu ostatnich 3 lat | Są niewłaściwe | Wysoka |
| Bardzo wysokie | 5 | Zdarzenie wystąpiło w poprzednim roku, mimo podjętych działań je ograniczających | Brak | Bardzo wysoka |
Tabela nr 5
Kryteria oceny właściwości mechanizmów kontroli
| Kryterium | Definicja | Sposób oceny |
| 1 | 2 | 3 |
| Adekwatność | Zaprojektowane mechanizmy kontroli stanowią zamierzoną odpowiedź na zidentyfikowane ryzyka | 1. Wpływają na przyczyny lub skutki wystąpienia ryzyka, lub na obie te kwestie; 2. Zostały skonstruowane tak, że ich prawidłowe stosowanie zabezpieczy Urząd przed danym ryzykiem; 3. Są odpowiednie w odniesieniu do ustalonego akceptowalnego poziomu ryzyka z uwzględnieniem analizy korzyści i kosztów. |
| Skuteczność | Zaprojektowane mechanizmy kontroli skutecznie radzą sobie ze zidentyfikowanym ryzykiem, działają tak jak zostały zaprojektowane | 1. Ograniczają ryzyka w pożądanym stopniu (do akceptowalnego poziomu); 2. W sposób automatyczny zabezpieczają przed daną przyczyną lub ograniczają skutek, bez konieczności podejmowania innych działań; 3. Są niezależne od uznania, decyzji lub błędu człowieka. |
| Efektywność | Zaprojektowane mechanizmy kontroli pozwalają na skuteczną reakcję na ryzyko | 1. Koszty wdrożenia i funkcjonowania mechanizmów nie przewyższają szkód, które by powstały w przypadku zmaterializowania się ryzyka; 2. Dotychczasowe nakłady na mechanizm kontroli są niższe od efektów uzyskiwanych w wyniku jego działania. |
Tabela nr 6
Kryteria oceny następstw
| Następstwo zdarzenia | Punkty | Realizacja zadań | Skutki finansowe | Wymagania jakościowe i zadowolenie Klienta | Zaufanie do Urzędu | Naruszenie danych osobowych | ||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | ||
| Nieistotne | 1 | Niezrealizowanie pojedynczego zadania | Bardzo mało istotne | Niespełnienie mało istotnych wymagań, w tym wymagań jakościowych | Nie wpływa na utratę zaufania do władzy publicznej i do GUM jako krajowej jednostki metrologicznej | Nie wystąpi naruszenie danych osobowych. | ||
| Małe | 2 | Niezrealizowanie zadań | Mało istotne | Niespełnienie mniej istotnych wymagań, w tym wymagań jakościowych i nieliczne niezadowolenia klientów | Sporadycznie może pojawić się utrata zaufania obywateli do władzy publicznej i do GUM jako krajowej jednostki metrologicznej | Wystąpi naruszenie danych osobowych, ale jest małe prawdopodobieństwo, żeby skutkowało to naruszeniem praw lub wolności osób fizycznych (Motyw 75 RODO). Osoba, której dane dotyczą nie odczuje skutków naruszenia lub odczuje je w niewielkim zakresie (niewielkie niedogodności, które nie wpłyną na jej reputację, finanse, ryzyko kradzieży tożsamości). Wśród danych znajdują się wyłącznie dane zwykłe (brak danych szczególnie chronionych w rozumieniu art. 9 ust. 1 i art. 10 RODO) oraz nie ma wśród nich danych behawioralnych (np. danych o lokalizacji, oceny) oraz danych finansowych (np. nr konta, kwoty). Naruszenie dotyczy niewielkiej liczby osób (mniej niż 20). | ||
| Umiarkowane | 3 | Niezrealizowanie celu lub kluczowych zadań | Istotne | Niespełnienie wymagań, w tym wymagań jakościowych i niezadowolenia klientów | Może pojawić się utrata zaufania obywateli do władzy publicznej i do GUM jako krajowej jednostki metrologicznej | Wystąpi naruszenie danych osobowych, ale jest małe prawdopodobieństwo, żeby skutkowało to naruszeniem praw lub wolności osób fizycznych (Motyw 75 RODO) oraz wystąpi obowiązek zgłoszenia naruszenia do organu nadzorczego zgodnie z art. 33 RODO. Osoba, której dane dotyczą nie odczuje skutków naruszenia lub odczuje je w niewielkim zakresie (niewielkie niedogodności, które nie wpłyną na jej reputację, finanse, ryzyko kradzieży tożsamości). Wśród danych znajdują się wyłącznie dane zwykłe (brak danych szczególnie chronionych w rozumieniu art. 9 ust. 1 i art. 10 RODO), mogą to być również dane behawioralne (np. dane o lokalizacji, oceny) oraz dane finansowe (np. nr konta, kwoty). Naruszenie dotyczy dużej liczby osób (powyżej 20 nie więcej niż 200). | ||
| Duże | 4 | Niezrealizowanie kluczowego celu | Poważne | Niespełnienie kluczowych wymagań, w tym wymagań jakościowych i dużego niezadowolenia klientów | Nastąpi poważna utrata zaufania obywateli do władzy publicznej i do GUM jako krajowej jednostki metrologicznej | Wystąpi naruszenie danych osobowych, które będzie skutkowało naruszeniem praw lub wolności osób fizycznych. Wystąpi obowiązek zgłoszenia naruszenia do organu nadzorczego oraz obowiązek poinformowania osób, których dane dotyczą zgodnie z art. 33 RODO. Wśród danych znajdują się dane zwykłe, behawioralne (np. dane o lokalizacji, oceny) lub dane finansowe (np. nr konta, kwoty). Naruszenie dotyczy znacznej liczby osób (powyżej 200, nie więcej niż 500) lub naruszenie dotyczy danych szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO lub danych dotyczących wyroków skazujących i czynów zabronionych w rozumieniu art. 10 RODO i dotyczy to nie więcej niż kilku osób. Osoby, których dane dotyczą odczują skutki w postaci negatywnego wpływu na ich reputację, finanse, ryzyko kradzieży tożsamości lub inne określone w Motywie 75 RODO i skutki te są nieodwracalne. | ||
| Krytyczne | 5 | Niezrealizowanie kluczowego celu lub celów | Bardzo poważne | Niespełnienie kluczowych wymagań, w tym wymagań jakościowych i bardzo duże niezadowolenie klientów | Nastąpi poważna i długotrwała utrata zaufania obywateli do władzy publicznej i do GUM jako krajowej jednostki metrologicznej | Wystąpi naruszenie danych osobowych, które będzie skutkowało naruszeniem praw lub wolności osób fizycznych. Wystąpi obowiązek zgłoszenia naruszenia do organu nadzorczego zgodnie z art. 33 RODO. Wśród danych znajdują się dane zwykłe, behawioralne (np. dane o lokalizacji, oceny) lub dane finansowe (np. nr konta, kwoty), mogą to być również dane behawioralne (np. dane o lokalizacji, oceny) oraz dane finansowe (np. nr konta, kwoty). Naruszenie dotyczy bardzo dużej liczby osób (powyżej 500) lub naruszenie dotyczy danych szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO lub danych dotyczących wyroków skazujących i czynów zabronionych w rozumieniu art. 10 RODO i dotyczy więcej niż kilku osób. Osoby, których dane dotyczą odczują znaczne skutki w postaci negatywnego wpływu na ich reputację, finanse, ryzyko kradzieży tożsamości lub inne określone w Motywie 75 RODO i skutki te są nieodwracalne. | ||
Tabela nr 7
Macierz ryzyka:
| Następstwo | 5 | 5 | 10 | 15 Ryzyko kluczowe | 20 Ryzyko kluczowe | 25 Ryzyko kluczowe |
| 4 | 4 | 8 | 12 | 16 Ryzyko kluczowe | 20 Ryzyko kluczowe | |
| 3 | 3 | 6 | 9 | 12 | 15 Ryzyko kluczowe | |
| 2 | 2 | 4 | 6 | 8 | 10 | |
| 1 | 1 | 2 | 3 | 4 | 5 | |
| Skala punktów | 1 | 2 | 3 | 4 | 5 | |
| Prawdopodobieństwo | ||||||
Tabela nr 8
| Poziom ryzyka (punkty) | Kryteria ryzyka do ewaluacji |
| 1 | 2 |
| niski (od 1 do 4) | Ryzyko niskie, akceptowalne, może powodować krótkotrwałe, niewielkie zakłócenia w działalności Urzędu/komórek organizacyjnych, stanowi minimalne zagrożenie dla realizacji celów i zadań, nie jest wymagane podejmowanie dodatkowych działań przeciwdziałających ryzyku, ryzyko podlega monitorowaniu oraz nadzorowi nad wdrożonymi mechanizmami kontroli. |
| średni (od 5 do 10) z wyłączeniem przypadku: następstwo = 5; prawdopodobieństwo = 2 | Ryzyko średnie, warunkowo akceptowalne, wywołuje średnie zakłócenia w działalności Urzędu/komórek organizacyjnych, wymaga od odpowiedzialnego za ryzyko monitorowania i podjęcia ewentualnych działań mających na celu minimalizację ryzyka, prawdopodobieństwa lub skutków jego wystąpienia. |
| wysoki (od 10 do 16) | Ryzyko wysokie (istotne), nieakceptowalne, wywołuje zakłócenia w działalności Urzędu/komórek organizacyjnych, wymaga szczególnego monitorowania; wymaga podjęcia działań w zakresie reakcji na ryzyko w celu zmniejszenia ryzyka do poziomu akceptowalnego. W przypadku decyzji o tolerowaniu ryzyka wymagane jest uzasadnienie przez właściciela ryzyka. |
| bardzo wsoki (od 20 do 25) | Ryzyko bardzo wysokie (krytyczne), nieakceptowalne, charakteryzuje się wysokim prawdopodobieństwem i skutkami jego zmaterializowania się, stanowi najwyższe zagrożenie dla realizacji celów i zadań Urzędu/komórek organizacyjnych. Bezwzględnie wymaga podjęcia dodatkowych działań mających na celu minimalizację prawdopodobieństwa lub skutków jego wystąpienia, opracowania sposobu reakcji na ryzyko i wdrożenia adekwatnych mechanizmów kontroli oraz ciągłego monitorowania. |
ZAŁĄCZNIK Nr 2
Sprawozdanie na temat ryzyk kluczowych Głównego Urzędu Miar
Sprawozdanie na temat ryzyk kluczowych Głównego Urzędu Miar
| Lp. | Cel główny (np. Cel I /nie dotyczy | Działania ze strategii, zadania z planów albo regulaminu organizacyjnego, proces itp. | Opis ryzyka | Obszar ryzyka | Kategoria ryzyka | Właściciel ryzyka | Wpływ na bezpieczeństwo informacji (P -poufność, I - integralność, D - dostępność, N - naruszenie danych osobowych) /nie dotyczy | Następstwo | Prawdopodobieństwo | Poziom ryzyka | Reakcja na ryzyko (tolerowanie albo nietolero- wanie) | Uzasadnienie w przypadku tolerowania ryzyka nieak- ceptowalnego /nie dotyczy | Plan postępowania w przypadku nietole- ro wania ryzyka | Sprawozdanie za rok | |||||||
| Opis postępowania z ryzykiem | N P ë era p N« O g O O | Odpowiedzialny za realizację | Termin realizacji | Czy ryzyko wystąpiło TAK/NIE | Następstwo | Podjęte działania ograniczające następstwa ryzyka | Efekty działań (skuteczne, nieskuteczne, w trakcie realizacji) | Uwagi | |||||||||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 |
ZAŁĄCZNIK Nr 3
Tabela nr 1
| Ocena szans Głównego Urzędu Miar - poziom podstawowy (wypełnia K (f) | Ocena szans Głównego Urzędu Miar - poziom pogłębiony (wypełnia K (f) | ||||||||||
| Nr szansy (skrót nazwy KO/liczba porządkowa) | Zgłaszający szansę (KO /komórka wewnętrzna) | Właściciel szansy | Obszar szansy | Opis szansy | Możliwość wykorzystania szansy | Następstwo | Prawdopodobieństwo | Współczynnik sukcesu | Środki i zasoby niezbędne do wykorzystania szansy | Wniosek dotyczący wykorzystania szansy | Uzasadnienie rezygnacji z wykorzystania szansy |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 |
*komórka organizacyjna
Tabela nr 2
Plan postępowania z szansą (wypełnia K (f}
| Opis postępowania z szansą | Zaangażowane środki | Odpowiedzialny za realizację | Termin realizacji |
| 1 | 2 | 3 | 4 |
1) 'komórka organizacyjna
Tabela nr 3
Rejestr szans kluczowych Głównego Urzędu Miar
(wypełnia K (f właściwa do spraw systemu zarządzania)
| Nr szansy (skrót nazwy Kó* /liczba porządkowa) | Właściciel szansy | Obszar szansy | Opis szansy | Możliwość wykorzystania szansy | Następstwo | Prawdopodobieństwo | Współczynnik sukcesu | Środki i zasoby niezbędne do wykorzystania szansy | Decyzja dot. wykorzystania szansy | Uwagi | Plan postępowania z szansami kluczowymi | |||
| Opis postępowania z szansą | Zaangażowane środki | Odpowiedzialny za realizację | Termin realizacji | |||||||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 |
1) 'komórka organizacyjna
Wskazówki dotyczące wypełniania tabeli 1-3
Podstawowe pc jęcia:
1) szansa - możliwość wystąpienia zdarzenia o pozytywnym wpływie na realizację zaplanowanych celów i zadań;
2) ocena szansy - to proces identyfikacji, analizy i ewaluacji szans;
3) identyfikacja szansy - ustalenie, rozpoznanie i opisanie występującego lub możliwego do wystąpienia szansy;
4) analiza szansy - poznanie charakteru szansy i ustalenie poziomu współczynnika sukcesu. Stanowi podstawę do ewaluacji szansy oraz podejmowania decyzji w zakresie postępowania z szansą;
5) ewaluacja szansy - proces porównywania wyników analizy szansy z kryteriami szansy w celu stwierdzenia czy szansa jest wykorzystywalna albo niewykorzysty- walna;
6) następstwo - skutek jaki może wywołać zdarzenie. W ocenie należy wykorzystać punktację określoną w tabeli "Kryteria oceny następstw";
7) prawdopodobieństwo - możliwość wykorzystania szansy. W ocenie należy wykorzystać kryteria, punktację określoną w tabeli "Prawdopodobieństwo";
8) współczynnik sukcesu - wielkość szansy, wyrażona w postaci iloczynu następstwa oraz prawdopodobieństwa jego wystąpienia;
9) wykorzystywalność - współczynnik sukcesu, przy którym opłacalne jest podejmowanie działań w celu wykorzystania szansy. Przedziały punktowe współczynnika sukcesu przedstawione są w tabeli "Współczynnik sukcesu";
10) właściciel szansy - osoba posiadająca uprawnienia i kompetencje do podjęcia działań zarządczych w stosunku do szansy, którą zarządza;
11) obszar szansy - klasyfikacja szansy w odniesieniu do działalności Urzędu.
Tabela nr 4
Kryteria oceny prawdopodobieństwa
| Prawdopodobieństwo | Punkty | Wykorzystanie szansy | Podatność aktywów |
| 1 | 2 | 3 | 4 |
| Bardzo niskie | 1 | Znaczące trudności w wykorzystaniu szansy | Minimalna |
| Niskie | 2 | Tiudności w wykorzystaniu szansy | Niska |
| Średnie | 3 | Znikome trudności w wykorzystaniu szansy | Średnia |
| Wysokie | 4 | Brak tiudności w wykorzystaniu szansy | Wysoka |
| Bardzo wysokie | 5 | Brak tiudności w wykorzystaniu szansy; istnienie okoliczności znacząco ułatwiających wykorzystanie szansy | Bardzo wysoka |
Tabela nr 5
Kryteria oceny następstw
| Następstwo wykorzystania szansy | Punkty | Realizacja zadań | Skutki finansowe | Wymagania jakościowe i zadowolenie Klienta | Zaufanie do Urzędu |
| 1 | 2 | 3 | 4 | 5 | 6 |
| Nieistotne | 1 | Pozytywnie oddziałuje na realizację pojedynczego zadania o charakterze bieżącym | Brak pozytywnych skutków finansowych | Nie wpływa na zadowolenie Klienta, nie dotyczy wymagań jakościowych | Nie wpływa na budowanie zaufania do władzy publicznej i do GUM jako krajowej jednostki metrologicznej lub na zwiększenie poziomu bezpieczeństwa informacji. |
| Małe | 2 | Pozytywnie oddziałuje na realizację kilku zadań o charakterze bieżącym | Nieznaczne pozytywne skutki finansowe | Nieznacznie podnosi poziom zadowolenia Klienta, pozwala spełnić mniej istotne wymagania, w tym wymagania jakościowe | Nieznacznie wpływa na budowanie zaufania do władzy publicznej i do GUM jako krajowej jednostki metrologicznej lub na zwiększenie poziomu bezpieczeństwa informacji. |
| Umiarkowane | 3 | Pozytywnie oddziałuje na realizację zadania o charakterze strategicznym lub wielu zadań o charakterze bieżącym | Istotne pozytywne skutki finansowe | Istotnie podnosi poziom zadowolenia Klienta, spełnia istotne wymagania, w tym wymagania jakościowe | Istotnie wpływa pozytywnie na budowanie zaufania do władzy publicznej i do GUM jako krajowej jednostki metrologicznej lub na zwiększenie poziomu bezpieczeństwa informacji. |
| Duże | 4 | Pozytywnie oddziałuje na realizację celu kluczowego, zadania o charakterze strategicznym lub wielu zadań o charakterze bieżącym | Bardzo istotne pozytywne skutki finansowe | Bardzo istotnie podnosi poziom zadowolenia Klienta, spełnia istotne wymagania, w tym wymagania jakościowe | Bardzo istotnie wpływa pozytywnie na budowanie zaufania do władzy publicznej i do GUM jako krajowej jednostki metrologicznej lub na zwiększenie poziomu bezpieczeństwa informacji. |
| Krytyczne | 5 | Ma decydujący wpływ na realizację celu kluczowego lub zadania o charakterze strategicznym | Kluczowe skutki finansowe | Pełne spełnienie wymagań, w tym wymagań jakościowych i bardzo duże zadowolenie klientów | Nastąpi głęboki długotrwały wzrost zaufania obywateli do władzy publicznej i do GUM jako krajowej jednostki metrologicznej. Bardzo pozytywne skutki wizerunkowe dla GUM. Najwyższy poziom bezpieczeństwa informacji. |
Tabela nr 6
Macierz szans:
| Następstwo | 5 | 5 | 10 | 15 Szansa kluczowa | 20 Szansa kluczowa | 25 Szansa kluczowa |
| 4 | 4 | 8 | 12 | 16 Szansa kluczowa | 20 Szansa kluczowa | |
| 3 | 3 | 6 | 9 | 12 | 15 Szansa kluczowa | |
| 2 | 2 | 4 | 6 | 8 | 10 | |
| 1 | 1 | 2 | 3 | 4 | 5 | |
| Skala punktów | 1 | 2 | 3 | 4 | 5 | |
| Prawdopodobieństwo | ||||||
Tabela nr 7
| Współczynnik sukcesu (punkty) | Kryteria szansy do ewaluacji |
| 1 | 2 |
| niski (od 1 do 4) | Współczynnik sukcesu niski, szansa niewykorzystywalna, istnieją poważne trudności lub ograniczenia w podejmowaniu działań w celu wykorzystania szansy, a koszty tych działań mogą przekroczyć przewidywane korzyści. |
| średni (od 5 do 10) z wyłączaniem przypadku: następstwo = 5; prawdopodobieństwo = 2 | Współczynnik sukcesu średni, szansa warunkowo wykorzystywalny, istnieją trudności lub ograniczenia w podejmowaniu działań w celu wykorzystania szansy. |
| wysoki (od 10 do 16) | Współczynnik sukcesu wysoki, szansa wykorzystywalna, istnieją nieznaczne trudności lub ograniczenia w podejmowaniu działań w celu wykorzystania szansy. Korzyści wynikające z wykorzystania szansy przewyższają koszty działań podjętych w tym celu. Konieczne opracowanie planu postępowania z szansą wykorzystywalną. |
| bardzo wysoki (od 20 do 25) | Współczynnik sukcesu bardzo wysoki, szansa wykorzystywalna, brak trudności lub ograniczeń w podejmowaniu działań w celu wykorzystania szansy. Korzyści wynikające z wykorzystania szansy znacząco przewyższają koszty działań podjętych w tym celu. Konieczne opracowanie planu postępowania z szansą wykorzystywalną. |
ZAŁĄCZNIK Nr 4
Sprawozdanie na temat kluczowych szans Głównego Urzędu Miar
Sprawozdanie na temat kluczowych szans Głównego Urzędu Miar
| Nr szansy (skrót nazwy KO/liczba porządkowa) | Właściciel szansy | Obszar szansy | Opis szansy | Następstwo | Prawdopodobieństwo | Współczynnik sukcesu | Środki i zasoby niezbędne do wykorzystania szansy | Wniosek dot. wykorzystania szansy | Plan postępowania w przypadku szansy | Sprawozdanie za rok | |||||||
| Opis postępowania z szansą | Zaangażowane środki | Odpowiedzialny za realizację | Termin realizacji | Czy szansa została wykorzystana TAK/NIE | Następstwo | Podjęte działania w celu realizacji szansy | Efekty działań (skuteczne, nieskuteczne, w trakcie realizacji) | Uwagi | |||||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 |
1 Zmiany tekstu jednolitego wymienionej ustawy zostały opublikowane w Dz. U. z 2022 r. poz. 1692, 1725, 1747, 1768, 1964 i 2414.