Zasady zarządzania ryzykiem w Kasie Rolniczego Ubezpieczenia Społecznego.
Dzienniki resortowe
Dz.Urz.PKRUS.2023.6
Akt obowiązujący Wersja od: 2 lutego 2023 r.
ZARZĄDZENIE Nr 5
PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO
z dnia 2 lutego 2023 r.
w sprawie zasad zarządzania ryzykiem w Kasie Rolniczego Ubezpieczenia Społecznego
Na podstawie art. 59 ust. 3 ustawy z dnia 20 grudnia 1990 r. o ubezpieczeniu społecznym rolników (Dz. U. z 2023 r. poz. 208) zarządza się co następuje:
§ 1.
1.
Wprowadza się Zasady zarządzania ryzykiem w Kasie Rolniczego Ubezpieczenia Społecznego, zwane dalej "Zasadami", stanowiące załącznik do zarządzenia.2.
Celem wprowadzenia Zasad, o których mowa w ust. 1 jest:1)
zwiększenie prawdopodobieństwa osiągnięcia wyznaczonych celów i realizacji zadań poprzez identyfikację ryzyk mogących wpłynąć negatywnie na ich realizację i odpowiednią reakcję na zidentyfikowane ryzyka;2)
zapewnienie, że ryzyka są identyfikowane i analizowane na bieżąco, z uwzględnieniem funkcjonujących w Kasie Rolniczego Ubezpieczenia Społecznego, zwanej dalej "Kasą", zabezpieczeń przy dokonywaniu oceny ryzyk;3)
precyzyjne określenie odpowiedzialności związanych z zarządzaniem poszczególnymi obszarami ryzyka;4)
zapewnienie powtarzalności i porównywalności wyników szacowania ryzyk przeprowadzanego dla aktywów Kasy;5)
szybsze i skuteczne reagowanie na zagrożenia oraz ograniczenie negatywnych zdarzeń mających wpływ na organizację.3.
Zasady, o których mowa w ust. 1 stanowią narzędzie zarządzania dla Kierownictwa Kasy oraz wytyczne dla wszystkich pracowników.§ 2.
Traci moc zarządzenie nr 13 Prezesa Kasy Rolniczego Ubezpieczenia Społecznego z dnia 29 lipca 2021 r. w sprawie zasad zarządzania ryzykiem w Kasie Rolniczego Ubezpieczenia Społecznego (Dz. Urz. KRUS poz. 15).§ 3.
Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.ZAŁĄCZNIK
Zasady zarządzania ryzykiem w Kasie Rolniczego Ubezpieczenia Społecznego
Zasady zarządzania ryzykiem w Kasie Rolniczego Ubezpieczenia Społecznego
Rozdział 1
Postanowienia ogólne
Postanowienia ogólne
§ 1.
Przez użyte w Zasadach określenia należy rozumieć:1)
aktyw - wszystko, co ma wartość dla Kasy (np.: zasoby ludzkie, informacyjne, organizacyjne, technologiczne i fizyczne) i wspiera osiągnięcie wyznaczonych celów i realizacji zadań;2)
bezpieczeństwo informacji - zachowanie poufności, integralności i dostępności informacji, czyli zapewnienie, że informacja nie jest udostępniana osobom nieupoważnionym, jest dokładna i kompletna oraz użyteczna i dostępna na żądanie uprawnionej do uzyskania dostępu do niej osoby;3)
plan minimalizacji ryzyka (plan postępowania z ryzykiem) - przedstawienie zabezpieczeń, które będą zastosowane przez Kasę w celu ograniczenia wpływu oszacowanego ryzyka do poziomu akceptowalnego;4)
ryzyko - prawdopodobieństwo zaistnienia negatywnego zdarzenia, które może zagrażać realizacji założonych zadań i osiąganiu wyznaczonych celów;5)
szacowanie ryzyka - całościowy proces analizy i oceny ryzyka;6)
środki kontroli - polityki, procedury, techniczne środki zabezpieczeń oraz inne rozwiązania stosowane w celu zapobiegania zdarzeniom lub redukowania skutków w przypadku zmaterializowania się ryzyka;7)
właściciel ryzyka - kierownik komórki organizacyjnej Centrali Kasy/dyrektor oddziału regionalnego Kasy odpowiedzialny za zarządzanie ryzykiem zidentyfikowanym w swojej komórce/jednostce organizacyjnej Kasy oraz za prowadzenie stałej analizy ryzyka w nadzorowanym przez siebie obszarze;8)
zarządzanie ryzykiem - proces, służący do zwiększenia prawdopodobieństwa osiągnięcia założonych celów oraz realizacji wyznaczonych zadań. Zarządzanie ryzykiem obejmuje szacowanie ryzyka oraz określenie sposobu postępowania z ryzykiem.Rozdział 2
Organizacja zarządzania ryzykiem w Kasie
Organizacja zarządzania ryzykiem w Kasie
§ 2.
Zasady zarządzania ryzykiem obejmują ryzyka:1)
strategiczne;2)
operacyjne;3)
finansowe;4)
bezpieczeństwa informacji, w tym dotyczące ochrony danych osobowych;5)
korupcyjne.§ 3.
Prezes Kasy odpowiada za zarządzanie ryzykiem na poziomie strategicznym, w szczególności poprzez:1)
kształtowanie i wdrażanie zasad zarządzania ryzykiem;2)
wyznaczanie poziomu akceptowalne ści ryzyka;3)
akceptację mechanizmów kontroli ryzyka;4)
zatwierdzanie informacji o działaniach minimalizujących ryzyko w celu zwiększenia skuteczności i efektywności stosowanych środków kontroli.§ 4.
Zastępcy Prezesa Kasy odpowiadają za zarządzanie ryzykiem w nadzorowanym przez siebie obszarze działalności Kasy, wynikającym ze struktury organizacyjnej Kasy, w szczególności za:1)
rekomendowanie Prezesowi Kasy poziomu akceptowalności ryzyka;2)
opiniowanie wyników analizy i oceny ryzyka oraz stosowanych środków kontroli w zakresie:a)
kompletności Centralnego Rejestru Ryzyk oraz Centralnego Rejestru Środków Kontroli,b)
opiniowania planów minimalizacji ryzyka odnośnie ryzyk nieakcepto walnych proponowanych przez właścicieli ryzyk I stopnia i rekomendowanie ich Prezesowi Kasy do akceptacji,c)
nadzoru nad właścicielami ryzyk w ramach zarządzania przez nich ryzykiem związanym z realizacją celów i zadań.§ 5.
1.
Właścicielem ryzyk, który odpowiada za zarządzanie ryzykiem jest:1)
kierownik komórki organizacyjnej w Centrali Kasy - w działaniach komórki organizacyjnej Centrali Kasy (biura, zespołu, stanowiska pracy);2)
dyrektor oddziału regionalnego Kasy - w działaniach oddziału regionalnego Kasy.2.
Kierujący komórką/jednostką organizacyjną Kasy odpowiada za zarządzanie ryzykiem na poziomie operacyjnym, w szczególności za:1)
inwentaryzację aktywów;2)
bieżącą identyfikację ryzyka;3)
analizę i ocenę ryzyka związanego z realizacją celów i zadań określonych w planie pracy komórki/jednostki organizacyjnej Kasy;4)
podejmowanie reakcji na ryzyko, w szczególności wykonywanie działań kontrolnych, projektowanie dodatkowych środków kontroli (mechanizmów kontroli wewnętrznej) dla ryzyk, których istotność przekracza akceptowalny poziom;5)
raportowanie na temat ryzyka oraz jego monitorowanie.§ 6.
1.
W Kasie wyróżnia się następujących właścicieli ryzyk:1)
I stopnia - kierownicy komórek organizacyjnych w Centrali Kasy w odniesieniu do ryzyk zarządzanych centralnie w Kasie, tj.: ryzyk zgłoszonych przez właścicieli ryzyk II stopnia, co do których nie mają wystarczających zasobów fmansowo/organizacyjno/ technicznych, aby im skutecznie przeciwdziałać;2)
II stopnia - kierownicy komórek organizacyjnych w Centrali Kasy oraz dyrektorzy oddziałów regionalnych Kasy w odniesieniu do ryzyk zarządzanych lokalnie.2.
Właściciele II stopnia wyznaczają koordynatorów ds. ryzyka oraz menedżerów ryzyk w ramach własnej komórki/jednostki organizacyjnej Kasy.§ 7.
1.
Właściciele ryzyk I stopnia, przedkładają do zaopiniowania Zastępcom Prezesa Kasy plany minimalizacji ryzyka w odniesieniu do ryzyk nieakceptowalnych.2.
Do zakresu zadań właściciela ryzyk II stopnia w szczególności należy:1)
identyfikacja ryzyk, które są istotne dla osiągnięcia celów i zadań, w odniesieniu do nadzorowanych przez siebie obszarów działalności Kasy oraz uwzględnieniu posiadanych zasobów;2)
zarządzanie zidentyfikowanymi ryzykami, w tym okresowa analiza ryzyka i ocena ryzyka;3)
analiza i ocena stosowanych środków kontroli, w tym zgłaszanie propozycji zmian do Centralnego Rejestru Ryzyk i Centralnego Rejestru Środków Kontroli;4)
opracowywanie planów minimalizacji ryzyka;5)
bieżące monitorowanie ryzyk.3.
Koordynator ds. ryzyka oraz menedżer ryzyka, powinni posiadać kompetencje, w zakresie:1)
znajomości zasad zarządzania ryzykiem;2)
umiejętności identyfikowania zagrożeń, a także oceny ich szkodliwych skutków;3)
umiejętności formułowania propozycji dotyczących sposobu eliminowania lub ograniczania ryzyka, w tym umiejętność oceny skuteczności stosowanych środków kontroli;4)
umiejętności prowadzenia spotkań oraz przeprowadzania rozmów;5)
umiejętności słuchania i zrozumienia opinii innych;6)
umiejętności objaśniania spostrzeżeń oraz formułowania wniosków;7)
umiejętności syntetycznego myślenia, pracy w zespole;8)
umiejętności postępowania w sytuacjach powodujących nieporozumienia, przekazywania informacji osobom na różnych szczeblach struktury Kasy.4.
Funkcję koordynatora ds. ryzyka pełnią:1)
w Centrali Kasy - wyznaczony przez kierownika komórki organizacyjnej pracownik;2)
w oddziale regionalnym Kasy - koordynator oddziału regionalnego ds. Zintegrowanego Systemu Zarządzania.5.
Do zadań koordynatora ds. ryzyka należy wstępna weryfikacja sporządzonej przez menadżerów ryzyka propozycji: inwentaryzacji aktywów, identyfikacji, analizy i oceny ryzyka oraz postępowania z ryzykiem.6.
Funkcję menedżera ryzyka pełni kierownik placówki terenowej Kasy, kierujący komórką organizacyjną w oddziale regionalnym Kasy lub pracownik komórki organizacyjnej Centrali Kasy.7.
Do zadań menadżera ryzyka należy:1)
opracowywanie propozycji: inwentaryzacji aktywów, identyfikacji, analizy i oceny ryzyka oraz postępowania z ryzykiem;2)
monitorowanie ryzyka oraz dostarczanie kompletnej i wiarygodnej informacji na temat ryzyk i środków kontroli (mechanizmów kontroli) koordynatorowi ds. ryzyka;3)
współpraca z właścicielem ryzyk i koordynatorem ds. ryzyka w zakresie niezbędnym dla zapewnienia adekwatnej, skutecznej i efektywnej kontroli zarządczej.§ 8.
Biuro Organizacyjno-Prawne Centrali Kasy, w ramach zarządzania ryzykiem, realizuje zadania obejmujące podnoszenie świadomości problematyki zarządzania ryzykiem w Kasie, w szczególności poprzez:1)
koordynowanie procesu szacowania ryzyka przez poszczególne komórki/jednostki organizacyjne Kasy;2)
gromadzenie dokumentacji z przeprowadzonego przez poszczególne komórki/jednostki organizacyjne Kasy zarządzania ryzykiem oraz sporządzanie na jej podstawie całościowego sprawozdania przedkładanego do akceptacji Zastępcom Prezesa Kasy oraz do zatwierdzenia Prezesowi Kasy;3)
weryfikację ryzyka i środków kontroli proponowanych przez poszczególnych właścicieli ryzyk do umieszczenia w Centralnym Rejestrze Ryzyk i Centralnym Rejestrze Środków Kontroli;4)
prowadzenie i aktualizację Centralnego Rejestru Ryzyk i Centralnego Rejestru Środków Kontroli, przekazywanych do akceptacji Zastępców Prezesa Kasy, a następnie przedkładanych do zatwierdzenia Prezesowi Kasy;5)
weryfikację stanu realizacji planów minimalizacji ryzyka;6)
aktualizację dokumentacji Kasy w zakresie zarządzania ryzykiem, zgodnie z obowiązującymi przepisami prawa, a w zakresie ochrony danych osobowych we współpracy z Inspektorem Ochrony Danych.§ 9.
1.
Inspektor Ochrony Danych realizuje zadania obejmujące podnoszenie świadomości pracowników Kasy odnośnie ryzyk i incydentów bezpieczeństwa dotyczących ochrony danych osobowych.2.
Inspektor Ochrony Danych gromadzi dokumentację dotyczącą zidentyfikowanych ryzyk bezpieczeństwa informacji w zakresie ochrony danych osobowych, planów minimalizacji tych ryzyk oraz monitoruje ich realizację i przedkłada Prezesowi Kasy stosowną informację dotyczącą tych ryzyk.§ 10.
Pracownicy Kasy są odpowiedzialni za zgłaszanie przełożonym informacji o pojawiających się ryzykach lub innych istotnych problemach w zakresie realizowanych przez nich zadań.Rozdział 3
Zarządzanie ryzykiem
Zarządzanie ryzykiem
§ 11.
Proces zarządzania ryzykiem należy przeprowadzić zgodnie z obowiązującą w Kasie "Metodyką zarządzania ryzykiem w Kasie Rolniczego Ubezpieczenia Społecznego", zatwierdzoną przez Prezesa Kasy i opublikowaną w aplikacji wspomagającej Zintegrowany System Zarządzania.Rozdział 4
Realizacja planów minimalizacji ryzyka
Realizacja planów minimalizacji ryzyka
§ 12.
1.
Za opracowanie i realizację planów minimalizacji ryzyka odpowiadają właściciele ryzyk.2.
Właściciele ryzyk informują:1)
Biuro Organizacyjno-Prawne Centrali Kasy o wdrożonych do realizacji planach minimalizacji ryzyka (wypełniając rejestr planów postępowania z ryzykiem, stanowiący załącznik do dokumentacji potwierdzającej przeprowadzenie udokumentowanego zarządzania ryzykiem w danej komórce organizacyjnej/jednostce organizacyjnej Kasy oraz dodatkowo, cyklicznie raz na pół roku (do dnia 15 lipca oraz do dnia 15 stycznia) o stopniu ich realizacji;2)
Inspektora Ochrony Danych - w odniesieniu do wdrożonych do realizacji planów minimalizacji ryzyk dotyczących bezpieczeństwa informacji w zakresie ochrony danych osobowych.Rozdział 5
Monitorowanie zarządzania ryzykiem
Monitorowanie zarządzania ryzykiem
§ 13.
Proces monitorowania ryzyka w Kasie jest procesem ciągłym, realizowanym przez właścicieli ryzyk na każdym szczeblu zarządzania.§ 14.
Za ciągłe monitorowanie wartości poszczególnych ryzyk oraz podejmowanie stosownych decyzji dotyczących ich minimalizacji w odpowiednim czasie odpowiadają właściciele ryzyk.§ 15.
O wszelkich zmianach poziomu istotności ryzyk oraz nowych, dotychczas niezidentyfikowanych ryzykach, właściciele ryzyk są zobowiązani na bieżąco informować Dyrektora Biura Organizacyjno-Prawnego Centrali Kasy oraz Inspektora Ochrony Danych w odniesieniu do ryzyk dotyczących bezpieczeństwa informacji w zakresie ochrony danych osobowych.Rozdział 6
Postanowienia końcowe
Postanowienia końcowe
§ 16.
1.
Raz w roku, w terminie określonym przez Prezesa Kasy, komórki organizacyjne Centrali Kasy oraz jednostki organizacyjne Kasy, dokonują udokumentowanego szacowania i postępowania z ryzykiem.2.
W przypadku wystąpienia szczególnych okoliczności mających istotny wpływ na realizację zadań przez Kasę, na pisemny, uzasadniony wniosek dyrektora oddziału regionalnego Kasy lub kierownika komórki organizacyjnej Centrali Kasy, skierowany do Pełnomocnika Prezesa Kasy ds. ZSZ, możliwe jest przeprowadzenie dodatkowego udokumentowanego szacowania i postępowania z ryzykiem dla wnioskowanej jednostki/komórki organizacyjnej wraz z jego uruchomieniem w aplikacji wspomagającej ZSZ.