Regulamin w zakresie ustanowienia systemu zarządzania ryzykiem
Inspiracja: Dokumentacja wewnętrzna w jednostkach sektora finansów publicznych
Regulamin w zakresie ustanowienia systemu zarządzania ryzykiem w Mieście „X” określa cele, zakres i procedury dotyczące spójnego modelu zarządzania ryzykiem w Urzędzie i miejskich jednostkach organizacyjnych, zgodnego z standardami kontroli zarządczej. Dokument uwzględnia identyfikację ryzyka, analizę, reakcję oraz monitorowanie zagrożeń, mających negatywny wpływ na realizację celów i zadań. Systematyczna ocena i doskonalenie systemu kontroli zarządczej mają na celu zapewnienie skutecznego zarządzania ryzykiem i poprawę efektywności działań.
Załącznik Nr … do Zarządzenia Nr … Prezydenta Miasta ……………… z dnia ………… 2023 r. Regulamin w zakresie ustanowienia systemu zarządzania ryzykiem w Mieście „X” Rozdział I Postanowienia ogólne 1. Celem regulaminu jest w szczególności: a) zapewnienie spójnego i jednolitego modelu systemu zarządzania ryzykiem w Urzędzie i miejskich jednostkach organizacyjnych, zgodnego z powszechnie przyjętymi w jednostkach sektora finansów publicznych standardami kontroli zarządczej; b) podniesienie jakości kontroli zarządczej oraz zapewnienie prawidłowego jej przebiegu. 2. Niniejszy regulamin uwzględnia specyfikę zadań komórek organizacyjnych urzędu JST i miejskich jednostek organizacyjnych, które je wdrażają, i warunków, w których one funkcjonują. 3. Niniejsze wytyczne, zawarte w regulaminie, są podstawą dla kierowników miejskich jednostek organizacyjnych do wprowadzenia rozwiązań w zakresie zarządzania ryzykiem. Rozdział II System zarządzania ryzykiem 1. System kontroli zarządczej we wszystkich komórkach organizacyjnych urzędu JST i miejskich jednostkach organizacyjnych bazuje m.in. na systemie zarządzania ryzykiem. 2. Zarządzanie ryzykiem w komórkach organizacyjnych Urzędu JST i miejskich jednostkach organizacyjnych ma przyczynić się do poprawy ich funkcjonowania, we wszystkich obszarach zarządzania, oraz ograniczyć ewentualne skutki zdarzeń do akceptowalnego poziomu, w szczególności w zakresie efektywnego zarządzania zasobami, zapewnienia ochrony majątku i efektywności finansowej oraz ochrony wizerunku urzędu i miejskich jednostek organizacyjnych. 3. Ryzykiem jest zdarzenie o określonym prawdopodobieństwie (zdarzenie niepewne), 1 którego wystąpienie może mieć negatywny wpływ na realizację założonych celów, planów i zadań urzędu i miejskich jednostek organizacyjnych. 4. Na system zarządzania ryzykiem składa się zarówno określenie celów i zadań, identyfikacja, analiza ryzyka, jak i reakcja na ryzyko oraz monitorowanie i ocena. Takie podejście pozwoli zidentyfikować zagrożenia, na które narażony jest urząd i miejskie jednostki organizacyjne, a w odpowiedzi na nie – podjąć działania zaradcze. W pierwszej kolejności należy: 1) określić cele i zadania jednostek organizacyjnych urzędu i miejskich jednostek organizacyjnych w co najmniej rocznej perspektywie, a ich wykonanie należy monitorować za pomocą wyznaczonych mierników; 2) zapewnić odpowiedni system monitorowania realizacji celów i zadań jednostek organizacyjnych urzędu i miejskich jednostek organizacyjnych; 3) przeprowadzić ocenę realizacji celów i zadań pod względem oszczędności, efektywności i skuteczności; 4) wskazać osoby odpowiedzialne za ich wykonanie. Rozdział III Identyfikacja ryzyka 1. Przed przystąpieniem do identyfikacji ryzyka występującego w poszczególnych komórkach organizacyjnych urzędu JST i miejskich jednostkach organizacyjnych dyrektorzy/kierownicy ustalają listę celów i zadań do realizacji. Dla ww. listy, co najmniej raz w roku, należy opracować wykaz ryzyk (zdarzeń niepewnych), zarówno wraz z funkcjonującymi, jak i proponowanymi mechanizmami kontrolnymi, ograniczającymi występujące ryzyko. Zadaniem kierowników komórek organizacyjnych urzędu JST i kierowników miejskich jednostek organizacyjnych jest uzyskanie odpowiedzi na pytanie, co może w przyszłości nastąpić, gdy wyznaczony cel nie zostanie osiągnięty. 2. Przy identyfikacji ryzyka należy: 1) nie rzadziej niż raz w roku dokonywać identyfikacji ryzyka w odniesieniu do wyznaczonych celów i zadań; 2) zidentyfikowane ryzyka poddać analizie mającej na celu określenie prawdopodobieństwa 2 wystąpienia danego ryzyka i możliwych jego skutków; 3) określić akceptowalny poziom ryzyka; 4) dokonać hierarchizacji ryzyka (uporządkować je malejąco według przyznanych ocen); 5) dla każdego zidentyfikowanego ryzyka określić rodzaj wymaganej reakcji; 6) określić działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowalnego poziomu. 3. Przykładowe kategorie ryzyka, które mogą wystąpić w urzędzie i miejskich jednostkach organizacyjnych, przedstawia tabela stanowiąca załącznik Nr 1 do regulaminu. Tabela nie określa zamkniętego katalogu ryzyka, które mogą wystąpić w ww. jednostkach. Rozdział IV Analiza ryzyka 1. Każde zidentyfikowane ryzyko podlega analizie mającej na celu oszacowanie: 1) prawdopodobieństwa jego wystąpienia (P) – ocena punktowa w skali od 1 do 5; 2) wpływu (skutku, strat), jaki będzie miało ewentualne wystąpienie tego zdarzenia (S) – ocena punktowa w skali od 1 do 5. 2. Łączna relacja (iloczyn) tych dwóch wartości określa istotność ryzyka i obliczana jest według wzoru: Istotność ryzyka = P × S gdzie: P – prawdopodobieństwo wystąpienia ryzyka; S – wielkość straty, skutku bądź wpływu, jaki będzie miało ewentualne wystąpienie tego zdarzenia. 3. Sposób określenia prawdopodobieństwa wystąpienia ryzyka obrazuje poniższa tabela: Opis Rzadkie Mało prawdopodobne Średnie Prawdopodobne Prawie pewne P 0–20% 21–40% 41–60% 61–80% 81–100% Wartości 1 2 3 4 5 3 gdzie: 1) rzadkie – ryzyko występuje średnio raz na 5 lat, mała szansa na wystąpienie w najbliższym roku; 2) mało prawdopodobne – ryzyko występuje średnio raz na 3 lata; 3) średnie – ryzyko występuje średnio raz na 2 lata; 4) prawdopodobne – ryzyko występuje średnio raz na rok lub raz na 2 lata (lub ryzyko będzie systematycznie narastać); 5) prawie pewne – ryzyko prawdopodobnie wystąpi w najbliższym roku budżetowym. 4. Do określenia wpływu (oddziaływania, skutku) ryzyka na realizację zadań stosuje się następujące definicje, gdzie przypisane im wartości odnoszą się do: Wartości 1 2 3 4 5 Opis Nieznaczne Małe Średnie Poważne Katastrofalne gdzie: 1) nieznaczne – rozwiązanie problemu wymagało będzie nieznacznego nakładu czasu/zasobów; problem nie spowoduje trwałej szkody i wywrze mały wpływ na wyniki finansowe; 2) małe – rozwiązanie problemu będzie wymagało pewnego nakładu czasu/zasobów; usunięcie skutków (powstałych strat) będzie wymagało czasu; może mieć wpływ na wyniki finansowe, których ranga będzie wymagała ujawnienia; może spowodować zakłócenia w działalności; 3) średnie – rozwiązanie problemu będzie wymagało umiarkowanego nakładu czasu/zasobów – w tym kierownictwa wyższego szczebla; usunięcie skutków (strat) będzie trudne; wywrze wpływ na wyniki finansowe; może doprowadzić do niezrealizowania kluczowego celu; 4) poważne – rozwiązanie problemu będzie wymagało dużego nakładu czasu/zasobów – w tym kierownictwa wyższego szczebla; usunięcie skutków (strat) będzie bardzo trudne lub nieraz wręcz niemożliwe; wywrze istotny wpływ na wyniki finansowe i stanie się istotnym 4 wydarzeniem publicznym; prawdopodobnie doprowadzi do niezrealizowania kluczowego celu; 5) katastrofalne – rozwiązanie problemu będzie wymagało bardzo dużego nakładu czasu/zasobów – w tym kierownictwa wyższego szczebla; usunięcie skutków (strat) będzie bardzo trudne lub wręcz niemożliwe; wywrze istotny wpływ na wyniki finansowe i stanie się ważnym wydarzeniem publicznym; doprowadzi do braku realizacji kluczowego celu. 5. Istotność ryzyka przedstawia poniższa macierz ryzyka: 6. Ryzykiem akceptowalnym jest ryzyko małe. 7. Ryzyko średnie jest sygnałem do podjęcia działań naprawczych. 8. Ryzyko wysokie jest ryzykiem nieakceptowalnym i wymaga podjęcia zdecydowanych działań w celu zmniejszenia ryzyka do akceptowalnego poziomu. 9. Kierownicy komórek organizacyjnych urzędu JST i kierownicy miejskich jednostek organizacyjnych są zobowiązani udokumentować przeprowadzoną w podległej jednostce analizę ryzyka w szczególności poprzez utworzenie Rejestru ryzyka dla wyznaczonych celów i zadań. 10. Wzór Rejestru zidentyfikowanego ryzyka stanowi załącznik Nr 2 do niniejszego regulaminu. Rozdział V Mechanizmy kontroli 1. Zadaniem mechanizmów kontroli jest zapobieganie urzeczywistnieniu się ryzyka (lub 5 ograniczanie strat). Każdy zastosowany mechanizm kontrolny powinien stanowić odpowiedź na konkretne ryzyko. Koszt wdrożenia mechanizmów kontroli nie może być wyższy niż uzyskane dzięki nim korzyści. 2. Do ogólnych mechanizmów kontroli należy: 1) dokumentowanie systemu kontroli zarządczej (procedury, instrukcje, zarządzenia, zakresy czynności, regulamin organizacyjny); 2) dokumentowanie i rejestrowanie operacji finansowych i gospodarczych; 3) nadzór; 4) ciągłość działalności; 5) ochrona zasobów; 6) mechanizmy kontroli dotyczące systemów informatycznych. Rozdział VI Monitorowanie i ocena 1. Ocena systemu kontroli zarządczej, w tym systemu zarządzania ryzykiem, w komórkach organizacyjnych urzędu JST i w miejskich jednostkach organizacyjnych powinna być prowadzona w sposób ciągły. 2. Zidentyfikowane ryzyko oraz ustalone metody jego ograniczania są na bieżąco oceniane przez kierowników komórek organizacyjnych urzędu JST i kierowników miejskich jednostek organizacyjnych, którzy oceniają poziom zidentyfikowanego ryzyka oraz skuteczność stosowanych metod jego ograniczania. 3. Wyniki oceny, o której mowa w pkt 2, wykorzystywane są na bieżąco do poprawy efektywności zarządzania ryzykiem wewnętrznym oraz usprawniania systemu kontroli zarządczej. 4. Kierownicy komórek organizacyjnych urzędu JST do 31 stycznia bieżącego roku za rok poprzedni składają do Pełnomocnika Prezydenta informację dotyczącą ryzyka zidentyfikowanego w roku poprzednim, zawierającą w szczególności ocenę skuteczności zaproponowanych (przyjętych) metod przeciwdziałania ryzyku oraz wpływu tych metod na poziom istotności ryzyka. 5. Kierownicy miejskich jednostek organizacyjnych za pośrednictwem jednostek organizacyjnych urzędu sprawujących nadzór składają wyłącznie oświadczenie o stanie 6 kontroli zarządczej, zgodnie z postanowieniami regulaminu, określającego zasady organizacji i funkcjonowanie kontroli zarządczej w Mieście „X”. Rozdział VII Samoocena oraz informacja na temat stanu kontroli zarządczej 1. Samoocena umożliwia kierownikowi jednostki dokonanie przeglądu istniejących mechanizmów kontroli pod względem adekwatności oraz wdrażania ulepszeń. 2. Kierownicy jednostek organizacyjnych urzędu JST raz w roku przeprowadzają samoocenę systemu kontroli zarządczej. 3. Proces samooceny powinien być udokumentowany. 4. Wyniki samooceny jednostek organizacyjnych urzędu przekazywane są do 31 stycznia bieżącego roku za rok poprzedni do Pełnomocnika Prezydenta, który dokonuje analizy osiągania standardów kontroli zarządczej w urzędzie. 5. Wyniki samooceny miejskich jednostek organizacyjnych wykorzystywane są na potrzeby danej jednostki. 6. Pełnomocnik przedkłada Prezydentowi Miasta informację na temat stanu kontroli zarządczej w urzędzie wraz z propozycją usprawnień, w przypadku braku realizacji standardów kontroli zarządczej. Informacja powinna być przedłożona nie później niż do 31 marca bieżącego roku. 7
Regulamin w zakresie ustanowienia systemu zarządzania ryzykiem w Mieście „X” nakłada obowiązek ciągłej oceny ryzyka oraz skuteczności stosowanych metod jego ograniczania. Kierownicy komórek organizacyjnych są zobowiązani do udokumentowania analizy ryzyka i wprowadzenia działań naprawczych w przypadku średniego i wysokiego ryzyka. Samoocena systemu kontroli zarządczej jest istotnym narzędziem doskonalenia mechanizmów zapobiegania ryzyku.