Procedura zarządzania ryzykiem

Procedura zarządzania ryzykiem

 

§1Cel procedury zarządzania ryzykiem

1. Celem Procedury Zarządzania Ryzykiem jest zapewnienie właściwego procesu zarządzania ryzykiem w Zakładzie Gospodarki Komunalnej "Czyścioch", a przez to zwiększenie prawdopodobieństwa osiągnięcia wyznaczonych dla danego roku celów i zadań, jak również zapewnienie zgodności z prawem, efektywności, oszczędności i terminowości procesów realizacji wykonywanych zadań publicznych, zarządzania zasobami, w tym majątkiem nieruchomym i ruchomym oraz środkami finansowymi, przeciwdziałanie potencjalnym zagrożeniom dla procesów realizacji wykonywanych zadań publicznych, w tym ograniczenia do akceptowanego poziomu negatywnych skutków prawnych, finansowych oraz faktycznych zaistniałych zdarzeń, stanowiących zagrożenie zadań publicznych, oraz zapewnienie odpowiednich mechanizmów funkcjonowania systemu kontroli zarządczej.

2. Słowniczek pojęć:

− zadania – procesy wykonywania zadań realizowane przez komórki organizacyjne, w tym samodzielne stanowiska wyodrębnione w strukturze organizacyjnej Zakładu Gospodarki Komunalnej "Czyścioch";

− ryzyko – możliwość zaistnienia niepożądanego zdarzenia, stanowiącego zagrożenie dla realizacji zadania;

− akceptowalny poziom ryzyka – poziom istotności ryzyka, który zgodnie z przyjętą skalą pomiaru ryzyka oraz z zasadami reakcji na ryzyko, nie wymaga podejmowania działań w celu jego ograniczenia;

− właściciel zadania (właściciel ryzyka) – kierownik komórki organizacyjnej lub osoba zatrudniona na samodzielnym stanowisku albo inna upoważniona osoba odpowiedzialna za realizację danego zadania i skuteczność zarządzania ryzykiem związanym z tym zadaniem;

− miernik ryzyka – wskaźnik procesu realizacji zadania służący do monitorowania ryzyka;

− czynniki ryzyka – cechy charakterystyczne dla danego procesu, które wskazują na możliwość wystąpienia zdarzenia, mogące niekorzystnie wpłynąć na osiągnięcie określonego celu;

− proces zarządzania ryzykiem – wykonywanie czynności zgodnie z przyjętą metodą, dzięki której pracownicy określają, analizują i kontrolują ryzyko działalności;

− poziom ryzyka – poziom ryzyka odzwierciedlający wagę ryzyka, jego nasilenie i prawdopodobieństwo wystąpienia.

§2Zakres procedury zarządzania ryzykiem

1. Procedura określa uprawnienia, zakres odpowiedzialności, sposób postępowania uczestników procesu zarządzania ryzykiem oraz sposób dokumentowania procesu zarządzania ryzykiem.

2. Procedurą zarządzania ryzykiem objęte są procesy wykonywania zadań publicznych, realizowanych przez komórki organizacyjne, w tym samodzielne stanowiska, wyodrębnione w strukturze organizacyjnej.

§3PlanowanieZasady i tryb wyznaczania celów i mierników

1. Do końca danego roku kalendarzowego Zakład Gospodarki Komunalnej "Czyścioch", zwany dalej Dyrektorem, określa cele na rok następny, które jednostka jako podmiot sektora finansów publicznych zamierza osiągnąć, oraz zadania służące ich realizacji.

2. Dyrektor może zdecydować o braku potrzeby wydzielania zadań w ramach danego celu, wskazując tylko i wyłącznie cele.

3. Dyrektor wskazuje właścicieli odpowiedzialnych za realizację poszczególnych celów i zadań.

4. Przy określaniu celów i zadań bierze się pod uwagę przede wszystkim:

− misję jednostki,

− przepisy prawa powszechnie obowiązującego oraz

− regulacje wewnętrzne określające obowiązki i zakres kompetencji poszczególnych pracowników/współpracowników w tym m.in. Statut jednostki, Regulamin Organizacyjny.

5. Dyrektor, określając cele i zadania, kieruje się zasadami:

− istotności, tzn. cele i zadania mają być ważne dla realizacji misji i potrzeb petentów/klientów,

− precyzyjności, tj. cele i zadania mają być formułowane w jasny sposób, zapewniający jednoznaczną interpretację,

− spójności, tj. cele i zadania mają zapewnić wzajemną zgodność i brak powielania się,

− realistyczności, tj. cele i zadania mają uwzględniać ryzyka związane z ich realizacją.

6. Wszystkim wyznaczonym w ramach systemu kontroli zarządczej celom i zadaniom przypisywany jest minimum jeden miernik określający ich docelową wartość, jaką zamierza w I kwartale 2024 roku osiągnąć jednostka. Wyznaczone mierniki mają być określone dla perspektywy najbliższego roku oraz mierzalne, tzn. umożliwiające określenie stopnia realizacji celów i zadań oraz ich planowane wartości. W drodze wyjątku możliwe jest określenie miernika w sposób opisowy, niespełniający wymogu mierzalności.

7. Wyznaczając miernik/mierniki Dyrektor lub wyznaczeni pracownicy ponoszą odpowiedzialność za właściwe określenie miernika/mierników. Określając miernik/mierniki i jego docelową wartość, bierze się pod uwagę przepisy prawa i regulacje wewnętrzne określające obowiązki i zakres kompetencji.

§4Plan działalności

W terminie do końca każdego roku kierownicy jednostek, komórek organizacyjnych oraz pracownicy samodzielnych stanowisk przekazują Koordynatorowi ds. kontroli zarządczej Plan działalności komórki, który zawiera:

− misję Zespołu,

− wyznaczone cele i zadania służące osiągnięciu celów,

− mierniki odpowiadające celom i zadaniom,

− właścicieli poszczególnych celów i zadań.

§5Zasady i tryb monitorowania realizacji celów i zadań

1. Właściciele celów i zadań są odpowiedzialni za bieżące monitorowanie przypisanych im celów i zadań za pomocą wyznaczonych mierników.

2. Właściciele celów i zadań są zobowiązani do przedkładania Dyrektorowi, za pośrednictwem Koordynatora ds. kontroli zarządczej, sprawozdań o stanie realizacji przypisanych im celów i zadań, w następujących terminach:

− do 30 czerwca każdego roku za pierwsze półrocze,

− do 31 stycznia następnego roku sprawozdania rocznego za poprzedni rok.

3. W razie wystąpienia istotnego zagrożenia w realizacji zaplanowanych celów i zadań ich właściciele mają obowiązek niezwłocznego przekazania informacji Dyrektorowi.

4. Sprawozdanie, o którym mowa w ust. 2 niniejszego paragrafu, zawiera informacje o realizacji celów i zadań z uwzględnieniem:

− mierników planowanych i osiągniętych,

− ewentualnych przyczyn braku realizacji założonych celów i zadań.

§6Zakres odpowiedzialności za realizację zarządzania ryzykiem

1. W procesie zarządzania ryzykiem uczestniczą wszyscy pracownicy jednostki/wskazani pracownicy jednostki.

2. Dyrektor odpowiada za funkcjonowanie procesu zarządzania ryzykiem w jednostce poprzez:

1) kształtowanie i wdrażanie polityki zarządzania ryzykiem;

2) identyfikację celów i zadań;

3) wyznaczanie poziomu akceptowalnego poziomu ryzyka;

4) podejmowanie decyzji dotyczących sposobu reakcji na poszczególne ryzyka;

5) zatwierdzanie Rejestru ryzyk;

6) podejmowanie decyzji w sprawie wprowadzenia zmian w systemie zarządzania ryzykiem.

3. Dyrektor może powołać zespół ds. zarządzania ryzykiem, wskazując jego skład. Zadaniami zespołu są:

1) promowanie wiedzy na temat zarządzania ryzykiem;

2) uczestnictwo w wyznaczaniu celów i zadań;

3) identyfikacja, analiza i ocena ryzyka;

4) przedstawianie propozycji właścicieli ryzyk;

5) przedstawianie Dyrektorowi propozycji działań, będących odpowiedzią (reakcją) na ryzyko;

6) monitorowanie we współpracy z Dyrektorem działań podjętych w związku z występującym ryzykiem.

4. Dyrektor powołuje Koordynatora ds. kontroli zarządczej, który odpowiada za:

1) koordynację procesu identyfikowania ryzyk związanych z realizacją wyznaczonych celów i zadań;

2) ujednolicanie i kumulowanie ryzyk przekazywanych przez jednostki/komórki organizacyjne;

3) prowadzenie Rejestru ryzyk obejmującego zidentyfikowane ryzyka;

4) sporządzanie mapy ryzyka;

5) gromadzenie okresowych sprawozdań o stanie realizacji celów i zadań;

6) sporządzanie okresowych raportów i zestawień dotyczących zarządzania ryzykiem;

7) coroczny przegląd Polityki i Procedury zarządzania ryzykiem w celu jej aktualizacji.

5. Kierownicy komórek organizacyjnych i pracownicy samodzielnych stanowisk odpowiadają za:

1) identyfikację celów i zadań komórki organizacyjnej;

2) sporządzanie planu działalności komórki;

3) składanie sprawozdań o stanie realizacji celów i zadań komórki;

4) identyfikację, analizę i ocenę ryzyka związanego z realizacją celów i zadań komórki;

5) podejmowanie reakcji na ryzyko, wykonywanie działań kontrolnych i wprowadzanie dodatkowych mechanizmów kontroli dla istotnych ryzyk;

6) raportowanie na temat ryzyk i ich monitorowanie.

6. Kierownicy komórek organizacyjnych oraz pracownicy samodzielnych stanowisk są odpowiedzialni za zarządzanie ryzykiem w komórce, są również właścicielami celów, zadań i ryzyk występujących w ramach działalności komórki organizacyjnej, którą kierują.

7. Kierownik może zlecać wykonanie powyższych zadań w całości lub części pracownikom komórki organizacyjnej, z zastrzeżeniem, że nie mogą przenosić na nich odpowiedzialności za te działania.

§7Identyfikacja ryzyka

1. Do końca każdego roku kalendarzowego dokonywana jest identyfikacja ryzyka w odniesieniu do celów i zadań przyjętych do realizacji na rok następny.

2. Każdemu z wyznaczonych zadań właściciel zadania i ryzyka zobowiązany jest przypisać odpowiadającą danemu zadaniu jedną z następujących kategorii ryzyka:

1) finansowego – związanego z zagrożeniem zasad planowania, wydatkowania i kontroli środków publicznych, w tym skutkujących odpowiedzialnością za naruszenie dyscypliny finansów publicznych;

2) organizacyjno-prawnego – związanego z zagrożeniem naruszenia przepisów prawa, w tym naruszenia obowiązujących procedur, z wyłączeniem przypadków objętych kategorią ryzyka finansowego;

3) bezpieczeństwa zasobów – związanego z zagrożeniem bezpieczeństwa:

a) zasobów ludzkich (np. wystąpienia wypadków),

b) zasobów majątkowych (np. pożaru, powodzi i innych zdarzeń losowych),

c) zasobów technologicznych lub informacyjnych (np. bezpieczeństwa systemów informatycznych),

d) środowiska naturalnego (np. klęski ekologicznej);

4) komunikacyjnego – związanego z zagrożeniem opublikowania niepożądanej informacji lub zakłóceniem udostępniania informacji publicznej.

3. W przypadku istotnej zmiany warunków funkcjonowania jednostki dokonuje się ponownej identyfikacji ryzyka.

4. Każde zidentyfikowane ryzyko ujmowane jest w Rejestrze ryzyk.

5. Właścicielem danego ryzyka jest właściciel celu, zadania, do którego odnosi się to ryzyko. Jest nim z reguły kierownik komórki organizacyjnej lub inna osoba wyznaczona przez Dyrektora.

6. Każdy pracownik ma prawo i obowiązek zgłaszania Dyrektorowi, za pośrednictwem kierownika komórki, ryzyk zidentyfikowanych w ramach realizowanych przez siebie zadań.

7. W procesie identyfikacji ryzyka wykorzystuje się wyniki monitoringu wyznaczonych celów i zadań, dane dotyczące realizacji celów, zadań z lat ubiegłych, ustalenia audytów i kontroli. Przy identyfikacji ryzyka rozważane są czynniki ryzyka wynikające ze źródeł zewnętrznych i wewnętrznych.

§8Analiza ryzyka

1. Każde zidentyfikowane ryzyko podlega analizie pod kątem jego znaczenia dla osiągnięcia przez jednostkę założonych celów i zadań. Identyfikacja ryzyka polega na przeglądzie realizowanych celów i zadań przyjętych w planie działalności na dany rok w kontekście szans oraz zagrożeń dla ich realizacji, występujących czynników wewnętrznych i zewnętrznych.

2. Proces analizy ryzyka odbywa się do końca danego roku.

3. Każde poddane analizie ryzyko ujmowane jest w Rejestrze ryzyk.

4. Każde ryzyko oceniane jest pod kątem siły oddziaływania, tj. wpływu (skutku) i prawdopodobieństwa jego wystąpienia.

5. Skutek wystąpienia ryzyka rozpatrywany jest w aspektach powiązanych z wyróżnionymi kategoriami ryzyka, a mianowicie:

a) wpływ w zakresie finansowym (kryterium finansowe),

b) wpływ w zakresie organizacyjno-prawnym (kryterium organizacyjno-prawne),

c) wpływ w zakresie bezpieczeństwa zasobów (kryterium bezpieczeństwa zasobów),

d) wpływ w zakresie skuteczności komunikacji (kryterium komunikacyjne).

6. Przy ocenie skutku ryzyka dla osiągnięcia wyznaczonych celów i zadań bierze się pod uwagę zarówno skutki finansowe, jak i niefinansowe.

7. Wyniki analizy poszczególnych ryzyk ujmowane są w Rejestrze ryzyk.

8. Dla każdego zidentyfikowanego, istotnego i poddanego analizie ryzyka jego właściciel wskazuje właściwą, optymalną jego zdaniem reakcję (tolerowalne/akceptowalne; przeniesienie – dotyczyć to będzie kategorii ryzyk, w odniesieniu do których nastąpi przeniesienie ich na inną instytucję, między innymi poprzez ubezpieczenie lub zlecenie usług na zewnątrz; wycofanie się – dla zadań, w których nie można zmniejszyć wysokości ryzyka i których niepowodzenie naraża jednostkę na duże straty; działanie – dotyczyć to będzie kategorii ryzyk, które wymagać będą podjęcia zdecydowanych, przemyślanych i zaplanowanych działań prowadzących do minimalizacji ryzyk).

9. Dla każdego ryzyka, które przekracza akceptowany poziom ryzyka, są opracowywane i wdrażane przez właściciela ryzyka odpowiednie działania zaradcze.

§9Rejestr ryzyk

1. W jednostce prowadzony jest Rejestr ryzyk, wypełniany jest przez Koordynatora ds. kontroli zarządczej na podstawie informacji przekazywanych przez właścicieli poszczególnych ryzyk.

2. W terminie do końca każdego roku kierownicy komórek organizacyjnych oraz pracownicy samodzielnych stanowisk przekazują Koordynatorowi wypełnione informacje celem uzupełnienia lub skorygowania Rejestru ryzyk.

§ 10Przepisy końcowe

1. Procedura Zarządzania Ryzykiem podlega corocznemu przeglądowi oraz aktualizacji. Za przegląd i aktualizację Procedury odpowiada Koordynator ds. kontroli zarządczej. Aktualizacja Procedury wymaga akceptacji Dyrektora.

2. Procedura wchodzi w życie z dniem 01.01.2024r.

3. Koordynator ds. kontroli zarządczej odpowiedzialny jest za przekazanie Procedury wszystkim kierownikom komórek organizacyjnych oraz pracownikom samodzielnych stanowisk w terminie do dnia 15.01.2024r.

4. Kierownicy komórek organizacyjnych zobowiązani są do przekazania Procedury podległych im pracownikom w terminie do dnia 22.01.2024r.