Regulamin zarządzania ryzykiem

Załącznik

Regulamin zarządzania ryzykiem

§1

Założenia ogólne

1. Regulamin zarządzania ryzykiem opisuje przyjęty dla Elektrociepłownia Miejska Sp. z o.o. model zarządzania ryzykiem.

2. Zarządzanie ryzykiem jest procesem ciągłym, stanowiącym jeden z elementów kontroli zarządczej w jednostce.

§2

Ogólne zasady zarządzania ryzykiem

1. Celem zarządzania ryzykiem jest:

1) usprawnienie procesu planowania,

2) zwiększenie prawdopodobieństwa realizacji zadań i osiągania celów,

3) zapewnienie odpowiednich mechanizmów kontroli zarządczej,

4) zapewnienie kierownictwu otrzymywania na czas wczesnej informacji na temat zagrożeń dla realizacji celów i zadań.

2. Zarządzanie ryzykiem wewnętrznym odbywa się w szczególności według zasad:

1) spójności z przepisami prawa oraz wytycznymi w zakresie standardów kontroli zarządczej w jednostkach sektora finansów publicznych,

2) powiązania z celami i zadaniami jednostki,

3) przypisania odpowiedzialności,

4) proporcjonalności działań przeciwdziałających ryzyku do jego istotności.

§3

Elementy systemu zarządzania ryzykiem

Zarządzania ryzykiem obejmuje:

1) identyfikację ryzyka,

2) ocenę ryzyka, mającą na celu określenie możliwych skutków, prawdopodobieństwa i istotności wystąpienia danego ryzyka,

3) określenie akceptowanego poziomu ryzyka,

4) określenie reakcji na ryzyko i wskazanie działań w celu zmniejszenia danego ryzyka do akceptowanego poziomu ze wskazaniem właścicieli ryzyk,

5) zapewnienie mechanizmów kontroli ryzyka,

6) wdrożenie środków zapobiegawczych i korygujących oraz monitorowanie i raportowanie.

§4

Identyfikacja ryzyka

1. Identyfikacja ryzyka polega na określeniu ryzyka, które zagraża poszczególnym celom i zadaniom, uwzględnionym w rocznym planie pracy. Przy identyfikacji zagrożeń uwzględnia się też realizowane przez jednostkę programy oraz projekty.

2. Identyfikując ryzyko, analizuje się wyniki wcześniej przeprowadzonych kontroli lub audytów oraz przypadki nieprawidłowości i niepowodzeń w osiąganiu celów jednostki w przeszłości.

3. Podczas identyfikacji należy przeanalizować:

1) cele i zadania jednostki;

2) obszary działalności jednostki;

3) zagrożenia związane z osiąganiem celów i realizowaniem zadań, w szczególności wynikające z następujących czynników:

a) struktury organizacyjnej jednostki,

b) sytuacji finansowej jednostki, w tym: pierwszego kwartału 2024, rodzaju i wielkości dokonywanych operacji finansowych,

c) zatrudnienia pracowników oraz ich kwalifikacji,

d) przestrzegania przez pracowników zasad etyki,

e) warunków pracy w jednostce,

f) wpływów/nacisków zewnętrznych na pracowników jednostki (zwłaszcza o charakterze korupcyjnym lub innym kryminogennym),

g) możliwości zaistnienia zmian (np. zakresu rzeczowego lub terytorialnego działania jednostki, struktury organizacyjnej, sposobu działania, fluktuacji kadr, systemów informatycznych).

§5

Ocena ryzyka

1. Ocena ryzyka odbywa się na podstawie przyjętego modelu oceny zapewniającego porównywalność wyników we wszystkich obszarach funkcjonowania jednostki oraz ułatwiającego przetwarzanie indywidualnych ocen w celu stworzenia ogólnego profilu ryzyka.

2. Ocena ryzyka polega na określeniu prawdopodobieństwa wystąpienia ryzyka i skutku, a następnie ustaleniu jego istotności.

3. Ocena zarówno prawdopodobieństwa, jak i potencjalnych skutków wystąpienia ryzyka polega na nadaniu im wartości szacunkowych w przyjętych skalach jakościowo-ilościowych.

4. W ocenie ryzyka uwzględnia się częstotliwość zaistnienia ryzyka (liczby możliwych powtórzeń) jako jeden ze wskaźników prawdopodobieństwa wystąpienia ryzyka.

5. Na podstawie oszacowanego prawdopodobieństwa oraz skutków wystąpienia ryzyka określa się współczynnik istotności każdego zidentyfikowanego ryzyka.

6. Określenie istotności ryzyka umożliwia uporządkowanie ryzyk według kryterium ich znaczenia dla realizacji celów i zadań jednostki.

7. Pogrupowanie ryzyk według kryterium ich istotności przedstawia rzeczywiste zagrożenia dla realizacji celów i zadań jednostki oraz wskazuje kierownikowi jednostki kierunki priorytetowe w podejmowaniu odpowiednich działań.

8. Dla poszczególnych zidentyfikowanych i oszacowanych ryzyk wskazuje się rozwiązania, które mają na celu ograniczenie prawdopodobieństwa lub skutków ich wystąpienia.

9. Kierownik jednostki wyznacza akceptowany poziom ryzyka, uwzględniając ocenę istotności ryzyka.

10. Określenie poziomu istotności ryzyka może wynikać m.in. z konieczności zaakceptowania ryzyka w obszarze, w którym długofalowe korzyści przewyższają krótkoterminowe straty, z uwzględnieniem aktualnej sytuacji jednostki oraz wysokości kosztów ograniczenia danego ryzyka.

§6

Prawdopodobieństwo wystąpienia ryzyka

1. Oceniając prawdopodobieństwo wystąpienia ryzyka, uwzględnia się możliwą częstotliwość wystąpienia zdarzenia (jak często dane zdarzenie może mieć miejsce). W odniesieniu do czynności powtarzalnych (spraw występujących cyklicznie lub wielokrotnie) uwzględnia się liczbę możliwych powtórzeń (procentowo względem ogólnej liczby spraw zdarzenie może mieć miejsce).

2. Jakościowa ocena prawdopodobieństwa wystąpienia ryzyka opiera się na oszacowaniu stopnia prawdopodobieństwa zaistnienia ryzyka, przez wybór przez oceniającego jednej z trzech możliwości (skal):

1) prawdopodobieństwo wysokie – gdy jest więcej niż 60% szans, że ryzyko wystąpi wielokrotnie w ciągu roku; ryzyko z prawdopodobieństwem wysokim przyjmuje wartość – 3;

2) prawdopodobieństwo średnie – gdy jest więcej niż 10%, ale mniej niż 60% szans, że ryzyko wystąpi kilkakrotnie w ciągu kwartału; ryzyko z prawdopodobieństwem średnim przyjmuje wartość – 2;

3) prawdopodobieństwo niskie – gdy jest mniej niż 10% szans, że ryzyko wystąpi raz w ciągu miesiąca lub nie zdarzy się w ciągu roku; ryzyko z prawdopodobieństwem niskim przyjmuje wartość – 1.

§7

Skutki wystąpienia ryzyka

1. Ocena skutków wystąpienia ryzyka opiera się na oszacowaniu potencjalnych skutków, a więc wyników oddziaływania, jakie zaistnienie danego rodzaju ryzyka może mieć na jednostkę sektora finansów publicznych i realizację jej celów oraz zadań (jakość rezultatów/znaczenia/wpływów). Uwzględnia się przy tym w szczególności konsekwencje prawne, finansowe i organizacyjne zaistnienia danego zdarzenia oraz jego wpływ na wizerunek jednostki sektora finansów publicznych i bezpieczeństwo pracowników.

2. Ocena jakościowa skutków zaistnienia ryzyka dokonywana jest przez wybór jednej z trzech możliwości (skal):

1) wysokie skutki – poważny wpływ na realizację zadania (poważne zagrożenie terminowej jego realizacji) i osiągnięcie celu; poważne konsekwencje prawne; zagrożenie bezpieczeństwa pracowników; poważne straty finansowe; poważny wpływ na wizerunek jednostki sektora finansów publicznych; ryzyko ze skutkiem wysokim przyjmuje wartość – 3;

2) średnie skutki – średni wpływ na realizację zadania (zagrożenie częściowej jego realizacji) i osiągnięcie celu; umiarkowane konsekwencje prawne; średni skutek finansowy; brak wpływu na bezpieczeństwo pracowników; średni wpływ na wizerunek jednostki sektora finansów publicznych; ryzyko ze skutkiem średnim przyjmuje wartość – 2;

3) małe skutki – mały wpływ na realizację zadania i osiągnięcie celu; brak skutków prawnych; mały skutek finansowy; brak wpływu na bezpieczeństwo pracowników; niewielki wpływ na wizerunek jednostki sektora finansów publicznych; ryzyko ze skutkiem niskim przyjmuje wartość – 1.

§8

Istotność ryzyka

1. Istotność ryzyka wyrażona jest jako iloczyn (wyrażonych punktowo) prawdopodobieństwa wystąpienia ryzyka oraz potencjalnych skutków jego wystąpienia. Określenie istotności ryzyka pozwala na dokonanie oceny i hierarchizacji ryzyka, tj. uporządkowanie zidentyfikowanych i oszacowanych rodzajów ryzyka ze względu na ich znaczenie (od najpoważniejszych do najmniej poważnych rodzajów ryzyka), w zależności od stopnia, w jakim dane ryzyko zagraża realizacji zadań i celów jednostki sektora finansów publicznych.

2. Z uwagi na trzystopniową skalę zarówno prawdopodobieństwa, jak i skutków wystąpienia ryzyka, istotność danego rodzaju ryzyka może przyjąć wartości liczbowe od 1 do 9.

3. Dla oceny istotności ryzyka stosuje się skalę obejmującą następujące poziomy:

1) istotność ryzyka wysoka – istotnie wpływa na kluczową działalność jednostki sektora finansów publicznych; uniemożliwia realizację zadań i celów; rodzi straty finansowe; wymaga podjęcia natychmiastowych działań naprawczych; ryzyko przyjmuje wartość 6–9 (ryzyko o wysokim wpływie oraz wysokim lub średnim prawdopodobieństwie; ryzyko o średnim wpływie i wysokim prawdopodobieństwie);

2) istotność ryzyka średnia – potencjalnie wpływa na kluczową działalność jednostki sektora finansów publicznych; jest zagrożeniem dla realizacji zadań i celów; zagraża powstaniem strat finansowych; wymaga ustawicznego monitorowania i sprawdzania oraz rozważenia podjęcia stosownych działań; ryzyko przyjmuje wartość 3–4 (ryzyko o wysokim wpływie oraz niskim prawdopodobieństwie; ryzyko o średnim wpływie oraz o średnim lub niskim prawdopodobieństwie; ryzyko o niskim wpływie i wysokim prawdopodobieństwie);

3) istotność ryzyka niska – nie ma wpływu na kluczową działalność jednostki sektora finansów publicznych; nie uniemożliwia realizacji zadań i osiągania celów; wymaga monitorowania i w miarę potrzeby sprawdzania; ryzyko przyjmuje wartość 1–2 (ryzyko o niskim wpływie oraz średnim lub niskim prawdopodobieństwie).

4. Matrycę punktowej oceny istotności ryzyka, zawierającą prezentację ryzyka w macierzy „3 × 3”, przedstawia poniższy rysunek:

§9

Akceptowany poziom ryzyka

1. Ryzykiem akceptowalnym jest ryzyko o niskim poziomie istotności.

2. Ryzyko o średnim i wysokim poziomie istotności przekracza akceptowalny poziom ryzyka i wymaga ustalenia i podjęcia działań ograniczających to ryzyko przez zmniejszenie jego skutku lub prawdopodobieństwa wystąpienia ryzyka.

3. W stosunku do każdego rodzaju ryzyka, którego poziom istotności mieści się w akceptowanym dla Elektrociepłownia Miejska Sp. z o.o. poziomie ryzyka, można również wskazać odpowiednie działania służące wdrożeniu określonego rodzaju reakcji na ryzyko.

§ 10

Rodzaj reakcji na ryzyko i wyznaczenie właściciela ryzyka

1. Metodami przeciwdziałania ryzyku są:

1) kontrolowanie i ograniczanie ryzyka (K) – działanie w celu zmniejszenia ryzyka. Przykładem tej formy jest stosowanie mechanizmów kontroli zarządczej lub też wprowadzenie dodatkowych procedur kontrolnych w danym procesie;

2) przeniesienie ryzyka (P) – przekazanie ryzyka firmie ubezpieczeniowej. Najczęściej przybiera formę ubezpieczenia lub zatrudnienia innego podmiotu do dokonywania określonych działań i przejęcia ryzyka za wynagrodzeniem;

3) zakończenie działań obarczonych ryzykiem wewnętrznym (Z) – polega na wycofaniu się z danego rodzaju działalności;

4) tolerowanie ryzyka (T) – świadome podjęcie ryzyka, brak dodatkowych działań, najczęściej wynika z ograniczenia możliwości podjęcia określonych działań albo zbyt wysokich kosztów ewentualnych działań w stosunku do potencjalnych korzyści. Forma ta może być uzupełniona przez plany awaryjne.

2. Podstawowym rodzajem reakcji na ryzyko w jednostce sektora finansów publicznych jest kontrolowanie i ograniczanie ryzyka (K).

3. W celu przeanalizowania określenia metody przeciwdziałania ryzyku należy przeanalizować:

1) przyczyny (źródła) ryzyka i możliwe scenariusze rozwoju wydarzeń;

2) istniejące mechanizmy kontrolne stosowane w celu ograniczenia lub uniknięcia tego ryzyka;

3) skuteczność istniejących mechanizmów kontroli, tj. stopień, w jakim przeciwdziałają ryzyku, a poprzez to ułatwiają lub utrudniają realizację ustalonych celów i zadań.

§ 11

Odpowiedzialność

1. Zapewnienie funkcjonowania systemu zarządzania ryzykiem należy do zadań kierownika jednostki.

2. Kierownik jednostki, w celu realizacji zadań związanych z zarządzaniem ryzykiem, powołuje Anna Kowalska odrębnym zarządzeniem, w którym określa rolę i zadania, a także szczegółowy tryb jej pracy.

3. W odniesieniu do każdego ryzyka ustalany jest właściciel ryzyka.

4. Wszyscy pracownicy jednostki zobowiązani są do aktywnego udziału w zarządzaniu ryzykiem, w szczególności przez:

1) stosowanie się do obowiązujących w jednostce regulacji w zakresie zarządzania ryzykiem;

2) bieżące identyfikowanie ryzyka i informowanie o nim przełożonych;

3) podejmowanie działań w celu zminimalizowania skutków ryzyka lub prawdopodobieństwa jego wystąpienia.

5. Rola audytu wewnętrznego w procesie zarządzania ryzykiem obejmuje:

1) dokonywanie oceny adekwatności, skuteczności i efektywności systemu zarządzania ryzykiem w obszarach objętych zadaniami zapewniającymi;

2) świadczenie usług o charakterze doradczym z zachowaniem zasady niezależności i obiektywizmu;

3) wspieranie kierownika jednostki w usprawnianiu procesu zarządzania ryzykiem.

§ 12

Rejestr ryzyka

1. Zbiorcza informacja na temat ryzyk przedstawiana jest w formie rejestru ryzyka, sporządzonego według wzoru określonego w załączniku ZA/2024/01 do niniejszego dokumentu.

2. Rejestr ryzyka podlega zatwierdzeniu przez kierownika jednostki.

3. Kierownik jednostki, zatwierdzając rejestr ryzyka, podejmuje decyzję o:

1) rodzaju reakcji na ryzyko w stosunku do każdego ryzyka;

2) rodzaju działań zapobiegawczych lub korygujących mających przeciwdziałać wystąpieniu danego ryzyka;

3) częstotliwości raportowania, w zależności od poziomu istotności ryzyka.

4. Zatwierdzony przez kierownika jednostki rejestr ryzyka jest jawny dla wszystkich pracowników jednostki.

§ 13

Terminy i tryb pracy

1. Identyfikacja, analiza i ocena ryzyka oraz ustalenie metod przeciwdziałania ryzyku dokonywane są raz w roku, podczas przygotowania propozycji do rocznego planu działania jednostki na 2025 rok.

2. Wstępnej identyfikacji, analizy i oceny ryzyka oraz ustalenia metod przeciwdziałania ryzyka dokonują kierujący komórkami organizacyjnymi jednostki.

3. Wyniki oceny, o której mowa w § 13 ust. 2, przedkładane są Annie Kowalskiej w terminie i formie przez nią określonej.

4. Anna Kowalska przedkłada ostateczną propozycję Kierownikowi jednostki celem akceptacji.

5. Kierujący komórkami organizacyjnymi, w przypadku istotnych zmian warunków funkcjonowania podległych im komórek, zobowiązani są do dokonywania w ciągu kwartału aktualizacji zidentyfikowanych ryzyk oraz informowania o tym Annie Kowalskiej.

§ 14

Monitorowanie i raportowanie

1. Monitorowanie ryzyka jest procesem ciągłym, realizowanym na każdym szczeblu zarządzania, pozwalającym na podejmowanie decyzji przez kierownika jednostki w odpowiednim czasie.

2. W ramach monitoringu dokonywany jest przegląd aktualności ryzyk, adekwatności ich oceny, podjętych działań oraz skuteczności mechanizmów kontroli i identyfikacja nowych ryzyk.

3. Zidentyfikowane ryzyko oraz ustalone metody jego ograniczania są na bieżąco oceniane przez:

1) kierujących komórkami organizacyjnymi, którzy oceniają poziom zidentyfikowanego ryzyka oraz skuteczność stosowanych metod jego ograniczania;

2) kierownictwo Elektrociepłownia Miejska Sp. z o.o. – w ramach bieżącego zarządzania jednostką sektora finansów publicznych, w tym w szczególności w trakcie narad z kierującymi komórkami organizacyjnymi.

4. Kierujący komórkami organizacyjnymi do 31 stycznia każdego roku przekazują do Anny Kowalskiej informację dotyczącą oceny ryzyk zidentyfikowanych w poprzednim roku, zawierającą w szczególności ocenę skuteczności zaproponowanych (przyjętych) metod przeciwdziałania ryzyku oraz wpływu tych metod na poziom istotności ryzyka.

5. Na podstawie uzyskanych informacji, o których mowa w § 14 ust. 2, Anna Kowalska sporządza sprawozdanie wraz z oceną (wnioskami), które przedkłada kierownikowi jednostki sektora finansów publicznych do akceptacji.