Regulamin zarządzania ryzykiem

Załącznik

                                                                                                                                           do zarządzenia Nr 2023/07/12

Regulamin zarządzania ryzykiem

 

§1

Ogólne zasady zarządzania ryzykiem

1. Zarządzanie ryzykiem wewnętrznym jest ciągłym procesem, stanowiącym jeden z elementów kontroli zarządczej w Filharmonii Miejskiej (nazwa samorządowej instytucji kultury), dalej zamiennie jako Instytucja Kultury.

2. Zarządzanie ryzykiem wewnętrznym odbywa się w szczególności według zasad:

1) spójności z przepisami prawa oraz wytycznymi w zakresie standardów kontroli zarządczej w jednostkach sektora finansów publicznych;

2) powiązania z celami i zadaniami Instytucji Kultury;

3) przypisania odpowiedzialności;

4) proporcjonalności działań przeciwdziałających ryzyku do jego istotności.

§2

Etapy procesu zarządzania ryzykiem

Proces zarządzania ryzykiem w Instytucji Kultury obejmuje:

1) identyfikację ryzyka;

2) ocenę ryzyka oraz odniesienie go do akceptowalnego poziomu ryzyka;

3) reakcję na ryzyko, tj. ustalenie metod przeciwdziałania ryzyku;

4) monitorowanie procesu i dokonywanie zmian.

§3

Identyfikacja ryzyka

1. Przed przystąpieniem do identyfikacji ryzyka występującego w poszczególnych komórkach organizacyjnych oraz na samodzielnych stanowiskach pracy Specjalisty ds. bezpieczeństwa Instytucji Kultury ustala listę celów i zadań do realizacji, które tworzą plan działalności na rok 2024.

2. Podstawą sporządzenia planu działalności Instytucji Kultury jest plan finansowy Instytucji Kultury zatwierdzony na rok 2024.

3. Co najmniej raz w roku, nie później niż do 30 listopada roku, na który tworzony jest plan działalności Instytucji Kultury, należy opracować wykaz ryzyk (zdarzeń niepewnych), wraz z funkcjonującymi i proponowanymi mechanizmami kontrolnymi, ograniczającymi występujące ryzyko.

4. Identyfikując ryzyko, analizuje się wyniki wcześniej przeprowadzonych kontroli lub audytów oraz przypadki nieprawidłowości i niepowodzeń w osiąganiu celów w roku 2023.

5. Podczas identyfikacji ryzyka należy przeanalizować w szczególności:

1) osiągane cele i realizowane zadania przez Instytucję Kultury na rok 2024;

2) zagrożenia związane z osiąganiem celów i realizowaniem zadań, w szczególności wynikające z następujących czynników:

a) zmiana struktury organizacyjnej,

b) sytuacja finansowa, w tym: 150, przelewów i 10 000 zł dokonywanych operacji finansowych,

c) 25 pracowników oraz ich kwalifikacje,

d) przestrzeganie zasad etyki przez pracowników,

e) warunki pracy,

f) wpływy/naciski zewnętrzne na pracowników (zwłaszcza o charakterze korupcyjnym lub innym kryminogennym),

g) możliwość zaistnienia zmian (np. struktury organizacyjnej, sposobu działania, fluktuacji kadr, systemów informatycznych).

§4

Ocena ryzyka

1. Ocena ryzyka polega na określeniu prawdopodobieństwa wystąpienia ryzyka i skutku, a następnie na ustaleniu jego istotności.

2. Oceniając prawdopodobieństwo wystąpienia ryzyka, uwzględnia się możliwą częstotliwość wystąpienia zdarzenia w Instytucji Kultury (jak często dane zdarzenie może mieć miejsce). W odniesieniu do czynności powtarzalnych (spraw występujących cyklicznie lub wielokrotnie) uwzględnia się 10 możliwych powtórzeń (ile razy względem ogólnej liczby spraw zdarzenie może mieć miejsce).

3. Jakościowa ocena prawdopodobieństwa wystąpienia ryzyka opiera się na oszacowaniu stopnia prawdopodobieństwa zaistnienia ryzyka poprzez wybór przez oceniającego jednej z trzech możliwości (wg skali):

1) prawdopodobieństwo wysokie – gdy jest więcej niż 70% szans, że ryzyko wystąpi w Instytucji Kultury wielokrotnie w ciągu roku. Ryzyko z prawdopodobieństwem wysokim przyjmuje wartość 3;

2) prawdopodobieństwo średnie – gdy jest więcej niż 30%, ale mniej niż 70% szans, że ryzyko wystąpi w Instytucji Kultury kilkakrotnie w ciągu roku. Ryzyko z prawdopodobieństwem średnim przyjmuje wartość 2;

3) prawdopodobieństwo niskie – gdy jest mniej niż 30% szans, że ryzyko wystąpi w Instytucji Kultury jednokrotnie w ciągu roku lub nie zdarzy się w ciągu roku. Ryzyko z prawdopodobieństwem niskim przyjmuje wartość 1.

§5

1. Ocena skutków wystąpienia ryzyka opiera się na oszacowaniu potencjalnych skutków, a więc wyników oddziaływania, jakie zaistnienie danego rodzaju ryzyka może mieć na Instytucję Kultury i osiąganie jej celów oraz realizację zadań. Uwzględnia się przy tym w szczególności konsekwencje prawne, finansowe i organizacyjne zaistnienia danego zdarzenia oraz jego wpływ na wizerunek Instytucji Kultury i bezpieczeństwo pracowników.

2. Ocena jakościowa skutków zaistnienia ryzyka dokonywana jest przez wybór jednej z trzech możliwości (wg skali):

1) wysokie skutki – Znaczący wpływ na realizację zadania (poważne zagrożenie terminu jego realizacji) i osiągnięcie celu Instytucji Kultury, poważne konsekwencje prawne, zagrożenie bezpieczeństwa pracowników, duże straty finansowe, negatywny wpływ na wizerunek Instytucji Kultury. Ryzyko z wysokim skutkiem przyjmuje wartość 3;

2) średnie skutki – Umiarkowany wpływ na realizację zadania (zagrożenie opóźnienia jego realizacji) i osiągnięcie celu Instytucji Kultury, niewielkie konsekwencje prawne, mały skutek finansowy, brak wpływu na bezpieczeństwo pracowników, umiarkowanie negatywny wpływ na wizerunek Instytucji Kultury. Ryzyko ze średnim skutkiem przyjmuje wartość 2;

3) małe skutki – Niewielki wpływ na realizację zadania i osiągnięcie celu Instytucji Kultury, brak skutków prawnych, znikomy skutek finansowy, brak wpływu na bezpieczeństwo pracowników, znikomy wpływ na wizerunek Instytucji Kultury. Ryzyko ze skutkiem niskim przyjmuje wartość 1.

§6

1. Istotność ryzyka wyrażona jest jako iloczyn prawdopodobieństwa wystąpienia ryzyka oraz potencjalnych skutków jego wystąpienia (przedstawionych punktowo). Określenie istotności ryzyka pozwala na dokonanie oceny i hierarchizacji ryzyka w Instytucji Kultury, tj. uporządkowanie zidentyfikowanych i oszacowanych rodzajów ryzyka ze względu na ich znaczenie (od najpoważniejszych do najmniej poważnych rodzajów ryzyka), w zależności od stopnia, w jakim dane ryzyko zagraża realizacji zadań i osiąganiu celów Instytucji Kultury.

2. Z uwagi na 3-stopniową skalę zarówno prawdopodobieństwa, jak i skutków wystąpienia ryzyka istotność danego rodzaju ryzyka może przyjąć wartość liczbową od 1 do 9.

3. Dla oceny istotności ryzyka stosuje się skalę obejmującą następujące poziomy:

1) istotność ryzyka wysoka – Znacząco wpływa na kluczową działalność Instytucji Kultury, uniemożliwia realizację zadań i osiąganie celów, rodzi straty finansowe, wymaga podjęcia natychmiastowych działań naprawczych. Ryzyko przyjmuje wartość 6–9 (ryzyko o wysokim wpływie oraz średnim lub wysokim prawdopodobieństwie, ryzyko o wysokim wpływie i wysokim prawdopodobieństwie);

2) istotność ryzyka średnia – Umiarkowanie wpływa na kluczową działalność Instytucji Kultury, jest zagrożeniem dla realizacji zadań i osiągania celów, zagraża powstaniem strat finansowych, wymaga ustawicznego monitorowania i sprawdzania oraz rozważenia podjęcia stosownych działań. Ryzyko przyjmuje wartość 3–5 (ryzyko o średnim wpływie oraz o niskim lub średnim prawdopodobieństwie, ryzyko o wysokim wpływie oraz niskim prawdopodobieństwie, ryzyko o niskim wpływie i wysokim prawdopodobieństwie);

3) istotność ryzyka niska – Niewielki wpływu na kluczową działalność Instytucji Kultury, nie uniemożliwia realizacji zadań i osiągania celów, wymaga monitorowania i w miarę potrzeby sprawdzania. Ryzyko przyjmuje wartość 1–2 (ryzyko o niskim wpływie oraz niskim lub średnim prawdopodobieństwie).

4. Matrycę punktowej oceny istotności ryzyka, zawierającą prezentację ryzyka w macierzy 3 × 3, przedstawia poniższy rysunek:

§7

1. Ryzykiem akceptowalnym w Instytucji Kultury jest ryzyko o niskim poziomie istotności.

2. Ryzyko o poziomie istotności średnim i wysokim przekracza akceptowalny poziom ryzyka, dlatego wymaga ustalenia i podjęcia działań ograniczających to ryzyko przez zmniejszenie jego skutku lub prawdopodobieństwa jego wystąpienia.

3. W stosunku do każdego rodzaju ryzyka, którego poziom istotności mieści się w akceptowalnym poziomie ryzyka dla Instytucji Kultury, można wskazać odpowiednie działania służące wdrożeniu określonego rodzaju reakcji na ryzyko.

§8

Metody przeciwdziałania ryzyku

1. Metodami przeciwdziałania ryzyku są:

1) kontrolowanie i ograniczanie ryzyka (KiO) – działanie w celu zmniejszenia ryzyka. Przykładem tej formy jest stosowanie mechanizmów kontroli zarządczej lub też wprowadzenie dodatkowych procedur kontrolnych w danym procesie;

2) przeniesienie ryzyka (PR) – przekazanie ryzyka podmiotowi zewnętrznemu. Najczęściej przybiera formę ubezpieczenia lub zlecenia innego podmiotowi do dokonywania określonych działań i przejęcia ryzyka za wynagrodzeniem;

3) zakończenie działań obarczonych ryzykiem wewnętrznym (ZDO) – polega na wycofaniu się z danego rodzaju działalności;

4) tolerowanie ryzyka (TO) – świadome podjęcie ryzyka. Brak dodatkowych działań. Najczęściej wynika z ograniczenia możliwości podjęcia określonych działań albo ze wysokich kosztów ewentualnych działań w stosunku do potencjalnych korzyści. Forma ta może być uzupełniona przez plany awaryjne.

2. Podstawowym rodzajem reakcji na ryzyko w Instytucji Kultury jest kontrolowanie i ograniczanie ryzyka (KiO).

3. W celu określenia metody przeciwdziałania ryzyku należy przeanalizować:

1) przyczyny (źródła) ryzyka i możliwe scenariusze rozwoju wydarzeń;

2) istniejące mechanizmy kontrolne stosowane w celu ograniczenia lub uniknięcia tego ryzyka;

3) skuteczność istniejących mechanizmów kontroli, tj. stopień, w jakim przeciwdziałają ryzyku, a przez to ułatwiają lub utrudniają realizację ustalonych celów i zadań Instytucji Kultury.

§9

Monitorowanie i ocena

1. Na podstawie dokonanej identyfikacji i oceny ryzyka oraz określenia metody przeciwdziałania ryzyku Kierownicy działów (właściciele ryzyka) wypełniają rejestr ryzyka według wzoru zamieszczonego w załącznikach Nr 1 i 2.

2. Rejestry ryzyka są przedkładane Dyrektorowi Instytucji Kultury.

3. Zbiorczy rejestr ryzyka podlega zatwierdzeniu przez Dyrektora Instytucji Kultury.

§ 10

1. Zidentyfikowane ryzyko oraz ustalone metody jego ograniczania są na bieżąco oceniane przez:

1) Kierowników działów Instytucji Kultury, którzy oceniają poziom zidentyfikowanego ryzyka oraz skuteczność stosowanych metod jego ograniczania;

2) kierownictwo Instytucji Kultury – w ramach bieżącego zarządzania, w tym w szczególności w trakcie narad z Kierownikami działów.

2. Wyniki oceny ryzyka oraz przyjętych metod jego ograniczania wykorzystywane są na bieżąco do poprawy efektywności zarządzania ryzykiem wewnętrznym oraz usprawniania systemu kontroli zarządczej w Instytucji Kultury.

3. Kierownicy działów do 31 stycznia każdego roku przekazują do Dyrektora Instytucji Kultury informację dotyczącą oceny ryzyk zidentyfikowanych w roku poprzednim, zawierającą w szczególności ocenę skuteczności zaproponowanych (przyjętych) metod przeciwdziałania ryzyku oraz wpływu tych metod na poziom istotności ryzyka.

Załącznik Nr 1

do regulaminu zarządzania ryzykiem

Kategorie ryzyka

Poniższa tabela przedstawia kategorie ryzyka wraz z przykładami dotyczącymi jego możliwych źródeł (przyczyn) oraz skutków.

Tabela nie określa zamkniętego katalogu ryzyka.

Ryzyko strategiczne

Błędy w planowaniu