Lista kontrolna zarządzania ryzykiem

Załącznik nr 1

LISTA KONTROLNA

Poniższa lista kontrolna może być wypełniana przez członków zespołu ds. zarządzania ryzykiem, ale też udostępniana właścicielom procesów, jako pomoc w oszacowaniu i zarządzaniu ryzykiem. Zawarty w niej katalog pytań dotyczy elementów składowych całego procesu zarządzania ryzykiem, w tym etapu identyfikacji. Na jej podstawie będziemy mogli dokonać oceny kompleksowości i skuteczności podjętych przez nas działań w ramach systemu zarządzania ryzykiem.

Data: 01.01.2024 - 31.12.2024

Komórka organizacyjna (członek zespołu ds. zarządzania ryzykiem): Firma XYZ Sp. z o.o.

Osoba odpowiedzialna (właściciel procesu): Jan Kowalski

Identyfikacja ryzyka

Lp. | Identyfikacja | Potencjalne ryzyko | Podjęte działania (istniejące mechanizmy kontrolne)/ propozycja działania

1. | Czy okresowo ocenia się ryzyka w ciągu roku? | Brak identyfikacji i radzenia sobie z pojawiającymi się nowymi ryzykami; brak wykorzystania szans pojawiających się w otoczeniu | Wprowadzono kwartalne przeglądy ryzyka.

2. | Czy oceniając ryzyko, uwzględnia się wpływ czynników zewnętrznych i wewnętrznych? | Brak identyfikacji wszystkich ryzyk, na które narażona jest organizacja; brak radzenia sobie ze wszystkimi ryzykami | Analiza PESTLE oraz SWOT jest przeprowadzana co roku.

3. | Czy w procesie identyfikacji ryzyk uwzględnia się inne informacje, dane, którymi dysponuje organizacja (sprawozdania, plany, struktura kosztów)? | Niepełna identyfikacja ryzyk, na które narażona jest organizacja; nieuwzględnianie informacji historycznych | Dane historyczne, sprawozdania finansowe i plany strategiczne są integralną częścią procesu identyfikacji ryzyka.

4. | Czy identyfikując ryzyko, przeprowadza się rozmowy z uczestnikami procesu? | Niekompletność identyfikacji ryzyk | Wywiady z kluczowymi pracownikami są przeprowadzane podczas każdej oceny ryzyka.

5. | Czy istnieje dokumentacja będąca wynikiem identyfikowania ryzyka zewnętrznego i wewnętrznego, związanego z realizacją celów i zadań komórki (jednostki)? | Możliwość pominięcia istotnych zagadnień a w konsekwencji brak właściwej reakcji na ryzyko | Dokumentacja jest przechowywana w systemie zarządzania dokumentacją.

6. | Czy stwierdzone problemy są analizowane pod kątem wystąpienia w innych procesach? | Możliwość pominięcia istotnych zagrożeń w innych komórkach; brak właściwej reakcji na ryzyko | Regularnie odbywają się spotkania międzydziałowe w celu wymiany informacji o potencjalnych zagrożeniach.

Oszacowanie ryzyka, hierarchizacja

1. | Czy proces oszacowania ryzyka jest wystandaryzowany w całej organizacji (jednolita forma pomiaru)? | Niewłaściwa hierarchizacja rodzi ryzyko należytej reakcji oraz podjęcia odpowiednich działań kontrolnych | Wdrożono macierz ryzyka, która jest stosowana we wszystkich działach.

2. | Czy proces pomiaru i hierarchizacji umożliwia podjęcie właściwej decyzji w zakresie przeciwdziałania potencjalnym zagrożeniom? | Nienależyta reakcja na ryzyko oraz nieadekwatność mechanizmu kontrolnego do poziomu ryzyka | Proces jest regularnie weryfikowany i dostosowywany do potrzeb organizacji.

3. | Czy stosowana metoda pomiaru jest efektywna i odpowiednia dla zidentyfikowanych procesów? | Zbędność, czasochłonność lub nieadekwatność stosowanej metody | Metoda pomiaru jest okresowo oceniana pod kątem efektywności.

4. | Czy przy oszacowaniu ryzyka korzysta się z pomocy ekspertów zewnętrznych? | Możliwość niedokładnego pomiaru i uszeregowania ryzyka | W razie potrzeby korzystamy z usług zewnętrznych konsultantów.

5. | Czy w wyniku hierarchizacji ryzyka powstaje katalog szans, które można wykorzystać, oraz zagrożeń, które wymagają wzmożonej uwagi? | Nienależyta reakcja na ryzyko; niewykorzystanie szans pojawiających się w otoczeniu | Katalog ryzyk jest aktualizowany i udostępniany wszystkim zainteresowanym stronom.

Zarządzanie ryzykiem

1. | Czy w wyniku identyfikacji ryzyk podjęto działania mające na celu zminimalizowanie ich do akceptowalnego poziomu? | Brak właściwej reakcji na ryzyko; nieefektywna reakcja na ryzyko | Wdrożono plany działania mające na celu minimalizację ryzyka.

2. | Czy zostały zaprojektowane plany działania (awaryjne) dla ryzyk, których istotność dla organizacji jest wysoka? | Brak właściwej reakcji na ryzyko; nieefektywna reakcja na ryzyko | Opracowano plany awaryjne dla krytycznych ryzyk.

3. | Czy ustanowiono mechanizmy kontroli do zmniejszenia ryzyka w przypadku pozostałych ryzyk? | Brak identyfikacji odpowiednich działań w kontrolowaniu ryzyka | Wdrożono odpowiednie mechanizmy kontroli.

Monitoring

1. | Czy plany zarządzania ryzykiem podlegają okresowej aktualizacji? | Utracenie aktualności oraz możliwość niezadziałania przyjętych rozwiązań | Plany są aktualizowane co kwartał.

2. | Czy dokonuje się oceny podjętych działań ograniczających ryzyko? | Brak właściwej reakcji na ryzyko; nieefektywna reakcja na ryzyko | Efektywność działań jest regularnie monitorowana.

3. | Czy stwierdzone słabości kontroli są raportowane wyższemu kierownictwu? | Brak właściwej reakcji na ryzyko; nieefektywna reakcja na ryzyko | Raporty są przekazywane zarządowi co miesiąc.

4. | Czy prowadzony jest rejestr zdarzeń (wypadków), na podstawie którego organizacja wyciąga wnioski na przyszłość? | Możliwość ponownego wystąpienia ryzyka | Rejestr zdarzeń jest na bieżąco aktualizowany i analizowany.