Zarządzenie nr OR.3.2022 Burmistrza Miasta Redy z dnia 10 stycznia 2022 r. w sprawie polityki zarządzania ryzykiem w Urzędzie Miasta w Redzie.
na podstawie art. 69 ust. 1 pkt 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz. U. z 2021 r. poz. 305 późn. zm.), art. 24 ust.1 i art. 32 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) oraz art. 20 ust. 2 pkt 3 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz. U. z 2017 r. poz. 2247).
Burmistrz Miasta Redy
zarządza, co następuje:
§ 1
Dla zapewnienia adekwatności, skuteczności i efektywności kontroli zarządczej wprowadza się zasady zarządzania ryzykiem w Urzędzie Miasta w Redzie mające przyczynić się do poprawy wszystkich obszarów zarządzania oraz ograniczania do akceptowalnego poziomu ewentualnych negatywnych skutków zaistniałych zdarzeń, w szczególności w zakresie efektywnego zarządzania zasobami, zapewnienia ochrony majątku i efektywności finansowej oraz ochrony wizerunku Urzędu Miasta w Redzie.
§ 2
Zasady zarządzania ryzykiem określają:
- zakres odpowiedzialności osób zaangażowanych w proces zarządzania ryzykiem;
- sposób identyfikowania i analizy ryzyka;
- sposób postępowania ze zidentyfikowanym ryzykiem;
- sposób interpretacji i dokumentowania wyników analizy ryzyka.
§ 3
Przez użyte w niniejszej procedurze określenia rozumie się:
- Urząd – Urząd Miasta w Redzie;
- Burmistrz – Burmistrz Miasta Redy;
- Kierownik komórki organizacyjnej – kierownicy referatów oraz pracownicy zatrudnieni na samodzielnych stanowiskach pracy;
- Pracownicy – pracownicy Urzędu Miasta w Redzie;
- Ryzyko – zdarzenia (pozytywne lub negatywne), które mogą mieć wpływ na osiągnięcie zamierzonych celów i zadań;
- Mechanizmy kontrolne – regulaminy, procedury wewnętrzne, instrukcje, wytyczne i inne dokumenty, narzędzia wewnętrzne oraz działania podejmowane w celu zmniejszenia prawdopodobieństwa i/lub siły oddziaływania ryzyka;
- Ocena ryzyka – oszacowanie poziomu ryzyka w odniesieniu do skutków jego oddziaływania, jeśli ryzyko wystąpi oraz prawdopodobieństwa wystąpienia tego ryzyka;
- Prawdopodobieństwo zaistnienia ryzyka – miara przewidywalności wystąpienia ryzyka;
- Skutki ryzyka – efekt materializacji ryzyka;
- Akceptowalny poziom ryzyka – poziom ryzyka, którego pojawienie się nie spowoduje istotnego zagrożenia niewykonania zadań lub celów;
- Właściciel ryzyka – osoba odpowiedzialna za dane ryzyko w Urzędzie, która zarządza ryzykiem występującym w danym obszarze;
- Rejestr ryzyka – zbiorcze zestawienie wyników identyfikacji, analizy i odpowiedzi na ryzyko oraz mechanizmów kontroli obowiązujących w Urzędzie;
- Zespół – zespół ds. zarządzania ryzykiem powołany odrębnym zarządzeniem Burmistrza Miasta Redy;
- Miernik – określenie stopnia realizacji zaplanowanych celów i działań, poprzez pomiar ich efektywności. Charakteryzuje się następującymi cechami: przydatność, użyteczność, teraźniejszość, adekwatność, istotność, precyzyjność, stosowność, bezideowość, spójność, kompletność, obiektywność, prawdziwość, systematyczność i szybkość realizacji. Jest to liczba zadań przewidywana do zrealizowania w komórce organizacyjnej w rocznej perspektywie np. liczba wydawanych decyzji, liczba projektów, liczba zamówień publicznych w trybie ustawy itp).
§ 4
Odpowiedzialność za przebieg procesu zarządzania ryzykiem ponosi/-szą:
- Burmistrz poprzez weryfikację istotnych celów, zadań i zagadnień dotyczących zarządzania ryzykiem, na które Urząd jest narażony, w szczególności za:
- ocenę sposobu identyfikacji i zarządzania ryzykiem sporządzoną przez kierowników komórek organizacyjnych;
- wybór sposobu postępowania ze zidentyfikowanym ryzykiem z uwzględnieniem realizowanych celów i zadań.
- Zespół ds. zarządzania ryzykiem w zakresie:
- wspierania kierowników komórek organizacyjnych w analizie i ocenie ryzyka;
- uszeregowania i analizy ryzyk zgłoszonych przez kierowników komórek organizacyjnych pod kątem ich wpływu na działalność całego Urzędu;
- opracowania propozycji mechanizmów kontrolnych i monitoring ryzyka, które ma średni, duży lub krytyczny wpływ na działalność Urzędu;
- informowania Burmistrza o każdym przypadku zmaterializowania się ryzyka, które wpływa na ciągłość działalności Urzędu.
- Kierownicy komórek organizacyjnych, w tym w szczególności za:
- ustalenie celów i zadań do realizacji oraz mierników umożliwiających ich monitorowanie;
- identyfikację i analizę ryzyk, mających istotny wpływ na realizację celów i zadań;
- ocenę zidentyfikowanego ryzyka;
- opracowanie i wdrożenie mechanizmów kontrolnych;
- bieżąca aktualizacja rejestru zidentyfikowanych ryzyk;
- przygotowanie okresowych informacji na temat realizowanych celów i zadań;
- informowanie przewodniczącego Zespołu ds. zarządzania ryzykiem o każdym przypadku zmaterializowania się ryzyka, które wpływa na ciągłość działalności komórki organizacyjnej.
- Pracownicy w zakresie realizowanych celów i zadań oraz ich monitorowania, w tym:
- zgłaszanie Kierownikowi komórki organizacyjnej informacji o pojawiających się ryzykach lub innych istotnych problemach w realizacji zadań;
- zgłaszanie Kierownikowi komórki organizacyjnej wszelkich odstępstw od obowiązujących procedur.
§ 5
- Cele i zadania powinny uwzględniać Strategię Rozwoju Miasta Redy, uchwałę budżetową Miasta Redy, Regulamin Organizacyjny, zakres czynności oraz obowiązujące przepisy prawa. Muszą być jasne i określone w co najmniej rocznej perspektywie. Ponadto cele powinny być:
- istotne – dotyczyć najważniejszych obszarów działalności Urzędu i jednocześnie odnosić się do istotnych potrzeb społeczno-gospodarczych zawartych m.in. w aktualnych dokumentach strategicznych i programowych,
- precyzyjne i konkretne – sformułowane jednoznacznie i nie pozostawiające miejsca na swobodną interpretację.
- mierzalne – umożliwiające liczbowo/wartościowo wyrazić stopień ich realizacji lub przynajmniej umożliwić jednoznaczną „sprawdzalność” jego realizacji,
- osiągalne i realistyczne – powinny oscylować wokół spodziewanych pozytywnych wyników możliwych do wykonania,
- określone w czasie – powinien być określony w co najmniej rocznej perspektywie.
- Celem zarządzania ryzykiem w Urzędzie Miasta w Redzie jest:
- usprawnienie procesu planowania;
- zwiększenie prawdopodobieństwa realizacji zadań i osiągania celów;
- uzyskanie bezpieczeństwa informacji, w tym danych osobowych;
- zapewnienie odpowiednich mechanizmów kontroli;
- zapewnienie kierownictwu Urzędu wczesnej informacji o zagrożeniach dla realizacji wyznaczonych celów i zadań.
§ 6
Identyfikacja i analiza ryzyka polega na wykonaniu następujących kolejno po sobie czynnościach:
-
-
- identyfikacja ryzyka do każdego celu i zadania;
- analiza zidentyfikowanego ryzyka poprzez określenie:
-
- prawdopodobieństwa jego wystąpienia – ocena punktowa w skali od 1 do 5,
- skutku, jaki będzie miało ewentualne wystąpienie ryzyka – ocena punktowa w skali od 1 do 5;
-
- ocena ryzyka, w tym określenie poziomu akceptowalnego ryzyka, poprzez dokonanie oceny prawdopodobieństwa wystąpienia danego ryzyka oraz jego możliwych skutków;
- zbadanie, czy istniejące mechanizmy kontrolne są wystarczające dla zminimalizowania zidentyfikowanego ryzyka. Jeśli są niewystarczające wdrożenie odpowiednich mechanizmów kontrolnych w stosunku do każdego zidentyfikowanego ryzyka;
- określenie sposobu postępowania w odniesieniu do zidentyfikowanych ryzyk poprzez określenie:
-
- reakcji na ryzyko,
- działań, jakie należy podjąć w odniesieniu do zidentyfikowanego ryzyka,
- wskazanie osób odpowiedzialnych za podjęcie działań zaradczych oraz ustalenie terminu, do którego działania należy podjąć.
§ 7
Prawdopodobieństwo wystąpienia ryzyka oceniane jest w skali od 1 do 5, gdzie:
Prawdopodobieństwo |
Opis |
Przesłanki |
1 |
Rzadkie |
Istnieje do 20% szans, że ryzyko wystąpi w danym roku, zdarzenie jest raczej nierealne (raz w roku). |
2 |
Mało prawdopodobne |
istnieje od 21 do 40% szans, że ryzyko wystąpi w danym roku, o ile nie zostanie zmniejszone, może się ujawniać częściej, zdarzenie mało realne (dwa lub trzy razy w roku). |
3 |
Średnie |
istnieje od 41 do 60% szans, że ryzyko wystąpi w danym roku, o ile nie zostanie zmniejszone, zagrożenie jest realne (kilkakrotnie w ciągu roku). |
4 |
Prawdopodobne |
Istnieje od 61 do 80% szans, że ryzyko wystąpi w danym roku, o ile nie będzie zmniejszone, ryzyko będzie występować dość często, jak również może ujawniać się w wyniku równoczesnego występowania różnych problemów i okoliczności, zagrożenie jest wysokie (więcej niż kilkakrotnie w ciągu roku). |
5 |
Prawie pewne |
Istnieje od 81 do 100% szans, że ryzyko wystąpi w danym roku, o ile nie będzie zmniejszone, ryzyko będzie systematycznie narastać, zagrożenie jest bardzo wysokie (wielokrotnie w ciągu roku). |
§ 8
Wpływ (skutek) wystąpienia ryzyka oceniany jest w skali od 1 do 5, gdzie:
Siła |
Opis |
Miary ilościowe |
Miary jakościowe |
||
Cele |
Zadania |
Wizerunek |
|||
1 |
Nieznaczne |
Strata netto: ≤1000 PLN |
Krótkotrwałe zakłócenia w realizacji celów. |
Szybko eliminowane problemy w realizacji zadań (1 dzień opóźnienia). |
Incydentalne i niewywołujące szerokiego oddźwięku niekorzystne informacje. |
2 |
Małe |
Strata netto: >1000 ≤10000 PLN |
Przejściowe utrudnienia w realizacji celów. |
Utrudnienia utrzymujące się przez pewien czas, jednak stosunkowo łatwo eliminowane (max. do 1 tygodnia). |
Niekorzystne informacje o niskiej randze, słabo rozpowszechnione. |
3 |
Średnie |
Strata netto: >10000 ≤100000 PLN |
Powtarzające się zakłócenia w realizacji celów. |
Utrzymujące się utrudnienia w realizacji zadań (1 tydzień – 1 miesiąc). |
Niekorzystne informacje o zasiągu lokalnym. |
4 |
Duże |
Strata netto: >100000 ≤1000000 PLN |
Brak możliwości realizacji jednego z celów operacyjnych. |
Powtarzające się, długotrwałe zakłócenia w realizacji zadań (powyżej 1 miesiąca do 6 miesięcy, powtarzalne i/lub powracające). |
Niekorzystne informacje o zasiągu regionalnym. |
5 |
Krytyczne |
Strata netto: >1000000 PLN |
Brak możliwości osiągnięcia celów strategicznych. |
Trwałe zakłócenia realizacji zadań (występujące w sposób ciągły lub z niewielkimi przerwami). |
Niekorzystne informacje o zasiągu krajowym/światowym. |
§ 9
Macierz ryzyka na którą składa się:
- Oś pionowa – ocena prawdopodobieństwa (w skali od 1 do 5)
- Oś pozioma – siła oddziaływania (w skali od 1 do 5)
5 |
Prawdopodobieństwo |
5 |
10 |
15 |
20 |
25 |
4 |
4 |
8 |
12 |
16 |
20 |
|
3 |
3 |
6 |
9 |
12 |
15 |
|
2 |
2 |
4 |
6 |
8 |
10 |
|
1 |
1 |
2 |
3 |
4 |
5 |
|
|
|
Skutek |
||||
|
|
1 |
2 |
3 |
4 |
5 |
|
Ryzyko kluczowe |
|
Ryzyko średnie |
|
Ryzyko niskie |
§ 10
Ocena ryzyka jest iloczynem prawdopodobieństwa wystąpienia i siły oddziaływania (wpływu skutków) wskazanego ryzyka:
-
-
- Wartość ryzyka = prawdopodobieństwo x siła oddziaływania;
- Wartość iloczynu decyduje o istotności ryzyka w następujący sposób:
-
- Ryzyko kluczowe – przedział <15;25> co oznacza brak realizacji kluczowych celów określonych dla Urzędu;
- Ryzyko średnie – przedział <5;12> oznacza zakłócenia w działalności Urzędu;
- Ryzyko niskie – przedział <1;4> oznacza zakłócenia, które nie mają istotnego wpływu na działalność Urzędu.
§ 11
Mechanizmy kontrolne (zabezpieczenia) należy wskazać biorąc pod uwagę następujące przesłanki:
- czy istnieją określone mechanizmy kontrolne (procedury, czynności),
- czy zidentyfikowane mechanizmy pozwalają skutecznie zarządzać ryzykiem,
- czy mechanizmy są realizowane prawidłowo, czy procedury są stosowane zgodnie z założeniami,
- czy koszty wdrożenia mechanizmów są współmierne do skuteczności procedur w zarządzaniu ryzykiem,
- czy istnieją możliwości poprawy skuteczności zarządzania ryzykiem.
§ 12
Przy określaniu reakcji na ryzyko należy uwzględnić:
- wpływ potencjalnych reakcji na prawdopodobieństwo wystąpienia ryzyka i jego skutek,
- poziom akceptowanego ryzyka,
- relacje kosztów wdrożenia działań, które stanowiłyby odpowiedź na ryzyko oraz korzyści uzyskanych z tych działań, gdyż koszty podejmowanych działań nie powinny być wyższe niż spodziewane korzyści z podjętych działań.
§ 13
Reakcja na ryzyko polega na:
- akceptacji ryzyka (tolerowane) – nie jest wymagane podejmowanie działań wpływających na ryzyko,
- przeniesieniu ryzyka - przeniesienie skutków jego wystąpienia na inny podmiot np. na towarzystwo ubezpieczeniowe,
- ograniczeniu (redukcji) ryzyka – podjęcie działań w kierunku zmniejszenia prawdopodobieństwa lub siły oddziaływania ryzyka. Wdrożenie nowych mechanizmów kontrolnych,
- działaniu – podjęcie działań ograniczających prawdopodobieństwo lub skutki zdarzeń negatywnych lub działań zmierzających do pozytywnego wykorzystania pojawiających się pożądanych okoliczności,
- unikaniu ryzyka - rezygnacja z działań związanych z ryzykiem.
§ 14
- Propozycję postępowania w odniesieniu do zidentyfikowanego ryzyka przygotowuje:
-
- Kierownik komórki organizacyjnej w odniesieniu do wszystkich ryzyk zidentyfikowanych
w kierowanej przez siebie komórce organizacyjnej; - Zespół ds. zarządzania ryzykiem w odniesieniu do ryzyk, które po skumulowaniu wszystkich ryzyk zidentyfikowanych w całym Urzędzie, mogą mieć średni, duże lub krytyczny wpływ na działalność Urzędu.
- Kierownik komórki organizacyjnej w odniesieniu do wszystkich ryzyk zidentyfikowanych
-
- Decyzję o sposobie postępowania w odniesieniu do zidentyfikowanych ryzyk podejmuje:
-
- Kierownik komórki organizacyjnej w stosunku do ryzyk, które mają nieznaczny lub mały wpływ na realizację celów i zadań;
- Burmistrz w stosunku do pozostałych ryzyk.
-
- Kierownicy komórek organizacyjnych mają obowiązek dokonywania co najmniej raz w roku przeglądu ryzyka wyznaczonego dla ustalonych celów i zadań, tak aby uzyskać informację czy:
-
- ryzyko nadal występuje;
- pojawiło się nowe ryzyko;
- prawdopodobieństwo i wpływ ryzyka zmieniło się;
- stosowane mechanizmy kontrolne są efektywne.
-
§ 15
Dokumentowanie wyników analizy ryzyka:
- wyniki analizy ryzyka – rejestry ryzyka, kierownicy komórek organizacyjnych zobowiązani są przekazać osobie odpowiedzialnej za przeprowadzenie kontroli wewnętrznej w terminie do 10 lutego danego roku, zgodnie z załącznikiem do niniejszego Zarządzenia;
- cel i zadania jednostki związane z zapewnieniem bezpieczeństwa informacji przetwarzanych w systemach informatycznych ze szczególnym uwzględnieniem danych osobowych w Urzędzie, stanowią integralny punk każdego arkusza rejestru ryzyka, o którym mowa w punkcie 1;
- osoba odpowiedzialna za przeprowadzenie kontroli wewnętrznej przekazuje Sekretarzowi, który jest przewodniczącym zespołu ds. zarządzania ryzykiem, zbiorczą informację w zakresie zarządzania ryzykiem wraz z wynikami ich analizy ryzyka, w terminie 14 dni od dnia określonego w ust. 1;
- Zespół ds. zarządzania ryzykiem przedkłada Burmistrzowi w terminie do 28 lutego w formie pisemnej wyniki analizy ryzyka, w tym ze szczególnym uwzględnieniem ryzyk, które po skumulowaniu wszystkich ryzyk zidentyfikowanych w całym Urzędzie, mogą mieć średni, duży lub krytyczny wpływ na działalność Urzędu;
- dokumentacja dotycząca procesu zarządzania ryzykiem jest przechowywana i archiwizowana przez osobę odpowiedzialną za przeprowadzenie kontroli wewnętrznej.
§ 16
Wykonanie Zarządzenia powierza się kierownikom komórek organizacyjnych i pracownikom.
§ 17
Traci moc Zarządzenie NR.OR.3.2021 Burmistrza Miasta w Redzie z dnia 10 stycznia 2014 r.
w sprawie polityki zarządzania ryzykiem w Urzędzie Miasta w Redzie.
§ 18
Zarządzenie wchodzi w życie z dniem podpisania.
Załączniki do pobrania
Lp. | Plik | Data dodania | Liczba pobrań |
---|---|---|---|
1 | OR.3.2022.pdf (PDF, 171.55Kb) | 2022-01-27 09:17:00 | 231 razy |
2 | Zarządzenie NR.OR.3.2022 z 10 stycznia 2022 r. w sprawie polityki ryzykiem w UM.pdf (PDF, 621.93Kb) | 2022-01-26 07:56:47 | 151 razy |
Metadane - wyciąg z rejestru zmian
Akcja | Osoba | Data |
---|---|---|
Dodanie dokumentu: | Krzysztof Lubner | 26-01-2022 07:56:47 |
Osoba, która wytworzyła informację lub odpowiada za treść informacji: | Hanna Ferra | 26-01-2022 |
Ostatnia aktualizacja: | Patrycja Krauze-Maślankowska | 27-01-2022 09:17:00 |