920 likes | 1.41k Views
FORUM SEKRETARZY SAMORZĄDÓW POLSKI POŁUDNIOWEJ. PROCES ZARZĄDZANIA RYZYKIEM Kraków, dnia 5 listopada 2013. Skuteczne zarządzanie ryzykiem. CELE - RYZYKO.
E N D
FORUM SEKRETARZY SAMORZĄDÓW POLSKI POŁUDNIOWEJ PROCES ZARZĄDZANIA RYZYKIEM Kraków, dnia 5 listopada 2013
CELE - RYZYKO Rozpoczynając prace dotyczące zarządzania ryzykiem musimy pamiętać, że nie jest to oderwany, samoistny proces, zatem należy szukać odniesienia do celów .
CEL Cel, czyli: stan rzeczy, który chcemy osiągnąć (rezultat naszego działania), coś, ku czemu zmierzamy wyznacza kierunek działań, przedmiot (obiekt) zamierzonych działań; coś, na co te działania są ukierunkowane
Cele i zarządzanie ryzykiem • Każda jednostka działa w oparciu o strategię wyznaczającą jej misję oraz cele strategiczne w ujęciu rocznym lub wieloletnim. Dla potrzeb zarządzania ryzykiem ujęcie celów i zadań powinno nastąpić w perspektywie rocznej( budżet zadaniowy ) • Monitorowanie osiąganych rezultatów za pomocą odpowiednich mierników • Przynajmniej raz w roku identyfikacja ryzyk • Analiza zidentyfikowanych ryzyk oraz określenie ich akceptowalnego poziomu • Wypracowanie rodzaju reakcji, w stosunku do każdego zidentyfikowanego ryzyka.
CELE Przykładowe cele: 1. Poprawa dostępności komunikacyjnej gminy 2. Tworzenie nowych miejsc pracy Przykładowe cele mierzalne : 1. Poprawa dostępności komunikacyjnej gminy, mierzona średnim czasem dojazdu z/do miasta wojewódzkiego / ościennego 2. System zachęt do tworzenia nowych miejsc pracy
Cele Proces planowania powinien uwzględniać analizę ryzyk zagrażających realizacji wyznaczonych celów, wskazanie działań kontrolnych już podejmowanych w odpowiedzi naryzyko lub działań jakie należy jeszcze podjąć w celu minimalizacji ryzyka.
Planowanie • Podstawowymi źródłami informacji, jakie należy uwzględnić podczas planowania są: • cele wynikające z dokumentów strategicznych, • cele i zadania określone w budżecie, • potrzeby i oczekiwania klientów zewnętrznych i wewnętrznych urzędu, • otoczenie prawne i ekonomiczne np. przewidywane zmiany, • istotne problemy zidentyfikowane w działalności jednostki, • cele i zadania niezrealizowane w poprzednich latach.
Miernik Do każdego celu należy określić przynajmniej jeden miernik, który pozwoli na stwierdzenie, czy cel został osiągnięty. Miernik ten musi odzwierciedlać zamierzony efekt, jaki chcemy osiągną realizując cel oraz posiadać docelową wartość.
Przykład 1 Cel:Zapewnienie mieszkańcom dostępu do instytucji publicznych w ramach gminnego systemu komunikacji; Zapewnienie uczniom dostępu do szkół i przedszkoli w ramach gminnego systemu edukacji Zadanie :Organizowanie i współfinansowanie systemu transportu publicznego na terenie gminy Miernik : Liczba pasażerów przewiezionych w określonym czasie, średni czas dowozu uczniów do szkoły.
Ryzyko - definicja Ryzyko- możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. (wg. Glosariusza Międzynarodowych Standardów Profesjonalnej Praktyki Audytu Wewnętrznego wydanych przez Audytorów Wewnętrznych)
Ryzyko- definicja Ryzyko to możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów organizacji Ryzyko – to niepewność wyniku(rezultatu)
Ryzyko Ryzyko- działanie, które może przynieść niepowodzenie, stratę ; przedsięwzięcie którego wynik jest niepewny , nieznany . ( Definicja w Słowniku języka polskiego) Ryzykiem może być wydarzenie nagłe np.:wypadek autokaru,w której giną osoby zarządzające organizacją lub wydarzenie zachodzące w sposób ciągły np. wydłużenie czasu potrzebnego do przeprowadzenia postępowania administracyjnego poza terminy określone w kpa (uzależnione np:dodatkowymi uzgodnieniami )
Zarządzanie ryzykiem Rozpoczynając prace dotyczące zarządzania ryzykiem musimy pamiętać, że nie jest to oderwany, samoistny proces, zatem należy szukać odniesienia do celów określonych w dokumentach planistycznych.
Zarządzanie ryzykiem Jest procesem, którego celem jest zidentyfikowanie zdarzeń, zagrożeń, które mogą mieć negatywny wpływ na organizację, osiągnięcie jej celów, realizacje zadań. (Zarządzanie ryzykiem powinno dotyczyć każdego pracownika, który realizuje zadania, dotyczy to zarówno zadań strategicznych, operacyjnych jak i pojedynczych projektów czy obowiązków
Proces- zarządzania ryzykiem • Identyfikacji ryzyka • Analizie ryzyka (Ocenie ryzyka) • Reakcji na ryzyko (regularne ograniczanie ryzyka do poziomu akceptowalnego • Informowaniu o ryzykach i czynnościach nadzorczych
Schemat zarządzania ryzykiem [W oparciu o przegląd procesu zarządzania ryzykiem (AS / NZS 4360:1999)]
Co to znaczy? –czy można to powiedzieć prościej ? • Co może pójść nie tak? • Jakie jest tego prawdopodobieństwo? • Co się stanie, jeśli coś pójdzie nie tak? • Co należy zrobić, by usunąć to zagrożenie? • Co można zrobić, by zmniejszyć prawdopodobieństwo ponownego wystąpienia zagrożenia?
Identyfikacja ryzyka Identyfikacja ryzyk-nie ma jakiejś jednej uniwersalnej metody . Przydatnym źródłem wiedzy może być analiza zdarzeń, które miały miejsce w przeszłości danej organizacji. Jeśli przyjrzymy się tym zdarzeniom lub sporządzimy prognozy na przyszłość, otrzymamy wiele informacji, które pomagają organizacji zidentyfikować ryzyko).
Identyfikacja ryzyka • Ryzyko krótkoterminowe/długoterminowe • Ryzyko wewnętrzne/zewnętrzne • przypisanie ryzyk do obszarów działalności i komórek organizacyjnych, • finansowe, organizacyjne, kadrowe, • właściciel ryzyka – osoba, która jest odpowiedzialna za zarządzanie ryzykiem
Identyfikacja ryzyka • Każde zidentyfikowane ryzyko podlega analizie mającej na celu oszacowanie: • ryzyko nieodłączne, występuje bez zastosowania jakichkolwiek mechanizmu kontrolnego, który ograniczyłby jego prawdopodobieństwo, • P = prawdopodobieństwo jego wystąpienia, skala punktowa (1-5) • W= Wpływu (skutki, straty), jaki będzie miało ewentualne wystąpienie tego zdarzenia, skala punktowa (1-5) • ryzyko rezydualne – występuje po wprowadzeniu mechanizmów kontrolnych, skala punktowa (1-5) • Nie rzadziej niż raz w roku, • przypadku zmiany warunków funkcjonowania jednostki,
Istotność ryzyka • iloczyn dwu wartości określa istotność ryzyka i obliczany jest według wzoru: • Istotność ryzyka = P x W • P = prawdopodobieństwo jego wystąpienia, skala punktowa (1-5) • Prawdopodobieństwo: • 1 – 0-20 – rzadkie • 2 – 21- 40 – mało prawdopodobne • 3 – 41- 60 – średnie • 4 – 61- 80 – prawdopodobne • 5 – 81-100 – prawie pewne • W= Wpływ (skutki, straty), jaki będzie miało ewentualne wystąpienie tego zdarzenia, skala punktowa (1-5) wpływ – (oddziaływanie, skutku) na realizację celu, • 1- nieznaczne, 2 – małe, 3 – średnie, 4 – poważne, 5 – katastrofalne • istotność ryzyka = P x W iloczyn np. 2 x 3 = 6
Ocena ryzyka • Ryzyko ocenia się biorąc pod uwagę jego istotność dla organizacji • – wpływ na realizację zadań oraz prawdopodobieństwo wystąpienia, a także istniejące mechanizmy kontroli. ryzyko nieodłączne • budżet zadaniowy: • miernik – ilość nieprawidłowości w stosunku do ilości przeprowadzonych kontroli, • wartość: bazowa, docelowa
Ocena ryzyka • istotność ryzyka – istotność ryzyka jest oceniana w następujący sposób: • P = prawdopodobieństwo wystąpienia (skala - 1-5) • W = wpływ – (oddziaływanie, skutek) na realizację celu • 1- nieznaczne,2 – małe, 3 – średnie, 4, poważne, 5 - katastrofalne • P = prawdopodobieństwo wystąpienia • skala - 1-5 ryzyko rezydualne (zmniejszone po wprowadzeniu mechanizmów kontroli
Wpływ ryzyka • wpływ jest konsekwencją - co się stanie • KONSEKWENCJE: • szkoda finansowa • szkoda dla dobrego imienia/wiarygodności • niemożność prowadzenia działalności • kalectwo/śmierć pracowników/osób postronnych • utrata lub uszkodzenie środków trwałych
Wpływ - oddziaływanie • 5- katastrofalne – uszczerbek mający krytyczny lub bardzo duży wpływ na realizację kluczowych zadań usunięcie skutków będzie trudne lub wręcz niemożliwe, poważna strata finansowa lub na reputacji. • 4- poważne – usunięcie skutków będzie bardzo trudne, znacząca stratę posiadanych zasobów, negatywny wpływ na efektywność działania, jakość wykonywanych zadań, istotny wpływ na wynik finansowy, trudny proces przywracania stanu poprzedniego. • 3- średnie usunięcie skutków będzie trudne, zakłócenie lub opóźnienie w wykonywaniu zadań, wywrze wpływ na wynik finansowy, prawdopodobnie nie doprowadzi do realizacji zadania. • 2- małe –usunięcie skutku wymaga czasu, niewielka strata finansowa, zakłócenie lub opóźnienie w wykonywaniu zadań, nie wpływa na reputację, skutki zdarzenia można łatwo usunąć. • 1- nieznaczne –usunięcie skutku nastąpi w krótkim czasie, nieznaczny wpływ na wynik finansowy, zakłócenie lub opóźnienie w wykonywaniuzadań; nie wpływa na reputację; skutki zdarzenia można łatwo usunąć.
Prawdopodobieństwo • 5- prawie pewne – istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się w ciągu roku. • 4- prawdopodobne – istnieją uzasadnione powody by sądzić, że ryzyko zdarzy się w ciągu roku jeśli nie zostanie zmniejszone przez zastosowanie odpowiednich mechanizmów, • 3- średnie – może wystąpić w nadchodzącym roku, o ile nie zostanie zmniejszone, (wystąpi okazjonalne przy nieprzewidzianych zdarzeniach), może narastać, • 2- mało prawdopodobne – może wystąpić o ile nie zostanie zmniejszone, może narastać, • 1- rzadkie – może wystąpić o ile nie zostanie zmniejszone, przypadki pojedyncze,
Ocena • 5- prawie pewne – istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się w ciągu roku. • 4- prawdopodobne – istnieją uzasadnione powody by sądzić, że ryzyko zdarzy się w ciągu roku jeśli nie zostanie zmniejszone przez zastosowanie odpowiednich mechanizmów, • 3- średnie – może wystąpić w nadchodzącym roku, o ile nie zostanie zmniejszone, (wystąpi okazjonalne przy nieprzewidzianych zdarzeniach), może narastać, • 2- mało prawdopodobne – może wystąpić o ile nie zostanie zmniejszone, może narastać, • 1- rzadkie – może wystąpić o ile nie zostanie zmniejszone, przypadki pojedyncze,
Ryzyka • ryzyko nieodłączne – ryzyko, które zaistniałoby, gdyby nie występowały żadne mechanizmy kontrolne, • ryzyko rezydualne – ryzyko zminimalizowane przez istniejące mechanizmy kontrolne
Co to jest mechanizm kontrolny? • Mechanizmy kontrolne- stanowią odpowiedź na konkretne ryzyko. Ich celem jest minimalizacja negatywnych skutków ryzyka poprzez istnienie wewnętrznych regulacji i procedur, instrukcji, wytycznych i innych. • System mechanizmów kontroli powinien być elastyczny i dostosowany do specyficznych potrzeb jednostki. Koszty wdrażania i stosowania tych mechanizmów nie powinny być wyższe niż uzyskane korzyści.
Mechanizm kontrolny- jaki ? • podział obowiązków • ograniczenie dostępu do zasobów materialnych, finansowych i informacyjnych • Kontrola wewnętrzna • szkolenia pracowników
Mechanizm kontrolny- jaki ? • wprowadzenie stosownych zapisów do unormowań wewnętrznych, procedur, instrukcji, • nadzór nad realizacja zadania, • zatwierdzanie operacji, • zasady kontroli finansowej, • zamykanie ksiąg rachunkowych, • oprogramowania antywirusowe, • wzmożony i efektywny nadzór nad pracownikami
Ryzyko akceptowane • akceptowany poziom ryzyka – ustalony przez kierownictwo poziom istotności ryzyka, przy którym nie jest wymagane wprowadzenie zmian mechanizmów kontrolnych
Reakcja na ryzyko • Jednostka określa działania, które należy podjąć w celu zmniejszenia istotnego ryzyka do akceptowanego poziomu. • Przeciwdziałanie - podjęcie działań, mających na celu ograniczenie ryzyka do akceptowanego poziomu (np. przeprowadzenie kompleksowej kontroli działania mechanizmów kontrolnych i stosowanych procedur, zmiana procedur, szkolenia pracowników, zmiany organizacyjne).
Reakcja na ryzyko • przesunięcie w czasie – przełożenie wykonania zadań związanych z ryzykiem na dogodniejszy termin. • tolerowanie – akceptowanie ryzyka w sytuacji gdy koszty przeciwdziałania przekroczą potencjalne korzyści. • transfer - przeniesienie ryzyka np. ubezpieczenia majątkowe, zlecenie innej instytucji realizację zadań wspierających.
Przegląd ryzyka • Przegląd i raportowanie ryzyk jest etapem zarządzania ryzykiem, w wyniku którego rejestr ryzyka uzupełniany jest o kluczowe zmiany jakie zaistniały od ostatniej jego aktualizacji. • PRZYNAJMNIEJ RAZ W ROKU
Jakie te ryzyka mogą być? Strategiczne • Polityczne • Ekonomiczne • Społeczne • Technologiczne • Legislacyjne • Środowiskowe
Jakie te ryzyka mogą być ? Operacyjne • Finansowe • Prawne • Zawodowe • Fizyczne • Umowne • Technologiczne • Środowiskowe
Kategorie ryzyka operacyjnego • Finansowe – związane z planowaniem finansowym i kontrolą . • Prawne – dotyczące ewentualnego naruszenia przepisów prawa. • Zawodowe – związane z charakterem konkretnego zawodu, • Fizyczne – dotyczące pożaru, bezpieczeństwa, zapobiegania wypadkom oraz kwestii ochrony zdrowia i bezpieczeństwa osób , np. zagrożenia dla budynków, pojazdów, zakładów lub sprzętu, itd. • Umowne – związane z brakiem realizacji usług lub dostarczenia produktów przez dostawców wg uzgodnionej ceny i specyfikacji. • Technologiczne – dotyczące uzależnienia instytucji od sprzętu wykorzystywanego w jej działalności, np. systemów informatycznych lub sprzętu i maszyn. • Środowiskowe – dotyczące hałasu lub energooszczędności bieżącej działalności usługowej.
Ludzie Ważne aby w proces zarządzania ryzykiem powinni być włączeni wszyscy pracownicy organizacji , tak aby każdy czuł się współodpowiedzialny za tę strefę kontroli zarządczej. Proces powinien mieć wsparcie kierownictwa organizacji!!!!!!!!
Komunikacja ważna • Komunikacja wewnątrz organizacji dotycząca zagadnień związanych z ryzykiem powinna zapewniać pracownikom rozumienie priorytetów ryzyka i ich roli w zarządzaniu ryzykiem. • Można to przeprowadzać w formie burzy mózgów lub sesji indywidualnych z osobami odpowiedzialnymi za poszczególne działy.
Przypomnijmy raz jeszcze! Proces zarządzania ryzykiem Zrozumienie wykonywanej działalności – zrozumienie specyfiki działalności samorządu gminy - celów i zadań strategicznych Ocena ryzyka czyli proces identyfikacji , analizy oraz określenia nastawienia do ryzyka Zarządzanie ryzykiem- postępowanie z ryzykiem inaczej proces jego modyfikacji, minimalizacji.
Ryzyko obecne na każdym etapie naszego życia • Potrącenie przez samochód • Ryzyko kradzieży samochodu • Ryzyko wypadku podczas jazdy na nartach • Ryzyko spóźnienia się na spotkanie • Organizacja nie świadczy usług na wysokim poziomie ze względu na brak kadry wykwalifikowanych pracowników • Przed wejściem na jezdnie sprawdzamy ruch samochodów • Zakładamy alarm , wykupujemy ubezpieczenie, parkujemy na strzeżonych parkingach • Nauka jazdy , obowiązek jazdy w kaskach • Wyjeżdżamy z zapasem czasowym , analizujemy rozkład jazdy. • Systematyczne szkolenia , podnoszenie kwalifikacji.
Przykład 1 Cel: Ochrona danych osobowych Zadanie : Skuteczne zabezpieczenie danych osobowych klientów przed dostępem osób nieupoważnionych Miernik:% danych udostępnionych osobom nieuprawnionym Ryzyko: Nieświadome udostępnienie danych osobowych Mechanizmy kontrolne: Polityka Bezpieczeństwa Informacji, Instrukcja ochrony danych osobowych upoważnienia ,szkolenie podnoszące świadomość pracowników