Polityka zarządzania ryzykiem
Rozdział 1
Przegląd procesu zarządzania ryzykiem
1.1 Jako instytucja państwowa, Miejski Ośrodek Pomocy Społecznej w Siemianowicach jest zobowiązana realizować swoje cele, by świadczyć usługi na rzecz społeczeństwa.
1.2 Tym samym, instytucja napotyka wszelkie rodzaje ryzyka. Zadaniem kierownictwa jest podejmowanie działań w celu zwiększenia prawdopodobieństwa osiągnięcia celów.
1.4 Celem niniejszego przeglądu jest określenie podejścia organizacji do procesu zarządzania ryzykiem, w tym:
· interpretacji i zarządzania ryzykiem; oraz
· celów operacyjnych związanych z zarządzaniem ryzykiem.
1.5 Ogólnie rzecz ujmując, ryzyko to wymierny (choć w pewnych wypadkach niewymierny) poziom zagrożenia związany z wystąpieniem jakiegokolwiek zdarzenia, działania lub braku działania, które może zniszczyć mienie lub wizerunek organizacji lub zahamować realizację
celów organizacji.
1.6 Właściwy ład organizacyjny wymaga wdrożenia odpowiednich planów zarządzania ryzykiem,
1.7 Powszechnie uznaje się, że dzięki dobremu zarządzaniu ryzykiem, organizacja może lepiej i elastyczniej reagować na nowe naciski i wymagania zewnętrzne. Skuteczna analiza i zarządzanie ryzykiem może przynieść faktyczne korzyści. Zarządzanie ryzykiem to dobra praktyka zarządcza,
która stanowi podstawę procesu ustawicznej poprawy oraz planów sporządzanych przez organizację w zakresie kierowania i kontroli nad prowadzoną działalnością.
1.8 Kwestią niezbędną jest „dobre zarządzanie”, obejmujące:
· zrozumienie celu prowadzonej działalności;
· identyfikację sposobów umożliwiających osiągnięcie tego celu;
· określenie możliwych niepowodzeń i strat;
· określenie środków zaradczych, które umożliwią uniknięcie niepowodzeń lub zmniejszenie strat;
1.11 Organizacja interpretuje i zarządza ryzykiem w następujący sposób:
Ryzyko to niepewność związana ze zdarzeniem lub działaniem, które wpłynie na zdolność organizacji do realizacji celów jej działalności. Może mieć charakter negatywnego zagrożenia lub też pozytywnej możliwości.
Zarządzanie ryzykiem to metoda, dzięki której organizacja określa, analizuje i kontroluje ryzyko działalności.
Cele dotyczące zarządzania ryzykiem prowadzonej działalności
1.14 W celu ułatwienia procesu zarządzania ryzykiem, zidentyfikowano następujące cele stanowiące podstawę systemu zarządzania ryzykiem w organizacji. Cele te zostaną zrealizowane za pomocą różnych mechanizmów opisanych w niniejszych zasadach.
· Promocja świadomości ryzyka i wdrożenie metody zarządzania ryzykiem w organizacji.
· Wsparcie i monitorowanie roli i pracy osób odpowiedzialnych za zarządzanie ryzykiem w organizacji.
· Identyfikacja, analiza, kontrola i raportowanie dot. Ryzyka operacyjnego i strategicznego przy wykorzystaniu odpowiednich kryteriów oceny.
· Monitorowanie ogólnych wyników systemu zarządzania ryzykiem i jego oddziaływania na działalność organizacji.
1.15 Zakres polityki zarządzania ryzykiem określa sposób realizacji powyższych mechanizmów.
Rola audytu wewnętrznego
Audyt wewnętrzny pełni kluczową rolę we wsparciu zarządzania ryzykiem.
Rolą audytu wewnętrznego jest przedstawienie kierownictwu niezaleŜnej
opinii dotyczącej skuteczności wewnętrznych mechanizmów kontrolnych
związanych z zarządzaniem ryzykiem.
Roczny plan audytu wewnętrznego winien opierać się na informacjach
pochodzących z rejestru ryzyka i uwzględniać:
· obszary wysokiego ryzyka oraz środki za pomocą których potencjalny
negatywny wpływ ryzyka jest utrzymywany na moŜliwym do przyjęcia
poziomie
· prawidłowość i skuteczność systemów zarządzania ryzykiem i kontroli
danej działalności
· moŜliwości istotnych udoskonaleń systemu zarządzania ryzykiem
i kontroli danej działalności
Kierownicy wyŜszego szczebla muszą mieć pewność, iŜ system zarządzania
ryzykiem właściwie funkcjonuje. Audyt wewnętrzny musi dysponować
narzędziami umoŜliwiającymi uzyskanie obiektywnej opinii niezaleŜnej od
kierownictwa.
Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego
stanowią, iŜ audyt wewnętrzny jest działalnością niezaleŜną, obiektywnie
zapewniającą i doradczą, której celem jest przysporzenie wartości
i usprawnienie działalności operacyjnej organizacji. Pomaga on organizacji w
osiąganiu jej celów poprzez systematyczne i zdyscyplinowane podejście do
oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli
i governance.
Jak moŜna zidentyfikować ryzyko?
Główną i wyłączną odpowiedzialność za proces identyfikacji ryzyka ponosi
kierownik jednostki. JednakŜe, Ŝadna osoba nie dysponuje kompletną wiedzą
umoŜliwiającą realizację zadania, jakim jest identyfikacja ryzyka dla całej
organizacji.
Po pierwsze, identyfikacja ryzyka wymaga, by instytucja rozumiała charakter
oraz cele świadczonych usług. Dzięki temu, instytucja poradzi sobie
z identyfikacją ryzyka, na które jest naraŜona. Następnie, naleŜy określić
środki konieczne do świadczenia kaŜdej usługi, w oparciu o znajomość
funkcjonowania usługi oraz ryzyko występujące na kaŜdym etapie
działalności.
Przykładowo:
· Usługa - Edukacja
· Cele – bezpieczeństwo dzieci, dobre wyniki z egzaminów
· Wymagania – zatrudnienie wykwalifikowanej kadry, utrzymanie budynków i sprzętu, zapewnienie środków pieniężnych
Zidentyfikowane ryzyko:
· brak moŜliwości utrzymania lub poprawy jakości nauczania;
· brak moŜliwości optymalizacji wkładu wnoszonego przez wszystkich
pracowników szkoły;
· zmiany polityki rządu mające wpływ na program nauczania;
· środki finansowe niewystarczające do tworzenia majątku;
· nieodpowiedni plan utrzymania majątku;
· powaŜne naruszenia legislacyjne;
· niewykrycie oszustw; oraz
· brak moŜliwości utrzymania rentowności finansowej organizacji
Po zidentyfikowaniu ryzyka, naleŜy je poddać analizie.
Konieczność analizy ryzyka wynika z potrzeby lepszego zrozumienia
charakteru zidentyfikowanego ryzyka, na które naraŜona jest organizacja.
Analiza ryzyka obejmuje:
· określenie przyczyny i skutku zidentyfikowanego ryzyka;
· sprawdzenie ryzyka krzyŜowego (duplikacja i eskalacja ryzyka);
· odseparowanie niewielkiego ryzyka od istotnego ryzyka;
· ocenę rodzaju i kategorii ryzyka; oraz
· powiązanie ryzyka z celami organizacji.
Rodzaj i kategoria ryzyka
Zidentyfikowane ryzyko ma charakter strategiczny lub operacyjny.
Zrozumienie rodzaju ryzyka ułatwi jego zarządzanie. Dlatego teŜ, warto
dokonać odpowiedniego podziału ryzyka.
Ryzyko strategiczne
Dokonując oceny długoterminowych celów i priorytetów organizacji naleŜy
wziąć pod uwagę ryzyko strategiczne. Zarządzanie ryzykiem strategicznym
stanowi zadanie kierownika jednostki we współpracy z innymi osobami na
kluczowych stanowiskach.
Ryzyko strategiczne ma często wpływ na fundamenty działania lub
funkcjonowania organizacji
Kategorie ryzyka strategicznego
· Polityczne – związane z brakiem moŜliwości świadczenia usług
zgodnie z wymaganiami władz centralnych lub samorządowych.
· Ekonomiczne – mające wpływ na zdolność organizacji do realizacji
zobowiązań finansowych. Ryzyko to obejmuje czynniki takie jak
wewnętrzne naciski budŜetowe, brak wykupionej polisy
ubezpieczeniowej oraz zmiany ogólnej sytuacji gospodarczej.
· Społeczne – dotyczące skutków zmian tendencji demograficznych,
społeczno-gospodarczych oraz odnoszących się do miejsca
zamieszkania.
· Technologiczne – związane ze zdolnością organizacji do nadąŜenia za
tempem/skalą zmian technologicznych lub moŜliwością wykorzystania
odpowiednich technologii, by sprostać zmianom popytu. Ryzyko to
moŜe obejmować oddziaływanie wewnętrznych niepowodzeń
technologicznych na zdolność organizacji do realizacji jej celów.
· Legislacyjne – związane z bieŜącymi lub moŜliwymi zmianami
w ustawodawstwie krajowym lub europejskim.
· Środowiskowe – dotyczące konsekwencji środowiskowych
wynikających z realizacji celów organizacji, np. wydajności
energetycznej, hałasu, zanieczyszczenia lub skaŜenia.
Ryzyko operacyjne
Ryzyko napotykane przez kierowników i pracowników w trakcie codziennej
pracy.
Niezrozumienie polityki bezpieczeństwa informatycznego przez pracowników
niesie ze sobą ryzyko naraŜenia na wirusy w wyniku pominięcia skanowania
systemu pod kątem wirusów, zgodnie z wymaganiami polityki.
W razie jego wystąpienia, ryzyko niekoniecznie zmienia charakter działalności
organizacji, choć moŜe być przyczyną zakłóceń w świadczeniu usług oraz
utraty zasobów do chwili usunięcia wirusa z systemu.
Ryzykiem moŜna operacyjnie zarządzać, zapewniając, by pracownicy znali,
rozumieli i przestrzegali politykę bezpieczeństwa informatycznego.
Kategorie ryzyka operacyjnego
· Finansowe – związane z planowaniem finansowym i kontrolą .
· Prawne – dotyczące ewentualnego naruszenia przepisów prawa.
· Zawodowe – związane z charakterem konkretnego zawodu, np. usługi
społeczne związane z pomocą społeczną dla młodych osób
· Fizyczne – dotyczące poŜaru, bezpieczeństwa, zapobiegania
wypadkom oraz kwestii ochrony zdrowia i bezpieczeństwa osób , np.
zagroŜenia dla budynków, pojazdów, zakładów lub sprzętu, itd.
· Umowne – związane z brakiem realizacji usług lub dostarczenia
produktów przez dostawców wg uzgodnionej ceny i specyfikacji.
· Technologiczne – dotyczące uzaleŜnienia instytucji od sprzętu
wykorzystywanego w jej działalności, np. systemów informatycznych
lub sprzętu i maszyn.
· Środowiskowe – dotyczące hałasu lub energooszczędności bieŜącej
działalności usługowej.
Kolejnym rodzajem ryzyka jest ryzyko „projektu”. Jest to ryzyko związane
z procesem zmiany lub programem rozwojowym, obejmującym czynności
wykonywane jednorazowo lub wyjątkowo. Ryzyko to moŜe mieć charakter
strategiczny, operacyjny lub zarówno strategiczny, jak i operacyjny.
Identyfikacja i analiza ryzyka to proces ciągły, a nie jednorazowe ćwiczenie.
Za pierwszym razem, kompleksowa analiza z pewnością umoŜliwi wykrycie
kilku rodzajów ryzyka, lecz w ciągu kilku tygodni lub miesięcy pojawią się
nowe rodzaje ryzyka, a istniejące ryzyka ulegną zmianie
Punktowa ocena ryzyka
Jak naleŜy wykonać punktową ocenę ryzyka?
Ryzyko naleŜy ocenić na dwa sposoby:
1. tak, jakby nie występowały Ŝadne mechanizmy kontrolne (ryzyko
nieodłączne); oraz
2. biorąc pod uwagę istniejące mechanizmy kontrolne (ryzyko
rezydualne).
Ocenę taką przeprowadza się w celu:
· zademonstrowania skuteczności wewnętrznych mechanizmów
kontrolnych przy zmniejszaniu ryzyka; oraz
· uwypuklenia powaŜnego ryzyka, które moŜe być ukryte, mimo
funkcjonujących mechanizmów kontrolnych.
Organizacja musi uzgodnić i wdroŜyć system punktowej oceny ryzyka
obejmujący definicje dla róŜnych poziomów prawdopodobieństwa
i oddziaływania ryzyka. Po dokonaniu takich uzgodnień, naleŜy zastosować
kryteria zarządzania ryzykiem w jednakowy sposób w całej organizacji. Dzięki
temu:
· zidentyfikowane ryzyka zostaną ocenione wg ich oddziaływania na całą
organizację, tj. ryzyka w największym stopniu oddziaływujące na
zdolność organizacji do osiągnięcia celów to te ryzyka, którym
przypisuje się najwyŜszy priorytet z punktu widzenia procesu
zarządzania ryzykiem;
· zmniejsza się subiektywność związana z punktową oceną ryzyka,
a zwiększa przejrzystość i rozliczalność procesu punktowej oceny
i hierarchizacji ryzyka.
Monitoring ryzyka
Monitoring ryzyka obejmuje:
· wykonanie przeglądu, w celu określenia, czy ryzyko uległo zmianie;
· sprawdzenie, czy punktowa ocena ryzyka jest wciąŜ odpowiednia;
· zapewnienie skuteczności dotychczasowych mechanizmów
kontrolnych; oraz
· monitorowanie rozwoju uzgodnionych działań w zakresie zarządzania
ryzykiem.
junosza1755