Zarządzenie ryzykiem - podręcznik przygotowany przez słuchaczy XXIII Promocji KSAP

1. ZESTAW NARZĘDZI DO ANALIZY RYZYKA
W URZĘDACH
XXIII PROMOCJA
KRAJOWA SZKOŁA ADMINISTRACJI PUBLICZNEJ

2. Spis treści
IDENTYFIKACJA RYZYKA ................................................................................. 2
ANALIZA RYZYKA ...........................................................................................12
PUNKTOWA OCENA RYZYKA .........................................................................15
REJESTR RYZYKA............................................................................................18
ZARZĄDZANIE RYZYKIEM...............................................................................20
1

3. IDENTYFIKACJA RYZYKA
Zgodnie ze standardami kontroli zarządczej identyfikacja ryzyk powinna być dokonywana
w odniesieniu do zadań określonych w planie działalności urzędu, mając przy tym zawsze
na uwadze cele, jakie mają być osiągnięte dzięki realizacji tych zadań.
OPIS RYZYKA
Do sporządzania opisu ryzyka może służyć trójelementowa metoda R-P-S: ryzyko
(R), jego przyczyna (P), skutek (S). Na przykład, jeśli określimy cel jako dojechanie pociągiem
na spotkanie o określonej godzinie, to opis ryzyka może wyglądać następująco: (R) ryzyko
pociąg nie odjedzie, (P) z powodu złej pogody, (S) co będzie skutkować nieprzybyciem
na spotkanie.
Opisując ryzyko należy uważać, aby unikać stwierdzenia oddziaływania ryzyka, które może
wydawać się samym ryzykiem, a także by unikać stwierdzenia ryzyka, które nie
ma wpływu na cele; podobnie należy uważać, by unikać określania ryzyka sformułowaniami,
które są po prostu odwrotnością celów. Przykład właściwego opisu ryzyka oraz najczęstsze
błędy opisane są w poniższym przykładzie.
Cel – dojechać pociągiem z A do B na spotkanie o określonej godzinie
Nie dojechanie z A do B na spotkanie
o określonej godzinie Jest to po prostu odwrotność celu
Spóźnienie się i opuszczenie spotkania Jest to stwierdzenie wpływu ryzyka,
a nie samego ryzyka
W pociągu nie ma bufetu, więc zgłodnieję Nie ma to wpływu na osiągnięcie celu
J Jest to ryzyko, które można kontrolować
Jeśli nie zdążę na pociąg, to spóźnię się i nie
upewniając się, że przeznaczę dużo czasu na
zdążę na spotkanie
dotarcie do stacji
Zła pogoda uniemożliwi odjazd pociągu, Jest to ryzyko, którego nie mogę
a mi dotarcie na spotkanie kontrolować, ale mogę stworzyć plan
awaryjny
Źródło: Ministerstwo Skarbu Jej Królewskiej Mości, Pomarańczowa księga.
Zarządzanie ryzykiem – zasady i koncepcje, październik 2004, s. 15.
2

4. METODY IDENTYFIKACJI RYZYKA
Nie ma pojedynczej „właściwej” metody identyfikacji ryzyka. Każda urząd może opracować
własną metodę, biorąc pod uwagę swoje doświadczenie, wielkość i charakter,
a przede wszystkim zadania opisane w planie działalności. Poniżej zaproponowano metody
najczęściej wykorzystywane. Można je stosować zarówno pojedynczo, jak i łącząc
poszczególne sposoby.
KWESTIONARIUSZ
1. Kwestionariusz nie rozwija
kreatywnego myślenia na temat ryzyk
1. Możliwość otrzymania opinii (dysponujemy tylko zamkniętym
od dużej liczby pracowników katalogiem, a rzeczywistość się
zmienia)
2. Wyliczenie poszczególnych 2. Możliwa zła interpretacja
ryzyk pozwala mieć pewność, zaproponowanych ryzyk przez
że najbardziej interesujące nas pracowników
ryzyka znajdują się na liście 3. Możliwy niewielki poziom zwrotu
i będą wzięte pod uwagę wypełnionych ankiet lub pospieszne
i nierzetelne wypełnianie ankiet,
co zakłóca obraz rzeczywistości
Kwestionariusz identyfikacji ryzyka jest to wstępnie uzgodniona lista pytań umożliwiających
zidentyfikowanie obszarów ryzyka. Powinien on być przesłany do jak największej liczby osób,
które mogą pomóc nam w identyfikacji ryzyka dla określonego zadania.
Poniżej znajduje się propozycja zagadnień, które mogą stać się inspiracją dla identyfikacji
ryzyka. Należy pamiętać, że katalog ten nie jest zamknięty, może więc zostać zarówno
poszerzony, jak i skrócony w zależności od specyfiki urzędu, a także zadania, dla którego
ryzyka mają być identyfikowane.
3

5. Zadanie
Występowanie
Obszary potencjalnego ryzyka ryzyka Opis ryzyka
T/N
Wewnętrzne
Kwestie organizacyjne
- przygotowanie i planowanie
- jakość tworzonych produktów i usług
- terminowość w realizacji zadań
- monitorowanie postępów
w realizacji zadań
- efektywność procedur
- efektywność struktur
- sposób zdefiniowania ról i zadań
komórek organizacyjnych
- adekwatność czasu do zadania
Kwestie finansowe
- dostosowanie budżetu
do powierzonych zadań
- płynność finansowa
- terminowość płatności
- liczba operacji wykonywanych
na bardzo dużych kwotach
- jakość procesu zarządzania
budżetem
Zasoby ludzkie
- adekwatność etatów/pracowników
do wyznaczonego zadania
- posiadanie niezbędnej
wiedzy/umiejętności/doświadczenia
dla realizacji zadania
- adekwatność sposobu prowadzenia
polityki rekrutacyjnej do potrzeb
- stopień rotacji pracowników
- obsadzenie kluczowych stanowisk
- jakość kwalifikacji osób na
kluczowych stanowiskach
- przewidywana nieobecność
pracowników
- stopień motywacji i morale
pracowników
- relacje między pracownikami
- staranności pracowników
- program szkoleń
- zachowywanie przez pracowników
zasad, procedur
4

6. Sprzęt i informacja
- posiadanie podstawowych narzędzi
pracy dla realizacji zadania
- dostosowanie sprzętu/warunków
pracy do przepisów BHP
- posiadanie odpowiedniego
oprogramowania
- awaryjność sprzętu komputerowego
- czas oczekiwania na naprawę
sprzętu
- obieg informacji w urzędzie
- komunikacja między pracownikami
- baza informacji
- bezpieczeństwo informacji
- aktualność informacji
Zewnętrzne
Kwestie polityczne
- wpływ cyklu politycznego (kampania
wyborcza, zmiana ekipy rządzącej itp.)
- sposób prowadzenia polityki przez
obecny rząd
- ważne decyzje polityczne
- reakcja opozycyjnych sił politycznych
na prowadzone działania
Kwestie prawne
- wpływ istniejących regulacji
na podejmowanie działań
- wpływ zapowiadanych zmian
w przepisach
- liczba pozwów lub spraw sądowych
- jakość podpisywanych umów
Interesariusze (w tym obywatele)
- zły wizerunek urzędu
- sprzeciw/protesty obywateli wobec
zamierzonych działań
- jakość i rodzaj wsparcia
interesariuszy w podejmowanych
działaniach
- wysoki stopień uzależnienia
od organizacji zewnętrznych
Identyfikacja ryzyka powinna być dokonywana zawsze w odniesieniu do zadań opisanych
w planie działalności urzędu, dlatego w nagłówku kwestionariusza wpisujemy nazwę
zadania, dla którego chcemy zidentyfikować ryzyka. W kolumnie po lewej stronie
wymienione są obszary potencjalnego ryzyka podzielone na kategorie, które mają stanowić
5

7. pomoc dla osoby wypełniającej kwestionariusz. Jeśli ankietowany uzna, że wykonanie
zadania może być realnie zagrożone w związku z określonym zagadnieniem, powinien opisać
to ryzyko w kolumnie po prawej stronie. Sposób opisu ryzyka został przedstawiony już
wcześniej.
Przesyłając kwestionariusz ankietowanym należy do niego dołączyć instrukcję wypełnienia
oraz instrukcję sposobu opisu ryzyka. Należy także wskazać, że ankietowany
ma prawo dopisywać własne propozycje zagadnień problemowych. W tym celu należy
pozostawić wolne pola pod każdą z kategorii.
Umożliwienie składania deklaracji podatkowych drogą elektroniczną poprzez udostępnienie
przez Ministerstwo Finansów odpowiednich usług informatycznych
Występowanie
Obszary potencjalnego ryzyka ryzyka Opis ryzyka
T/N
Wewnętrzne
Zasoby ludzkie
Adekwatność etatów/pracowników T Obecnie w Wydziale X nie są obsadzone
do wyznaczonego zadania dwa etaty, w których opisie stanowisk
znajduje się obowiązek zajmowania się
zagadnieniem wskazanym w zadaniu.
Kwestią tą zajmować się będzie tylko
jeden pracownik. Istnieje zatem ryzyko
przedłużania się okresu prac nad
projektem, a w konsekwencji nie
wykonania zadania w terminie
Obsadzenie kluczowych stanowisk T Obecnie w Departamencie Y brakuje
zastępcy dyrektora, który nadzoruje
wydziały odpowiedzialne za realizację
zadania. Pan Z pełni jedynie obowiązki
zastępcy dyrektora. Zmiana na tym
stanowisku może oznaczać pojawienie się
nowej koncepcji realizacji zadania,
co skutkować będzie brakiem
terminowości w realizacji zadania.
Przewidywana nieobecność N
pracowników
(…)
6

8. BURZA MÓZGÓW
1. Możliwość uzyskania wielu 1. Możliwość zdominowania
nowych pomysłów rozmowy przez silną osobowość
2. Pobudzenie do kreatywnego 2. Istnieje lęk przed cudzą oceną
myślenia własnych pomysłów
3. Dosyć szybkie zgromadzenie
informacji
4. Możliwość interakcji między
uczestnikami
Aby „burza mózgów” była skuteczna:
 Należy rozważyć, kogo zaprosić na taką sesję. Powinniśmy wziąć pod uwagę liczbę
osób ich wiedzę, doświadczenie, miejsce w strukturze urzędu;
 Przygotowując się do sesji, uczestnicy powinni mieć możliwość rozważenia
oddziaływania ryzyka na działalność urzędu lub usługi świadczone przez jednostkę.
Należy sporządzić szablon identyfikacji ryzyka i przekazać go każdemu uczestnikowi
przed sesją;
 Na wykonanie zadania należy wyznaczyć czas niezbędny do omówienia ryzyka, jego
przyczyn i skutków;
 Należy zapewnić środki zachęcające do rozpoczęcia i kontrolowania dyskusji,
pobudzania do dyskusji, utrzymania sesji w wyznaczonych ramach godzinowych
i zarejestrowania wyników sesji;
 Każdy uczestnik sesji może zadawać pytania/określać ryzyko bez obawy
o jakiekolwiek reperkusje. Sesje powinny być otwartym forum, na którym pracownicy
mogą bezpiecznie dyskutować o zidentyfikowanym ryzyku;
 Wyniki sesji należy zapisać i przekazać do weryfikacji i rozpatrzenia uczestnikom sesji,
co umożliwi wyjaśnienie lub poszerzenie opisów ryzyka.
Poniższa propozycja szablonu identyfikacji ryzyka ma pomóc w systematyzacji wiedzy
podczas sesji burzy mózgów. Kategorie ryzyka są tu spójne z kategoriami zawartymi
w kwestionariuszu, co pozwala w przypadku zastosowania obu narzędzi, na zestawianie
7

9. informacji. Charakterystyka kategorii pozwala na doprecyzowanie, o jakim rodzaju ryzyka
mówimy w danej kategorii.
Podczas sesji burzy mózgów można procedować w dwojaki sposób. Po pierwsze
zastanawiając się najpierw nad ryzykami istniejącymi w urzędzie/komórce organizacyjnej,
a następnie rozważając, jaki wpływ mają one na realizowane zadania. Drugim sposobem jest
rozważanie istnienia ryzyk dla kolejnych zadań wpisanych w planie działalności urzędu
(zadania te można wypisać w ostatniej kolumnie).
Szablon identyfikacji ryzyka
Zadania, z którymi
Kategoria ryzyka Charakterystyka kategorii Opis ryzyka
wiąże się ryzyko
Wewnętrzne
Kwestie organizacyjne Procedury, struktura
urzędu, jakość usług
i produktów tworzonych
przez urząd, planowanie,
organizacja pracy
Kwestie finansowe Operacje finansowe,
budżet, procedury
finansowe
Zasoby ludzkie Kwestie zatrudnienia,
jakość kadry, szkolenia,
kwestie pracownicze
Sprzęt i informacja Narzędzia niezbędne
do wykonywania zadań,
jakość i dostęp do
informacji, komunikacja
Zewnętrzne
Kwestie polityczne Cykle polityczne, decyzje
polityczne, sposób
prowadzenia polityki przez
rząd i opozycję
Kwestie prawne Wpływ obecnych
i przyszłych przepisów
prawa, sprawy sądowe,
jakość umów
Interesariusze (w tym Wizerunek urzędu,
obywatele) współpraca
z interesariuszami,
protesty
8

10. DOŚWIADCZENIA I PROGNOZY NA PRZYSZŁOŚĆ
1. Operowanie na dokumentach, 1. Czasochłonność
które dają mocną podstawę 2. Często potrzeba wiedzy
do identyfikacji ryzyka i doświadczenia z danej
2. Możliwość zestawiania danych dziedziny
z różnych lat
Informacje niezbędne do identyfikacji ryzyka można również zaczerpnąć z różnego rodzaju
dokumentów istniejących w urzędzie. Ich uważna analiza pozwala nie tylko
na wyodrębnienie faktycznie występujących zdarzeń, ale również tych, które potencjalnie
mogą się wydarzyć. Poniżej przedstawiono przykłady dostępnych informacji, które mogą
wskazywać obszary ryzyka1.
Skargi: czy pewne piony urzędu otrzymują ilość zażaleń wyższą niż akceptowalny poziom?
Czy zażalenia te są skutecznie rozpatrywane?
Raporty z audytu i kontroli: czy dokumenty te dotyczą istotnych pionów/obszarów? Czy
są skutecznie wykorzystywane?
Szkody ubezpieczeniowe: czy z obecnych tendencji wynika, iż napotykamy na szczególne
problemy? Czy posiadamy odpowiednią polisę? Czy pojawiły się nowe rodzaje ryzyka,
na które nie jesteśmy przygotowani? Czy nasz zakres ubezpieczenia jest zbyt szeroki? Czy
pozytywnie rozpatrujemy zbyt wiele szkód bez przeprowadzenia koniecznego dochodzenia?
Czy nasze koszty ubezpieczenia wzrosły, a jeśli tak, to dlaczego?
Dzienniki wypadków: czy występują tendencje sugerujące określone problemy? Czy
skutecznie reagujemy na zgłaszane wypadki?
Ankiety zadowolenia: czego urząd się z nich dowiaduje? Jakie podjęliśmy działania? Czy
są one skuteczne?
1
Ministerstwo Finansów, Zarządzanie ryzykiem w sektorze publicznym, s. 24-26.
9

11. Prognozy budżetowe i finansowe: czy urząd ma problemy z planowaniem zrównoważonego
budżetu? Czy niedostateczny budżet ma wpływ na świadczone usługi? Czy budżety
są solidne? Czy występują obszary, w których regularnie wydaje się za dużo lub
za mało?
Opóźnienia projektowe/programowe: czy uczestniczymy w wielu pracach projektowych?
Czy napotykamy na problemy z zarządzaniem projektami – czasowe, budżetowe, z zasobami,
wykonawcami i partnerami? Jakie działania podejmuje urząd w odpowiedzi na te problemy?
Czy działania te są skuteczne?
Ryzyko zgłaszane przez podobne instytucje, do celów porównawczych: Czy jesteśmy
narażeni na podobne rodzaje ryzyk?
Zmiany populacji: Czy urząd może sprostać występującym zmianom – czy będzie świadczyć
właściwe usługi lub utrzyma odpowiedni poziom usług?
Doniesienia medialne: czy urząd ma złą prasę? Dlaczego, i jakie działania urząd podjął w tym
celu? Czy urząd może utrzymać dobry wizerunek?
TABELA IDENTYFIKACJI RYZYKA
Zebrane dane na temat ryzyka należy zestawić tak, aby możliwe było dalsze przetwarzanie
tych informacji. Może do tego służyć zbiorcza tabela identyfikacji ryzyka.
Każde ryzyko musi mieć swojego indywidulanie określonego właściciela, który jest
odpowiedzialny za zapewnienie, że ryzyko jest zarządzane i monitorowane. Każdemu ryzyku
należy w tym celu nadać symbol w następujący sposób: symbol komórki organizacyjnej
i kolejny numer ryzyka np. DA1, DA2 (ramowe zasady kontroli zarządczej s.9).
W procesie identyfikacji ryzyka należy uwzględnić, że do każdego zadania zaleca się
identyfikowania co najwyżej pięciu ryzyk. Ograniczenie to ma zapobiegać nadmiernemu
uszczegóławianiu planów, które powinny cechować się przejrzystością. W przypadku
zidentyfikowania większej liczby ryzyk należy się zastanowić, czy można sformułować ryzyka
w sposób bardziej ogólny lub też w planie umieścić tylko te najwyżej oceniane.
W szczególnych przypadkach w planie pracy można jednak opisać więcej niż pięć ryzyk
(Ramowe zasady kontroli zarządczej s.9).
10

12. Zbiorcza tabela identyfikacji ryzyka (wraz z przykładem)
Kategoria
Zadanie Opis ryzyka(max. 5) Sygnatura
ryzyka
Obecnie w Wydziale X nie DY1
są obsadzone dwa etaty, w których opisie
stanowisk znajduje się obowiązek
zajmowania się zagadnieniem wskazanym
w zadaniu. Kwestią tą zajmować się będzie
tylko jeden pracownik. Istnieje zatem
ryzyko przedłużania się okresu prac nad
projektem, a w konsekwencji nie
wykonania zadania w terminie
Zasoby ludzkie
Obecnie w Departamencie Y brakuje DY2
Umożliwienie składania
zastępcy dyrektora, który nadzoruje
deklaracji podatkowych
wydziały odpowiedzialne za realizację
drogą elektroniczną poprzez
zadania. Pan Z pełni jedynie obowiązki
udostępnienie przez
zastępcy dyrektora. Zmiana na tym
Ministerstwo Finansów
stanowisku może oznaczać pojawienie się
odpowiednich usług
nowej koncepcji realizacji zadania,
informatycznych
co skutkować będzie brakiem
terminowości w realizacji zadania.
Program komputerowy potrzebny DZ1
do realizacji zadania ulega częstym
awariom. Kilkukrotnie doprowadziło
Sprzęt i to do utraty wprowadzanych danych.
informacja Powtarzanie się awarii spowoduje nie
możność kontynuowania pracy
a w konsekwencji nie zrealizowanie
zadania.
11

13. ANALIZA RYZYKA
Kolejnym etapem po identyfikacji ryzyka jest poddanie go szczegółowej analizie, tak, aby
możliwe stało się zrozumienie jego istoty, a następnie dokonanie we właściwy sposób jego
oceny. Należy bardzo dokładnie znać jednostkę, rozumieć jej otoczenie, cele oraz zadania,
aby:
1. określić przyczyny i skutki zidentyfikowanego ryzyka;
2. dokonać analizy pod kątem identyfikacji ryzyka krzyżowego;
3. oddzielić ryzyko istotne od niewielkiego;
4. ocenić rodzaj i kategorię ryzyka.
PRZYCZYNY I SKUTKI
ZIDENTYFIKOWANEGO
RYZYKA
Wybranie odpowiedniej metody zarządzania ryzykiem wymaga rzetelnego podejścia
do określenia jego przyczyn oraz skutków. W opisie ryzyka dokonanym na etapie identyfikacji
każdemu z zagrożeń została przyporządkowana przyczyna oraz skutek. Jednak pogłębiona
analiza ryzyka wymaga wypunktowania wszystkich oddziaływań. Zaniechanie tego kroku
uniemożliwi dalsze prawidłowe przeprowadzenie procesu, a w szczególności może
negatywnie wpłynąć na dokonanie punktowej oceny ryzyka, dlatego analizując skutki ryzyka
należy zwrócić szczególną uwagę na następujące kwestie:
 Wpływ na przestrzeganie prawa przez urząd;
 Wpływ na zdrowie/życie pracowników;
 Straty finansowe;
 Wpływ na wizerunek urzędu;
 Wpływ na standard świadczenia usług.
ANALIZA POD KĄTEM IDENTYFIKACJI
RYZYKA KRZYŻOWEGO
Nietrudno sobie wyobrazić, że pewne ryzyka mogą mieć wpływ na różne działania
podejmowane przez urząd lub powtarzać się w jej poszczególnych jednostkach. Np.: Brak
planu przywrócenia działalności w razie nieprzewidzianego poważnego zdarzenia –
kierownicy poszczególnych szczebli mogą podjąć we własnym zakresie kroki służące
12

14. stworzeniu takiego planu dla własnej jednostki. Jednak w tym przypadku nie chodzi
o indywidualne działania, wymagane jest wdrożenie tego rodzaju planu dla całego urzędu.
W związku z tym bardzo ważne jest, aby na etapie analizy ryzyka zidentyfikować takie
niebezpieczeństwo i przygotować kompleksowy plan działania, który uwzględni zagrożenie
w różnych aspektach działalności urzędu.
RYZYKO NIEWIELKIE
A RYZYKO ISTOTNE
Odróżnianie ryzyka niewielkiego od istotnego jest dokonywane przede wszystkim poprzez
Punktową ocenę poziomu ryzyka, która stanowi kolejny etap procesu zarządzania ryzykiem.
Jednak prowadząc szczegółową analizę ryzyka warto zebrać już na tym etapie odpowiednie
informacje dotyczące zidentyfikowanego ryzyka, które ułatwią dalsze kroki.
W tym celu można posłużyć się tabelą.
Relacja pomiędzy
Przyczyna
Funkcjonujące mechanizmy oddziaływaniem,
Ryzyko i skutek
kontrolne ryzyka prawdopodobieństwem oraz
ryzyka
mechanizmami kontrolnymi
Przyczyny Wewnętrzne mechanizmy Chociaż dokładne określenie
ryzyka: kontrolne stanowią część kultury oddziaływania ryzyka, czyli możliwych
-… urzędu, ułatwiając szybką reakcję skutków, oraz prawdopodobieństwa
-… na ryzyko zagrażające realizacji
jego wystąpienia jest dokonywane
-… celów. Opierając się na
standardach kontroli zarządczej dopiero w kolejnym etapie, to jednak
można wyodrębnić następujące już teraz możliwe staje się określenie
mechanizmy kontrolne: wpływu mechanizmów kontrolnych.
 dokumentacja systemu 1. Czy mechanizmy kontroli
kontroli zarządczej rzeczywiście istnieją?
(np. procedury wewnętrzne, 2. Czy mechanizmy kontroli
Skutki instrukcje, wytyczne,
są adekwatne, skuteczne
ryzyka: dokumenty określające
-… zakres obowiązków); i efektywne?
-…  nadzór; 3. Czy zmniejszają
-…  ciągłość działalności prawdopodobieństwo
(np. plan działania wystąpienia ryzyka?
w sytuacjach 4. Czy mogą przyczynić się
nadzwyczajnych i do złagodzenia skutków
kryzysowych, plany urlopów
w przypadku wystąpienia
pracowników, system
szkoleń, przekazywanie ryzyka?
wiedzy między
13

15. pracownikami); Istniejące mechanizmy kontrolne
 ochrona zasobów wpływają na ocenę poziomu ryzyka,
(np. ochrona fizyczna czyniąc je mniej istotnym.
jednostki i jej pracowników,
Brak takich mechanizmów zwiększa
ochrona zasobów
materialnych, ochrona poziom ryzyka. Jednak nie zawsze
środków finansowych, mechanizmy kontroli muszą być
ochrona informacji); sformalizowane.
 operacje finansowe i Brak procedur ≠ brak mechanizmów
gospodarcze (np. Nie bez znaczenia w tym kontekście
dokumentacja operacji jest również określenie poziomu
finansowych i
ryzyka, które urząd może ponieść tzw.
gospodarczych, podział
kluczowych obowiązków, apetytu na ryzyko. Im niższy poziom
autoryzacja i weryfikacja akceptacji danego ryzyka, tym wyższy
operacji); priorytet powinien zostać nadany
 systemy informatyczne (np. postępowaniu wobec niego. Z drugiej
system przydzielania i strony uznanie ryzyka za
ograniczania dostępu, dopuszczalne ze względu na koszty
podział obowiązków, jego ograniczania bądź postrzeganie
mechanizmy samokontroli ryzyka jako nadchodzącej szansy
systemu). może skutkować przekonaniem
o konieczności ograniczenia
wewnętrznych mechanizmów
kontrolnych.
RODZAJE I KATEGORIE
RYZYKA
Ryzyko może mieć charakter strategiczny lub operacyjny.
Ryzyko strategiczne wpływa na podstawy funkcjonowania urzędu. Zarządzanie nim jest
przede wszystkim zadaniem kierownika jednostki we współdziałaniu z innymi pracownikami
na kluczowych stanowiskach. Przykładowe kategorie ryzyka strategicznego: ekonomiczne,
legislacyjne, polityczne, społeczne, środowiskowe, technologiczne.
Ryzyko operacyjne jest natomiast elementem codziennej pracy całego personelu.
W związku z tym nie jest z góry określone, że zarządzanie nim należy do zadań kierownika
jednostki. Przykładowe kategorie ryzyka operacyjnego: finansowe, fizyczne (zagrożenia dla
budynków, sprzętu itp.), prawne, środowiskowe, technologiczne, zawodowe.
Odpowiednie wyodrębnienie rodzaju i kategorii ryzyka ułatwi na dalszym etapie kwestię
określenia jego właściciela.
14

16. PUNKTOWA OCENA RYZYKA
Punktowa ocena ryzyka jest kolejnym, pogłębionym etapem jego analizy, który
ma na celu lepsze zrozumienie wcześniej zidentyfikowanych ryzyk. Dostarcza informacji,
pozwalających na uszeregowanie ryzyk oraz tym samym pomaga w podjęcie decyzji,
dotyczących sposobów postępowania z nimi.
Ryzyko ocenia się, biorąc pod uwagę:
1. Prawdopodobieństwo jego wystąpienia oraz
2. jego oddziaływanie na urząd w razie wystąpienia (skutek).
Zarówno prawdopodobieństwo, jak i skutek oceniamy, wykorzystując skale punktowe
(najczęściej stosuje się skale 3-stopniowe, 4-stopniowe i 5-stopniowe). Niezwykle istotne
jest, aby przed oceną punktową wypracować jednolite dla całego urzędu definicje
prawdopodobieństwa oraz poziomu oddziaływania. Należy także pamiętać o tym,
że punktową analizę ryzyka przeprowadzamy, biorąc pod uwagę istniejące w urzędzie
mechanizmy kontrolne.
Tabela punktowa oddziaływania ryzyka
KRYTERIA
Liczba Finansowe
Opis Ochrona zdrowia
punktów (strata Organizacyjne Reputacja
i bezpieczeństwa
finansowa)
Doniesienia
Bardzo Powyżej 100 Brak realizacji
5 Utrata życia prasowe w całym
duże tys. PLN kluczowych celów
kraju
Informacje w
10 tys. PLN- Brak realizacji Poważne
4 Duże mediach
100 tys. PLN kluczowego celu obrażenia
ogólnokrajowych
Informacje w
1 tys. PLN- 10 Zakłócenia w mediach
3 Średnie Pewne obrażenia
tys. PLN działalności regionalnych i
lokalnych
Niewielkie Ograniczone
100 PLN- 1 Niewielkie
2 Małe zakłócenia w informacje w
tys. PLN obrażenia
działalności mediach lokalnych
Krótkotrwałe Ubogie informacje
Nieznac
1 Do 100 PLN zakłócenia w Małe obrażenia w mediach
zne
działalności lokalnych
15

17. Tabela punktowa prawdopodobieństwa wystąpienia ryzyka
Liczba punktów 1 2 3 4 5
Mało Prawie
Opis Rzadkie Średnie Prawdopodobne
prawdopodobne pewne
Prawdopodobieństwo 0-20% 20-40% 40-60% 60-80% 80-100%
MATRYCA RYZYKA
Nakładając na siebie wymiar oddziaływania oraz wymiar prawdopodobieństwa, uzyskujemy
matrycę ryzyka. Każdemu zidentyfikowanemu ryzyku w urzędzie odpowiada jedno pole
na matrycy ryzyka. Istotność danego ryzyka uzyskujemy mnożąc punktową ocenę
prawdopodobieństwa oraz skutku2.
Skutek
Bardzo duży 5 10 15 20 25
Duży 4 8 12 16 20
Średni 3 6 9 12 15
Mały 2 4 6 8 10
Nieznaczny 1 2 3 4 5
Mało Prawie
Rzadkie Średnie Prawdopodobne Prawdopodobieństwo
prawdopodobne pewne
Matryca ryzyka jest podstawą do ustalenia hierarchii (ewentualnych) działań, mających
na celu jego zmniejszenie3. Kierownictwo urzędu może przyjąć na przykład, że ryzyka
ocenione najniżej (pola zielone) nie wymagają dodatkowych działań, ryzyka średnie (pola
żółte) wymagają dodatkowego monitoringu, natomiast ryzyka wysokie (pola czerwone)
wymagają podjęcia dodatkowych działań.
2
Kierownictwo urzędu może jednak ustalić inną metodologię, która na przykład przykładać będzie większą
wagę do oceny skutku (w tej sytuacji punktową ocenę skutku mnożymy przez wyznaczony wcześniej
współczynnik np. 1,5).
3
Możliwe działania opisane zostały w dalszej części opracowania, dotyczącej zarządzania ryzykiem.
16

18. MAPA RYZYKA
Wykorzystując indywidualne oceny poszczególnych ryzyk możemy stworzyć mapę ryzyka.
Obrazuje ona wszystkie ryzyka, zidentyfikowane w danym urzędzie lub komórce
organizacyjnej. Jednocześnie umożliwia ustalenia „progów tolerancji” dla zidentyfikowanych
ryzyk.
Mapa ryzyka
6
5 Ryzyko C
4 Ryzyko B
Skutek
3 Ryzyko E
2 Ryzyko D
1 Ryzyko A
0
0 1 2 3 4 5 6
Prawdopodobieństwo
Na powyższym wykresie zaznaczone zostały ryzyka zidentyfikowane dla danego urzędu.
Wykorzystując mapę ryzyka może określić:
 poziomy akceptowanego ryzyka dla kategorii prawdopodobieństwa oraz kategorii
skutku (na przykładzie zaznaczone dwoma pomarańczowymi prostymi4) lub
 poziom akceptowanego ryzyka dla kategorii istotności, rozumianej jako iloczyn
punktowej oceny prawdopodobieństwa oraz skutku (na przykładzie zaznaczony
czerwoną krzywą)5.
Dla zaprezentowanego przykładu jedynie Ryzyko A nie wymaga podjęcia dodatkowych
działań (gdyż znajduje się zarówno poniżej krzywej obrazującej istotność, jak
i spełnia minimalne wymagania wyznaczone dla kategorii skutku i prawdopodobieństwa ).
Jednocześnie, im ryzyko znajduje się bliżej prawego górnego rogu wykresu, tym jest
poważniejsze i tym pilniej wymaga podjęcia działań je ograniczających (w zaprezentowanym
przykładzie najpoważniejszym ryzykiem jest Ryzyko C).
4
Na przykładzie przyjęto, że akceptowany poziom ryzyka zarówno dla kategorii prawdopodobieństwa, jak
i kategorii wynosi 2.
5
Na przykładzie przyjęto, że akceptowany poziom ryzyka dla kategorii istotność wynosi 4. Krzywą możemy
uzyskać wykorzystując funkcję y=4/x, gdzie y to ocena skutku, x natomiast ocena prawdopodobieństwa.
17

19. REJESTR RYZYKA
Rejestr ryzyka jest dokumentem podsumowującym, w którym umieszczamy informacje
dotyczące wszystkich zidentyfikowanych zagrożeń. Musi on być aktualizowany podczas
wszystkich kroków procesu zarządzania ryzykiem. Aktualizacja dokumentu powinna
odbywać się regularnie, co najmniej raz w roku, tak, aby zarządzający ryzykiem mogli
porównać stan obecny z poprzednim. Rejestr ryzyka może być prowadzony dla pojedynczego
projektu, usługi lub działalności, a także dla całego urzędu.
PORADA: Podczas opracowywania rejestru ryzyka warto przed jego stworzeniem, pamiętać
o celach, jakie postawione są przed urzędem. Jest to przydatne, gdyż pozwala
to twórcom rejestru, jak i uczestnikom procesu identyfikacji ryzyka na pamiętanie o fakcie,
iż identyfikują ryzyko, które wpływa na cele urzędu.
Do sporządzenia rejestru ryzyka możliwe jest wykorzystanie poniższego szablonu. Istnieje
kilka metod sporządzania rejestru ryzyka, jednakowoż wszystkie metody posiadają kilka
wspólnych cech, które będą stanowiły trzon każdego rejestru ryzyka. Są to:
Identyfikator ryzyka – Każde ryzyko wprowadzone do rejestru powinno mieć swój
identyfikator, składający się z cyfr bądź liter.
Kategoria ryzyka – wprowadzenie kategorii ryzyka pozwala na ustrukturyzowanie rejestru
ryzyka. Kategorie powinny pochodzić ze struktury podziału ryzyka, a wyglądać mogą
następująco: strategiczne/rynkowe/ustawowe/czynniki ludzkie/polityka/siła wyższa etc.
Przyczyna ryzyka, charakter, skutek – w procesie identyfikacji ryzyka pozycja to sprowadza
się do jednoznacznego i jasnego określenia danego ryzyka. Przyczyna ryzyka opisuje źródło
ryzyka, tzn. wydarzenie lub sytuację, która je wyzwala. Charakter ryzyka opisuje rodzaj
zdarzenia w kategoriach zagrożenia lub okazji. Efekt ryzyka jest opisem potencjalnego
wpływu danego ryzyka na rozważane przedsięwzięcie w sytuacji, gdyby ryzyko się
zmaterializowało. Przykład: gwóźdź jest przyczyną, dziura w oponie jest zmaterializowanym
zagrożeniem, a spóźnienie na spotkanie jest efektem.
Punktowa ocena ryzyka – wartość, która została określona dla danego ryzyka przy
opracowywaniu jego punktowej oceny.
Reakcja na ryzyko – opis działań i w miarę możliwości termin ich podjęcia.
Ryzyko rezydualne – Nawet mimo podjęcia działań neutralizujących ryzyko, nie uda nam się
go zlikwidować. Ryzyko, które powstaje w wyniku takiej sytuacji nazywamy rezydualnym.
Właściciel ryzyka – konkretna osoba odpowiedzialna za zarządzanie i kontrolę wszystkich
aspektów danego ryzyka.
18

20. SZABLON REJESTRU RYZYKA
Punktowa
Identyfikator Kategoria Przyczyna ryzyka, Reakcja Ryzyko
ocena Właściciel ryzyka
ryzyka ryzyka charakter, skutek na ryzyko rezydualne
ryzyka
DX1 Zasoby Opis zgodny 20 Dyrektor
ludzkie z analizą departamentu X
przeprowadzoną
w pkt. 2 opracowania
DZ1 Sprzęt i Opis zgodny 16 Naczelnik wydziału
informacja z analizą Z w departamencie X
przeprowadzoną
w pkt. 2 opracowania
Dodatkowo, w zależności od podejścia zarządzających w ryzykiem w urzędzie, rejestr ryzyka
może zostać wzbogacony o kolejne kolumny. Kolejność kolumn w powyższym szablonie, jak
i kolumn dodawanych do niego, powinna odzwierciedlać sekwencję, w jakiej informacje są
pozyskiwane.
Poniższe elementy rejestru ryzyka nie znajdują odzwierciedlenia w tym opracowaniu, lecz
mogą być przydatne przy korzystaniu z innych źródeł traktujących o zarządzaniu ryzykiem.
Prawdopodobieństwo – prawdopodobieństwo wystąpienia ryzyka, powinno być
oszacowane w oparciu o opisy zawarte w tabelach planu zarządzania ryzykiem.
Spodziewany skutek – skutek powinien być oszacowany w oparciu o opisy zawarte tabelach
planu zarządzania ryzykiem. Istnieje możliwość rozbicia skutku na skutek przed
i po zastosowaniu planu zarządzania ryzykiem.
Kategoria reakcji na ryzyko – jedna z kategorii zdefiniowanych w planie zarządzania
ryzykiem.
Bliskość – w tej kolumnie powinno zawierać się określenie czasu, w którym spodziewana jest
materializacja ryzyka.
Status ryzyka – wyróżniamy dwa statusy: aktywne, czyli takie, które jest stale obecne
i zamknięte, czyli ryzyko, które już się nie wydarzy.
Właściciel reakcji związanych z ryzykiem – osoba odpowiedzialna za reakcję lub wiele
różnych reakcji w stosunku do wybranego ryzyka lub ich grupy. Osoba taka wspiera
właściciela ryzyka i otrzymuje od niego wytyczne.
19

21. ZARZĄDZANIE RYZYKIEM
Proces zarządzania ryzykiem
Podjęcie działań Zapewnianie
zmniejszających ryzyko skuteczności Monitoring
mechanizmów i raportowanie ryzyka
(w razie potrzeby) kontrolnych w urzędzie
PODEJMOWANIE DECYZJI
I DZIAŁAŃ
Zapobiegawcze
Tolerowanie
Korygujące
Zmniejszanie
Podejmowanie
Nakazowe
decyzji i działań
Przeniesienie
Wykrywające
Likwidacja
Reakcja na ryzyko dotyczy ryzyk wrażliwych dla urzędu lub będących w szczególnym
zainteresowaniu kierownictwa. Powinny one być utrzymywane na określonym przez system
zarządzania tzw. akceptowalnym poziomie ryzyka – osiągnąć to można poprzez następujące
czynności:
20

22. Akceptowalny poziom ryzyka i reakcja na występujące ryzyko uzależniona jest od:
 apetytu na ryzyko (przykładowo ryzyko oceniane jako mało istotne może być
przez jednostkę tolerowane)
 relacji kosztów reakcji na ryzyko do korzyści z niej uzyskanych (koszty
podejmowanych działań nie powinny być wyższe niż spodziewane korzyści
z tych działań)
 zakresu kontroli ryzyka przez Urząd
 odpowiedzialności za efekty wystąpienia ryzyka (ubezpieczenie)
i współdzielenie go.
Typ działania Wskazówki
Ma miejsce wtedy, gdy:
 narażenie na ryzyko uznajemy za dopuszczalne (jego ewentualny skutek
niski bądź mało istotny),
 wywarcie wpływu na ryzyko jest ograniczone
 koszt reakcji na ryzyko przewyższyłby ewentualnie odniesione korzyści
TOLEROWANIE tego działania
Decyzja:
Tolerujemy ryzyko
Rekomenduje się:
W celu lepszego reagowania na skutki powstałe przez urzeczywistnienie ryzyka
(które zdecydowaliśmy się tolerować) można sporządzić plany awaryjne.
Idea: ograniczenie możliwości urzeczywistnienia się niepożądanego wyniku.
Decyzja:
Chcąc, aby niepożądane zjawisko nie wystąpiło, wdrażamy zapobiegawcze
punkty kontrolne
ZAPOBIEGAWCZE Przykłady:
 rozdział obowiązków, gdzie żadna osoba nie jest upoważniona
do działania bez zgody innej (np. inna osoba zatwierdza płatność
faktury, inna zamawia towary);
 ograniczenie wykonywania czynności do osób
upoważnionych (np. do udzielanie odpowiedzi na pytania mediów tylko
ZMNIEJSZANIE przez odpowiednio przeszkolone i uprawnione osoby).
Idea: powrót do utraconego stanu, w razie poniesienia straty bądź szkody
w wyniku urzeczywistnienia się ryzyka
Decyzja:
Wdrażanie działań korygujących niepożądane wyniki, które stały się
rzeczywistością.
Przykłady:
KORYGUJĄCE
 sformułowanie warunków umownych w sposób umożliwiający
odzyskanie nadpłaty;
 ubezpieczenie (ułatwia odzyskanie równowagi finansowej).
Rekomenduje się:
Tworzenie awaryjnych planów działania, w celu utrzymania ciągłości działania
Urzędu i szybkiego powrotu do poprzedniego stanu po urzeczywistnieniu się
ryzyka.
21

23. Idea: osiągnięcie konkretnego wyniku, aby uniknąć wystąpienia niepożądanego
zdarzenia . Stosuje się zwykle w sytuacji zagrożenia zdrowia lub bezpieczeństwa
Decyzja: stosowanie nakazowych punktów kontrolnych
NAKAZOWE
Przykłady:
 dodanie wymogu noszenia odzieży ochronnej w trakcie wykonywania
niebezpiecznych obowiązków;
 przeszkolenie personelu z zakresu koniecznych umiejętności przed
pozwoleniem na pracę bez nadzoru.
Idea: identyfikowanie okazji do powstania niepożądanych wyników, które już się
pojawiły.
Ich efekt występuje, z definicji, „po zdarzeniu”, więc są odpowiednie tylko
wtedy, gdy możliwe jest zaakceptowanie poniesionej straty lub szkody.
WYKRYWAJĄCE
Przykłady:
 sprawdzenia stanów zapasów lub aktywów;
 uzgodnienie stanu kont;
 „przeglądy powdrożeniowe”;
 działania monitoringowe, wykrywające zmiany wymagające reakcji.
Opcja stosowana zazwyczaj przy ryzykach typu finansowego lub majątkowego.
Przeniesienie ryzyka ma miejsce poprzez:
 wykup konwencjonalnego ubezpieczenia
 zapłata stronie trzeciej za przejęcie ryzyka w inny sposób.
Rekomenduje się:
PRZENIESIENIE Przenieść ryzyko można zwłaszcza gdy:
 celem jest zmniejszenie narażenia urzędu na ryzyko
 inna organizacja ma większą zdolność do efektywnego zarządzania
ryzykiem.
Uwaga!
Niektóre rodzaje ryzyka nie są (w pełni) możliwe do przeniesienia, np. utrata
reputacji.
Idea: zmniejszenie lub sprowadzenie do akceptowalnych poziomów poprzez
zaprzestanie ryzykownych działań lub zlikwidowanie ryzyka
Rekomenduje się:
Stosowanie szczególnie przy zarządzaniu projektem, gdy przewidywany stosunek
LIKWIDACJA kosztów do korzyści jest zagrożony.
Uwaga!
Stosowanie opcji zakończenia działalności jest poważnie ograniczone w sektorze
rządowym. Niektóre czynności są realizowane w sektorze rządowym, właśnie
z uwagi na duże ryzyko z nimi związane.

22

24. 
 MECHANIZMY KONTROLNE
Umożliwiają wykonanie zaplanowanych celów i zadań oraz stanowią odpowiedź
na ryzyka. Dlatego też powinny występować na wszystkich szczeblach zarządzania i odnosić
się do wyników procesu analizy ryzyka.
Podstawowe mechanizmy kontrolne (katalog otwarty):
1. Dokumentowanie systemu kontroli zarządczej
Procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków,
uprawnień i odpowiedzialności pracowników. Sporządzane w formie pisemnej, spójnej
i dostępnej dla wszystkich osób, dla których jest niezbędna.
Uwaga!
Szczególnie powinny być dokumentowane i archiwizowane operacje krytyczne dla
funkcjonowania jednostki, w tym operacje gospodarcze i finansowe
Nie warte dokumentowania są czynności, którym przypisane jest niewielkie ryzyko
(np. przekazywanie informacji w ramach komórki organizacyjnej).
2. Nadzór
Służy wykonaniu celów oraz oszczędnej, efektywnej i skutecznej realizacji zadań.
Mechanizm kontrolny polega na ukształtowaniu obowiązków osób kierujących komórkami
organizacyjnym i ustanowieniu potrzebnych mechanizmów w stosunkach pomiędzy
kierownikiem i podległymi mu pracownikami oraz pomiędzy pracownikami różnych szczebli
(kierującym i kierowanymi lub nadzorującym i nadzorowanymi).
Komunikacja w obu kierunkach na linii:
 wykonawczej (nadzorujący-nadzorowany);
 wykonawczo-kierowniczej (nadzorujący-kierownictwo).
W drodze nadzoru wykrywa się i eliminuje błędy, nieporozumienia i nieprawidłową praktykę
oraz zapobiega się ich powtarzaniu w przyszłości..
3. Ciągłość działalności
Zapewnienie istnienia mechanizmów służących utrzymaniu ciągłości działalności Urzędu.
Kluczową role odgrywają następujące elementy:
 zarządzanie zasobami ludzkimi (polityka kadrowa) – identyfikacja
pracowników, którzy z uwagi na swoją szczególną wiedzę, mają kluczowe
znaczenie dla prawidłowej działalności jednostki;
23

25.  uruchomienie odpowiednich środków zaradczych np. uruchomienie szkolenia
nowozatrudnionych, przekazywanie wiedzy przez bardziej doświadczonych
pracowników;
 odpowiednie zasady udzielania urlopów oraz sporządzanie planów urlopów
pracowników, w tym kadry kierowniczej.
4. Ochrona zasobów
Obejmuje trzy aspekty:
 ochronę fizyczną jednostki i jej pracowników,
 ochronę zasobów materialnych, ochronę środków finansowych oraz
 ochronę informacji.
Rekomenduje się:
 zastosowanie analizy ryzyka w celu zidentyfikowania zasobów o znaczeniu
krytycznym dla funkcjonowania jednostki;
 określenie granic odpowiedzialności materialnej za ochronę i podjęcie działań
zabezpieczających;
 dokonywanie okresowych przeglądów bezpieczeństwa;
 zwrócenie uwagi an inwentaryzację (narzędzia ochrony zasobów
materialnych);
 objęcie ochroną informacji wytwarzanych i przechowywanych w każdej
formie, również zapisanej na nośnikach elektronicznych.
Uwaga!
Dostęp do zasobów Urzędu powinny mieć JEDYNIE upoważnione osoby.
Wymagana jest analiza ryzyka związanego z utratą chronionego dobra i istnieniem
zabezpieczeń.
5. Szczegółowe mechanizmy kontroli dotyczące operacji finansowych
i gospodarczych
Zachowywanie dokumentacji oraz jej prawidłowe zabezpieczenie przed osobami
niepowołanymi i nieautoryzowanymi zmianami. Powinny istnieć następujące mechanizmy
kontroli dotyczące operacji finansowych i gospodarczych:
 pełne dokumentowanie i rejestrowanie operacji finansowych i gospodarczych;
 autoryzacja operacji finansowych przez kierownika jednostki lub osoby przez
niego upoważnione;
 podział kluczowych obowiązków;
 weryfikacja operacji finansowych i gospodarczych przed i po realizacji.
24

26. 6. Mechanizmy kontroli dotyczące systemów informatycznych
Zabezpieczenie informacji i dokumentów ujętych w systemach informatycznych.
Uwzględniając fakt, iż informację elektroniczną łatwiej jest powielić i rozpowszechnić.
Rekomenduje się:
 opracowanie odpowiednich procedur i mechanizmów zabezpieczających dane
(dotyczących bezpieczeństwa systemów informatycznych);
 zbudowanie systemu przydzielania i ograniczania dostępu do systemu
informatycznego i późniejsze zbadanie jego szczelności;
 zabezpieczenie się przed nieuprawnionymi lub niezatwierdzonymi
modyfikacjami systemu;
 dokonanie podziału obowiązków pomiędzy pracowników (uniknięcie
wykonywania kluczowych operacji przez jednego pracownika);
 wprowadzenie mechanizmu samokontroli systemu.
 MONITOROWANIE
Wraz z działaniami związanymi z zarządzaniem ryzykiem ustanawia się mechanizmy, które
umożliwiają monitorowanie wdrożonych rozwiązań i dokonywanie oceny
ich efektywności. Jak również pozwalają poszukać odpowiedzi na następujące pytania:
 czy system zarządzania ryzykiem spełnia założone cele?
 czy polityki i procedury ustanowione w jego ramach są nadal aktualne
i wydajne?
MONITORING RYZYKA
Monitorowanie Uzyskanie zapewnienia
systemu kontroli Samoocena Audyt wewnętrzny o stanie kontroli
zarządczej zarządczej
25

27. MONITOROWANIE SYSTEMU
KONTROLI ZARZĄDCZEJ
Każdy element systemu kontroli zarządczej powinien być sprawdzany pod kątem swojej
skuteczności. Za proces ten odpowiedzialne jest ścisłe kierownictwo, jak również inne osoby
zarządzające Komorkami organizacyjnymi w Urzędzie.
Szczególną uwagę należy przykładać do zaleceń i opinii dotyczących niedoskonałości systemu
w Urzędzie, kierowanych przez organy i jednostki nadzorujące lub kontrolne. Ważnym
elementem monitorowania poszczególnych elementów kontroli zarządczej powinno być
również wskazywanie słabości systemu przez pracowników Urzędu (np. podczas szkoleń
i spotkań).
Efektem czynności kontrolnych powinno być ciągłe udoskonalanie procesu w Urzędzie
poprzez identyfikowanie problemów i naprawianie ich, aby zapobiec negatywnym
zdarzeniom w przyszłości.
SAMOOCENA
Zakres samooceny kontroli zarządczej może dotyczyć:
 poszczególnych procesów zachodzących w jednostce, a także
 poszczególnych elementów kontroli zarządczej.
W procesie samooceny uczestniczą kierownicy oraz pracownicy jednostki bezpośrednio
zaangażowani w daną działalność.
Uwaga!
 Samoocena powinna być ujęta w ramy procesu odrębnego od bieżącej
działalności i udokumentowana.
 Warto przeprowadzać ja przynajmniej raz w roku.
AUDYT WEWNĘTRZNY
Ustawa o finansach publicznych gwarantuje przeprowadzenie obiektywnej i niezależnej
oceny kontroli zarządczej przez audytora wewnętrznego.
Czynności audytora określone są w rocznym planie audytu, opracowanym na podstawie
analizy ryzyka. Podczas przeprowadzenia audytu oceniane są elementy kontroli zarządczej
i stwierdzana ich zgodność bądź niezgodność z normami.
26

28. Wszystkie wyszczególnione przez audytora wady powinny być jak najszybciej
zakomunikowane pracownikom bezpośrednio odpowiedzialnym za dane zadanie oraz
ich bezpośrednim przełożonym.
Uwaga!
Poważne słabości powinno się przekazać niezwłocznie najwyższemu kierownictwu, któremu
podlega audytor.
UZYSKANIE ZAPEWNIENIA
O STANIE KONTROLI ZARZĄDCZEJ
Źródłem uzyskania zapewnienia o stanie kz przez kierownika jednostki są wyniki:
 monitorowania;
 samooceny;
 przeprowadzonych audytów i kontroli.
Uwaga!
Zaleca się coroczne potwierdzenie uzyskania powyższego zapewnienia w formie
oświadczenia o stanie kontroli zarządczej za poprzedni rok.
Rekomenduje się:
 regularne raportowanie nt. ryzyka i postępów w realizacji planu radzenia sobie
z ryzykiem,
 ocenianie funkcjonowania zarządzania ryzykiem przy wykorzystaniu ustalonych wcześniej
(i okresowo przeglądanych) wskaźników – spełnianie przez system zarządzania ryzykiem
założonych celów,
 dokonywanie przeglądu zasad zarządzania ryzykiem, uwzględniając zmiany zachodzące
w urzędzie i jego otoczeniu.
27