Zarzdzanie ryzykiem element kontroli zarzdczej Irena Sypek audytor

Zarządzanie ryzykiem - element kontroli zarządczej Irena Sypek audytor wewnętrzny 1

Definicja kontroli zarządczej (art. 68 ustawy o finansach publicznych): Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. Celem kontroli zarządczej jest zapewnienie w szczególności: 1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi; 2) skuteczności i efektywności działania; 3) wiarygodności sprawozdań; 4) ochrony zasobów; 5) przestrzegania i promowania zasad etycznego postępowania; 6) efektywności i skuteczności przepływu informacji; 7) zarządzania ryzykiem. 2

art. 69 i 70 ustawy o finansach publicznych �Zapewnienie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej należy do obowiązków kierownika jednostki. �Minister kierujący działem może zobowiązać kierownika jednostki w dziale do składania oświadczenia o stanie kontroli zarządczej za poprzedni rok w zakresie kierowanej przez niego jednostki. �Oświadczenie o stanie kontroli zarządczej podlega publikacji w Biuletynie Informacji Publicznej. 3

Komunikat Ministra Finansów nr 23 z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych. Elementy kontroli zarządczej: 1) środowisko wewnętrzne, 2) cele i zarządzanie ryzykiem, 3) mechanizmy kontroli, 4) informacja i komunikacja, 5) monitorowanie i ocena. 4

Ad. 1 Środowisko wewnętrzne Grupa standardów dotycząca: �przestrzegania wartości etycznych, �kompetencji zawodowych pracowników, podnoszenia kwalifikacji, �struktury organizacyjnej, zakresów zadań komórek, zakresów czynności pracowników, �delegowania uprawnień: pełnomocnictwa, upoważnienia. 5

Ad. 2 Cele i zarządzanie ryzykiem Grupa standardów dotycząca: � misji jednostki, � jej celów i zadań, � identyfikacji ryzyka, � analizy ryzyka, � reakcji na ryzyko. 6

Ad. 3 Mechanizmy kontroli Grupa standardów dotycząca: � dokumentowania kontroli zarządczej (np. procedury, zarządzenia, instrukcje, zakresy czynności), � nadzoru nad realizacją zadań, � ciągłości działalności (np. system zastępstw), � ochrony zasobów, � mechanizmów kontroli dotyczących operacji finansowych i gospodarczych (np. autoryzacja, podział obowiązków), � mechanizmów kontroli dotyczących systemów informatycznych. 7

Ad. 4 Informacja i komunikacja Grupa standardów dotycząca: �bieżącej informacji, �komunikacji wewnętrznej (komunikacja pionowa i pozioma, obieg dokumentów, dostęp do aktów prawnych, narady, strona internetowa, pismo Forum Uczelniane), �komunikacji zewnętrznej (sprawozdawczość, współpraca z ministerstwami, udzielanie informacji o jednostce). 8

Ad. 5 Monitorowanie i ocena Grupa standardów dotycząca: �monitorowania systemu kontroli zarządczej, �samooceny kontroli zarządczej (ankieta), �audytu wewnętrznego (zadania zapewniające), �zapewnienia o stanie kontroli zarządczej (składanie oświadczenia w oparciu o wyniki samooceny, audytu wewnętrznego i kontroli wewnętrznych i zewnętrznych) 9

Cele działalności i zarządzanie ryzykiem 10

Cele działalności jednostki �Cele działalności jednostki mogą być określone w następujących aktach prawnych i dokumentach: ustawa, statut, strategia rozwoju, plany działalności itp. �Definiowanie celów może być dokonywane z wykorzystaniem metody SMART: S - konkretne/specyficzne (specific), M – mierzalne (measurable), A – osiągalne/realne (achievable), R – istotne (relevant) T – określone w czasie (timly defined) 11

Metody ustalania celów i zadań �Metoda hierarchiczna – w oparciu o regulamin organizacyjny �Metoda celów biznesowych – np. w oparciu o art. 11 ustawy z dnia 20 lipca 2018 r. Prawo o szkolnictwie wyższym i nauce (podstawowe zadania uczelni) 12

Definicje: �Ryzyko – możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Może mieć charakter negatywnego zagrożenia lub pozytywnej możliwości. Ryzyko jest mierzone wpływem (siłą oddziaływania / skutkiem) oraz prawdopodobieństwem jego wystąpienia. (Słabość KZ to nie ryzyko) �Przyczyna / czynnik ryzyka – zdarzenie, działanie, zaniechanie, które może spowodować wystąpienie ryzyka. (np. słabości KZ) 13

Wewnętrzne akty prawne ZUT: �Zarządzenie nr 58 Rektora ZUT w Szczecinie z dnia 5 lipca 2010 r. w sprawie wprowadzenia „Polityki zarządzania ryzykiem w ZUT w Szczecinie” �Zarządzenie nr 59 Rektora ZUT w Szczecinie z dnia 5 lipca 2010 r. w sprawie wprowadzenia „Procedury zarządzania ryzykiem w ZUT w Szczecinie” (ze zmianą) 14

Identyfikacja i opis ryzyka: �Identyfikacji ryzyka dokonują: Komitet ds. ryzyka i wskazani pracownicy jednostki, którzy dokonują samooceny ryzyka (Profile ryzyka), �W Profilu ryzyka umieszcza się m. in. następujące informacje: cel/zadanie, ryzyko, przyczyny, skutki, stosowane mechanizmy kontrolne, propozycje usprawnień. 15

Metody identyfikacji ryzyka �analiza środowiskowa: środowisko fizyczne (lokalizacja, obszar, dostęp), środowisko ekonomiczne (finanse, gospodarka, stopy procentowe), regulacje rządowe (prawo, polityka), konkurencja, klienci, dostawy/wykonawcy, technologia, � analiza zagrożeń, metoda umożliwiająca identyfikację ryzyk na jakie narażone są zasoby Uczelni, takie jak: środki trwałe, aktywa finansowe, zasoby ludzkie, wartości niematerialne i prawne. �scenariusze zagrożeń, metoda identyfikacji ryzyka oszustwa i/lub zagrożenia, katastrofy, nieszczęścia (błędy, omyłki, opóźnienia, oszustwa). 16

Analiza (ocena) ryzyka �Metoda: w Uczelni stosuje się punktową ocenę ryzyka, zalecaną przez Ministerstwo Finansów. �Podczas oceny ryzyka, uwzględniania się prawdopodobieństwo jego wystąpienia (skala od 1 do 5 punktów; prawdopodobieństwo rzadkie, mało prawdopodobne, średnie, prawdopodobne i prawie pewne), jak i jego oddziaływanie / skutek (skala od 1 do 5 punktów; skutki: katastrofalne, poważne, średnie, małe, nieznaczne). �Ocenę ryzyka umieszcza się w Profilach ryzyka oraz w matrycy punktowej oceny ryzyka. 17

Analiza (ocena) ryzyka c. d. �Ocenę ryzyka przeprowadza Komitet ds. ryzyka. �Właścicielem ryzyka jest rektor albo kierownik wyższego szczebla (prorektor, dziekan, kierownik jednostki pozawydziałowej, kanclerz, kwestor). �Na podstawie wyników przeprowadzonej identyfikacji i oceny ryzyka sporządza się rejestr ryzyka. 18

Reakcja na ryzyko Decyzje w sprawie odpowiedzi na ryzyko podejmują, w zależności od rodzaju ryzyka i zakresu udzielonych upoważnień i pełnomocnictw: � rektor - ryzyko strategiczne, � rektor lub kierownicy wyższego szczebla - ryzyko operacyjne. 19

Reakcja na ryzyko – sposoby: zakończenie działalności obarczonej zbyt dużym ryzykiem, � przeniesienie / transfer ryzyka (np. ubezpieczenie, przekazanie zadań firmie zewnętrznej), � zmniejszenie / redukcja ryzyka do akceptowalnego poziomu (np. poprzez ustalenie procedur postępowania i mechanizmów kontroli), � tolerowanie ryzyka i ewentualne opracowanie planów awaryjnych na przypadki urzeczywistnienia się ryzyka, � monitorowanie ryzyka. � 20

Monitorowanie ryzyka ma na celu ustalenie czy ryzyko nadal występuje, czy pojawiło się nowe ryzyko, czy prawdopodobieństwo i oddziaływanie ryzyka zmieniło się oraz czy mechanizmy kontroli są skuteczne. Monitorowaniu podlega działalność jednostki i zmiany zachodzące w środowisku zewnętrznym. Proces monitorowania ryzyka i zarządzania ryzykiem powinien ocenić czy pracownicy rozumieją i stosują obowiązujące procedury, czy stosowane są odpowiednie mechanizmy kontrolne i czy należy podjąć działania zmierzające do korekty systemu kontroli zarządczej. 21

Dziękuję za uwagę Irena Sypek audytor wewnętrzny 22