ZASADY ZARZĄDZANIA RYZYKIEM
ZASADY ZARZĄDZANIA RYZYKIEM
Rozdział I Postanowienia ogólne
§ 1
1. Ustala się zasady zarządzania ryzykiem w Uniwersytecie Przyrodniczym we Wrocławiu, zwanym dalej Uczelnią.
2. Ustalone zasady mają przyczynić się do poprawy wszystkich obszarów zarządzania Uczelnią oraz ograniczyć ewentualne negatywne skutki zdarzeń.
§ 2
1. Zasady zarządzania ryzykiem stanowią narzędzie zarządzania dla kadry kierowniczej Uczelni oraz wytyczne dla wszystkich pracowników Uczelni.
2. Zasady zarządzania ryzykiem w Uczelni określają:
1) zakres podmiotowy i odpowiedzialność osób zaangażowanych w proces zarządzania ryzykiem,
2) sposób postępowania przy identyfikowaniu i analizie ryzyka,
3) sposób dokumentowania procesu analizy ryzyka,
4) sposób postępowania ze zidentyfikowanym ryzykiem,
5) sposób monitorowania i nadzoru nad procesem zarządzania ryzykiem.
§ 3
Definicje podstawowych terminów:
1. Ryzyko — zagrożenie, prawdopodobieństwo wystąpienia zdarzeń (pozytywnych i negatywnych), które mogą mieć wpływ na organizację, osiągnięcie zamierzonych celów Uczelni lub powodują odchylenia od oczekiwanych stanów. Istnieją dwa źródła ryzyka:
- zagrożenia bezpośrednie ( zdarzenia szkodliwe), które powoduj że cele nie zostaną osiągnięte,
- szanse (zdarzenia korzystne), które dają możliwość skutecznego osiągnięcia celów, nazywane też „ryzykiem utracenia korzyści”. Oddziaływanie ryzyka to ocena punktowa przypisana do konsekwencji lub skutków ryzyka dla organizacji.
2. Czynnik ryzyka - okoliczności, stan prawny, stan faktyczny, działania, zaniechanie działań i wydarzenia zewnętrzne oraz wewnętrzne, które mogą ale nie muszą wywołać ryzyko wystąpienia nieprawidłowości. To przyczyny wystąpienia ryzyka /zagrożenia/. Czynniki ryzyka grupuje się w kategorie. Czynnikom ryzyka pogrupowanym w kategorie, należy przyporządkować określone oceny punktowe.
3. Analiza ryzyka — metoda oceny podatności procesu, systemu lub grupy systemów na czynniki ryzyka. Jej celem jest wskazanie tych obszarów gdzie ryzyko jest największe.
4. Apetyt na ryzyko — wielkość, poziom ryzyka, jaką Uczelnia jest gotowa w dowolnym czasie zaakceptować, tolerować istnienie ryzyka i jego skutki.
5. Istotność — iloczyn prawdopodobieństwa wystąpienia danego zdarzenia oraz jego wpływu (potencjalnej straty) na jednostkę organizacyjną lub Uczelnię jako całość.
6. Mapa ryzyka — dokument odzwierciedlający ocenę skutków i prawdopodobieństwa zaistnienia ryzyka
7. Mechanizm kontrolny — element systemu zarządzania, zasady określone przez przepisy prawa lub zarządzenia wysokiego kierownictwa Uczelni, (w formie pisemnej) mające ograniczyć prawdopodobieństwo wystąpienia ryzyka lub zniwelować skutki zaistniałego ryzyka.
8. Obszar działania - definiowany na poziomie strategicznym, obejmujący najczęściej kilka procesów tworzących logiczną całość i rządzący się podobnymi regułami.
9. Obszar ryzyka - to obszar, w którym występują istotne, z punktu widzenia Uczelni, czynniki ryzyka.
10. Ocena ryzyka - ewaluacja ryzyka w odniesieniu do jego oddziaływania, jeśli ryzyko wystąpi, oraz prawdopodobieństwa wystąpienia tego ryzyka. Przeprowadzana jest z zastosowaniem arkusza kalkulacyjnego.
11. Prawdopodobieństwo zaistnienia ryzyka - oszacowanie w oparciu o przeszłe zdarzenia przy założeniu, że w przyszłości nie zaistnieją w danym obszarze znaczne zmiany. Oszacowanie to ocena punktowa przypisana do prawdopodobieństwa wystąpienia ryzyka w razie braku mechanizmów kontrolnych.
12. Proces - uporządkowany logicznie ciąg czynności, działań, decyzji i uzgodnień, których efektem jest powstanie pewnej wartości dodanej w postaci dającej się określić zmiany w środowisku zewnętrznym jako efekt pracy.
13. Ryzyko nieodłączne - narażenie spowodowane określonym ryzykiem przed podjęciem jakiegokolwiek działania zapobiegawczego.
14. Ryzyko rezydualne - narażenie spowodowane określonym ryzykiem po zastosowaniu działań zapobiegawczych (mechanizmów kontrolnych) przy przyjęciu założenia, że działania te są skuteczne.
15. System kontroli — ogół zasad zaprojektowanych i wdrożonych przez kierownictwo,
obejmujących całą organizację, stanowiących spójną i logiczną całość funkcjonującą w określonym środowisku na wszystkich poziomach zarządzania, służy zwiększeniu prawdopodobieństwa zrealizowania wytyczonych celów oraz zarządzaniu ryzykiem, w tym zmniejszenia skutków, jeśli ryzyko wystąpi.
16. System zarządzania — obejmuje planowanie strategiczne, w tym określenie celów, zaplanowanie metod realizacji, analizę potrzeb, wdrożenie systemu zarządzania i kontroli, przegląd zarządzania, czyli monitoring i ocena, w tym ocena ryzyka, działania korygujące.
17. Właściciel ryzyka — konkretna osoba, której przypisano własność poszczególnych ryzyk, osoba odpowiedzialna za plany działań, ograniczenie prawdopodobieństwa wystąpienia ryzyka lub naprawę zmaterializowanego ryzyka. Osoba odpowiedzialna za zarządzanie ryzykiem, mająca kompetencje do podjęcia działań zaradczych w stosunku do obszaru, którym zarządza.
18. Zarządzanie ryzykiem — system metod i działań zmierzających do obniżenia ryzyka do poziomu akceptowalnego, przy uwzględnieniu kosztów działania oraz zabezpieczenia się w racjonalny sposób przed jego skutkami, obejmuje identyfikowanie i ocenę ryzyka oraz reagowanie na nie. Proces zarządzania ryzykiem
obejmuje ryzyko występujące we wszystkich procesach decyzyjnych i każdy szczebel zarządzania Uczelnią.
Rozdział II
ZAKRES PODMIOTOWY I ODPOWIEDZIALNOŚĆ OSÓB REALIZUJĄCYCH ZARZĄDZANIE RYZYKIEM
§ 4
Zasady zarządzania ryzykiem zostały zdefiniowane dla następujących poziomów działania w Uczelni:
1) strategicznego,
2) operacyjnego,
3) projektu.
§ 5
Zarządzanie ryzykiem w Uczelni odbywa się w dwóch odrębnych etapach:
1) Strategicznego zarządzenia ryzykiem opartego na rocznej identyfikacji i analizie ryzyka;
2) Operacyjnego zarządzania ryzykiem, stanowiącego ciągły, rutynowy element zarządzania, w tym w ramach projektów, polegający na bieżącej identyfikacji, ocenie ryzyka i podejmowaniu działań zaradczych.
2. Analiza ryzyka na poziomie strategicznym, operacyjnym i projektu obejmuje następujące etapy zarządzania ryzykiem:
1) Identyfikację ryzyka, które może oddziaływać na realizację celów Uczelni; 2)Analizę i hierarchizację ryzyka wg wpływu na osiągniecie celu;
4) Ocenę istniejących środków wykorzystywanych do utrzymania ryzyka pod kontrolą; 5)Zdefiniowanie wymaganych działań do postępowania z ryzykiem nie akceptowanym;
6) Wskazanie osób odpowiedzialnych za podjęcie działań zaradczych (właścicieli ryzyk) oraz ustalenie daty, do kiedy należy podjąć działania.
7) Monitorowanie i składanie raportów dotyczących postępów w zakresie zarządzania ryzykiem.
§ 6
Za realizację Zasad i prawidłowy przebieg procesu zarządzania ryzykiem odpowiedzialni są:
1) Kierownictwo Uczelni, tj: rektor, prorektorzy, kanclerz oraz jego zastępcy za weryfikację istotnych zagadnień dotyczących zarządzania ryzykiem na poziomie strategicznym i organizacyjnym, na które Uczelnia jest narażona, w szczególności za:
a) kształtowanie i wdrażanie zasad zarządzania ryzykiem oraz nadzór nad nimi,
b) identyfikację i analizę ryzyka na poziomie strategicznym,
c) określenie poziomu ryzyka akceptowanego, wybór działań kontrolujących ryzyko (tolerowanie, przeniesienie, wycofanie się z działania),
d) wyznaczanie właścicieli ryzyka w fazie strategicznego zarządzenia ryzykiem. Rektor może przypisać odpowiedzialność za zarządzanie kluczowym ryzykiem - dotyczącym głównych celów Uczelni - właściwemu merytorycznie prorektorowi, kanclerzowi lub kwestorowi Uczelni.
2) Kierownicy jednostek organizacyjnych Uczelni, w tym: dziekani wydziałów, Kierownicy jednostek pozawydziałowych, jednostek międzywydziałowych, jednostek ogólnouczelnianych, oraz dyrektorzy/kierownicy jednostek administracyjnych, na poziomie operacyjnym, za zapewnienie zgodności działań z zasadami zarządzania ryzykiem, w szczególności za:
a) identyfikację, udokumentowanie i analizę czynników ryzyka /ryzyk, które są istotne dla osiągnięcia celów operacyjnych, w odniesieniu do zdefiniowanych obszarów działania i w ramach kategorii ryzyka,
c) ocenę istotności czynników ryzyka w odniesieniu do realizowanych celów, z uwzględnieniem prawdopodobieństwa wystąpienia oraz potencjalnych skutków ryzyka wywołanego tymi czynnikami,
d) monitorowanie poziomu ryzyka operacyjnego, w tym funkcjonowania mechanizmów kontrolnych pod kątem ich adekwatności i skuteczności, a także wszelkich odstępstw od istniejących procedur.
e) rejestrowanie odstępstw od obowiązujących zasad i procedur oraz ich analizę,
f) projektowanie działań zarządczych w zakresie swojego obszaru działalności lub zgłaszanie bezpośredniemu przełożonemu pisemnych propozycji opracowania i wdrożenia mechanizmów kontrolnych, które przyczynią się do ograniczenia ryzyka do poziomu akceptowalnego.
g) utworzenie i aktualizacja wydziałowych i działowych rejestrów ryzyk.
g) zapewnienie, by pracownicy byli świadomi wagi procesu zarządzania ryzykiem.
h) zapewnienie wszystkim podległym pracownikom możliwości formalnego zgłaszania zmian w zakresie identyfikowanego przez nich ryzyka lub innych istotnych problemów.
Dziekani wydziałów w ramach swoich uprawnień mogą zobowiązać dyrektorów/kierowników instytutów, katedr i zakładów do zarządzania ryzykiem i jego monitorowania w obszarze ich działania, wg zasad opisanych w niniejszych zasadach zarządzania ryzykiem.
3) Biuro Kontroli Zarządczej za:
a) współtworzenie i prowadzenie uczelnianego rejestru ryzyk oraz dokumentacji dotyczącej zarządzania ryzykiem;
b) sprawny monitoring na poziomie strategicznym
c) doradztwo i pomoc zarządzającym ryzykiem (właścicielom ryzyk);
d) zapewnienie szkolenia w zakresie zarządzania ryzykiem;
e) monitorowanie i mierzenie skuteczności aktualnej procedury w zakresie zasad zarządzania ryzykiem;
4) Biuro Audytu Wewnętrznego za:
– kontrolę efektywności dokumentacji zarządzania ryzykiem w jednostkach, procesów i praktyk,
– przedstawianie wniosków i zaleceń oraz monitorowanie działań naprawczych i działania prewencyjne,
– niezależną ocenę procesu zarządzania ryzykiem w audytowanych obszarach działania Uczelni zgodnie z rocznym planem audytu.
5) Pracownicy Uczelni za zgłaszanie przełożonym informacji o pojawiających się ryzykach, odstępstwach w działaniach od obowiązujących procedur lub innych istotnych problemach.
6) Dyrektorzy/kierownicy projektów odpowiadają za zarządzanie ryzykiem na poziomie projektu, poprzez:
a) identyfikację czynników ryzyka, które są właściwe dla projektu,
b) zdefiniowanie ryzyka i ocenę jego prawdopodobieństwa zaistnienia oraz skutków, przy uwzględnieniu istniejących mechanizmów kontrolnych,
c) zaprojektowanie mechanizmów kontrolnych ograniczających poziom ryzyka w stosunku do ryzyka nieakceptowanego,
d) zgłaszanie bezpośredniemu przełożonemu istotnych utrudnień w realizacji celu projektu.
Rozdział III. IDETYFIKACJA I ANALIZA RYZYKA
§ 7
1. Identyfikacja i analiza ryzyka dokonywana jest w Uczelni na poziomie strategicznym, operacyjnym oraz na poziomie projektu.
2. Postępowanie przy identyfikowaniu i analizie ryzyka polega na wykonaniu następujących kolejno po sobie czynności:
1) ustaleniu listy zadań i celów realizowanych/do realizacji,
2) kategoryzacja ryzyka odnoszącego się do realizowanych celów/zadań poprzez przypisanie czynników ryzyka do jednej z określonych kategorii,
3) przeanalizowaniu każdego zidentyfikowanego ryzyka, w celu oszacowania jego istotności poprzez określenie stopnia wpływu/skutku wystąpienia oraz prawdopodobieństwa jego wystąpienia,
4) uszeregowanie ryzyka w sposób malejący,
5) określenie poziomu ryzyka akceptowalnego
3. Określenie stopnia wpływu/skutku wystąpienia polega na ocenie siły jego oddziaływania w przyjętej skali punktowej od 1 do 3, gdzie:
1 – oznacza niską siłę oddziaływania,
2 – oznacza średnią siłę oddziaływania, 3 – oznacza dużą siłę oddziaływania.
4. Przy ustalaniu wpływu ryzyka uwzględnia się – skutki finansowe /strata/, jak również nie finansowe, tj. utrata dobrego imienia, konsekwencje prawne, w tym karno-skarbowe, dyscyplinarne, utratę szans, opóźnienia, obniżenie jakości pracy i inne.
5. Określenie prawdopodobieństwa wystąpienia ryzyka dokonywane jest również w przyjętej skali punktowej od 1 do 3, gdzie:
1 – oznacza mało prawdopodobne, 2 – oznacza prawdopodobne,
3 – oznacza prawie pewne.
6. Przy ocenie prawdopodobieństwa wystąpienia zdarzenia/ryzyka bierze się pod uwagę istniejące mechanizmy kontrolne, ich skuteczność i poziom wdrożenia.
7. Istotność zidentyfikowanego ryzyka określa się jako iloczyn punktowej oceny wpływu/skutku wystąpienia oraz punktowej oceny prawdopodobieństwa wystąpienia.
8. W Uczelni dokonuje się oceny istotności ryzyka w przyjętej skali o wartościach:
1) 7 - 9 ocenia się ryzyko jako wysokie – duża istotność, uniemożliwia realizacji zadań i osiąganie celów, wystawia jednostkę organizacyjną/Uczelnię na wysokie ryzyko, wymaga bezzwłocznej reakcji kierownictwa Uczelni. Potrzebne jest natychmiastowe działanie, poprzez wprowadzenie silnych mechanizmów kontrolnych.
Ryzyko wysokie podlega ciągłemu monitorowaniu, nie może być tolerowane. Kierownictwo operacyjne/kierownik projektu zobowiązane jest do zaprojektowania mechanizmów ograniczających poziom ryzyka wysokiego. Skutki ryzyka będą nieodwracalne. Wywrze istotny wpływ na wyniki finansowe Uczelni. Spowoduje brak realizacji kluczowych celów.
2) 4– 6 ocenia się ryzyko jako średnie – średnia istotność, potencjalny wpływ na kluczową działalność organizacji/Uczelni, średni wpływ na realizacje zadań i osiąganie celów, przeciwdziałanie kierownictwa wskazane, należy monitorować i rozważyć potrzebę działań zaradczych tj. wprowadzenie dodatkowych mechanizmów kontroli mając na uwadze koszty wprowadzenia kontroli. Można tolerować poziom ryzyka średniego, gdy koszty zapobiegania nie są zbyt wysokie, ale należy na bieżąco sprawdzać poziom ryzyka.
3) 1-3 ocenia się ryzyko jako niskie – mała istotność, mały wpływ na realizacje zadań i osiąganie celów, ryzyko akceptowane, przeciwdziałanie zależy od decyzji kierownictwa (przy małej istotności koszt wprowadzenia dodatkowej kontroli może przewyższyć ewentualne
straty). Należy ryzyko niskie monitorować i w miarę potrzeby sprawdzać czy jest prawidłowo kontrolowane, nie ma wpływu na kluczową działalność jednostki, nie uniemożliwia realizacji zadań i osiągania celów organizacji.
Rozdział IV DOKUMENTOWANIE PROCESU ANALIZY RYZYKA
§ 8
1. Na szczeblu operacyjnym dziekani wydziałów, kierownicy jednostek pozawydziałowych, jednostek międzywydziałowych i ogólnouczelnianych oraz wspólnych, kierownicy jednostek administracyjnych są zobowiązani do dokumentowania przeprowadzonej w podległym wydziale/dziale identyfikacji i analizy ryzyka i utworzenia wydziałowego/działowego rejestru ryzyk według wzoru stanowiącego załącznik nr 1 do niniejszych zasad.
2. Za dokumentowanie procesu identyfikacji i analizy ryzyka na poziomie projektu odpowiada kierownik projektu.
3.Wyniki identyfikacji i analizy ryzyka – wydziałowy/działowy rejestr ryzyk w wersji papierowej i elektronicznej kierownicy jednostek organizacyjnych oraz kierownicy projektów są zobowiązani przekazać do właściwego prorektora, kanclerza oraz zastępcy kanclerza ds. finansowych – kwestora a także do Biura Kontroli Zarządczej.
4. Przekazane wydziałowe/działowe rejestr ryzyk służą przeprowadzeniu identyfikacji i analizy ryzyka na szczeblu strategicznym i utworzenia uczelnianego rejestru ryzyk, stanowiącego załącznik nr 2 do niniejszych zasad.
5. Prorektorzy, kanclerz, kwestor mogą identyfikować dodatkowe czynniki ryzyka nieuwzględnione w procesie identyfikacji na poziomie operacyjnym
6. Uczelniany rejestr ryzyk jest przedstawiany do akceptacji rektorowi.
7. Proces analizy ryzyka i dokumentowania wyników na szczeblu projektu odbywa się przed rozpoczęciem projektu oraz w każdym czasie, gdy nastąpi zmiana ryzyka.
Rozdział V. ZARZĄDZANIE RYZYKIEM
§ 9
1. O sposobie postępowania w odniesieniu do zidentyfikowanego ryzyka, które ocenia się jako:
1) niskie, a istotność jest mała, decyzje podejmują pracownicy wydziałów, działów w
porozumieniu z bezpośrednimi przełożonymi,
2) średnie, a istotność jest średnia, decyzje podejmują dziekani, kierownicy biur/działów w porozumieniu z właściwym prorektorem, kanclerzem, kwestorem,
3) wysokie, a istotność duża, decyzje podejmuje rektor Uczelni.
2. W Uczelni przyjmuje się następujące sposoby postępowania z ryzykiem:
1) przeniesienie ryzyka na inną instytucję, np. poprzez ubezpieczenie,
2) tolerowanie ryzyka – w przypadku, gdy istnieją określone trudności w przeciwdziałaniu ryzykom a także, gdy koszty podjętych działań mogą przekroczyć przewidywane korzyści,
3) przeciwdziałanie – działania pozwalające na ograniczenie ryzyka do akceptowalnego poziomu, dzięki wzmocnieniu mechanizmów kontroli zarządczej (poprzez procedury, wytyczne, zasady, nadzór, itd.) wbudowane w realizowane procesy,
4) przesunięcie w czasie (wycofanie się) – zawieszenie działań rodzących zbyt duże ryzyko.
3. Rektor ma prawo podjąć decyzję o akceptacji każdego poziomu ryzyka i nie podejmowaniu działań zaradczych.
§ 10
Zarządzanie ryzykiem projektu polega na wskazaniu lub zaprojektowaniu i wdrożeniu mechanizmów kontroli ograniczających ryzyko projektu.
Rozdział VI.
MONITOROWANIE ZARZADZANIA RYZYKIEM I NADZÓR
§ 11
1. W Uczelni proces monitorowania ryzyka jest procesem ciągłym realizowanym przez kierowników jednostek, na każdym szczeblu zarządzania, który pozwala na podejmowanie decyzji w odpowiednim czasie.
2. Kierownictwo Uczelni wspiera wszelkie działania pracowników Uczelni przyjmujących odpowiedzialność za ryzyko.
3. Dziekani wydziałów, kierownicy jednostek pozawydziałowych, międzywydziałowych, ogólnouczelnianych, wspólnych oraz dyrektorzy/kierownicy jednostek administracyjnych prowadzą monitorowanie funkcjonowania mechanizmów kontrolnych pod kątem ich adekwatności i skuteczności.
4. Za koordynację oraz sprawne monitorowanie procesu zarządzania ryzykiem odpowiada Biuro Kontroli Zarządczej.
5. W trakcie trwania projektu, kierownik projektu monitoruje zidentyfikowane czynniki ryzyka oraz mechanizmy kontrolne pod kątem ich efektywności dokonując na bieżąco oceny prawdopodobieństwa wystąpienia ryzyka i jego skutków.
6. Zasady zarządzania ryzykiem i procedury zarządzania ryzykiem podlegają raz na rok przeglądom dokonywanym w celu ich aktualizacji.
7. Projekty aktualizacji zasad zarządzania ryzykiem oraz procedur zarządzania ryzykiem przygotowuje Biuro Kontroli Zarządczej.
8. Każda aktualizacja zasad zarządzania ryzykiem podlega akceptacji rektora.
9. Wszyscy pracownicy mają prawo i obowiązek raportowania kierownictwu zaistniałych nieprawidłowości. Na podstawie posiadanych informacji kadra kierownicza Uczelni ma obowiązek podjąć w zakresie swoich uprawnień lub zaproponować rektorowi działania zmierzające do usunięcia wskazanych nieprawidłowości.
10. W przypadku zwiększenia się prawdopodobieństwa zaistnienia ryzyka w projekcie do poziomu zagrażającego realizacji projektu, kierownik projektu natychmiast zgłasza w formie pisemnej, ten fakt do bezpośredniego przełożonego wraz z propozycją działań zaradczych.