Dzienniki Urzędowe - rok 2015 poz. 33

Na podstawie art. 34 ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2012 r. poz. 392), w związku z art. 68 ust. 2 pkt 7 i art. 69 ust. 1 pkt 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2013 r. poz. 885, z późn. zm.²⁾) zarządza się, co następuje:

Wprowadza się do stosowania „Instrukcję zarządzania ryzykiem w Ministerstwie Skarbu Państwa”, stanowiącą załącznik do zarządzenia.

Właściciele procesów dokonają pierwszej analizy ryzyka korupcyjnego w terminie 2 tygodni od dnia wejścia w życie zarządzenia.

Traci moc zarządzenie Nr 51 Ministra Skarbu Państwa z dnia 9 listopada 2011 r. w sprawie wprowadzenia „Instrukcji zarządzania ryzykiem w Ministerstwie Skarbu Państwa”.

Zarządzenie wchodzi w życie z dniem podpisania.

¹⁾ Minister Skarbu Państwa kieruje działem administracji rządowej – Skarb Państwa, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 22 września 2014 r. w sprawie szczegółowego zakresu działania Ministra Skarbu Państwa (Dz. U. 2014, poz. 1262).

²⁾ Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2013 r. poz. 938 i 1646, z 2014 r. poz. 379, 911, 1146, 1626 i 1877 oraz z 2015 r. poz. 238 i 532.

Załącznik do Zarządzenia Nr 33 Ministra Skarbu Państwa
z dnia 7 września 2015 r. (poz. 33)

INSTRUKCJA ZARZĄDZANIA RYZYKIEM W MINISTERSTWIE SKARBU PAŃSTWA

Rozdział 1

Postanowienia ogólne

§ 1

1. Instrukcja zarządzania ryzykiem w Ministerstwie Skarbu Państwa, zwana dalej „Instrukcją”, określa zasady zarządzania ryzykiem stosowane przy identyfikacji, ocenie i przeciwdziałaniu ryzyku zagrażającemu realizacji celów i zadań Ministerstwa Skarbu Państwa zwanego dalej „Ministerstwem”, a w szczególności zasady:

1) odpowiedzialności za zarządzanie ryzykiem;

2) postępowania przy identyfikacji i analizie ryzyka;

3) postępowania ze zidentyfikowanym ryzykiem;

4) akceptowalności poziomu ryzyka;

5) monitorowania ryzyka;

6) dokumentowania procesu zarządzania ryzykiem.

2. Instrukcja stanowi narzędzie zarządzania dla Kierownictwa Ministerstwa oraz wytyczne dla wszystkich pracowników Ministerstwa.

§ 2

Ilekroć w Instrukcji jest mowa o:

1) Ministrze – należy przez to rozumieć ministra właściwego do spraw Skarbu Państwa;

2) członku Kierownictwa – należy przez to rozumieć Sekretarza Stanu, Podsekretarza Stanu lub Dyrektora Generalnego Ministerstwa;

3) komórce organizacyjnej – należy przez to rozumieć departament, biuro, Gabinet Polityczny Ministra;

4) celach i zadaniach podstawowych – należy przez to rozumieć cele i zadania wynikające z rocznego planu działalności dla działu administracji rządowej Skarb Państwa;

5) celach i zadaniach szczegółowych – należy przez to rozumieć cele i zadania wynikające z arkusza celów i zadań sporządzonego wg wzoru stanowiącego załącznik nr 1 do Zarządzenia nr 2/2011 Dyrektora Generalnego MSP z dnia 17 stycznia 2011 r. w sprawie tworzenia i dysponowania funduszem nagród w Ministerstwie Skarbu Państwa oraz cele procesów;

6) procesach – należy przez to rozumieć system działań, który wykorzystuje zasoby w celu przekształcenia danych wejściowych w dane wyjściowe;

7) ryzyku – należy przez to rozumieć zdarzenie o określonym prawdopodobieństwie, którego wystąpienie może mieć negatywny wpływ na osiągnięcie zamierzonych celów i realizację założonych zadań Ministerstwa; ryzyko w równym stopniu bierze się z możliwości niewykorzystania szansy, jak i możliwości urzeczywistnienia się zagrożenia bądź popełnienia błędu; ryzyko ma charakter dynamiczny – podlega ciągłym zmianom, w każdej chwili może pojawić się nowe ryzyko i zmienić się istotność ryzyk już oszacowanych; ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia;

8) ryzyku korupcyjnym – należy przez to rozumieć ryzyko wynikające z zagrożenia o charakterze korupcyjnym;

9) prawdopodobieństwie wystąpienia ryzyka – należy przez to rozumieć szacowane prawdopodobieństwo lub możliwość wystąpienia zdarzenia;

10) skutku oddziaływania ryzyka – należy przez to rozumieć możliwe wyniki, skutki lub konsekwencje dla Ministerstwa np. straty, obrażenia, niekorzystne zdarzenia, koszty, opóźnienia itp.;

11) poziomie ryzyka – należy przez to rozumieć poziom ryzyka odzwierciedlający wagę ryzyka, jego nasilenie i prawdopodobieństwo wystąpienia;

12) wadze ryzyka – należy przez to rozumieć wpływ danego czynnika ryzyka na badany system wyrażony poprzez przypisanie temu czynnikowi relatywnej wagi;

13) czynniku ryzyka – należy przez to rozumieć okoliczności, które mogą wywołać ryzyko wystąpienia nieprawidłowości;

14) akceptowalnym poziomie ryzyka – należy przez to rozumieć poziom ryzyka możliwy do zaakceptowania, przy którym nie jest wymagane podejmowanie działań przeciwdziałających ryzyku (np. wdrożenia dodatkowych mechanizmów kontroli bądź usprawnienia obecnych);

15) mechanizmach kontrolnych – należy przez to rozumieć działania podejmowane przez kierownictwo i pracowników Ministerstwa w celu zmniejszenia ryzyka negatywnego, np.: zarządzenia, procedury, instrukcje, upoważnienia, zakresy obowiązków, limity i inne formalne ograniczenia uprawnień, hierarchiczna struktura organizacyjna (dzieląca na tych, co opracowują, sprawdzają, upoważniają), plany awaryjne itp.; mechanizmy kontroli powinny stanowić odpowiedź na konkretne ryzyko; koszty wdrożenia i stosowania mechanizmów kontrolnych nie powinny być wyższe niż uzyskane dzięki nim korzyści;

16) reakcji na ryzyko – należy przez to rozumieć formę postępowania wobec ryzyka (przeniesienie, tolerowanie, działanie, wycofanie), którą należy podjąć w celu zmniejszenia danego ryzyka do akceptowalnego poziomu;

17) szacowaniu ryzyka – należy przez to rozumieć proces systematycznej oceny skutków i prawdopodobieństwa wystąpienia ryzyka;

18) zarządzaniu ryzykiem – należy przez to rozumieć podjęte działania mające na celu zmniejszenie ryzyka do poziomu akceptowalnego obejmujące identyfikowanie i ocenę ryzyka oraz reagowanie na nie;

19) właścicielu ryzyka – należy przez to rozumieć osobę odpowiedzialną za zarządzanie ryzykiem, mającą uprawnienia do podjęcia działań zaradczych lub ich wnioskowania, w stosunku do obszaru, którym zarządza; rolę właściciela ryzyka na poziomie komórki organizacyjnej pełni jej dyrektor; w przypadku procesu koordynowanego przez jedną komórkę organizacyjną, której praca polega na agregowaniu informacji uzyskanych w innych komórkach, właścicielem ryzyka jest dyrektor takiej komórki organizacyjnej lub osoba upoważniona przez dyrektora; w przypadku procesu rolę właściciela ryzyka pełni właściciel procesu;

20) właścicielu procesu – należy przez to rozumieć osobę, wyznaczoną przez Dyrektora Generalnego, której zadaniem jest zorganizowanie w tym zaplanowanie, monitorowanie i doskonalenie procesu;

21) arkuszu analizy ryzyka – należy przez to rozumieć dokument zawierający wszystkie informacje o ryzyku, stanowiące podstawę zarządzania ryzykiem na poziomie celów i zadań szczegółowych danej komórki organizacyjnej;

22) rejestrze ryzyka – należy przez to rozumieć zbiorczą ewidencję istotnych informacji o ryzyku obejmującą dane dotyczące ryzyk zidentyfikowanych w Ministerstwie, opatrzoną informacjami ilościowymi i jakościowymi, stanowiącą podstawę zarządzania ryzykiem w Ministerstwie;

23) działaniach zaradczych – należy przez to rozumieć działania o charakterze prewencyjnym, w tym działania zapobiegawcze eliminujące przyczyny potencjalnych niezgodności w celu zapobiegania ich wystąpieniu;

24) Przedstawicielu Kierownictwa ds. SPZK – należy przez to rozumieć członka kierownictwa wyznaczonego przez Ministra, który nadzoruje funkcjonowanie Systemu Przeciwdziałania Zagrożeniom Korupcyjnym.

§ 3

1. Celem zarządzania ryzykiem jest zwiększenie prawdopodobieństwa osiągania celów Ministerstwa i realizacji zadań oraz zapewnienie Ministrowi wczesnej informacji o zagrożeniach dla realizacji wyznaczonych celów i zadań.

2. Zarządzanie ryzykiem w Ministerstwie obejmuje:

1) identyfikację ryzyka wpływającego na realizację celów i zadań Ministerstwa oraz procesów;

2) ocenę istniejących środków wykorzystywanych do utrzymania ryzyka pod kontrolą;

3) analizę i hierarchizację ryzyka według oddziaływania oraz prawdopodobieństwa wystąpienia ryzyka;

4) ustalenie akceptowalnego poziomu każdego z ryzyk;

5) określenie sposobu postępowania z ryzykiem nieakceptowalnym, a w tym określenie działań zaradczych;

6) sprawozdawczość na temat ryzyka i monitorowanie procesu zarządzania ryzykiem.

3. Zarządzanie ryzykiem odbywa się w powiązaniu z celami i zadaniami Ministerstwa zarówno na poziomie podstawowym jak i szczegółowym.

Rozdział 2

Odpowiedzialność osobowa

§ 4

1. Za wdrożenie systemu zarządzania ryzykiem odpowiedzialny jest Minister poprzez:

1) kształtowanie i wdrożenie procedur zarządzania ryzykiem;

2) powołanie i określenie zadań Zespołu do spraw koordynacji procesu zarządzania ryzykiem w Ministerstwie Skarbu Państwa;

3) akceptację zidentyfikowanych ryzyk, które mogą oddziaływać na cele związane z funkcjonowaniem Ministerstwa;

4) wskazanie osób z Kierownictwa Ministerstwa odpowiedzialnych za podjęcie działań w związku z zidentyfikowanym ryzykiem;

5) zatwierdzenie akceptowalnego poziomu ryzyka;

6) podejmowanie decyzji o działaniach zaradczych, przeciwdziałających ryzyku, które winny zwiększyć skuteczność stosowanych mechanizmów kontroli lub prowadzić do wdrożenia nowych.

2. Minister może powierzyć określone obowiązki z zakresu zarządzania ryzykiem innym pracownikom Ministerstwa.

3. Minister może przypisać odpowiedzialność za zarządzanie kluczowym ryzykiem Sekretarzowi Stanu, Podsekretarzom Stanu lub Dyrektorowi Generalnemu Ministerstwa.

§ 5

1. Za zarządzanie ryzykiem na poziomie celów i zadań szczegółowych odpowiadają dyrektorzy komórek organizacyjnych Ministerstwa poprzez:

1) określenie celów realizowanych przez podległe im komórki organizacyjne;

2) zidentyfikowanie ryzyk, jakie mogą zagrozić osiągnięciu poszczególnych celów;

3) analizę zidentyfikowanych ryzyk w celu określenia prawdopodobieństwa wystąpienia tego ryzyka oraz jego skutków oddziaływania na osiągane przez Ministerstwo cele podstawowe, jak i cele i zadania szczegółowe komórki organizacyjnej;

4) proponowanie sposobu postępowania w odniesieniu do poszczególnych ryzyk;

5) określenie akceptowalnego poziomu ryzyka;

6) wdrożenie działań zaradczych w odniesieniu do zidentyfikowanych ryzyk w zakresie swojego obszaru działalności;

7) dokumentowanie procesu identyfikacji i oceny ryzyka w kierowanej komórce organizacyjnej poprzez wypełnienie i aktualizację arkusza analizy ryzyka, zgodnie ze wzorem stanowiącym załącznik nr 1 do niniejszej instrukcji; powyższy arkusz podlega zatwierdzeniu przez właściwego członka Kierownictwa;

8) przekazywanie do Biura Kontroli wypełnionego arkusza analizy ryzyka w terminie do 15 lipca i 10 grudnia każdego roku kalendarzowego;

9) ciągły monitoring ryzyka na poziomie celów i zadań szczegółowych, w tym monitoring funkcjonowania mechanizmów kontrolnych pod kątem ich adekwatności, skuteczności i efektywności;

10) dostarczanie na czas kompletnych i wiarygodnych informacji dotyczących poszczególnych ryzyk i mechanizmów kontroli;

11) rejestrację odstępstw od obowiązujących zasad i procedur;

12) zgłaszanie Zespołowi do spraw koordynacji procesu zarządzania ryzykiem w Ministerstwie Skarbu Państwa, zwanemu dalej „Zespołem”, za pośrednictwem Biura Kontroli, propozycji wdrożenia działań zaradczych, które przyczynią się do ograniczenia ryzyka do poziomu akceptowalnego.

2. W identyfikacji ryzyka na poziomie celów i zadań szczegółowych mają prawo brać udział wszyscy pracownicy Ministerstwa.

3. W przypadku procesów za zarządzanie ryzykiem korupcyjnym odpowiadają właściciele procesów poprzez:

1) określenie propozycji celów procesów;

2) zidentyfikowanie ryzyk korupcyjnych, które mogą wystąpić w procesach;

3) analizę zidentyfikowanych ryzyk korupcyjnych w celu określenia prawdopodobieństwa wystąpienie tego ryzyka oraz jego skutków oddziaływania na proces;

4) proponowanie sposobu postępowania w odniesieniu do poszczególnych ryzyk korupcyjnych;

5) wdrożenie lub zaproponowanie działań zaradczych w odniesieniu do zidentyfikowanych ryzyk korupcyjnych, zgodnie z odrębną procedurą wewnętrzną Działania korygujące i zapobiegawcze.

6) dokumentowanie procesu identyfikacji i oceny ryzyka korupcyjnego w procesach poprzez wypełnienie i aktualizację arkusza analizy ryzyka korupcyjnego, zgodnie ze wzorem stanowiącym załącznik nr 2 do niniejszej instrukcji;

7) arkusz analizy ryzyka w zakresie ryzyk korupcyjnych podlega weryfikacji i zatwierdzeniu przez Przedstawiciela Kierownictwa ds. SPZK lub osobę przez niego upoważnioną; właściciel ryzyka jest zobowiązany do uwzględnienia uwag zgłoszonych przez Przedstawiciela Kierownictwa ds. SPZK lub osobę przez niego upoważnioną;

8) przekazywanie do Biura Kontroli wypełnionego arkusza analizy ryzyka korupcyjnego w terminie do 15 lipca i 10 grudnia każdego roku kalendarzowego;

9) ciągły monitoring ryzyka korupcyjnego, w tym monitoring funkcjonowania mechanizmów kontrolnych pod kątem ich adekwatności, skuteczności i efektywności;

10) dostarczanie na czas kompletnych i wiarygodnych informacji dotyczących poszczególnych ryzyk korupcyjnych i mechanizmów kontroli;

11) rejestrację odstępstw od obowiązujących zasad i procedur;

4. Zasady dokonywania odstępstw dotyczących Systemu Zarządzania Jakością i Systemu Przeciwdziałania Zagrożeniom Korupcyjnym są określone w Księdze Jakości stanowiącej załącznik do Zarządzenia Nr 28 Ministra Skarbu Państwa z dnia 27 sierpnia 2015 r. w sprawie systemu zarządzania jakością i systemu przeciwdziałania zagrożeniom korupcyjnym w Ministerstwie Skarbu Państwa.

§ 6

Pracownicy Ministerstwa odpowiadają za:

1) przestrzeganie ustalonych procedur działania;

2) przestrzeganie ustanowionych mechanizmów kontrolnych;

3) informowanie przełożonych o wszelkich odstępstwach od obowiązujących w Ministerstwie zasad i procedur;

4) informowanie przełożonych o wszelkich zdarzeniach, które mogą doprowadzić do ujemnych skutków w działalności Ministerstwa, w tym o potencjalnych nowych ryzykach lub istotnych zmianach poziomu ryzyk wcześniej zidentyfikowanych, zgodnie ze wzorem zamieszczonym w załączniku nr 3 do niniejszej instrukcji;

5) informowanie przełożonych o zdarzeniach, które mogą negatywnie wpływać na realizację podstawowych celów Ministerstwa oraz szczegółowych celów i zadań komórki organizacyjnej.

Rozdział 3

Identyfikacja i analiza ryzyka

§ 7

1. Identyfikacji i analizy ryzyka w odniesieniu do podstawowych celów Ministerstwa, jak i celów i zadań szczegółowych, przyporządkowanych komórkom organizacyjnym dokonuje się dwa razy w roku tj. do dnia 15 lipca i 10 grudnia każdego roku kalendarzowego. Ponadto analiza ryzyka powinna być prowadzona w przypadku istotnych zmian czynników ryzyka (np. nowe zadania do realizacji, zmniejszenie środków finansowych, redukcja etatów itp.).

2. W przypadku ryzyka korupcyjnego ponowna analiza ryzyka, oprócz przypadków opisanych w ust. 1, przeprowadzana jest również zawsze po zmaterializowaniu się ryzyka.

3. Identyfikacja i analiza ryzyka na poziomie celów i zadań szczegółowych dokonywana jest przez poszczególne komórki organizacyjne za pomocą arkusza analizy ryzyka (załącznik nr 1).

4. Identyfikacja i analiza ryzyka korupcyjnego dokonywana jest przez poszczególnych właścicieli procesów za pomocą arkusza analizy ryzyka korupcyjnego (załącznik nr 2).

§ 8

1. Identyfikacja ryzyka w Ministerstwie, w tym ryzyka korupcyjnego, polega na ustaleniu możliwego do wystąpienia ryzyka zagrażającego realizacji celów i zadań, w szczególności zamieszczonych w planie działalności dla działu Skarb Państwa na rok następny. Przyjmuje się, iż podstawą budowania listy ryzyka w arkuszu analizy ryzyka są cele i zadania szczegółowe komórki organizacyjnej.

2. Podczas identyfikacji stosowana jest kategoryzacja ryzyka. Wszystkie ryzyka zidentyfikowane w ramach realizowanych celów i zadań przyporządkowywane są do jednej z kategorii ustalonych poniżej:

1) ryzyko finansowe;

2) ryzyko dotyczące zasobów ludzkich;

3) ryzyko działalności;

4) ryzyko zewnętrzne;

5) ryzyko korupcyjne.

Przykłady ryzyk występujących w ramach poszczególnych kategorii przedstawiono w załączniku nr 5 do niniejszej instrukcji. Listę kategorii należy traktować jako zamkniętą, natomiast katalog przykładów ryzyk w ramach poszczególnych kategorii może być poszerzany o nowe ryzyka, dotychczas niezidentyfikowane.

3. Ocena ryzyka polega na określeniu prawdopodobieństwa wystąpienia ryzyka oraz jego skutku oddziaływania na osiągane przez Ministerstwo cele i zadania szczegółowe, przyporządkowane komórkom organizacyjnym.

4. Podczas oceny ryzyka wykorzystuje się system punktowej oceny ryzyka stanowiący załącznik nr 6 do niniejszej instrukcji.

5. Prawdopodobieństwo wyraża się jako wartość szacunkowa w przyjętej skali od 1 do 4, gdzie:

a) 1 – mało prawdopodobne (0–20%),

b) 2 – średnio prawdopodobne (21–60%),

c) 3 – prawdopodobne (61–80%),

d) 4 – prawie pewne (81–100%).

6. Skutek ryzyka wyraża się jako wartość szacunkowa w przyjętej skali od 1 do 4, gdzie:

a) 1 – mały,

b) 2 – średni,

c) 3 – poważny,

d) 4 – katastrofalny.

Skutek zmaterializowania się danego ryzyka oceniany jest, zgodnie ze wskazówkami w pkt 1.2. załącznika nr 6 do niniejszej instrukcji, według najbardziej prawdopodobnych kryteriów tj.:

– finansowych, w odniesieniu do wydatków Ministerstwa lub do przychodów z prywatyzacji,

– organizacyjnych,

– prawnych,

– funkcjonowania mechanizmów kontrolnych;

– wizerunku i zaufania.

7. Punktowa ocena ryzyka stanowi iloczyn prawdopodobieństwa jego wystąpienia oraz skutków jakie niesie dane ryzyko.

8. W oparciu o ocenę ryzyka, o której mowa powyżej, ustalany jest poziom istotności ryzyka.

9. Ustala się następujące poziomy istotności ryzyka:

1) ryzyko niskie, którego wartość punktowa zawiera się w przedziale od 1 do 3,99;

2) ryzyko średnie, którego wartość punktowa zawiera się w przedziale od 4 do 7,99;

3) ryzyko wysokie, którego wartość punktowa zawiera się w przedziale od 8 do 11,99;

4) ryzyko krytyczne, którego wartość punktowa zawiera się w przedziale od 12 do 16;

10. Im wyższy poziom istotności ryzyka, tym silniejszy mechanizm kontrolny musi zostać ustanowiony w celu zapobiegania zmaterializowaniu się tego ryzyka.

11. Każdy właściciel ryzyka prowadzi własny arkusz analizy ryzyka (załącznik nr 1), w którym wskazuje maksymalnie do 5 ryzyk w odniesieniu do każdego z celów i zadań szczegółowych.

12. Każdy właściciel procesu prowadzi własny arkusz analizy ryzyka, w którym wskazuje ryzyka korupcyjne (załącznik nr 2).

13. Biuro Kontroli agreguje wyniki identyfikacji i analizy ryzyka poszczególnych komórek organizacyjnych/procesów, dokonuje hierarchizacji ryzyk od najwyższych do najniższych i sporządza w terminie do 30 lipca i 20 grudnia każdego roku kalendarzowego projekt zbiorczego rejestru ryzyk, zgodnie ze wzorem stanowiącym załącznik nr 7 do niniejszej instrukcji, który jest przekazywany Zespołowi do akceptacji, a następnie przedkładany do zatwierdzenia Ministrowi.

14. Na podstawie rejestru ryzyka Minister ustala ostateczną listę ryzyk nieakceptowalnych oraz zatwierdza sposób postępowania z ryzykami nieakceptowalnymi.

§ 9

1. W Ministerstwie przyjmuje się następujące zasady akceptowalności poziomu ryzyka:

ryzyko akceptowalne

ryzyko niskie – należy monitorować i w miarę potrzeby kontrolować;

ryzyko nie akceptowalne

– ryzyko średnie – należy monitorować i rozważyć potrzebę wprowadzenia działań zaradczych poprzez wprowadzenie dodatkowych mechanizmów kontrolnych (przy uwzględnieniu kosztów wprowadzenia dodatkowej kontroli); ryzyko to może jednak zostać zaakceptowane, jeśli koszty wdrożenia działań zaradczych zapobiegania ryzyku są zbyt wysokie; za monitoring i ewentualne wprowadzenie dodatkowych mechanizmów kontrolnych odpowiedzialny jest właściciel ryzyka;

– ryzyko wysokie – należy monitorować i wprowadzić działania zaradcze poprzez modyfikację lub uzupełnienie mechanizmów kontroli, które ograniczą prawdopodobieństwa wystąpienia ryzyka; za monitoring i ewentualne wprowadzenie dodatkowych mechanizmów kontrolnych odpowiedzialny jest właściciel ryzyka; decyzję o tolerowaniu (akceptacji) wysokiego ryzyka może podjąć Minister;

– ryzyko krytyczne – wymaga wprowadzenia natychmiastowych działań zaradczych poprzez wprowadzenie skutecznych i efektywnych w tym modyfikacji lub uzupełnienia mechanizmów kontroli, które ograniczą prawdopodobieństwa wystąpienia ryzyka; ryzyko to podlega ciągłemu monitoringowi i nie powinno być tolerowane.

2. Dyrektor komórki organizacyjnej, na koniec każdego kwartału, informuje Zespół, za pośrednictwem Biura Kontroli, o zmianie ryzyka średniego, wysokiego i krytycznego (wg załącznika nr 4), o ile w ciągu kwartału wystąpiła zmiana wartości oceny prawdopodobieństwa lub skutku ryzyka.

3. Minister ma prawo podjąć decyzję o akceptacji każdego poziomu ryzyka i nie podejmować działań zaradczych.

4. W przypadku, gdy Minister akceptuje ryzyko korupcyjne na poziomie nieakceptowanym i decyduje o niepodejmowaniu działań zaradczych, decyzję taką należy uzasadnić i udokumentować.

§ 10

W Ministerstwie dla zidentyfikowanych ryzyk, w zależności od poziomu istotności ryzyka, określa się jeden z następujących sposobów reakcji na ryzyko:

1) przeniesienie, które polega na przekazaniu odpowiedzialności za całe lub część ryzyka innej osobie, jednostce organizacyjnej, ubezpieczycielowi itp.; reakcja ta występuje w sytuacji, gdy zidentyfikowane ryzyko jest znaczące, ale nie istnieje, z różnych powodów, możliwość rozwiązania problemów we własnym zakresie; przeniesienie nie zwalnia z odpowiedzialności z tytułu nadzoru; nie można przenieść np. ryzyka utraty reputacji;

2) tolerowanie, które oznacza zaakceptowanie zidentyfikowanego poziomu ryzyka; reakcja ta występuje w przypadku, gdy istnieją określone trudności w przeciwdziałaniu ryzykom, a także gdy koszty podjętych działań mogą przekroczyć przewidywane korzyści;

3) działanie, które polega na ustanowieniu mechanizmów kontrolnych w ramach procesu; reakcja ta prowadzi do likwidacji ryzyka lub jego ograniczenia;

4) wycofanie, które następuje w przypadku, gdy nie ma możliwości obniżenia ryzyka do poziomu akceptowalnego dla dyrektora komórki organizacyjnej lub wyższego kierownictwa lub istnieje taka możliwość, ale koszty są niewspółmierne do przewidywanych efektów (np. nie można zrealizować zadania z uwagi na brak budżetu, personelu lub zaistniałą sytuację szczególną itp.), a podjęcie działania mogłoby wywołać gorsze skutki niż jego zaniechanie, o ile ich realizacja nie jest obligatoryjna.

Rozdział 4

Monitorowanie ryzyka

§ 11

1. Monitoring działań podjętych w ramach zarządzania ryzykiem w Ministerstwie jest procesem ciągłym, realizowanym na każdym szczeblu zarządzania w ramach kontroli zarządczej i pozwalającym na podejmowanie decyzji w odpowiednim czasie.

2. Za monitorowanie wartości poszczególnych ryzyk odpowiadają właściciele ryzyka.

3. Proces monitorowania ryzyka obejmuje m.in. obserwację zidentyfikowanych ryzyk poprzez:

1) dokonanie przeglądu w celu określenia, czy ryzyko uległo zmianie;

2) sprawdzenie, czy punktowa ocena ryzyka jest wciąż odpowiednia;

3) wskazanie ryzyk dotychczas niezidentyfikowanych.

4. Z dokonanego okresowego przeglądu i oceny ryzyk dyrektor komórki organizacyjnej/właściciel procesu przedkłada informację w postaci wypełnionego arkusza analizy ryzyka (załącznik nr 1/załącznik nr 2) do Biura Kontroli, w terminach określonych w § 7 ust. 1.

5. Na podstawie złożonych informacji, o których mowa powyżej, Biuro Kontroli sporządza projekt sprawozdania i przedkłada je Zespołowi do akceptacji, w celu przedłożenia Ministrowi.