REKLAMA
Dzienniki Urzędowe - rok 2017 poz. 28
KOMUNIKAT
MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ1)
z dnia 12 września 2017 r.
w sprawie szczegółowych wytycznych w zakresie kontroli zarządczej dla jednostek podległych i nadzorowanych w działach administracji rządowej gospodarka morska, rybołówstwo i żegluga śródlądowa
Na podstawie art. 69 ust. 5 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późń. zm.2)), ustala się szczegółowe wytyczne w zakresie kontroli zarządczej dla działów administracji rządowej gospodarka morska, rybołówstwo i żegluga śródlądowa, zwane dalej "wytycznymi":
Rozdział 1
Przepisy ogólne
§ 1.
§ 2.
1) cele strategiczne - najważniejsze cele jednostki, wynikające z przyjętej misji, mające stały i ogólny charakter, dotyczące dłuższego horyzontu czasu i mające swoje odzwierciedlenie w dokumentach strategicznych;
2) cele operacyjne - cele, które wynikają z celów strategicznych i stanowią ich uszczegółowienie, dotyczą konkretnych działań realizowanych w rocznej perspektywie czasu, są przypisanie właściwym wewnętrznym komórkom organizacyjnym jednostki i są uwzględniane w planie działalności jednostki;
3) działy - działy administracji rządowej gospodarka morska, rybołówstwo i żegluga śródlądowa, w rozumieniu ustawy z dnia 4 września 1997 r. o działach administracji rządowej (Dz. U. z 2017 poz. 888 i 1086), którymi kieruje Minister Gospodarki Morskiej i Żeglugi Śródlądowej;
4) incydent - wystąpienie lub zmiana konkretnego zestawu okoliczności mających wpływ na ryzyko i mogących doprowadzić do materializacji ryzyka;
5) istotność ryzyka - ocena ryzyka wyliczana jako iloczyn prawdopodobieństwa wystąpienia danego ryzyka i jego wpływu na działalność jednostki;
6) jednostki - wszystkie objęte kontrolą zarządczą jednostki organizacyjne w działach podległe lub nadzorowane przez Ministra Gospodarki Morskiej i Żeglugi Śródlądowej;
7) kierownik jednostki - osoba kierująca jednostką lub osoba upoważniona do wykonywania jej zadań;
8) kierownik komórki organizacyjnej jednostki - osoba kierująca komórką organizacyjną jednostki lub osoba upoważniona do wykonywania jej zadań;
9) komórka organizacyjna jednostki - departament, biuro, zespół, stanowisko lub inna wewnętrzna komórka organizacyjna określona w regulaminie organizacyjnym jednostki;
10) koordynator kontroli zarządczej - osoba lub komórka organizacyjna jednostki wyznaczona przez kierownika jednostki, właściwa do spraw kontroli zarządczej, w tym nadzorowania procesu zarządzania ryzykiem w jednostce;
11) mechanizm kontroli ryzyka - proces, polityka, procedura, urządzenie, techniczne zabezpieczenie, dobra praktyka lub inne działanie, które jest stosowane w celu zapobiegania ryzykom lub redukowania skutków w przypadku zmaterializowania się ryzyka;
12) Minister - Minister Gospodarki Morskiej i Żeglugi Śródlądowej;
13) misja jednostki - ogólny cel istnienia jednostki, kierunek w którym jednostka zmierza;
14) osoby zarządzające - kierownictwo jednostki organizacyjnej w dziale oraz osoby kierujące komórkami organizacyjnymi tej jednostki;
15) oświadczenie o stanie kontroli zarządczej Ministra - oświadczenie o stanie kontroli zarządczej, sporządzone zgodnie z przepisami wydanymi na podstawie art. 70 ust. 6 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych;
16) oświadczenie o stanie kontroli zarządczej kierownika jednostki - oświadczenie o stanie kontroli zarządczej składane przez kierownika jednostki i uwzględniane w oświadczeniu o stanie kontroli zarządczej Ministra;
17) plan działalności jednostki - plan działalności jednostki na dany rok określający cele, zadania i mierniki określające stopień realizacji celów jednostki określone w rocznej perspektywie;
18) przyczyny wystąpienia ryzyka - zdarzenia, czynniki wewnętrzne i zewnętrzne, które zwiększają prawdopodobieństwo wystąpienia ryzyka i mogą spowodować wystąpienie ryzyka;
19) ryzyko - możliwość wystąpienia z określonym prawdopodobieństwem zdarzenia o negatywnym wpływie na realizację zaplanowanych celów i zadań;
20) ryzyko nieakceptowalne - ryzyko o określonym prawdopodobieństwie mogące spowodować nieakceptowalne dla jednostki konsekwencje;
21) ryzyko zmaterializowane - ryzyko, które wystąpiło w analizowanym okresie czasu (od poprzedniej do bieżącej oceny);
22) samoocena - proces oceny funkcjonowania systemu kontroli zarządczej w odniesieniu do standardów kontroli zarządczej w jednostkach sektora finansów publicznych;
23) sprawozdanie z wykonania planu działalności jednostki - sprawozdanie z wykonania planu działalności za rok ubiegły;
24) wpływ wystąpienia ryzyka - konsekwencje wynikające ze zmaterializowania się ryzyka oceniane po uwzględnieniu stosowanych mechanizmów kontroli;
25) właściciel ryzyka - kierownik komórki organizacyjnej jednostki odpowiedzialny za zarządzanie ryzykiem zidentyfikowanym w jego obszarze zarządzania i rozliczany z tego zarządzania;
26) zarządzanie ryzykiem - skoordynowane działania dotyczące kierowania i nadzorowania jednostki w odniesieniu do ryzyka. Zarządzanie ryzykiem to proces identyfikacji, analizy, oceny i przeciwdziałania ryzyku oraz monitorowania ryzyka i mechanizmów kontroli ryzyka.
§ 3.
2. Kontrola zarządcza w działach obejmuje, ustalone odrębnie dla I i II poziomu kontroli zarządczej, o których mowa w komunikacie nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. MF poz. 84), procedury i wytyczne tworzące system wyznaczania celów i zadań dla jednostek w działach oraz system monitorowania realizacji wyznaczonych celów i zadań.
3. Podstawowym poziomem funkcjonowania kontroli zarządczej w całym sektorze finansów publicznych jest jednostka sektora finansów publicznych (I poziom kontroli zarządczej). Za funkcjonowanie kontroli zarządczej w jednostce odpowiedzialny jest jej kierownik.
4. W ramach administracji rządowej funkcjonuje także II poziom kontroli zarządczej, tj. kontrola zarządcza na poziomie działu administracji rządowej. Za funkcjonowanie kontroli zarządczej na tym poziomie odpowiada odpowiednio minister kierujący danym działem administracji rządowej.
5. Minister jest odpowiedzialny za zapewnienie adekwatnego, skutecznego i efektywnego systemu kontroli zarządczej w ministerstwie (jako kierownik jednostki) oraz w dziale administracji rządowej (jako minister kierujący działem).
6. Niezależnie od poziomu wykonywanej kontroli zarządczej, procedury i wytyczne stosowane w tej kontroli służą zapewnieniu we wszystkich jednostkach w działach celów określonych w art. 68 ust. 2 ustawy o finansach publicznych.
§ 4.
2. Zobowiązuje się jednostki do przekazywania Ministrowi informacji i dokumentów w zakresie i terminach określonych w wytycznych.
Rozdział 2
Zalecany system kontroli zarządczej
§ 5.
2. Kierownik jednostki w ramach zapewnienia prawidłowego funkcjonowania kontroli zarządczej określa system kontroli zarządczej, nadzoruje jego funkcjonowanie oraz wyznacza kierunki jego rozwoju, w szczególności w zakresie:
1) planowania działalności jednostki w tym sporządzania planu działalności jednostki na dany rok oraz sprawozdania z wykonania planu działalności jednostki za rok ubiegły przekazywanych do Ministra;
2) monitorowania realizacji celów i zadań ujętych w planie działalności jednostki;
3) zarządzania ryzykiem;
4) przeprowadzania samooceny kontroli zarządczej;
5) dokumentowania działań związanych z funkcjonowaniem kontroli zarządczej w jednostce.
§ 6.
1) sporządzania planu działalności komórki organizacyjnej;
2) monitorowania realizacji celów i zadań ujętych w planie działalności jednostki, a także innych dokumentach planistycznych w zakresie swojej właściwości;
3) zarządzania ryzykiem;
4) przeprowadzania samooceny kontroli zarządczej w odniesieniu do standardów kontroli zarządczej w jednostkach sektora finansów publicznych;
5) dokumentowania działań związanych z funkcjonowaniem kontroli zarządczej w komórce organizacyjnej.
2. Pracownicy jednostki powinni zostać zaangażowani w system kontroli zarządczej w zakresie określonym w wytycznych, regulaminie organizacyjnym jednostki, opisach stanowisk pracy lub zakresach obowiązków oraz w udzielonych im pełnomocnictwach i upoważnieniach, a także odpowiadać za realizację tych procesów w zakresie swoich kompetencji.
§ 7.
1) zespół do spraw oceny ryzyka (o ile struktura organizacyjna jednostki uzasadnia taką potrzebę);
2) koordynator kontroli zarządczej;
3) właściciel ryzyka.
2. O ile jednostka, zgodnie z art. 274 ust. 1-6 ustawy o finansach publicznych, jest zobowiązana do prowadzenia audytu wewnętrznego, zaleca się aby w ramach systemu kontroli zarządczej komórka audytu wewnętrznego dokonywała systematycznej, niezależnej i obiektywnej oceny funkcjonowania kontroli zarządczej w jednostce poprzez realizację zadań audytowych.
§ 8.
1) koordynuje proces przygotowania planu działalności jednostki w oparciu o plany działalności komórek organizacyjnych jednostki;
2) przygotowuje projekt sprawozdania z wykonania planu działalności jednostki za rok ubiegły na podstawie sprawozdań z wykonania planów działalności komórek organizacyjnych jednostki;
3) sporządza okresowo lub na wniosek kierownika jednostki informację o postępach w realizacji celów i zadań ujętych w planie działalności jednostki oraz ewentualnych zagrożeniach i podjętych lub proponowanych działaniach zaradczych;
4) koordynuj e proces zarządzania ryzykiem w jednostce;
5) koordynuje przeprowadzanie samooceny;
6) przygotowuje projekt oświadczenia kierownika jednostki o stanie kontroli zarządczej i przekazuje go do Ministra;
7) zapewnia jednolite standardy w zakresie systemu kontroli zarządczej, w tym w szczególności w zakresie identyfikacji, analizy i oceny ryzyka w jednostce.
§ 9.
2. Zaleca się przyjęcie następującego zakresu odpowiedzialności i uprawnień właściciela ryzyka:
1) identyfikacja ryzyk zagrażających realizacji celów i zadań w podległym obszarze zarządzania;
2) zarządzanie podległym ryzykiem, w tym okresowa analiza i ocena ryzyka, jak również analiza i ocena stosowanych mechanizmów kontroli;
3) przygotowywanie propozycji sposobu postępowania z ryzykiem oraz wdrażanie planów postępowania z ryzykiem;
4) bieżące monitorowanie ryzyka, w tym dostarczanie kierownikowi jednostki kompletnej i wiarygodnej informacji na temat ryzyka oraz mechanizmów kontroli;
5) współpraca z koordynatorem kontroli zarządczej w zakresie niezbędnym dla zapewnienia efektywnego systemu kontroli zarządczej.
3. Właściciel ryzyka, w zakresie swojej właściwości, może wyznaczyć opiekuna ryzyka w danym obszarze działania.
4. Opiekun ryzyka powinien wspierać właściciela ryzyka we wszelkiego rodzaju zadaniach wynikających z systemu kontroli zarządczej, w szczególności w wykonywaniu zadań związanych z procesem zarządzania ryzykiem.
§ 10.
2. System kontroli zarządczej w działach powinien stanowić zbiór procedur i wytycznych odnoszących się do wyznaczania celów i zadań oraz monitorowania ich realizacji, oraz powinien zostać określony dla następujących elementów tej kontroli:
1) środowisko wewnętrzne;
2) cele i zarządzanie ryzykiem;
3) mechanizmy kontroli;
4) informacja i komunikacja;
5) monitorowanie i ocena.
§ 11.
1) przestrzeganie wartości etycznych;
2) kompetencje zawodowe pracowników jednostki w działach;
3) struktura organizacyjna jednostki w działach;
4) właściwe delegowanie uprawnień.
2. Zaleca się, określić w jednostce standardy etycznego postępowania, które powinny być stosowane przez osoby zarządzające i pozostałych pracowników.
3. Zaleca się, aby procedury i wytyczne kontroli zarządczej w jednostce koncentrowały się na zapewnieniu świadomości pracowników w zakresie wartości etycznych przyjętych w jednostce i ich przestrzegania przy podejmowaniu decyzji i wykonywaniu powierzonych zadań. Procedury i wytyczne powinny także uwzględniać, że osoby zarządzające powinny wspierać i promować przestrzeganie wartości etycznych, dając dobry przykład codziennym postępowaniem i podejmowanymi decyzjami.
4. W zakresie kompetencji zawodowych pracowników jednostki zaleca się:
1) przestrzeganie zasady, że osoby zarządzające i pozostali pracownicy powinni posiadać wiedzę, umiejętności i doświadczenie pozwalające skutecznie i efektywnie wypełniać powierzone zadania;
2) ustanowienie procedury rekrutacji oraz zawarcie w niej mechanizmów kontrolnych koniecznych do obiektywnego wyboru najlepszego kandydata na dane stanowisko pracy;
3) ustalenie właściwych zakresów czynności pracowników jednostki oraz mechanizmów pozwalających zapewnić adekwatność zakresów czynności pracowników;
4) utworzenie zorganizowanego systemu zbierania informacji na temat potrzeb szkoleniowych i ich realizacji oraz stworzenie mechanizmów zapewniających możliwość rozwoju kompetencji zawodowych pracowników jednostki.
5. Struktura organizacyjna jednostki powinna być dostosowana do aktualnych celów i zadań tej jednostki.
6. Zakres zadań, uprawnień i odpowiedzialności jednostki, poszczególnych komórek organizacyjnych jednostki oraz aktualny zakres obowiązków, uprawnień i odpowiedzialności każdego pracownika powinien być określony w formie pisemnej w sposób przejrzysty i spójny. W celu realizacji powyższego wymagania zaleca się cykliczne dokonywanie przeglądów ustanowionego regulaminu organizacyjnego jednostki, regulaminów poszczególnych komórek organizacyjnych jednostki oraz zakresów czynności pracowników jednostki.
7. Funkcjonowanie kontroli zarządczej w jednostce w zakresie delegowania uprawnień polega na zdecentralizowaniu procesu decyzyjnego i przypisaniu uprawnień decyzyjnych wskazanym przez kierownika jednostki pracownikom. W tym celu zaleca się:
1) precyzyjne określenie zakresu uprawnień delegowanych poszczególnym osobom kierującym komórkami organizacyjnymi lub pozostałym pracownikom, przy czym zakres delegowanych uprawnień powinien być odpowiedni do wagi podejmowanych decyzji, stopnia ich skomplikowania i ryzyka z nimi związanego;
2) delegowanie uprawnień do podejmowania decyzji wraz z odpowiedzialnością za podjęte decyzje na jak najniższy akceptowalny poziom;
3) przekazanie uprawnień w formie odrębnego imiennego upoważnienia albo wskazania w regulaminie organizacyjnym jednostki;
4) prowadzenie przez jednostkę zbiorczego rejestru wydanych pełnomocnictw i upoważnień.
§ 12.
2. Zarządzanie ryzykiem w jednostce ma przyczynić się do poprawy zarządzania we wszystkich obszarach działalności jednostki oraz ograniczyć ewentualne negatywne skutki zdarzeń do akceptowalnego poziomu, w szczególności w zakresie skutecznego i efektywnego zarządzania zasobami, zapewnienia ochrony majątku i efektywności finansowej oraz ochrony wizerunku jednostki.
3. System celów i zarządzania ryzykiem obejmuje:
1) określenie misji jednostki;
2) określenie celów i zadań oraz monitorowanie i ocenę ich realizacji;
3) identyfikację ryzyka;
4) analizę ryzyka;
5) reakcję na ryzyko.
4. Zaleca się określić misję jednostki, która stanowi wsparcie w ustaleniu hierarchii celów i zadań oraz efektywnemu zarządzaniu ryzykiem. Zaleca się, aby misja stanowiła krótki i syntetyczny opis celu istnienia jednostki i była publicznie dostępna.
5. Na podstawie misji powinny być formułowane cele strategiczne i operacyjne.
6. Ustalane cele i zadania powinny być spójne z celami i zadaniami Ministra, budżetem zadaniowym danej jednostki i innymi dokumentami o charakterze strategicznym.
7. Określając cele i zadania jednostki w działach należy wskazać także komórki organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie.
8. Określając cele, należy zapewnić, aby były one:
1) proste, precyzyjne i konkretne - ich rozumienie nie powinno stanowić trudności, powinny być sformułowane jednoznacznie i nie powinny pozostawiać miejsca na dowolną interpretację. Należy unikać określania celów jako działań, natomiast przedstawiać je jako rezultaty działań;
2) mierzalne - sformułowane tak, aby możliwe było liczbowe wyrażenie stopnia realizacji celu za pomocą obranych mierników;
3) realistyczne - wyznaczenie celów powinno się opierać na ocenionym i przeanalizowanym ryzyku jego realizacji. Cele powinny zakładać rozwój i postęp wyników w danym obszarze, a nie utrwalać stan obecny, chyba że stan ten jest optymalny z punktu widzenia realizowanych przez jednostkę funkcji, a założeniem celu jest utrzymanie tego poziomu;
4) istotne - cele muszą stanowić określoną wartość dla realizujących. Cele powinny obejmować najważniejsze obszary działalności jednostki i komórki organizacyjnej;
5) określone w czasie - cele powinny mieć określony horyzont czasowy, w jakim zamierza się je osiągnąć. Cele powinny się odnosić do przyszłości w kontekście stanu istniejącego w chwili obecnej, tj. opisywanego przez wartość bazową konkretnego miernika.
9. Do każdego celu należy określić co najmniej jeden miernik, określający stopień realizacji celu. Mierniki powinny:
1) umożliwiać rzetelne i obiektywne określenie stopnia realizacji celu; mierniki nie mogą posiadać wartości logicznych (TAK/NIE), opisowych, bazujących na subiektywnej ocenie;
2) odnosić się do rezultatu, jaki ma być osiągnięty;
3) mierzyć tylko to, na co jednostka ma wpływ;
4) bazować na wiarygodnych i łatwo dostępnych informacjach.
10. Jednostka jest zobowiązana do definiowania celów w sposób udokumentowany w formie Planu działalności jednostki na dany rok, według wzoru stanowiącego załącznik nr 1 do komunikatu. Kierownik jednostki zobowiązany jest do przekazywania planu działalności jednostki Ministrowi w terminie wskazanym w § 16 ust. 1 pkt 1.
11. Jednostka jest zobowiązana do bieżącego i okresowego udokumentowanego monitorowania realizacji celów i zadań oraz przekazania Ministrowi w terminie wskazanym w § 16 ust. 1 pkt 2 sprawozdania z wykonania planu działalności jednostki za rok ubiegły.
12. Zaleca się opracowanie i wdrożenie procesu zarządzania ryzykiem, umożliwiającego systematyczną identyfikację, analizę i ocenę ryzyka zagrażającego realizacji celów. Zalecany system zarządzania ryzykiem określono w rozdziale 4.
§ 13.
1) spójnej dokumentacji systemu kontroli zarządczej obejmującej procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników i inne dokumenty wewnętrzne oraz rejestr obowiązujących przepisów wewnętrznych - przy czym dokumentacja ta powinna być dostępna dla wszystkich osób, dla których jest niezbędna;
2) nadzoru nad wykonaniem zadań w celu ich oszczędnej, efektywnej i skutecznej realizacji, z uwzględnieniem właściwego sposobu podziału zadań i odpowiedzialności oraz zakresu decyzji możliwych do podjęcia przez poszczególne osoby;
3) ciągłości działania jednostki, przy czym zaleca się:
a) sprawdzenie, czy funkcjonują w jednostce mechanizmy kontrolne zapobiegające zdarzeniom, które mogą spowodować zatrzymanie działalności - w ramach przeprowadzanej analizy ryzyka należy również uwzględnić tego typu zdarzenia,
b) wskazanie osób zastępujących każdego z pracowników w przypadku jego nieobecności,
c) wskazanie osób zastępujących poszczególne osoby zarządzające podczas ich nieobecności,
d) opracowanie planu bezpieczeństwa na wypadek przerw w działaniu systemów informatycznych;
4) ochrony zasobów, w ramach której zaleca się:
a) zapewnienie dostępu do zasobów jednostki jedynie upoważnionym osobom,
b) powierzenie odpowiedzialności kierującym komórkami organizacyjnymi jednostki i pozostałym pracownikom za zapewnienie ochrony i właściwe wykorzystanie zasobów jednostki,
c) weryfikowanie, czy dostęp do poszczególnych zasobów, w tym m.in. do danych osobowych jest limitowany oraz przypisany do właściwych osób, z uwzględnieniem wyników analizy i oceny ryzyka w tym zakresie;
5) szczegółowych mechanizmów kontroli dotyczących operacji finansowych, które powinny zapewniać:
a) rzetelne i pełne dokumentowanie i rejestrowanie operacji finansowych,
b) zatwierdzanie (autoryzację) operacji finansowych przez kierownika jednostki lub osoby przez niego upoważnione,
c) podział kluczowych obowiązków w zakresie operacji finansowych pomiędzy osobami zarządzającymi i pozostałymi pracownikami,
d) weryfikację operacji finansowych przed i po realizacji;
6) szczegółowych mechanizmów kontroli dotyczących systemów informatycznych, w ramach których należy określić:
a) mechanizmy służące zapewnieniu bezpieczeństwa danych i systemów informatycznych, obejmujące m.in. mechanizmy kontroli dostępu do zasobów informatycznych, mające na celu ich ochronę przed nieautoryzowanymi zmianami, utratą lub ujawnieniem,
b) mechanizmy kontroli oprogramowania systemowego w jednostce.
2. Mechanizmy kontroli powinny stanowić odpowiedź na konkretne ryzyko, przy czym koszty wdrożenia i stosowania mechanizmów kontroli nie powinny być wyższe niż uzyskane dzięki nim korzyści.
3. Zaleca się dokonanie przeglądu obowiązujących w jednostce procedur określających mechanizmy kontroli, np. w zakresie zarządzania i dokumentowania operacji finansowych i udzielania zamówień publicznych, w celu weryfikacji, czy odpowiadają one zidentyfikowanym ryzykom.
4. Decyzja o wprowadzeniu dodatkowych mechanizmów kontroli powinna wynikać z analizy ryzyka uwzględniającej już istniejące mechanizmy kontroli, w tym także analizy kosztów wprowadzenia dodatkowych mechanizmów.
§ 14.
2. Osoby zarządzające i pozostali pracownicy powinni mieć zapewniony dostęp do informacji niezbędnych do wykonywania przez nich obowiązków. System komunikacji powinien umożliwiać przepływ potrzebnych informacji wewnątrz jednostki, zarówno w kierunku pionowym, jak i poziomym.
3. Procedury i wytyczne kontroli zarządczej w ramach standardów z obszaru Informacja i komunikacja służą zapewnieniu:
1) bieżącej informacji, przy czym:
a) zarówno osoby zarządzające, jak i pozostali pracownicy, powinni mieć zapewnione, w odpowiedniej formie i czasie, właściwe oraz rzetelne informacje potrzebne do realizacji zadań,
b) każdy z pracowników powinien otrzymać dostęp do informacji, które są przez niego wykorzystywane w codziennej pracy; zaleca się przeprowadzenie analizy ryzyka w zakresie informacji dostępnych dla poszczególnych osób ze szczególnym zwróceniem uwagi na stosowane mechanizmy kontroli;
2) komunikacji wewnętrznej gwarantującej:
a) efektywne mechanizmy przekazywania ważnych informacji w obrębie struktury organizacyjnej jednostki,
b) posiadanie przez pracowników koniecznej wiedzy na temat organizacji jednostki i jej funkcjonowania w zakresie realizowanych obowiązków,
c) przekazywanie informacji na temat kluczowych problemów i ryzyk oraz stosowanych mechanizmów kontroli w określony sposób oraz w ustalonym czasie i formie;
3) komunikacji zewnętrznej gwarantującej efektywny system wymiany ważnych informacji z podmiotami zewnętrznymi mającymi wpływ na osiąganie celów i realizację zadań jednostki, przy czym:
a) w pierwszej kolejności na zewnątrz powinny być przekazywane informacje wymagane przepisami prawa;
b) w ramach komunikacji zewnętrznej zaleca się wskazywanie w procedurach i wytycznych zakresu informacji przekazywanych na zewnątrz (np. za pośrednictwem Biuletynu Informacji Publicznej, strony internetowej jednostki, przez rzecznika prasowego).
§ 15.
2. Procedury i wytyczne kontroli zarządczej w jednostce w działach w zakresie standardów z obszaru Monitorowanie i ocena koncentrują się na zapewnieniu:
1) monitorowania systemu kontroli zarządczej, przy czym:
a) należy monitorować skuteczność poszczególnych elementów systemu kontroli zarządczej, w celu bieżącego rozwiązywanie zidentyfikowanych problemów, pod kątem:
- właściwego stosowania wszystkich elementów systemu kontroli zarządczej,
- aktualności danych w zakresie analizy ryzyka i możliwości realizacji na ich podstawie działań w zakresie postępowania z kluczowymi ryzykami,
b) do kierownika jednostki należy monitorowanie systemu kontroli zarządczej, w tym wydawanie oświadczeń o stanie kontroli zarządczej, bieżące przekazywanie Ministrowi informacji, które mogą mieć wpływ na ocenę i doskonalenie kontroli zarządczej, w szczególności w zakresie ustaleń zewnętrznych organów kontroli i nadzoru, audytu wewnętrznego oraz kontroli resortowej;
2) monitorowania stanu realizacji celów i zadań przyjętych do realizacji w danym roku - sprawozdanie z wykonania planu działalności jednostki w danym roku;
3) samooceny kontroli zarządczej, która powinna być przeprowadzana co najmniej raz w roku zarówno przez osoby zarządzające, jak i pozostałych pracowników jednostki, i udokumentowana, przy czym zaleca się aby:
a) samoocena dokonywana była z użyciem anonimowych formularzy ankietowych uwzględniających ocenę wszystkich standardów kontroli zarządczej oraz specyfikę działania jednostki,
b) podsumowanie wyników samooceny uwzględniało w szczególności ogólną ocenę funkcjonowania systemu kontroli zarządczej, zidentyfikowane słabości systemu kontroli zarządczej oraz proponowane działania naprawcze;
4) audytu wewnętrznego, który w ramach realizowanych zadań audytowych powinien również badać efektywność i skuteczność ustanowionego systemu kontroli zarządczej, w tym w zakresie zarządzania ryzykiem, w celu:
a) identyfikacji nowych ryzyk dotychczas nieujętych w rejestrze ryzyka,
b) określenia skuteczności stosowanych mechanizmów kontroli ryzyka,
c) monitorowania skuteczności działań podejmowanych w odniesieniu do ryzyk, uznanych za krytyczne,
d) doskonalenia procesu zarządzania ryzykiem w jednostce;
5) sprawnego funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej, przy czym:
a) źródłem informacji o stanie kontroli zarządczej uzyskiwanej przez kierownika jednostki powinny być w szczególności wyniki monitorowania, samooceny oraz przeprowadzonych audytów i kontroli,
b) końcowym efektem przeprowadzonej analizy i oceny ryzyka oraz stosowanych mechanizmów kontroli powinno być uzyskanie przez kierownika jednostki zapewnienia w zakresie realizowanych celów i zadań.
Rozdział 3
Obowiązki kierowników jednostek wobec Ministra
§ 16.
1) sporządzania planu działalności jednostki na rok kolejny oraz przekazania go do Ministra w terminie do 10 września każdego roku;
2) sporządzania sprawozdania z wykonania planu działalności jednostki za rok ubiegły oraz przekazywania do Ministra w terminie do 20 marca każdego roku;
3) sporządzania oświadczenia o stanie kontroli zarządczej za rok ubiegły oraz przekazywania go do Ministra w terminie do 10 marca każdego roku, przy czym w przypadku złożenia oświadczenia o stanie kontroli zarządczej w stopniu wystarczającym (A) do oświadczenia należy dołączyć uzasadnienie zawierające omówienie:
a) działań dotyczących monitorowania poszczególnych elementów systemu kontroli zarządczej, w tym monitorowania celów i zadań ujętych w planie działalności jednostki;
b) wyników samooceny;
c) informacji uzyskanych w procesie zarządzania ryzykiem;
d) wyników zewnętrznych i wewnętrznych audytów i kontroli.
2. Dokumenty, o których mowa w ust. 1 pkt 1-3 przekazywane są do Ministra, za pośrednictwem Koordynatora kontroli zarządczej w Ministerstwie, którego rolę pełni Biuro Dyrektora Generalnego Ministerstwa.
Rozdział 4
Zalecany system zarządzania ryzykiem w jednostkach
§ 17.
2. Zalecany system zarządzania ryzykiem w jednostkach składa się z następujących etapów:
1) identyfikacja ryzyka;
2) analiza ryzyka;
3) ocena ryzyka;
4) postępowanie z ryzykiem;
5) monitorowanie ryzyka.
3. Identyfikacja ryzyka polega na wyszukiwaniu, rozpoznaniu i opisaniu występującego lub możliwego do wystąpienia ryzyka zagrażającego skutecznej i efektywnej realizacji celów i zadań ujętych w planie działalności jednostki na dany rok.
4. Ryzyka są identyfikowane przez kierowników komórek organizacyjnych pełniących rolę właścicieli ryzyka.
5. Podczas identyfikacji i analizy ryzyka wykorzystuje się specjalistyczną wiedzę właściciela ryzyka z danego obszaru, doświadczenia z przeszłości, informacje o zaistniałych incydentach oraz przypadkach materializacji ryzyka, ustalenia wewnętrznych oraz zewnętrznych audytów i kontroli oraz wyniki samooceny dokonywanej w komórce organizacyjnej.
§ 18.
2. Analiza ryzyka może być dokonywana przy użyciu następujących możliwych technik:
1) narady poświęcone omawianiu, ocenie i rozliczaniu z realizacji zadań w zakresie zarządzania ryzykiem;
2) warsztaty dla pracowników poświęcone analizie zagrożeń;
3) badanie ankietowe;
4) analiza wyników samooceny kontroli zarządczej;
5) analiza wyników audytów lub kontroli zewnętrznych i wewnętrznych dotyczących działania poszczególnych komórek organizacyjnych.
§ 19.
1) przygotować opis pozwalający na jednoznaczną interpretację ryzyka;
2) wskazać potencjalne przyczyny wewnętrzne i/lub zewnętrzne mogące doprowadzić do wystąpienia ryzyka;
3) wskazać mechanizmy kontroli ryzyka stosowane na dzień przeprowadzania analizy;
4) dokonać oceny skuteczności i efektywności stosowanych mechanizmów kontroli przez wskazanie odpowiedniej liczby punktów na skali oceny;
5) wskazać, czy dane ryzyko uległo materializacji lub wystąpiły incydenty mogące doprowadzić do materializacji ryzyka, a jeżeli tak - opisać zaistniałą sytuację;
6) określić prawdopodobieństwo wystąpienia ryzyka przez wskazanie odpowiedniej liczby punktów na skali oceny;
7) określić wpływ wystąpienia ryzyka, poprzez wskazanie odpowiedniej liczby punktów na skali oceny.
2. Przez mechanizmy kontroli ryzyka należy rozumieć polityki, procedury, techniczne środki zabezpieczeń oraz inne zaprojektowane rozwiązania, jak również dobre praktyki stosowane w celu prewencji zdarzeń i/lub redukcji wpływu w przypadku zmaterializowania się ryzyka. Skala oceny skuteczności i efektywności wdrożonych mechanizmów kontroli ryzyka pozwala na ocenę działań zarządczych wdrożonych względem zidentyfikowanych ryzyk. Skuteczność mechanizmów kontroli może być oceniana według proponowanej skali.
| Skuteczność mechanizmów kontroli ryzyka | ||
| 1 | Bardzo słaba | Mechanizmy kontroli funkcjonują nieformalnie, nie są stosowane, bardzo wysoki potencjał do poprawy |
| 2 | Słaba | Mechanizmy kontroli funkcjonują nieformalnie, stwierdzono znaczące uchybienia w stosowaniu, wysoki potencjał do poprawy |
| 3 | Średnia | Mechanizmy kontroli wprowadzono formalnie, stwierdzono nieznaczne uchybienia w stosowaniu, średni potencjał do poprawy |
| 4 | Dobra | Mechanizmy kontroli wprowadzono formalnie, nie stwierdzono uchybień w stosowaniu, umiarkowany potencjał do poprawy |
| 5 | Bardzo dobra | Mechanizmy kontroli wprowadzono formalnie, nie stwierdzono uchybień w stosowaniu, a mechanizmy są adekwatne i optymalne do stawianych przed nimi zadań |
3. Pierwszym kryterium oceny każdego z ryzyk jest prawdopodobieństwo wystąpienia ryzyka na dzień przeprowadzenia analizy po zastosowaniu działań określonych jako mechanizmy kontroli ryzyka. Proponowana skala oceny prawdopodobieństwa wystąpienia ryzyka wskazana została poniżej.
| Prawdopodobieństwo | Opis | |
| 1 | Prawie niemożliwe | 0 - 10%; Ryzyko raczej nie wystąpi lub możliwość jego wystąpienia jest znikoma (bliska zera). Ryzyko nie materializowało się w dalekiej i bliskiej przeszłości. |
| 2 | Możliwe | 11 - 30%; Ryzyko może wystąpić sporadycznie. Materializowało się sporadycznie w dalekiej przeszłości (w okresie ostatnich 3 lat). |
| 3 | Prawdopodobne | 31 - 50%; Wystąpienie ryzyka jest realne. Materializowało się sporadycznie w bliższej przeszłości (w okresie ostatnich 2 lat). |
| 4 | Bardzo prawdopodobne | 51 - 70%; Istnieją racjonalne przesłanki by oceniać, że ryzyko raczej się zmaterializuje. Ryzyko materializowało się w okresie ostatniego roku. |
| 5 | Prawie pewne | Powyżej 70%; Istnieją racjonalne przesłanki by oceniać, że ryzyko zmaterializuje się w najbliższym czasie. Ryzyko materializowało się często w okresie ostatniego roku. |
4. Ocena wpływu wystąpienia ryzyka powinna być dokonywana w kilku kategoriach np. finanse, reputacja, realizacja celów i zadań, zgodność z przepisami prawa. Podczas dokonywania oceny atrybutów należy ocenić każdy rodzaj wpływu, a następnie wybrać odpowiednią liczbę punktów. W sytuacji, gdy wpływ wystąpienia ryzyka osiąga różne poziomy w zależności od kategorii, należy wybrać liczbę punktów odpowiadającą kategorii o maksymalnym wpływie (najgorszym dla jednostki). Wpływ na finanse mierzony jest kosztem zmaterializowania się ryzyka (koszty utraconych korzyści, koszt odtworzenia działalności, koszt podjętych w efekcie zmaterializowania się ryzyka działań). Dokonując analizy możliwych następstw danego ryzyka należy brać pod uwagę najbardziej prawdopodobne konsekwencje spowodowane zmaterializowaniem się ryzyka z uwzględnieniem stosowanych działań określonych w mechanizmach kontroli. Proponowana skala oceny wpływu wystąpienia ryzyka wskazana została poniżej.
| Wpływ | Opis | |
| 1 | Nieznaczący | Zdarzenie objęte ryzykiem nie powoduje zakłóceń lub opóźnień w realizacji celów i zadań, nie ma wpływu na finanse jednostki, nie wywołuje negatywnych informacji w mediach, nie ma wpływu na zgodność z przepisami prawa |
| 2 | Niewielki | Zdarzenie objęte ryzykiem powoduje niewielkie zakłócenia lub opóźnienia w realizacji celów i zadań, ma nieznaczny wpływ na finanse jednostki, wywołuje nieliczne, krótkoterminowe negatywne informacje w mediach lokalnych i regionalnych, niewielka niezgodność z procedurami i regulacjami wewnętrznymi |
| 3 | Istotny | Zdarzenie objęte ryzykiem powoduje umiarkowane zakłócenia lub opóźnienia w realizacji celów i zadań, ma umiarkowany wpływ na finanse jednostki, wywołuje liczne, długoterminowe negatywne informacje w mediach lokalnych i regionalnych, może powodować problemy z wywiązaniem się z obowiązków nałożonych prawem, niezgodność z zapisami umów lub poważna niezgodność z wewnętrznymi procedurami |
| 4 | Duży | Zdarzenie objęte ryzykiem powoduje istotne zakłócenia lub opóźnienia w realizacji kluczowych celów i zadań, ma znaczący wpływ na finanse jednostki, wywołuje nieliczne, krótkoterminowe negatywne informacje medialne w mediach ogólnokrajowych i branżowych, kwalifikowane jako naruszenie prawa zagrożone karą lub poważną niezgodność z zapisami umów Zdarzenie objęte ryzykiem uniemożliwia realizację kluczowych celów i zadań, może spowodować katastrofę finansową jednostki, wywołuje |
| 5 | Bardzo duży | liczne, długoterminowe negatywne informacje medialne w mediach ogólnokrajowych i branżowych, wywołuje rażącą niezgodność z przepisami prawa, w tym zagrożone karą |
5. Właściciele ryzyka mogą dokonać analizy i oceny ryzyka osobiście lub przy współpracy z wybranymi pracownikami pełniącymi rolę opiekunów ryzyka.
6. Właściciel ryzyka przeprowadza analizę ryzyka przy wykorzystaniu formularza Rejestr ryzyka stanowiącego załącznik nr 3 do komunikatu w formie elektronicznej z możliwością wydruku i podpisania przez kierownika jednostki.
§ 20.
2. Wyznaczona podczas oceny istotność ryzyka jest porównywana z określonym progiem akceptowalności ryzyka ustalonym przez kierownika jednostki.
3. Ryzyka nieakceptowalne mogą być wyznaczone przy wykorzystaniu macierzy ryzyka.
4. Proponowane poziomy ryzyka:
| Ryzyko nieakceptowalne | Ryzyko o istotności w przedziale od 15 do 25 punktów. Wymaga bezwzględnego podjęcia dodatkowych działań ograniczających ryzyko. Należy opracować Plan postępowania z ryzykiem nieakceptowalnym. Należy zwiększyć częstotliwość monitorowania ryzyka. |
| Ryzyko umiarkowane | Ryzyko o istotności w przedziale od 4 do 12 punktów (z wyjątkiem ryzyk, dla których prawdopodobieństwo i wpływ wystąpienia ryzyka jest równy 2). Nie wymaga podjęcia dodatkowych działań ograniczających ryzyko. Dopuszcza się opracowanie Planu postępowania z ryzykiem nieakceptowalnym. Ryzyko jest monitorowane z częstotliwością półroczną. |
| Ryzyko nieznaczne | Ryzyko o istotności w przedziale od 1 do 3 punktów oraz ryzyka, dla których prawdopodobieństwo i wpływ wystąpienia ryzyka jest równy 2. Nie wymaga podjęcia dodatkowych działań ograniczających ryzyko. Nie wymaga opracowania Planu postępowania z ryzykiem nieakceptowalnym. Ryzyko jest monitorowane z częstotliwością półroczną. |
5. Dla ryzyk ocenionych jako nieakceptowalne właściciel ryzyka przygotowuje propozycję planów postępowania z tymi ryzykami.
6. W celu określenia sposobu postępowania z ryzykiem nieakceptowalnym należy przeanalizować:
1) przyczyny (podatności, źródła) ryzyka i możliwe scenariusze rozwoju;
2) skuteczność istniejących mechanizmów kontroli, tj. zakres, w jakim przeciwdziałają ryzyku lub minimalizują jego konsekwencje, ich skuteczność i efektywność;
3) koszty i korzyści związane z wdrożeniem nowych mechanizmów kontroli ryzyka.
7. Przyjmuje się, że w odniesieniu do ryzyka nieakceptowalnego można podjąć następujące rodzaje działań:
1) unikanie ryzyka - świadoma decyzja o nieangażowaniu się lub odejściu od ryzyka, działanie w celu eliminacji narażenia na konkretne ryzyko; odejście od działań, które wiążą się z ryzykiem;
2) ograniczanie ryzyka - polega na podjęciu działań mających na celu minimalizację prawdopodobieństwa lub wpływu wystąpienia ryzyka lub obu jednocześnie, poprzez zwiększenie skuteczności stosowanych mechanizmów kontroli lub wdrożenie nowych;
3) dzielenie się ryzykiem - ograniczenie prawdopodobieństwa i wpływu wystąpienia danego ryzyka poprzez przekazanie w całości lub częściowo innej stronie, np. zawierając umowę ubezpieczenia lub inną umowę z podmiotem zewnętrznym;
4) akceptacja ryzyka - niepodejmowanie dodatkowych działań w odpowiedzi na ryzyko w sytuacji, gdy ryzyko jest zarządzane w sposób wystarczający; akceptacja ciężaru straty, wynikających z konkretnego ryzyka; przyjmuje się, iż ryzyka skrajne, nieakceptowalne można zaakceptować w przypadku braku możliwości podjęcia działań ograniczających poziom danego ryzyka.
8. W przypadku gdy istnieją trudności lub ograniczenia w przeciwdziałaniu ryzyku, a koszty działań ograniczających ryzyko mogą przekroczyć przewidywane korzyści, działania te mogą polegać na akceptacji ryzyka.
9. Wdrożone plany postępowania z ryzykiem nieakceptowalnym docelowo mogą stać się zmodyfikowanymi lub nowymi mechanizmami kontroli ryzyka.
10. Plan postępowania z ryzykiem nieakceptowalnym obejmuje swym zakresem następujące informacje:
1) opis planowanych działań ograniczających ryzyko;
2) planowany termin wdrożenia działań ograniczających ryzyko;
3) osoba odpowiedzialna za wdrożenie działania ograniczającego ryzyko wyznaczona przez właściciela ryzyka;
4) szacowany koszt wdrożenia.
11. Plan postępowania z ryzykiem nieakceptowalnym jest przygotowywany w formie udokumentowanej przy wykorzystaniu formularza Plan postępowania z ryzykiem nieakceptowalnym stanowiącego załącznik nr 4 do komunikatu.
12. Wskazane jest przedstawienie kilku propozycji alternatywnych rozwiązań minimalizujących ryzyko. Informacje na temat wszystkich propozycji minimalizacji danego ryzyka należy ująć w jednym formularzu dotyczącym Planu postępowania z ryzykiem nieakceptowalnym.
13. Zidentyfikowane i ocenione ryzyka są gromadzone i utrzymywane przez właścicieli ryzyka w formie cząstkowego rejestru ryzyka oraz zbiorczo dla całej jednostki przez koordynatora kontroli zarządczej w formie rejestru ryzyka jednostki.
§ 21.
2. Do zadań Zespołu może należeć w szczególności:
1) weryfikacja i opiniowanie kompletności rejestru ryzyk zidentyfikowanych w jednostce oraz adekwatności dokonywanych ocen;
2) rekomendowanie poziomu akceptowalności ryzyka kierownikowi jednostki;
3) weryfikacja listy ryzyk nieakceptowalnych i rekomendowanie jej kierownikowi jednostki;
4) opiniowanie proponowanych metod postępowania z ryzykiem i rekomendowanie ich kierownikowi jednostki;
5) wyznaczenie sposobu finansowania planów postępowania z ryzykiem nieakceptowalnym.
3. Zespół może działać w następujący sposób:
1) podejmować rozstrzygnięcia na posiedzeniach;
2) posiedzenia mogą odbywać się każdorazowo, gdy zaistnieje taka potrzeba, jednak nie rzadziej niż dwa razy do roku po kolejnej edycji procesu zarządzania ryzykiem;
3) podejmować rozstrzygnięcia zwykłą większością głosów;
4) w przypadku równej liczby głosów powinien rozstrzygać głos przewodniczącego Zespołu. W uzasadnionych przypadkach przewodniczący Zespołu może podjąć decyzję o rozpatrzeniu spraw i przeprowadzeniu głosowania w drodze korespondencyjnego uzgodnienia stanowisk (tryb obiegowy). Przyjęte w tym trybie rozstrzygnięcia powinny zostać przedstawiane na najbliższym posiedzeniu Zespołu.
§ 22.
2. Monitorowanie odbywa się w formie udokumentowanej. Zaleca się monitorowanie ryzyka z częstotliwością co najmniej półroczną, natomiast w przypadku ryzyk nieakceptowalnych z częstotliwością co najmniej kwartalną.
3. Monitorowanie ryzyka polega na okresowym sprawdzeniu, czy:
1) wystąpiły incydenty mogące doprowadzić do materializacji ryzyka lub ryzyko się zmaterializowało. W przypadku wystąpienia incydentu lub materializacji ryzyka należy opisać zaistniałą sytuację w cząstkowym rejestrze ryzyka;
2) poziom atrybutów ryzyka, tj. prawdopodobieństwa i wpływu wystąpienia ryzyka nie uległ zmianie - dla każdego ryzyka należy zweryfikować i wprowadzić aktualne wartości atrybutów ryzyka;
3) nie pojawiły się nowe ryzyka.
4. Na poziomie planów postępowania z ryzykiem nieakceptowalnym monitorowanie polega na sprawdzeniu, czy Plan postępowania z ryzykiem nieakceptowalnym został wdrożony zgodnie z przyjętymi założeniami.
5. Zaleca się określenie zasad nadzorowania wdrażanych planów postępowania z ryzykiem nieakceptowalnym w całej jednostce.
6. W przypadku powtarzania się ryzyka w ramach realizacji celów w różnych komórkach organizacyjnych jednostki koordynator kontroli zarządczej może wnioskować do Zespołu o:
1) agregację poziomu ryzyka do nieakceptowalnego, identyfikację i analizę ryzyka;
2) wyznaczenia właściciela ryzyka uprawnionego do zarządzania danym ryzykiem;
3) ewentualne sformułowanie działań w odpowiedzi ma ryzyko dla całej jednostki.
7. W przypadku braku wdrażania planów postępowania z ryzykiem lub gdy rodzaj i zakres podjętych działań są niewystarczające, koordynator kontroli zarządczej występuje do właściciela ryzyka o zaproponowanie modyfikacji istniejących planów.
| MINISTER |
| GOSPODARKI MORSKIEJ |
| I ŻEGLUGI ŚRÓDLĄDOWEJ |
| M.GRÓBARCZYK |
|
|
1) Minister Gospodarki Morskiej i Żeglugi Śródlądowej kieruje działami administracji rządowej - gospodarka morska, rybołówstwo i żegluga śródlądowa na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 17 listopada 2015 r. w sprawie szczegółowego zakresu działania Ministra Gospodarki Morskiej i Żeglugi Śródlądowej (Dz. U. poz. 1909 i 2091).
2) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948, 1984 i 2260 oraz z 2017 r. poz. 60, 191, 659, 933, 935, 1089, 1475, 1529 i 1537.
Załączniki
do Komunikatu Ministra Gospodarki Morskiej i Żeglugi Śródlądowej
z dnia 12 września 2017 r.
(Dz. Urz. MGMiŻŚ poz. 28)
Załącznik nr 1
PLAN DZIAŁALNOŚCI
Załącznik nr 2
SPRAWOZDANIE Z WYKONANIA PLANU DZIAŁALNOŚCI
Załącznik nr 3
REJESTR RYZYKA
Załącznik nr 4
PLAN POSTĘPOWANIA Z RYZYKIEM NIEAKCEPTOWALNYM
Załącznik nr 5
OŚWIADCZENIE O STANIE KONTROLI ZARZĄDCZEJ
- Data ogłoszenia: 2017-09-14
- Data wejścia w życie: 2017-09-14
- Data obowiązywania: 2017-09-14
- Dokument traci ważność: 2020-05-13
REKLAMA
Dzienniki Urzędowe
REKLAMA
REKLAMA