Dzienniki Urzędowe - rok 2021 poz. 10

Na podstawie art. 69 ust. 1 pkt 1 i art. 70 ust. 4 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869, z późn. zm.¹⁾ ) oraz art. 34 ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2021 r. poz. 178) zarządza się, co następuje:

Zarządzenie określa zasady i tryb wykonywania kontroli zarządczej w Ministerstwie Rodziny i Polityki Społecznej w działach administracji rządowej - zabezpieczenie społeczne i rodzina, w tym zakres odpowiedzialności za jej realizację oraz obowiązki jednostek podległych i nadzorowanych w ramach kontroli zarządczej

Ilekroć w zarządzeniu jest mowa o:

1) analizie ryzyka - należy przez to rozumieć proces oceny czynników ryzyka pod kątem ustalonych parametrów, prawdopodobieństwa ich wystąpienia oraz potencjalnego skutku;

2) członkach Kierownictwa - należy przez to rozumieć Ministra, Sekretarzy Stanu i Podsekretarzy Stanu oraz Dyrektora Generalnego Ministerstwa;

3) dyrektorze - należy przez to rozumieć kierującego komórką organizacyjną w Ministerstwie;

4) komórce organizacyjnej - należy przez to rozumieć departament i biuro;

5) Ministerstwie - należy przez to rozumieć Ministerstwo Rodziny i Polityki Społecznej;

6) Ministrze - należy przez to rozumieć Ministra Rodziny i Polityki Społecznej;

7) planie działalności - należy przez to rozumieć plan działalności tworzony na rok następny dla działów administracji rządowej - zabezpieczenie społeczne i rodzina, sporządzany zgodnie z przepisami rozporządzenia Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania (Dz. U. poz. 1254);

8) ryzyku - należy przez to rozumieć miarę możliwości wystąpienia zdarzenia, które będzie miało negatywny wpływ na realizację celów i zadań określonych w planie działalności lub planie działań Ministerstwa;

9) samoocenie - należy przez to rozumieć proces oceny funkcjonowania kontroli zarządczej przez pracowników i kierownictwo Ministerstwa;

10) sprawozdaniu z wykonania planu działalności - należy przez to rozumieć sprawozdanie z wykonania planu działalności za rok poprzedni dla działów administracji rządowej - zabezpieczenie społeczne i rodzina, sporządzone zgodnie z przepisami rozporządzenia Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania;

11) właścicielu ryzyka - należy przez to rozumieć dyrektora, który jest odpowiedzialny za zarządzanie, aktualizowanie i kontrolowanie wszystkich aspektów wskazanego ryzyka w odniesieniu do celów i zadań komórki organizacyjnej, włącznie z zastosowaniem wybranych reakcji w odpowiedzi na zagrożenia;

12) zarządzaniu ryzykiem - należy przez to rozumieć logiczną i systematyczną metodę identyfikacji, analizy i ewaluacji ryzyka oraz nadzoru i informowania o ryzyku w sposób, który wspomoże Ministra w realizacji celów i zadań.

1. Kontrolę zarządczą w Ministerstwie stanowi ogół działań podejmowanych przez członków Kierownictwa, dyrektorów oraz pozostałych pracowników Ministerstwa dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

2. Celem kontroli zarządczej jest zapewnienie w szczególności:

1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi;

2) skuteczności i efektywności działania;

3) wiarygodności sprawozdań;

4) ochrony zasobów;

5) przestrzegania i promowania zasad etycznego postępowania;

6) efektywności i skuteczności przepływu informacji;

7) zarządzania ryzykiem.

3. W ramach wykonywania kontroli zarządczej w Ministerstwie stosuje się procedury i wytyczne odnoszące się do wyznaczania celów i zadań oraz monitorowania ich realizacji, określone dla następujących elementów tej kontroli:

1) środowisko wewnętrzne;

2) cele i zarządzanie ryzykiem;

3) mechanizmy kontroli;

4) informacja i komunikacja;

5) monitorowanie i ocena.

1. Minister jest odpowiedzialny za zapewnienie adekwatnej, skutecznej i efektywnej kontroli zarządczej w Ministerstwie oraz w kierowanych przez niego działach administracji rządowej - zabezpieczenie społeczne i rodzina.

2. Członkowie Kierownictwa sprawują nadzór nad funkcjonowaniem kontroli zarządczej w nadzorowanych komórkach organizacyjnych, zgodnie z przepisami w sprawie zakresów czynności członków Kierownictwa.

3. W ramach nadzoru nad komórkami organizacyjnymi członkowie Kierownictwa Ministerstwa, w szczególności:

1) wyznaczają kierunki działań do realizacji na dany rok przez nadzorowane komórki organizacyjne, biorąc pod uwagę:

a) informacje o przypadających Ministerstwu kwotach wydatków wynikających z projektu ustawy budżetowej,

b) zasoby kadrowe,

c) czynniki mogące zagrażać osiągnięciu celów;

2) zatwierdzają oświadczenia o stanie kontroli zarządczej w zakresie obszaru działalności nadzorowanych przez siebie komórek organizacyjnych.

Do zadań dyrektora należy zapewnianie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej w komórce organizacyjnej, w szczególności:

1) opracowanie propozycji celów, zadań i mierników komórki organizacyjnej na podstawie wyznaczonych kierunków działań, o których mowa w § 4 ust. 3 pkt 1;

2) monitorowanie stopnia realizacji celów i zadań komórki organizacyjnej oraz ich aktualizacja;

3) zarządzanie ryzykiem w odniesieniu do zatwierdzonych celów i zadań komórki organizacyjnej;

4) składanie oświadczenia o stanie kontroli zarządczej w zakresie działalności kierowanej komórki organizacyjnej;

5) dbanie o podnoszenie świadomości wśród pracowników w zakresie problematyki związanej z kontrolą zarządczą.

Departament Analiz Ekonomicznych, zwany dalej "DAE", w ramach kontroli zarządczej odpowiada za sporządzanie projektu planu działalności oraz sprawozdania z jego wykonania, zgodnie z rozporządzeniem Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania.

Departament Budżetu, zwany dalej "DB", w ramach kontroli zarządczej odpowiada za koordynację prac nad dokumentami zadaniowymi, tj. budżetem w układzie zadaniowym oraz Wieloletnim Planem Finansowym Państwa, w zakresie celów, mierników i ich wartości, zgodnie z rozporządzeniem Ministra Finansów z dnia 28 stycznia 2019 r. w sprawie szczegółowego sposobu, trybu i terminów opracowania materiałów do projektu ustawy budżetowej (Dz. U. z 2019 r. poz. 183 i 911 oraz z 2020 r. poz. 259 i 1276) oraz rozporządzenia Ministra Finansów z dnia 28 grudnia 2011 r. w sprawie sprawozdawczości budżetowej w układzie zadaniowym (Dz. U. z 2020 r. poz. 704 i 1229).

1. Biuro Kontroli i Audytu, zwane dalej "BKA", realizuje zadania w ramach kontroli zarządczej, w szczególności:

1) koordynuje proces zarządzania ryzykiem w Ministerstwie;

2) koordynuje przeprowadzanie samooceny funkcjonowania kontroli zarządczej w Ministerstwie;

3) sporządza projekt oświadczenia Ministra o stanie kontroli zarządczej;

4) koordynuje opracowanie planu działań Ministerstwa.

2. Proces zarządzania ryzykiem w Ministerstwie jest prowadzony zgodnie z komunikatem nr 6 Ministra Finansów z dnia 6 grudnia 2012 r. w sprawie szczegółowych wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem (Dz. Urz. Min. Fin. poz. 56).

3. Samoocena funkcjonowania kontroli zarządczej w Ministerstwie jest przeprowadzana zgodnie z komunikatem nr 3 Ministra Finansów z dnia 16 lutego 2011 r. w sprawie szczegółowych wytycznych w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych (Dz. Urz. Min. Fin. poz. 11).

4. Oświadczenie o stanie kontroli zarządczej stanowi źródło zapewnienia o stanie kontroli zarządczej, którego opracowanie zostało zalecone w komunikacie nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. Min. Fin. poz. 84).

5. Samodzielne Stanowisko Audytu Wewnętrznego w BKA przez realizację swoich zadań dokonuje systematycznej, niezależnej i obiektywnej oceny funkcjonowania systemu kontroli zarządczej w Ministerstwie.

1. Dyrektorzy sporządzają propozycje celów, zadań i mierników do projektu planu działalności i przekazują je do DAE w terminie do dnia 30 września każdego roku. Propozycje, przed przekazaniem do DAE, są akceptowane przez członka kierownictwa nadzorującego daną komórkę.

2. Propozycje komórek organizacyjnych, stosownie do właściwości, obejmują również cele i zadania jednostek nadzorowanych i podległych.

3. DAE, w terminie do dnia 10 października każdego roku, sporządza projekt planu działalności na podstawie celów, zadań i mierników, o których mowa w ust. 1, a następnie przekazuje na posiedzenie członków Kierownictwa w celu uzgodnienia z członkami Kierownictwa.

4. Po uzgodnieniu z członkami Kierownictwa DAE przedkłada do akceptacji Ministra projekt planu działalności, w terminie umożliwiającym przekazanie go do dnia 31 października każdego roku Prezesowi Rady Ministrów.

5. W przypadku braku uwag Prezesa Rady Ministrów do projektu planu działalności DAE przedkłada do podpisu Ministra plan działalności, w terminie umożliwiającym przekazanie go do dnia 30 listopada do opublikowania w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra.

6. W przypadku reorganizacji w Ministerstwie, w istotny sposób wpływającej na funkcjonowanie urzędu, istnieje możliwość aktualizacji planu działalności.

1. W celu przygotowania sprawozdania z wykonania planu działalności dyrektorzy przekazują do DAE, w terminie do dnia 15 marca każdego roku, informacje o realizacji wyznaczonych celów, zadań i mierników ujętych w planie działalności. Informacje, przed przekazaniem do DAE, są akceptowane przez członka Kierownictwa nadzorującego daną komórkę.

2. Dyrektorzy, w których zakresie jest nadzór nad jednostkami podległymi lub nadzorowanymi, przy sporządzaniu informacji o których mowa w ust. 1, uwzględniają sprawozdania tych jednostek.

3. DAE, w terminie do dnia 10 kwietnia każdego roku, sporządza projekt sprawozdania z wykonania planu działalności na podstawie informacji, o których mowa w ust. 1, a następnie przekazuje go na posiedzenie członków Kierownictwa w celu uzgodnienia z członkami Kierownictwa.

4. Po uzgodnieniu z członkami Kierownictwa DAE przedkłada projekt sprawozdania z wykonania planu działalności do akceptacji Ministra, w terminie umożliwiającym opublikowanie go do dnia 30 kwietnia każdego roku w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra.

1. Cele wskazane w planie działalności stanowią podstawę do opracowania przez BKA planu działań Ministerstwa.

2. Plan działań Ministerstwa określa w szczególności:

1) cele komórek organizacyjnych na dany rok;

2) zadania służące realizacji każdego z celów;

3) mierniki stopnia realizacji celów;

4) planowaną wartość mierników.

3. BKA koordynuje opracowanie i aktualizowanie celów, zadań i mierników planu działań Ministerstwa.

4. Plan działań Ministerstwa BKA udostępnia komórkom organizacyjnym w intranecie Ministerstwa w celu jego aktualizacji.

5. Dyrektorzy co najmniej dwa razy w roku, w terminach wskazanych przez BKA, przedstawiają informacje o stopniu realizacji celów i zadań, o których mowa w § 5 pkt 2, ujętych w planie działań Ministerstwa, a w przypadku zagrożeń związanych z ich realizacją przedstawiają propozycję działań naprawczych.

1. Samoocena kontroli zarządczej jest to ocena funkcjonowania kontroli zarządczej za rok poprzedni w Ministerstwie, przeprowadzana co najmniej raz w roku przez pracowników Ministerstwa.

2. Samoocena kontroli zarządczej jest przeprowadzana z wykorzystaniem ankiet. Wzory ankiet oraz instrukcję ich wypełnienia określa BKA.

3. Pracownicy Ministerstwa, o których mowa w ust. 1, dokonują samooceny w ramach poszczególnych elementów systemu kontroli zarządczej w postaci elektronicznej w terminie wskazanym przez Ministra, za pośrednictwem BKA.

4. BKA, po otrzymaniu zbiorczych wyników z dokonanej samooceny kontroli zarządczej, sporządza podsumowanie, uwzględniające:

1) ogólną ocenę funkcjonowania kontroli zarządczej;

2) zidentyfikowane słabości kontroli zarządczej, wskazane przez osoby przeprowadzające ocenę;

3) opinie dyrektorów komórek organizacyjnych, którym BKA przedkłada proponowane działania naprawcze z zakresu kontroli zarządczej.

5. Podsumowanie, o którym mowa w ust. 4, BKA przekazuje członkom Kierownictwa i Komitetowi Audytu do wiadomości.

6. Podsumowanie jest publikowane w intranecie Ministerstwa.

1. Zarządzanie ryzykiem jest procesem ciągłym wykonywanym na bieżąco w odniesieniu do celów i zadań Ministerstwa.

2. Proces zarządzania ryzykiem obejmuje:

1) identyfikację zasobów niezbędnych do realizacji celów i zadań;

2) identyfikację ryzyka, w tym czynników o charakterze korupcyjnym lub nadużyć finansowych;

3) analizę ryzyka, w tym określenie rodzaju mechanizmów kontrolnych oraz ich skuteczności dla zdefiniowanych zdarzeń;

4) ewaluację ryzyka, w tym określenie rodzaju reakcji na ryzyko oraz akceptowalnego poziomu apetytu na ryzyko;

5) określenie właścicieli ryzyka oraz terminów wdrożenia reakcji na zidentyfikowane zdarzenia;

6) informowanie pracowników Ministerstwa o wynikach procesu zarządzania ryzykiem;

7) aktualizowanie wyników procesu zarządzania ryzykiem.

1. Komórki organizacyjne identyfikują ryzyka w odniesieniu do celów i zadań ujętych w planie działań Ministerstwa, a w kwestiach związanych z ochroną danych osobowych w rejestrze czynności przetwarzania danych oraz rejestrze kategorii czynności przetwarzania danych.

2. W procesie identyfikacji i analizy ryzyka komórki organizacyjne wskazują w szczególności ryzyka:

1) związane ze zmianami zachodzącymi w Ministerstwie lub jego otoczeniu;

2) zagrażające wizerunkowi Ministerstwa;

3) o charakterze finansowym, w tym nadużyć finansowych oraz korupcyjnych;

4) o charakterze legislacyjnym;

5) związane z organizacją Ministerstwa, w tym strukturą organizacyjną i organizacją pracy;

6) dotyczące zasobów ludzkich;

7) ochrony danych osobowych.

3. Identyfikując ryzyka, bierze się pod uwagę wszystkie ryzyka, niezależnie od miejsca lub źródła ich powstania.

4. W procesie identyfikacji i analizy ryzyka uwzględnia się wszystkie źródła informacji, w tym ustalenia wewnętrznych i zewnętrznych audytów i kontroli oraz podsumowanie samooceny.

5. Identyfikując ryzyka, opisuje się przyczyny ich wystąpienia oraz możliwe skutki.

6. Identyfikując ryzyka, wykorzystuje się jedną z technik analizy ryzyka, tj.: technikę listy potencjalnych zdarzeń, moderowanych warsztatów i wywiadów, analizy procesów lub burzy mózgów.

7. W wyniku przeprowadzonej identyfikacji ryzyka otrzymuje się listę ryzyk, odnoszących się do sformułowanych celów i zadań, określającą przyczyny i skutki ich wystąpienia. Lista ta zawiera w szczególności:

1) numer celu lub zadania z planu działań Ministerstwa;

2) cel;

3) zadanie;

4) datę rejestracji ryzyka;

5) numer ryzyka;

6) nazwę ryzyka;

7) opis ryzyka;

8) właściciela ryzyka.

1. W odniesieniu do zidentyfikowanego ryzyka przeprowadza się analizę ryzyka.

2. W Ministerstwie analiza ryzyka jest przeprowadzana w sposób jednostopniowy, uwzględniający funkcjonujące mechanizmy kontroli.

3. W Ministerstwie analiza ryzyka obejmuje następujące etapy:

1) ocenę zidentyfikowanego ryzyka pod względem wpływu na realizację celów i zadań Ministerstwa;

2) ocenę zidentyfikowanego ryzyka pod względem prawdopodobieństwa jego wystąpienia;

3) istotność uzyskanych wyników analizy.

4. Analiza ryzyka w Ministerstwie jest przeprowadzana przez każdą komórkę organizacyjną w odniesieniu do ryzyk właściwych dla danej komórki.

5. Ocenę zidentyfikowanego ryzyka pod względem wpływu na realizację celów i zadań Ministerstwa dokonuje się na podstawie następujących kryteriów:

1) stopień zakłócenia lub opóźnienie w realizacji zadań;

2) wizerunek i zaufanie do Ministerstwa;

3) występowanie i skala następstw finansowych;

4) możliwość usunięcia skutków zdarzenia.

6. W Ministerstwie wpływ ryzyka na realizację celów i zadań ocenia się, określając poziomy:

1) nieznaczny - zdarzenie lub zagrożenie związane z ryzykiem powoduje nieznaczne zakłócenia lub opóźnienie w realizacji zadań; nie wpływa na wizerunek i zaufanie do Ministerstwa; nie występują następstwa finansowe; skutki zdarzenia można łatwo usunąć;

2) mały -zdarzenie lub zagrożenie związane ryzykiem powoduje małe zakłócenia lub opóźnienie w realizacji zadań; częściowo wpływa na wizerunek i zaufanie do Ministerstwa; występują bardzo małe następstwa finansowe; skutki zdarzenia można usunąć;

3) średni- zdarzenie lub zagrożenie związane z ryzykiem ma negatywny wpływ na efektywność działania, jakość i realizowane zadania lub wizerunek i zaufanie do Ministerstwa; występują małe następstwa finansowe; z wystąpieniem zdarzenia może się wiązać trudny proces przywracania stanu poprzedniego;

4) poważny - zdarzenie lub zagrożenie związane z ryzykiem powoduje negatywny wpływ na efektywność działania, jakość realizowanych zadań, cele lub wizerunek i zaufanie do Ministerstwa; występują istotne następstwa finansowe; z wystąpieniem zdarzenia wiąże się trudny proces przywracania stanu poprzedniego;

5) katastrofalny - zdarzenie lub zagrożenie związane z ryzykiem powoduje poważną stratę zasobów lub uszczerbek mający katastrofalny wpływ na realizację kluczowych zadań i osiąganie założonych celów lub na wizerunek i zaufanie do Ministerstwa; występują bardzo istotne następstwa finansowe; z wystąpieniem zdarzenia wiąże się długotrwały i trudny proces przywracania stanu poprzedniego lub przywrócenie stanu poprzedniego jest niemożliwe.

7. Ocena prawdopodobieństwa wystąpienia ryzyka jest przeprowadzana w Ministerstwie z uwzględnieniem oceny skuteczności i adekwatności mechanizmów kontrolnych funkcjonujących w obszarze poddanym ocenie.

8. Oceniając prawdopodobieństwo wystąpienia ryzyka, uwzględnia się następujące kryteria:

1) częstotliwość;

2) liczba uczestników realizacji danego zadania;

3) stabilność realizacji zadania;

4) wpływ na zasady realizacji zadania.

9. W Ministerstwie prawdopodobieństwo wystąpienia ryzyka ocenia się, określając poziomy:

1) znikomy - charakteryzuje się następującymi elementami:

a) tego typu ryzyko do tej pory jeszcze nigdy nie wystąpiło w jednostce,

b) zadanie jest realizowane przez jedną osobę lub komórkę organizacyjną i jego realizacja nie zależy od podmiotów zewnętrznych,

c) w ostatnich 3 latach zadanie nie podlegało zmianom technologicznym, organizacyjnym i kadrowym oraz warunki realizacji zadania są uregulowane wyłącznie regulacjami wewnętrznymi,

d) w ciągu ostatnich trzech lat nie podlegały one zmianom;

2) niski - charakteryzuje się następującymi elementami:

a) tego typu ryzyko wystąpiło 1 raz w okresie ostatnich 3 lat,

b) ryzyko może wystąpić w zupełnie wyjątkowych sytuacjach,

c) przy realizacji danego zadania współpracuje się z małą (1 albo 2) liczbą komórek i jego realizacja nie zależy od podmiotów zewnętrznych,

d) w okresie ostatnich 3 lat zadanie podlegało jedynie organizacyjnym zmianom w minimalnym stopniu i uznaje się je za wdrożone,

e) zadanie w małym zakresie jest objęte regulacjami o charakterze zewnętrznym i nie podlegały one zmianom;

3) średni - charakteryzuje się następującymi elementami:

a) tego typu ryzyko wystąpiło 2 albo 3 razy w okresie ostatnich 3 lat,

b) przy realizacji danego zadania współpracuje się z dużą (co najmniej 3) liczbą komórek oraz z podmiotami zewnętrznymi,

c) w okresie ostatnich 3 lat zadanie podlegało zmianom organizacyjnym i technologicznym, które zakończyły się ponad rok temu,

d) obszar objęty w małym stopniu regulacjami zewnętrznymi, które mogły podlegać w ostatnim okresie pewnym zmianom;

4) wysoki - charakteryzuje się następującymi elementami:

a) tego typu ryzyko wystąpiło 3 albo 4 razy w okresie ostatnich 3 lat,

b) realizacja danego zadania wymaga współpracy z dużą (więcej niż 3) liczbą komórek organizacyjnych oraz z podmiotami zewnętrznymi,

c) w ciągu ostatniego roku obszar podlegał zmianom technologicznym, organizacyjnym i kadrowym, z których część może wymagać poprawek i działań dostosowawczych,

d) obszar objęty dużą liczbą regulacji prawnych (zewnętrznych i wewnętrznych), które w ostatnim roku podlegały istotnym zmianom;

5) bardzo wysoki - charakteryzuje się następującymi elementami:

a) tego typu ryzyko wystąpiło więcej niż 5 razy w okresie ostatnich 3 lat,

b) istnieje bardzo wysokie prawdopodobieństwo wystąpienia tego ryzyka,

c) obszar wymaga współpracy z bardzo dużą (więcej niż 10) liczbą komórek organizacyjnych oraz podmiotami zewnętrznymi,

d) w ostatnim roku obszar podlegał istotnym zmianom technologicznym, organizacyjnym i kadrowym albo obszar podlega częstym zmianom tego typu lub też obszar jest w trakcie zmian,

e) obszar objęty dużą liczbą regulacji prawnych (zewnętrznych i wewnętrznych), które w ostatnim roku podlegały istotnym zmianom lub które zmienią się z pewnością w ciągu najbliższego roku.

10. Wynikiem opisanych powyżej czynności jest mapowanie ryzyka, czyli umieszczenie wyników analizy poszczególnych ryzyk na mapie ryzyka, która wskazuje istotność ryzyka.

11. Istotność ryzyka wskazuje się przez przemnożenie prawdopodobieństwa wystąpienia ryzyka oraz jego skutków.

12. Ryzyko może przyjmować następujące poziomy istotności:

1) niski poziom ryzyka - nie wymaga podejmowania działań zaradczych;

2) średni poziom ryzyka - warto wprowadzić mechanizmy kontrolne ograniczające prawdopodobieństwo jego wystąpienia lub skutki;

3) wysoki poziom ryzyka - jest wymagane podjęcie działań ograniczających jego istotność; w przypadku braku możliwości podjęcia działań ryzyko może być tolerowane pod warunkiem podjęcia decyzji przez właściciela ryzyka i jego pisemnego uzasadnienia;

4) bardzo wysoki poziom ryzyka - wymaga zaplanowania i podjęcia działań w odniesieniu do ryzyk, w tym przez wycofanie się z działań, które wiążą się z ryzykiem; minimalizacja ryzyka przez podjęcie działań mających na celu zmniejszenie istotności ryzyka, w tym wprowadzenie nowych mechanizmów kontroli; w przypadku gdy brak jest możliwości podjęcia działań, ryzyko może być tolerowane pod warunkiem podjęcia decyzji przez Ministra i jego pisemnego uzasadnienia.

13. Za realizację zadań wskazanych powyżej są odpowiedzialni dyrektorzy poszczególnych komórek organizacyjnych.

14. Dokumentem potwierdzającym dokonanie analizy zidentyfikowanych ryzyk jest lista analizowanych ryzyk, która w szczególności zawiera:

1) wpływ ryzyka na realizację celów i zadań;

2) prawdopodobieństwo wystąpienia ryzyka.

1. Reakcja na ryzyko polega na podjęciu działań w celu zmniejszenia danego ryzyka do akceptowalnego poziomu.

2. W Ministerstwie przyjmuje się następujące sposoby reakcji na ryzyko:

1) tolerowanie ryzyka;

2) przeniesienie ryzyka na inny podmiot;

3) przeciwdziałanie;

4) przesunięcie w czasie lub wycofanie się.

3. Tolerowanie ryzyka należy rozumieć jako niepodejmowanie działań wpływających na ryzyko.

4. Przeniesienie ryzyka należy rozumieć jako przeniesienie części lub całego ryzyka na inny podmiot.

5. Przeciwdziałanie ryzyku należy rozumieć jako podejmowanie działań ograniczających ryzyko do akceptowanego poziomu. Podejmowane działania odnoszą się zarówno do ograniczenia prawdopodobieństwa wystąpienia ryzyka, jak i do ograniczenia wpływu na realizację celów i zadań Ministerstwa.

6. Przesunięcie w czasie lub wycofanie się należy rozumieć jako odejście od działań, które wiążą się z ryzykiem.

7. W celu umożliwienia prowadzenia monitoringu o planowanych działaniach w ramach reakcji na ryzyko dyrektorzy informują BKA o odejściu od działań na piśmie.

1. W Ministerstwie proces monitorowania ryzyka jest procesem ciągłym, realizowanym przez dyrektorów, na każdym szczeblu zarządzania, który pozwala na podejmowanie decyzji w odpowiednim czasie.

2. W Ministerstwie monitoring i ocena zarządzania ryzykiem obejmuje w szczególności następujące działania:

1) analiza powiązania zidentyfikowanych ryzyk z celami i zadaniami komórki organizacyjnej;

2) analiza adekwatności dokonanej oceny ryzyka w związku z realizowanymi zadaniami przez komórkę organizacyjną;

3) analiza funkcjonowania mechanizmów kontrolnych pod względem ich adekwatności i skuteczności.

Dokument potwierdzający przeprowadzenie identyfikacji oraz oceny ryzyka zawiera w szczególności następujące informacje:

1) opis ryzyk;

2) ocenę ryzyka;

3) właścicieli ryzyk;

4) reakcje wobec ryzyk;

5) planowane mechanizmy kontroli.

1. Identyfikacja ryzyka w obszarze ochrony danych osobowych odnosi się do czynności przetwarzania wskazanych w rejestrze czynności przetwarzania danych oraz rejestrze kategorii czynności przetwarzania danych.

2. Identyfikując ryzyko, uwzględnia się ryzyka wskazane w bazie ryzyk.

3. Identyfikując ryzyka, opisuje się przyczyny ich wystąpienia oraz możliwe skutki, opisując wpływ danego zdarzenia na możliwość utraty poufności, dostępności i integralności danych osobowych.

4. Identyfikując ryzyka, wykorzystuje się jedną z technik analizy ryzyka, tj.: technikę listy potencjalnych zdarzeń, moderowanych warsztatów i wywiadów, analizy procesów lub burzy mózgów.

5. W wyniku przeprowadzonej identyfikacji ryzyka otrzymuje się listę ryzyk odnoszących się do sformułowanych celów i zadań, określającą przyczyny i skutki ich wystąpienia. Lista ryzyk zawiera w szczególności:

1) proces w ramach, którego przetwarza się dane osobowe;

2) datę rejestracji ryzyka;

3) numer ryzyka;

4) nazwę ryzyka;

5) opis ryzyka;

6) właściciela ryzyka.

6. Przy ocenie ryzyka w obszarze ochrony danych osobowych uwzględnia się:

1) charakter procesu przetwarzania danych;

2) zakres przetwarzania danych;

3) kontekst przetwarzania danych.

7. Ryzyko ocenia się na podstawie:

1) prawdopodobieństwa jego wystąpienia;

2) skutku dla ochrony praw i wolności osób, których dane są przetwarzane;

3) istotności.

8. Oceny zidentyfikowanego ryzyka w obszarze ochrony danych osobowych pod względem wpływu na realizację celów i zadań Ministerstwa dokonuje się na podstawie następujących kryteriów:

1) zagrożenie dyskryminacją;

2) zagrożenie związane z pozbawieniem przysługujących praw i wolności osobom, których dane są przetwarzane;

3) zagrożenie stratą finansową dla osób, których dane są przetwarzane;

4) zagrożenie naruszenia dobrego imienia osób, których dane są przetwarzane.

9. W Ministerstwie wpływ ryzyka na ochronę praw i wolności osób, których dane są przetwarzane, ocenia się, określając wskazane poniżej poziomy:

1) nieznaczny - zidentyfikowane zdarzenie nie powoduje zagrożenia związanego z dyskryminacją, pozbawieniem przysługujących praw i wolności osób, których dane są przetwarzane, naruszeniem ich dobrego imienia oraz stratą finansową;

2) mały - zidentyfikowane zdarzenie nie powoduje zagrożenia związanego z dyskryminacją, naruszeniem dobrego imienia oraz stratą finansową; powoduje pozbawienie możliwości korzystania z niektórych praw i wolności przez osoby, których dane są przetwarzane;

3) średni - zidentyfikowane zdarzenie nie powoduje zagrożenia związanego z dyskryminacją i naruszeniem dobrego imienia; jednocześnie ma wpływ na pozbawienie możliwości korzystania z niektórych praw i wolności osób, których dane są przetwarzane, naruszenie ich dobrego imienia oraz poniesienie straty finansowej przez te osoby;

4) poważny - zidentyfikowane zdarzenie nie powoduje zagrożenia związanego z naruszeniem dobrego imienia; jednocześnie ma wpływ na dyskryminację, pozbawienie możliwości korzystania z praw i wolności osób, których dane są przetwarzane, oraz poniesienie straty finansowej przez te osoby;

5) katastrofalny - zidentyfikowane zdarzenie powoduje zagrożenia związane z dyskryminacją, pozbawieniem możliwości korzystania z praw i wolności osób, których dane są przetwarzane, poniesieniem straty finansowej przez te osoby oraz naruszeniem ich dobrego imienia.

10. W obszarze ochrony danych osobowych ocenę prawdopodobieństwa wystąpienia ryzyka oraz jego istotność ocenia się w sposób określony w §14.

1. Dyrektorzy, w terminie do dnia 15 marca każdego roku, przekazują do BKA oświadczenie o stanie kontroli zarządczej komórki organizacyjnej, zatwierdzone przez nadzorującego członka Kierownictwa.

2. Dyrektorzy, nadzorujący jednostki podległe i nadzorowane, przekazują do BKA, w terminie do dnia 31 marca każdego roku, zaopiniowane oświadczenia jednostek podległych i nadzorowanych, przekazywane przez te jednostki.

3. Projekt oświadczenia o stanie kontroli zarządczej jest sporządzany z uwzględnieniem w szczególności:

1) oświadczeń o stanie kontroli zarządczej komórek organizacyjnych i jednostek podległych i nadzorowanych przez Ministra;

2) monitorowania realizacji celów i zadań;

3) wyników samooceny kontroli zarządczej;

4) podsumowania procesu zarządzania ryzykiem;

5) wyników audytu wewnętrznego;

6) wyników kontroli zewnętrznych i wewnętrznych.

4. BKA przekazuje do opinii Komitetowi Audytu projekt oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok.

5. BKA, po zaopiniowaniu projektu oświadczenia o stanie kontroli zarządczej za poprzedni rok przez Komitet Audytu, przekazuje do podpisu Ministra projekt tego oświadczenia, w terminie umożliwiającym jego opublikowanie do dnia 30 kwietnia każdego roku w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra.

1. Zobowiązuje się:

1) Zakład Ubezpieczeń Społecznych,

2) Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych,

3) Urząd do Spraw Kombatantów i Osób Represjonowanych

- do sporządzania planu działalności jednostki i sprawozdania z jego wykonania oraz składania oświadczenia o stanie kontroli zarządczej za poprzedni rok.

2. Plan działalności jednostki i sprawozdanie z jego wykonania kierujący jednostkami, o których mowa w ust. 1, sporządzają zgodnie z zasadami oraz według wzorów określonych w rozporządzeniu Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania:

1) kierujący jednostkami uzgadniają a następnie przekazują plan działalności jednostki do komórki organizacyjnej Ministerstwa nadzorującej te jednostki, w terminie 30 dni po opublikowaniu w Biuletynie Informacji Publicznej planu działalności;

2) kierujący jednostkami sporządzają sprawozdanie z wykonania planu działalności jednostki i przekazuje je do komórki organizacyjnej Ministerstwa nadzorującej te jednostki, w terminie do dnia 5 marca każdego roku.

3. Oświadczenie o stanie kontroli zarządczej za poprzedni rok kierujący jednostkami, o których mowa w ust. 1, sporządzają zgodnie z zasadami oraz według wzoru określonego w rozporządzeniu Ministra Finansów z dnia 2 grudnia 2010 r. w sprawie wzoru oświadczenia o stanie kontroli zarządczej (Dz. U. poz. 1581) i przekazują Ministrowi w terminie do dnia 15 marca każdego roku za pośrednictwem nadzorującego jednostkę sekretarza stanu, podsekretarza stanu albo Dyrektora Generalnego.

Składane przez kierujących jednostkami, o których mowa w § 21, oświadczenia o stanie kontroli zarządczej za poprzedni rok są opiniowane przez:

1) nadzorujące komórki organizacyjne Ministerstwa;

2) Komitet Audytu działający przy Ministrze.

1. Inne dokumenty planistyczne i sprawozdawcze dotyczące zakresu swojego działania są przekazywane do:

1) Departamentu Koordynacji Systemów Zabezpieczenia Społecznego - przez Zakład Ubezpieczeń Społecznych w zakresie umów międzynarodowych,

2) Departamentu Ubezpieczeń Społecznych:

a) przez Zakład Ubezpieczeń Społecznych w zakresie prawa krajowego,

b) przez Urząd do Spraw Kombatantów i Osób Represjonowanych,

3) Biura Pełnomocnika Rządu do Spraw Osób Niepełnosprawnych przez Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych

- w terminach i formie wskazanych przez wymienione komórki organizacyjne Ministerstwa, w celu wykorzystania tych dokumentów do przygotowania planu działalności, sprawozdania z jego wykonania oraz oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok.

2. Dokumenty, o których mowa w ust. 1, są przekazywane przez właściwe komórki organizacyjne Ministerstwa do wiadomości BKA.

W ramach obowiązków informacyjnych związanych z funkcjonowaniem kontroli zarządczej w działach administracji rządowej - zabezpieczenie społeczne i rodzina jednostki podległe i nadzorowane, o których mowa w § 21, przekazują w terminie do dnia 15 marca każdego roku, do BKA za poprzedni rok:

1) wyniki procesu zarządzania ryzykiem, ze wskazaniem procedury, według której proces został przeprowadzony;

2) zbiorczy wynik samooceny kontroli zarządczej, ze wskazaniem procedury, według której proces został przeprowadzony.

Jednostki podległe i nadzorowane, o których mowa w § 21, przekazują do BKA, w formie i terminach wskazanych przez BKA:

1) wyniki ocen zewnętrznych (kontroli zewnętrznych, inspekcji, audytów zewnętrznych, audytów według norm PN ISO), a także informacje o stanie wdrożenia i wykonania zaleceń pokontrolnych;

2) wyniki ocen wewnętrznych (kontroli wewnętrznych, inspekcji, przeglądów, audytów wewnętrznych według norm PN ISO);

3) wyniki audytów wewnętrznych.

Tracą moc zarządzenia:

1) nr 33 Ministra Rodziny, Pracy i Polityki Społecznej z dnia 25 września 2019 r. w sprawie kontroli zarządczej w Ministerstwie Rodziny, Pracy i Polityki Społecznej (Dz. Urz. Min. Rodz. Prac. i Pol. Społ. poz. 37);

2) nr 30 Ministra Rodziny, Pracy i Polityki Społecznej z dnia 30 listopada 2017 r. w sprawie obowiązków jednostek podległych i nadzorowanych w ramach kontroli zarządczej (Dz. Urz. Min. Rodz. Prac. i Pol. Społ. z 2017 r. poz. 31 oraz z 2020 r. poz. 7).

Zarządzenie wchodzi w życie z dniem 30 kwietnia 2021 r.

MINISTER RODZINY
I POLITYKI SPOŁECZNEJ
Marlena Maląg

¹⁾ Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2019 r. poz. 1622, 1649 i 2020 oraz z 2020 r. poz. 284, 374, 568, 695, 1175 i 2320.