Polityka zarządzania ryzykiem operacyjnym w Ministerstwie Finansów.

Dzienniki resortowe

Dz.Urz.MF.2022.10

Akt obowiązujący
Wersja od: 8 lutego 2022 r.

ZARZĄDZENIE
MINISTRA FINANSÓW
z dnia 7 lutego 2022 r.
w sprawie Polityki zarządzania ryzykiem operacyjnym w Ministerstwie Finansów

Na podstawie art. 34 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2021 r. poz. 178, 1192, 1535 i 2105) w związku z art. 68 ust. 2 pkt 7 i art. 69 ust. 1 pkt 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2021 r. poz. 305, z późn. zm.) zarządza się, co następuje:
§  1. 
Wprowadza się do stosowania Politykę zarządzania ryzykiem operacyjnym w Ministerstwie Finansów, stanowiącą załącznik do zarządzenia.
§  2. 
Pierwszy przegląd dokumentu, o którym mowa w § 1, zostanie przeprowadzony nie później niż do dnia 30 czerwca 2023 r.
§  3. 
Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.

ZAŁĄCZNIK

POLITYKA ZARZĄDZANIA RYZYKIEM OPERACYJNYM W MINISTERSTWIE FINANSÓW

1.
Wstęp

Ministerstwo Finansów, zwane dalej "Ministerstwem", jako organizacja społecznie odpowiedzialna, zgodnie z misją zapewnienia stabilnych, efektywnych i zrównoważonych finansów publicznych oraz wysokiej jakości świadczonych usług, zarządza ryzykiem operacyjnym w sposób ustrukturyzowany i systemowy. Przekłada się to bezpośrednio na wizerunek Ministerstwa oraz zaufanie obywateli do państwa i jego instytucji.

Zarządzanie ryzykiem operacyjnym w Ministerstwie jest nieodłącznym elementem działań podejmowanych dla zapewnienia realizacji celów i zadań oraz integralną częścią planowania i realizacji procesów.

Wszystkie komórki organizacyjne Ministerstwa zarządzają ryzykiem operacyjnym i podejmują działania ograniczające to ryzyko.

Każdy pracownik Ministerstwa, w zakresie swoich obowiązków, uczestniczy w procesie zarządzania ryzykiem operacyjnym w Ministerstwie oraz podejmuje działania ograniczające to ryzyko.

Przez działania ograniczające ryzyko operacyjne w bieżącej działalności należy rozumieć w szczególności przestrzeganie regulacji wewnętrznych, staranność przy wykonywaniu powierzonych zadań i obowiązków oraz bieżące informowanie przełożonego o zidentyfikowanych zdarzeniach.

Polityka stanowi element systemu zarządzania ryzykiem operacyjnym w Ministerstwie, którego strukturę przedstawia schemat 1.

grafika

Schemat 1. Struktura systemu zarządzania ryzykiem operacyjnym w Ministerstwie

2.
Cel polityki

Celem Polityki zarządzania ryzykiem operacyjnym w Ministerstwie Finansów, zwanej dalej "Polityką", jest:

1)
zapewnienie spójnego i systemowego podejścia do identyfikacji, analizy i ewaluacji ryzyka operacyjnego;
2)
ograniczanie ryzyka operacyjnego przez wdrażanie i monitorowanie skuteczności kluczowych mechanizmów kontrolnych;
3)
dostarczenie Kierownictwu Ministerstwa informacji o potencjalnych zagrożeniach realizacji celów i zadań określonych w:
a)
rocznym planie działalności Ministra Finansów dla działów administracji rządowej: budżet, finanse publiczne, instytucje finansowe, zwanym dalej "planem działalności Ministra",
b)
rocznym planie działalności Ministerstwa na dany rok kalendarzowy, zwanym dalej "planem działalności Ministerstwa",
c)
kwartalnych planach komórek organizacyjnych,
d)
regulaminie organizacyjnym Ministerstwa,
e)
wewnętrznych regulaminach organizacyjnych komórek organizacyjnych w Ministerstwie;
4)
ustalenie poziomu tolerancji na ryzyko operacyjne;
5)
podnoszenie efektywności procesu zarządzania ryzykiem operacyjnym w Ministerstwie w ramach kontroli zarządczej;
6)
wzmacnianie kultury zarządzania ryzykiem mającej wpływ na realizację celów i zadań, o których mowa w pkt 3.
3.
Pojęcia i definicje

Użyte w Polityce pojęcia oznaczają:

1)
Baza Kluczowych Mechanizmów Kontrolnych - baza wdrożonych i stosowanych przez komórki organizacyjne kluczowych mechanizmów kontrolnych;
2)
działania zaradcze - działania wdrażane po zdarzeniu generującym ryzyko operacyjne, mające na celu ograniczenie jego skutku lub prawdopodobieństwa wystąpienia zdarzenia w przyszłości;
3)
Kierownictwo Ministerstwa - Minister, Sekretarze Stanu w Ministerstwie, Podsekretarze Stanu w Ministerstwie i Dyrektor Generalny Ministerstwa;
4)
kierujący komórką organizacyjną - dyrektor komórki organizacyjnej Ministerstwa, zastępca dyrektora lub inna osoba upoważniona do kierowania tą komórką;
5)
kluczowy mechanizm kontrolny - mechanizm kontrolny istotny dla osiągnięcia celu lub realizacji zadania, bez ustanowienia którego istnieje ryzyko, że cel nie zostanie osiągnięty albo zadanie nie zostanie zrealizowane zgodnie z prawem, efektywnie, oszczędnie i terminowo;
6)
komórka organizacyjna - komórka organizacyjna określona w statucie Ministerstwa;
7)
komórka właściwa do spraw ryzyka operacyjnego - komórka odpowiedzialna za przygotowanie polityki i metodyki zarządzania ryzykiem w Ministerstwie, prowadzenie działań edukacyjnych w zakresie zarządzania ryzykiem operacyjnym w odniesieniu do zaprojektowanego systemu oraz za współpracę z komórkami organizacyjnymi i ich bieżące wsparcie w wypełnianiu zadań dotyczących zarządzania ryzykiem operacyjnym;
8)
kontrola zarządcza - kontrola zarządcza w rozumieniu art. 68 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych;
9)
koordynator kontroli zarządczej - osoba wyznaczona przez kierującego komórką organizacyjną do koordynacji zadań w zakresie kontroli zarządczej;
10)
kultura zarządzania ryzykiem - wartości, postawy i zachowania funkcjonujące w Ministerstwie, które pozwalają lepiej rozumieć, identyfikować i zarządzać ryzykiem;
11)
mechanizm kontrolny - działania, procedury, instrukcje i zasady postępowania służące ograniczeniu wystąpienia ryzyka nieosiągnięcia celów lub zmniejszenia jego negatywnych skutków;
12)
Minister - minister właściwy do spraw budżetu, finansów publicznych oraz instytucji finansowych;
13)
plan postępowania z ryzykiem - plan zawierający działania lub rozwiązania mające na celu ograniczenie poziomu ryzyka rezydualnego przez ustanowienie mechanizmów kontrolnych, usunięcie źródła ryzyka, przeniesienie lub dzielenie ryzyka albo zawierający uzasadnienie dla niepodejmowania działań;
14)
poziom ryzyka - wielkość ryzyka wyrażona w postaci kombinacji skutków oraz ich prawdopodobieństwa;
15)
pracownik Ministerstwa - członek Kierownictwa Ministerstwa, osoba zatrudniona w Ministerstwie, funkcjonariusz pełniący służbę w Ministerstwie, osoba współpracująca z Ministerstwem na podstawie umowy cywilnoprawnej, osoba delegowana do pełnienia służby w Ministerstwie, praktykant, stażysta, wolontariusz;
16)
ryzyko - możliwość wystąpienia zdarzenia, które będzie miało negatywny wpływ na realizację założonych celów i zadań;
17)
ryzyko inherentne - ryzyko operacyjne występujące w sytuacji braku mechanizmów kontrolnych lub przy założeniu, że te mechanizmy kontrolne nie istnieją;
18)
ryzyko operacyjne - możliwość wystąpienia zdarzenia, które będzie miało pośrednio lub bezpośrednio negatywny wpływ na osiągnięcie celu lub zrealizowanie zadania, zdarzenie może być skutkiem nieodpowiednich procedur lub ich braku, błędów ludzkich, błędów systemów oraz czynników zewnętrznych;
19)
ryzyko rezydualne - ryzyko operacyjne, które pozostaje po zastosowaniu mechanizmów kontrolnych na ryzyko inherentne w celu jego ograniczenia;
20)
tolerancja na ryzyko - zdefiniowany poziom ryzyka, które Kierownictwo Ministerstwo jest w stanie akceptować, aby realizować założone cele i zadania;
21)
właściciel ryzyka operacyjnego - kierujący komórką organizacyjną odpowiedzialny za zarządzanie danym ryzykiem operacyjnym, posiadający kompetencje do podjęcia działań zarządczych w stosunku do ryzyka.
4.
Tolerancja na ryzyko

Kierownictwo Ministerstwa dąży do ograniczania ryzyka operacyjnego, które może zagrażać zgodnej z prawem, efektywnej, oszczędnej i terminowej realizacji celów i zadań określonych w planie działalności Ministra, planie działalności Ministerstwa, planach kwartalnych komórek organizacyjnych, regulaminie organizacyjnym oraz wewnętrznych regulaminach organizacyjnych komórek organizacyjnych.

4.1.
Ustanawia się następujące poziomy ryzyka operacyjnego w Ministerstwie:
1)
bardzo niski;
2)
niski;
3)
średni;
4)
wysoki;
5)
bardzo wysoki.
4.2.
Poziom ryzyka rezydualnego oceniony jako "bardzo niski" "niski" i "średni" jest akceptowalny. Poziom ryzyka rezydualnego oceniony jako "bardzo niski" i "niski" nie wymaga podejmowania działań ograniczających to ryzyko. W przypadku poziomu ryzyka rezydualnego ocenionego jako "średni" decyzję o podjęciu działań ograniczających to ryzyko podejmuje właściciel ryzyka.
4.3.
Poziom ryzyka rezydualnego oceniony jako "wysoki" i "bardzo wysoki" nie jest akceptowalny. Właściciel ryzyka dla każdego ryzyka rezydualnego, którego poziom został oceniony jako "wysoki" lub "bardzo wysoki", jest obowiązany do przygotowania i wdrożenia planu postępowania z ryzykiem w celu obniżenia poziomu tego ryzyka do poziomu akceptowalnego. W uzasadnionych przypadkach właściciel ryzyka może wystąpić z wnioskiem do właściwego członka Kierownictwa Ministerstwa o niepodejmowanie działań ograniczających ryzyko operacyjne.
5.
Zarządzanie ryzykiem operacyjnym

Zarządzanie ryzykiem operacyjnym realizowane jest przez:

1)
coroczną samoocenę ryzyka operacyjnego opartą na identyfikacji, analizie i ewaluacji ryzyka operacyjnego oraz stosowanie kluczowych mechanizmów kontrolnych;
2)
reakcję na ryzyko rozumianą jako przygotowanie i realizację planów postępowania z ryzykiem lub podejmowanie działań zaradczych;
3)
gromadzenie i analizę informacji o zaistniałych zdarzeniach generujących ryzyko operacyjne w Bazie Zdarzeń Ryzyka Operacyjnego;
4)
monitorowanie ryzyka operacyjnego oraz testowanie stosowanych kluczowych mechanizmów kontrolnych ograniczających ryzyko operacyjne;
5)
raportowanie ryzyka operacyjnego.

Zarządzanie ryzykiem operacyjnym jest procesem realizowanym i dokumentowanym zgodnie z zasadami określonymi w Metodyce zarządzania ryzykiem operacyjnym.

6.
Odpowiedzialność Kierownictwa Ministerstwa w zarządzaniu ryzykiem operacyjnym
6.1.
Członkowie Kierownictwa Ministerstwa w ramach nadzoru sprawowanego nad komórkami organizacyjnymi:
1)
sprawują nadzór nad przestrzeganiem Polityki;
2)
akceptują plany postępowania z ryzykiem operacyjnym ocenionym w samoocenie na poziomie "wysokim" lub "bardzo wysokim".
6.2.
Dyrektor Generalny Ministerstwa sprawuje nadzór nad funkcjonowaniem systemu zarządzania ryzykiem operacyjnym w szczególności przez:
1)
wydanie Metodyki zarządzania ryzykiem operacyjnym oraz nadzór nad jej przestrzeganiem;
2)
powołanie Komitetu Ryzyka Operacyjnego oraz określenie zadań i trybu jego pracy.
7.
Model "trzech linii" - pierwsza linia

System zarządzania ryzykiem operacyjnym w Ministerstwie jest oparty na modelu "trzech linii", w którym istniejąca struktura organizacyjna ma za zadanie wspierać realizację celów i zadań, o których mowa w pkt 7.1 pkt 1-5. Model "trzech linii" w Ministerstwie wraz z przywołaniem podstawowych celów, zadań i ról przedstawia schemat 2.

MODEL 3 LINII W ZARZĄDZANIU RYZYKIEM

grafika

Schemat 2. Struktura modelu "trzech linii" w Ministerstwie

7.1.
Kierujący komórką organizacyjną w ramach pierwszej linii, jako właściciel ryzyka operacyjnego w podległym obszarze, odpowiada za:
1)
przeprowadzanie corocznej samooceny i przesyłanie jej wyników do zaopiniowania przez komórkę właściwą do spraw ryzyka operacyjnego oraz ponowne przeprowadzenie samooceny w przypadku wprowadzenia istotnych zmian w:
a)
celach lub zadaniach ujętych w planie działalności Ministra lub planie działalności Ministerstwa,
b)
strukturze organizacyjnej Ministerstwa;
2)
zatwierdzanie i udostępnianie wyników samooceny ryzyka operacyjnego komórce właściwej do spraw ryzyka operacyjnego oraz właściwemu członkowi Kierownictwa Ministerstwa;
3)
przygotowywanie i przesyłanie planów postępowania z ryzykiem, którego poziom został oceniony jako "wysoki" lub "bardzo wysoki" do zaopiniowania przez komórkę właściwą do spraw ryzyka operacyjnego oraz do akceptacji właściwemu członkowi Kierownictwa Ministerstwa;
4)
nadzorowanie realizacji planów postępowania z ryzykiem;
5)
zgłaszanie zdarzeń generujących ryzyko operacyjne oraz wdrażanie i nadzorowanie realizacji działań zaradczych;
6)
zaprojektowanie i wdrożenie adekwatnych, skutecznych i efektywnych mechanizmów kontrolnych oraz dokonywanie oceny ich funkcjonowania;
7)
informowanie właściwego członka Kierownictwa Ministerstwa oraz komórki właściwej do spraw ryzyka operacyjnego o materializacji ryzyka operacyjnego oraz podjętych działaniach zaradczych;
8)
monitorowanie ryzyka operacyjnego.

Kierujący komórką organizacyjną może upoważnić podległych pracowników do wykonywania zadań, o których mowa w pkt 1-7. Upoważnienie nie skutkuje przeniesieniem odpowiedzialności za zarządzanie ryzykiem operacyjnym na podległych pracowników.

7.2.
Pracownik komórki organizacyjnej w zakresie swoich obowiązków:
1)
niezwłocznie przekazuje bezpośredniemu przełożonemu informacje o zaistniałych zdarzeniach generujących ryzyko operacyjne;
2)
uczestniczy w identyfikacji, analizie i ewaluacji ryzyka operacyjnego;
3)
stosuje i realizuje mechanizmy kontrolne;
4)
realizuje plany postępowania z ryzykiem rezydualnym oraz działania zaradcze.
7.3.
Koordynator kontroli zarządczej:
1)
koordynuje zadania w zakresie zarządzania ryzykiem operacyjnym;
2)
pośredniczy w wymianie informacji pomiędzy komórką właściwą do spraw ryzyka operacyjnego a komórkami organizacyjnymi.
9.
Model "trzech linii" - druga linia
9.1.
Komórka właściwa do spraw ryzyka operacyjnego w ramach drugiej linii koordynuje działania w obszarze zarządzania ryzykiem operacyjnym we współpracy z komórkami organizacyjnymi drugiej linii, które zgodnie z regulaminem organizacyjnym Ministerstwa odpowiadają za zarządzenie innymi rodzajami ryzyka:
1)
komórką właściwą do spraw koordynowania systemu zarządzania ryzykiem w obszarze bezpieczeństwa informacji;
2)
komórką właściwą do spraw zarządzania portfelem programów i projektów realizowanych w Ministerstwie;
3)
komórką właściwą do spraw koordynacji kontroli zarządczej w zakresie działów administracji rządowej: budżet, finanse publiczne, instytucje finansowe;
4)
komórką właściwą do spraw bezpieczeństwa i higieny pracy;
5)
komórką właściwą do spraw koordynowania przeciwdziałania nieprawidłowościom dotyczącym działalności Ministerstwa;
6)
komórką właściwą do spraw koordynowania komunikacji wewnętrznej i zewnętrznej;
7)
komórką właściwą do spraw do spraw wyznaczania strategii i kierunków działania w zakresie rozwoju i utrzymania usług informatycznych w Ministerstwie oraz sprawowania nadzoru nad działalnością Centrum Informatyki Resortu Finansów;
8)
komórką odpowiedzialną za zapewnienie poprawności pod względem prawnym, legislacyjnym i redakcyjnym projektów aktów prawnych opracowywanych w Ministerstwie;
9)
komórką właściwą do spraw kontroli zarządczej w jednostkach organizacyjnych Krajowej Administracji Skarbowej.
9.2.
Komórka właściwa do spraw ryzyka operacyjnego odpowiada w szczególności za:
1)
opracowanie, wdrożenie oraz utrzymanie i przegląd polityki, metodyki oraz narzędzi wykorzystywanych w procesie zarządzania ryzykiem operacyjnym z wyłączeniem regulacji i narzędzi, które pozostają we właściwości komórek organizacyjnych, o których mowa w pkt 9.1;
2)
inicjowanie procesu corocznej samooceny ryzyka operacyjnego w powiązaniu z procesem ustalania planów działalności Ministra i Ministerstwa;
3)
wsparcie merytoryczne właścicieli ryzyka w obszarze zarządzania ryzykiem operacyjnym;
4)
współpracę z członkami Kierownictwa Ministerstwa w zakresie oceny ryzyka operacyjnego;
5)
współpracę z koordynatorami kontroli zarządczej w komórkach organizacyjnych w zakresie ryzyka operacyjnego;
6)
gromadzenie, weryfikację i analizę wyników samooceny ryzyka operacyjnego;
7)
prowadzenie i utrzymywanie Bazy Zdarzeń Ryzyka Operacyjnego oraz Bazy Kluczowych Mechanizmów Kontrolnych;
8)
monitorowanie realizacji planów postępowania z ryzykiem oraz działań zaradczych;
9)
testowanie kluczowych mechanizmów kontrolnych na wybranej próbie poprzez porównanie stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny prawidłowego stosowania mechanizmów kontrolnych;
10)
przygotowywanie dla Komitetu Ryzyka Operacyjnego, komórki właściwej do spraw audytu wewnętrznego, komórki właściwej do spraw koordynacji kontroli zarządczej, Komitetu Audytu oraz członków Kierownictwa Ministerstwa okresowych raportów i doraźnych informacji w zakresie ryzyka operacyjnego w Ministerstwie;
11)
dokonywanie okresowych przeglądów Polityki i dokumentów powiązanych;
12)
prowadzenie działań edukacyjnych w obszarze zarządzania ryzykiem operacyjnym dla pracowników Ministerstwa oraz wzmacnianie kultury zarządzania ryzykiem w Ministerstwie.
10.
Model "trzech linii" - trzecia linia

Komórka właściwa do spraw audytu wewnętrznego w ramach trzeciej linii przeprowadza zadania zapewniające i czynności doradcze, zgodnie z obowiązującymi przepisami i standardami. W ramach realizacji zadań zapewniających komórka dokonuje oceny kontroli zarządczej, w szczególności oceny procesu zarządzania ryzykiem operacyjnym w badanym obszarze, formułuje zalecenia działań służących wyeliminowaniu słabości kontroli zarządczej, w tym odnoszących się do zarządzania ryzykiem operacyjnym.

Realizując czynności doradcze, komórka do spraw audytu wewnętrznego może przedstawiać propozycje usprawnień funkcjonowania jednostki, w tym zarządzania ryzykiem operacyjnym.

11.
Rola Komitetu Ryzyka Operacyjnego

Dyrektor Generalny Ministerstwa powołuje w drodze zarządzenia Komitet Ryzyka Operacyjnego, określając szczegółowy tryb pracy Komitetu.

Komitet pełni funkcję doradczą dla Kierownictwa Ministerstwa w obszarze zarządzania ryzykiem operacyjnym, wydając rekomendacje, wnioski i opinie mające na celu usprawnienie systemu zarządzania ryzykiem operacyjnym.

12.
Przegląd Polityki

Polityka zarządzania ryzykiem operacyjnym podlega corocznym przeglądom przez komórkę właściwą do spraw ryzyka operacyjnego w terminie do 30 czerwca.