Oczywiście argumentów za tym, aby wyniki identyfikacji i analizy ryzyka były prowadzone w formie rejestru jest wiele np. prowadzenie rejestru to korzyści w postaci jednego miejsca, w którym można uzyskać pełną informację o ryzykach, rejestr prowadzony w formie elektronicznej lub za pomocą dedykowanego oprogramowania daje możliwość porównywania danych na przestrzeni lat - pisze Katarzyna Lenczyk Woroniecka.

Niewątpliwie centralizacja wyników procesu zarządzania ryzykiem pozwala, w przypadku powtarzania się ryzyka w różnych komórkach, na oznaczanie (numerowanie, nazwanie) ich w rejestrze jednokrotnie. Z drugiej strony centralizacja wymaga wyznaczenia osoby lub stanowiska w strukturze,  do koordynacji takiego procesu. W jednostkach o dużym zakresie kompetencji, szerokim wachlarzu zadań oraz rozbudowanym zatrudnieniu, takie podejście może wymagać zatrudnienia nowego pracownika.

Czytaj w LEX: Zarządzanie ryzykiem jako element kontroli zarządczej w jst >

Takie podejście (centralizujące) daje jednak korzyści w postaci solidnej wiedzy o zagrożeniach na potrzeby decyzji zarządczych dla kierowników jednostek samorządowych. Niemniej jednak stosowanie rozproszonego systemu przechowywania wyników analizy ryzyka w poszczególnych komórkach organizacyjnych nie jest niezgodne ze standardami. Ważne jest jednak, aby zarządzający jednostką niezależnie od przyjętego sposobu dokumentowania tego procesu był informowany o wynikach przeprowadzonej analizy ryzyka, ponieważ to on ostatecznie podejmuje decyzję, czy zidentyfikowany poziom ryzyka jest dla niego akceptowalny, aby nie zagrażało to realizacji przyjętych celów.

 


Czytaj w LEX: Kontrola zarządcza w jednostkach sfery publicznej >

Do typowych błędów związanych z wprowadzonym rejestrem ryzyka należy kilka wylistowanych i omówionych poniżej:

1. Identyfikacji ryzyka w oderwaniu od wyznaczonych do celów i zadań.

Proces wyznaczania celów i opisywania zadań, przy pomocy których cele mają zostać osiągnięte, prowadzony jest odrębnie i bez powiązania z procesem zarządzania ryzykiem. Taki błąd  może  się zdarzyć, jeśli obydwa procesy prowadzone są przez inne komórki organizacyjne lub ich wdrażanie odbywa się dwutorowo. Wpływ na to mogą mieć też na poziomie jednostek samorządu terytorialnego trudności związane z samym wyborem celów z uwzględnieniem dokumentów strategicznych.

Nawet dobrze wybrane cele na poziomie jednostki i sprawnie działający system zarządzania ryzykiem stanie się bezużyteczny dla potrzeb przygotowania obligatoryjnego raportu z działalności jednostki samorządu terytorialnego, jeśli przy wyznaczaniu celów i zadań nie uwzględniał zapisów strategii.

Sprawdź w LEX: Czy zadania wykonywane przez inspektora ochrony danych podlegają audytowi, przepisom o kontroli zarządczej w jednostkach sektora publicznego? >

2. Przekonanie, że za proces zarządzania ryzykiem i prowadzenie rejestru odpowiada audytor wewnętrzny.

W przypadku jednostek samorządu terytorialnego na poziomie gminy, powiatu i samorządu województwa rozporządzeniem rady ministrów wprowadzono jednolite rzeczowe wykazy akt, w których hasło klasyfikacyjne „Szacowanie ryzyka dla realizacji zadań” zostało umieszczone pod hasłami dedykowanymi do realizacji zadań przez audyt wewnętrzny. Powoduje to w wielu przypadkach, że kierownicy jednostek upatrują w audytorze wewnętrznym osobę odpowiedzialną za organizację procesu zarządzania ryzykiem i prowadzenie rejestru. Tymczasem, biorąc po uwagę zapisy uregulowań prawnych i standardów audytu wewnętrznego, zadaniem audytu jest ocena procesu zarządzania ryzykiem i ich identyfikacji.

Czytaj w LEX: Kontrola zarządcza w aspekcie zamówień publicznych >

Powierzenie mu obowiązków w tym zakresie ma wpływ na zachowanie przez niego obiektywizmu i niezależności w ocenie kontroli zarządczej. Tak naprawdę skoncentrowanie obu procesów (tj. identyfikacji i oceny ryzyka oraz niezależnej, obiektywnej systematycznej oceny kontroli zarządczej i ładu organizacyjnego) na jednym stanowisku pracy (u jednej osoby) wyklucza się z punktu widzenia logiki zarządzania.

Czytaj też: Audytor jak lekarz - ma uzdrowić to, co źle funkcjonuje

3. Błędne wskazywanie skutków powstania ryzyka jako samego ryzyka.

Standardy kontroli zarządczej nie definiują wprost ryzyka, stąd największą trudnością w procesie jest umiejętność jego właściwego nazwania. Często w rejestrach wskazywane są skutki wystąpienia ryzyka jako zdefiniowane ryzyko, co powoduje trudności w zaplanowaniu systemowych mechanizmów zapobiegających jego zmaterializowaniu. Przykładem może być częsta identyfikacja brak wpływu pisma do sprawy. Zdefiniowana jako ryzyko powoduje, że nie mamy możliwości zaplanowania systemowych działań zapobiegawczych, bo rozwiązania przy tak wskazanym ryzyku są właściwe dla konkretnej sytuacji, ponieważ nie znamy dalej przyczyny braku pisma u właściciela danego procesu/sprawy i rozwiązania mogą być proste (telefon, mail) i inne konkretne typy postępowania.

Czytaj w LEX: Studium przypadku - Podręcznik kontroli zarządczej w jednostce samorządu terytorialnego >

Jeśli jednak uznamy, że tak nazwane ryzyko jest skutkiem ryzyka polegającego na braku lub błędach w zarejestrowaniu przez kancelarię korespondencji przychodzącej, to możemy przyjąć różne systemowe rozwiązania od prostych weryfikacji rejestrowania wpływów na zasadzie „dwóch par oczu”, po elektroniczne książki pocztowe.

4. Powierzanie wdrożenia procesu zarządzania ryzykiem firmie zewnętrznej bez zaangażowania pracowników jednostki, co często skutkuje rejestrem nieadekwatnym do potrzeb.

Działo się tak przede wszystkim po wprowadzeniu obowiązkowego prowadzenia procesu zarządzania ryzykiem. Naturalne jest, że jednostki korzystają z zewnętrznego wsparcia, zwłaszcza przy wprowadzaniu nowych rozwiązań. Jednak wiele samorządów i ich jednostek organizacyjnych wprowadziło  proces zarządzania ryzykiem poprzez zakup usługi zewnętrznej polegającej na wdrożeniu gotowych rozwiązań/ procedur łącznie z typowaniem, nazywaniem i oceną ryzyk bez udziału w tym procesie własnych pracowników. W takich sytuacjach analiza ryzyka była sporządzana w oparciu o przepisy prawne obowiązujące daną instytucję, bez weryfikacji faktycznych celów i istotnych zagrożeń dla realizacji tych celów. W konsekwencji ten sposób wdrożenia procesów wielokrotnie skutkował prowadzeniem rozbudowanych rejestrów ryzyk, nieadekwatnych do potrzeb instytucji np. mała gmina, w urzędzie której zatrudnionych jest około 60 osób, posiadająca stały zestaw kompetencji i zadań, prowadzi rejestr ryzyka z 3 tysiącami pozycji.

5. Przekonanie, że samo wdrożenie procesu zarządzania ryzykiem uchroni jednostkę przed błędami.

Powstanie tego przekonania ma dwojakie podłoże: jedno związane z ugruntowaniem takiego stanowiska przez  takiego rodzaju kontrole zewnętrzne, dla których  istotne jest posiadanie samego udokumentowanego procesu zarządzania ryzykiem, aby wykazać spełnienie wymogu przepisu prawa, drugie wynika z dotychczasowych przyzwyczajeń zarządczych. Wprowadzenie nowych mechanizmów czy rozwiązań, co do zasady, służy rozwiązaniu konkretnego problemu. W przypadku wprowadzenia zarządzania ryzykiem nie rozwiązujemy kolejnego problemu a wdrażamy instrument wspierający cały proces zarządzania w jednostce samorządu terytorialnego. Wobec tego, tak jak zarządzanie jednostką jest działaniem ciągłym i obarczonym możliwością podjęcia błędnej decyzji, tak i wyniki analizy ryzyka nie są wolne od błędu, niezdiagnozowania wszystkich możliwych zagrożeń.  Dlatego ustawodawca w wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem wyraźnie podkreśla, że  zarządzanie ryzykiem nie jest działaniem jednokrotnym, a także wyraźnie wskazuje, że nie jest możliwe, ani celowe zredukowanie niepewności do zera.

Zarządzanie ryzykiem jest immanentnie związane z zarządzaniem jednostką i jest realizowane bez względu na to, czy prowadzimy czy też nie prowadzimy rejestr ryzyka (czy dokumentujemy czy też nie dokumentujemy procesy zarządcze, czy ustawodawca nakazuje przepisem prawa czy też jest to wynik dobrych praktyk i przyjętych standardów zarządzania)).

Czytaj w LEX: Możliwości adekwatnego adaptowania planu, sprawozdania i oświadczenia o stanie kontroli zarządczej przez jednostki samorządu terytorialnego >

Należy więc mieć przekonanie, że nie wszystko co zaplanowaliśmy musi się udać i trzeba określić poziom akceptacji dla ewentualnych zagrożeń.

Do tego służą adekwatne dla jednostki, systemowo i systematycznie prowadzone rejestry ryzyka, których w jednostkach samorządu terytorialnego z pewnością nie powinien prowadzić audytor wewnętrzny.

Katarzyna Lenczyk Woroniecka – jest członkiem Zarządu IIA Polska i  dyrektorem Wydziału Audytu Wewnętrznego w Urzędzie Marszałkowskim Województwa Dolnośląskiego.