Łódzki Urząd Wojewódzki w Łodzi

Na podstawie art. 17 ustawy z dnia 23 stycznia 2009 r. o wojewodzie i administracji rządowej w województwie (Dz. U. z 2023 r. poz. 190) i art. 68 ust. 2 pkt 7 w związku z  art. 69 ust. 1 pkt 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2024 r. poz. 1530, ze zm.) zarządza się, co następuje:

§ 1. W celu usprawnienia procesu zarządzania we wszystkich zidentyfikowanych obszarach działania Łódzkiego Urzędu Wojewódzkiego w Łodzi oraz ograniczenia ewentualnych negatywnych skutków zdarzeń do akceptowalnego poziomu, wdraża się do stosowania Politykę Zarządzania Ryzykiem dla Łódzkiego Urzędu Wojewódzkiego w Łodzi, stanowiącą załącznik do zarządzenia.

§ 2. Zobowiązuje dyrektorów wydziałów, biur oraz kierowników równorzędnych komórek organizacyjnych Urzędu do stosowania postanowień niniejszego zarządzenia.

 § 3. Traci moc zarządzenie Nr 174/2018 Wojewody Łódzkiego z dnia 25 października 2018 r. w sprawie zarządzania ryzykiem w Łódzkim Urzędzie Wojewódzkim w Łodzi, zmienione zarządzeniem Nr 166/2019  z dnia 12 czerwca 2019 r.[1], Nr 182/2022 z dnia 4 października 2022 r. ^[2],  Nr 211/2023 z dnia 16 listopada 2023 r.[3]^, , Nr 41/2024 z dnia 21 lutego 2024 r. ^[4] , Nr 79/2024 z dnia 3 kwietnia 2024 r. ^[5] , Nr 199/2024  z dnia 25 września 2024 r.[6] , Nr 228/2024 z dnia 23 października 2024 r. ^[7].

§ 4. Zarządzenie wchodzi w życie z dniem podpisania

WOJEWODA ŁÓDZKI

Dorota Ryl

 

Załącznik do zarządzenia Nr 285/2024 Wojewody Łódzkiego z dnia 24 kwietnia 2024 r. w sprawie zarządzania ryzykiem w Łódzkim Urzędzie Wojewódzkim w Łodzi

POLITYKA ZARZĄDZANIA RYZYKIEM W ŁÓDZKIM URZĘDZIE WOJEWÓDZKIM W ŁODZI

1. Postanowienia ogólne

§ 1. Polityką zarządzania ryzykiem w Łódzkim Urzędzie Wojewódzkim w Łodzi jest określenie  zasad i trybu zarządzania ryzykiem w urzędzie.

§ 2. Polityką objęte są wszystkie dziedziny działania urzędu oraz wszyscy pracownicy urzędu, realizujący powierzone im zadania.

§ 3. Proces zarządzania ryzykiem obejmuje:

1. Identyfikację ryzyk;
2. Analizę i ocenę ryzyk;
3. Określenie reakcji na ryzyka;
4. Podejmowanie działań ograniczających ryzyka;
5. Monitorowanie skuteczności i efektywności podjętych działań.

§ 4.  Użyte w polityce pojęcia mają następujące znaczenie:

1) Wojewodzie - należy przez to rozumieć Wojewodę Łódzkiego;

2) Dyrektorze Generalnym - należy przez to rozumieć Dyrektora Generalnego Łódzkiego Urzędu Wojewódzkiego w Łodzi;

3) Urzędzie - należy przez to rozumieć Łódzki Urząd Wojewódzki w Łodzi;

4) komórce organizacyjnej Urzędu - należy przez to rozumieć wydziały lub biura oraz inne równorzędne komórki organizacyjne Urzędu;

5) kierownikach komórek organizacyjnych Urzędu - należy przez to rozumieć osobę kierującą komórką organizacyjną Urzędu, o której mowa w pkt 4;

6) Zespole - należy przez to rozumieć Zespół do spraw zarządzania ryzykiem w Łódzkim Urzędzie Wojewódzkim w Łodzi;

7) ryzyku - należy przez to rozumieć prawdopodobieństwo wystąpienia zdarzenia, które będzie miało wpływ na realizację założonych celów lub zadań urzędu;

8) zarządzaniu ryzykiem - należy przez to rozumieć proces identyfikacji, oceny i przeciwdziałania zaistnienia ryzyka, monitorowania ryzyka oraz środki podejmowane w celu jego ograniczenia;

9) czynnikach ryzyka - należy przez to rozumieć cechy charakterystyczne dla danego procesu, które wskazują na możliwość wystąpienia zdarzenia, mogącego niekorzystnie wpłynąć na osiągnięcie określonego celu;

10) mechanizmach kontrolnych - należy przez to rozumieć metody, polityki, standardy, procedury, fizyczne środki oraz działania itp. stosowane w celu zahamowania lub zmniejszenia negatywnych  skutków ryzyka. Koszt mechanizmu kontrolnego jest odpowiedni do zidentyfikowanego ryzyka i/lub potencjalnego ryzyka;

11) właścicielu ryzyka - należy przez to rozumieć osobę odpowiedzialną za dane ryzyko w Urzędzie, która jest rozliczana ze skuteczności zarządzania tym ryzykiem;

12) prawdopodobieństwie wystąpienia ryzyka - należy przez to rozumieć szacowane prawdopodobieństwo lub możliwość wystąpienia zdarzenia lub działania, które wpłynie na zdolność Urzędu do realizacji celów jego działalności;

13) wpływie ryzyka - należy przez to rozumieć oddziaływanie zdarzenia lub działania na zdolność do realizacji celów;

14) punktowej ocenie ryzyka - należy przez to rozumieć wynik z połączenia skutków wystąpienia ryzyka i prawdopodobieństwa jego wystąpienia;

15) poziomie istotności ryzyka - należy przez to rozumieć poziom ryzyka odzwierciedlający wagę ryzyka, jego nasilenie i prawdopodobieństwo wystąpienia;

16) akceptowalnym poziomie ryzyka - należy przez to rozumieć poziom istotności ryzyka przy, którym nie jest wymagane podejmowanie działań przeciwdziałających ryzyku;

17) istotność ryzyka – należy przez to rozumieć kombinacje skutku ryzyka i prawdopodobieństwo jego wystąpienia;

18) wydziałowym rejestrze ryzyk - należy przez to rozumieć dokument zawierający informacje o ryzyku, stanowiący podstawę zarządzania ryzykiem w komórce organizacyjnej Urzędu;

19) urzędowym rejestrze ryzyk - należy przez to rozumieć dokument zawierający informacje o istotnych ryzykach, stanowiący podstawę zarządzania ryzykiem w Urzędzie;

20) przeglądzie ryzyk - należy przez to rozumieć spotkania kierowników komórek organizacyjnych Urzędu z podległą kadrą kierowniczą w celu uzyskania  udokumentowania informacji o zarządzaniu ryzykiem w podległej komórce organizacyjnej Urzędu;

21) adekwatność – zaprojektowane mechanizmy kontroli stanowią  zamierzoną  odpowiedź  na zidentyfikowane ryzyka;

22) skuteczność - zaprojektowane mechanizmy kontroli skutecznie radzą  sobie z zidentyfikowanym ryzykiem, działają  tak jak zostały zaprojektowane;

23) efektywność - zaprojektowane mechanizmy kontroli pozwalają na skuteczną reakcję na ryzyko przy możliwie najmniejszych nakładach związanych z funkcjonowaniem tych mechanizmów.

§ 5. 1.  Komórka odpowiedzialna za koordynację zarządzania ryzykiem odpowiada za:

1. koordynację procesu identyfikowania ryzyk związanych z realizacją wyznaczonych celów  i zadań;
2. prowadzenie zbiorczego rejestru ryzyk obejmującego zidentyfikowane w urzędzie ryzyka;
3. sporządzanie okresowych raportów i zestawień dotyczących zarządzania ryzykiem.

2. Właściciele ryzyk – dyrektorzy,  kierownicy innych komórek organizacyjnych urzędu oraz Inspektor Ochrony Danych, Administrator Systemu Informatycznego, Pełnomocnik Wojewody ds. Bezpieczeństwa Cyberprzestrzeni, Przewodniczący ds. Przeciwdziałania Korupcji oraz Koordynatora ds. Dostępności odpowiedzialni są za: 
   1. identyfikację ryzyk związanych z realizacją wyznaczonych im celów i zadań;
   2. przeprowadzanie oceny istotności  zidentyfikowanych ryzyk;
   3. określanie sposobu postępowania w odniesieniu do poszczególnych ryzyk; 
   4. wdrażanie działań zaradczych w stosunku do zidentyfikowanych ryzyk oraz bieżące monitorowanie ich skuteczności i adekwatności. 
3. Audytor wewnętrzny przeprowadza niezależną ocenę procesu zarządzania ryzykiem  w urzędzie.

§ 6. 1. Identyfikacja ryzyka, o której mowa w § 3 pkt 1 Polityki polega na określeniu możliwych zagrożeń w analizowanym obszarze działania, które mogą stanowić przeszkodę w realizacji celów  i zadań urzędu.

2. Identyfikacji dokonują dyrektorzy i kierownicy innych komórek organizacyjnych urzędu oraz Inspektor Ochrony Danych, Administrator Systemu Informatycznego, Pełnomocnik Wojewody ds. Bezpieczeństwa Cyberprzestrzeni, Przewodniczący ds. Przeciwdziałania Korupcji oraz Koordynatora ds. Dostępności w odniesieniu do zadań komórki organizacyjnej, uwzględniając następujące kategorie ryzyk:
   1. ryzyko finansowe;
   2. ryzyko dotyczące zasobów ludzkich;
   3. ryzyko działalności;
   4.  ryzyko zewnętrzne.
3. 1) Wykaz kategorii ryzyk i ich opis określa załącznik Nr 2 do Polityki. 

     2) Kwestionariusz identyfikacji ryzyk stanowi załącznik Nr 2 do Polityki, który należy stosować/uzupełnić przy identyfikacji ryzyk występujących w komórce organizacyjnej.

4. W procesie identyfikacji ryzyka wykorzystuje się między innymi następujące źródła informacji: 
   1. wyniki monitoringu realizacji wyznaczonych celów i zadań; 
   2. dane na temat realizacji celów i zadań z lat ubiegłych;
   3.  ustalenia z przeprowadzonych audytów i kontroli.

§ 7. 1. Każde zidentyfikowane ryzyko podlega analizie służącej określeniu prawdopodobieństwa wystąpienia zdarzenia oraz skutku, jakie to zdarzenie może mieć dla realizacji celów i zadań (ocenie istotności ryzyka).

2. Ocena prawdopodobieństwa danego ryzyka polega na określeniu przewidywanej częstotliwości wystąpienia niepożądanego zdarzenia przy uwzględnieniu istniejących mechanizmów kontroli oraz ich skuteczności. Ocena prawdopodobieństwa polega na przypisaniu każdemu z ryzyk punktacji od 1 do 3, przy czym: 1 oznacza prawdopodobieństwo małe, 2 oznacza prawdopodobieństwo średnie, 3 oznacza prawdopodobieństwo wysokie.
3. Ocena skutku zmaterializowania się danego ryzyka polega na określeniu przewidywanych konsekwencji, jakie będzie miało niepożądane zdarzenie w odniesieniu do realizacji zadań czy osiągania celów urzędu.  Przy ocenie skutku danego ryzyka dla osiągnięcia wyznaczonych celów  i zadań  w tym inwestycyjnych  uwzględnia się zarówno skutki finansowe jak i niefinansowe. Ocena skutku polega na przypisaniu każdemu z ryzyk punktacji od 1 do 3,  przy czym: 1 oznacza skutek znikomy,  2 oznacza skutek średni, 3 oznacza skutek poważny.
4. Na podstawie dokonanej oceny ustalany jest poziom istotności ryzyka, rozumiany jako iloczyn prawdopodobieństwa oraz skutku zmaterializowania się ryzyka.
5. W urzędzie zdefiniowano trzy poziomy istotności ryzyka: 
   1. ryzyko niskie, dla którego iloczyn prawdopodobieństwa wystąpienia danego zdarzenia oraz jego skutków dla realizacji celów i zadań wynosi od 1 do 2 pkt;
   2. ryzyko średnie, dla którego iloczyn prawdopodobieństwa wystąpienia danego zdarzenia oraz jego skutków dla realizacji celów i zadań wynosi od 3 do 4 pkt;
   3. ryzyko wysokie, dla którego  iloczyn prawdopodobieństwa wystąpienia danego zdarzenia oraz jego skutków dla realizacji celów i zadań wynosi od 6 do 9 pkt;

§ 8. 1. W urzędzie przyjmuje się następujące podstawowe zasady akceptowalności poziomów ryzyka:

1. ryzyko niskie – ryzyko akceptowalne, ale należy je monitorować;
2. ryzyko średnie - może potencjalnie wpłynąć na kluczową działalność urzędu, należy  monitorować i rozważyć potrzebę działań zaradczych oraz wprowadzenie dodatkowych mechanizmów kontroli mając na uwadze ich koszty. Można tolerować średni poziom, gdy koszty zapobiegania ryzyku są zbyt wysokie, ale należy na bieżąco sprawdzać poziom ryzyka;
3. ryzyko wysokie - może wywierać poważny wpływ na kluczową działalność, wymaga natychmiastowych wprowadzenia działań zaradczych i uzupełnienia wewnętrznych mechanizmów kontroli, które ograniczą prawdopodobieństwo wystąpienia ryzyka, jego materializacji i negatywnego wpływu. Decyzję o tolerowaniu (akceptacji) ryzyka może podjąć, w formie adnotacji „akceptuję” tylko Wojewoda lub upoważniona przez niego osoba;

2. Właściciel ryzyka w stosunku do każdego ryzyka przekraczającego poziom akceptowalny planuje działania zaradcze. W urzędzie  przyjmuje się następujące sposoby postępowania  z ryzykiem:

1. przeniesienie ryzyka - przeniesienie części lub całego ryzyka innej stronie/podmiotowi /jednostce;
2. tolerowanie ryzyka - brak działań  wpływających na ryzyko;
3. działania-  podejmowanie działań  ograniczających ryzyko do akceptowanego poziomu;
4. wycofanie się - odejście od działań, które wiążą się  z ryzykiem.

§ 9. 1.  Zidentyfikowane ryzyka oraz ustalone sposoby postępowania z ryzykiem są na bieżąco monitorowane przez właścicieli ryzyk.

2. Identyfikacja, analiza, ocena ryzyka, w tym przegląd skuteczności i adekwatności sposobów postępowania z ryzykiem, dokonywana jest przynajmniej raz w roku w ramach okresowego przeglądu ryzyk oraz w przypadku istotnej zmiany warunków funkcjonowania urzędu.
3. W przypadku wystąpienia istotnego zagrożenia dotyczącego realizacji założonych celów  i zadań w tym inwestycyjnych , ich właściciele mają obowiązek niezwłocznego przekazywania informacji na ten temat Wojewodzie.

§ 10. 1. Procesy identyfikacji, analizy, oceny ryzyka i określenia sposobu reakcji na ryzyko, o których mowa w § 9 ust. 2, są dokumentowane przy zastosowaniu rejestru ryzyka, którego wzór określa załącznik nr 6 do Polityki. 

2. Wypełnione przez właścicieli ryzyk rejestry ryzyka przekazywane są do komórki odpowiedzialnej za koordynację zarządzania ryzykiem, w terminie określonym przez Wojewodę.
3. Komórka odpowiedzialna za koordynację zarządzania ryzykiem przeprowadza zbiorczy rejestr ryzyk  w oparciu o przekazywane przez właścicieli poszczególnych ryzyk rejestry cząstkowe, przedstawiając jednocześnie wnioski z ich analizy Wojewodzie.
4. Wojewoda przekazuje Dyrektorowi Generalnemu, dyrektorom i kierownikom innych komórek organizacyjnych urzędu informację o wnioskach z przeglądu, o którym mowa w § 9 ust. 2, wraz  z zaleceniami dotyczącymi procesu zarządzania ryzykiem.    

 

2. Zakres zadań i obowiązków Zespołu do spraw zarządzania ryzykiem

§ 11. 1. W Urzędzie powołuje się Zespół do spraw zarządzania ryzykiem.

2. W skład Zespołu wchodzą:

1) Radosław Mikuła - Przewodniczący Zespołu;

2) stali członkowie:

a) Tomasz Kubera

b) Agnieszka Mijas

c) Honorata Mokrogulska

e) Patrycja Pajor

f) Monika Pasieczyńska

g) Sławomir Olejniczak

h) Kamil Wojtysiak

i) Sylwester Zatorski

3) członkowie fakultatywni łub zastępujący członków Zespołu, powoływani przez Przewodniczącego Zespołu, spośród pracowników Urzędu.

§ 12. Przewodniczący Zespołu kieruje i organizuje prace Zespołu, w szczególności:

1) zwołuje i prowadzi posiedzenia Zespołu;

2) może zapraszać na posiedzenia Zespołu, przedstawicieli komórek organizacyjnych Urzędu:

3) wyznacza spośród członków Zespołu, osobę która wykonuje obowiązki Przewodniczącego podczas jego nieobecności;

4) wyznacza spośród członków Zespołu osobę, która będzie zajmowała się obsługą    Zespołu.

§ 13. Do zadań Zespołu należy, w szczególności:

1) dokonywanie przeglądu oraz uzgadnianie zmian w profilu ryzyka, w oparciu o informacje własne i zewnętrzne;

2) przegląd systemów zarządzania ryzykiem w Urzędzie i ich monitorowanie;

3) analiza listy celów, realizowanych przez komórki organizacyjne Urzędu;

4) dokonywanie przeglądu w zakresie identyfikacji ryzyk;

5) analiza wydziałowych rejestrów ryzyk;

6) dokonywanie przeglądu stosowanych jak i proponowanych przez kierowników komórek organizacyjnych mechanizmów kontrolnych oraz ocena wyników działań podejmowanych w celu kontroli ryzyka;

7) przeprowadzanie konsultacji z przedstawicielami komórek organizacyjnych Urzędu;

8) utworzenie urzędowego rejestru ryzyk, rekomendowanie mechanizmów' kontrolnych, wskazanie właścicieli zidentyfikowanych ryzyk;

9) przygotowanie raportu uwzględniającego podział ryzyk o istotnym znaczeniu na ryzyka strategiczne i operacyjne;

10) aktualizacja Polityki;

11 opiniowanie potrzeb szkoleniowych w zakresie zarządzania ryzykiem, na podstawie informacji przekazanych przez kierowników komórek organizacyjnych Urzędu przynajmniej dwa razy w ciągu roku kalendarzowym.

§ 14. Zespół zbiera się dwa razy w roku. W spotkaniu uczestniczą członkowie zespołu  oraz pracownik, do którego zadań należy protokołowanie ustaleń Zespołu. W razie potrzeby Zespół może przeprowadzać dodatkowe zebrania.

§ 15. Zespół po otrzymaniu wydziałowych rejestrów ryzyk oraz listy celów od pracownika, który obsługuje Zespół, dokonuje analizy list celów oraz wydziałowych rejestrów ryzyk uwzględniające cele inwestycyjne. W przypadkach stwierdzenia, że analizowany obszar wymaga dodatkowych konsultacji, w zebraniu Zespołu uczestniczy przedstawiciel właściwej komórki organizacyjnej Urzędu. W ramach zespołu mogą brać udział fakultatywnie osoby zaproszone przez Zespół.

§ 16. Zespól po dokonaniu analizy, wskazaniu właścicieli zidentyfikowanych ryzyk oraz propozycji mechanizmów kontrolnych, sporządza urzędowy rejestr ryzyk, zgodnie ze wzorem o którym mowa w § 24 pkt 9. zawierający ryzyka o istotnym znaczeniu dla Urzędu.

§ 17. Zespół opracowuje raporty, zawierające podział ryzyk o istotnym znaczeniu dla Urzędu, na operacyjne i strategiczne. Raporty sporządzane są z uwzględnieniem właścicieli ryzyk.

§ 18. 1. Zespół współpracuje z komórkami organizacyjnymi Urzędu oraz  z zespołem do spraw kontroli zarządczej w Urzędzie.

2. Współpraca, o której mowa w § 18.1. odbywa się w szczególności poprzez:

1) wspólny dostęp do danych zawartych w rejestrach i innych zasobach;

2) odbywanie wspólnych posiedzeń, jeżeli zachodzi taka konieczność;

3) bieżące konsultacje, jeżeli zachodzi taka konieczność;

4) organizowanie szkoleń dla pracowników Urzędu;

5) podejmowanie innych nie wymienionych powyżej wspólnych inicjatyw i działań.

§ 19. 1. Zespół w terminie do dnia 31 marca oraz do dnia 30 września każdego roku przedkłada;

1) Wojewodzie, za pośrednictwem Dyrektora Generalnego Urzędu - urzędowy rejestr ryzyk oraz raport dotyczący ryzyk, w przypadku, których Wojewoda lub Dyrektor Generalny został wskazany jako właściciel;

2) kierownikom komórek organizacyjnych Urzędu - urzędowy rejestr ryzyk w części, dotyczącej właściwej komórki organizacyjnej, których dany kierownik jest właścicielem, oraz ankietę załącznik Nr 8 do Polityki dot. okresowego sprawozdania na temat ryzyk.

   3) Wojewoda lub Dyrektor Generalny Urzędu określa sposób postępowania w odniesieniu do ryzyk uwzględnionych w raporcie. Reakcja w stosunku do ryzyka może polegać na tolerowaniu, przeniesieniu, wycofaniu i działaniu.

     4)  W koniecznych przypadkach Dyrektor Generalny Urzędu i/lub Wojewoda przekazują Zespołowi informację zwrotną reakcji na ryzyko, maksymalnie w ciągu 14 dni kalendarzowych od dnia otrzymania przedmiotowej informacji. Uzyskaną informację Zespół przekazuje odpowiednim komórkom organizacyjnych, którzy udzielają odpowiedzi w ciągu 7 dni kalendarzowych  lub/i zamieszcza na stronie intranetowej.

III.  Zakres zadań i obowiązków pracownika obsługującego Zespół do spraw zarządzania ryzykiem

§ 20. Do zadań pracownika obsługującego Zespół, należy w szczególności:

1) protokołowanie ustaleń Zespołu;

2) przyjmowanie informacji w zakresie zaktualizowanych list celów realizowanych przez komórkę organizacyjną oraz wydziałowych rejestrów ryzyk;

3) prowadzenie urzędowego rejestru ryzyk oraz dokumentacji dotyczącej zarządzania ryzykiem:

4) udostępnianie dokumentacji związanej z zarządzaniem ryzykiem;

5) monitorowanie terminów przekazywania dokumentacji związanej z zarządzaniem ryzykiem;

6) opracowywanie dokumentacji związanej z zarządzaniem ryzykiem:

7) obsługa posiedzeń Zespołu (m.in. sporządzanie protokołów z posiedzeń Zespołu oraz na wniosek przewodniczącego, innych dokumentów związanych z zarządzaniem ryzykiem).

IV. Zakres zadań i obowiązków kierowników komórek organizacyjnych Urzędu

§ 21. Przeglądy ryzyk odbywają się w formie spotkania kierownika komórki organizacyjnej Urzędu z podległą kadrą kierowniczą, z którego wyznaczony przez kierownika pracownik, sporządza protokół.

§ 22. Po dokonaniu przeglądu ryzyk kierownicy komórek organizacyjnych Urzędu mają obowiązek dokonać aktualizacji wydziałowych list celów sporządzonych zgodnie ze wzorem, o którym mowa w § 24 pkt 7 oraz wydziałowego rejestru ryzyk sporządzonego zgodnie ze wzorem, o którym mowa w § 24 pkt 8.

§ 23.1. Kierownicy komórek organizacyjnych przekazują w wersji elektronicznej do pracownika, który obsługuje Zespół, wydziałowe rejestry ryzyk oraz listy celów, w terminie do dnia 15 lutego według stanu na dzień 31 grudnia, oraz do dnia 31 lipca według stanu na dzień 30 czerwca.

2. Wyniki monitorowania ryzyka wraz z informacją o efektach zastosowanych metod przeciwdziałania ryzyka oraz informacje dotyczące sposobu realizacji Planu działania/działalności sporządzone przez komórki organizacyjne są przedstawiane zespołowi ds. zrządzania ryzykiem.

§ 24. Kierownicy komórek organizacyjnych Urzędu ponoszą odpowiedzialność za prawidłowy przebieg procesu zarządzania ryzykiem, w szczególności za:

1) określenie listy celów i zadań do realizacji w zarządzanej komórce organizacyjnej Urzędu, z uwzględnieniem podziału na oddziały, wieloosobowe i samodzielne stanowiska pracy oraz dokonanie oceny celów według ich istotności;

2) identyfikację ryzyk w komórce organizacyjnej Urzędu;

3) analizę ryzyk zidentyfikowanych w komórce organizacyjnej Urzędu;

4) przeprowadzenie oceny ryzyk zidentyfikowanych w komórce organizacyjnej Urzędu;

5) opracowywanie i wdrażanie mechanizmów kontrolnych w zakresie adekwatnym do poziomu zarządzania;

6) utworzenie i aktualizację wydziałowych rejestrów ryzyk;

7) określenie sposobu postępowania w odniesieniu do ryzyk wskazanych przez Zespół;

8) wyznaczenie pracownika odpowiedzialnego za czynności związane z zarządzaniem ryzykiem w komórce organizacyjnej Urzędu, w tym za opracowywanie w ramach danej komórki organizacyjnej Urzędu materiałów związanych z zarządzaniem ryzykiem. Zakres czynności ww. pracownika powinien zawierać zapisy związane z wykonywaniem czynności w ramach zarządzania ryzykiem;

9) zapewnienie, aby pracownicy byli świadomi wagi procesu zarządzania ryzykiem poprzez umożliwienie im formalnego zgłaszania bezpośredniemu przełożonemu zmian w zakresie 

10) identyfikację potrzeb szkoleniowych w zakresie zarządzania ryzykiem.

§ 25. Kierownicy komórek organizacyjnych Urzędu,  Inspektor Ochrony Danych Osobowych, Administrator Systemu Informatycznego, Pełnomocnik Wojewody ds. Bezpieczeństwa Cyberprzestrzeni, Zespół ds. Przeciwdziałania Korupcji oraz Koordynator ds. Dostępności mają obowiązek dokonywania przeglądów ryzyk minimum dwa razy w roku kalendarzowym, w celu uzyskania informacji, o tym czy:

1) ryzyko nadal występuje;

2) pojawiło się nowe ryzyko;

3) prawdopodobieństwo i wpływ ryzyka zmieniły się;

4) stosowane mechanizmy kontrolne są efektywne.

§ 26. Analizy list celów i wydziałowych rejestrów ryzyk dokonuje Zespół, który następnie przekazuje kierownikom komórek organizacyjnych Urzędu, urzędowy rejestr ryzyk oraz raport charakteryzujący ryzyka operacyjne i strategiczne, w zakresie dotyczącym danej komórki.

§ 27. Kierownik komórki organizacyjnej Urzędu zobowiązany jest przekazać do pracownika obsługującego Zespół, w wersji elektronicznej, informacje o sposobie postępowania w odniesieniu do ryzyk uwzględnionych w raporcie, w terminie 15 dni kalendarzowych od dnia otrzymania raportu.

V.  Zakres zadań i obowiązków pracowników Urzędu związanych z procesem

zarządzania ryzykiem

§ 28. Pracownicy Urzędu są odpowiedzialni w szczególności za zgłaszanie bezpośrednim        przełożonym informacji o pojawiających się ryzykach lub innych istotnych problemach.

§ 20. Obowiązkiem kierowników komórek organizacyjnych Urzędu jest analizowanie zidentyfikowanych ryzyk z kadrą kierowniczą.

§ 29. Pracownicy komórek organizacyjnych Urzędu winni uczestniczyć w bieżącej aktualizacji zidentyfikowanych ryzyk w komórce, wskazywać bezpośredniemu przełożonemu ryzyka, które nie są efektywnie i wydajnie zarządzane oraz informować o braku skuteczności stosowanych mechanizmów kontrolnych.

§ 30. Pracownicy winni rozumieć swoją odpowiedzialność za dany rodzaj ryzyka i wiedzieć, w jaki sposób mogą się przyczynić do stałego doskonalenia procesu.

§ 31. Pracownicy mogą anonimowo korzystać z forum intranetowego, w zakresie przekazywania zidentyfikowanych na swoich stanowiskach pracy ryzyk.

VI. Identyfikacja i analiza ryzyka

§ 32. Identyfikacja ryzyka polega na ustaleniu ryzyka zagrażającego realizacji poszczególnych celów strategicznych i operacyjnych jednostki.

§ 33. Postępowanie przy identyfikacji i analizie ryzyka polega na wykonaniu następujących czynności:

1. ustaleniu listy celów/zadań do realizacji w komórce organizacyjnej Urzędu, z  uwzględnieniem podziału na oddziały, wieloosobowe i samodzielne stanowiska pracy:

2) wskazaniu ryzyk do każdego celu określonego w komórce organizacyjnej Urzędu, z uwzględnieniem podziału na oddziały, wieloosobowe i samodzielne stanowiska pracy, przy wykorzystaniu kwestionariusza identyfikacji ryzyk stanowiącego załącznik nr 1 do Polityki:

3) określeniu skutków oraz przyczyn zidentyfikowanego ryzyka, w oparciu o czynniki ryzyka określone w załączniku nr 2 do Polityki;

4) przeanalizowaniu każdego zidentyfikowanego ryzyka poprzez określenie:

a) wpływu jaki będzie miało ewentualne wystąpienie ryzyka poprzez wartości punktowe wskazane w załączniku nr 3 do Polityki;

 b) prawdopodobieństwa wystąpienia danego zdarzenia narażonego na ryzyko poprzez wartości punktowe - wskazane w załączniku nr 4 do Polityki;

5) określeniu punktowej oceny zidentyfikowanego ryzyka;

6) określeniu mechanizmów kontrolnych stosowanych w celu zminimalizowania zidentyfikowanego ryzyka;

7) uszeregowaniu listy celów w tym celów inwestycyjnych  realizowanych przez komórki organizacyjne Urzędu według ich stanowiska pracy zgodnie ze wzorem stanowiącym załączniki nr 5 i 5a do Polityki;

8) stworzeniu wydziałowego rejestru ryzyk zgodnie ze wzorem stanowiącym załączniki nr 6 i 6a do Polityki;

9) stworzeniu urzędowego rejestru ryzyk zgodnie ze wzorem stanowiącym załączniki nr 7 i 7a do Polityki;

10) określeniu reakcji na ryzyko o istotnym znaczeniu przez właścicieli ryzyk

11) okresowe sprawozdanie na temat ryzyk przez właścicieli ryzyk zgodnie ze wzorem załącznik nr 8 do Polityki;