analiza ryzyka

[dudu]

Witam po prawie rocznej przerwie. Dostałam bojowe zadanie do wykonania. Mam w Urzędzie stworzyć taki system który będzie w sobie łączył System Zarządzania Jakością (ISO), audyt wewnętrzny oraz kontrolę zarządczą. Chodzi o to, żeby nie dublować dokumentów, np. wykorzystać cele i zadania wykazane w ISO do kontroli zarządczej, analizę ryzyka do planu audytu do określenia ryzyka w kontroli zarzadczej. Te systemy mają ze sobą współdziałać i być od siebie zależne. Co Wy na to? Macie jakiś pomysł. Robienie odrębnej analizy ryzyka do audytu i kontroli zarządczej nie wchodzi w grę (proponują utwotzyć dodatkową rubrykę w dokumentach ISO) – jak to się ma do przepisów obowiązujących. Powiem szczerze, że jakoś nie mogę tego ogarnąć a wypadłam z obiegu i musze nadrobić zaległości.

[kikcloud]

I na dotatek masz jeszcze ocenic to wszystko i wydać zapewnienie, że to działa. Gratuluję poczucia humoru zlecającemu to zadanie 😀

[kikcloud]

Jeszcze zapomniałem dodać, że to ma być ocena obiektywna i niezależna 😉

[pietryka]

Duduś a ile za to dostaniesz, pewnie „straszne” pieniądze. A tak na poważnie – to pewnie jeszcze w temat nie wchodziłaś? Jeżeli jesteś audytorem wewnętrznym, to zadanie kłóci się z Twoją niezależnością i nic wspólnego nie ma i mieć nie będzie z obiektywizmem /patrz zapis w uofp/, na co zresztą zwrócił Ci uwagę kokcloud. Przeglądnij inne tematy tutaj na forum, może znajdziesz odpowiedź.
U mnie w Urzędzie za identyfikację obszarów ryzyka i analizę ryzyka odpowiedzialni sa dyrektorzy wydziałów, czy do tego zaangażują kierowników referatów – to ich problem. Za całość /w tym szkolenia/ odpowiedzialny jest Pełnomocnik Zintegrowanego Systemu Zarządzania, który jest niezależny np. od kontroli finansowej /pozostała w starym składzie/. Mnie – audytora poproszono jedynie o przedstawienie na naradzie dyrektorów, na co będę zwracał uwagę przy audycie oceniając kontrolę zarządczą. A szef zorientował się kiedy podpisywał moje nowe procedury i kartę audytu
I nie zgadzam się z kikcloudem, że zlecający miał poczucie humoru /ha, ha/. Po prostu nie miał pojęcia co Ci zleca /sorry, ale chyba to jedyne wyjaśnienie/.

[dudu]

Dzięki za zainteresowanie. Od razu wyjaśniam, że jestem audytorem wewnętrznym w jednostce samorządu terytorialnego. U mnie w jednostce zawsze podejście do audytu było traktowane jako zło konieczne, a teraz pod moją nieobecność to już całkiem powariowali. Na nic moje tłumaczenia, że kłóci się to z moją niezleżnością i obiektywizmem po prostu stwierdzili, że ja mam służyć jednostce a nie robić sobie „coś tam” (patrz analize ryzyka) na potrzeby audytu. Ich zdaniem to powielanie tego co robi się do ISO. Nie wiem w jaki sposób mam im to wyjaśnić. A pieniędzy za to żadnych nie dostanę 😥 w ramach mojego wymagrodzenia.

[dudu]

A tak na marginesie dodam, ze do tej pory analizę ryzyka robiłam metodą matematyczną, jednak uznałąm, że ta metoda nie wyraża w pełni potrzeb jednostki (bo zadania wrażliwe typowałam sama na podstawie mojej wiedzy) W tym roku doszłam do wniosku, że lepiej byłoby, gdyby analize ryzyka zrobić metoda delficką i tu zaczęły się schody. Moim skromnym zdaniem zidentyfikowane przez naczelników w swoich komórkach ryzyka można byłoby wykorzystać na potrzeby kontroli zarządczej – kazdy z naczelników w swojej komórce monitorowałby to ryzyko. Co Wy na to?

[darek]

A gdzie w twojej analizie priorytet kierownictwa?

[pietryka]

Duduś zal mi Ciebie, bo oni nie wiedzą co czynią.
Jednak u mnie zaczynało się tak samo. Przyjechali z jakiegoś tam kursu i próbowali wycyganić ode mnie analizę ryzyka, bo im powiedziano, że podobno w dużym mieście na K. w Małopolsce skorzystano z identyfikacji ryzyka i jego analizy, którą /dla siebie/ przygotowała grupa audytorów. Było tego podobno ponad 70 /czego ? nie wiem/ i chcieli skorzystać z moich. Pokazałem im plan wyjaśniłem co jest co, wyjaśniłem co to obszary ryzyka. Póżniej pokazałem podręcznik „Analiza ryzyka w audycie wewnętrznym”, na stronach ministerstwa pokazałem metodykę i… załapali. Do tego wyjaśniłem, że dużo rzeczy na temat działania już kontroli zarządczej mają dyrektorzy wydziałów, bo każdy wydział ma opracowane i wdrożone regulaminy organizacyjne wydziałów, procedury np. sprzedaży nieruchomości czy przetargowe no i „kazałem” czytać uważnie standardy kontroli zarządczej /strony Min. Fin./.Natomiast duduś Ty przeczytaj temat /wyżej/ kontrola wewnętrzna a kontrola zarządcza /też nie wiem dlaczego w „funduszach unijnych” akurat tu wpisano – ale nieistotne/. Co do metody analizy ryzyka, to wróć do metody matematycznej jej „większa połowa” no może połowa też jest subiektywna i tak naprawdę to ważne jest jakie jest zapotrzebowanie na ryzyko danej organizacji. Ty nie jesteś w stanie /nie wiem jak duży jest twój urząd/ zrobić dla wszystkich wydziałów, referatów itp. jednostek związanych z urzędem /szkoły, przedszkola, inne…/ identyfikacji ryzyk i ich analizy. Jak nie przekonasz do tego swojego szefa no to masz problem. Co do ISO – ja u nas nie brałem w tym udziału, wiem tylko tyle, że robiła to wynajęta firma. A tak nawiasem, ktoś już z takim problemem jak Twój dzielił się na forum jakieś 2 tygodnie temu /nawet słowniczek odróżnia audit od audytu wewnętrznego/.

[dudu]

Pietryka, chyba jeszcze nie wróciłam całkowicie na ziemię, bo nie mogę zrozumieć co mam przeczytac i gdzie tego szukać. Gdzie mogę znaleźć to coś o kontroli wewnętrznej a kontrola zarządczej która mam przeczytać? A co do ISO to u mnie też to robiła firma zewnątrz, ale teraz co roku każdy z naczelników i audytor też ma obowiązek przygotowac do przeglądu zarządzania cele komórki, sposób realizacji, środki potrzebne na realizację i jakieś tam… i tam właśnie chcą włożyć rubrykę z analizą ryzyka. A co do matematycznej metody analizy ryzyka to robiłam ją dla Urzędu i jednostek organizacyjnych identyfikując obszary a w nich zadania gdzie może wystąpić ryzyko (mam taki swój programik w excelu, który to wszystko zbiera i robi zbiorczy arkusz już według kolejności oceny końcowej ryzyka). Tylko, że w samym Urzędzie wyszło mi zidentyfikowanych około 100 zadań, nie wspomnę o jednostkach. No i nie wiem bo co roku wychodzi mi co innego a chciałąbym w ciągu kolejnych lat objąć audytem całą działalność gminy. A może by tak połączyć matematyczną analizę z metodą delficką. Zadania, gdzie występuje ryzyko typowaliby naczelnicy, następnie zespół ekspercki by się wypowiedział, a następnie wrzuciłabym do excela i zrobiła matematyczna analizę, a na końcu porównała wyniki jednej i drugiej metody. A Wy sami typujecie zadania w których widzicie ryzyko, czy korzystacie z podpowiedzi pracowników??? W ciągu tygodnia musze zrobić i analizę ryzyka i plan audytu i szczerze mówiąc nie wiem jak pójść na skróty???

[jama]

system o którym mówisz połączenia ISO i audytu wewnętrznego z łączną analizą ryzyka + kontrola zarządcza z tego co wiem funkcjonuje w Głównym Urzędzie Miar

[pietryka]

Duduś – ja miałem na myśli wczoraj następny temat na tym forum tj. wypowiedzi audytorów na temat kontroli wewnętrznej a zarządczej, ale pewnie czytałaś. Natomiast co do analizy ryzyka i sporządzaniaplanu to
skoro masz zidentyfikowanych ok 100 zadań /czy również zdefiniowanych?/ i do tego masz program to nic tylko zazdrościć. Już z samej konstrukcji i wzoru naszego planu wynika, że ja np w drugiej części „wyniki analizy ryzyka” oraz w piątej „planowane obszary ryzyka w kolejnych latach” są gotowym materiałem wyjściowym do planu na dany rok. W roku planuję ok 4 zadań /jestem sam/, które automatycznie „wchodzą” z początku listy /lista wg poziomu ryzyka – część 2 planu/ i co roku na koniec cz. 2 i5 dopisuję następne 4 zadania. Mając ich 100 to wychodzi ok 25 lat spokoju. Stosuję metodę matematyczną bo uważam, że dla mnie jest ona najbardziej odpowiednia.
Ty mając ochotę na „objęcie w ciągu kolejnych lat całej działalności gminy” musisz być tytanem pracy? Ile tych zadań jesteś w stanie zrobić w ciągu roku? Wracając do metody – ja dość często korzystam przy typowaniu obszarów ryzyka z podpowiedzi ludzi, ustaleń cząstkowych kontroli zewnętrznych, podpowiedzi koleżanek z kontroli finansowej ale również z zapotrzebowań szefa. Do metody delfickiej potrzebna jest grupa ekspercka /przynajmniej kilku audytorów/ czy w takim razie jest Was więcej, czy jesteś tylko jedna? Bo nie uważam za ekspertów do tej metody, ludzi którzy się swoimi tematami zajmują / architekt, skarbnik, geodeta, itp./ bo są to mniej lub bardziej wybitni specjaliści ale w swoich dziedzinach a nieprzydatni do typowania tematów zadań audytowych i ich kolejności, bo będą albo preferować swoją dziedzinę lub nie, uważając, że wszystko jest idealne.
Widzę że jama napisał/ła?/, że połączenie ISO i audytu wewnętrznego z analizą kontroli zarządczej + kontrola zarządcza funkcjonuje w GUM – to dla mnie /i jak czytałaś – nie tylko/ to kuriozum i nie ma nigdzie odniesienia. Rola audytu wewnętrznego zaostała jasno określona w ustawie, do tego standardy, karta audytu,czy kodeks etyki /ze o rozporządzeniu nie wspomnę/ gdzie tam jest wspomniane o tworzeniu KZ, ISO itp. ??? Jest tylko o ocenie KZ przy każdym audycie /wcześniej od 2002/3 o ocenie KW/. Już w tym temacie inni się wypowiadali /patrz wyżej/. Za typowane tematy do audytu odpowiada audytor /tylko przed szefem/ nie będzie jego winą, że w urzędzie zdarzyła się korupcja, czy nie uzyskano środków unijnych, czy urząd „stracił twarz” bo ktoś nie dopilnowa czegoś a audytor tych sytuacji nie przewidział i nie zaplanował do audytu albo jego analiza ryzyka w tym temacie nie wykazała zagrożenia. Natomiast ktoś, kto tworzy w wydziale /dyrektor, naczelnik/ KZ i typuje ryzyka, jest za nie odpowiedzialny. A Ty tworząc dla całego urzędu KZ bierzesz na siebie odpowiedzialność za jej funkcjonowanie i… przestajesz być audytorem wenętrznym.
Pozdrawiam.

[123456]

Witaj Dudusio
Powiem tak: System Zarządzania ISO – zapewne wprowadziła jakaś instytucja certyfikująca ??? , i myślę , że ma określone prawa wyłączności. Poza tym oni wdrożony system sprawdzają / certyfikują co jakiś czas i wydają po takiej kontroli coś w rodzaju raportu , świadczącego o przedłużeniu praw do systemu ??? ( może niespójnie tłomaczę – ale mam wiedzę ogólną) . Więc proponuje zagraj dyplomatycznie napisz pismo do tej instytucji z zapytaniem o opinie w sprawie jak rekomendują ci władze . A może poproś o wskazania czy rekomendację w sprawie jak chcę twoje władze zrobić rewolicję ! Podsuń pismo takie bardzo wykraszone ?? swojemu szefowi do podpisu i wyślij , gdzie trzeba . Zapewniam cie , że otrzymacie odpowiedź negatywną . Ty bedziesz kryta , Chciałaś tylko dobrze ! A sprawa sama się rozwiąże . Poza tym Auditorzy ISO w czasie najbliższej certyfikacji wybiją z głowy władzom podobne pomysły . Życze powodzenia

[dudu]

Dziękuję bardzo za cenne uwagi. Powiem szczerze, że tych 100 zadań to mnie przeraża ale jak je analizuję to wydają mi się wszystkie potrzebne. Nie mam zbyt duzych kontaktów z audytorami bo nie jeżdżę na szkolenia (nie mam fizycznej możliwości uczestniczenia w dwu czy trzydniowych szkoleniach – a na te jednodniowe to mało kto z „prawdziwych” audytorów jeździ). Szkoda, że nie można skontaktować się mailowo, wtedy możnaby się wymienić uwagami, materiałami itd. – i może udałoby mi się skrócić listę zadań do audytu. 😀 A tak na marginesie dodam, że jestem sama w Urzędzie i podobnie jak Ty Pietryka jestem w stanie zrobić około 4 audytów rocznie.

[anka123]

witam wszystkich!Jestem początkującym audytorem jst(powiat) i biorę się właśnie za analizę ryzyka.no i mam mętlik w głowie.Czy obszary audytu wybierać z zadań powiatu, czy może z regulaminu organizacyjnego? ❓ Duduś-szczęśliwa jesteś że masz ich zidentyfikowanych aż 100! Czy ktoś mógłby mi pomóc w tej identyfikacji? 🙄

[anka123]

Jeszcze mam pytanie:czy dobrym pomysłem jest rozesłanie do naczelników wydziałów i kierowników podległych jednostek prośby o wskazanie istotnych obszarów działalności bądż realizowanych zadań i możliwych do wystąpienia ryzykach?Planuję też ankietę wśród pracowników na temat kontroli zarządczej-nie wiem czy to wypali ❓

[Autor]

Wpisy