MF

[wika]

Witam! Na stronie MF jest komunikat Nr 6 w sprawie planowania i zarządzania ryzykiem
Pozdrawiam

[gapa]

Szczerze mówiąc, spuszczenie na ten „wytwór” zasłony milczenia będzie aktem miłosierdzia wobec autorów.

[romb]

Witam w Nowym, mam nadzieję, lepszym dla nas roku!
Podpisuję się obydwiema rękoma pod tym co napisał/a/ Gapa.

[wacekservice]

a ja dokładam cztery kończyny 😆
super, że zdrowy rozsądek i poczucie humoru Audytorów nie opuszcza, a zatem niech do końca roku stan taki nam trwa 😀

[martinez]

A ja proponuje w ramach konstruktywnej krytyki wypunktować co Wam się nie podoba i jak można by to zrobić lepiej.

Dla jasności – jestem współautorem wytycznych.

[adela]

W MF widać pracuje dużo ludzi, którzy jak w wielu innych „centralach” chcąc udowodnić swoją przydatność, zajmują się wieloma innymi sprawami, które w pracy audytora wewnętrznego może by i się przydały, ale wtedy, gdyby ten audyt był konsekwentnie wdrażany, jak zakładano na początku i egzekwowany od kierowników jednostek zdecydowanie. A co MF, kiedy audytora się zatrudnia na 1/16 etatu?. Nic. Kierownik wypełnił obowiązek ustawowy, że zatrudnił. Nie mówiąc już o karykaturalnej „niby” ochronie audytorów w jednostkach administracji państwowej.

[gapa]

Po pierwsze
Dokument nosi nazwę „ Szczegółowe wytyczne …” – sądziłem, że znajdę tam przede wszystkim szczegółowe instrukcje postępowania (szczegółowe rozwiązania, algorytmy , itp. … ), które o ile zostaną zastosowane, to dadzą oczekiwane (konkretne i wiadomo jakie rezultaty).

Tymczasem ok. 60% objętości dokumenty zajmują przykłady (ponad 27 stron na 46) , które nie wiadomo jak traktować (pokazują jak należy czy jak nie należy postępować?)
Jaki jest sens pokazywać 51 przykładów i żadnego z nich nie ocenić pod względem przydatności do określonych warunków? Skoro przykłady są z praktyki to jakie są rezultaty ich stosowania, co osiągnięto w jednostkach, które je wdrożyły?

Skoro „…zostały one opracowane dla konkretnych jednostek i nie zawsze będą pasować do środowiska wewnętrznego i zewnętrznego innej jednostki…” ( fajne alibi) – to pytam się na ile „pasowały” tam gdzie je zastosowano? Jaka jest miara tego „dopasowania” i kiedy należy uznać że „wystarczająco pasuje”?

Samo podawanie przykładów mających „… na celu zaprezentowanie różnorodnego podejścia jednostek do wdrożenia Standardów ” w dokumencie o nazwie „ Szczegółowe wytyczne …” już jest komiczne, ale może być przydatne jeśli :

1. Przykład jest ilustracją zastosowania (w konkretnych szczegółowo opisanych warunkach) wcześniej szczegółowo opisanego teoretycznego rozwiązania / algorytmu / mechanizmu
2. Dokonana jest ocena dopasowania / dostosowania tego rozwiązania do istniejących warunków
3. Ocenione są rezultaty (i koszty) zastosowania opisywanych rozwiązań (adekwatność, skuteczność i w rezultacie efektywność, ale .. ściśle mierzone – miarami finansowymi, a nie gumką od majtek… )

W zupełności wystarczyłoby podać 5 przykładów, ale obszernych, szczegółowo opisanych, dla wybranych, też szczegółowo opisanych rozwiązań – ale trzeba je znać i umieć opisać i ocenić, ale do tego potrzeba obiektywnych miar.

51 to więcej niż 5, ale dużo gorzej…(po prostu 27 stron wypełniacza, który zwiększa objętość, ale nie zwiększa wartości)
cdn

[jama]

Mnie w tych wytycznych niepokoi przede wszystkim forma prawna. Dlaczego to nie jest podręcznik? W ten sposób dajemy do rąk kontroli zewnętrznych narzędzie, które posłuży jako wzorce oceny. I bez znaczenia tu będą intencje, ani fakt, że to tylko przykłady. Ja reprezentuję bardzo duży urząd samorządowy i nacisk w wytycznych na wskaźniki burzy naszą analizę ryzyka. Przy braku budżetu zadaniowego, a korzystaniu w zarządzaniu wyznaczaniu i rozliczaniu celów w ryzyku w sposób opisowy, pozawskaźnikowy nie do końca spełniamy standardy kontroli zarządczej. Ale wprowadzanie wskaźników w sposób sztuczny tworzy bylejakość. Zwłaszcza, że u nas wskaźniki są brane pod uwagę w kartach zadań do Wieloletniej Prognozy Finansowej, która nie jest tożsama z budżetem zadaniowym, ale stanowi zadania budżetowe ( to nie tylko gra słów, ale rzeczywisty rozdźwięk). Czekam więc na zmiany, a te wytyczne spowodują, że szef zażąda dodatkowej pracy, która w mojej opinii nic nikomu nie przyniesie. Wprowadzanie wymogów w momencie, gdy Urzędy nie mają wdrożonych wszystkich dodatkowych elementów bez zachowania odpowiedniej kolejności przynosi więcej straty niż pożytku.

[gapa]

Po drugie

„ Szczegółowe wytyczne …” – to można pisać dla czegoś konkretnego – np. dla realizacji szczegółowo opisanej koncepcji, będącej wynikiem dogłębnej analizy, a następnie kompletnej syntezy i jednoznacznych decyzji. Musi ona (koncepcja)zawierać ścisłe, użyteczne definicje i modele, kompletną metodykę, jednoznaczne kryteria oceny rezultatów.

Tymczasem już podana we wprowadzeniu definicja podstawowego pojęcia, czyli ryzyka zdradza, że takiej koncepcji nie ma (albo nie została z jakichś względów ujawniona).

Właściwie to nie wiadomo jak traktować zdanie, że „Ryzyko definiowane jest jako możliwość zaistnienia zdarzenia, które negatywnie wpłynie na osiągnięcie celów i zadań” – to jest definicja jakiej należy używać, czy tylko stwierdzenie, że ktoś kiedyś taką definicję widział?

Jednak dalej (niestety równie mętnie) wyartykułowany jest pogląd, że „ Reagowanie na ryzyko związane jest … z kosztami , zatem … system zarządzania ryzykiem jest … kompromisem pomiędzy poziomem ryzyka …, a kosztami związanymi z zabezpieczeniem … przed ryzykami ”.

Uff.. chodzi zapewne o to, że rozumne jest sprawdzenie czy wartość o jaką zmniejszyliśmy ryzyko nie jest czasem mniejsza niż koszty jakie na to ponieśliśmy. Tzn. czy się opłacało – może nie należało nic robić, bo wartość ryzyka przed działaniami też była niska? Tyle, że do takiej oceny to trzeba mierzyć wartość ryzyka w takiej samej mierze w jakiej można także mierzyć koszty działań (najlepiej w pieniądzu).

Skoro tak, to ryzyko należy zdefiniować jako zjawisko wpływu (negatywnego) możliwości wystąpienia zdarzenia na wartości ( na których nam zależy). Mierzyć tak zdefiniowane ryzyko należy wartością oczekiwaną tego wpływu.

W najłatwiejszych przypadkach oblicza się wartość ryzyka mnożąc prawdopodobieństwo danego zdarzenia przez wartość uszczerbku jakie jest rezultatem jego wystąpienia.

Np. Wartość samochodu 100tys. , prawdopodobieństwo kradzieży ( w ciągu roku) – 0,01, wartość ryzyka kradzieży – 100tys. x 0,01 = 1tys. – czy warto się ubezpieczyć od kradzieży za 1,2tys. rocznej składki?

Przykład jest najtrywialniejszy z możliwych, ale pokazuje możliwość faktycznego podejmowania decyzji w oparciu o ocenę ryzyka (czyli faktyczne zarządzanie ryzykiem), jednak wymaga:

1. Oceny prawdopodobieństwa jak bozia i matematyka nakazują – od 0 do 1 (a nie mało, średnio, dużo czy raz, dwa, trzy).

2. Wyceny tego, co ryzyku podlega (najlepiej w pieniądzu).

To tylko początek, a nawet zaledwie wstęp do uwertury … ale konieczny!

Być może, jak napisano na stronie nr 3 „ .. nie ma jednego, modelowego rozwiązania z zakresu zarządzania ryzykiem” (dowód proszę, że nie ma – może nie ma , może jest), ale…

… nie ma do czego pisać wytycznych, jeśli wcześniej nie wybrało się modelu rozwiązania i nie stworzyło kompletnej koncepcji jego zastosowania!!!!

cdn

[wacekservice]

Martinez,
jeżeli prosisz o uwagi, to ja mam jedną zasadniczą:
jeżeli tworzone są akty prawne, to obowiazują reguły legislacji, a jedną z podstawowych jest przeprowadzanie konsultacji – takich nie było…
Ale spokojnie i po audytorsku (profesjonalnie)należy do tego podchodzić, bo pamiętajmy, że to nie audytorzy odpowiadają za ryzyko.
Szkoda tylko, że kierownikom lodowisk daje się takie przykłady …

[romb]

Podzielam uwagi Gapy co do formy i treści szczegółowych wytycznych. Jestem raczej zwolennikiem zwięzłych dokumentów, bez rozdętego „powieściopisarstwa”. Mamy już przecież „Podręcznik wdrożenia systemu zarządzania ryzykiem w administarcji publicznej w Polsce” wydany w 2004r. przez Ministerstwo Finansów i Bentley Jennison – 86 stron. Jest pochodząca również z 2004r. Pomarańczowa księga Zarządzanie ryzykiem – Zasady i koncepcje -50 stron. Dlatego też uważam, że jeśliby „Szczegółowe wytyczne” miałyby się ukazać, to powinny uwzględniać tylko aktualne uwarunkowania i zmiany jakie dokonały się w teorii i praktyce zarządzania ryzykiem na przestrzeni tego okresu.
W tym sensie „Szczegółowe wytyczne” nie wnoszą nic odkrywczego w stosunku do wymienionych wyżej dokumentów, a są równie obszerne. A tak na marginesie – nie obszerna zawartość decyduje o jakości regulowanej materii. Jak przypominam międzynarodowe standardy bankowe mające zapobiegać kryzysom i minimalizowac ryzyko ich występowania w działalności bankowej ( prawie ćwierć wieku przepracowałem w bankowości) zwane jako Bazylea I ukazały sie pod koniec lat osiemdziesiątych i liczyły około 30 stron. Jak się szybko okazało nie uodporniły one w sposób wystarczający systemu bankowego wobec kryzysu. Komitet Bazylejski wydał więc kolejne standardy ( Bazylea II), które liczyły juz około 250 stron. Po ostatnim kryzysie Komitet opulikował kolejne wytyczne ( Bazylea III) , które liczą zdaje się około 500 stron. Ostatnio słyszałem jednak, że pod wpływem głosów rozsądku Komitet albo wycofuje sie z tych rozdętych regulacji, albo przesuwa je w czasie.
Po prostu żadne regulacje i wytyczne nie zastąpią zdrowego rozsądku i racjonalności działania. I tego szczerze życzę wszystkim Koleżankom i Kolegom po fachu.

[wojak]

My tu „gadu, gadu”, a audyt się starzeje i degeneruje, jak owca Dolly… Wygląda na to, że najbliższa nowelizacja uofp przyniesie „zalecenie oszczędności” w postaci dobrowolności prowadzenia audytu wewnętrznego i będzie „pozamiatane”. Jedyny ratunek dla audytu widzę we włączeniu go pod nadzór i opiekę NIK… W obecnym kształcie zejdziemy na psy i zdechniemy z głodu, albo rozpędzą nas na cztery wiatry. W opinii wielu kierowników jsfp jesteśmy potrzebni, jak psu drugi ogon do merdania 😈

[gapa]

Po trzecie
Jak można nazwać „ Szczegółowymi wytycznymi …” coś co jest jedynie powtórzeniem niefrasobliwego ględzenia, zawartego w dwóch pożal się boże (celowo z małej litery) „podręcznikach” – „Zarządzanie ryzykiem w sektorze publicznym” i „Pomarańczowej księdze” (wydaje mi się, że zabarwienie tej ostatniej jest bardziej brązowawe, zdradzające według określenia imć pana Zagłoby, niepolityczne pochodzenie).

Niefrasobliwość wszelkich tego rodzaju bełkotów zaczyna się zwykle tak samo – od prób zdefiniowania / określenia co to jest ryzyko, bez przywiązywania uwagi do tego czy kolejne „definicje” mają sens i czy są choćby ze sobą ( w jednym dokumencie) zgodne.

W „ Szczegółowych wytycznych …” najpierw na stronie 2 stwierdza się, że
„Ryzyko definiowane jest jako możliwość zaistnienia zdarzenia, które negatywnie wpłynie na osiągnięcie celów i zadań”
a nieco dalej w Przykładzie 18 na stronie 13 stoi jak byk „Ryzykiem będą natomiast zdarzenia…”.
To ryzyko jest „możliwością zaistnienia zdarzenia” czy „zdarzeniem”?

Rozumiem, ze przykład może być błędny (może warto by było o tym poinformować), ale dlaczego w takim razie na stronie 15 (już nie w przykładzie) a w punkcie 4. Analiza ryzyka, pogrubionym drukiem oznajmia się:
„ … ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków.”
Jeśli ryzyko to „możliwość zaistnienia zdarzenia” to czym jest „prawdopodobieństwo wystąpienia ryzyka” – „ prawdopodobieństwem wystąpienia możliwości zaistnienia zdarzenia”? – bzdura.

Brak właściwie i precyzyjnie zdefiniowanego pojęcia ryzyka i jego miary jest grzechem pierworodnym wszelkich tego rodzaju „podręczników” , „standardów” i „wytycznych” , a jego konsekwencją jest bezsensowne przypisywanie prawdopodobieństwu (zdarzeń! No bo czego innego..?!) ocen w stylu 1, 2, 3 albo rzadko, często, bardzo często, zaś skutkom (zdarzeń! No bo czego innego..?!) terminów w rodzaju znikome, średnie, duże, katastrofalne, czyli tzw. ocen jakościowych prawdopodobieństwa i skutków zdarzeń.

Jeśli za tymi ocenami nie stoją konkretne liczby (dla prawdopodobieństwa od 0 do 1, a dla skutków kwoty) to wszelkie wyliczanki czy malowane matryce nie mają żadnego sensu z punktu widzenia zarzadzania organizacją i są wpuszczaniem ludzi w maliny.

Szanowni Państwo!
Król jest nagi! (Królowa sygnująca „Pomarańczową księgę” też w tym zakresie świeci gołym rewersem).

Powtórzę jeszcze raz:
Efektem stosowania tzw. jakościowych ocen, np. prawdopodobieństwa w stylu 1,2,3 czy tym podobnych, jak i ocen skutków , w stylu mało, średnio, dużo będzie kupa zupełnie bezwartościowych papierzysk i rosnące przekonanie, że całe to zarządzanie ryzykiem jest jedną wielką, uciążliwą bzdurą, nie dającą żadnych istotnych informacji z punktu widzenia zarządzających instytucją.

Wiem, że jest nie tylko moje zdanie, ale także tych co w oparciu o w/w „podręczniki” system zarządzania ryzykiem próbowali w swoich instytucjach wdrożyć.
„Lufa w krzokach” – jak mawiał Gustlik.

Nieprzekonanym radzę zajrzeć do jakiegoś prawdziwego podręcznika zarzadzania ryzykiem.
N.p. „Zarządzanie ryzykiem” pod redakcją Krzysztofa Jajugi – PWN, Warszawa 2007, Rozdział 8, Ryzyko operacyjne … , str. 269-284.

Ocenom jakościowym poświęcono tam 6 (słownie: sześć) linijek.

cdn

[simon]

W pierwszych słowach mojego postu chciałem podkreślić niesłychaną słuszność uwag, zwłaszcza ostatnich Gapy – wszystko to święta racja – jakościowe nie istenieją, a jak istnieją to nie działają, proste. W ataku śmiałości dodam od siebie, że proponowane, jakże słuszne zasady, zalecenia wydawane przez MF w sprawie zarządzania ryzykiem dość niepotrzebnie dodają rangi całej sprawie – nie dlatego że są to z punktu widzenia kierowania firmą uwagi niezasadne – ale raczej dlatego, że są zupełnie oderwane od przyjętych i praktycznie stosowanych zasad zarządania jednostką. Nadal mamy całe stada kierujących czymś tam w administracji publicznej po znakomitych szkołach np. wieczorowym, zaocznym kursie marksizmu – leninizmu – i tam niestety o tym nie było, a to oznacza, że wszystko pozostałe jest nieważne i sie nie przyjęło. Kolejna kwestia to bardzo wysoki poziom całkowitej bezkarności w przypadku podejmowania bezsensownych decyzji – tu także nie pomoże „zmuszenie” do dokumentowania analizy ryzyka. Po kolejne – państwo audytorzy dali sobie temat wepchnąć jako własny np. „koordynując” proces przez co skutecznie kwestia zarządzania ryzykiem została przypisana AW. Mogę tak dłużej, ale wystarczy…..:smile: 😎

[andrzejm]

Popieram wszystko co dotychczas zostało napisane ale nie zgadzam się do końca z Simonem, że audytorzy dali sobie temat wepchnąć. Odsyłam do stanowiska MF w tym temacie i szukaniu ” jelenia” przez kierowników JSFP, którzy w większości znanych mi jednostek robią to jako „odchaczenie” koniecznej a wg nich zbędnej „papierologii” Dopóki MF nie uświadomi tej grupy i nie pokaże korzyści ( praktycznych) płynących ze stosowania tej kontroli w praktyce dopóty nie będzie efektów, ale to trzeba samemu widzieć sens stosowania tego typu rozwiązań. Co do prowadzenia przez aw kontroli zarządczej jako koordynator to mam wątpliwości czy nie zachodzi tu naruszenie standardów poprzez zbyt duże zaangażowanie się w zarządzanie jednostką ( to jest moje zdanie). Pozdrawiam.

[Autor]

Wpisy