2011
ZARZ
DZANIE
RYZYKIEM
Informacje ogólne
Departament Audytu Sektora Finansów Publicznych
Wrzesień 2011
Wstęp
Jednostki sektora finansów publicznych
funkcjonuje. Ryzyko występuje na
stoją przed wyzwaniem wprowadzenia
wszystkich szczeblach organizacji.
formalnych systemów zarządzania
Zarządzanie ryzykiem to proces
ryzykiem. Aby zakończyć to przedsięwzięcie
realizowany zarówno przez kierownictwo
sukcesem konieczne jest spełnienie kilku
jednostki, jak i jej pracowników,
warunków, w tym silne zaangażowanie
uwzględniony w strategii działania
zarówno kadry zarządzającej każdego
i dotyczący całej jednostki. Celem
szczebla jak i pracowników jednostki oraz
zarządzania ryzykiem jest identyfikacja
budowanie dobrego środowiska wokół tego
potencjalnych zdarzeń, które mogą wywrzeć
zadania. Istotnym elementem jest wiedza nt.
wpływ na jednostkę (realizację jej celów),
zarządzania ryzykiem. Stąd też powstał
utrzymanie ryzyka w ustalonych granicach
pomysł przygotowania dla wszystkich
oraz rozsądne, a więc nie dające 100%
zainteresowanych jasnych i przejrzystych
gwarancji, zapewnienie realizacji celów
informacji, które przybliżą tematykę
organizacji.3
zarządzania ryzykiem.
Zarządzanie ryzykiem jest jednym
Przedstawiamy zatem Państwu materiał
z 5 elementów kontroli zarządczej
prezentujący podstawowe i najważniejsze
wymienionych w Standardach kontroli
informacje nt. zarządzania ryzykiem, takie
zarządczej dla jednostek sektora finansów
jak definicja ryzyka i zarządzania ryzykiem,
publicznych4. Zależności pomiędzy
sposób powiązania z kontrolą zarządczą,
poszczególnymi elementami kontroli
a także opis procesu zarządzania ryzykiem i
zarządczej określonymi w ustawie
korzyści jakie można uzyskać dzięki temu
o finansach publicznych oraz określonymi
systemowi. Na końcu niniejszego
w Standardach kontroli zarządczej
dokumentu wskazujemy także dodatkowe
prezentuje poniższy schemat.
z
ródła, gdzie można znalez
ć więcej
informacji o tej tematyce.
Definicja
Każda jednostka narażona jest na ryzyka1,
które zagrażają realizacji jej celów. Ryzyko
definiowane jest jako prawdopodobieństwo
wystąpienia zdarzenia, które będzie miało
negatywny wpływ na realizację założonych
celów (efekt niepewności w odniesieniu do
celów jednostki)2. Ryzyka mogą mieć swoje
z
ródła wewnątrz jednostki, jak również
w środowisku, w jakim jednostka
3
Definicja na podstawie: Zarządzanie ryzykiem
1
W niniejszym dokumencie używane są formy korporacyjnym  zintegrowana struktura ramowa,
 ryzyko bądz
 ryzyka . Tradycyjnie używa się formy COSO 2004.
4
 zarządzanie ryzykiem choć oczywiście obejmuje ono
Załącznik do Komunikatu Nr 23 Ministra Finansów
zarządzanie wieloma ryzykami. z dnia 16 grudnia 2009r. w sprawie standardów
2
Dla celów tego dokumentu definicja ryzyka odnosi kontroli zarządczej dla sektora finansów publicznych
się do zdarzeń, które mogą negatywnie wpływać na (Dz. Urz. Min. Fin. Nr 15, poz. 84), dostępne również
realizację założonych celów, nie obejmuje ona tzw. na stronie internetowej Ministerstwa Finansów
szans tj. możliwość wystąpienia zdarzenia, które w zakładce Bezpieczeństwo Finansowe/Audyt sektora
pozytywnie wpłynie na osiąganie celów. finansów publicznych/Standardy.
2
Nie jest ani możliwe, ani celowe
1. Planowanie
zredukowanie ryzyka do zera. Istotne jest,
Jak wskazano wyżej, zarządzanie ryzykiem
aby decyzje podejmowane w jednostce były
ma na celu doprowadzenia do realizacji
podejmowane świadomie i uwzględniały
celów jednostki. Podstawą dla zarządzania
ryzyko na możliwym do zaakceptowania
ryzykiem są zatem jasno wyznaczone cele
poziomie.
jednostki. Standardy kontroli zarządczej
stwierdzają, że cele i zadania należy
Należy zaznaczyć, iż nie ma jednego
określać precyzyjnie i w co najmniej rocznej
uniwersalnego modelu zarządzania
perspektywie, a ich wykonanie należy
ryzykiem ani modelu wdrażania systemu
monitorować za pomocą wyznaczonych
zarządzania ryzykiem w jednostkach
mierników. Jasne określenie misji jednostki
sektora finansów publicznych, jak również
w dłuższej perspektywie czasu może
w organizacjach z sektora prywatnego5.
sprzyjać ustaleniu hierarchii celów i zadań
Wybór określonego modelu nie jest jednak
oraz efektywnemu zarządzaniu ryzykiem.
kwestią najważniejszą.
Identyfikacja celów ma podstawowe
znaczenie dla zarządzania ryzykiem. Bez
Zarządzanie ryzykiem ściśle wiąże się
znajomości celów nie jest możliwa dobra
celami, jakie realizuje jednostka.
identyfikacja ryzyka, a co za tym idzie,
Ryzykami, które mogą utrudnić lub
prawidłowe zarządzanie ryzykiem.
uniemożliwić realizację celów należy
zarządzać. Warunkiem właściwego
2. Analiza ryzyka
zarządzania ryzykiem jest dokładne
Identyfikacja ryzyka powinna być
poznanie i opisanie ryzyk.
procesem powtarzalnym (systematycznym)
i zintegrowanym z procesem planowania
działalności. Podczas tej identyfikacji
powinny być brane pod uwagę wszelkie
Proces zarządzania ryzykiem
możliwe ryzyka, które mogą się pojawić
i tym samym wpływać na osiągnięcie
Proces zarządzania ryzykiem można
założonych celów i zadań. W procesie tym
przedstawić następująco:
ważna jest dokładna znajomość jednostki,
jej otoczenia oraz zrozumienie jej celów
i zadań, a także czynników kluczowych dla
osiągnięcia sukcesu.
Moment identyfikacji ryzyk ma podstawowe
znaczenie, bowiem ryzyka, które nie zostaną
zidentyfikowane na tym etapie, nie będą
brane pod uwagę na dalszych etapach.
Dlatego też identyfikacja ryzyka powinna
być jak najbardziej kompleksowa.
W procesie identyfikacji ryzyka należy
uwzględniać:
- czynniki zewnętrzne, np.
zmieniające się oczekiwania lub
potrzeby klientów, zmiany przepisów
prawa, naturalne zagrożenia, zmiany
gospodarcze, naciski na jednostkę
z zewnątrz,
- czynniki wewnętrzne, np. charakter
5
Istnieje kilka standardów zarządzania ryzykiem np:
wykonywanej działalności, kultura
norma ISO 31000:2009 Risk management - Principles
and guidelines, Standard zarządzania ryzykiem organizacji, dostępne środki finansowe,
FERMA 2002, Zarządzanie ryzykiem korporacyjnym 
plany i strategie, komunikacja, systemy
zintegrowana struktura ramowa, COSO 2004.
3
informatyczne, liczba pracowników i ich Po dokonaniu oceny możliwe jest
kwalifikacje, odpowiedzialność uszeregowane ryzyk i sporządzenie mapy
i postawy kierownictwa, liczba, rodzaj ryzyka (w formie graficznej), obrazującej to,
i wielkość dokonywanych operacji jak oceniane są poszczególne ryzyka. Dzięki
finansowych, przetwarzanie informacji. mapie, w hierarchiczny sposób, zostaną
wskazane:
Dokonując identyfikacji ryzyka należy
posługiwać się też informacjami
- ryzyka wobec których muszą zostać
dotyczącymi negatywnych zdarzeń, które
podjęte dodatkowe działania,
wystąpiły w przeszłości.
- ryzyka, które wymagają
szczególnego monitorowania,
Należy unikać określania ryzykiem
- ryzyka nie niosące istotnego
sytuacji/czynników/wydarzeń, które nie
zagrożenia dla realizacji celów.
mają wpływu na realizację celu lub też są
zaprzeczeniem celów.6
Uszeregowanie ryzyk ma zasadnicze
znaczenie dla zarządzania nimi.
W każdym przypadku ryzyko powinno
odnosić się do celów/zadań. Ryzyka
Tak opisane ryzyka dobrze jest przedstawić
powinny być identyfikowane na takim
na tzw. mapie ryzyka.
poziomie organizacyjnym i funkcjonalnym,
aby można było podejmować konkretne
3. Decyzja  reakcja na ryzyko
działania w odpowiedzi na dane ryzyko.
Aby utrzymać ryzyko na określonym
Wszystkie ryzyka powinny mieć swojego
poziomie (akceptowalnym poziomie ryzyka)
właściciela, który jest odpowiedzialny za
podejmowane są działania, które można
zapewnienie, że ryzyko jest zarządzane
przyporządkować do jednej lub kilku
i monitorowane. Właściciel ryzyka powinien
z poniższych grup - reakcja na ryzyko:
mieć władzę wystarczającą do zapewnienia
- unikanie ryzyka,
efektywnego zarządzania ryzykiem.
- podjęcie lub zwiększanie ryzyka
Ocena ryzyka to pogłębiona analiza ryzyk,
w celu uzyskania dodatkowych
która powinna doprowadzić do lepszego
możliwości (szansy),
rozumienia zidentyfikowanych ryzyk.
- usunięcie z
ródła ryzyka,
Dostarcza informacji niezbędnych do
- zmiana prawdopodobieństwa,
uszeregowania ryzyk i podjęcia decyzji jak
- zmiana skutków/konsekwencji
należy z nimi postąpić. Zazwyczaj polega na
ryzyka,
oszacowaniu tzw.  istotności ryzyka np.
- dzielenie się ryzykiem,
poprzez określenie prawdopodobieństwa
- akceptacja ryzyka poprzez
wystąpienia i możliwych jego skutków.
świadomą decyzję.
Jednostka sama określa sposób szacowania
istotności ryzyka, dostosowując go do
Sposób reakcji na ryzyko będzie zależał od
swoich potrzeb7.
poziomu akceptowanego ryzyka
(przykładowo ryzyko oceniane jako mało
istotne może być przez jednostkę
tolerowane) oraz relacji kosztów wdrożenia
6 działań, które stanowiłyby odpowiedz
na
Np. jeżeli celem jest zrealizowanie dochodów na
założonym poziomie ryzykiem nie jest ryzyko oraz korzyści uzyskanych z tych
niezrealizowanie dochodów na założonym poziomie.
działań (koszty podejmowanych działań nie
7
Ryzyko można oceniać stosując dwa mierniki jak
powinny być wyższe niż spodziewane
prawdopodobieństwo wystąpienia i skutek lub też
korzyści z tych działań). Istotnym
tylko jeden np. istotność. Skutek
i prawdopodobieństwo mogą być oceniane według 5- elementem jest tu świadoma decyzja
stopniowej lub 3-stopniowej skali. W zależności od
właściwych osób.
zidentyfikowanego ryzyka można przyjąć również
Mechanizmy kontroli powinny stanowić
indywidualne kategorie dostosowane do ryzyka, które
pomogą dokonać oceny ryzyka. Ważne jest aby
odpowiedz
na konkretne ryzyko. Standardy
zastosowana metoda była dostosowana do jednostki
kontroli zarządczej zawierają zestawienie
i dobrze rozumiana przez wszystkie zainteresowane
podstawowych mechanizmów, które mogą
osoby.
4
funkcjonować w ramach systemu kontroli właściciela ryzyk. Mechanizmy te powinny
zarządczej. Nie tworzą one jednak zapewnić, że:
zamkniętego katalogu, bowiem system
- najważniejsze elementy systemu
kontroli zarządczej, w tym zarządzanie
zarządzania ryzykiem oraz ich
ryzykiem, powinien być elastyczny
modyfikacje są odpowiednio
i dostosowany do specyficznych potrzeb
komunikowane,
jednostki. Te podstawowe mechanizmy to:
- istnieją odpowiednie ramy
raportowania,
- dokumentowanie systemu kontroli
- istotne informacje z systemu
zarządczej,
zarządzania ryzykiem są dostępne
- nadzór,
na właściwym poziomie i aktualne,
- ciągłość działalności,
- istnieje proces wymiany informacji
- ochrona zasobów,
(komunikacji) z interesariuszami.
- szczegółowe mechanizmy kontroli
dotyczące operacji finansowych
5. Monitorowanie i ocena
i gospodarczych,
Wraz z działaniami związanymi
- mechanizmy kontroli dotyczące
z zarządzaniem ryzykiem ustanawia się
systemów informatycznych.8
mechanizmy, które umożliwiają
Samo wdrożenie systemu zarządzania
monitorowanie wdrożonych rozwiązań
ryzykiem nie musi jednak oznaczać
i dokonywanie oceny ich efektywności, tj.
konieczności wprowadzania nowych
czy system zarządzania ryzykiem spełnia
procedur.
założone cele, czy polityki i procedury
ustanowione w jego ramach są nadal
Wszystkie powyższe informacje, tj.
aktualne, odpowiednie i wydajne.
zidentyfikowane ryzyka, ich ocena,
Aby zapewnić, że zarządzanie ryzykiem
właściciel, poziom akceptowanego
funkcjonuje efektywnie i wspiera działanie
ryzyka, sposób reakcji na ryzyko,
organizacji należy:
wymagane dodatkowe działania
- regularnie raportować nt. ryzyka
powinny być zawarte w dokumencie
i postępów w realizacji planu
zwanym rejestrem ryzyka.
radzenia sobie z ryzykiem,
- oceniać funkcjonowanie zarządzania
4. Informacja i komunikacja
ryzykiem przy wykorzystaniu
Określając system zarządzania ryzykiem
ustalonych wcześniej (i okresowo
należy też określić mechanizmy
przeglądanych) wskaz
ników, czyli
informacyjne, które zapewnią m.in., że
oceniać czy system zarządzania
najistotniejsze zasady zarządzania ryzykiem
ryzykiem spełnia założone
oraz ich modyfikacje są odpowiednio
wcześniej cele,
komunikowane, istnieją odpowiednie
- dokonywać przeglądu aktualności,
kanały informacyjne zapewniające
odpowiedniości i efektywności
dostępność informacji właściwym osobom
zasad zarządzania ryzykiem,
i w odpowiednim czasie, a także dające
uwzględniając zmiany zachodzące
możliwość konsultacji z poszczególnymi
w organizacji i jej otoczeniu.
uczestnikami systemu zarządzania
ryzykiem.
Jednostka powinna określić wewnętrzne
i zewnętrzne kanały komunikacyjne oraz
mechanizmy raportowania, tak aby
zachęcać do rozliczalności i podjęcie roli
8
Rozwinięcie przedstawionych mechanizmów
znajduje się w Standardach kontroli zarządczej dla
sektora finansów publicznych.
5
Korzyści z zarządzania ryzykiem
Wdrożony i odpowiednio utrzymywany
system zarządzania ryzykiem:
- może zwiększyć
prawdopodobieństwo osiągnięcia
celów,
- zachęca do aktywnego zarządzania,
- zwiększa świadomość o potrzebie
identyfikacji i postępowania
z ryzykiem w organizacji,
- wspiera i doskonali identyfikację
zagrożeń i szans,
- ustanawia solidne podstawy dla
podejmowania decyzji i planowania,
- wspiera zapewnienie zgodności
z prawem oraz z innymi wymogami,
- doskonali sprawozdawczość
finansową,
- doskonali ład organizacyjny,
- wzmacnia zaufanie interesariuszy
do organizacji,
- doskonali mechanizmy kontroli,
- pozwala na skuteczne alokowanie
i wykorzystywanie zasobów do
postępowania z ryzykiem,
- poprawia operacyjną skuteczność
i efektywność,
- doskonali przeciwdziałanie stratom,
- minimalizuje straty,
- doskonali uczenie się organizacji.
6
Dodatkowe materiały
5. www.mf.gov.pl (zakładka
Bezpieczeństwo Finansowe/Audyt
Dodatkowe informacje nt. kontroli
sektora finansów
zarządczej oraz zarządzania ryzykiem
publicznych/Metodyka)
można znalez
ć w następujących
6. Zarządzanie ryzykiem korporacyjnym
dokumentach i publikacjach:
 zintegrowana struktura ramowa,
1. Ustawa z dnia 27 sierpnia 2009 r.
(COSO 2004), PIKW
o finansach publicznych
7. Standard zarządzania ryzykiem,
(Dz. U. Nr 157, poz. 1240 z póz
n. zm.)
Federation of European risk
2. Standardy kontroli zarządczej dla
management associations, 2002,
sektora finansów publicznych,
www.ferm.org
Komunikat Nr 23 Ministra Finansów
8. Embracing enterprise risk
z dnia 16 grudnia 2009r. (Dz. Urz. Min.
management, practical approaches for
Fin. Nr 15, poz. 84)
getting started, COSO 2011,
3. Zarządzanie ryzykiem w sektorze
www.coso.org
publicznym. Podręcznik wdrożenia
9. A structural approach to Enterprise
systemu zarządzania ryzykiem w
Risk management (ERM) and the
administracji publicznej w Polsce,
requirement of ISO 31000, AIRMIC,
www.mf.gov.pl (zakładka
Alarm, IRM, 2010 r. www.ferm.org
Bezpieczeństwo Finansowe/Audyt
10. A holistic view of risk, The Institute of
sektora finansów
Internal Auditors, www.theiia.org
publicznych/Metodyka)
11. ISO 31000 Risk management 
4. Pomarańczowa księga  zarządzanie
Principles and guidelines
ryzykiem zasady i koncepcje,
Departament Audytu Sektora Finansów Publicznych
Ministerstwo Finansów
tel. 694-30-93
mail: sekretariat.DA@mofnet.gov.pl
7