Integrált kockázatkezelési szabályzat
Az integrált kockázatkezelési szabályzat
I. Integrált kockázatkezelési rendszer kialakításának jogszabályi meghatározása
Az államháztartásról szóló 2011. évi CXCV. törvény és a költségvetési szervek belső kontrollrendszeréről és belső ellenőrzéséről szóló 370/2011. (XII. 31.) Korm. rendelet 7. §. (1) bekezdése alapján a költségvetési szerv vezetője köteles integrált kockázatkezelési rendszert működtetni.
Az integrált kockázatkezelési rendszer működtetése során a vezető feladata:
- a szervezet egészét átfogó kockázatkezelési stratégia kialakítása;
- a kockázattűrő képesség mértékeinek meghatározása;
- a kockázatkezelési folyamatok előírása, feltételeinek biztosítása, és betartásának megkövetelése;
- a kockázatokkal kapcsolatos információk folyamatos szolgáltatása;
- a kockázatokra adott válaszokkal összefüggő döntéshozatal;
- a kockázatokra való tényleges reagálás megvalósítása;
- a kockázatkezeléssel kapcsolatos elszámoltathatóság biztosítása.
I.1. A szabályzat célja:
A belső kontrollrendszer öt elemén belül a kockázatkezelés biztosítja azt, hogy a szervezeti célok elérését veszélyeztető kockázatok azonosításra, értékelésre és a lehető legalacsonyabb szintre csökkenthetőek legyenek.
Az integrált kockázatkezelési tevékenység során felmérjük és megállapítjuk a költségvetési szerv tevékenységében rejlő és szervezeti célokkal összefüggő kockázatokat, valamint meghatározzuk az egyes kockázatokkal kapcsolatban szükséges intézkedéseket, valamint azok teljesítésének folyamatos nyomon követésének módját.
Az integrált kockázatkezelési rendszer magában foglalja a jogszabályban előírt kockázatkezelési kötelezettségeket, amelynek működtetése során figyelembe vesszük az ágazati útmutatókat is.
A folyamatgazdáknak együtt kell működniük az integrált kockázatkezelési rendszer koordinálására kijelölt szervezeti felelőssel.
A költségvetési szerv vezetője az integrált kockázatkezelési rendszer koordinálására szervezeti felelőst jelöl ki. Belső ellenőr szervezeti felelősnek nem jelölhető ki.
(Ha a költségvetési szerv integritás tanácsadót foglalkoztat, akkor az integrált kockázatkezelési rendszer koordinálásával kapcsolatos feladatokat az integritás tanácsadó látja el.)
II. A kockázat kezelési rendszer kialakítása, működtetése és a felelős személyek
A kockázatkezelés a szervezet céljai elérésével kapcsolatos kockázatok azonosításának és elemzésének, valamint a megfelelő válaszok meghatározásának folyamata.
A folyamat magában foglalja:
- a kockázatok azonosítását;
- a kockázatok kiértékelését;
- a szervezet kockázatokra való hajlamosságának (kockázatérzékenységének, kockázattűrésének) értékelését;
- a válaszok kialakítását a kockázatokra;
- az integrált kockázatkezelési intézkedési tervek megvalósítása, valamint a kockázatok és a kockázatokra kialakított válaszok folyamatos monitoringát.
Az integrált kockázatkezelési rendszer kialakítására bizottságot / munkacsoportot kell létrehozni.
A kockázatkezelési bizottság/ munkacsoport tagjai:
- integritás tanácsadó (bizottság/munkacsoport koordinátora);
- kockázatmenedzser (ha nincs integritás tanácsadó, de van a szervezetben kockázatmenedzser, akkor ő lesz a munkacsoport koordinátora);
- belső kontroll koordinátor;
- folyamatgazdák, illetve nagyobb szervezet esetén a folyamatgazdák képviselői
A kockázatkezelési bizottság/munkacsoport feladatai:
- a folyamattérkép és folyamatleírások mentén előkészíti a kockázatok felmérését,
- a folyamattérkép és a folyamatleírások biztosítják a kockázatkezelési rendszer teljes körűségét és zártságát;
- a folyamatok mellett – ha a szervezetnél projektek keretében is végeznek munkát – érdemes a projekteket külön egységként kezelni a kockázatkezelési rendszerben;
- kockázatok kis csoportokban (célszerű folyamatonként, az adott folyamatban résztvevő minden szervezeti egység képviselőjének részvételével megszervezni) történő azonosításának megszervezése, lebonyolítása – integrált kockázati leltár (risk inventory) kialakítása;
- az azonosított kockázatok csoportosítása, rendszerezése;
- az azonosított kockázatok alapján a kockázati tényezők meghatározása;
- a meghatározott kockázati tényezők alapján elkészíti a kockázatértékelés alapját képező kockázati kritérium mátrixot;
- a folyamatgazda azonosítja a felelősségi körébe tartozó folyamat kockázatait, elkészíti a kockázatok értékelését, javaslatot tesz a kockázatviselési tűréshatárra és a kockázatra adott javasolt válaszokat azon kockázatok esetében;
- a folyamatgazdák szintjén nem kezelhető kockázatok esetében a kockázatok értékelését és a kockázatok kezelésének stratégiáját a bizottság/munkacsoport alakítja ki, mindemellett felülvizsgálja az egyes szervezetek által elkészített elemzéseket és intézkedési javaslatokat is – ezeket összefoglalja és felterjeszti a költségvetési szerv vezetőjének jóváhagyásra;
- az első évet követő években évente legalább egyszer felülvizsgálja az előző évi integrált kockázatkezelési intézkedési tervek hatékonyságát, megvalósulását.
- A szervezet életében már önmagában nagy változást hoz a kockázatkezelési rendszer
A belső ellenőrzés csak megfigyelőként vehet részt a kockázatkezelés folyamatában – kivéve, amikor a belső ellenőrzési folyamat folyamatgazdájaként jár el. A belső ellenőrzés függetlenségének és objektivitásának megőrzése érdekében nem vehet részt operatívan a kockázatkezelési folyamatban, de tekintettel arra, hogy a belső ellenőrzés átfogó ismeretekkel rendelkezik a szervezetről és a szervezet kockázatairól – kizárólag tanácsadási tevékenysége keretében –, független értékelés nyújtásával segítheti a kockázatkezelési bizottság/munkacsoport munkáját.
A kockázatkezelési tevékenység akkor lesz hatékony, ha
- a kockázatkezelési tevékenységet integrálják az adott szervezet folyamataiba;
- a kockázatkezelési intézkedési tervet következetesen végrehajtják, illetve végrehajttatják;
- a kockázatkezelési intézkedési terv végrehajtását ellenőrzik, szükség esetén a szükséges beavatkozásokat megteszik;
- a kockázatelemzés eredményeinek szükség szerinti gyakorisággal történő aktualizálását, és ez alapján a kockázatkezelési intézkedési terv módosítását, végrehajtják;
- a lezárult kockázatkezelési intézkedési terveket értékelik.
A feladatmegosztást a szervezeten belül (ki miért felelős az integrált kockázatkezelési rendszerben) jelen szabályzat 1. sz. melléklete tartalmazza.
A Kockázatkezelés felelősei
Az államháztartási szervezet vezetőjének a felelőssége, hogy
- kialakítsa a kockázatkezelési rendszert
- gondolkodjon a kockázatkezelési rendszer működtetéséről
- törekedjen a kockázatkezelési rendszer fejlesztésére
- felel a kockázatkezelési feladat megindításáért és a kockázatkezelési rendszer fejlesztéséért és működtetéséért
- a kockázatkezelési folyamat megindítása céljából kijelöli a különböző területek kockázatkezelési felelőseit, akik segítik a vezető feladatait, illetve részt vesznek a kockázatok azonosításában, értékelésesben a kockázatok kezelésében, nyilvántartásában.
- döntsön a kockázatok értékelése során alkalmazott módszerekről
- meghatározza az elfogadható kockázati szintet, kockázati tűréshatárt