Ryzyka związane z realizacją procesów zidentyfikowanych w Łódzkim Ośrodku Doradztwa Rolniczego z siedzibą w Bratoszewicach: Nazwa procesu Proces szkolenie Proces doradztwo - Udzielanie porad, instruktaży, konsultacji dla rolników Ryzyko Brak chętnych rolników i mieszkańców obszarów wiejskich do udziału w szkoleniach Niewystarczające przygotowanie merytoryczne doradców Niedostateczna liczba szkoleń podnoszących kwalifikacje dla doradców Kłopoty lokalowe Przypadki losowe pracowników ( np. choroby, ciąże) Duża rotacja kadr Wydajność pracowników Konkurencja ze strony innych podmiotów Sposób prowadzenia szkoleń Atrakcyjność szkolenia pod względem tematyki Mały prestiż szkolenia Problemy lokalowe (zw. z dostępnością siedzib RZD i punktów kontaktowych) Wysokość środków finansowych, którymi dysponują doradcy na dojazdy do rolników Zmniejszenie się liczby doradców Konkurencja ze strony dużej liczby tytułów związanych z branżą rolniczą stanowiącą alternatywne źródło informacji Szerszy dostęp mieszkańców obszarów wiejskich do Internetu Wyższy poziom wykształcenia młodego pokolenia rolników Niewystarczająca wiedza doradców Konkurencja ze strony innych podmiotów Konkurencja ze strony innych firm Cena usług Proces doradztwo - Opracowywanie wniosków o przyznanie płatności bezpośredniej Niekorzystny odbiór społeczny ośrodka (zła reputacja ośrodka) Brak przygotowania merytorycznego doradców Brak zainteresowania ze strony rolników Niewystarczające zaopatrzenie doradców w środki techniczne Brak naboru na działania przez jednostki płatnicze Eksploatacja urządzeń Czas wypełniania wniosku Poziom ryzyka Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Proces upowszechnianie technologii / demonstracji Upowszechnianie wydawnictw Organizacja imprez – organizacja olimpiad / konkursów Organizacja imprez – organizacja imprez targowych Brak chętnych rolników do prowadzenia technologii/demonstracji Zaniechanie prowadzenia technologii /demonstracji przez rolnika po jej założeniu Wykluczenie doradcy na skutek zdarzeń losowych (np. choroba, ciąża) Wykluczenie doradcy na skutek rotacji pracowników Niekorzystne warunki atmosferyczne Konkurencja ze strony innych firm, instytucji Niekorzystny odbiór społeczny ośrodka (zła reputacja ośrodka) Problemy technologiczne Zły (nieefektywny) podział zadań związany z przygotowaniem publikacji Błędy w publikacjach (czas poświęcony na dokonanie korekty) Zmniejszenie się liczby doradców Braki kompetencyjne pracowników bezpośrednio zaangażowanych w przygotowanie publikacji od strony technicznej Niewystarczająca liczba pracowników bezpośrednio zaangażowanych w przygotowanie publikacji od strony technicznej Brak zainteresowania rolników i mieszkańców obszarów wiejskich braniem udziału w olimpiadach, konkursach z powodu małej rangi tych imprez Ograniczone środki finansowe na zorganizowanie imprezy Niewystarczająca liczba pracowników czynnie zaangażowanych w przygotowanie imprezy Ograniczona współpraca merytoryczna ze strony innych jednostek / podmiotów Ograniczona współpraca finansowa ze strony innych jednostek Wysokość nagrody dla laureatów Wysokość środków finansowych na zorganizowanie imprezy Niewystarczająca liczba pracowników czynnie zaangażowanych w przygotowanie imprezy Ograniczona współpraca merytoryczna ze strony innych jednostek / podmiotów Ograniczona współpraca finansowa ze strony innych jednostek / podmiotów Zły podział zadań wśród pracowników zaangażowanych w przygotowanie imprezy Brak zainteresowania rolników i mieszkańców obszarów wiejskich braniem udziału w targach w charakterze wystawców z powodu niekorzystnych warunków finansowych stawianych przez ośrodek Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Brak zainteresowania rolników i mieszkańców obszarów wiejskich z braniem udziału w targach w charakterze wystawców z powodu małej rangi imprezy Brak zainteresowania rolników i mieszkańców obszarów wiejskich braniem udziału w targach w charakterze wystawców z powodu niekorzystnych warunków związanych z wynajmowaną powierzchnią na stoisko lub lokalizacją stoiska Brak zainteresowania rolników i mieszkańców obszarów wiejskich braniem udziału w targach w charakterze wystawców z powodu niewystarczającej ochrony mienia podczas imprezy Wypadki losowe np. awaria Niekorzystne warunki atmosferyczne Proces zarządzania - kadry Proces zarządzenia - księgowość Brak przygotowania merytorycznego pracowników – powierzchowna znajomość przepisów Nieprawidłowe i nierzetelne prowadzenie spraw pracowniczych Braki lub nieaktualne zakresy obowiązków Prowadzenie spraw kadrowych razem z innymi obowiązkami Częste zmiany przepisów prawnych Wewnętrzne procedury sprzeczne z regulacjami zewnętrznymi Odmienne interpretowanie przepisów prawnych w lokalizacjach jednostki Prowadzenie naboru w sposób niezgodny z prawem Brak systemu zastępstw Brak systemu stałej oceny pracowników Brak systemu motywacyjnego i zasad awansu płacowego Niski poziom wynagrodzeń Braki w zatrudnieniu Brak posiadania odpowiednich mechanizmów kontrolnych Brak badań okresowych, wstępnych lub kontrolnych lub ich wykonanie z przekroczeniem terminów Polityka kadrowa, w tym brak ścieżek rozwoju Zmiana kierownictwa wyższego szczebla Brak nadzoru nad czasem pracy w rejonowych zespołach doradców Zaniechanie przeprowadzenia lub rozliczenia inwentaryzacji Rozliczanie inwentaryzacji w sposób niezgodny z przepisami Niewłaściwa ewidencja środków trwałych i wyposażenia Ryzyko nieakceptowalne Ryzyko nieakceptowalne Proces zarządzania – przepływ informacji Proces administracja– gospodarka Brak przygotowania merytorycznego pracowników Brak czytelnej ewidencji Brak dat wpływu dokumentów finansowych do jednostki Niedostateczny dostęp pracowników do szkoleń Sprzeczność przepisów wewnętrznych z regulacjami zewnętrznymi Brak przypisania odpowiedzialności materialnej Brak jasnych procedur związanych z obiegiem dokumentów finansowych Brak bieżącej informacji o nieuczciwych płatnikach Przetrzymywanie dokumentów finansowych Nierównomierny podział zadań w Dziale Księgowości Niewystarczająca liczba kontroli Niewłaściwe zabezpieczenie gotówki Udzielanie świadczeń z ZFŚS niezgodnie z wewnętrznym regulaminem Niewłaściwa instrukcja kasowa Nieterminowe rozliczanie zaliczek Niestosowanie druków ścisłego zarachowania Brak protokołu zdawczo-odbiorczego kasy w momencie przekazania obowiązków Przekraczanie dyscypliny finansowej Przelew niewłaściwej kwoty Wewnętrzne regulacje dotyczące obiegu dokumentacji w jednostce Brak terminów na przygotowywanie odpowiedzi w regulacjach wewnętrznych jednostki Nieznajomość przepisów Brak wykorzystywania w swojej pracy poczty elektronicznej Brak upowszechnienia podpisu elektronicznego Niekorzystanie przez pracowników z Biuletynu Informacji Publicznej jednostki Traktowanie komunikacji wewnętrznej jak przekazywanie kontrolowanych informacji w dół struktury organizacyjnej Traktowanie udostępniania informacji przez niższą kadrę zarządzającą jako utratę władzy na rzecz podległych pracowników Mało efektywna komunikacja wewnętrzna – duża ilość punktów pośrednich między punktem A i B Szybkość przepływu informacji Upływające terminy Wydawanie wewnętrznych aktów normatywnych na zasadzie „ad hoc” Zagubienie / zniszczenie dokumentacji Straty związane z awariami Straty związane z wypadkami losowymi (np. pożar, zalanie) Ryzyko nieakceptowalne mieniem Straty związane z włamaniem, kradzieżą Ryzyko związane z podpisywanymi umowami Braki sprzętowe Braki lokalowe Brak skupienia lokalowego w jednym miejscu Nieumyślne uszkodzenie sprzętu Celowe uszkodzenie sprzętu Przerwy w dopływie energii Wadliwe funkcjonowanie urządzeń podtrzymujących zasilanie Nieprawidłowości w funkcjonowaniu sieci telekomunikacyjnych Spory z dostawcami Niepowiadomienie właściwego organu nadzorującego na temat wynajęcia lub użyczenia nieruchomości Ryzyko szkody w mieniu ruchomym (włamanie, kradzież, uszkodzenie, dewastacja) Stan budynków Zabezpieczenie budynków Proces administracja – zamówienia publiczne Ochrona przeciwpożarowa Stan instalacji elektrycznej Stan ogrzewania Warunki lokalowe Utrzymanie budynków Drogi ewakuacyjne Wcześniejsza informacji o zamiarze przeprowadzenia postępowania Brak współpracy przy przygotowywaniu dokumentacji przetargowej ze strony pracowników jednostki Brak odpowiednich szacunków wartości towaru lub usługi Niezgodność zapisów w regulaminach wewnętrznych dot. udzielania zamówień publicznych Sporządzanie specyfikacji istotnych warunków zamówienia pod jednego wykonawcę Nieprawidłowy wybór trybu udzielania zamówienia publicznego Stosowanie ceny jako podstawowego kryterium Niepełne kompletowanie dokumentów potwierdzających osobowość prawną oferentów Długotrwała procedura akceptacji przygotowywanej dokumentacji przetargowej Zakupy nieprzekraczające progu unijnego dokonywane bez rozeznania rynku Wewnętrzne procedury (ich nadmiar Ryzyko nieakceptowalne Ryzyko nieakceptowalne i wzajemna sprzeczność) Niedokładne sporządzanie planu zamówień publicznych Rotacja pracowników zajmujących się zamówieniami publicznymi Brak przygotowania merytorycznego osób zajmujących się przygotowywaniem zamówień publicznych Odwołania ze strony firm Nieznajomość przepisów PZP Brak ofert Brak środków finansowych na zakupy wysokiej jakości Nieprzestrzeganie unormowań dotyczących udzielania zamówień publicznych do 30.000 euro Nieprzestrzeganie przepisów ustawy prawo zamówień publicznych Brak osoby zatrudnionej na stałe na stanowisku ds. zamówień publicznych Zatrudnienie (tylko) jednej osoby zajmującej się obszarem zamówień publicznych Używanie nielegalnego oprogramowania Niewystarczająca ilość licencji Brak zabezpieczeń eksploatowanego oprogramowania Brak terminowych konserwacji Niewystarczające zabezpieczenia informatyczne np. program antywirusowy Niewystarczające zabezpieczenia techniczne Brak monitorowania działania sieci Brak zasilania awaryjnego w serwerowi Proces IT Pojemność skrzynki poczty elektronicznej Duża obecność niepożądanych wiadomości (SPAM) Powolne działanie oprogramowania systemu finansowo-księgowego i kadrowo-płacowego Brak odpowiedniego środowiska pracy systemów, urządzeń, serwerowni Brak kontroli dostępu i systemów zabezpieczeń Brak procedury postępowania w sytuacjach awaryjnych Luki w strategii bezpieczeństwa informatycznego Brak dokumentacji związanej z działaniami w systemach informatycznych (w tym związanej z awariami) Brak obowiązku sporządzania kopii zapasowych Brak audytu działań i logowań w systemie Zapis na nośnikach wielokrotnego zapisu Niedoinwestowania infrastruktura Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Dłuższa awaria zasilania Brak odpowiednich kwalifikacji pracowników Niewystarczająca liczba pracowników (informatyków) Brak świadomości pracownika w stosunku do kontahasła Brak odpowiednich zapisów umownych gwarantujących bezpieczeństwo Zagrożenia płynące z innych systemów, na których bazuje zasób jednostki Niedostateczne kwalifikacje ABI (Administrator Bezpieczeństwa Informacji) związane z brakiem podnoszenia kwalifikacji Niewystarczająca ilość szkoleń użytkowników Brak aktualizacji procedur wewnętrznych Procedury ochrony danych osobowych nieadekwatne do zagrożeń (ryzyk) Przetwarzanie danych osobowych z naruszeniem ustawy o ochronie danych osobowych i przepisami wewnętrznymi Niezgłaszanie zbiorów wrażliwych danych osobowych do GIODO Brak aktualizacji zbiorów danych osobowych znajdujących się w jawnym rejestrze prowadzonym przez ABI Brak identyfikacji i analizy ryzyka w zakresie przetwarzania i ochrony danych osobowych Zignorowanie zgłoszenia nieoczekiwanej zmiany zawartości bazy danych Zignorowanie obecności nowych programów lub Proces IT – ochrona zmian konfiguracji oprogramowania danych osobowych Brak upoważnień do przetwarzania danych osobowych Brak upoważnień do przebywania w miejscu przetwarzania danych osobowych Brak promowania zasad ochrony danych osobowych Brak reakcji na zagrożenie bezpieczeństwa danych osobowych lub systemów i sieci teleinformatycznych Zignorowanie śladów manipulacji przy układach sieci komputerowej, komputerach lub programach komputerowych Brak zapewnienia ciągłości przetwarzania i ochrony danych osobowych Zbieranie danych osobowych dla celów niezgodnych z prawem Nieprzestrzeganie praw osób, których dane osobowe dotyczą Utrata danych osobowych Uszkodzenie danych osobowych Zniszczenie danych osobowych Ujawnienie osobom nieuprawnionym informacji na Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne temat sposobu działania aplikacji, systemu informatycznego, stosowanych zabezpieczeń lub informacji o sprzęcie i infrastrukturze informatycznej Stworzenie warunków do pozyskania przez osoby nieuprawnione dostępu do pozyskania informacji na temat sposobu działania aplikacji, systemu informatycznego, stosowanych zabezpieczeń lub informacji o sprzęcie i infrastrukturze informatycznej Stworzenie warunków i dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do zbioru danych osobowych przez osoby nieupoważnione Pozostawienie w miejscu niezabezpieczonym zapisanego hasła dostępu do zbioru danych osobowych Dopuszczenie do użytkowania oprogramowania umożliwiającego dostęp do zbioru danych osobowych przez osoby nieuprawnione Samodzielne instalowanie oprogramowania Podłączanie jakichkolwiek urządzeń do sieci komputerowej przez użytkowników indywidualnych Odczytywanie danych z nośników bez uprzedniego przeskanowania programem antywirusowym Przechowywanie akt i dokumentów zawierających dane osobowe w sposób niedostatecznie zabezpieczony przed dostępem osób nieupoważnionych Wyrzucenie dokumentów w formie umożliwiającej ich odczytanie Dopuszczenie do kopiowania dokumentów przez osoby nieuprawnione Umożliwienie osobom nieuprawnionym odczytanie danych osobowych z ekranu monitora Zignorowanie śladów włamania do pomieszczeń Zignorowanie próby uzyskania hasła dostępu do aplikacji Udostępnianie danych osobowych osobom nieupoważnionym Niedostateczne zabezpieczenia fizyczne, np. ppoż. Pokonanie zabezpieczeń programowych Niedyskrecja osób uprawnionych do przetwarzania danych osobowych Nieuprawnione kopiowanie danych na nośniki Infekcje wirusowe Awaria sprzętu komputerowego Celowe uszkodzenie systemu/urządzeń sieciowych Przypadkowe uszkodzenie systemu/urządzeń sieciowych Celowa modyfikacja danych Przypadkowa modyfikacja danych Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Brak rejestracji udostępniania danych osobowych Niewłaściwa konfiguracja systemu informatycznego Naprawy i konserwacje systemu lub sieci wykonywane przez osoby nieuprawnione Nieautoryzowany personel Brak zdefiniowanych zasad bezpieczeństwa korzystania z Internetu Brak monitorowania pracy systemów informatycznych Nie wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych osobowych Wady stosowanych technicznych środków bezpieczeństwa Wady stosowanych informatycznych środków bezpieczeństwa Pokonanie zabezpieczeń fizycznych Zdarzenia losowe np. pożar, zalanie Zagrożenia z Internetu np. hacking, cyberterroryzm, spam Wady nadzoru nad przetwarzaniem i ochroną danych osobowych