Ryzyka związane z realizacją procesów zidentyfikowanych w

advertisement
Ryzyka związane z realizacją procesów
zidentyfikowanych w Łódzkim Ośrodku Doradztwa Rolniczego
z siedzibą w Bratoszewicach:
Nazwa procesu
Proces szkolenie
Proces doradztwo
- Udzielanie porad,
instruktaży,
konsultacji dla
rolników
Ryzyko
Brak chętnych rolników i mieszkańców obszarów
wiejskich do udziału w szkoleniach
Niewystarczające przygotowanie merytoryczne
doradców
Niedostateczna liczba szkoleń podnoszących
kwalifikacje dla doradców
Kłopoty lokalowe
Przypadki losowe pracowników ( np. choroby, ciąże)
Duża rotacja kadr
Wydajność pracowników
Konkurencja ze strony innych podmiotów
Sposób prowadzenia szkoleń
Atrakcyjność szkolenia pod względem tematyki
Mały prestiż szkolenia
Problemy lokalowe (zw. z dostępnością siedzib RZD
i punktów kontaktowych)
Wysokość środków finansowych, którymi dysponują
doradcy na dojazdy do rolników
Zmniejszenie się liczby doradców
Konkurencja ze strony dużej liczby tytułów
związanych z branżą rolniczą stanowiącą
alternatywne źródło informacji
Szerszy dostęp mieszkańców obszarów wiejskich do
Internetu
Wyższy poziom wykształcenia młodego pokolenia
rolników
Niewystarczająca wiedza doradców
Konkurencja ze strony innych podmiotów
Konkurencja ze strony innych firm
Cena usług
Proces doradztwo
- Opracowywanie
wniosków
o przyznanie
płatności
bezpośredniej
Niekorzystny odbiór społeczny ośrodka (zła
reputacja ośrodka)
Brak przygotowania merytorycznego doradców
Brak zainteresowania ze strony rolników
Niewystarczające
zaopatrzenie doradców w środki techniczne
Brak naboru na działania przez jednostki płatnicze
Eksploatacja urządzeń
Czas wypełniania wniosku
Poziom ryzyka
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Proces
upowszechnianie
technologii /
demonstracji
Upowszechnianie
wydawnictw
Organizacja imprez
– organizacja
olimpiad /
konkursów
Organizacja imprez
– organizacja
imprez targowych
Brak chętnych rolników do prowadzenia
technologii/demonstracji
Zaniechanie prowadzenia technologii /demonstracji
przez rolnika po jej założeniu
Wykluczenie doradcy na skutek zdarzeń losowych
(np. choroba, ciąża)
Wykluczenie doradcy na skutek rotacji pracowników
Niekorzystne warunki atmosferyczne
Konkurencja ze strony innych firm, instytucji
Niekorzystny odbiór społeczny ośrodka (zła
reputacja ośrodka)
Problemy technologiczne
Zły (nieefektywny) podział zadań związany
z przygotowaniem publikacji
Błędy w publikacjach (czas poświęcony na
dokonanie korekty)
Zmniejszenie się liczby doradców
Braki kompetencyjne pracowników bezpośrednio
zaangażowanych w przygotowanie publikacji od
strony technicznej
Niewystarczająca liczba pracowników bezpośrednio
zaangażowanych w przygotowanie publikacji od
strony technicznej
Brak zainteresowania rolników i mieszkańców
obszarów wiejskich braniem udziału w olimpiadach,
konkursach z powodu małej rangi tych imprez
Ograniczone środki finansowe na zorganizowanie
imprezy
Niewystarczająca liczba pracowników czynnie
zaangażowanych w przygotowanie imprezy
Ograniczona współpraca merytoryczna ze strony
innych jednostek / podmiotów
Ograniczona współpraca finansowa ze strony innych
jednostek
Wysokość nagrody dla laureatów
Wysokość środków finansowych na zorganizowanie
imprezy
Niewystarczająca liczba pracowników czynnie
zaangażowanych w przygotowanie imprezy
Ograniczona współpraca merytoryczna ze strony
innych jednostek / podmiotów
Ograniczona współpraca finansowa ze strony innych
jednostek / podmiotów
Zły podział zadań wśród pracowników
zaangażowanych w przygotowanie imprezy
Brak zainteresowania rolników
i mieszkańców obszarów wiejskich braniem udziału
w targach w charakterze wystawców z powodu
niekorzystnych warunków finansowych stawianych
przez ośrodek
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Brak zainteresowania rolników i mieszkańców
obszarów wiejskich z braniem udziału w targach
w charakterze wystawców z powodu małej rangi
imprezy
Brak zainteresowania rolników i mieszkańców
obszarów wiejskich braniem udziału
w targach w charakterze wystawców z powodu
niekorzystnych warunków związanych
z wynajmowaną powierzchnią na stoisko lub
lokalizacją stoiska
Brak zainteresowania rolników
i mieszkańców obszarów wiejskich braniem udziału
w targach w charakterze wystawców z powodu
niewystarczającej ochrony mienia podczas imprezy
Wypadki losowe np. awaria
Niekorzystne warunki atmosferyczne
Proces zarządzania
- kadry
Proces zarządzenia
- księgowość
Brak przygotowania merytorycznego pracowników –
powierzchowna znajomość przepisów
Nieprawidłowe i nierzetelne prowadzenie spraw
pracowniczych
Braki lub nieaktualne zakresy obowiązków
Prowadzenie spraw kadrowych razem z innymi
obowiązkami
Częste zmiany przepisów prawnych
Wewnętrzne procedury sprzeczne z regulacjami
zewnętrznymi
Odmienne interpretowanie przepisów prawnych
w lokalizacjach jednostki
Prowadzenie naboru w sposób niezgodny z prawem
Brak systemu zastępstw
Brak systemu stałej oceny pracowników
Brak systemu motywacyjnego i zasad awansu
płacowego
Niski poziom wynagrodzeń
Braki w zatrudnieniu
Brak posiadania odpowiednich mechanizmów
kontrolnych
Brak badań okresowych, wstępnych lub kontrolnych
lub ich wykonanie z przekroczeniem terminów
Polityka kadrowa, w tym brak ścieżek rozwoju
Zmiana kierownictwa wyższego szczebla
Brak nadzoru nad czasem pracy w rejonowych
zespołach doradców
Zaniechanie przeprowadzenia lub rozliczenia
inwentaryzacji
Rozliczanie inwentaryzacji w sposób niezgodny
z przepisami
Niewłaściwa ewidencja środków trwałych
i wyposażenia
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Proces zarządzania
– przepływ
informacji
Proces
administracja–
gospodarka
Brak przygotowania merytorycznego pracowników
Brak czytelnej ewidencji
Brak dat wpływu dokumentów finansowych do
jednostki
Niedostateczny dostęp pracowników do szkoleń
Sprzeczność przepisów wewnętrznych
z regulacjami zewnętrznymi
Brak przypisania odpowiedzialności materialnej
Brak jasnych procedur związanych z obiegiem
dokumentów finansowych
Brak bieżącej informacji o nieuczciwych płatnikach
Przetrzymywanie dokumentów finansowych
Nierównomierny podział zadań w Dziale Księgowości
Niewystarczająca liczba kontroli
Niewłaściwe zabezpieczenie gotówki
Udzielanie świadczeń z ZFŚS niezgodnie
z wewnętrznym regulaminem
Niewłaściwa instrukcja kasowa
Nieterminowe rozliczanie zaliczek
Niestosowanie druków ścisłego zarachowania
Brak protokołu zdawczo-odbiorczego kasy
w momencie przekazania obowiązków
Przekraczanie dyscypliny finansowej
Przelew niewłaściwej kwoty
Wewnętrzne regulacje dotyczące obiegu
dokumentacji w jednostce
Brak terminów na przygotowywanie odpowiedzi
w regulacjach wewnętrznych jednostki
Nieznajomość przepisów
Brak wykorzystywania w swojej pracy poczty
elektronicznej
Brak upowszechnienia podpisu elektronicznego
Niekorzystanie przez pracowników
z Biuletynu Informacji Publicznej jednostki
Traktowanie komunikacji wewnętrznej jak
przekazywanie kontrolowanych informacji w dół
struktury organizacyjnej
Traktowanie udostępniania informacji przez niższą
kadrę zarządzającą jako utratę władzy na rzecz
podległych pracowników
Mało efektywna komunikacja wewnętrzna – duża
ilość punktów pośrednich między punktem A i B
Szybkość przepływu informacji
Upływające terminy
Wydawanie wewnętrznych aktów normatywnych na
zasadzie „ad hoc”
Zagubienie / zniszczenie dokumentacji
Straty związane z awariami
Straty związane z wypadkami losowymi
(np. pożar, zalanie)
Ryzyko
nieakceptowalne
mieniem
Straty związane z włamaniem, kradzieżą
Ryzyko związane z podpisywanymi umowami
Braki sprzętowe
Braki lokalowe
Brak skupienia lokalowego w jednym miejscu
Nieumyślne uszkodzenie sprzętu
Celowe uszkodzenie sprzętu
Przerwy w dopływie energii
Wadliwe funkcjonowanie urządzeń podtrzymujących
zasilanie
Nieprawidłowości w funkcjonowaniu sieci
telekomunikacyjnych
Spory z dostawcami
Niepowiadomienie właściwego organu
nadzorującego na temat wynajęcia lub użyczenia
nieruchomości
Ryzyko szkody w mieniu ruchomym (włamanie,
kradzież, uszkodzenie, dewastacja)
Stan budynków
Zabezpieczenie budynków
Proces
administracja –
zamówienia
publiczne
Ochrona przeciwpożarowa
Stan instalacji elektrycznej
Stan ogrzewania
Warunki lokalowe
Utrzymanie budynków
Drogi ewakuacyjne
Wcześniejsza informacji o zamiarze
przeprowadzenia postępowania
Brak współpracy przy przygotowywaniu
dokumentacji przetargowej ze strony pracowników
jednostki
Brak odpowiednich szacunków wartości towaru lub
usługi
Niezgodność zapisów w regulaminach
wewnętrznych dot. udzielania zamówień
publicznych
Sporządzanie specyfikacji istotnych warunków
zamówienia pod jednego wykonawcę
Nieprawidłowy wybór trybu udzielania zamówienia
publicznego
Stosowanie ceny jako podstawowego kryterium
Niepełne kompletowanie dokumentów
potwierdzających osobowość prawną oferentów
Długotrwała procedura akceptacji przygotowywanej
dokumentacji przetargowej
Zakupy nieprzekraczające progu unijnego
dokonywane bez rozeznania rynku
Wewnętrzne procedury (ich nadmiar
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
i wzajemna sprzeczność)
Niedokładne sporządzanie planu zamówień
publicznych
Rotacja pracowników zajmujących się zamówieniami
publicznymi
Brak przygotowania merytorycznego osób
zajmujących się przygotowywaniem zamówień
publicznych
Odwołania ze strony firm
Nieznajomość przepisów PZP
Brak ofert
Brak środków finansowych na zakupy wysokiej
jakości
Nieprzestrzeganie unormowań dotyczących
udzielania zamówień publicznych do 30.000 euro
Nieprzestrzeganie przepisów ustawy prawo
zamówień publicznych
Brak osoby zatrudnionej na stałe na stanowisku ds.
zamówień publicznych
Zatrudnienie (tylko) jednej osoby zajmującej się
obszarem zamówień publicznych
Używanie nielegalnego oprogramowania
Niewystarczająca ilość licencji
Brak zabezpieczeń eksploatowanego
oprogramowania
Brak terminowych konserwacji
Niewystarczające zabezpieczenia informatyczne np.
program antywirusowy
Niewystarczające zabezpieczenia techniczne
Brak monitorowania działania sieci
Brak zasilania awaryjnego w serwerowi
Proces IT
Pojemność skrzynki poczty elektronicznej
Duża obecność niepożądanych wiadomości (SPAM)
Powolne działanie oprogramowania systemu
finansowo-księgowego i kadrowo-płacowego
Brak odpowiedniego środowiska pracy systemów,
urządzeń, serwerowni
Brak kontroli dostępu i systemów zabezpieczeń
Brak procedury postępowania w sytuacjach
awaryjnych
Luki w strategii bezpieczeństwa informatycznego
Brak dokumentacji związanej z działaniami
w systemach informatycznych (w tym związanej
z awariami)
Brak obowiązku sporządzania kopii zapasowych
Brak audytu działań i logowań w systemie
Zapis na nośnikach wielokrotnego zapisu
Niedoinwestowania infrastruktura
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Dłuższa awaria zasilania
Brak odpowiednich kwalifikacji pracowników
Niewystarczająca liczba pracowników
(informatyków)
Brak świadomości pracownika w stosunku do kontahasła
Brak odpowiednich zapisów umownych
gwarantujących bezpieczeństwo
Zagrożenia płynące z innych systemów, na których
bazuje zasób jednostki
Niedostateczne kwalifikacje ABI (Administrator
Bezpieczeństwa Informacji) związane z brakiem
podnoszenia kwalifikacji
Niewystarczająca ilość szkoleń użytkowników
Brak aktualizacji procedur wewnętrznych
Procedury ochrony danych osobowych
nieadekwatne do zagrożeń (ryzyk)
Przetwarzanie danych osobowych z naruszeniem
ustawy o ochronie danych osobowych i przepisami
wewnętrznymi
Niezgłaszanie zbiorów wrażliwych danych
osobowych do GIODO
Brak aktualizacji zbiorów danych osobowych
znajdujących się w jawnym rejestrze prowadzonym
przez ABI
Brak identyfikacji i analizy ryzyka w zakresie
przetwarzania i ochrony danych osobowych
Zignorowanie zgłoszenia nieoczekiwanej zmiany
zawartości bazy danych
Zignorowanie obecności nowych programów lub
Proces IT – ochrona
zmian konfiguracji oprogramowania
danych osobowych
Brak upoważnień do przetwarzania danych
osobowych
Brak upoważnień do przebywania w miejscu
przetwarzania danych osobowych
Brak promowania zasad ochrony danych osobowych
Brak reakcji na zagrożenie bezpieczeństwa danych
osobowych lub systemów i sieci teleinformatycznych
Zignorowanie śladów manipulacji przy układach sieci
komputerowej, komputerach lub programach
komputerowych
Brak zapewnienia ciągłości przetwarzania i ochrony
danych osobowych
Zbieranie danych osobowych dla celów niezgodnych
z prawem
Nieprzestrzeganie praw osób, których dane
osobowe dotyczą
Utrata danych osobowych
Uszkodzenie danych osobowych
Zniszczenie danych osobowych
Ujawnienie osobom nieuprawnionym informacji na
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
temat sposobu działania aplikacji, systemu
informatycznego, stosowanych zabezpieczeń lub
informacji o sprzęcie i infrastrukturze informatycznej
Stworzenie warunków do pozyskania przez osoby
nieuprawnione dostępu do pozyskania informacji na
temat sposobu działania aplikacji, systemu
informatycznego, stosowanych zabezpieczeń lub
informacji o sprzęcie
i infrastrukturze
informatycznej
Stworzenie warunków i dopuszczenie do korzystania
z aplikacji umożliwiającej dostęp do zbioru danych
osobowych przez osoby nieupoważnione
Pozostawienie w miejscu niezabezpieczonym
zapisanego hasła dostępu do zbioru danych
osobowych
Dopuszczenie do użytkowania oprogramowania
umożliwiającego dostęp do zbioru danych
osobowych przez osoby nieuprawnione
Samodzielne instalowanie oprogramowania
Podłączanie jakichkolwiek urządzeń do sieci
komputerowej przez użytkowników indywidualnych
Odczytywanie danych z nośników bez uprzedniego
przeskanowania programem antywirusowym
Przechowywanie akt i dokumentów zawierających
dane osobowe w sposób niedostatecznie
zabezpieczony przed dostępem osób
nieupoważnionych
Wyrzucenie dokumentów w formie umożliwiającej
ich odczytanie
Dopuszczenie do kopiowania dokumentów przez
osoby nieuprawnione
Umożliwienie osobom nieuprawnionym odczytanie
danych osobowych z ekranu monitora
Zignorowanie śladów włamania do pomieszczeń
Zignorowanie próby uzyskania hasła dostępu do
aplikacji
Udostępnianie danych osobowych osobom
nieupoważnionym
Niedostateczne zabezpieczenia fizyczne, np. ppoż.
Pokonanie zabezpieczeń programowych
Niedyskrecja osób uprawnionych do przetwarzania
danych osobowych
Nieuprawnione kopiowanie danych na nośniki
Infekcje wirusowe
Awaria sprzętu komputerowego
Celowe uszkodzenie systemu/urządzeń sieciowych
Przypadkowe uszkodzenie systemu/urządzeń
sieciowych
Celowa modyfikacja danych
Przypadkowa modyfikacja danych
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Ryzyko
nieakceptowalne
Brak rejestracji udostępniania danych osobowych
Niewłaściwa konfiguracja systemu informatycznego
Naprawy i konserwacje systemu lub sieci
wykonywane przez osoby nieuprawnione
Nieautoryzowany personel
Brak zdefiniowanych zasad bezpieczeństwa
korzystania z Internetu
Brak monitorowania pracy systemów
informatycznych
Nie wykonywanie kopii zapasowych zbiorów danych
oraz programów służących do przetwarzania danych
osobowych
Wady stosowanych technicznych środków
bezpieczeństwa
Wady stosowanych informatycznych środków
bezpieczeństwa
Pokonanie zabezpieczeń fizycznych
Zdarzenia losowe np. pożar, zalanie
Zagrożenia z Internetu np. hacking, cyberterroryzm,
spam
Wady nadzoru nad przetwarzaniem i ochroną
danych osobowych
Download