Załącznik nr 1 do Polityki zarządzania ryzykiem Pomorskiego Uniwersytetu Medycznego w Szczecinie Procedura zarządzania ryzykiem na poziomie operacyjnym I. Identyfikacja ryzyka 1. Rektor podejmuje decyzję o wszczęciu działań mających w celu dokonania identyfikacji ryzyka, mającego wpływ na osiągnięcie przez Uczelnię założonych celów. 2. Zespół ds. zarządzania ryzykiem podejmuje działania mające na celu przygotowanie pracowników do dokonania identyfikacji ryzyka, poprzez podniesienie ich poziomu wiedzy na temat ryzyka, tj. wzrostu świadomości występowania ryzyka w działalności Uczelni, wpływu ryzyka na osiągnięcie przez Uczelnię celów, możliwości ograniczania ryzyka i konieczności jego stałego monitorowania, a przede wszystkim na temat metod identyfikacji ryzyka stosowanych w Uczelni i sposobów dokumentowania przeprowadzonej identyfikacji ryzyka. 3. Koordynator ds. zarządzania ryzykiem organizuje przeprowadzenie identyfikacji ryzyka, m.in. poprzez dostarczanie osobom odpowiedzialnym za ten proces druków o nazwie „Rejestr ryzyka”, stanowiący załącznik nr 2 do Polityki zarządzania ryzykiem. Przy współudziale Audytora wewnętrznego wspiera osoby dokonujące identyfikacji i opisu ryzyka, poprzez doradztwo w zakresie metodyki identyfikacji ryzyka, określonej w Polityce zarządzania ryzykiem. 4. Osoby, o których mowa w § 5 ust. 1 pkt 2 Polityki zarzadzania ryzykiem przeprowadzają identyfikację ryzyk kluczowych. Na identyfikację ryzyk kluczowych składają się: przegląd działań wykonywanych przez pracowników, określenie ich celów, zidentyfikowanie ryzyka towarzyszącego tym działaniom i opisanie jego poprzez podanie przyczyn i skutków stosowanych mechanizmów kontrolnych i przedstawienie propozycji działań zaradczych. Identyfikacja ryzyk kluczowych dokumentowana jest w „Rejestrze ryzyka”. Wyżej wymienione osoby mogą również zgłaszać Zespołowi ds. zarządzania ryzykiem zidentyfikowane przez siebie ryzyka, związane z całokształtem działań podejmowanych przez Uczelnię. 5. Wskazane osoby, o których mowa w pkt. 4, przekazują sporządzony przez siebie „Rejestr ryzyka” Koordynatorowi ds. zarządzania ryzykiem, który przedstawia przedmiotowe dokumenty na posiedzeniu Zespołowi ds. zarządzania ryzykiem. 6. Zespół ds. zarządzania ryzykiem dokonuje identyfikacji ryzyka strategicznego i operacyjnego zagrażającego realizacji celów Uczelni i je opisuje, określając przyczyny i skutki wystąpienia ryzyka, stosowane mechanizmy kontrolne i propozycje usprawnień. Identyfikacja ryzyka jest dokumentowana w postaci „Uczelnianego rejestru ryzyka”, stanowiący załącznik nr 3 do Polityki zarządzania ryzykiem. II. Analiza i ocena ryzyka 1. Zespół ds. zarządzania ryzykiem przeprowadza ocenę ryzyka wykorzystując „Rejestry ryzyka”, sporządzone podczas identyfikacji ryzyka. 2. Ocena ryzyka, o której mowa w pkt. 1, jest przeprowadzana z zastosowaniem metody wskazanej w Polityce zarządzania ryzykiem, tj. punktowej oceny istotności ryzyka, poprzez wyliczenie iloczynu punktacji prawdopodobieństwa i wpływu (skutków) dla danego ryzyka. Fakt przeprowadzenia oceny ryzyka musi być udokumentowany w formie pisemnej, a jej elementem musi być „Mapa ryzyka” sporządzona przez Koordynatora ds. zarządzania ryzykiem, o której mowa w § 10 Polityki zarzadzania ryzykiem. 3. Uzyskane wyniki Koordynator ds. zarządzania ryzykiem wpisuje do „Uczelnianego rejestru ryzyka” wraz z propozycją działań zaradczych i przypisaniem ryzyka właścicielom, dla całej Uczelni. Następnie przedstawia go do dyskusji Zespołowi ds. zarządzania ryzykiem. 4. Przewodniczący Zespołu ds. zarządzania ryzykiem przedstawia Rektorowi wyniki przeprowadzonej w Uczelni identyfikacji ryzyka, na wspólnym posiedzeniu Zespołu ds. zarządzania ryzykiem i Rektora. III. Postępowanie z ryzykiem 1. Zespół ds. zarządzania ryzykiem przedstawia Rektorowi propozycję działań, będących odpowiedzią na ryzyko. 2. Decyzje w sprawie odpowiedzi na ryzyko podejmują, w zależności od rodzaju i oceny ryzyka: 1) Rektor – zarządzanie ryzykiem na poziomie strategicznym, 2) Dziekani i Kanclerz - ryzyko operacyjne wymagające stałego zarządzania i monitorowania, 3) Kierownik projektu - na etapie wnioskowania i realizacji konkretnego projektu. 3. Działania podejmowane w stosunku do ryzyka mogą polegać na: unikaniu ryzyka – odejście od działań, które wiążą się z ryzykiem, ograniczaniu – podjęcie działań ograniczających efekt materializacji ryzyka lub zwiększających skuteczność kontroli (zmniejszających podatność); w praktyce działania tego rodzaju podejmowane są w toku bieżącej działalności, transferze ryzyka – przeniesienie całego lub części ryzyka na inny podmiot, poprzez zakup polis ubezpieczeniowych, zawieranie transakcji zabezpieczających lub outsourcing itp., akceptacji ryzyka – w przypadku występowania określonych trudności w przeciwdziałaniu ryzyka oraz gdy koszty działań podejmowanych w celu niwelowania ryzyka przekraczają oczekiwane korzyści. 4. Zespół ds. zarządzania ryzykiem odnotowuje odpowiedź na ryzyko w „Uczelnianym rejestrze ryzyka”. 5. Zespół ds. zarządzania ryzykiem prowadzi „Uczelniany rejestr ryzyka”, który powinien zawierać, co najmniej następujące informacje: numer ryzyka, cel działalności Uczelni, na który ryzyko ma wpływ, nazwę ryzyka i jego właściciela. Integralną częścią rejestru ryzyka są „Rejestry ryzyka” i Mapa oceny ryzyka. IV. Monitorowanie i nadzór 1. Monitorowanie ryzyka ma na celu ustalenie czy ryzyko nadal występuje, czy pojawiło się nowe ryzyko, czy prawdopodobieństwo i oddziaływanie ryzyka zmieniło się oraz czy mechanizmy kontroli są skuteczne. Monitorowaniu podlega zarówno działalność Uczelni, jak i zmiany zachodzące w środowisku zewnętrznym (np. zmiany polityczne, ekonomiczne, legislacyjne, społeczne). 2. Monitorowanie ryzyka jest procesem ciągłym, w który zaangażowani są wszyscy pracownicy Uczelni. 3. Dziekani, Kanclerz i Kierownicy projektów odpowiadają przed Rektorem za monitorowanie ryzyka występującego w nadzorowanym przez siebie obszarze działań. V. Informacja i komunikacja 1. Dziekani, Kanclerz i Kierownicy projektów przekazują pracownikom informacje na temat ich zadań, obowiązków i uprawnień oraz komunikują sposób podejścia do ryzyka. Najistotniejsze w procesie zarządzania ryzykiem informacje dotyczą: celów Uczelni, zakresu obowiązków pracowników na poszczególnych etapach zarządzania ryzykiem. 2. Pracownicy przekazują swojemu przełożonemu informacje dotyczące zagrożeń ryzykiem, które zauważyli pracując na swoich stanowiskach pracy.