Ryzyka związane z realizacją procesów zidentyfikowanych w Łódzkim Ośrodku Doradztwa Rolniczego z siedzibą w Bratoszewicach: Nazwa procesu Proces szkolenie Proces doradztwo - Udzielanie porad, instruktaży, konsultacji dla rolników Ryzyko Brak chętnych rolników i mieszkańców obszarów wiejskich do udziału w szkoleniach Niewystarczające przygotowanie merytoryczne doradców Niedostateczna liczba szkoleń podnoszących kwalifikacje dla doradców Kłopoty lokalowe Przypadki losowe pracowników ( np. choroby, ciąże) Duża rotacja kadr Wydajność pracowników Konkurencja ze strony innych podmiotów Sposób prowadzenia szkoleń Atrakcyjność szkolenia pod względem tematyki Mały prestiż szkolenia Problemy lokalowe (zw. z dostępnością siedzib RZD i punktów kontaktowych) Wysokość środków finansowych, którymi dysponują doradcy na dojazdy do rolników Zmniejszenie się liczby doradców Konkurencja ze strony dużej liczby Poziom ryzyka Działanie zapobiegawcze Ryzyko nieakceptowalne Pracownik , który został wysłany na szkolenie przeprowadza szkolenie wewnętrzne dla pracowników / przygotowuje prezentacje ze szkolenia i umieszcza ją na platformie intranetowej Ryzyko nieakceptowalne Tolerowanie ryzyka 1 tytułów związanych z branżą rolniczą stanowiącą alternatywne źródło informacji Szerszy dostęp mieszkańców obszarów wiejskich do Internetu Wyższy poziom wykształcenia młodego pokolenia rolników Niewystarczająca wiedza doradców Konkurencja ze strony innych podmiotów Konkurencja ze strony innych firm Cena usług Proces doradztwo - Opracowywanie wniosków o przyznanie płatności bezpośredniej Proces upowszechnianie technologii / Niekorzystny odbiór społeczny ośrodka (zła reputacja ośrodka) Brak przygotowania merytorycznego doradców Brak zainteresowania ze strony rolników Niewystarczające zaopatrzenie doradców w środki techniczne Brak naboru na działania przez jednostki płatnicze Eksploatacja urządzeń Czas wypełniania wniosku Brak chętnych rolników do prowadzenia technologii/demonstracji Ryzyko nieakceptowalne Tolerowanie ryzyka Ryzyko nieakceptowalne Ulotki reklamujące ośrodek i jego działalność, informacja na szkoleniach organizowanych przez ŁODR, informacja w punktach kontaktowych ośrodka Tolerowanie ryzyka – ceny usług są zawarte w Cenniku usług, który dostaje opinię Rady Społecznej i który zatwierdza Minister Rolnictwa i Rozwoju Wsi Ryzyko nieakceptowalne Ryzyko nieakceptowalne Ryzyko nieakceptowalne Tolerowanie ryzyka Pracownicy ŁODR mają kontakt z rolnikami poprzez szkolenia, dyżury w gminach, w czasie 2 demonstracji Upowszechnianie wydawnictw Organizacja imprez – organizacja olimpiad / konkursów akcji wypełniania wniosków; rolnik wie, że w przypadku na zgodę na założenie demonstracji / technologii ma w zamian dostęp do wiedzy i doświadczenia doradcy Zaniechanie prowadzenia technologii /demonstracji przez rolnika po jej założeniu Wykluczenie doradcy na skutek zdarzeń losowych (np. choroba, ciąża) Wykluczenie doradcy na skutek rotacji pracowników Niekorzystne warunki atmosferyczne Konkurencja ze strony innych firm, instytucji Niekorzystny odbiór społeczny ośrodka (zła reputacja ośrodka) Problemy technologiczne Zły (nieefektywny) podział zadań związany z przygotowaniem publikacji Błędy w publikacjach (czas poświęcony na dokonanie korekty) Zmniejszenie się liczby doradców Braki kompetencyjne pracowników bezpośrednio zaangażowanych w przygotowanie publikacji od strony technicznej Niewystarczająca liczba pracowników bezpośrednio zaangażowanych w przygotowanie publikacji od strony technicznej Brak zainteresowania rolników i mieszkańców obszarów wiejskich braniem udziału w olimpiadach, Ryzyko nieakceptowalne Kierownik jednostki nie traktuje tego czynnika jako zagrożenia 3 konkursach z powodu małej rangi tych imprez Ograniczone środki finansowe na zorganizowanie imprezy Niewystarczająca liczba pracowników czynnie zaangażowanych w przygotowanie imprezy Ograniczona współpraca merytoryczna ze strony innych jednostek / podmiotów Ograniczona współpraca finansowa ze strony innych jednostek Wysokość nagrody dla laureatów Wysokość środków finansowych na zorganizowanie imprezy Organizacja imprez – organizacja imprez targowych Ryzyko nieakceptowalne Przekazanie informacji o trudnościach do kierownika komórki organizacyjnej i kierownika jednostki – nowy podział zadań Ryzyko nieakceptowalne Poszukanie sponsorów – dla nich również korzystniejsze warunki, zwrócenie się z prośbą o dofinansowanie do instytucji nadzorującej Niewystarczająca liczba pracowników czynnie zaangażowanych w przygotowanie imprezy Ograniczona współpraca merytoryczna ze strony innych jednostek / podmiotów Ograniczona współpraca finansowa ze strony innych jednostek / podmiotów Zły podział zadań wśród pracowników zaangażowanych w przygotowanie imprezy Brak zainteresowania rolników i mieszkańców obszarów wiejskich braniem udziału w targach w charakterze wystawców z powodu niekorzystnych warunków finansowych stawianych przez ośrodek Brak zainteresowania rolników 4 Proces zarządzania kadry i mieszkańców obszarów wiejskich z braniem udziału w targach w charakterze wystawców z powodu małej rangi imprezy Brak zainteresowania rolników i mieszkańców obszarów wiejskich braniem udziału w targach w charakterze wystawców z powodu niekorzystnych warunków związanych z wynajmowaną powierzchnią na stoisko lub lokalizacją stoiska Brak zainteresowania rolników i mieszkańców obszarów wiejskich braniem udziału w targach w charakterze wystawców z powodu niewystarczającej ochrony mienia podczas imprezy. Wypadki losowe np. awaria Niekorzystne warunki atmosferyczne Brak przygotowania merytorycznego pracowników – powierzchowna znajomość przepisów Nieprawidłowe i nierzetelne prowadzenie spraw pracowniczych Braki lub nieaktualne zakresy obowiązków Prowadzenie spraw kadrowych razem z innymi obowiązkami Częste zmiany przepisów prawnych Wewnętrzne procedury sprzeczne z regulacjami zewnętrznymi Odmienne interpretowanie przepisów Ryzyko nieakceptowalne Tolerowanie ryzyka 5 Proces zarządzenia księgowość prawnych w lokalizacjach jednostki Prowadzenie naboru w sposób niezgodny z prawem Brak systemu zastępstw Brak systemu stałej oceny pracowników Brak systemu motywacyjnego i zasad awansu płacowego Niski poziom wynagrodzeń Braki w zatrudnieniu Brak posiadania odpowiednich mechanizmów kontrolnych Brak badań okresowych, wstępnych lub kontrolnych lub ich wykonanie z przekroczeniem terminów Polityka kadrowa, w tym brak ścieżek rozwoju Zmiana kierownictwa wyższego szczebla Brak nadzoru nad czasem pracy w rejonowych zespołach doradców Zaniechanie przeprowadzenia lub rozliczenia inwentaryzacji Rozliczanie inwentaryzacji w sposób niezgodny z przepisami Niewłaściwa ewidencja środków trwałych i wyposażenia Brak przygotowania merytorycznego pracowników Brak czytelnej ewidencji Brak dat wpływu dokumentów finansowych do jednostki Niedostateczny dostęp pracowników do szkoleń Ryzyko nieakceptowalne stopniowe podwyżki uposażenia 6 Proces zarządzania – przepływ informacji Sprzeczność przepisów wewnętrznych z regulacjami zewnętrznymi Brak przypisania odpowiedzialności materialnej Brak jasnych procedur związanych z obiegiem dokumentów finansowych Brak bieżącej informacji o nieuczciwych płatnikach Przetrzymywanie dokumentów finansowych Nierównomierny podział zadań w Dziale Księgowości Niewystarczająca liczba kontroli Niewłaściwe zabezpieczenie gotówki Udzielanie świadczeń z ZFŚS niezgodnie z wewnętrznym regulaminem Niewłaściwa instrukcja kasowa Nieterminowe rozliczanie zaliczek Niestosowanie druków ścisłego zarachowania Brak protokołu zdawczo-odbiorczego kasy w momencie przekazania obowiązków Przekraczanie dyscypliny finansowej Przelew niewłaściwej kwoty Wewnętrzne regulacje dotyczące obiegu dokumentacji w jednostce Brak terminów na przygotowywanie odpowiedzi w regulacjach wewnętrznych jednostki Nieznajomość przepisów Brak wykorzystywania w swojej pracy poczty elektronicznej 7 Proces administracja– gospodarka mieniem Brak upowszechnienia podpisu elektronicznego Niekorzystanie przez pracowników z Biuletynu Informacji Publicznej jednostki Traktowanie komunikacji wewnętrznej jak przekazywanie kontrolowanych informacji w dół struktury organizacyjnej Traktowanie udostępniania informacji przez niższą kadrę zarządzającą jako utratę władzy na rzecz podległych pracowników Mało efektywna komunikacja wewnętrzna – duża ilość punktów pośrednich między punktem A i B Szybkość przepływu informacji Upływające terminy Wydawanie wewnętrznych aktów normatywnych na zasadzie „ad hoc” Zagubienie / zniszczenie dokumentacji Straty związane z awariami Straty związane z wypadkami losowymi (np. pożar, zalanie) Straty związane z włamaniem, kradzieżą Ryzyko związane z podpisywanymi umowami Braki sprzętowe Braki lokalowe Brak skupienia lokalowego w jednym miejscu Nieumyślne uszkodzenie sprzętu Celowe uszkodzenie sprzętu Ryzyko nieakceptowalne Lepsza dekretacja pism – przeszkolenie kadry kierowniczej najwyższego szczebla 8 Proces administracja – zamówienia publiczne Przerwy w dopływie energii Wadliwe funkcjonowanie urządzeń podtrzymujących zasilanie Nieprawidłowości w funkcjonowaniu sieci telekomunikacyjnych Spory z dostawcami Niepowiadomienie właściwego organu nadzorującego na temat wynajęcia lub użyczenia nieruchomości Ryzyko szkody w mieniu ruchomym (włamanie, kradzież, uszkodzenie, dewastacja) Stan budynków Zabezpieczenie budynków Ochrona przeciwpożarowa Stan instalacji elektrycznej Stan ogrzewania Warunki lokalowe Utrzymanie budynków Drogi ewakuacyjne Wcześniejsza informacji o zamiarze przeprowadzenia postępowania Brak współpracy przy przygotowywaniu dokumentacji przetargowej ze strony pracowników jednostki Brak odpowiednich szacunków wartości towaru lub usługi Niezgodność zapisów w regulaminach wewnętrznych dot. udzielania zamówień publicznych Sporządzanie specyfikacji istotnych warunków zamówienia pod jednego wykonawcę Ryzyko nieakceptowalne Ryzyko nieakceptowalne Stopniowe remonty Stopniowe działania 9 Nieprawidłowy wybór trybu udzielania zamówienia publicznego Stosowanie ceny jako podstawowego kryterium Niepełne kompletowanie dokumentów potwierdzających osobowość prawną oferentów Długotrwała procedura akceptacji przygotowywanej dokumentacji przetargowej Zakupy nieprzekraczające progu unijnego dokonywane bez rozeznania rynku Wewnętrzne procedury (ich nadmiar i wzajemna sprzeczność) Niedokładne sporządzanie planu zamówień publicznych Rotacja pracowników zajmujących się zamówieniami publicznymi Brak przygotowania merytorycznego osób zajmujących się przygotowywaniem zamówień publicznych Odwołania ze strony firm Nieznajomość przepisów PZP Brak ofert Brak środków finansowych na zakupy wysokiej jakości Nieprzestrzeganie unormowań dotyczących udzielania zamówień publicznych do 30.000 euro Nieprzestrzeganie przepisów ustawy prawo zamówień publicznych 10 Brak osoby zatrudnionej na stałe na stanowisku ds. zamówień publicznych Proces IT Zatrudnienie (tylko) jednej osoby zajmującej się obszarem zamówień publicznych Używanie nielegalnego oprogramowania Niewystarczająca ilość licencji Brak zabezpieczeń eksploatowanego oprogramowania Brak terminowych konserwacji Niewystarczające zabezpieczenia informatyczne np. program antywirusowy Niewystarczające zabezpieczenia techniczne Brak monitorowania działania sieci Brak zasilania awaryjnego w serwerowi Pojemność skrzynki poczty elektronicznej Duża obecność niepożądanych wiadomości (SPAM) Powolne działanie oprogramowania systemu finansowo-księgowego i kadrowo-płacowego Brak odpowiedniego środowiska pracy systemów, urządzeń, serwerowni Ryzyko nieakceptowalne Rozszerzono zakres czynności o punkty dotyczące zamówień publicznych pracownikowi Działu AdministracyjnoGospodarczego, który pozostaje w kontakcie z osobą zatrudnioną do tego obszaru na umowę zlecenie Ryzyko nieakceptowalne Konieczność zakupu agregatu prądotwórczego w celu nieprzerwanego dostępu do usług świadczonych przez ośrodek Ryzyko nieakceptowalne Zakupiono śrubokręty precyzyjne – potrzebne do rozkręcania sprzętów przenośnych, zakup 11 szybszych nośników danych wielokrotnego zapisu dla pracowników działu ZT Brak kontroli dostępu i systemów zabezpieczeń Brak procedury postępowania w sytuacjach awaryjnych Luki w strategii bezpieczeństwa informatycznego Brak dokumentacji związanej z działaniami w systemach informatycznych (w tym związanej z awariami) Brak obowiązku sporządzania kopii zapasowych Brak audytu działań i logowań w systemie Zapis na nośnikach wielokrotnego zapisu Niedoinwestowania infrastruktura Dłuższa awaria zasilania Brak odpowiednich kwalifikacji pracowników Ryzyko nieakceptowalne Konieczność doprowadzenia połączenia światłowodowego do jednostki – wrzesień 2016 Ryzyko nieakceptowalne Konieczność przeszkolenia pracowników z systemów wykorzystywanych w nowo zakupionym sprzęcie (Windows Server) Brak odpowiedniej liczby wykwalifikowanych pracowników w dziale ZT, konieczność zatrudnienia pracownika na pół etatu Wymiana haseł osobistych między pracownikami, wypisywanie haseł na karteczkach znajdujących się na lub obok sprzętu komputerowego – uświadomienie pracowników o istocie ochrony danych osobowych oraz konsekwencjach jej braku. Niewystarczająca liczba pracowników (informatyków) Ryzyko nieakceptowalne Brak świadomości pracownika w stosunku do konta-hasła Ryzyko nieakceptowalne Brak odpowiednich zapisów umownych gwarantujących bezpieczeństwo Zagrożenia płynące z innych systemów, 12 Proces IT – ochrona danych osobowych na których bazuje zasób jednostki Niedostateczne kwalifikacje ABI Ryzyko nieakceptowalne (Administrator Bezpieczeństwa Informacji) związane z brakiem podnoszenia kwalifikacji Niewystarczająca ilość szkoleń użytkowników Brak aktualizacji procedur wewnętrznych Procedury ochrony danych osobowych nieadekwatne do zagrożeń (ryzyk) Przetwarzanie danych osobowych z naruszeniem ustawy o ochronie danych osobowych i przepisami wewnętrznymi Niezgłaszanie zbiorów wrażliwych danych osobowych do GIODO Brak aktualizacji zbiorów danych osobowych znajdujących się w jawnym rejestrze prowadzonym przez ABI Brak identyfikacji i analizy ryzyka w zakresie przetwarzania i ochrony danych osobowych Zignorowanie zgłoszenia nieoczekiwanej Ryzyko nieakceptowalne zmiany zawartości bazy danych Zignorowanie obecności nowych programów lub zmian konfiguracji oprogramowania Brak upoważnień do przetwarzania danych osobowych Brak upoważnień do przebywania w miejscu przetwarzania danych osobowych Brak promowania zasad ochrony Skierowanie ABI na szkolenie podnoszące jego kwalifikacje Uświadamianie pracowników na szkoleniu z zakresu danych osobowych 13 danych osobowych Brak reakcji na zagrożenie bezpieczeństwa danych osobowych lub systemów i sieci teleinformatycznych Zignorowanie śladów manipulacji przy układach sieci komputerowej, komputerach lub programach komputerowych Brak zapewnienia ciągłości przetwarzania i ochrony danych osobowych Zbieranie danych osobowych dla celów niezgodnych z prawem Nieprzestrzeganie praw osób, których dane osobowe dotyczą Utrata danych osobowych Uszkodzenie danych osobowych Zniszczenie danych osobowych Ujawnienie osobom nieuprawnionym informacji na temat sposobu działania aplikacji, systemu informatycznego, stosowanych zabezpieczeń lub informacji o sprzęcie i infrastrukturze informatycznej Stworzenie warunków do pozyskania przez osoby nieuprawnione dostępu do pozyskania informacji na temat sposobu działania aplikacji, systemu informatycznego, stosowanych zabezpieczeń lub informacji o sprzęcie i infrastrukturze informatycznej Stworzenie warunków i dopuszczenie do korzystania z aplikacji umożliwiającej 14 dostęp do zbioru danych osobowych przez osoby nieupoważnione Pozostawienie w miejscu niezabezpieczonym zapisanego hasła dostępu do zbioru danych osobowych Dopuszczenie do użytkowania oprogramowania umożliwiającego dostęp do zbioru danych osobowych przez osoby nieuprawnione Samodzielne instalowanie oprogramowania Podłączanie jakichkolwiek urządzeń do sieci komputerowej przez użytkowników indywidualnych Odczytywanie danych z nośników bez uprzedniego przeskanowania programem antywirusowym Przechowywanie akt i dokumentów zawierających dane osobowe w sposób niedostatecznie zabezpieczony przed dostępem osób nieupoważnionych Wyrzucenie dokumentów w formie umożliwiającej ich odczytanie Dopuszczenie do kopiowania dokumentów przez osoby nieuprawnione Umożliwienie osobom nieuprawnionym odczytanie danych osobowych z ekranu monitora Zignorowanie śladów włamania do pomieszczeń Zignorowanie próby uzyskania hasła dostępu do aplikacji Ryzyko nieakceptowalne Ryzyko nieakceptowalne Podniesienie rangi problemu na szkoleniu z pracownikami Podniesienie rangi problemu na szkoleniu z pracownikami; ustalenie stanu faktycznego na sprawdzeniach przeprowadzanych przez ABI i wydanie zaleceń 15 Udostępnianie danych osobowych osobom nieupoważnionym Niedostateczne zabezpieczenia fizyczne, np. ppoż. Pokonanie zabezpieczeń programowych Niedyskrecja osób uprawnionych do przetwarzania danych osobowych Nieuprawnione kopiowanie danych na nośniki Infekcje wirusowe Awaria sprzętu komputerowego Celowe uszkodzenie systemu/urządzeń sieciowych Przypadkowe uszkodzenie systemu/urządzeń sieciowych Celowa modyfikacja danych Przypadkowa modyfikacja danych Brak rejestracji udostępniania danych osobowych Niewłaściwa konfiguracja systemu informatycznego Naprawy i konserwacje systemu lub sieci wykonywane przez osoby nieuprawnione Nieautoryzowany personel Brak zdefiniowanych zasad bezpieczeństwa korzystania z Internetu Brak monitorowania pracy systemów informatycznych Nie wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych Ryzyko nieakceptowalne Podniesienie rangi problemu na szkoleniu z pracownikami 16 osobowych Wady stosowanych technicznych środków bezpieczeństwa Wady stosowanych informatycznych środków bezpieczeństwa Pokonanie zabezpieczeń fizycznych Zdarzenia losowe np. pożar, zalanie Zagrożenia z Internetu np. hacking, cyberterroryzm, spam Wady nadzoru nad przetwarzaniem i ochroną danych osobowych 17