Ryzyka zw. z realizacją procesów

advertisement
Ryzyka związane z realizacją procesów
zidentyfikowanych w Łódzkim Ośrodku Doradztwa Rolniczego z siedzibą w Bratoszewicach:
Nazwa procesu
Proces szkolenie
Proces doradztwo
- Udzielanie porad,
instruktaży, konsultacji dla
rolników
Ryzyko
Brak chętnych rolników i mieszkańców
obszarów wiejskich do udziału
w szkoleniach
Niewystarczające przygotowanie
merytoryczne doradców
Niedostateczna liczba szkoleń
podnoszących kwalifikacje dla
doradców
Kłopoty lokalowe
Przypadki losowe pracowników
( np. choroby, ciąże)
Duża rotacja kadr
Wydajność pracowników
Konkurencja ze strony innych
podmiotów
Sposób prowadzenia szkoleń
Atrakcyjność szkolenia pod względem
tematyki
Mały prestiż szkolenia
Problemy lokalowe (zw. z dostępnością
siedzib RZD i punktów kontaktowych)
Wysokość środków finansowych,
którymi dysponują doradcy na dojazdy
do rolników
Zmniejszenie się liczby doradców
Konkurencja ze strony dużej liczby
Poziom ryzyka
Działanie zapobiegawcze
Ryzyko nieakceptowalne
Pracownik , który został wysłany na szkolenie
przeprowadza szkolenie wewnętrzne dla
pracowników / przygotowuje prezentacje ze
szkolenia i umieszcza ją na platformie
intranetowej
Ryzyko nieakceptowalne
Tolerowanie ryzyka
1
tytułów związanych z branżą rolniczą
stanowiącą alternatywne źródło
informacji
Szerszy dostęp mieszkańców obszarów
wiejskich do Internetu
Wyższy poziom wykształcenia młodego
pokolenia rolników
Niewystarczająca wiedza doradców
Konkurencja ze strony innych
podmiotów
Konkurencja ze strony innych firm
Cena usług
Proces doradztwo
- Opracowywanie wniosków
o przyznanie płatności
bezpośredniej
Proces upowszechnianie
technologii /
Niekorzystny odbiór społeczny ośrodka
(zła reputacja ośrodka)
Brak przygotowania merytorycznego
doradców
Brak zainteresowania ze strony
rolników
Niewystarczające
zaopatrzenie doradców w środki
techniczne
Brak naboru na działania przez jednostki
płatnicze
Eksploatacja urządzeń
Czas wypełniania wniosku
Brak chętnych rolników do
prowadzenia technologii/demonstracji
Ryzyko nieakceptowalne
Tolerowanie ryzyka
Ryzyko nieakceptowalne
Ulotki reklamujące ośrodek i jego działalność,
informacja na szkoleniach organizowanych
przez ŁODR, informacja w punktach
kontaktowych ośrodka
Tolerowanie ryzyka – ceny usług są zawarte
w Cenniku usług, który dostaje opinię Rady
Społecznej i który zatwierdza Minister
Rolnictwa i Rozwoju Wsi
Ryzyko nieakceptowalne
Ryzyko nieakceptowalne
Ryzyko nieakceptowalne
Tolerowanie ryzyka
Pracownicy ŁODR mają kontakt z rolnikami
poprzez szkolenia, dyżury w gminach, w czasie
2
demonstracji
Upowszechnianie
wydawnictw
Organizacja imprez –
organizacja olimpiad /
konkursów
akcji wypełniania wniosków; rolnik wie, że w
przypadku na zgodę na założenie demonstracji
/ technologii ma w zamian dostęp do wiedzy
i doświadczenia doradcy
Zaniechanie prowadzenia technologii
/demonstracji przez rolnika po jej
założeniu
Wykluczenie doradcy na skutek zdarzeń
losowych (np. choroba, ciąża)
Wykluczenie doradcy na skutek rotacji
pracowników
Niekorzystne warunki atmosferyczne
Konkurencja ze strony innych firm,
instytucji
Niekorzystny odbiór społeczny ośrodka
(zła reputacja ośrodka)
Problemy technologiczne
Zły (nieefektywny) podział zadań
związany z przygotowaniem publikacji
Błędy w publikacjach (czas poświęcony
na dokonanie korekty)
Zmniejszenie się liczby doradców
Braki kompetencyjne pracowników
bezpośrednio zaangażowanych
w przygotowanie publikacji od strony
technicznej
Niewystarczająca liczba pracowników
bezpośrednio zaangażowanych
w przygotowanie publikacji od strony
technicznej
Brak zainteresowania rolników i
mieszkańców obszarów wiejskich
braniem udziału w olimpiadach,
Ryzyko nieakceptowalne
Kierownik jednostki nie traktuje tego czynnika
jako zagrożenia
3
konkursach z powodu małej rangi tych
imprez
Ograniczone środki finansowe na
zorganizowanie imprezy
Niewystarczająca liczba pracowników
czynnie zaangażowanych
w przygotowanie imprezy
Ograniczona współpraca merytoryczna
ze strony innych jednostek / podmiotów
Ograniczona współpraca finansowa ze
strony innych jednostek
Wysokość nagrody dla laureatów
Wysokość środków finansowych na
zorganizowanie imprezy
Organizacja imprez –
organizacja imprez
targowych
Ryzyko nieakceptowalne
Przekazanie informacji o trudnościach do
kierownika komórki organizacyjnej
i kierownika jednostki – nowy podział zadań
Ryzyko nieakceptowalne
Poszukanie sponsorów – dla nich również
korzystniejsze warunki, zwrócenie się
z prośbą o dofinansowanie do instytucji
nadzorującej
Niewystarczająca liczba pracowników
czynnie zaangażowanych
w przygotowanie imprezy
Ograniczona współpraca merytoryczna
ze strony innych jednostek / podmiotów
Ograniczona współpraca finansowa ze
strony innych jednostek / podmiotów
Zły podział zadań wśród pracowników
zaangażowanych w przygotowanie
imprezy
Brak zainteresowania rolników
i mieszkańców obszarów wiejskich
braniem udziału w targach
w charakterze wystawców z powodu
niekorzystnych warunków finansowych
stawianych przez ośrodek
Brak zainteresowania rolników
4
Proces zarządzania kadry
i mieszkańców obszarów wiejskich z
braniem udziału w targach
w charakterze wystawców z powodu
małej rangi imprezy
Brak zainteresowania rolników
i mieszkańców obszarów wiejskich
braniem udziału
w targach w charakterze wystawców
z powodu niekorzystnych warunków
związanych z wynajmowaną
powierzchnią na stoisko lub lokalizacją
stoiska
Brak zainteresowania rolników
i mieszkańców obszarów wiejskich
braniem udziału w targach
w charakterze wystawców z powodu
niewystarczającej ochrony mienia
podczas imprezy.
Wypadki losowe np. awaria
Niekorzystne warunki atmosferyczne
Brak przygotowania merytorycznego
pracowników – powierzchowna
znajomość przepisów
Nieprawidłowe i nierzetelne
prowadzenie spraw pracowniczych
Braki lub nieaktualne zakresy
obowiązków
Prowadzenie spraw kadrowych razem
z innymi obowiązkami
Częste zmiany przepisów prawnych
Wewnętrzne procedury sprzeczne
z regulacjami zewnętrznymi
Odmienne interpretowanie przepisów
Ryzyko nieakceptowalne
Tolerowanie ryzyka
5
Proces zarządzenia księgowość
prawnych w lokalizacjach jednostki
Prowadzenie naboru w sposób
niezgodny z prawem
Brak systemu zastępstw
Brak systemu stałej oceny pracowników
Brak systemu motywacyjnego
i zasad awansu płacowego
Niski poziom wynagrodzeń
Braki w zatrudnieniu
Brak posiadania odpowiednich
mechanizmów kontrolnych
Brak badań okresowych, wstępnych lub
kontrolnych lub ich wykonanie
z przekroczeniem terminów
Polityka kadrowa, w tym brak ścieżek
rozwoju
Zmiana kierownictwa wyższego szczebla
Brak nadzoru nad czasem pracy
w rejonowych zespołach doradców
Zaniechanie przeprowadzenia lub
rozliczenia inwentaryzacji
Rozliczanie inwentaryzacji w sposób
niezgodny z przepisami
Niewłaściwa ewidencja środków
trwałych i wyposażenia
Brak przygotowania merytorycznego
pracowników
Brak czytelnej ewidencji
Brak dat wpływu dokumentów
finansowych do jednostki
Niedostateczny dostęp pracowników do
szkoleń
Ryzyko nieakceptowalne
stopniowe podwyżki uposażenia
6
Proces zarządzania –
przepływ informacji
Sprzeczność przepisów wewnętrznych
z regulacjami zewnętrznymi
Brak przypisania odpowiedzialności
materialnej
Brak jasnych procedur związanych
z obiegiem dokumentów finansowych
Brak bieżącej informacji
o nieuczciwych płatnikach
Przetrzymywanie dokumentów
finansowych
Nierównomierny podział zadań w Dziale
Księgowości
Niewystarczająca liczba kontroli
Niewłaściwe zabezpieczenie gotówki
Udzielanie świadczeń z ZFŚS niezgodnie
z wewnętrznym regulaminem
Niewłaściwa instrukcja kasowa
Nieterminowe rozliczanie zaliczek
Niestosowanie druków ścisłego
zarachowania
Brak protokołu zdawczo-odbiorczego
kasy w momencie przekazania
obowiązków
Przekraczanie dyscypliny finansowej
Przelew niewłaściwej kwoty
Wewnętrzne regulacje dotyczące
obiegu dokumentacji w jednostce
Brak terminów na przygotowywanie
odpowiedzi w regulacjach
wewnętrznych jednostki
Nieznajomość przepisów
Brak wykorzystywania w swojej pracy
poczty elektronicznej
7
Proces administracja–
gospodarka mieniem
Brak upowszechnienia podpisu
elektronicznego
Niekorzystanie przez pracowników
z Biuletynu Informacji Publicznej
jednostki
Traktowanie komunikacji wewnętrznej
jak przekazywanie kontrolowanych
informacji w dół struktury
organizacyjnej
Traktowanie udostępniania informacji
przez niższą kadrę zarządzającą jako
utratę władzy na rzecz podległych
pracowników
Mało efektywna komunikacja
wewnętrzna – duża ilość punktów
pośrednich między punktem A i B
Szybkość przepływu informacji
Upływające terminy
Wydawanie wewnętrznych aktów
normatywnych na zasadzie „ad hoc”
Zagubienie / zniszczenie dokumentacji
Straty związane z awariami
Straty związane z wypadkami losowymi
(np. pożar, zalanie)
Straty związane z włamaniem, kradzieżą
Ryzyko związane z podpisywanymi
umowami
Braki sprzętowe
Braki lokalowe
Brak skupienia lokalowego w jednym
miejscu
Nieumyślne uszkodzenie sprzętu
Celowe uszkodzenie sprzętu
Ryzyko nieakceptowalne
Lepsza dekretacja pism – przeszkolenie kadry
kierowniczej najwyższego szczebla
8
Proces administracja –
zamówienia publiczne
Przerwy w dopływie energii
Wadliwe funkcjonowanie urządzeń
podtrzymujących zasilanie
Nieprawidłowości w funkcjonowaniu
sieci telekomunikacyjnych
Spory z dostawcami
Niepowiadomienie właściwego organu
nadzorującego na temat wynajęcia lub
użyczenia nieruchomości
Ryzyko szkody w mieniu ruchomym
(włamanie, kradzież, uszkodzenie,
dewastacja)
Stan budynków
Zabezpieczenie budynków
Ochrona przeciwpożarowa
Stan instalacji elektrycznej
Stan ogrzewania
Warunki lokalowe
Utrzymanie budynków
Drogi ewakuacyjne
Wcześniejsza informacji o zamiarze
przeprowadzenia postępowania
Brak współpracy przy przygotowywaniu
dokumentacji przetargowej ze strony
pracowników jednostki
Brak odpowiednich szacunków wartości
towaru lub usługi
Niezgodność zapisów w regulaminach
wewnętrznych dot. udzielania
zamówień publicznych
Sporządzanie specyfikacji istotnych
warunków zamówienia pod jednego
wykonawcę
Ryzyko nieakceptowalne
Ryzyko nieakceptowalne
Stopniowe remonty
Stopniowe działania
9
Nieprawidłowy wybór trybu udzielania
zamówienia publicznego
Stosowanie ceny jako podstawowego
kryterium
Niepełne kompletowanie dokumentów
potwierdzających osobowość prawną
oferentów
Długotrwała procedura akceptacji
przygotowywanej dokumentacji
przetargowej
Zakupy nieprzekraczające progu
unijnego dokonywane bez rozeznania
rynku
Wewnętrzne procedury (ich nadmiar
i wzajemna sprzeczność)
Niedokładne sporządzanie planu
zamówień publicznych
Rotacja pracowników zajmujących się
zamówieniami publicznymi
Brak przygotowania merytorycznego
osób zajmujących się
przygotowywaniem zamówień
publicznych
Odwołania ze strony firm
Nieznajomość przepisów PZP
Brak ofert
Brak środków finansowych na zakupy
wysokiej jakości
Nieprzestrzeganie unormowań
dotyczących udzielania zamówień
publicznych do 30.000 euro
Nieprzestrzeganie przepisów ustawy
prawo zamówień publicznych
10
Brak osoby zatrudnionej na stałe na
stanowisku ds. zamówień publicznych
Proces IT
Zatrudnienie (tylko) jednej osoby
zajmującej się obszarem zamówień
publicznych
Używanie nielegalnego
oprogramowania
Niewystarczająca ilość licencji
Brak zabezpieczeń eksploatowanego
oprogramowania
Brak terminowych konserwacji
Niewystarczające zabezpieczenia
informatyczne np. program
antywirusowy
Niewystarczające zabezpieczenia
techniczne
Brak monitorowania działania sieci
Brak zasilania awaryjnego
w serwerowi
Pojemność skrzynki poczty
elektronicznej
Duża obecność niepożądanych
wiadomości (SPAM)
Powolne działanie oprogramowania
systemu finansowo-księgowego
i kadrowo-płacowego
Brak odpowiedniego środowiska pracy
systemów, urządzeń, serwerowni
Ryzyko nieakceptowalne
Rozszerzono zakres czynności o punkty
dotyczące zamówień publicznych
pracownikowi Działu AdministracyjnoGospodarczego, który pozostaje w kontakcie
z osobą zatrudnioną do tego obszaru na
umowę zlecenie
Ryzyko nieakceptowalne
Konieczność zakupu agregatu prądotwórczego
w celu nieprzerwanego dostępu do usług
świadczonych przez ośrodek
Ryzyko nieakceptowalne
Zakupiono śrubokręty precyzyjne – potrzebne do
rozkręcania sprzętów przenośnych, zakup
11
szybszych nośników danych wielokrotnego zapisu
dla pracowników działu ZT
Brak kontroli dostępu i systemów
zabezpieczeń
Brak procedury postępowania
w sytuacjach awaryjnych
Luki w strategii bezpieczeństwa
informatycznego
Brak dokumentacji związanej
z działaniami w systemach
informatycznych (w tym związanej
z awariami)
Brak obowiązku sporządzania kopii
zapasowych
Brak audytu działań i logowań
w systemie
Zapis na nośnikach wielokrotnego
zapisu
Niedoinwestowania infrastruktura
Dłuższa awaria zasilania
Brak odpowiednich kwalifikacji
pracowników
Ryzyko nieakceptowalne
Konieczność doprowadzenia połączenia
światłowodowego do jednostki – wrzesień 2016
Ryzyko nieakceptowalne
Konieczność
przeszkolenia
pracowników
z systemów wykorzystywanych w nowo
zakupionym sprzęcie (Windows Server)
Brak odpowiedniej liczby wykwalifikowanych
pracowników w dziale
ZT, konieczność
zatrudnienia pracownika na pół etatu
Wymiana haseł osobistych między pracownikami,
wypisywanie haseł na karteczkach znajdujących się
na lub obok sprzętu komputerowego –
uświadomienie pracowników o istocie ochrony
danych osobowych oraz konsekwencjach jej braku.
Niewystarczająca liczba pracowników
(informatyków)
Ryzyko nieakceptowalne
Brak świadomości pracownika
w stosunku do konta-hasła
Ryzyko nieakceptowalne
Brak odpowiednich zapisów umownych
gwarantujących bezpieczeństwo
Zagrożenia płynące z innych systemów,
12
Proces IT – ochrona
danych osobowych
na których bazuje zasób jednostki
Niedostateczne kwalifikacje ABI
Ryzyko nieakceptowalne
(Administrator Bezpieczeństwa
Informacji) związane z brakiem
podnoszenia kwalifikacji
Niewystarczająca ilość szkoleń
użytkowników
Brak aktualizacji procedur
wewnętrznych
Procedury ochrony danych osobowych
nieadekwatne do zagrożeń (ryzyk)
Przetwarzanie danych osobowych z
naruszeniem ustawy o ochronie danych
osobowych i przepisami wewnętrznymi
Niezgłaszanie zbiorów wrażliwych
danych osobowych do GIODO
Brak aktualizacji zbiorów danych
osobowych znajdujących się w jawnym
rejestrze prowadzonym przez ABI
Brak identyfikacji i analizy ryzyka
w zakresie przetwarzania i ochrony
danych osobowych
Zignorowanie zgłoszenia nieoczekiwanej Ryzyko nieakceptowalne
zmiany zawartości bazy danych
Zignorowanie obecności nowych
programów lub zmian konfiguracji
oprogramowania
Brak upoważnień do przetwarzania
danych osobowych
Brak upoważnień do przebywania
w miejscu przetwarzania danych
osobowych
Brak promowania zasad ochrony
Skierowanie ABI na szkolenie podnoszące jego
kwalifikacje
Uświadamianie pracowników na szkoleniu
z zakresu danych osobowych
13
danych osobowych
Brak reakcji na zagrożenie
bezpieczeństwa danych osobowych lub
systemów i sieci teleinformatycznych
Zignorowanie śladów manipulacji przy
układach sieci komputerowej,
komputerach lub programach
komputerowych
Brak zapewnienia ciągłości
przetwarzania i ochrony danych
osobowych
Zbieranie danych osobowych dla celów
niezgodnych z prawem
Nieprzestrzeganie praw osób, których
dane osobowe dotyczą
Utrata danych osobowych
Uszkodzenie danych osobowych
Zniszczenie danych osobowych
Ujawnienie osobom nieuprawnionym
informacji na temat sposobu działania
aplikacji, systemu informatycznego,
stosowanych zabezpieczeń lub
informacji o sprzęcie i infrastrukturze
informatycznej
Stworzenie warunków do pozyskania
przez osoby nieuprawnione dostępu do
pozyskania informacji na temat sposobu
działania aplikacji, systemu
informatycznego, stosowanych
zabezpieczeń lub informacji o sprzęcie
i infrastrukturze informatycznej
Stworzenie warunków i dopuszczenie
do korzystania z aplikacji umożliwiającej
14
dostęp do zbioru danych osobowych
przez osoby nieupoważnione
Pozostawienie w miejscu
niezabezpieczonym zapisanego hasła
dostępu do zbioru danych osobowych
Dopuszczenie do użytkowania
oprogramowania umożliwiającego
dostęp do zbioru danych osobowych
przez osoby nieuprawnione
Samodzielne instalowanie
oprogramowania
Podłączanie jakichkolwiek urządzeń do
sieci komputerowej przez
użytkowników indywidualnych
Odczytywanie danych z nośników bez
uprzedniego przeskanowania
programem antywirusowym
Przechowywanie akt i dokumentów
zawierających dane osobowe w sposób
niedostatecznie zabezpieczony przed
dostępem osób nieupoważnionych
Wyrzucenie dokumentów w formie
umożliwiającej ich odczytanie
Dopuszczenie do kopiowania
dokumentów przez osoby
nieuprawnione
Umożliwienie osobom nieuprawnionym
odczytanie danych osobowych z ekranu
monitora
Zignorowanie śladów włamania do
pomieszczeń
Zignorowanie próby uzyskania hasła
dostępu do aplikacji
Ryzyko nieakceptowalne
Ryzyko nieakceptowalne
Podniesienie rangi problemu na szkoleniu
z pracownikami
Podniesienie rangi problemu na szkoleniu
z pracownikami; ustalenie stanu faktycznego na
sprawdzeniach przeprowadzanych przez ABI
i wydanie zaleceń
15
Udostępnianie danych osobowych
osobom nieupoważnionym
Niedostateczne zabezpieczenia fizyczne,
np. ppoż.
Pokonanie zabezpieczeń programowych
Niedyskrecja osób uprawnionych do
przetwarzania danych osobowych
Nieuprawnione kopiowanie danych na
nośniki
Infekcje wirusowe
Awaria sprzętu komputerowego
Celowe uszkodzenie systemu/urządzeń
sieciowych
Przypadkowe uszkodzenie
systemu/urządzeń sieciowych
Celowa modyfikacja danych
Przypadkowa modyfikacja danych
Brak rejestracji udostępniania danych
osobowych
Niewłaściwa konfiguracja systemu
informatycznego
Naprawy i konserwacje systemu lub
sieci wykonywane przez osoby
nieuprawnione
Nieautoryzowany personel
Brak zdefiniowanych zasad
bezpieczeństwa korzystania
z Internetu
Brak monitorowania pracy systemów
informatycznych
Nie wykonywanie kopii zapasowych
zbiorów danych oraz programów
służących do przetwarzania danych
Ryzyko nieakceptowalne
Podniesienie rangi problemu na szkoleniu
z pracownikami
16
osobowych
Wady stosowanych technicznych
środków bezpieczeństwa
Wady stosowanych informatycznych
środków bezpieczeństwa
Pokonanie zabezpieczeń fizycznych
Zdarzenia losowe np. pożar, zalanie
Zagrożenia z Internetu np. hacking,
cyberterroryzm, spam
Wady nadzoru nad przetwarzaniem
i ochroną danych osobowych
17
Download