ZARZĄDZENIE NR 45
MINISTRA RODZINY I POLITYKI SPOŁECZNEJ
z dnia 12 listopada 2024 r.
w sprawie kontroli zarządczej w Ministerstwie Rodziny, Pracy i Polityki Społecznej oraz obowiązków jednostek podległych Ministrowi Rodziny, Pracy i Polityki Społecznej lub przez niego nadzorowanych w ramach kontroli zarządczej
Na podstawie art. 69 ust. 1 pkt 1 i art. 70 ust. 4 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2024 r. poz. 1530 i 1572) oraz art. 34 ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2024 r. poz. 1050 i 1473) zarządza się, co następuje:
Rozdział 1
Przepisy ogólne
§ 1. Zarządzenie określa sposób i tryb wykonywania kontroli zarządczej w Ministerstwie Rodziny, Pracy i Polityki Społecznej w działach administracji rządowej - rodzina, praca i zabezpieczenie społeczne, w tym zakres odpowiedzialności za jej realizację oraz obowiązki jednostek podległych Ministrowi Rodziny, Pracy i Polityki Społecznej lub przez niego nadzorowanych w ramach kontroli zarządczej.
§ 2. Ilekroć w zarządzeniu jest mowa o:
1) analizie ryzyka - należy przez to rozumieć proces oceny czynników ryzyka pod względem ustalonych parametrów, prawdopodobieństwa ich wystąpienia oraz potencjalnego skutku;
2) charakterze przetwarzania danych osobowych - należy przez to rozumieć cechy danego procesu przetwarzania danych osobowych dotyczące częstotliwości oraz masowości przetwarzania danych;
3) członkach Kierownictwa - należy przez to rozumieć Ministra, Sekretarzy Stanu, Podsekretarzy Stanu oraz Dyrektora Generalnego;
4) inwestycjach - należy przez to rozumieć inwestycje finansowane lub dofinansowane z budżetu państwa w łącznej kwocie stanowiącej minimum 50% wartości kosztorysowej, z wyłączeniem inwestycji współfinansowanych ze środków, o których mowa w art. 5 ust. 3 pkt 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych;
5) jednostkach podległych lub nadzorowanych - należy przez to rozumieć jednostki podległe Ministrowi lub przez niego nadzorowane;
6) kierującym komórką organizacyjną - należy przez to rozumieć dyrektora komórki organizacyjnej lub osobę pełniącą jego obowiązki w Ministerstwie;
7) Komitecie Audytu - należy przez to rozumieć wspólny komitet audytu dla działów administracji rządowej - rodzina, praca i zabezpieczenie społeczne, powołany na podstawie zarządzenia nr 10 Ministra Rodziny, Pracy i Polityki Społecznej z dnia 15 lutego 2024 r. w sprawie powołania Komitetu Audytu w Ministerstwie Rodziny, Pracy i Polityki Społecznej (Dz. Urz. Min. Rodz. Prac. i Pol. Społ. poz. 10);
8) komórce organizacyjnej - należy przez to rozumieć departament albo biuro w Ministerstwie;
9) kontekście przetwarzania danych osobowych - należy przez to rozumieć określenie zależności między danym procesem przetwarzania danych osobowych, a uwarunkowaniami wewnętrznymi i zewnętrznymi obejmujących Ministerstwo w danym obszarze;
10) Ministerstwie - należy przez to rozumieć Ministerstwo Rodziny, Pracy i Polityki Społecznej;
11) Ministrze - należy przez to rozumieć Ministra Rodziny, Pracy i Polityki Społecznej, który kieruje działami administracji rządowej - rodzina, praca i zabezpieczenie społeczne, zgodnie z rozporządzeniem Prezesa Rady Ministrów z dnia 18 grudnia 2023 r. w sprawie szczegółowego zakresu działania Ministra Rodziny, Pracy i Polityki Społecznej (Dz. U. poz. 2715);
12) planie działalności - należy przez to rozumieć plan działalności na rok następny tworzony dla działów administracji rządowej - rodzina, praca i zabezpieczenie społeczne, sporządzany zgodnie z przepisami rozporządzenia Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania (Dz. U. poz. 1254);
13) procesie przetwarzania danych osobowych - należy przez to rozumieć zespół powiązanych ze sobą operacji na danych osobowych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem w jakim te czynności są podejmowane;
14) ryzyku - należy przez to rozumieć możliwość zaistnienia zdarzenia, które będzie miało negatywny wpływ na realizację założonych celów i zadań określonych w planie działalności lub regulaminie organizacyjnym Ministerstwa;
15) samoocenie kontroli zarządczej - należy przez to rozumieć proces oceny funkcjonowania kontroli zarządczej w Ministerstwie za rok poprzedni;
16) sprawozdaniu z wykonania planu działalności - należy przez to rozumieć sprawozdanie z wykonania planu działalności za rok poprzedni dla działów administracji rządowej - rodzina, praca i zabezpieczenie społeczne, sporządzone zgodnie z przepisami rozporządzenia Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania;
17) właścicielu ryzyka - należy przez to rozumieć kierującego komórką organizacyjną, który jest odpowiedzialny za zarządzanie, aktualizowanie i kontrolowanie wszystkich aspektów wskazanego ryzyka w odniesieniu do celów i zadań kierowanej komórki organizacyjnej, włącznie z zastosowaniem wybranych reakcji w odpowiedzi na zagrożenia;
18) w zakresie przetwarzania danych osobowych - należy przez to rozumieć wszelkie informacje o danych osobowych, które są przetwarzane w ramach danego procesu;
19) zarządzaniu ryzykiem - należy przez to rozumieć logiczną i systematyczną metodę identyfikacji, analizy i ewaluacji ryzyka oraz nadzoru i informowania o ryzyku w sposób, który wspomoże Ministra w realizacji celów i zadań.
§ 3. 1. Kontrolę zarządczą w Ministerstwie stanowi ogół działań podejmowanych przez członków Kierownictwa, kierujących komórkami organizacyjnymi oraz pozostałych pracowników Ministerstwa dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. Celem kontroli zarządczej jest zapewnienie w szczególności:
1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi;
2) skuteczności i efektywności działania;
3) wiarygodności sprawozdań;
4) ochrony zasobów;
5) przestrzegania i promowania zasad etycznego postępowania;
6) efektywności i skuteczności przepływu informacji;
7) zarządzania ryzykiem.
2. W ramach wykonywania kontroli zarządczej w Ministerstwie stosuje się procedury i wytyczne odnoszące się do wyznaczania celów i zadań oraz monitorowania ich realizacji, określone dla następujących elementów tej kontroli:
1) środowisko wewnętrzne;
2) cele i zarządzanie ryzykiem;
3) mechanizmy kontroli;
4) informacja i komunikacja;
5) monitorowanie i ocena.
Rozdział 2
Zakres odpowiedzialności
§ 4. 1. Minister jest odpowiedzialny za zapewnienie adekwatnej, skutecznej i efektywnej kontroli zarządczej w Ministerstwie oraz w kierowanych przez niego działach administracji rządowej - rodzina, praca i zabezpieczenie społeczne.
2. Członkowie Kierownictwa sprawują nadzór nad funkcjonowaniem kontroli zarządczej w nadzorowanych komórkach organizacyjnych, zgodnie z przepisami w sprawie zakresów czynności członków Kierownictwa.
3. W ramach nadzoru nad komórkami organizacyjnymi członkowie Kierownictwa, w szczególności:
1) wyznaczają kierunki działań do realizacji na dany rok przez nadzorowane komórki organizacyjne, biorąc pod uwagę:
a) informacje o przypadających Ministerstwu kwotach wydatków wynikających z projektu ustawy budżetowej,
b) zasoby kadrowe,
c) czynniki mogące zagrażać osiągnięciu celów;
2) zatwierdzają oświadczenia o stanie kontroli zarządczej w zakresie obszaru działalności nadzorowanych komórek organizacyjnych.
§ 5. Do zadań kierującego komórką organizacyjną należy zapewnianie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej w komórce organizacyjnej, w szczególności:
1) opracowanie propozycji celów, zadań i mierników komórki organizacyjnej na podstawie wyznaczonych kierunków działań, o których mowa w § 4 ust. 3 pkt 1;
2) monitorowanie stopnia realizacji celów i zadań komórki organizacyjnej oraz ich aktualizacja;
3) zarządzanie ryzykiem w zakresie wskazanym w rozdziale 5;
4) złożenie oświadczenia o stanie kontroli zarządczej w zakresie działalności kierowanej komórki organizacyjnej;
5) podnoszenie świadomości wśród pracowników w zakresie problematyki związanej z kontrolą zarządczą.
§ 6. Departament Analiz Ekonomicznych, zwany dalej „DAE”, odpowiada za sporządzanie projektu planu działalności oraz sprawozdania z jego wykonania. DAE odpowiada również za koordynację procesu monitorowania celów i zadań określonych w planie działalności, w tym za gromadzenie i przekazywanie członkom Kierownictwa informacji o wynikach monitorowania, zagrożeniach w realizacji celów i zadań, jak i dokonywanych ewaluacjach.
§ 7. Departament Budżetu, zwany dalej „DB”, odpowiada za koordynację prac nad dokumentami zadaniowymi, w szczególności budżetem w układzie zadaniowym oraz Wieloletnim Planem Finansowym Państwa, w zakresie celów, mierników i ich wartości, zgodnie z rozporządzeniem Ministra Finansów z dnia 21 marca 2022 r. w sprawie szczegółowego sposobu, trybu i terminów opracowania materiałów do projektu ustawy budżetowej (Dz. U. poz. 745 i 1475, z 2023 r. poz. 1310 oraz z 2024 r. poz. 1036) oraz rozporządzeniem Ministra Finansów z dnia 28 grudnia 2011 r. w sprawie sprawozdawczości budżetowej w układzie zadaniowym (Dz. U. z 2021 r. poz. 1731).
§ 8. 1. Biuro Obsługi Ministerstwa, zwane dalej „BOM”, odpowiada za przeprowadzenie corocznej, udokumentowanej oceny stopnia realizacji założonych celów dla inwestycji, o których mowa w art. 133a ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.
2. Informację z corocznej analizy stopnia realizacji celów dla inwestycji BOM przedstawia Dyrektorowi Generalnemu w terminie do końca lutego roku następującego po roku, za który informacja jest sporządzana.
§ 9. 1. Biuro Kontroli i Audytu, zwane dalej „BKA”, realizuje zadania, w szczególności:
1) koordynuje proces zarządzania ryzykiem w Ministerstwie z wyłączeniem zarządzania ryzkiem, o którym mowa w Polityce Bezpieczeństwa Informacji w obszarze IT Ministerstwa, które znajduje się we właściwości Departamentu Informatyki;
2) koordynuje przeprowadzanie samooceny funkcjonowania kontroli zarządczej w Ministerstwie;
3) sporządza projekt oświadczenia Ministra o stanie kontroli zarządczej.
2. Proces zarządzania ryzykiem w Ministerstwie jest prowadzony zgodnie z komunikatem nr 6 Ministra Finansów z dnia 6 grudnia 2012 r. w sprawie szczegółowych wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem (Dz. Urz. Min. Fin. poz. 56).
3. Samoocena funkcjonowania kontroli zarządczej w Ministerstwie jest przeprowadzana zgodnie z komunikatem nr 3 Ministra Finansów z dnia 16 lutego 2011 r. w sprawie szczegółowych wytycznych w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych (Dz. Urz. Min. Fin. poz. 11).
4. Oświadczenie o stanie kontroli zarządczej stanowi źródło zapewnienia o stanie kontroli zarządczej, którego opracowanie zostało zalecone w komunikacie nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. Min. Fin. poz. 84).
5. Samodzielne Stanowisko Audytu Wewnętrznego w BKA w związku z realizacją swoich zadań dokonuje systematycznej, niezależnej i obiektywnej oceny funkcjonowania systemu kontroli zarządczej w Ministerstwie.
Rozdział 3
Sporządzenie planu działalności i sprawozdania z jego wykonania
§ 10 . 1. Kierujący komórkami organizacyjnymi opracowują propozycje celów, zadań i mierników do projektu planu działalności, z uwzględnieniem celów, zadań i mierników jednostek podległych lub nadzorowanych, wskazują osoby odpowiedzialne w komórce za proces monitorowania, ocenę realizacji celów, zadań i mierników oraz zarządzanie ryzykiem w odniesieniu do planu działalności.
2. Komórki organizacyjne, przed przekazaniem propozycji do planu działalności, przeprowadzają identyfikację ryzyka w stosunku do celów i zadań, które mają być zamieszczone w planie działalności na kartach oceny ryzyka opracowanych przez BKA i udostępnionych przez DAE.
3. Identyfikację ryzyka przeprowadza się zgodnie z § 14.
4. DAE przekazuje do wiadomości BKA karty oceny ryzyka, o których mowa w ust. 2, celem wykorzystania ich podczas procesu analizy ryzyka przeprowadzanym w Ministerstwie, o którym mowa w rozdziale 5.
5. Komórki organizacyjne określają w propozycjach do planu działalności Ministra mierniki, które umożliwią oszacowanie osiągniętych wartości na koniec roku, którego dotyczy sprawozdanie z planu działalności. Po akceptacji przez członka Kierownictwa nadzorującego daną komórkę organizacyjną komórki organizacyjne przekazują propozycje celów, zadań i mierników wraz z kartą oceny ryzyka do DAE, w terminie do dnia 25 września każdego roku.
6. DAE, w terminie do dnia 10 października każdego roku, sporządza projekt planu działalności na podstawie celów, zadań i mierników, o których mowa w ust. 1, a następnie przedkłada projekt planu działalności do podpisu Ministra.
7. Podpisany projekt planu działalności powinien być przekazany Prezesowi Rady Ministrów w terminie do dnia 31 października każdego roku.
8. W przypadku zgłoszenia uwag do projektu planu działalności przez Prezesa Rady Ministrów DAE uzgadnia zgłoszone uwagi z kierującymi komórkami organizacyjnymi Ministerstwa i przekazuje uzgodniony plan działalności do podpisu Ministra. W przypadku braku uwag Prezesa Rady Ministrów do projektu planu działalności, DAE przedkłada plan działalności do podpisu Ministra. Plan działalności musi zostać podpisany w terminie umożliwiającym przekazanie go do opublikowania w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra do dnia 30 listopada każdego roku.
9. Kierujący komórką organizacyjną, zgodnie z właściwością, monitoruje na bieżąco realizację planu działalności.
§ 11. 1. W celu przygotowania sprawozdania z wykonania planu działalności kierujący komórkami organizacyjnymi przekazują do DAE, w terminie do dnia 15 marca każdego roku, informacje o realizacji wyznaczonych celów, zadań i mierników ujętych w planie działalności oraz wskazują osoby odpowiedzialne w komórce za proces monitorowania celów, zadań i mierników. Informacje, przed przekazaniem do DAE, są akceptowane przez członka Kierownictwa nadzorującego daną komórkę organizacyjną.
2. Kierujący komórkami organizacyjnymi, w których zakresie jest nadzór nad jednostkami podległymi lub nadzorowanymi, przy sporządzaniu informacji, o których mowa w ust. 1, uwzględniają sprawozdania tych jednostek.
3. DAE, w terminie do dnia 10 kwietnia każdego roku, sporządza projekt sprawozdania z wykonania planu działalności na podstawie informacji, o których mowa w ust. 1, oraz przygotowuje analizę zasobów osobowych, a następnie przedkłada projekt sprawozdania do podpisu Ministra.
4. Sprawozdanie z wykonania planu działalności powinno zostać opublikowane w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra do dnia 30 kwietnia każdego roku.
5. W ramach działań monitorujących stan realizacji celów, zadań i mierników z planu działalności, komórki organizacyjne przesyłają do DAE, w wyznaczonym przez DAE terminie, po akceptacji przez członka Kierownictwa nadzorującego daną komórkę organizacyjną, informacje na temat wykonania planu działalności za I półrocze. DAE, na podstawie otrzymanych informacji, sporządza informację o realizacji planu działalności podsumowujące wykonanie planu działalności za I półrocze i przekazuje ją Ministrowi.
6. W przypadku braku dostępności danych dotyczących osiągniętej wartości miernika, kierujący komórką organizacyjną przekazuje informację o przewidywanym terminie ich przekazania.
7. W przypadku zagrożenia realizacji celu, które wskazuje na nieosiągnięcie założonych wartości mierników, kierujący komórką organizacyjną niezwłocznie informuje o nich nadzorującego członka Kierownictwa, oraz przekazuje informację do wiadomości Ministra i DAE.
8. DAE informuje Kierownictwo o wynikach ewaluacji planu działalności.
9. Decyzje w przypadku niepodjęcia działań lub rezygnacji z realizacji celu określonego w planie działalności podejmuje Minister.
Rozdział 4
Samoocena kontroli zarządczej
§ 12. 1. Samoocena kontroli zarządczej, przeprowadzana jest co najmniej raz w roku przez pracowników i kierujących komórkami organizacyjnymi Ministerstwa.
2. Samoocena kontroli zarządczej jest przeprowadzana z wykorzystaniem ankiety, której wzór oraz instrukcję wypełniania określa BKA.
3. Pracownicy i kierujący komórkami organizacyjnymi Ministerstwa dokonują samooceny kontroli zarządczej w ramach poszczególnych elementów systemu kontroli zarządczej, w postaci elektronicznej, w terminie wskazanym przez Ministra, za pośrednictwem BKA.
4. BKA, po otrzymaniu zbiorczych wyników z dokonanej samooceny kontroli zarządczej, sporządza podsumowanie wyników samooceny kontroli zarządczej, uwzględniające:
1) ogólną ocenę funkcjonowania kontroli zarządczej;
2) zidentyfikowane słabości kontroli zarządczej, wskazane przez osoby przeprowadzające ocenę;
3) proponowane działania usprawniające z zakresu kontroli zarządczej przedstawione przez kierujących komórkami organizacyjnymi.
5. Podsumowanie wyników samooceny kontroli zarządczej, o którym mowa w ust. 4, BKA przekazuje członkom Kierownictwa i Komitetowi Audytu do wiadomości.
6. Podsumowanie wyników samooceny kontroli zarządczej, o którym mowa w ust. 4, jest przekazywane komórkom organizacyjnym Ministerstwa oraz udostępniane w dedykowanej do tego aplikacji Ministerstwa lub w obowiązującym portalu intranetowym Ministerstwa.
7. Na prośbę kierującego komórką organizacyjną, BKA przekazuje do wykorzystania w procesie identyfikacji i analizy ryzyka oraz przy przygotowaniu oświadczeń o stanie kontroli zarządczej, zbiorcze zestawienie wyników samooceny kontroli zarządczej na poziomie komórek organizacyjnych.
Rozdział 5
Zarządzanie ryzykiem
§ 13. 1. Zarządzanie ryzykiem jest procesem ciągłym wykonywanym na bieżąco w odniesieniu do celów i zadań Ministerstwa.
2. Proces zarządzania ryzykiem obejmuje:
1) identyfikację zasobów niezbędnych do realizacji celów i zadań;
2) identyfikację ryzyka, w tym czynników o charakterze korupcyjnym lub nadużyć finansowych;
3) analizę ryzyka, w tym określenie rodzaju mechanizmów kontrolnych oraz ich skuteczności dla zdefiniowanych zdarzeń;
4) ewaluację ryzyka, w tym określenie rodzaju reakcji na ryzyko oraz akceptowalnego poziomu ryzyka;
5) określenie właścicieli ryzyka oraz terminów wdrożenia reakcji na zidentyfikowane zdarzenia;
6) informowanie pracowników Ministerstwa o wynikach procesu zarządzania ryzykiem;
7) aktualizowanie wyników procesu zarządzania ryzykiem.
3. W Ministerstwie przeprowadzane są odrębne procesy zarządzania ryzykiem:
1) w odniesieniu do celów i zadań komórek organizacyjnych;
2) w obszarze ochrony danych osobowych.
§ 14. 1. W przypadku realizacji procesu zarządzania ryzykiem, o którym mowa w § 13 ust. 3 pkt 1, komórki organizacyjne identyfikują ryzyka w odniesieniu do celów i zadań tych komórek.
2. Identyfikacja ryzyka w Ministerstwie jest przeprowadzana przez każdą komórkę organizacyjną w odniesieniu do celów i zadań właściwych dla danej komórki organizacyjnej.
3. BKA przeprowadza proces zarządzania ryzykiem w oparciu o otrzymaną z DAE identyfikację ryzyka dla celów i zadań z planu działalności, o której mowa w § 10 ust. 2, oraz dla komórek organizacyjnych, których cele i zadania nie są w nim ujęte - dla celów i zadań z regulaminu organizacyjnego Ministerstwa.
4. W procesie identyfikacji ryzyka komórki organizacyjne wskazują w szczególności ryzyka:
1) związane ze zmianami organizacyjnymi zachodzącymi w Ministerstwie;
2) zagrażające wizerunkowi Ministerstwa;
3) o charakterze finansowym, w tym nadużyć finansowych oraz korupcyjnych;
4) o charakterze legislacyjnym;
5) dotyczące zasobów ludzkich.
5. Identyfikując ryzyka, bierze się pod uwagę wszystkie ryzyka, niezależnie od miejsca lub źródła ich powstania.
6. W procesie identyfikacji i analizy ryzyka uwzględnia się wszystkie źródła informacji, w tym ustalenia wewnętrznych i zewnętrznych audytów i kontroli oraz podsumowanie wyników samooceny kontroli zarządczej.
7. Identyfikując ryzyka opisuje się przyczyny oraz możliwe skutki ich wystąpienia.
8. Identyfikując ryzyka wykorzystuje się jedną z technik analizy ryzyka:
1) technikę listy potencjalnych zdarzeń;
2) moderowane warsztaty i wywiady;
3) analizy procesów lub burze mózgów.
§ 15. 1. W odniesieniu do zidentyfikowanego ryzyka przeprowadza się analizę ryzyka.
2. BKA określa i udostępnia kierującym komórkami organizacyjnymi wzory kart oceny ryzyka dotyczące analizy ryzyka oraz instrukcję wypełniania kart oceny ryzyka.
3. W Ministerstwie analiza ryzyka jest przeprowadzana w sposób jednostopniowy, uwzględniający funkcjonujące mechanizmy kontrolne.
4. Analiza ryzyka obejmuje następujące etapy:
1) identyfikację mechanizmów kontrolnych funkcjonujących w obszarze poddanym ocenie;
2) ocenę zidentyfikowanego ryzyka pod względem skutków dla realizacji celów i zadań Ministerstwa;
3) ocenę zidentyfikowanego ryzyka pod względem prawdopodobieństwa jego wystąpienia;
4) określenie istotności ryzyka.
5. Analiza ryzyka w Ministerstwie jest przeprowadzana przez każdą komórkę organizacyjną w odniesieniu do ryzyk właściwych dla danej komórki organizacyjnej.
6. Oceniając skutki wystąpienia ryzyka, uwzględnia się następujące kryteria:
1) stopień wpływu na zakłócenia lub opóźnienia w realizacji zadań Ministerstwa;
2) wpływ na wizerunek i zaufanie do Ministerstwa;
3) wpływ na występowanie i skalę następstw finansowych.
7. Ocena prawdopodobieństwa oraz skutków wystąpienia ryzyka jest przeprowadzana w Ministerstwie z uwzględnieniem oceny skuteczności i adekwatności mechanizmów kontrolnych funkcjonujących w obszarze poddanym ocenie.
8. Dokonując oceny prawdopodobieństwa wystąpienia ryzyka, uwzględnia się następujące kryteria:
1) częstotliwość występowania ryzyka wcześniej;
2) liczbę uczestników realizacji danego zadania;
3) stabilność realizacji zadania;
4) wpływ na zasady realizacji zadania.
9. Szczegółowe wytyczne do oszacowania prawdopodobieństwa wystąpienia ryzyka oraz skutków jego wystąpienia dla stopnia realizacji celów i zadań zawiera instrukcja wypełniania kart oceny ryzyka, o której mowa w ust. 2.
10. Istotność ryzyka określa się oceniając prawdopodobieństwo wystąpienia ryzyka oraz jego skutki.
11. Ryzyko może przyjmować następujące poziomy istotności:
1) niski poziom ryzyka - nie wymaga podejmowania działań zaradczych przez właściciela ryzyka;
2) średni poziom ryzyka - wymaga monitorowania poziomu ryzyka przez właściciela ryzyka i w razie potrzeby wprowadzenia mechanizmów kontrolnych ograniczających prawdopodobieństwo jego wystąpienia lub wystąpienia jego skutków;
3) wysoki poziom ryzyka - wymaga podjęcia przez właściciela ryzyka działań, o których mowa w § 16. W przypadku braku możliwości podjęcia działań ryzyko może być tolerowane pod warunkiem pisemnego uzasadnienia przez właściciela ryzyka;
4) bardzo wysoki poziom ryzyka - wymaga zaplanowania i podjęcia przez właściciela ryzyka działań, o których mowa w § 16. W przypadku braku możliwości podjęcia dodatkowych działań, ryzyko może być tolerowane pod warunkiem wyrażenia zgody przez Ministra.
§ 16. 1. Na podstawie przeprowadzonych czynności, o których mowa w § 15, właściciel ryzyka decyduje o reakcji na ryzyko.
2. Reakcja na ryzyko, o której mowa w ust. 1, polega na podjęciu przez właściciela ryzyka decyzji dotyczącej akceptowania ryzyka albo przeciwdziałania ryzyku przez:
1) akceptowanie ryzyka, tj. niepodejmowanie przez właściciela ryzyka działań wpływających na ryzyko;
2) przeciwdziałanie ryzyku, tj. podejmowanie przez właściciela ryzyka działań ograniczających ryzyko do akceptowanego poziomu. Podejmowane działania odnoszą się zarówno do ograniczenia prawdopodobieństwa wystąpienia ryzyka, jak i do ograniczenia jego wpływu na realizację celów i zadań Ministerstwa.
3. W Ministerstwie przyjmuje się następujące sposoby przeciwdziałania ryzyku:
1) przeniesienie ryzyka na inny podmiot;
2) wdrożenie nowych mechanizmów kontrolnych;
3) przesunięcie w czasie lub wycofanie się.
4. Przeniesienie ryzyka, o którym mowa ust. 3 pkt 1, oznacza przeniesienie części lub całego ryzyka na inny podmiot.
5. Wdrożenie nowych mechanizmów kontrolnych, o których mowa w ust. 3 pkt 2, oznacza wprowadzenie mechanizmów minimalizujących ryzyko.
6. Przesunięcie w czasie lub wycofanie się, o których mowa w ust. 3 pkt 3, oznacza odejście od działań, które są narażone na ryzyko.
7. W przypadku odejścia od działań, które minimalizują ryzyko w związku z przesunięciem w czasie lub wycofaniem się, o których mowa w ust. 3 pkt 3, kierujący komórkami organizacyjnymi informują o tym BKA.
§ 17. 1. W Ministerstwie proces monitorowania ryzyka jest procesem ciągłym, realizowanym przez kierujących komórkami organizacyjnymi, na każdym szczeblu zarządzania, który pozwala na podejmowanie decyzji w odpowiednim czasie.
2. W Ministerstwie monitoring i ocena zarządzania ryzykiem obejmuje w szczególności następujące działania:
1) analizę powiązania zidentyfikowanych ryzyk z celami i zadaniami komórki organizacyjnej;
2) analizę adekwatności dokonanej oceny ryzyka w związku z realizowanymi zadaniami przez komórkę organizacyjną;
3) analizę funkcjonowania mechanizmów kontrolnych pod względem ich adekwatności i skuteczności.
§ 18. 1. Na podstawie przekazanych, przez kierujących komórkami organizacyjnymi, kart oceny ryzyka, o których mowa w § 15 ust. 2, BKA przygotowuje zestawienie zbiorcze potwierdzające przeprowadzenie w Ministerstwie identyfikacji oraz oceny ryzyka dla celów i zadań ujętych w planie działalności lub regulaminie organizacyjnym Ministerstwa, zawierające w szczególności następujące informacje:
1) nazwę komórki organizacyjnej;
2) nazwę ryzyka;
3) opis ryzyka;
4) właścicieli ryzyka;
5) obowiązujące obecnie mechanizmy kontrolne;
6) ocenę ryzyka;
7) reakcję na ryzyko;
8) planowane dodatkowe mechanizmy kontrolne.
2. Na podstawie zestawienia zbiorczego, o którym mowa w ust. 1, oraz opinii Zespołu do spraw Systemu Zarządzania Bezpieczeństwem Informacji, BKA opracowuje podsumowanie analizy ryzyka zawierające w szczególności:
1) zestawienie kluczowych ryzyk;
2) propozycje usprawnień i zmian mechanizmów kontrolnych dotyczących najistotniejszych zagrożeń, przedstawione przez właściwą komórkę organizacyjną Ministerstwa.
3. Podsumowanie analizy ryzyka BKA przekazuje członkom Kierownictwa, komórkom organizacyjnym Ministerstwa oraz do wiadomości Komitetowi Audytu.
4. Podsumowanie analizy ryzyka jest udostępniane, w terminie do dnia 30 marca każdego roku, w dedykowanej do tego aplikacji Ministerstwa lub w obowiązującym portalu intranetowym Ministerstwa.
§ 19. 1. W przypadku realizacji przez kierujących komórkami organizacyjnymi procesu zarządzania ryzykiem w obszarze ochrony danych osobowych, o którym mowa w § 13 ust. 3 pkt 2, identyfikacja ryzyka odnosi się do procesów przetwarzania danych osobowych wskazanych w rejestrze czynności przetwarzania danych oraz rejestrze kategorii czynności przetwarzania danych.
2. Głównym celem procesu zarządzania ryzykiem w obszarze ochrony danych osobowych jest ochrona praw i wolności osób, których dane są przetwarzane.
3. Identyfikacja ryzyka w obszarze ochrony danych osobowych jest przeprowadzana przez każdą komórkę organizacyjną w odniesieniu do procesów przetwarzania danych osobowych właściwych dla danej komórki.
4. Identyfikując ryzyka w obszarze ochrony danych osobowych, wykorzystuje się jedną z technik analizy ryzyka:
1) technikę listy potencjalnych zdarzeń;
2) moderowane warsztaty i wywiady;
3) analizy procesów;
4) burze mózgów.
5. Przy identyfikacji ryzyka w obszarze ochrony danych osobowych uwzględnia się:
1) charakter procesu przetwarzania danych osobowych;
2) zakres przetwarzania danych osobowych;
3) kontekst przetwarzania danych osobowych.
6. Identyfikując ryzyka w obszarze ochrony danych osobowych, określa się przyczyny oraz możliwe skutki ich wystąpienia, opisując wpływ danego zdarzenia na możliwość utraty poufności, dostępności i integralności danych osobowych.
7. W wyniku przeprowadzonej identyfikacji ryzyka właściciele ryzyka przygotowują kartę oceny ryzyka, która zawiera w szczególności:
1) nazwę procesu, w ramach którego przetwarza się dane osobowe;
2) datę rejestracji ryzyka;
3) nazwę ryzyka;
4) opis ryzyka;
5) właściciela ryzyka.
8. Ryzyko w obszarze ochrony danych osobowych ocenia się na podstawie:
1) prawdopodobieństwa jego wystąpienia;
2) wpływu na prawa i wolności osób, których dane są przetwarzane w ramach danego procesu przetwarzania danych osobowych;
3) istotności.
9. Oceny zidentyfikowanego ryzyka w obszarze ochrony danych osobowych, pod względem wpływu ryzyka na prawa i wolności osób, których dane są przetwarzane, dokonuje się na podstawie następujących kryteriów:
1) zagrożenia dyskryminacją;
2) zagrożenia związanego z pozbawieniem przysługujących praw i wolności osobom, których dane są przetwarzane;
3) zagrożenia stratą finansową osób, których dane są przetwarzane;
4) zagrożenia naruszenia dobrego imienia osób, których dane są przetwarzane.
10. Szczegółowe wytyczne do oszacowania wpływu wystąpienia ryzyka na prawa i wolności osób, których dane są przetwarzane zawiera instrukcja wypełniania karty oceny ryzyka, o której mowa w § 15 ust 2.
11. W obszarze ochrony danych osobowych ocenę prawdopodobieństwa wystąpienia ryzyka oraz jego istotność ocenia się w sposób określony w § 15 ust. 7, ust. 8 pkt 1-3 oraz ust. 10-11.
12. W obszarze ochrony danych osobowych w ramach reakcji na ryzyko stosuje się przepisy § 16.
13. W obszarze ochrony danych osobowych przeciwdziałanie ryzyku polega na podejmowaniu działań minimalizujących ryzyko naruszenia praw i wolności osób, których dane dotyczą lub na wycofaniu się z przetwarzania danych osobowych w ocenianym procesie przetwarzania.
Rozdział 6
Oświadczenie o stanie kontroli zarządczej w Ministerstwie
§ 20. 1. Kierujący komórkami organizacyjnymi, w terminie do dnia 15 marca każdego roku, przekazują do BKA sporządzone według wzoru określonego w rozporządzeniu Ministra Finansów z dnia 2 grudnia 2010 r. w sprawie wzoru oświadczenia o stanie kontroli zarządczej (Dz. U. poz. 1581), oświadczenie o stanie kontroli zarządczej w kierowanych komórkach organizacyjnych, zatwierdzone przez nadzorujących członków Kierownictwa.
2. Kierujący komórkami organizacyjnymi właściwymi do prowadzenia spraw związanych z nadzorem nad jednostkami podległymi lub nadzorowanymi przekazują do BKA, w terminie do dnia 31 marca każdego roku, zaopiniowane oświadczenia o stanie kontroli zarządczej jednostek podległych lub nadzorowanych, sporządzone przez te jednostki.
3. Projekt oświadczenia o stanie kontroli zarządczej za poprzedni rok jest sporządzany z uwzględnieniem w szczególności:
1) oświadczeń o stanie kontroli zarządczej komórek organizacyjnych oraz jednostek podległych lub nadzorowanych;
2) podsumowania wyników samooceny kontroli zarządczej, o którym mowa w § 12 ust. 4;
3) podsumowania analizy ryzyka, o którym mowa w § 18 ust. 2;
4) wyników audytu wewnętrznego;
5) wyników kontroli zewnętrznych i wewnętrznych.
4. BKA przekazuje do opinii Komitetowi Audytu projekt oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok.
5. BKA, po zaopiniowaniu przez Komitet Audytu projektu oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok, przekazuje do podpisu Ministra projekt tego oświadczenia, w terminie umożliwiającym jego opublikowanie w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra do dnia 30 kwietnia każdego roku.
Rozdział 7
Obowiązki jednostek podległych lub nadzorowanych w ramach kontroli zarządczej
§ 21. 1. Zobowiązuje się następujące jednostki podległe lub nadzorowane:
1) Zakład Ubezpieczeń Społecznych;
2) Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych;
3) Urząd do Spraw Kombatantów i Osób Represjonowanych;
4) Ochotnicze Hufce Pracy;
5) Centrum Partnerstwa Społecznego „Dialog” im. Andrzeja Bączkowskiego;
6) Główną Bibliotekę Pracy i Zabezpieczenia Społecznego
- do sporządzania planu działalności, sprawozdania z jego wykonania, informacji na temat wykonania planu działalności za I półrocze oraz składania oświadczenia o stanie kontroli zarządczej za poprzedni rok.
2. Zobowiązuje się następujące jednostki nadzorowane:
1) Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy;
2) Instytut Pracy i Spraw Socjalnych
- do składania oświadczenia o stanie kontroli zarządczej za poprzedni rok.
3. Plan działalności jednostki i sprawozdanie z jego wykonania kierujący jednostkami, o których mowa w ust. 1, sporządzają zgodnie z zasadami oraz według wzorów określonych w rozporządzeniu Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania. Przed sporządzeniem planu działalności przeprowadzana jest identyfikacja ryzyka w stosunku do celów i zadań, które mają być zamieszczone w planie działalności.
4. Kierujący jednostkami, o których mowa w ust. 1, określają w propozycjach do planu działalności mierniki, które umożliwią oszacowanie osiągniętych wartości na koniec roku, którego dotyczy sprawozdanie z planu działalności.
5. Kierujący jednostkami, o których mowa w ust. 1, uzgadniają, a następnie przekazują plan działalności jednostki członkowi Kierownictwa zapewniającego prowadzenie spraw wynikających z nadzoru nad jednostkami podległymi lub nadzorowanymi, zgodnie z zakresem czynności członków kierownictwa, w terminie 21 dni od dnia opublikowania planu działalności w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra.
6. Kierujący jednostkami, o których mowa w ust. 1, sporządzają sprawozdanie z wykonania planu działalności jednostki i przekazują go członkowi Kierownictwa zapewniającego prowadzenie spraw wynikających z nadzoru nad jednostkami podległymi lub nadzorowanymi, zgodnie z zakresem czynności członków kierownictwa, w terminie do dnia 5 marca każdego roku.
7. Kierujący jednostkami, o których mowa w ust. 1, przekazują członkowi Kierownictwa zapewniającego prowadzenie spraw wynikających z nadzoru nad jednostkami podległymi lub nadzorowanymi, zgodnie z zakresem czynności członków kierownictwa, informację na temat wykonania planu działalności za I półrocze.
8. Oświadczenie o stanie kontroli zarządczej za poprzedni rok kierujący jednostkami, o których mowa w ust. 1 i 2, sporządzają według wzoru określonego w rozporządzeniu Ministra Finansów z dnia 2 grudnia 2010 r. w sprawie wzoru oświadczenia o stanie kontroli zarządczej i przekazują Ministrowi, za pośrednictwem członka Kierownictwa zapewniającego prowadzenie spraw wynikających z nadzoru nad jednostkami podległymi lub nadzorowanymi, zgodnie z zakresem czynności członków kierownictwa, w terminie do dnia 15 marca każdego roku.
§ 22. Składane przez kierujących jednostkami, o których mowa w § 21 ust. 1 i 2, oświadczenia o stanie kontroli zarządczej za poprzedni rok są opiniowane przez:
1) komórki organizacyjne właściwe do prowadzenia spraw związanych z nadzorem nad jednostkami podległymi lub nadzorowanymi;
2) Komitet Audytu.
§ 23 . 1. Inne niż wymienione w § 21 ust. 1, dokumenty planistyczne i sprawozdawcze dotyczące zakresu działania jednostek organizacyjnych, o których mowa w tym przepisie, niezbędne do przygotowania planu działalności, sprawozdania z jego wykonania oraz oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok, są przekazywane do:
1) Departamentu Dialogu i Partnerstwa Społecznego przez Centrum Partnerstwa Społecznego „Dialog” im. Andrzeja Bączkowskiego;
2) Departamentu Koordynacji Systemów Zabezpieczenia Społecznego przez Zakład Ubezpieczeń Społecznych w zakresie umów międzynarodowych;
3) Departamentu Ubezpieczeń Społecznych przez:
a) Zakład Ubezpieczeń Społecznych w zakresie prawa krajowego,
b) Urząd do Spraw Kombatantów i Osób Represjonowanych;
4) Departamentu Rynku Pracy przez Ochotnicze Hufce Pracy;
5) Biura Pełnomocnika Rządu do Spraw Osób Niepełnosprawnych przez Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych;
6) DAE przez Główną Bibliotekę Pracy i Zabezpieczenia Społecznego.
2. Inne niż wymienione w § 21 ust. 2, dokumenty planistyczne i sprawozdawcze dotyczące zakresu działania jednostek organizacyjnych, o których mowa w tym przepisie, w celu wykorzystania tych dokumentów do przygotowania oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok, są przekazywane do:
1) Departamentu Prawa Pracy przez Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy;
2) Departamentu Ubezpieczeń Społecznych przez Instytut Pracy i Spraw Socjalnych.
3. Dokumenty, o których mowa w ust. 1 i 2, są przekazywane przez właściwe komórki organizacyjne Ministerstwa do wiadomości BKA.
§ 24. 1. Dokumentację planistyczną i sprawozdawczą, związaną z planowaniem i realizacją wydatków inwestycyjnych o charakterze budowlanym, w tym przeprowadzaniem corocznej oceny stopnia realizacji założonych celów, przekazują do BOM, w trybie i w terminach wskazanych przez BOM:
1) Komenda Główna Ochotniczych Hufców Pracy,
2) Główna Biblioteka Pracy i Zabezpieczenia Społecznego,
3) Centrum Partnerstwa Społecznego „Dialog” im. Andrzeja Bączkowskiego
- w celu jej wykorzystania do przygotowania oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok w zakresie kierowanych przez niego działów administracji rządowej.
2. Podczas realizacji zadania, o którym mowa w ust. 1, BOM współpracuje z komórkami właściwymi do prowadzenia spraw związanych z nadzorem nad jednostkami podległymi lub nadzorowanymi oraz DB.
§ 25. W ramach obowiązków informacyjnych związanych z funkcjonowaniem kontroli zarządczej w działach administracji rządowej - rodzina, praca i zabezpieczenie społeczne, jednostki podległe lub nadzorowane, o których mowa w § 21 ust. 1, przekazują do BKA, w terminie do dnia 15 marca każdego roku, sporządzone za poprzedni rok:
1) wyniki procesu zarządzania ryzykiem, ze wskazaniem procedury, według której proces został przeprowadzony;
2) zbiorcze wyniki samooceny kontroli zarządczej, ze wskazaniem procedury, według której proces został przeprowadzony.
§ 26. Jednostki podległe lub nadzorowane, o których mowa w § 21 ust. 1 i 2, przekazują do BKA, w formie i terminach wskazanych przez BKA:
1) wyniki ocen zewnętrznych, w szczególności kontroli zewnętrznych, inspekcji, audytów zewnętrznych, audytów według norm PN ISO, a także informacje o stanie wdrożenia i wykonania zaleceń pokontrolnych;
2) wyniki ocen wewnętrznych w szczególności kontroli wewnętrznych, inspekcji, przeglądów, audytów wewnętrznych według norm PN ISO;
3) wyniki audytów wewnętrznych.
§ 27. Traci moc zarządzenie nr 30 Ministra Rodziny i Polityki Społecznej z dnia 21 września 2023 r. w sprawie kontroli zarządczej w Ministerstwie Rodziny i Polityki Społecznej oraz obowiązków jednostek podległych Ministrowi Rodziny i Polityki Społecznej lub przez niego nadzorowanych w ramach kontroli zarządczej (Dz. Urz. Min. Rodz. i Pol. Społ. poz. 32).
§ 28. Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.
MINISTER
RODZINY, PRACY I POLITYKI
SPOŁECZNEJ
AGNIESZKA DZIEMIANOWICZ-BĄK
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00