ZARZĄDZENIE NR 30
MINISTRA RODZINY I POLITYKI SPOŁECZNEJ
z dnia 21 września 2023 r.
w sprawie kontroli zarządczej w Ministerstwie Rodziny i Polityki Społecznej oraz obowiązków jednostek podległych Ministrowi Rodziny i Polityki Społecznej lub przez niego nadzorowanych w ramach kontroli zarządczej
Na podstawie art. 69 ust. 1 pkt 1 i art. 70 ust. 4 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r. poz. 1270, z późn. zm.1)) oraz art. 34 ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2022 r. poz. 1188 oraz z 2023 r. poz. 1195, 1234 i 1641) zarządza się, co następuje:
Rozdział 1
Przepisy ogólne
§ 1.
Zarządzenie określa sposób i tryb wykonywania kontroli zarządczej w Ministerstwie Rodziny i Polityki Społecznej w działach administracji rządowej - rodzina, zabezpieczenie społeczne i praca, w tym zakres odpowiedzialności za jej realizację oraz obowiązki jednostek podległych Ministrowi Rodziny i Polityki Społecznej lub przez niego nadzorowanych w ramach kontroli zarządczej.
§ 2.
Ilekroć w zarządzeniu jest mowa o:
1) analizie ryzyka - należy przez to rozumieć proces oceny czynników ryzyka pod kątem ustalonych parametrów, prawdopodobieństwa ich wystąpienia oraz potencjalnego skutku;
2) charakterze przetwarzania danych osobowych - należy przez to rozumieć cechy danego procesu przetwarzania danych osobowych dotyczące częstotliwości oraz masowości przetwarzania danych;
3) członkach Kierownictwa - należy przez to rozumieć Ministra Rodziny i Polityki Społecznej, Sekretarzy Stanu, Podsekretarzy Stanu oraz Dyrektora Generalnego Ministerstwa Rodziny i Polityki Społecznej;
4) jednostkach podległych lub nadzorowanych - należy przez to rozumieć jednostki podległe Ministrowi Rodziny i Polityki Społecznej lub przez niego nadzorowane;
5) kierującym komórką organizacyjną - należy przez to rozumieć dyrektora komórki organizacyjnej lub osobę pełniącą jego obowiązki w Ministerstwie Rodziny i Polityki Społecznej;
6) Komitecie Audytu - należy przez to rozumieć wspólny komitet audytu dla działów administracji rządowej - rodzina, zabezpieczenie społeczne i praca, powołany na podstawie zarządzenia nr 37 Ministra Rodziny i Polityki Społecznej z dnia 22 grudnia 2020 r. w sprawie powołania Komitetu Audytu w Ministerstwie Rodziny i Polityki Społecznej (Dz. Urz. Min. Rodz. i Pol. Społ. poz. 40, z 2021 r. poz. 42 oraz z 2023 r. poz. 5);
7) komórce organizacyjnej - należy przez to rozumieć departament albo biuro;
8) kontekście przetwarzania danych osobowych - należy przez to rozumieć określenie zależności między danym procesem przetwarzania danych osobowych a uwarunkowaniami wewnętrznymi i zewnętrznymi obejmujących Ministerstwo Rodziny i Polityki Społecznej w danym obszarze;
9) Ministerstwie - należy przez to rozumieć Ministerstwo Rodziny i Polityki Społecznej;
10) Ministrze - należy przez to rozumieć Ministra Rodziny i Polityki Społecznej, który kieruje działami administracji rządowej - rodzina, zabezpieczenie społeczne i praca, zgodnie z rozporządzeniem Prezesa Rady Ministrów z dnia 6 października 2020 r. w sprawie szczegółowego zakresu działania Ministra Rodziny i Polityki Społecznej (Dz. U. 2022 r. poz. 416);
11) planie działalności - należy przez to rozumieć plan działalności na rok następny tworzony dla działów administracji rządowej - rodzina, zabezpieczenie społeczne i praca, sporządzany zgodnie z przepisami rozporządzenia Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania (Dz. U. poz. 1254);
12) procesie przetwarzania danych osobowych - należy przez to rozumieć zespół powiązanych ze sobą operacji na danych osobowych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem w jakim te czynności są podejmowane;
13) ryzyku - należy przez to rozumieć miarę możliwości wystąpienia zdarzenia, które będzie miało negatywny wpływ na realizację celów i zadań określonych w planie działalności lub regulaminie organizacyjnym Ministerstwa;
14) samoocenie - należy przez to rozumieć proces oceny funkcjonowania kontroli zarządczej przez pracowników i członków Kierownictwa;
15) sprawozdaniu z wykonania planu działalności - należy przez to rozumieć sprawozdanie z wykonania planu działalności za rok poprzedni dla działów administracji rządowej - rodzina, zabezpieczenie społeczne i praca, sporządzone zgodnie z przepisami rozporządzenia Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania;
16) właścicielu ryzyka - należy przez to rozumieć kierującego komórką organizacyjną, który jest odpowiedzialny za zarządzanie, aktualizowanie i kontrolowanie wszystkich aspektów wskazanego ryzyka w odniesieniu do celów i zadań kierowanej komórki organizacyjnej, włącznie z zastosowaniem wybranych reakcji w odpowiedzi na zagrożenia;
17) zakresie przetwarzania danych osobowych - należy przez to rozumieć wszelkie informacje o danych osobowych, które są przetwarzane w ramach danego procesu;
18) zarządzaniu ryzykiem - należy przez to rozumieć logiczną i systematyczną metodę identyfikacji, analizy i ewaluacji ryzyka oraz nadzoru i informowania o ryzyku w sposób, który wspomoże Ministra w realizacji celów i zadań.
§ 3.
1. Kontrolę zarządczą w Ministerstwie stanowi ogół działań podejmowanych przez członków Kierownictwa, kierujących komórkami organizacyjnymi oraz pozostałych pracowników Ministerstwa dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. Celem kontroli zarządczej jest zapewnienie w szczególności:
1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi;
2) skuteczności i efektywności działania;
3) wiarygodności sprawozdań;
4) ochrony zasobów;
5) przestrzegania i promowania zasad etycznego postępowania;
6) efektywności i skuteczności przepływu informacji;
7) zarządzania ryzykiem.
2. W ramach wykonywania kontroli zarządczej w Ministerstwie stosuje się procedury i wytyczne odnoszące się do wyznaczania celów i zadań oraz monitorowania ich realizacji, określone dla następujących elementów tej kontroli:
1) środowisko wewnętrzne;
2) cele i zarządzanie ryzykiem;
3) mechanizmy kontroli;
4) informacja i komunikacja;
5) monitorowanie i ocena.
Rozdział 2
Zakres odpowiedzialności
§ 4.
1. Minister jest odpowiedzialny za zapewnienie adekwatnej, skutecznej i efektywnej kontroli zarządczej w Ministerstwie oraz w kierowanych przez niego działach administracji rządowej - rodzina, zabezpieczenie społeczne i praca.
2. Członkowie Kierownictwa sprawują nadzór nad funkcjonowaniem kontroli zarządczej w nadzorowanych komórkach organizacyjnych, zgodnie z przepisami w sprawie zakresów czynności członków Kierownictwa.
3. W ramach nadzoru nad komórkami organizacyjnymi członkowie Kierownictwa Ministerstwa, w szczególności:
1) wyznaczają kierunki działań do realizacji na dany rok przez nadzorowane komórki organizacyjne, biorąc pod uwagę:
a) informacje o przypadających Ministerstwu kwotach wydatków wynikających z projektu ustawy budżetowej,
b) zasoby kadrowe,
c) czynniki mogące zagrażać osiągnięciu celów;
2) zatwierdzają oświadczenia o stanie kontroli zarządczej w zakresie obszaru działalności nadzorowanych komórek organizacyjnych.
§ 5.
Do zadań kierującego komórką organizacyjną należy zapewnianie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej w komórce organizacyjnej, w szczególności:
1) opracowanie propozycji celów, zadań i mierników komórki organizacyjnej na podstawie wyznaczonych kierunków działań, o których mowa w § 4 ust. 3 pkt 1;
2) monitorowanie stopnia realizacji celów i zadań komórki organizacyjnej oraz ich aktualizacja;
3) zarządzanie ryzykiem w zakresie wskazanym w rozdziale 5 niniejszego zarządzenia;
4) złożenie oświadczenia o stanie kontroli zarządczej w zakresie działalności kierowanej komórki organizacyjnej;
5) podnoszenie świadomości wśród pracowników w zakresie problematyki związanej z kontrolą zarządczą.
§ 6.
Departament Analiz Ekonomicznych, zwany dalej „DAE”, w ramach kontroli zarządczej odpowiada za sporządzanie projektu planu działalności, o którym mowa w § 2 pkt 11 oraz sprawozdania z wykonania planu działalności, o którym mowa w § 2 pkt 15.
§ 7.
Departament Budżetu, zwany dalej „DB”, w ramach kontroli zarządczej odpowiada za koordynację prac nad dokumentami zadaniowymi, w szczególności budżetem w układzie zadaniowym oraz Wieloletnim Planem Finansowym Państwa, w zakresie celów, mierników i ich wartości, zgodnie z rozporządzeniem Ministra Finansów z dnia 21 marca 2022 r. w sprawie szczegółowego sposobu, trybu i terminów opracowania materiałów do projektu ustawy budżetowej (Dz. U. poz. 745 i 1475 oraz z 2023 r. poz. 1310) oraz rozporządzeniem Ministra Finansów z dnia 28 grudnia 2011 r. w sprawie sprawozdawczości budżetowej w układzie zadaniowym (Dz. U. z 2021 r. poz. 1731).
§ 8.
1. Biuro Kontroli i Audytu, zwane dalej „BKA”, realizuje zadania w ramach kontroli zarządczej, w szczególności:
1) koordynuje proces zarządzania ryzykiem w Ministerstwie z wyłączeniem zarządzania ryzkiem, o którym mowa w Polityce Bezpieczeństwa Informacji w obszarze IT Ministerstwa, które znajduje się we właściwości Departamentu Informatyki;
2) koordynuje przeprowadzanie samooceny funkcjonowania kontroli zarządczej w Ministerstwie;
3) sporządza projekt oświadczenia Ministra o stanie kontroli zarządczej.
2. Proces zarządzania ryzykiem w Ministerstwie jest prowadzony zgodnie z komunikatem nr 6 Ministra Finansów z dnia 6 grudnia 2012 r. w sprawie szczegółowych wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem (Dz. Urz. Min. Fin. poz. 56).
3. Samoocena funkcjonowania kontroli zarządczej w Ministerstwie jest przeprowadzana zgodnie z komunikatem nr 3 Ministra Finansów z dnia 16 lutego 2011 r. w sprawie szczegółowych wytycznych w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych (Dz. Urz. Min. Fin. poz. 11).
4. Oświadczenie o stanie kontroli zarządczej stanowi źródło zapewnienia o stanie kontroli zarządczej, którego opracowanie zostało zalecone w komunikacie nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. Min. Fin. poz. 84).
5. Samodzielne Stanowisko Audytu Wewnętrznego w BKA przez realizację swoich zadań dokonuje systematycznej, niezależnej i obiektywnej oceny funkcjonowania systemu kontroli zarządczej w Ministerstwie.
Rozdział 3
Sporządzenie planu działalności i sprawozdania z jego wykonania
§ 9.
1. Kierujący komórkami organizacyjnymi sporządzają, w zakresie właściwości kierowanych komórek organizacyjnych, propozycje celów, zadań i mierników do projektu planu działalności i przekazują je do DAE w terminie do dnia 25 września każdego roku. Propozycje, przed przekazaniem do DAE, są akceptowane przez członka Kierownictwa nadzorującego daną komórkę organizacyjną.
2. Propozycje, o których mowa w ust. 1, stosownie do właściwości, obejmują również cele i zadania jednostek podległych lub nadzorowanych.
3. DAE, w terminie do dnia 10 października każdego roku, sporządza projekt planu działalności na podstawie celów, zadań i mierników, o których mowa w ust. 1, a następnie przedkłada projekt planu działalności do podpisu Ministra.
4. Podpisany projekt planu działalności powinien być przekazany Prezesowi Rady Ministrów w terminie do dnia 31 października każdego roku.
5. W przypadku braku uwag Prezesa Rady Ministrów do projektu planu działalności, DAE przedkłada plan działalności do podpisu Ministra, w terminie umożliwiającym przekazanie go do opublikowania w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra do dnia 30 listopada każdego roku.
§ 10.
1. W celu przygotowania sprawozdania z wykonania planu działalności kierujący komórkami organizacyjnymi przekazują do DAE, w terminie do dnia 15 marca każdego roku, informacje o realizacji wyznaczonych celów, zadań i mierników ujętych w planie działalności. Informacje, przed przekazaniem do DAE, są akceptowane przez członka Kierownictwa nadzorującego daną komórkę organizacyjną.
2. Kierujący komórkami organizacyjnymi, w których zakresie jest nadzór nad jednostkami podległymi lub nadzorowanymi, przy sporządzaniu informacji, o których mowa w ust. 1, uwzględniają sprawozdania tych jednostek.
3. DAE, w terminie do dnia 10 kwietnia każdego roku, sporządza projekt sprawozdania z wykonania planu działalności na podstawie informacji, o których mowa w ust. 1, a następnie przedkłada projekt sprawozdania do podpisu Ministra.
4. Sprawozdanie z wykonania planu działalności powinno zostać opublikowane w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra do dnia 30 kwietnia każdego roku.
Rozdział 4
Samoocena kontroli zarządczej
§ 11.
1. Samoocena kontroli zarządczej jest to ocena funkcjonowania kontroli zarządczej w Ministerstwie za rok poprzedni, przeprowadzana co najmniej raz w roku przez pracowników Ministerstwa.
2. Samoocena kontroli zarządczej jest przeprowadzana z wykorzystaniem ankiet, których wzory oraz instrukcję wypełniania określa BKA.
3. Pracownicy Ministerstwa, o których mowa w ust. 1, dokonują samooceny kontroli zarządczej w ramach poszczególnych elementów systemu kontroli zarządczej, w postaci elektronicznej, w terminie wskazanym przez Ministra, za pośrednictwem BKA.
4. BKA, po otrzymaniu zbiorczych wyników z dokonanej samooceny kontroli zarządczej, sporządza podsumowanie wyników samooceny kontroli zarządczej, uwzględniające:
1) ogólną ocenę funkcjonowania kontroli zarządczej;
2) zidentyfikowane słabości kontroli zarządczej, wskazane przez osoby przeprowadzające ocenę;
3) proponowane działania naprawcze z zakresu kontroli zarządczej przedstawione przez kierujących komórkami organizacyjnymi.
5. Podsumowanie wyników samooceny kontroli zarządczej, o którym mowa w ust. 4, BKA przekazuje członkom Kierownictwa i Komitetowi Audytu do wiadomości.
6. Zbiorcze zestawienie wyników samooceny kontroli zarządczej na poziomie komórek organizacyjnych BKA przekazuje kierującym tych komórek do wykorzystania w procesie identyfikacji i analizy ryzyka oraz przy przygotowaniu oświadczeń o stanie kontroli zarządczej. Zestawienie jest przesyłane do danej komórki na prośbę kierującego komórką organizacyjną.
7. Podsumowanie wyników samooceny kontroli zarządczej, o którym mowa w ust. 4, jest udostępniane pracownikom Ministerstwa w aplikacji IBM Lotus Notes Ministerstwa.
Rozdział 5
Zarządzanie ryzykiem
§ 12.
1. Zarządzanie ryzykiem jest procesem ciągłym wykonywanym na bieżąco w odniesieniu do celów i zadań Ministerstwa.
2. Za realizację zadań wskazanych w niniejszym rozdziale są odpowiedzialne osoby kierujące poszczególnymi komórkami organizacyjnymi.
3. Proces zarządzania ryzykiem obejmuje:
1) identyfikację zasobów niezbędnych do realizacji celów i zadań;
2) identyfikację ryzyka, w tym czynników o charakterze korupcyjnym lub nadużyć finansowych;
3) analizę ryzyka, w tym określenie rodzaju mechanizmów kontrolnych oraz ich skuteczności dla zdefiniowanych zdarzeń;
4) ewaluację ryzyka, w tym określenie rodzaju reakcji na ryzyko oraz akceptowalnego poziomu apetytu na ryzyko;
5) określenie właścicieli ryzyka oraz terminów wdrożenia reakcji na zidentyfikowane zdarzenia;
6) informowanie pracowników Ministerstwa o wynikach procesu zarządzania ryzykiem;
7) aktualizowanie wyników procesu zarządzania ryzykiem.
4. W Ministerstwie przeprowadzane są odrębne procesy zarządzania ryzykiem:
1) w odniesieniu do celów i zadań komórek organizacyjnych;
2) w obszarze ochrony danych osobowych.
§ 13.
1. W przypadku realizacji procesu zarządzania ryzykiem, o którym mowa w § 12 ust. 3 pkt 1, komórki organizacyjne identyfikują ryzyka w odniesieniu do celów i zadań tych komórek.
2. Identyfikacja ryzyka w Ministerstwie jest przeprowadzana przez każdą komórkę organizacyjną w odniesieniu do celów i zadań właściwych dla danej komórki organizacyjnej.
3. W procesie identyfikacji ryzyka komórki organizacyjne wskazują w szczególności ryzyka:
1) związane ze zmianami organizacyjnymi zachodzącymi w Ministerstwie;
2) zagrażające wizerunkowi Ministerstwa;
3) o charakterze finansowym, w tym nadużyć finansowych oraz korupcyjnych;
4) o charakterze legislacyjnym;
5) związane z organizacją Ministerstwa, w tym strukturą organizacyjną i organizacją pracy;
6) dotyczące zasobów ludzkich.
4. Identyfikując ryzyka, bierze się pod uwagę wszystkie ryzyka, niezależnie od miejsca lub źródła ich powstania.
5. W procesie identyfikacji i analizy ryzyka uwzględnia się wszystkie źródła informacji, w tym ustalenia wewnętrznych i zewnętrznych audytów i kontroli oraz podsumowanie wyników samooceny kontroli zarządczej.
6. Identyfikując ryzyka opisuje się przyczyny oraz możliwe skutki ich wystąpienia.
7. Identyfikując ryzyka wykorzystuje się jedną z technik analizy ryzyka:
1) technikę listy potencjalnych zdarzeń;
2) moderowane warsztaty i wywiady;
3) analizy procesów lub burze mózgów.
§ 14.
1. W odniesieniu do zidentyfikowanego ryzyka przeprowadza się analizę ryzyka.
2. BKA określa i udostępnia kierującym komórkami organizacyjnymi wzory kart oceny ryzyka dotyczące analizy ryzyka oraz instrukcję wypełniania kart oceny ryzyka.
3. W Ministerstwie analiza ryzyka jest przeprowadzana w sposób jednostopniowy, uwzględniający funkcjonujące mechanizmy kontrolne.
4. Analiza ryzyka obejmuje następujące etapy:
1) identyfikację mechanizmów kontrolnych funkcjonujących w obszarze poddanym ocenie;
2) ocenę zidentyfikowanego ryzyka pod względem skutków dla realizacji celów i zadań Ministerstwa;
3) ocenę zidentyfikowanego ryzyka pod względem prawdopodobieństwa jego wystąpienia;
4) określenie istotności ryzyka.
5. Analiza ryzyka w Ministerstwie jest przeprowadzana przez każdą komórkę organizacyjną w odniesieniu do ryzyk właściwych dla danej komórki organizacyjnej.
6. Oceniając skutki wystąpienia ryzyka, uwzględnia się następujące kryteria:
1) stopień wpływu na zakłócenia lub opóźnienia w realizacji zadań Ministerstwa;
2) wpływ na wizerunek i zaufanie do Ministerstwa;
3) wpływ na występowanie i skalę następstw finansowych.
7. Ocena prawdopodobieństwa oraz skutków wystąpienia ryzyka jest przeprowadzana w Ministerstwie z uwzględnieniem oceny skuteczności i adekwatności mechanizmów kontrolnych funkcjonujących w obszarze poddanym ocenie.
8. Dokonując oceny prawdopodobieństwa wystąpienia ryzyka, uwzględnia się następujące kryteria:
1) częstotliwość występowania ryzyka wcześniej;
2) liczbę uczestników realizacji danego zadania;
3) stabilność realizacji zadania;
4) wpływ na zasady realizacji zadania.
9. Szczegółowe wytyczne do oszacowania prawdopodobieństwa wystąpienia ryzyka oraz skutków jego wystąpienia dla stopnia realizacji celów i zadań zawiera instrukcja wypełniania kart oceny ryzyka, o której mowa w ust. 2.
10. Istotność ryzyka określa się oceniając prawdopodobieństwo wystąpienia ryzyka oraz jego skutki.
11. Ryzyko może przyjmować następujące poziomy istotności:
1) niski poziom ryzyka - nie wymaga podejmowania działań zaradczych przez właściciela ryzyka;
2) średni poziom ryzyka - wymaga monitorowania poziomu ryzyka przez właściciela ryzyka i w razie potrzeby wprowadzenia mechanizmów kontrolnych ograniczających prawdopodobieństwo jego wystąpienia lub wystąpienia jego skutków;
3) wysoki poziom ryzyka - wymaga podjęcia przez właściciela ryzyka działań, o których mowa w § 15. W przypadku braku możliwości podjęcia działań ryzyko może być tolerowane pod warunkiem pisemnego uzasadnienia przez właściciela ryzyka;
4) bardzo wysoki poziom ryzyka - wymaga zaplanowania i podjęcia przez właściciela ryzyka działań, o których mowa w § 15. W przypadku braku możliwości podjęcia dodatkowych działań, ryzyko może być tolerowane pod warunkiem wyrażenia zgody przez Ministra.
§ 15.
1. Na podstawie przeprowadzonych czynności wskazanych w § 14 właściciel ryzyka decyduje o reakcji na ryzyko.
2. Reakcja na ryzyko, o której mowa w ust. 1, polega na podjęciu przez właściciela ryzyka decyzji dotyczącej akceptowania ryzyka albo przeciwdziałania ryzyku.
3. Akceptowanie ryzyka, o którym mowa w ust. 2, oznacza niepodejmowanie przez właściciela ryzyka działań wpływających na ryzyko.
4. Przeciwdziałanie ryzyku, o którym mowa w ust. 2, oznacza podejmowanie przez właściciela ryzyka działań ograniczających ryzyko do akceptowanego poziomu. Podejmowane działania odnoszą się zarówno do ograniczenia prawdopodobieństwa wystąpienia ryzyka, jak i do ograniczenia jego wpływu na realizację celów i zadań Ministerstwa.
5. W Ministerstwie przyjmuje się następujące sposoby przeciwdziałania ryzyku:
1) przeniesienie ryzyka na inny podmiot;
2) wdrożenie nowych mechanizmów kontrolnych;
3) przesunięcie w czasie lub wycofanie się.
6. Przeniesienie ryzyka, o którym mowa ust. 5 pkt 1, oznacza przeniesienie części lub całego ryzyka na inny podmiot.
7. Wdrożenie nowych mechanizmów kontrolnych, o których mowa w ust. 5 pkt 2, oznacza wprowadzenie mechanizmów minimalizujących ryzyko.
8. Przesunięcie w czasie lub wycofanie się, o których mowa w ust. 5 pkt 3, oznacza odejście od działań, które minimalizują ryzyko.
9. W przypadku odejścia od działań, które minimalizują ryzyko w związku z przesunięciem w czasie lub wycofaniem, o których mowa w ust. 5 pkt 3, kierujący komórkami organizacyjnymi informują o tym BKA.
§ 16.
1. W Ministerstwie proces monitorowania ryzyka jest procesem ciągłym, realizowanym przez kierujących komórkami organizacyjnymi, na każdym szczeblu zarządzania, który pozwala na podejmowanie decyzji w odpowiednim czasie.
2. W Ministerstwie monitoring i ocena zarządzania ryzykiem obejmuje w szczególności następujące działania:
1) analizę powiązania zidentyfikowanych ryzyk z celami i zadaniami komórki organizacyjnej;
2) analizę adekwatności dokonanej oceny ryzyka w związku z realizowanymi zadaniami przez komórkę organizacyjną;
3) analizę funkcjonowania mechanizmów kontrolnych pod względem ich adekwatności i skuteczności.
§ 17.
1. Na podstawie przekazanych, przez kierujących komórkami organizacyjnymi, kart oceny ryzyka, o których mowa w § 14 ust. 2, BKA przygotowuje zestawienie zbiorcze potwierdzające przeprowadzenie w Ministerstwie identyfikacji oraz oceny ryzyka dla celów i zadań ujętych w planie działalności, o którym mowa w § 2 pkt 11 lub regulaminie organizacyjnym Ministerstwa, zawierające w szczególności następujące informacje:
1) nazwę komórki organizacyjnej;
2) nazwę ryzyka;
3) opis ryzyka;
4) właścicieli ryzyka;
5) obowiązujące obecnie mechanizmy kontrolne;
6) ocenę ryzyka;
7) reakcję na ryzyko;
8) planowane dodatkowe mechanizmy kontrolne.
2. Na podstawie zestawienia zbiorczego, o którym mowa w ust. 1 oraz opinii Zespołu do spraw Systemu Zarządzania Bezpieczeństwem Informacji, BKA opracowuje podsumowanie analizy ryzyka zawierające w szczególności:
1) zestawienie kluczowych ryzyk;
2) propozycje usprawnień i zmian mechanizmów kontrolnych dotyczących najistotniejszych zagrożeń, przedstawione przez właściwą komórkę organizacyjną Ministerstwa.
3. Podsumowanie analizy ryzyka BKA przekazuje członkom Kierownictwa Ministerstwa oraz do wiadomości Komitetowi Audytu.
4. Podsumowanie analizy ryzyka jest udostępniane komórkom organizacyjnym Ministerstwa, w terminie do dnia 30 marca każdego roku, w aplikacji IBM Lotus Notes Ministerstwa.
§ 18.
1. W przypadku realizacji przez kierujących komórkami organizacyjnymi procesu zarządzania ryzykiem w obszarze ochrony danych osobowych, o którym mowa w § 12 ust. 4 pkt 2, identyfikacja ryzyka odnosi się do procesów przetwarzania danych osobowych wskazanych w rejestrze czynności przetwarzania danych oraz rejestrze kategorii czynności przetwarzania danych.
2. Głównym celem procesu zarządzania ryzykiem w obszarze ochrony danych osobowych jest ochrona praw i wolności osób, których dane są przetwarzane.
3. Identyfikacja ryzyka w obszarze ochrony danych osobowych jest przeprowadzana przez każdą komórkę organizacyjną w odniesieniu do procesów przetwarzania danych osobowych właściwych dla danej komórki.
4. Identyfikując ryzyka w obszarze ochrony danych osobowych, wykorzystuje się jedną z technik analizy ryzyka:
1) technikę listy potencjalnych zdarzeń;
2) moderowane warsztaty i wywiady;
3) analizy procesów;
4) burze mózgów.
5. Przy identyfikacji ryzyka w obszarze ochrony danych osobowych uwzględnia się:
1) charakter procesu przetwarzania danych osobowych;
2) zakres przetwarzania danych osobowych;
3) kontekst przetwarzania danych osobowych.
6. Identyfikując ryzyka w obszarze ochrony danych osobowych, określa się przyczyny oraz możliwe skutki ich wystąpienia, opisując wpływ danego zdarzenia na możliwość utraty poufności, dostępności i integralności danych osobowych.
7. W wyniku przeprowadzonej identyfikacji ryzyka właściciele ryzyka przygotowują kartę oceny ryzyka, która zawiera w szczególności:
1) nazwę procesu, w ramach którego przetwarza się dane osobowe;
2) datę rejestracji ryzyka;
3) nazwę ryzyka;
4) opis ryzyka;
5) właściciela ryzyka.
8. Ryzyko w obszarze ochrony danych osobowych ocenia się na podstawie:
1) prawdopodobieństwa jego wystąpienia;
2) wpływu na prawa i wolności osób, których dane są przetwarzane w ramach danego procesu przetwarzania danych osobowych;
3) istotności, o której mowa w § 14 ust. 10.
9. Oceny zidentyfikowanego ryzyka w obszarze ochrony danych osobowych, pod względem wpływu ryzyka na prawa i wolności osób, których dane są przetwarzane, dokonuje się na podstawie następujących kryteriów:
1) zagrożenia dyskryminacją;
2) zagrożenia związanego z pozbawieniem przysługujących praw i wolności osobom, których dane są przetwarzane;
3) zagrożenia stratą finansową osób, których dane są przetwarzane;
4) zagrożenia naruszenia dobrego imienia osób, których dane są przetwarzane.
10. Szczegółowe wytyczne do oszacowania wpływu wystąpienia ryzyka na prawa i wolności osób, których dane są przetwarzane zawiera instrukcja wypełniania karty oceny ryzyka, o której mowa w § 14 ust 2.
11. W obszarze ochrony danych osobowych ocenę prawdopodobieństwa wystąpienia ryzyka oraz jego istotność ocenia się w sposób określony w § 14 ust. 7, ust. 8 pkt 1-3 oraz ust. 10-11.
12. W obszarze ochrony danych osobowych w ramach reakcji na ryzyko stosuje się przepisy § 15.
13. W obszarze ochrony danych osobowych przeciwdziałanie ryzyku polega na podejmowaniu działań minimalizujących ryzyko naruszenia praw i wolności osób, których dane dotyczą lub na wycofaniu się z przetwarzania danych osobowych w ocenianym procesie przetwarzania.
Rozdział 6
Oświadczenie o stanie kontroli zarządczej w Ministerstwie
§ 19.
1. Kierujący komórkami organizacyjnymi, w terminie do dnia 15 marca każdego roku, przekazują do BKA sporządzone według wzoru określonego w rozporządzeniu Ministra Finansów z dnia 2 grudnia 2010 r. w sprawie wzoru oświadczenia o stanie kontroli zarządczej (Dz. U. poz. 1581) oświadczenie o stanie kontroli zarządczej w kierowanych komórkach organizacyjnych, zatwierdzone przez nadzorujących członków Kierownictwa.
2. Kierujący komórkami organizacyjnymi właściwymi do prowadzenia spraw związanych z nadzorem nad jednostkami podległymi lub nadzorowanymi przekazują do BKA, w terminie do dnia 31 marca każdego roku, zaopiniowane oświadczenia o stanie kontroli zarządczej jednostek podległych lub nadzorowanych, sporządzone przez te jednostki.
3. Projekt oświadczenia o stanie kontroli zarządczej za poprzedni rok jest sporządzany z uwzględnieniem w szczególności:
1) oświadczeń o stanie kontroli zarządczej komórek organizacyjnych oraz jednostek podległych lub nadzorowanych;
2) podsumowania wyników samooceny kontroli zarządczej, o którym mowa w § 11 ust. 4;
3) podsumowania analizy ryzyka, o którym mowa w § 17 ust. 2;
4) wyników audytu wewnętrznego;
5) wyników kontroli zewnętrznych i wewnętrznych.
4. BKA przekazuje do opinii Komitetowi Audytu projekt oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok.
5. BKA, po zaopiniowaniu przez Komitet Audytu projektu oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok, przekazuje do podpisu Ministra projekt tego oświadczenia, w terminie umożliwiającym jego opublikowanie w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra do dnia 30 kwietnia każdego roku.
Rozdział 7
Obowiązki jednostek podległych lub nadzorowanych w ramach kontroli zarządczej
§ 20.
1. Zobowiązuje się następujące jednostki podległe lub nadzorowane:
1) Zakład Ubezpieczeń Społecznych;
2) Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych;
3) Urząd do Spraw Kombatantów i Osób Represjonowanych;
4) Ochotnicze Hufce Pracy;
5) Centrum Partnerstwa Społecznego „Dialog” im. Andrzeja Bączkowskiego;
6) Główną Bibliotekę Pracy i Zabezpieczenia Społecznego
- do sporządzania planu działalności na rok następny i sprawozdania z jego wykonania oraz składania oświadczenia o stanie kontroli zarządczej za poprzedni rok.
2. Zobowiązuje się następujące jednostki nadzorowane:
1) Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy;
2) Instytut Pracy i Spraw Socjalnych
- do składania oświadczenia o stanie kontroli zarządczej za poprzedni rok.
3. Plan działalności jednostki i sprawozdanie z jego wykonania kierujący jednostkami, o których mowa w ust. 1, sporządzają zgodnie z zasadami oraz według wzorów określonych w rozporządzeniu Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania.
4. Kierujący jednostkami, o których mowa w ust. 1, ustalają, a następnie przekazują plan działalności jednostki do komórki organizacyjnej właściwej do prowadzenia spraw związanych z nadzorem nad jednostkami podległymi lub nadzorowanymi, w terminie 30 dni po opublikowaniu w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra planu działalności Ministra.
5. Kierujący jednostkami, o których mowa w ust. 1, sporządzają sprawozdanie z wykonania planu działalności jednostki i przekazują je do komórki organizacyjnej właściwej do prowadzenia spraw związanych z nadzorem nad jednostkami podległymi lub nadzorowanymi, w terminie do dnia 5 marca każdego roku.
6. Oświadczenie o stanie kontroli zarządczej za poprzedni rok kierujący jednostkami, o których mowa w ust. 1 i 2, sporządzają według wzoru określonego w rozporządzeniu Ministra Finansów z dnia 2 grudnia 2010 r. w sprawie wzoru oświadczenia o stanie kontroli zarządczej i przekazują Ministrowi, za pośrednictwem członka Kierownictwa zapewniającego prowadzenie spraw wynikających z nadzoru nad jednostkami podległymi lub nadzorowanymi, zgodnie z zakresem czynności członków kierownictwa, w terminie do dnia 15 marca każdego roku.
§ 21.
Składane przez kierujących jednostkami, o których mowa w § 20 ust. 1 i 2, oświadczenia o stanie kontroli zarządczej za poprzedni rok są opiniowane przez:
1) komórki organizacyjne właściwe do prowadzenia spraw związanych z nadzorem nad jednostkami podległymi lub nadzorowanymi;
2) Komitet Audytu.
§ 22.
1. Inne niż wymienione w § 20 ust. 1, dokumenty planistyczne i sprawozdawcze dotyczące zakresu działania jednostek organizacyjnych, o których mowa w tym przepisie, niezbędne do przygotowania planu działalności, sprawozdania z jego wykonania oraz oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok, są przekazywane do:
1) Departamentu Dialogu i Partnerstwa Społecznego - przez Centrum Partnerstwa Społecznego „Dialog” im. Andrzeja Bączkowskiego;
2) Departamentu Koordynacji Systemów Zabezpieczenia Społecznego - przez Zakład Ubezpieczeń Społecznych w zakresie umów międzynarodowych;
3) Departamentu Ubezpieczeń Społecznych:
a) przez Zakład Ubezpieczeń Społecznych w zakresie prawa krajowego,
b) przez Urząd do Spraw Kombatantów i Osób Represjonowanych;
4) Departamentu Rynku Pracy:
a) przez Ochotnicze Hufce Pracy,
b) przez Główną Bibliotekę Pracy i Zabezpieczenia Społecznego;
5) Biura Pełnomocnika Rządu do Spraw Osób Niepełnosprawnych - przez Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych.
2. Inne niż wymienione w § 20 ust. 2, dokumenty planistyczne i sprawozdawcze dotyczące zakresu działania jednostek organizacyjnych, o których mowa w tym przepisie, w celu wykorzystania tych dokumentów do przygotowania oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok, są przekazywane do:
1) Departamentu Prawa Pracy - przez Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy;
2) Departamentu Ekonomii Społecznej - przez Instytut Pracy i Spraw Socjalnych.
3. Dokumenty, o których mowa w ust. 1 i 2, są przekazywane przez właściwe komórki organizacyjne Ministerstwa do wiadomości BKA.
§ 23.
1. Dokumentację planistyczną i sprawozdawczą, związaną z planowaniem i realizacją wydatków inwestycyjnych o charakterze budowlanym, w tym przeprowadzaniem corocznej oceny stopnia realizacji założonych celów, przekazują do Biura Obsługi Ministerstwa, w trybie i w terminach wskazanych przez to Biuro:
1) Komenda Główna Ochotniczych Hufców Pracy;
2) Główna Biblioteka Pracy i Zabezpieczenia Społecznego;
3) Centrum Partnerstwa Społecznego „Dialog” im. Andrzeja Bączkowskiego
- w celu jej wykorzystania do przygotowania oświadczenia Ministra o stanie kontroli zarządczej za poprzedni rok w zakresie kierowanych przez niego działów administracji rządowej, o którym mowa w art. 70 ust. 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.
2. Podczas realizacji zadania, o którym mowa w ust. 1, Biuro Obsługi Ministerstwa współpracuje z komórkami właściwymi do prowadzenia spraw związanych z nadzorem nad jednostkami podległymi lub nadzorowanymi oraz DB.
§ 24.
W ramach obowiązków informacyjnych związanych z funkcjonowaniem kontroli zarządczej w działach administracji rządowej - rodzina, zabezpieczenie społeczne i praca, jednostki podległe lub nadzorowane, o których mowa w § 20 ust. 1, przekazują do BKA, w terminie do dnia 15 marca każdego roku, sporządzone za poprzedni rok:
1) wyniki procesu zarządzania ryzykiem, ze wskazaniem procedury, według której proces został przeprowadzony;
2) zbiorcze wyniki samooceny kontroli zarządczej, ze wskazaniem procedury, według której proces został przeprowadzony.
§ 25.
Jednostki podległe lub nadzorowane, o których mowa w § 20 ust. 1 i 2, przekazują do BKA, w formie i terminach wskazanych przez BKA:
1) wyniki ocen zewnętrznych, w szczególności kontroli zewnętrznych, inspekcji, audytów zewnętrznych, audytów według norm PN ISO, a także informacje o stanie wdrożenia i wykonania zaleceń pokontrolnych;
2) wyniki ocen wewnętrznych w szczególności kontroli wewnętrznych, inspekcji, przeglądów, audytów wewnętrznych według norm PN ISO;
3) wyniki audytów wewnętrznych.
§ 26.
Traci moc zarządzenie nr 3 Ministra Rodziny i Polityki Społecznej z dnia 20 stycznia 2022 r. w sprawie kontroli zarządczej w Ministerstwie Rodziny i Polityki Społecznej oraz obowiązków jednostek podległych Ministrowi Rodziny i Polityki Społecznej lub przez niego nadzorowanych w ramach kontroli zarządczej (Dz. Urz. Min. Rodz. i Pol. Społ. poz. 3 i 36).
§ 27.
Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.
MINISTER RODZINY
I POLITYKI SPOŁECZNEJ
Marlena Maląg
1) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2023 r. poz. 1273, 1407, 1429, 1641, 1693 i 1872.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00