Ііі. Управління ризиками
1. З метою управління ризиками відпрацьовуються внутрішні документи військової частини, які врегульовують питання щодо:
визначення відповідальних посадових осіб за здійснення координації управління ризиками в військовій частині;
здійснення ідентифікації ризиків в військовій частині;
визначення порядку та підходів до оцінювання ідентифікованих ризиків за ймовірністю їх виникнення та суттєвістю впливу на здатність військової частини виконувати визначені актами законодавства завдання і функції інших цілей діяльності військової частини;
обрання способів реагування на ідентифіковані та оцінені ризики (зменшення, прийняття, розділення чи уникнення);
визначення порядку інформування командира військової частини про проведену оцінку ризиків для прийняття рішення щодо вжиття заходів контролю;
встановлення періодичності здійснення перегляду ідентифікованих та оцінених ризиків для виявлення нових та таких, що зазнали змін; документування управління ризиками.
2. З метою здійснення заходів контролю відпрацьовуються внутрішні документи військової частини, які врегульовують питання щодо: встановлення процедур авторизації та підтвердження (зокрема, отримання дозволу відповідальних посадових осіб на виконання операцій шляхом візування, погодження, затвердження документів);
розмежування обов’язків між особовим складом військової частини для зниження ризиків допущення помилок чи протиправних дій та своєчасного виявлення таких дій;
здійснення контролю за доступом до матеріальних і нематеріальних ресурсів, облікових записів тощо;
забезпечення захисту інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем; визначення правил і вимог до здійснення операцій та контролю за законністю їх виконання;
проведення звірок облікових даних з фактичними;
проведення оцінки загальних результатів діяльності військової частини;
здійснення систематичного перегляду роботи кожного військовослужбовця та працівника військової частини для визначення якості виконання поставлених завдань;
організації контролю за виконанням документів.
3. Ідентифікація ризиків полягає у процесі визначення дії або події, настання якої матиме неминучий негативний вплив на здатність військової частини виконувати завдання і функції, та досягати визначеної мети, та інших цілей діяльності військової частини та класифікації за категоріями і видами.
3.1 Порядок здійснення ідентифікації ризиків у військовій частині та його структурних підрозділах.
Процес ідентифікації ризиків в військовій частині та його структурних підрозділах є безперервним та полягає у постійному моніторингу посадовими особами військової частини процесів та операцій на предмет виявлення ризику.
У разі ідентифікації (нового) ризику, посадова особа військової частини зобов’язана про це негайно повідомити комісію з оцінки ризиків військової частини та менеджера внутрішнього контролю військової частини.
Комісія з оцінки ризиків військової частини спільно з менеджером з внутрішнього контролю військової частини проводить оцінку ризику, та пропонують заходи контролю. У разі виявлення необхідності внесення змін до внутрішніх документів, менеджер внутрішнього контролю військової частини доповідає командиру військової частини та організовує відповідну роботу.
3.2 За категоріями ризики ідентифіковані у військовій частині поділяються на:
зовнішні – ризики, ймовірність виникнення яких не пов’язана з діяльністю військовослужбовців та працівників військової частини;
внутрішні – ризики, ймовірність виникнення яких безпосередньо пов’язана з дією або бездіяльністю військовослужбовців та працівників військової частини.
3.3 За видами ризики ідентифіковані у військовій частині поділяються на:
кадрові – ризики, пов’язані з професійною підготовкою службовців, якістю виконанням ними посадових інструкцій, у тому числі пов’язаних із зниженням вмотивованості, станом їхнього здоров’я;
корупційні – це сукупність правових, організаційних та інших факторів і причин, які породжують, заохочують (стимулюють) осіб до скоєння корупційних правопорушень під час виконання ними функцій держави;
нормативно-правові – це ризики, що виникають у зв’язку з відсутністю, суперечністю або нечіткою регламентацією у законодавстві виконання функцій та завдань;
операційно-технологічні – ризики, пов’язані з порушенням визначеного порядку виконання функцій та завдань;
програмно-технічні – ризики, ймовірність виникнення яких пов’язана із неналежною роботою або відсутністю необхідних технічних засобів, прикладного програмного забезпечення та змін до нього відповідно до чинних нормативно-правових актів;
ризики інформаційної безпеки – ризики, пов’язанні з впливом на інформаційні системи, які використовуються військовою частиною, наслідком яких є порушення конфіденційності, цілісності, автентичності або доступності інформаційних ресурсів;
репутаційні – дії або події, які можуть негативно вплинути на репутацію військової частини чи його командування;
фінансові – ризики, пов’язані з ймовірністю втрат фінансових ресурсів (грошових коштів);
фінансово-господарські – ризики, пов’язані з неналежним ресурсним, матеріальним забезпеченням тощо.
3.4 За ймовірністю виникнення ризики оцінюються за критеріями:
дуже висока – 100-відсоткова ймовірність події або її регулярне настання протягом останнього року (числовий показник 5);
висока – 75-відсоткова ймовірність або настання події 1 – 2 рази за останній рік (числовий показник 4);
середня – 50-відсоткова ймовірність або настання події 1 – 2 рази за останні 2 роки (числовий показник 3);
низька – 25-відсоткова ймовірність або настання події 1 – 2 рази за останні 5 років (числовий показник 2);
дуже низька – практично відсутня ймовірність настання події (числовий показник 1).
3.5 За впливом на здатність військової частини досягати визначених цілей, ризики оцінюються за рівнями впливу:
катастрофічні – це ризики, вплив яких є особливо тяжким на досягнення військовою частиною визначених цілей та можуть привести до подій, що мають наслідком:
втрату ресурсів на суму 50 000 грн. та більше; великі репутаційні втрати (тривала недоброзичлива увага з боку ЗМІ);
повну зупинку функціонування на довгий час;
людські жертви, серйозну інвалідність або смертельну загрозу здоров’ю людей;
припинення проведення платежів (числовий показник 5);
суттєві – це ризики, вплив яких є тяжким (суттєвим) на досягнення військової частини визначених цілей та можуть привести до подій, що мають наслідком: втрату ресурсів на суму 50 000 грн. та більше;
репутаційні втрати (тривала недоброзичлива увага з боку загальнодержавних ЗМІ);
масштабних збоїв функціонування військової частини;
серйозну інвалідність або смертельну загрозу здоров’ю людей;
важке правопорушення з серйозними наслідками (суттєвим штрафом); припинення проведення платежів (числовий показник 4);
помірні – це ризики, вплив яких є середньої тяжкості на досягнення військовою частиною визначених цілей, що мають наслідком:
втрату ресурсів на суму приблизно рівну 50 000 грн.;
репутаційні втрати (тривала недоброзичлива увага з боку місцевих ЗМІ);
суттєві проблеми в окремих напрямках функціонування організації; травмування людей з тимчасовою втратою працездатності або непоправимою шкодою здоров’ю;
порушення законодавства, що карається притягненням до адміністративної відповідальності (числовий показник 3);
низькі – це ризики, вплив яких є невеликої тяжкості на досягнення військовою частиною визначених цілей, що мають наслідком:
втрату ресурсів на суму до 50 000 грн.;
репутаційні втрати (втрата репутації заступника командира військової частини);
незначні проблеми в окремих напрямках функціонування військової частини;
легкі травми, незначна шкода здоров’ю або обмеження працездатності людей; порушення законодавства, що потребує відшкодування збитків (числовий показник 2);
дуже низькі – це ризики, вплив яких є мінімальним на досягнення військовою частиною визначених цілей, що мають наслідком:
втрату ресурсів на суму до 10 000 грн.;
репутаційні втрати (втрата репутації окремих посадових осіб військової частини);
незначні проблеми в окремих структурних підрозділах організації; легкі травми (ліквідуються засобами першої допомоги);
порушення, що призводять до дисциплінарної відповідальності (числовий показник 1) .
3.6 Формування: Бази даних з управління ризиками, Реєстру ризиків та Плану управління ризиками при запровадженні системи внутрішнього контролю.
3.6.1 Начальники відділів, відділень, служб та командири структурних підрозділів військової частини, у термін визначений наказом командира військової частини, подають голові комісії з оцінки ризиків військової частини перелік ідентифікованих ризиків у процесах які протікають (виникають) в їх підпорядкованих структурних підрозділах.
3.6.2 Комісія з оцінки ризиків військової частини в п’ятнадцятиденний строк опрацьовує отримані переліки ідентифікованих ризиків, формує Базу даних з управління ризиками та передає її менеджеру з внутрішнього контролю військової частини. Підтримання актуальності Бази даних з управління ризиками військової частини покладається на голову комісії з оцінки ризиків.
3.6.3 Менеджер з внутрішнього контролю військової частини спільно з комісією з оцінки ризиків в десятиденний строк, на підставі отриманої інформації формує Реєстр ризиків та План управління ризиками на відповідний рік. До Реєстру ризиків вносяться ризики загальний числовий показник якого складає: для зовнішнього ризику 5, для внутрішнього ризику 6. Ризики числовий показник яких для зовнішнього ризику менше 5 та для внутрішнього ризику менше 6 до реєстру ризиків не вносяться, такі ризики вважаються прийнятими.
3.6.4 До Плану управління ризиками військової частини включаються найбільш суттєві ризики, які мають визначальний вплив на досягнення цілей та ефективне управління ресурсами військової частини. До Плану управління ризиками військової частини включається, як правило, не більше 7 ризиків на рік, управління якими безпосередньо здійснює командир військової частини.
3.6.5 Управління ризиками, які не внесені до Плану управління ризиками військової частини на відповідний рік, здійснюється начальниками відділів, відділень, служб та командирами структурних підрозділів на підставі витягів (копій) з Реєстру ризиків військової частини, доведених до них в частині, що їх стосується.
4. Реагування на ідентифіковані та оцінені ризики.
Визначення способів реагування на ідентифіковані та оцінені ризики полягає у прийняті командиром військової частини правових управлінських рішень щодо зменшення, розділення, уникнення чи прийняття ризику.
Рішення стосовно реагування на ризики приймається за пропозиціями Менеджера внутрішнього контролю (проект плану управління ризиками) з врахуванням пропозицій Комісії з оцінки ризиків (база даних управління ризиками). Пропозиції Менеджера та Комісії є дорадчими.
Зменшення ризику означає вжиття заходів, які сприяють зменшенню ймовірності виникнення ризику та/або його впливу.
Розподіл (передача) ризику означає перенесення або розподіл частини ризику.
Уникнення ризику означає призупинення (припинення) діяльності (процесу, операції), яка призводить до підвищення ризику.
Прийняття ризику означає, що жодних дій до нього не застосовується зазначений ризик до Плану управління ризиками не вноситься.
Такий спосіб реагування використовується у випадках якщо числове значення зовнішнього ризику за інтегральним показником до вжиття заходів реагування становить менше 6, а внутрішнього менше 5.
Під час прийняття рішення щодо способу реагування на ризик беруться до уваги витрати, пов’язані з реагуванням на ризик, порівняно з отриманою вигодою від його зменшення; чи не створює обраний спосіб реагування на ризик додаткових ризиків.
4.1 У разі ідентифікації ризику, загальний числовий показник якого складає більше 15, в процесі який передбачає витрачання бюджетних коштів за договорами (додатковими угодами до них), проекти зазначених договорів (додаткових угод) підлягають направленню встановленим порядком для проведення операційного аудиту.
5. Інформування командира військової частини про проведену оцінку ризиків для прийняття рішення щодо вжиття заходів контролю здійснюється шляхом подання на затвердження проекту Плану управління ризиками та/або змін до нього.
5.1 План управління ризиками та зміни до нього розробляється Менеджером внутрішнього контролю на підставі затвердженого командиром військової частини Реєстру ризиків.
5.2 Затверджений план управління ризиками військової частини реєструється у відділенні персоналу та стройовому і зберігається у Менеджера внутрішнього контролю.