BUDAPESTI GAZDASÁGI EGYETEM INTEGRÁLT KOCKÁZATKEZELÉSI SZABÁLYZATA. Budapest 2014 (2018. június 30. napjától hatályos változat)

Átírás

1 BUDAPESTI GAZDASÁGI EGYETEM INTEGRÁLT KOCKÁZATKEZELÉSI SZABÁLYZATA Budapest 2014 (2018. június 30. napjától hatályos változat)

2 A Budapesti Gazdasági Egyetem (továbbiakban: Egyetem, BGE, Intézmény) Szenátusa az államháztartásról szóló évi CXCV. törvény (a továbbiakban: Áht.), az államháztartásról szóló törvény végrehajtásáról szóló 368/2011. (XII. 31.) Korm. rendelet (a továbbiakban: Ávr.) államháztartás pénzeszközeivel és a nemzeti vagyonnal történő szabályszerű, gazdaságos, hatékony és eredményes gazdálkodás biztosítására, valamint a költségvetési szervek belső kontrollrendszeréről és belső ellenőrzéséről szóló 370/2011. (XII. 31.) Korm. rendelet (a továbbiakban: Bkr.) 7. -ban foglalt integrált kockázatkezelési rendszer működtetésére vonatkozó elvárása alapján, illeszkedve az Intézmény által működtett ISO 9001:2015 szabvány szerinti minőségirányítási rendszer követelményeihez, az Egyetem integrált kockázatkezelési eljárásrendjét az alábbiak szerint határozza meg. 1 2 I. FEJEZET ÁLTALÁNOS RÉSZ A BELSŐ KONTROLLRENDSZER FOGALMA, KIALAKÍTÁSA, MŰKÖDTETÉSE A SZABÁLYZAT CÉLJA 1. (1) 3 Az államháztartás belső kontrollrendszere a költségvetési szervek belső kontrollrendszere - beleértve a belső ellenőrzést 4 - keretében valósul meg. (2) 5 A belső kontrollrendszer a kockázatok kezelése és tárgyilagos bizonyosság megszerzése érdekében kialakított folyamatrendszer. Tartalmazza mindazon elveket, eljárásokat és belső szabályzatokat, melyek biztosítják, hogy megvalósuljanak a következő célok: 6 a) a működés és gazdálkodás során a tevékenységeket szabályszerűen, szabályozottan, gazdaságosan, hatékonyan, eredményesen hajtsák végre, b) az elszámolási kötelezettségeket teljesítsék, megfelelő, pontos és naprakész információk álljanak rendelkezésre a működéssel kapcsolatosan, 7 c) megvédjék az erőforrásokat a veszteségektől, károktól és a nem rendeltetésszerű használattól. 2. (1) A belső kontrollrendszer létrehozásáért, működtetéséért és fejlesztéséért az Egyetemen a kancellár 8 a felelős az államháztartásért felelős miniszter által közzétett módszertani útmutatók figyelembevételével Áht. 61. (4) bekezdés 4 5 Áht. 69. (1) bekezdés Ld. 370/2011. (XII. 31.) Korm. rendelet 54/B. 2

3 (2) 9 A kancellár 10 felelős a belső kontrollrendszer keretében a szervezet minden szintjén érvényesülő megfelelő a) kontrollkörnyezet, b) integrált 11 kockázatkezelési rendszer, 12 c) kontrolltevékenységek, d) információs és kommunikációs rendszer, és e) nyomon követési rendszer (monitoring) kialakításáért, működtetéséért és fejlesztéséért. 3. (1) A szabályzat célja a 2. (2) bekezdés b) pontjában foglaltak végrehajtása érdekében az Egyetem integrált kockázatkezelési eljárásának szabályozása, amely az intézmény tevékenységében rejlő és szervezeti célokkal összefüggő kockázatok felmérésére, megállapítására, meghatározására, azok értékelésére, a kockázatokra adott válaszreakciókra és a kockázatok felülvizsgálatára vonatkozó rendelkezéseket foglalja magában. 13 (2) A kockázatkezelés rendjének kialakítása során meg kell határozni az egyes kockázatokkal kapcsolatban szükséges intézkedéseket, amelyek csökkentik, áthárítják vagy megszüntetik a kockázatokat, továbbá az intézkedésteljesítés folyamatos nyomon követésének módját. 14 A szabályzat hatálya (1) A szabályzat személyi hatálya kiterjed az Egyetem valamennyi munkatársára. (2) A szabályzat tárgyi hatálya kiterjed az Egyetem integrált kockázatkezelési rendszer tevékenységeire és eljárásaira. AZ integrált kockázatkezelés és az integrált kockázatkezelési rendszer fogalma (1) A kockázatkezelés, mint módszer a vezetés gyakorlati eszköze, a tervezés és döntéshozatal, a végrehajtás alapvető része. A kockázatelemzés és kockázatkezelés elsősorban a szervezet feladatellátását támogató belső folyamat, és nem az Egyetemen kívüli szervezetek, hatóságok igényeit szolgálja. (2) A vezetőknek külön figyelmet kell fordítani arra, hogy a kockázatelemzést minden folyamatba beépítsék, és a szervezet minden tagja megértse a kockázatkezelés értékét. (3) Az Egyetem minden szervezetének, szervezeti egységének felelőssége a tevékenységhez kapcsolódó kockázatok azonosítása (felmérés), értékelése (hatás és valószínűség) és az értékelés eredményétől függő hatékony kockázatkezelés. (4) Az integrált kockázatkezelés révén az Egyetem csökkentheti a negatív kockázatok hatását, illetve megelőzheti a feltárt káros kockázatok bekövetkezését. 9 Ld. 370/2011. (XII. 31.) Korm. rendelet /2016. ((VII. 13.) Korm. rendelet 2. (1)

4 (5) A kockázatok kezelése egyaránt alapul szolgál a minőségirányítási rendszer eredményességének növeléséhez, a jobb eredmények eléréséhez és a negatív hatások megelőzéséhez (1) 18 Integrált kockázatkezelési rendszer: olyan folyamatalapú kockázatkezelési rendszer, amely a szervezet minden tevékenységére kiterjed, egységes módszertan és eljárások alkalmazásával, a szervezet célkitűzéseinek és értékeinek figyelembevételével biztosítja a szervezet kockázatainak (ideértve az integritási vagy korrupciós kockázatokat is) teljes körű azonosítását, azok meghatározott kritériumok szerinti értékelését, valamint a kockázatok kezelésére vonatkozó intézkedési terv elkészítését és az abban foglaltak nyomon követését. (2) Az integrált 19 kockázatkezelési rendszer működtetése során fel kell mérni és meg kell állapítani az Egyetem tevékenységébenrejlő és szervezeti célokkal összefüggő kockázatokat, valamint meg kell határozni az egyes kockázatokkal kapcsolatban szükséges intézkedéseket, valamint azok teljesítésének folyamatos nyomon követési módját. (3) A kancellár az integrált kockázatkezelési rendszer koordinálására szervezeti felelőst 20 jelöl ki. Ez a felelős az Egyetemen a Jogi igazgató. A BGE folyamataiért a 14. (2) bekezdésben meghatározottak szerinti folyamatgazdáknak együtt kell működniük az integrált kockázatkezelési rendszer koordinálására kijelölt szervezeti felelőssel. A kockázat fogalma, típusai 7. (1) Kockázat szűkebb értelemben: tevékenység, gazdálkodás tekintetében mindazon elemek felmerülésének és események bekövetkezésének valószínűsége, vagy veszélye, amelyek hátrányosan érinthetik, negatívan befolyásolhatják az Egyetem működését. 21 (2) A kockázat tágabb értelemben valamilyen esemény, tevékenység, vagy annak elmulasztása, amelyek bekövetkezése általában negatív, de egyes esetekben pozitív hatással lehet az Intézmény által kitűzött célok elérésére. A kockázat lehet a) véletlenszerű esemény, b) hiányos ismeret vagy információ, c) ellenőrzés hiánya, illetve gyengesége. 8. A kockázatkezelés során a kockázatok az alábbi minőségben értelmezhetőek: 22 a) eredendő kockázat: a folyamatokban rejlő összes kockázat 23, a feladatkörrel, működéssel kapcsolatos olyan sajátosság, ami hibák előfordulásához vezethet, azaz szabálytalanságok vagy a megvalósítás során fellépő hibák előfordulásának kockázata. b) kontroll kockázat: az e hibákat, vagy szabálytalanságokat meg nem előző, vagy fel nem táró, folyamatba be nem épített ellenőrzési eljárásokból fakadó kockázat. A belső kontrollrendszer a nem megfelelő kialakítás és működtetés miatt, saját hibájából adódóan nem képes feltárni, megelőzni a hibákat, szabálytalanságokat. 17 MSZ EN ISO 9001:2015 szabvány Kockázatalapú gondolkodásmód követelménypontja 18 Ld. 370/2011. (XII. 31.) Korm. rendelet 2. m) pontját /2011. korm. rendelet 7. (2) /2011. (XII.31.) korm. rendelet 7. (4) (5)

5 c) maradvány kockázat: a kockázat csökkentésére tett intézkedések után még fennálló kockázat. 9. A kockázat forrását tekintve: a) külső tényezők (pl.: környezeti kockázat), 24 b) belső tényezők, az Egyetem saját tevékenysége vagy annak hiánya hatására kialakuló kockázat. 10. A külső kockázati tényező jellemzően független az Egyetem működésétől. Bár nincs rá közvetlen befolyása, de bekövetkezésére a vezetés képes felkészülni, a hatásokat mérsékelni. Ilyen tényezők különösen: a) makrogazdasági és pénzügyi változások, b) piaci versenyhelyzet alakulása (más felsőoktatási intézmények tevékenységének hatása lehet a potenciális hallgatói létszámra), 25 c) felsőoktatási politika irányváltása (állami finanszírozás változása, hallgatói létszámkeretek módosítása befolyásolhatja a jelentkezők létszámát, összetételét), d) jogszabályok módosulásai (a jogszabályok és egyéb szabályok korlátozhatják a kívánt tevékenységek terjedelmét; a szabályozások nem megfelelő megkötéseket tartalmazhatnak), e) elemi csapások (tűz, árvíz, vagy egyéb elemi csapások hatással lehetnek a tevékenység elvégzésének képességére), (1) A belső működési kockázatok az Egyetem működésére, folyamataira ható tényezők, így elsősorban kockázatok. a) pénzügyi, b) működési, illetve c) emberi erőforrást érintő, d) megfelelőségi, e) informatikai, f) biztonsági, g) integritási, (2) Pénzügyi kockázatot jelenthet: a) a költségvetés nagyságrendjének, szerkezetének módosulásai (a kívánt tevékenység(ek) ellátására nem elég a rendelkezésre álló forrás), b) a bevételi, kiadási előirányzatok változásai (a forrásösszetétel változása, a tervezett bevételi előirányzatok alulteljesítése, amennyiben az állandó költségek megfelelő módon nem csökkenthetők), c) a vagyonvédelemi rendszer(ek) nem megfelelő fenntartása, d) a biztosítás(ok) mellőzése, (a biztosítás elmulasztása, vagy a biztosítási kondíciók kedvezőetlen megfizethetetlen alakulása) e) nem megfelelő forrásfelhasználás,

6 f) nem megfelelő belső kontrollrendszer g) nem megfelelő infrastruktúra biztosítása (fejlesztés, fenntartás). 27 (3) Működési kockázatot jelent, ha: a) a stratégia kevés, vagy pontatlan információ alapján kerül meghatározásra, b) a munkavégzést nem egyértelmű szabályzatokkal, folyamatleírásokkal szabályozzák, c) nem biztosítják a feladatellátáshoz szükséges infrastrukturális erőforrásokat, d) nem fejlesztik folyamatosan az alaptevékenységre vonatkozó, illetve az igazgatási, ügyviteli eljárásokat, 28 e) átadható kockázatok megtartása, vagy rossz átadása, f) nem hoznak létre és nem működtetnek megfelelő színvonalú információs hálózatot, g) új feladatok, eljárásrendek bevezetésekor nem készítenek kockázatelemzést, hatástanulmányt. (4) Emberi erőforrás kockázatot jelent, ha: a) nem biztosított a feladatellátáshoz szükséges létszámú, megfelelő kompetenciával rendelkező személyi állomány, b) nem rendelkeznek megfelelő szaktudással/végzettséggel, szakmai és/vagy vezetői gyakorlattal, c) nem megfelelő a kapcsolat a hallgatókkal, külső szervekkel és szervezetekkel, valamint a szervezeten belül, a munkatársakkal, 29 d) nem tűznek ki világos célokat, elvárásokat, e) a hatáskörök, jogok, kötelezettségek nincsenek világosan, egyértelműen megfogalmazva, f) a feladat átadás nem szabályozott, g) nem megfelelőek a munkakörülmények, h) magas a fluktuáció, i) nem megfelelő hatékonyságú munkavégzés. 30 (5) Megfelelőségi kockázatot jelent, ha 31 a) a szerződéses követelmények megszegése bármely fél részéről, b) az Egyetem nem a vonatkozó jogi és egyéb követelményeknek megfelelően működik, c) az Egyetem a vonatkozó jogi és egyéb követelményekben meghatározott szabályzatait nem készíti el. (6) Informatikai kockázatot jelent, ha 32 a) az Egyetem által meghatározott Informatikai biztonsági szabályzatban meghatározott követelmények nem teljesülnek

7 (7) Biztonsági kockázatot jelent, ha 33 a) az egyetemi Munkavédelmi Szabályzatban meghatározott követelmények nem teljesülnek, b) az egyetemi Tűzvédelmi Szabályzatban meghatározott követelmények nem teljesülnek, c) az egyetemi Adatvédelmi, adatkezelési, valamint a közérdekű adatok közzétételéről és a közérdekű adatok megismerésére irányuló kérelmek intézéséről szóló szabályzatában meghatározott követelmények nem teljesülnek, d) az egyetemi Rendészeti és vagyonvédelmi szabályzatban meghatározott követelmények nem teljesülnek, e) az egyetemi Katasztrófavédelmi és polgári védelmi szabályzatban meghatározott követelmények nem teljesülnek. (8) Integritási kockázatot jelent, ha 34 a) a dolgozó magatartása, viselkedése adott helyen és időben nem illeszkedik az Egyetem által kinyilvánított értékekhez és elvekhez, b) az Egyetem nem a rá vonatkozó szabályokban, valamint nem az irányító szerve (tulajdonosa) és nem az Intézmény vezetői által meghatározott értékeknek és elveknek megfelelően működik, c) az Egyetemnek külső egyénekkel vagy szervezetekkel való együttműködése során felmerülő valós, vagy vélt lehetőségek, amelyek az együttműködő fél számára jogosulatlan előnyöket jelenthetnek, az Intézmény vagy tágabb értelemben a közszféra számára pedig valamilyen kárt okozhatnak. II. FEJEZET A KOCKÁZATKEZELÉS A kockázatkezelő, a kockázatkezelés eszköze 12. (1) A kockázat azonosítással a megfelelő válaszlépések kialakíthatóak, így a kockázatok mérsékelhetőek. (2) A költségvetési évre szóló munkaterv (célkitűzések) végrehajtását megakadályozó tényezők, kockázatok azonosítását követően a kockázatok kiküszöbölésére vonatkozó intézkedés meghatározása szükséges. 35 (3) A meghatározott intézkedés kockázatkezelésre gyakorolt hatását is szükséges felmérni, a felmérés eredményét szükséges összevetni az adott művelettel, tevékenységgel kapcsolatos eredetileg tervezett végeredménnyel

8 (4) A kiemelten nagy kockázatú tevékenységek esetében az Egyetem kancellárja 37 intézkedik a legmagasabb kockázatú terület/tevékenység ellenőrzéséről (preventív ellenőrzés), folyamatos jelentést, beszámolót kér vagy helyszíni vizsgálatot tart. (5) A hatékony folyamatba épített ellenőrzés is egy eszköz a kockázatok kezelésére. A folyamatba épített ellenőrzés hatékonyságát támogatja az ellenőrzési nyomvonal kialakítása. Az ellenőrzési nyomvonal kiépítése alapján lehet a megfelelő kockázatelemzési tevékenységet ellátni. A kockázatkezelési hatókör 13. (1) 38 Az Egyetem kockázatkezelési folyamatában a kockázati tényezők, elemek azonosítása, a kockázatok bekövetkezésének valószínűsítése, a kockázati hatás mérése és lehetőség szerint minél nagyobb arányú semlegesítése a Rektori Tanács felelőssége mellett valamennyi szervezeti egység vezetőjének kötelessége. 39 (2) A kancellár 40 a vezetőkkel elkészítteti az Egyetem, illetve a vezetőt érintő terület célkitűzéseinek végrehajtását akadályozó kockázatok azonosítását, értékelését, továbbá a kezelésre vonatkozó javaslatokat. (3) A kancellár 41 felméri, illetve felméretteti, mi jelenthet kockázatot az adott területen, mekkora mértékű kockázattal, illetve kockázati hatással lehet számolni, és a meghatározott kockázati nagyság alapján milyen intézkedéseket szükséges elvégezni. (4) A kancellár 42, mint kockázatkezelésért felelős személy, tevékenységében támaszkodik a belső ellenőrzés tanácsadó tevékenysége során megfogalmazott fejlesztési 43 javaslataira, ajánlásaira. A végrehajtás szabályai 14. (1) Az Egyetem alapvető érdeke, hogy teljesítse a kitűzött célokat. Az Egyetem a stratégiai, közép- és rövidtávú célok elérése érdekében végzett tevékenység során különböző kockázatokkal szembesül, amelyeket kezelnie kell. A vezetés feladata, hogy a célkitűzések elérését lényegesen befolyásoló kockázatokra válaszolni tudjon oly módon, hogy lehetőség szerint minél nagyobb mértékben csökkentse a veszélyeztető tényezők bekövetkezésének esélyét, illetve lehetséges hatását. (2) 44 A kockázat-felmérési, kezelési rendszer működését az Egyetemen a kancellár irányításával, az oktatási és kutatási terület esetében a rektorhelyettesek koordinálják a rektorral együttműködve, a tevékenységet az oktatási rektorhelyettes, a tudományos rektorhelyettes, a dékánok valamint az akadémiai szervezeti egységek vezetői végzik, míg a kancellár alá tartozó területek esetében a

9 tevékenységet az oktatási igazgató, a jogi igazgató és a gazdasági igazgató, valamint a kancellári szervezeti egységvezetők végzik. A felmérések eredményét a Jogi Igazgatóság gyűjti össze. 45 (3) A szervezeti egységek vezetőinek feladata az irányításuk alá tartozó területen a kockázati tényezők, elemek azonosítása, a kockázatok bekövetkezésének valószínűsítése, a kockázati hatás mérése/becslése. (4) A kockázatok dokumentált feltárása és értékelése, kezelése legalább éves gyakorisággal végrehajtandó tevékenység. A külső, vagy belső környezet jelentős változása esetén a kockázatfelmérés bármely időpontban elvégezhető. 46 (5) A kockázatvizsgálat kiterjed a szenátusi ülésekre, rektori, dékáni értekezletekre is, ahol az egyes stratégiai és egyéb az Egyetemet érintő döntések várható kockázatának azonosítása, felmérése történik. A kockázatkezelés folyamata 15. A kockázatkezelés állandó folyamat, amely a következő lépéseket tartalmazza: 1. kockázatok felmérése, 2. kockázatok azonosítása, 3. kockázat értékelése, 4. elfogadható kockázati szint kockázati tűréshatár meghatározása, 5. kockázati térkép felülvizsgálata a kockázatkezelési munkacsoport által, 6. kockázatokra adható lehetséges reakciók, kockázatkezelő javaslatok alapján döntés a kockázat kezeléséről, kockázatokra adott válaszreakciók, 7. válaszintézkedések beépítése, 8. nyomon követés, a kockázatok felülvizsgálata. A kockázatok felmérése, azonosítása (kockázati térkép) (1) A kockázatfelmérés célja a kockázatok meghatározása és a kockázat értékének megállapítása annak alapján, hogy mekkora az egyes kockázatok bekövetkezési valószínűsége és azok milyen hatással lehetnek az Intézmény működésére, ha valóban felmerülnek. (2) A kockázatkezelési rendszer hatékonysága érdekében az Egyetem minden vezetőjének évente meg kell határoznia, illetve felül kell vizsgálnia a tevékenységek kockázatait, a külső, illetve a belső tényezők figyelembevételével. (3) A kockázat meghatározásának jelen esetben alkalmazott módszere, az egyes kockázati értékek megállapítása, a bekövetkezési valószínűség és a felmerüléskor a szervezetre gyakorolt hatás alapján. A kockázatok felmérésének sikeressége döntőmértékben a rendelkezésre álló információtól függ

10 17. (1) A kockázatok azonosításának célja annak megállapítása, hogy melyek az Egyetem célkitűzését (pl. Intézményfejlesztési Tervben meghatározott) veszélyeztető fő kockázatok. 48 (2) A kockázat beazonosításának folyamatához elengedhetetlen a célkitűzések alapos ismerete, kezdve a legmagasabb célokkal, lefelé egészen a napi működés céljainak szintjéig. Az azonosítás meghatározó eleme a tevékenység jellege (pl. tárgyi eszköz beszerzés, új szak, vagy tanfolyam indítása.) A kockázatokat ezen ismeretek alapján lehet felismerni, azonosítani, illetve az egyes kategóriák mentén csoportosítani. (3) A kockázatok azonosítása során, az elmúlt időszak kockázatkezelésében meghatározott intézkedések eredményességét is szükséges figyelembe venni. 49 (4) Az Egyetemen alkalmazott külső, illetve belső kockázati kategóriákat az 1. és 2. számú melléklet tartalmazza azzal a kitétellel, hogy a kategóriákhoz tartozóan felsorolt kockázatok nem taxatívak, azok időről időre változhatnak, bővülhetnek, kikerülhetnek a felsorolásból. 50 A kockázatok értékelése 18. (1) A kockázatok értékelésének célja annak megállapítása, hogy a beazonosított kockázatok milyen mértékben befolyásolják az Egyetem fő célkitűzéseit. Az értékelés során meg kell határozni a feltárt kockázati tényezők bekövetkezésének valószínűségét (1-9 érték), illetve az Egyetemre gyakorolt hatását (1-9 érték), így az értékelés alapján meghatározható az adott kockázati érték a bekövetkezési valószínűség és a gyakorolt hatás értékének szorzata alapján 51 (2) Az azonosított kockázatok értékelése kockázati mátrix segítségével történik. 52 Szervezetre gyakorolt hatás magas (7-9 érték) közepes (4-6 érték) alacsony (1-3 érték) közepes közepes magas közepes közepes közepes alacsony közepes közepes alacsony (1-3 érték) közepes (4-6 érték) magas (7-9 érték) Bekövetkezés valószínűsége (3) A kockázatot a fenti kockázati mátrix értékei alapján számszerűsítjük, a bekövetkezés valószínűségi értékének és a szervezetre gyakorolt hatás értékének szorzataként. A kockázatok

11 feltérképezését, meghatározását, illetve a kapcsolódó intézkedések nyilvántartását a 3. sz. melléklet szerinti táblázatban összesítjük. 53 (4) A kockázati érték meghatározásánál figyelembe kell venni az Egyetem adott kockázattal szembeni tűrőképességét, ehhez meg kell határozni az elfogadható kockázati szintet. 54 Az elfogadható kockázati szint - kockázati tűréshatár meghatározása (1) A kockázati tűréshatár a kockázati kitettségnek azt a szintjét jelenti, ami felett az Egyetem mindenképpen válaszintézkedéseket tesz a felmerülő kockázatra, alatta viszont a viszonylag alacsony hatás, vagy a kiküszöbölés elérhető eredményhez képest magas költsége miatt tudomásul veszi létezését, és együtt él vele. (2) A kockázati tűréshatár értékének meghatározása a kockázati mátrixban szereplő értékek alapján történik, figyelembe véve a bekövetkezés valószínűségének, illetve a szervezetre gyakorolt hatásának bekövetkezési értékeit. A kockázati értékelés, a kockázati tűréshatár a 49 érték, azaz a 49 vagy afeletti értékek esetében az adott tevékenység kockázata kiemelkedően magas, így arra mindenképp intézkedési terv szükséges. A 9-49 értékek közötti esemény között is szerepelhet (vagy a hatás, vagy a valószínűség jelentősége folytán) kiemelten kezelendő eset, a többi jellemzően folyamatba épített kontroll tevékenységgel kezelendő / kezelhető. (3) 56 A kockázattűrő képesség meghatározása szubjektív, mindig az adott körülményektől függ. A kiemelkedően magas kockázati értéket kapott tényezők felülvizsgálata a kancellár hatásköre, akadémiai területet érintő esetben a rektor előzetes véleményezése mellett. Kockázati térkép felülvizsgálata a kockázatkezelési munkacsoport által (1) A 15. -ban meghatározott kockázatkezelési folyamat 1-6 lépéseinek eredményeképpen meghatározott intézményi kockázati térkép felülvizsgálatát a kockázatkezelési munkacsoport végzi. (2) Kockázatkezelési munkacsoport tagjai: Igazgatási Főosztály vezetője (munkacsoport koordinátora, folyamatgazdák vagy a folyamatgazdák képviselői, a belső ellenőrzés csak megfigyelőként vehet részt a kockázatkezelés folyamatában kivéve, amikor a belső ellenőrzési folyamat folyamatgazdájaként jár el. (3) Kockázatkezelési munkacsoport feladatai: előkészíti a kockázatok felmérését, az intézményi felmérés alapján meghatározott kockázati térképben azonosított kockázatok csoportosítása és rendszerezése, a rendszerezett kockázatok alapján a magas kockázati tényezők véglegesítése;

12 a kockázatkezelési intézkedési terv elkészítése, és előterjesztése a Rektori Tanács általi jóváhagyáshoz. A kockázatokra adott válaszreakciók 21. (1) A kockázatok értékelése alapján, a kockázati tűréshatár figyelembevételével válaszreakciókat kell meghatározni. 58 (2) A kockázatokra adott válaszintézkedések lehetnek: 59 a) a kockázati tűréshatár alatt a kockázat elviselése (nincs szükség külön beavatkozásra az alacsony valószínűség, a csekély mértékű hatás miatt; vagy a válaszintézkedés aránytalanul magas költséget jelent), b) kockázati tűréshatár felett a kockázat kezelése (célja a kockázatok elfogadható szintre való csökkentése; a hatékony folyamatba épített ellenőrzés a legjobb eszköz a kockázatok kezelésére), c) kockázati tűréshatár felett a tevékenység befejezése. Válaszintézkedések beépítése 22. (1) A kockázatok kezelése kontroll tevékenységeken keresztül valósítható meg, melyek a következők lehetnek: a) megelőző (preventív) kontroll, b) korrekciós (korrektív) kontroll, c) iránymutató (direktív) kontroll, és d) felderítő (detektív) kontroll. (2) A megelőző (preventív) kontroll korlátozza a nem kívánt követelménnyel járó kockázat bekövetkezésének lehetőségét (pl. feladatok szétválasztása, egyes feladatok ellátására csak meghatározott személyek kapnak felhatalmazást). (3) A korrekciós (korrektív) kontroll a realizálódott, nem kívánt kockázat következményeit korrigálja, úgy, hogy kisegítő megoldást nyújt a kár vagy veszteség csökkentésére (pl. olyan szerződési feltételek kikötése, mellyel kivédik az Egyetem esetleges veszteségét). (4) Az iránymutató (direktív) kontroll egy bizonyos, kívánt követelmény elérését biztosítja; általában egy tevékenység vagy tevékenységcsoport konkrét lépéseit, időbeli ütemezését tartalmazza (ilyenek az eljárásrendek, előírások, vezetői utasítások). (5) Felderítő (detektív) kontroll azt a célt szolgálja, hogy fényt derítsen olyan esetekre, amikor nem kívánt események következnek be. Mivel csak az esemény bekövetkezése után fejti ki hatását, ezért csak abban az esetben használható, amennyiben lehetőség van a kár, vagy veszteség elfogadására (pl. készletellenőrzés, projekt megvalósításáról szóló jelentés, melyek alapján nyert a tapasztalatok később is felhasználhatók)

13 Nyomon követés, kockázatok felülvizsgálata 23. (1) Az Egyetem céljai hierarchikus rendszert alkotnak. Az Egyetem Szervezeti és működési rendje (továbbiakban: SZMR) szerinti egyes szervezeti egységek céljai szorosan kapcsolódnak az Intézményfejlesztési Tervben meghatározott legfőbb célkitűzéseihez, abból levezethetőek. A kockázatkezelés alapvető célja, hogy ez az összefüggésrendszer, és az ezzel kapcsolatos felelősség világossá váljék minden érintett számára. 60 (2) 61 A célok szintjeivel párhuzamosan, annak megfelelően kell a kockázatokért való felelősségeket a megfelelő szintekre delegálni. Ezáltal a kockázatkezelés beépül a mindennapi tevékenységek közé és nem elkülönült időszakos feladattá válik. (3) A költségvetési év során a folyamatgazdáknak negyedéves gyakorisággal nyomon kell követni az integrált kockázatkezelési tervben (amely a felhő alapú közös tárhelyen elérhető a kockázatkezelési munkacsoport tagjai, ill. feladattal érintett szervezeti egység vezetők számára) meghatározott feladatok, folyamatok teljesítésének megvalósulását, eredményességét, Ennek érdekében az intézkedési terv felelőseinek rögzíteniük kell a rendszerben a teljesítéseket. 62 (4) A kockázati tényezők állandó változásának figyelembevételével, a kockázatkezelési folyamat fontos tulajdonsága az évenkénti rendszeres felülvizsgálat, melynek alapvetően két célja van: 63 a) a változások megfigyelése az Egyetem kockázati profiljában, melynek keretében fel kell mérni, hogy a korábban beazonosított kockázati tényezők még mindig fennállnak-e, esetleg merültek-e fel új kockázati tényezők, változott-e az egyes kockázatok bekövetkezésének valószínűsége, illetve az Egyetemre gyakorolt hatása. Ezek alapján szükséges lehet új kockázati prioritás meghatározására, a kockázati tűrőképesség megváltoztatására. b) meg kell bizonyosodni az Egyetem belül működő kockázatkezelési folyamat hatékonyságáról. Meg kell vizsgálni, hogy a működő kontroll tevékenységek megfelelően tudják-e csökkenteni a felmerülő kockázatok hatását, bekövetkezésének valószínűségét, vagy szükség van egy új kontroll tevékenység bevezetésére, illetve a meglévők bővítésére. (5) A kockázatkezelés felülvizsgálatát évente indokolt elvégezni. A kockázatok és intézkedések nyilvántartása 24. (1) A feltárt kockázatokat egyetemi szinten nyilván kell tartani. A kockázatok és intézkedések nyilvántartására vonatkozó táblázatot a 3. számú melléklet tartalmazza. (2) A nyilvántartásnak tartalmaznia kell minden kockázatra kiterjedően a) a bekövetkezés valószínűségét, b) a szervezetre gyakorolt hatását, c) a meghatározott kockázati értéket (a bekövetkezés valószínűségi értékének és a szervezetre gyakorolt hatás értékének szorzata)

14 d) a kockázati tűréshatár feletti érték esetében a kockázat kezelésére javasolt intézkedést, e) az intézkedés végrehajtásának határidejét, f) a felelős munkatárs nevét. (3) A kockázatkezelési eseteket az Egyetem kancellárja 64 a Rektori Tanács bevonásával elemzi és szükség esetén javaslatot tesz az egyes tevékenységek szabályozásának korszerűsítésére. III. FEJEZET ZÁRÓ ÉS HATÁLYBA LÉPTETŐ RENDELKEZÉSEK 25. Jelen szabályzat a Szenátus általi elfogadás napján lép hatályba. (2) A szabályzat hatályba lépésével egyidejűleg hatályát veszíti a Budapesti Gazdasági Egyetem folyamatba épített előzetes és utólagos vezetői ellenőrzés rendszerének Kockázatkezelési szabályzatáról szóló III. fejezete. (3) A szabályzatot jogszabályváltozás, belső szervezeti változás, vagy feladatváltozás esetén módosítani kell. Budapest, június 29. Prof. Dr. Heidrich Balázs rektor Dr. Dietz Ferenc kancellár Záradék: A szabályzatot a Szenátus április 25-i ülésén a 2013/2014. tanévi (IV. 25.) 71. számú határozatával fogadta el. Hatályos: árpilis 25. A Szabályzatot a Szenátus a december 11-i ülésén a 2015/2016. tanévi (XII. 11.) 28. számú határozatával módosította. Hatályos december 12. A Szabályzatot a Szenátus a június 29-i ülésén a 2017/2018. tanévi (VI. 29.) 109. számú határozatával módosította. Hatályos június

15 1. számú melléklet Kockázatértékelési kategóriák (MINTA) 65 KOCKÁZAT TÍPUSA A KOCKÁZAT LEÍRÁSA KÜLSŐ KOCKÁZATOK Infrastrukturális Gazdasági Jogi és szabályozási Piaci Elemi csapások Az infrastruktúra elégtelensége vagy hibája megakadályozhatja a normális működést. Az Egyetem felvehető hallgatói keretszámának meghatározása, ezen belül az állami ösztöndíjas hallgatók keretszámának alakulása. Magyarország éves költségvetéséről szóló törvényben meghatározott egyetemek, főiskolák rendelkezésre megállapított állami támogatás összege befolyásolja a felsőoktatási intézmények finanszírozási rendjét, illetve annak alkalmazását. A jogszabályok és egyéb szabályok megváltoztathatják a kívánt tevékenységek terjedelmét. A szabályozások vagy folyamatos változásuk követése a mindennapi gyakorlat módosításával oldható meg. Versenyhelyzet alakulása. Tűz, árvíz vagy egyéb elemi csapások hatással lehetnek a kívánt tevékenység elvégzésének képességére. A katasztrófavédelmi terv elégtelennek bizonyulhat. PÉNZÜGYI KOCKÁZATOK Költségvetési Felelősségvállalási A kívánt tevékenység ellátására nem elég a rendelkezésre álló forrás. A beszerzési korlátozások akadályozzák/hátráltatják a működést. A tevékenységek ellátása során az Egyetem érdekeit kell szem előtt tartani, minden egyetemi polgárnak cselekedeteiért felelősséget kell vállalni, mert ezek befolyásolják az Intézmény megítélését. TEVÉKENYSÉGI KOCKÁZATOK Működés-stratégiai Információs Hírnév Technológiai Projekt Nem megfelelő stratégia követése. A stratégia elégtelen vagy pontatlan információra épül. A döntéshozatalhoz nem megfelelő információ, a szükségesnél kevesebb ismeretre alapozott döntés hibás lépéseket eredményez. A nyilvánosságban kialakult rossz hírnév negatív hatást fejthet ki. A kialakult rossz megítélés csökkentheti a hallgatói létszámot. A hatékonyság megtartása, illetve növelése érdekében a technológia fejlesztésének/lecserélésének igénye. A megfelelő előzetes kockázatelemzés, hatástanulmány nélkül készült el a projekt-tervezet. A projektek nem teljesülnek a költségvetési vagy funkcionális határidőre. EMBERI ERŐFORRÁS KOCKÁZAT Személyzeti Egészség és biztonsági A hatékony működést korlátozza, vagy teljesen ellehetetleníti a szükséges számú, megfelelő képesítésű személyi állomány hiánya. Ha az alkalmazottak jó közérzetének igénye elkerüli a figyelmet, a munkatársak nem tudják teljesíteni feladataikat

16 2. számú melléklet Belső kockázatértékelési kategóriák (MINTA) 66 Kockázati tényező csoportok Belső kockázati tényezők A jogi szabályozási változásokat nem követik rövid időn belül a belső szabályozások változásai. Belső szabályozottság Egyes folyamatok nem kerülnek pontos szabályozásra a belső eljárásrendekben. A szakmai és adminisztratív feladatokat befolyásoló szabályok túl bonyolultak. Nem, vagy későn jut el a külső/belső szabályváltozásról szóló információ az azokat alkalmazni köteles szervezetekhez/munkatársakhoz. Szabályozás és gyakorlat különbözősége. Nincsenek folyamatleírások, amelyek tartalmaznák az irányítási/végrehajtási feladatköröket, a végzett tevékenységek kontrollpontjait. Belső kontrollrendszer A belső kontrollrendszer egyes elemei (pl. ellenőrző tevékenység, monitoring, stb.) hiányoznak a szervezetnél, vagy nem megfelelően működnek. A korábbi ellenőrzések során tett javaslatok nem lettek végrehajtva vagy az intézkedések nem voltak hatékonyak. Szabálytalanságkezelés eljárásrendje nem működik megfelelően, vagy nincs kialakítva. A szervezeti célok és az elért eredmények értékelése rendszeres időközönként nem történik meg. A munkatársak feladat- és felelősségi köre nem kellően részletes/meghatározott, nem megfelelően kommunikált. Szakmai feladatellátás A szervezeti és/vagy tevékenység változásokat nem követi a munkaköri leírások aktualizálása. A szakmai feladatellátásra vonatkozó belső szabályzatok, utasítások nincsenek betartva. Jelentéstételi, adatszolgáltatási kötelezettség határideje nincs betartva. Nem elegendő a felhasználói ismeret az informatikai támogató rendszerek használatához. A belső kommunikációs folyamatok nincsenek kialakítva, nem ismertek széles körben, nem működnek megfelelően. Azonos tevékenységet végző szervezeti egységek között nincs információ-, tudásmegosztás, "best practice" gyakorlat. Kommunikáció A munkatársak, illetve a vezetők-beosztottak közötti kommunikáció nem megfelelő. A projektek előrehaladását gátló tényezőkről az információ késve vagy nem jut el az intézkedésre alkalmas szintre. Külső kommunikáció, PR gyakorlat nem kellően támogatja a szervezet működését

17 Kockázati tényező csoportok Belső kockázati tényezők A költségvetési források esetleges csökkenése, az előre nem látható pénzügyi krízisek bekövetkezésének lehetősége nincs figyelembe véve a tervezés során. A likviditási előrejelzés nem megfelelő (késik, pontatlan). Pénzügyi gazdálkodás, tervezés, számvitel Projekt végrehajtásához szükséges források nem állnak rendelkezésre időben és összegben. Nincs, vagy nem megfelelően van felmérve az egyes szakmai vagy adminisztratív intézkedéseknek a kiadásokra gyakorolt hatása. A könyvvezetés informatikai támogatottsága nem megfelelő. Szerződések, kötelezettségvállalások nincsenek, vagy hiányosan vannak nyilvántartva. A vagyonnyilvántartás nem teljes körű és naprakész. A szakmai és adminisztratív feladatok ellátására nem áll rendelkezésre elegendő munkaerőkapacitás. Humánerőforrásgazdálkodás A rendelkezésre álló munkaerő nem rendelkezik megfelelő végzettséggel és/vagy szakmai tapasztalattal. A szervezet munkatársai nem azonosulnak a szervezeti etikai szabályokkal. A szervezetnél nincs kialakult képzési rendszer vagy elavult, esetleg diszkriminatív. Magas fluktuáció. Működésből, üzemeltetésből eredő kockázatok A szervezet nem rendelkezik beruházási, fejlesztési tervekkel, illetve a tervek nem aktualizáltak, azok felülvizsgálata nem biztosított. A szervezeti vagyon, eszközök megfelelő működtetése és állagmegóvása nem biztosított. Az üzemeltetési feladatoknak nincs felelőse a szervezeten belül. Hosszú ideig tart az üzemeltetési hibák, hiányosságok kijavítása. A szervezet nem rendelkezik pontos, naprakész iratkezelési és irattárazási rendszerrel. Az iratkezelés, irattárazás Az irattárazás fizikai, biztonsági követelményei nem megoldottak. A nyilvántartási rendszerek nem megfelelőek, nem naprakészek, vagy a hozzáférési korlátok nem működnek. Az archiválási rendszerek nem megfelelően működnek. A szervezet adatkezelése és adatvédelme nem felel meg a jogi és belső szabályozási előírásoknak. Informatikai rendszerek, adatkezelés, adatvédelem Nincs információ arra vonatkozóan, mit kell tenni informatikai biztonságot érintő és/vagy katasztrófa helyzetben. A szakmai, illetve adminisztratív folyamatok támogatását biztosító informatikai alkalmazás rendelkezésre állási szintje alacsony (nem biztosított folyamatosan és azonnal). A szervezet hardver ellátottsága nem megfelelő. Egyes informatikai alkalmazások nem kompatibilisek más, a szervezet által alkalmazott informatikai rendszerekkel. 17

18 3. számú melléklet Kockázatok és intézkedések nyilvántartása 67 Sorszám Kockázat feltárás időpontja Beküldő szervezeti egység Azonosított kockázat megnevezése, típusa A kockázat rövid leírása Bekövetkezés valószínűsége (V) (1-9 érték) Szervezetre gyakorolt hatás (H) (1-9 érték) A kockázat értéke (V x H) Kockázat kezelésére tett javaslat, elrendelt intézkedés Végrehajtásért felelős személy Az intézkedés határideje