Kontrola zarządcza w uczelniach funkcjonuje w oparciu o przepisy ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (tj. Dz. U. z 2022 r. poz. 1634). W ustawie zawarto między innymi legalną definicję kontroli zarządczej, zgodnie z którą stanowi ona wszystkie działania, które podejmowane są po to, aby zapewnić realizację celów i zadań uczelni w sposób zgodny z prawem, efektywny, oszczędny i terminowy.
Ustawodawca wymienił również siedem celów, które powinien spełniać dobrze funkcjonujący system kontroli zarządczej. Do celów tych zaliczono w szczególności:
- zgodność działalności z przepisami prawa oraz procedurami wewnętrznymi,
- skuteczność i efektywności działania,
- wiarygodność sprawozdań,
- ochronę zasobów,
- przestrzeganie i promowanie zasad etycznego postępowania,
- efektywność i skuteczność przepływu informacji,
- zarządzanie ryzykiem.
Wymienione jako siódmy cel – zarządzanie ryzykiem – jest nie tylko celem samym w sobie, ale niezwykle istotną częścią systemu kontroli zarządczej. W oparciu o wyniki procesu zarządzania ryzykiem powinny być bowiem podejmowane przez rektora decyzje dotyczące kształtowania kontroli zarządczej.
„Cele i zarządzanie ryzykiem” stanowią również jedną z grup „Standardów kontroli zarządczej dla sektora finansów publicznych” (Komunikat Nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. Dz. Urz. Min. Fin. Nr 15, poz. 84). Mimo że wszystkie standardy mają z założenia charakter równorzędny, zarządzanie ryzykiem odgrywa szczególne znaczenie w budowaniu kontroli zarządczej. W ramach tej grupy wyróżniono następujące standardy:
- misja, określanie celów i zadań,
- monitorowanie i ocena ich realizacji,
- identyfikacja ryzyka, analiza ryzyka oraz reakcja na ryzyko.
Standardy te wyznaczają jednocześnie etapy zarządzania ryzykiem, które powinny być ze sobą ściśle powiązane.
Przebieg procesu zarządzania ryzykiem
Najprostszy schemat procesu zarządzania ryzykiem zakłada cztery etapy. Punktem wyjścia w analizie ryzyka powinno być określenie misji uczelni oraz jej celów – zarówno na poziomie strategicznym, jak i operacyjnym. Właściwie prowadzony proces zarządzania ryzykiem musi odnosić się do celów działalności uczelni, a te z kolei najczęściej wynikają z przyjętej strategii. Przeprowadzanie analizy ryzyka bez korespondencji z ustalonymi celami jest błędem.
Na etapie identyfikacji ryzyka poszukujemy odpowiedzi na pytanie: Jakie zdarzenia, które będą miały wpływ na osiągnięcie założonych celów, mogą wystąpić w uczelni (ryzyka wewnętrzne) oraz w jej otoczeniu (ryzyka zewnętrzne)? Na tym etapie najczęściej stosowana jest metoda kwestionariusza identyfikacji ryzyka lub metoda burzy mózgów. Pierwsza z nich zakłada odpowiedź na pytania zawarte w kwestionariuszu, który wcześniej musimy opracować, uwzględniając specyfikę uczelni. Pytania skonstruowane są w ten sposób, że udzielamy na nie odpowiedzi TAK lub NIE. Każda odpowiedź twierdząca wskazuje na zidentyfikowane ryzyko, które należy poddać dalszej ocenie. Druga z metod – burza mózgów – zakłada udział wyznaczonej przez rektora grupy osób, które wspólnie, podczas swobodnej sesji, w nieskrępowanej formie wskazują na – ich zdaniem – możliwe przeszkody w osiągnięciu przez uczelnię postawionych celów.
Następnie zidentyfikowane ryzyka poddaje się ocenie. O sile ryzyka decydują dwie zmienne: prawdopodobieństwo wystąpienia danego zdarzenia (P) oraz jego wpływ na realizację celów uczelni (W). Iloczyn tych dwóch zmiennych (PxW) wyraża tzw. Siłę ryzyka. Do oceny prawdopodobieństwa wystąpienia danego zdarzenia oraz jego skali oddziaływania stosuje się tzw. Ocenę punktową, wyrażoną najczęściej w skali trzy-, cztero- lub pięciostopniowej. Po dokonanej ocenie następuje podział wszystkich ryzyk na grupy. Ryzyka o największym prawdopodobieństwie wystąpienia oraz największym potencjalnym wpływie na realizację celów to tzw. ryzyka czerwone. Ryzyka o najmniejszym prawdopodobieństwie wystąpienia oraz najmniejszym potencjalnym wpływie na realizację celów to tzw. ryzyka zielone, a pośrednie ryzyka określane są mianem ryzyk żółtych (w niektórych modelach wyróżnia się także ryzyka pomarańczowe).
Do każdego ocenionego ryzyka wskazać należy jedną z czterech reakcji (odpowiedzi) na ryzyko: akceptację ryzyka, przeniesienie ryzyka na inny podmiot (np. ubezpieczenie), unikanie ryzyka (np. rezygnacja z danego działania) lub – najczęściej stosowaną – zmniejszenie ryzyka do akceptowalnego poziomu. W praktyce ostatnia z wymienionych reakcji polega na wprowadzeniu w odpowiedzi na ryzyko odpowiedniego mechanizmu kontrolnego. Każdy wdrożony w uczelni mechanizm kontrolny zmniejsza bowiem prawdopodobieństwo (P) wystąpienia danego ryzyka, a tym samym jego siłę (PxW). Mechanizmy kontrolne będące odpowiedzią na ryzyka stają się częścią całego systemu kontroli zarządczej. A zatem, wyniki dobrze funkcjonującego procesu zarządzania ryzykiem stają się w uczelni podstawą do wprowadzania zmian w kontroli zarządczej. Proces ten powinien być przeprowadzany w udokumentowany sposób przynajmniej raz w roku, choć w obecnym, dynamicznie zmieniającym się otoczeniu społeczno-gospodarczym, wskazane jest zwiększenie częstotliwości przeprowadzania analizy ryzyka w uczelni.
Praktyczne wskazówki dotyczące zarządzania ryzykiem w uczelniach
- identyfikacja ryzyka powinna być przeprowadzana w odniesieniu do celów uczelni ustanowionych w dokumentach o charakterze strategicznym i operacyjnym (np. strategia uczelni, plan działalności); zdarzają się sytuacje, w których przeprowadza się analizę ryzyka w oderwaniu od celów uczelni, co jest błędem całego procesu zarządzania ryzykiem;
- wszystkie obszary działalności uczelni powinny być objęte jednym procesem zarządzania ryzykiem; należy unikać sytuacji, w której identyfikacja i ocena ryzyka dla niektórych obszarów odbywa się w oparciu o odrębne zasady (najczęściej dotyczy to obszaru bezpieczeństwa informacji czy ochrony danych osobowych);
- we wszystkich obszarach uczelni zidentyfikowane ryzyka powinny być oceniane z zastosowaniem tej samej skali ocen prawdopodobieństwa wystąpienia oraz skali oddziaływania;
- stosowanie tych samych zasad oceny ryzyka w kolejnych latach daje możliwość śledzenia zmian zachodzących na mapie ryzyka uczelni w czasie;
- należy zadbać o to, aby proces zarządzania ryzykiem był właściwie umiejscowiony w czasie w trakcie roku budżetowego – wyniki analizy ryzyka z planem postępowania w stosunku do zidentyfikowanych ryzyk kluczowych powinniśmy otrzymać przed procesem opracowywania planu finansowego na kolejny rok budżetowy (tylko wówczas jest możliwość ujęcia w planie finansowym wydatków związanych z niezbędnymi działaniami ograniczającymi ryzyka kluczowe);
- wyniki procesu zarządzania ryzykiem warto zakomunikować nie tylko osobom bezpośrednio zaangażowanym w proces identyfikacji i oceny ryzyka, ale całej społeczności akademickiej.
dr Joanna Przybylska
Pełnomocnik Rektora ds. koordynacji kontroli zarządczej
Adiunkt w Katedrze Finansów Publicznych Uniwersytetu Ekonomicznego w Poznaniu