Zarządzanie ryzykiem i audytem wewnętrznym - Manage or Die Inspirations 2012

inspirations

Opracował: Sebastian Pilorz

inspirations

Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die

ZARZĄDZANIE RYZKIEM i ZARZĄDZANIE RYZKIEM i

AUDYTEM WEWNĘTRZNYMAUDYTEM WEWNĘTRZNYM

PROSTO O TRUDNYCH

SPRAWACH…

inspirations


inspirations

Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die 2

• dotyczy każdej organizacji • dotyczy wszystkich obszarów, procesów i

projektów• wynika z działania lub jego braku • wynika z otoczenia lub wnętrza organizacji • obejmuje negatywne konsekwencje oraz

niewykorzystane możliwości.

RYZYKO – Co to jest?

inspirations


inspirations


W języku naturalnym oznacza jakąś miarę/ocenę zagrożenia czy niebezpieczeństwa wynikającego albo z prawdopodobnych zdarzeń od nas niezależnych, albo z możliwych konsekwencji podjęcia decyzji.Najogólniej, ryzyko jest ryzyko jest wskaźnikiem stanu lub wskaźnikiem stanu lub zdarzenia, które może zdarzenia, które może prowadzić do stratprowadzić do strat.

Jest ono proporcjonalne do prawdopodobieństwa wystąpienia tego zdarzenia i do wielkości strat, które może spowodować.

RYZYKO – Co to jest?

inspirations


inspirations


Dlaczego warto systemowo

zarządzać ryzykiem biznesowym?

RYZYKO – kluczowe pytanie

inspirations


inspirations


- adekwatnie alokować środki- skutecznie zapobiegać - poprawiać jakość podejmowanych

decyzji na wszystkich poziomach organizacji

- zwiększać wartość przedsiębiorstwa

RYZYKO – motywacje

Zarządzając ryzykiem możemy:

inspirations


inspirations


Z draftu procedury Zarządzania Ryzykiem i Audytem Wewnętrznymfirmy XXX:

„Proces zarządzania ryzykiem składa się z następujących po sobieetapów :

– Identyfikacji i analizy– Oceny – Planowania zabezpieczeń – Monitorowania zabezpieczeń– Raportowania ”

RYZYKO – elementy procesu

inspirations


inspirations


Cele formalne • Określenie ryzyk funkcjonujących w organizacji. • Skatalogowanie ryzyk w organizacji. • Zasilenie systemu zarządzania ryzykiem w

informacje. • Określenie znaczenia poszczególnych ryzyk dla

organizacji. • Opracowanie rekomendacji w zakresie

niwelowania ryzyk lub prawdopodobieństwa ich wystąpienia

ZARZĄDZANIE RYZYKIEM – cele

inspirations


inspirations


Cele nieformalne • Budowa świadomości istnienia ryzyk u

wszystkich zaangażowanych. • Refleksja u poszczególnych osób nad ryzykami

dotyczącymi poszczególnych stanowisk/funkcji. • Pobudzenie do myślenia:

– czy zajmujemy się danym ryzykiem? – czy nie angażujemy zbyt dużych/małych

zasobów do zarządzania danym ryzykiem? – czy to co postrzegamy jako ryzyko stanowi

ryzyko?

ZARZĄDZANIE RYZYKIEM – cele

inspirations


inspirations


Nie możemy zarządzać ryzykiem, którego nie znamy!

IDENTYFIKACJA RYZYKA

inspirations


inspirations


NARZĘDZIA i ŹRÓDŁA INFORMACJI

• Karta Ryzyka• [email protected] • Raporty z audytów wewnętrznych i zewnętrznych• Raporty szkodowe• Informacja od właścicieli obszarów i procesów• Dane z otoczenia - branży i rynku• Dane historyczne


inspirations


inspirations


GWARANCJA DOSTĘPU DO DANYCH

Z draftu procedury Zarządzania Ryzykiem i Audytem Wewnętrznym w firmie XXX:

„Zestawienie danych i informacji jest niezbędne do właściwej i rzetelnej identyfikacji ryzyk.

Dyrektor ds. Zarządzania Ryzykiem i Audytu jest upoważniony do uzyskania pełnej

informacji i dostępu do niezbędnych danych”


inspirations


inspirations


Nie możemy zarządzać ryzykiem,

którego nie możemy zmierzyć.

OCENA I KLASYFIKACJA RYZYKA

inspirations


inspirations


Źródło: Raport „Firma XXX - Mapowanie ryzyka oraz ocena systemu zarządzania ryzykiem”; AoN 2009


inspirations


inspirations


1 Nieznaczące Poniżej 50 tys. zł Poniżej 100 tys. zł

2 Niewielkie 50 tys. zł – 500 tys. zł 100 tys. zł – 1,0 mln zł

3 Istotne 500 tys. –1 mln zł 1,0 mln –5 mln zł

4 Duże 1 mln – 3 mln zł 5 mln – 15 mln zł

5 Bardzo duże Ponad 3 mln zł Ponad 15 mln zł

1) Źródło: Ocena ryzyka technicznego i operacyjnego metodą COSSO II; Menedżer XXX 2010

2) Źródło: Raport „Firma XXX.Mapowanie ryzyka oraz ocena systemu zarządzania ryzykiem”; AoN 2009

AoN 2009 (2) BBJ 2010-11 (1)

SKUTKI FINANSOWEOCENA I KLASYFIKACJA RYZYKA

inspirations


inspirations


Mapa - skutki finansowe

0

1

2

3

4

5

0 1 2 3 4 5

Prawdopodobieństwo

Sk

utk

i fi

na

ns

ow

e

Źródło: Ocena ryzyka technicznego i operacyjnego metodą COSSO II; Menedżer XXX

REZULTATY WARSZTATÓW OCEN RYZYKAOCENA I KLASYFIKACJA

RYZYKA

inspirations


inspirations


• Zanim rozpocznie się proces oceny i klasyfikacji, znaczenie poszczególnych ocen prawdopodobieństwa i skutku musi być precyzyjnie określone. W przeciwnym wypadku poszczególne punkty skali ocen mogą mieć różne znaczenie dla różnych osób.

• Definicje skali prawdopodobieństwa oraz skali skutku powinny zostać jasno zdefiniowane w regulacjach wewnętrznych przedsiębiorstwa.

W INNYM PRZYPADKU….ŚMIECI NA WEJŚCIU = ŚMIECI NA WYJŚCIU


inspirations


inspirations


Bariery negatywnie wpływające na proces analizy i oceny ryzyka:•Brak kultury organizacyjnej, w której doganiałoby się korzyści płynące z zarządzania ryzykiem, •Niedojrzałe praktyki zarządzania ryzykiem, •Brak zasobów i czasu, potrzebnych na kwantyfikację ryzyka, •Brak jasno zdefiniowanej polityki, procesów i planów, •Brak wśród najwyższego kierownictwa przywódcy zainteresowanego zarządzaniem ryzykiem, •Brak szkoleń, wiedzy oraz formalnych narzędzi i technik pomiaru ryzyka, •Brak jasnych wytycznych dla kierownictwa i personelu, •Brak zachęt do uczestnictwa w pomiarze ryzyka

PROBLEMY PRZY ANALIZIE I OCENIE RYZYKA

inspirations


inspirations


STRATEGIE zarządzania ryzykiem i ZABEZPIECZENIA

STRATEGIA OPIS

akceptacja

strategia polega na świadomej akceptacji możliwych negatywnych skutków materializacji ryzyka, np. akceptacja ryzyka

kradzieży firmowego samochodu

unikanie

strategia polega na powstrzymaniu się od działań (unikaniu ich), które eksponują firmę na dany rodzaj ryzyka, np. nie zawieranie umów z kontrahentami o niskiej reputacji

eliminacja

strategia polega na usunięciu całej kategorii ryzyka generowanego przez dany rodzaj działalności, np. zawieranie

umów z podmiotami o niskiej reputacji, ale wyłącznie w przypadku, gdy podmiot ten w całości zabezpieczy swoje

zobowiązania wobec naszej firmy

redukcja

strategia polega na zmniejszeniu negatywnego wpływu materializacji ryzyka lub prawdopodobieństwa jego

wystąpienia, np. poprzez dywersyfikację źródeł zaopatrzenia, rynków zbytu, itp.

transfer

strategia polega na przekazaniu (wytransferowaniu) ryzyka do innego podmiotu, np. do firmy ubezpieczeniowej, poprzez

zawarcie umowy ubezpieczenia majątku, utraty zysku, odpowiedzialności cywilnej, itp.

zwiększeniestrategia polega na zwiększeniu ponoszonego ryzyka w celu

uzyskania dodatkowych korzyści

brak strategii Brak świadomej decyzji odnośnie strategii zarządzania ryzykiem.

PLANOWANIE ZABEZPIECZEŃ

inspirations


inspirations


MONITOROWANIE wpisane w AUDYT WEWNĘTRZY

• Obejmuje CAŁY łańcuch wartości (również audyt dostawców traktujemy jak wewnętrzny)

• Jak się zmieniają ryzyka• Czy pojawiają się nowe, nieznane dotąd ryzyka• Czy działania zaradcze i środki kontroli są:

– Adekwatne do ryzyk– Przestrzegane/wykonywane– Skuteczne

RYZYKO - monitorowanie

inspirations


inspirations


Audyt wewnętrzny jest wyrazem kryzysu do metod zarządzania w organizacji.

Wymaga uruchomienia strony trzeciej, bardziej obiektywnej, gwarantującej mechaniczną

obiektywność.Audyt jest de facto nośnikiem wartości psychologicznych i socjologicznych –

dostarcza zaufania.

Audyt wewnętrzny jest UWIARYGODNIENIEM standardów

zarządzania.

AUDYT WEWNĘTRZNY - idea

inspirations


inspirations


AUDYT

MA UMACNIAĆ ZAUFANIE

inspirations


inspirations


Zgromadzenie informacji o wszystkich koniecznych Audytach wewnętrznych w Firmie XXX

Identyfikacja procesów wymagających audytów poza systemowych.

Nadzór, kompletowanie i weryfikacja dokumentacji z audytów

Przygotowanie Harmonogramu Audytów w Fimie XXX

Nadzór nad terminowością i kompletnością przeprowadzanych audytów

Szkolenie i Koordynacja pracy Zespołów Audytu

Włączenie wyników AW do procesu identyfikacji ryzyka

AUDYT WEWNĘTRZNY – obszary aktywności

inspirations


inspirations


• Monitorowanie procesów• Weryfikacja skuteczności ZR w procesach• Weryfikacja zgodności działań w obszarze ZR z przyjętą polityką• Udział we wdrożeniu metodologii (etap powdrożeniowy)• Przygotowanie planu audytu• Aktualizacja rejestru ryzyk na podstawie wyników przeglądów• Wczesna rejestracja nowych zagrożeń• Wyznaczanie nowych ryzyk i priorytetów audytu• Wymuszanie nowego pojmowania, sposobów weryfikacji i ocen

podczas Audytów• Skupienie się na rezultatach – decyzjach, działaniach, zmianie a

nie tylko na procedurach

AUDYT WEWNĘTRZNY vs RYZYKO – interakcje i synergia

inspirations


inspirations


„Największy problem

związany z komunikacjąto iluzja, że do

niej doszło”

George Bernard Shaw

RYZYKO i AUDYT - komunikacja

inspirations


inspirations


RYZYKO i AUDYT – KOMUNIKACJACzęstotli

wośćNadawca

informacji Cel

Forma komuni

kacji Odbiorca informacji

Raz w roku

DZRiARaport: z monitoringu ryzyk i realizacji strategii

wobec poszczególnych ryzyk.Prezenta

cja Zarząd Firmy XXX

Zarząd Firmy XXXApetyt na ryzyko - określenie i akceptacja

kryteriów oceny ryzyka

Uchwała/

Zarządzenie Organizacja/DZRiA

Raz na kwartał

DZRiAInformacja o zaakceptowanych przez Zarząd

zabezpieczeniach - do realizacjitabela/

mail Zarząd, WR

Zarząd Informacja o zaakceptowanych zabezpieczeniach DZRiA

DZRiA

Mapy ryzyka ze wskazaniem ryzyk mających charakter kluczowy i strategiczny wraz z rekomendacją zabezpieczeń

mapa/ mail lub spotkanie EPPIDO, Zarząd

WRRaport z aktualnego stanu ryzyk oraz odchyleń w realizacji zabezpieczeń.

raport exl./mail DZRiA

Raz w miesiącu

DZRiAAktualna Macierz i Mapy Ryzyka+ aktualne

zabezpieczeniaraport

exl./mail Zarząd, WR

Audytorzy wewnętrzni

Raporty z przeprowadzonych audytów wewnętrznych

raport exl./mail

DZRiA; BB; Zarząd Spółki; Dyrektor

odpowiedzialny za dany obszar

Na bieżąco/

codziennie

Dyrektorzy obszarów Zapotrzebowania co do audytów

informacja/mail DZRiA

WR/Man ds. Ubezpieczeń Zgłoszenie zdarzeń, incydentów

formularz/ mail DZRiA

DZRiA Informacja o BZR/ wdrożenie procedury

intranet; szkoleni

a/ spotkani

aWszyscy pracownicy

Firmy XXX

inspirations


inspirations


MANAGER RYZYKA

odpowiedzialność za standard i komunikację

w procesie Zarządzania Ryzykiem

WŁAŚCICIEL RYZYKA

odpowiedzialność za Zarządzanie Ryzykiem w swoim obszarze i

procesie

ZARZĄD odpowiedzialność za przyjętą strategię

Zarządzania Ryzykiem i określenie „apetytu” na Ryzyko

ZARZĄDZANIE RYZYKIEM - role

inspirations


inspirations


• Właściciel Ryzyka – osoba odpowiedzialna za postępowanie wobec ryzyka, jest z niego rozliczana

• Kryteria wyboru– Kompetencje w obszarze którego dotyczy ryzyko

• Władza managerska do podejmowania i realizowania decyzji w tym obszarze– Budżet na realizację decyzji– Realna władza (nie nominalna)– Rozliczany za decyzje czy i jak kontrolować ryzyko tzn czy, jak i ile

inwestować w minimalizację ryzyka– Rozliczany za występowanie „jego” ryzyka (czyli za realizację)– Ryzyko alokowane tym wyżej w hierarchii im wyższy ma wpływ

WŁAŚCICIEL RYZYKA - rola

inspirations


inspirations


Obszary Ryzyka Firma XXX

Strategiczne Zarząd Firmy XXX

Personalne Dyrektor Personalny

Prawny Biuro Zarządu

Finanse( windykacja, finansowanie) Dyrektor Finansowy

Sprawozdawczość Finansowa Dyrektor Finansowy

OperacyjneDyrektor Operacyjny

Inwestycje (CAPEX)Dyrektor Controllingu

Ubezpieczenia Menedżer ds. Ubezpieczeń

Środowiskowe Menedżer ds. Ochrony Środowiska

Komunikacyjne/PR Dyrektor Marketingu

IT Dyrektor IT

Zakupowe (Łańcuch Dostaw) Dyrektor Supply Chain

InfastrukturaDyrektor ds. Zarządzania Bieżącym Utrzymaniem

Infrastruktury

WŁAŚCICIELE RYZKA W OBSZARACH

inspirations


inspirations


Identyfikacja Ryzyka Ocena Ryzyka, planowanie zabezpieczeń

i monitorowanie

Komunikacja i Raportowanie

Zarządzania Ryzykiem

Merytoryczne wsparcie i weryfikacja wypełniania Kart

Ryzyka przez Właścicieli

Agregacja, analiza i wstępna ocena otrzymanych danych z

Kart Ryzyk i rejestru zagrożeń – wybór ryzyk kluczowych zarządzanych centralnie vs

ryzyka monitorowane

Bieżący nadzór nad wdrażaniem zabezpieczeń

Przygotowanie i przeprowadzenie

warsztatów oceny dla ryzyk kluczowych

Wsparcie Właścicieli ryzyka w opracowaniu

zabezpieczeń

Monitorowanie zabezpieczeń

Mapa Ryzyka

Rejestr Zagrożeń

Odchylenia przy realizacji zabezpieczeń

Wdrożenie i promowanie ogólno dostępnego Rejestru

Zagrożeń

Promowanie i szkolenia z metodologii Zarządzania

Ryzykiem

Informowanie o zidentyfikowanych

ryzykach Organizacji (podnoszenie świadomości)

Raportowanie w górę (Zarząd, RN, udziałowcy)

MENEDŻER RYZYKA - rola

inspirations


inspirations


• Rola Zarządu we wdrażaniu i funkcjonowaniu Zarządzania Ryzykiem

– Cele Zarządzania Ryzykiem– Ustalenie apetytu na ryzyko (kryteria)– Umożliwienie startu– Odpowiedzialność za ryzyka krytyczne– Zarządzanie kryzysami

Brak wsparcia Zarządu uśmierca Zarządzanie Ryzykiem

ZARZĄD - rola

inspirations


inspirations


Zdjęcia i ilustracje: www.dreamstime.com, www.microsoft.com

Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem

zacytowania źródła.

Business

Zarządzanie ryzykiem i audytem wewnętrznym - Manage or Die Inspirations 2012