KUFA University - Zarządzanie ryzykiem i audytem wewnętrznym

Aon Polska Sp. o. o. I Departament Komunikacyjnych Ubezpieczeń Flotowych

Warszawa 2015 1

Aon Polska Sp. z o. o.

KUFA University

Korporacyjne Ubezpieczenia Flotowe Aon

ZARZĄDZANIE

RYZKIEM i

AUDYTEM

WEWNĘTRZNYM


Warszawa 2015 2


KUFA University


2

dotyczy każdej organizacji

dotyczy wszystkich obszarów, procesów i projektów

wynika z działania lub jego braku

wynika z otoczenia lub wnętrza organizacji

obejmuje negatywne konsekwencje oraz niewykorzystane

możliwości.

RYZYKO – Co to jest?


Warszawa 2015 3


KUFA University


3

W języku naturalnym oznacza jakąś

miarę/ocenę zagrożenia czy

niebezpieczeństwa wynikającego albo z

prawdopodobnych zdarzeń od nas

niezależnych, albo z możliwych

konsekwencji podjęcia decyzji.

Najogólniej, ryzyko jest wskaźnikiem

stanu lub zdarzenia, które może

prowadzić do strat lub braku zysków.

Jest ono zależne od

prawdopodobieństwa wystąpienia tego

zdarzenia i do wielkości strat, które

może spowodować.

RYZYKO – Co to jest?


Warszawa 2015 4


KUFA University


4

Dlaczego warto

systemowo zarządzać

ryzykiem biznesowym?

RYZYKO – kluczowe pytanie


Warszawa 2015 5


KUFA University


5

- adekwatnie alokować środki

- skutecznie zapobiegać

- poprawiać jakość podejmowanych decyzji na

wszystkich poziomach organizacji

- zwiększać wartość przedsiębiorstwa

- optymalizować stawki programów

ubezpieczeniowych

RYZYKO – motywacje

Zarządzając ryzykiem możemy:


Warszawa 2015 6


KUFA University


6

Z draftu procedury Zarządzania Ryzykiem i Audytem

Wewnętrznym firmy XXX:

„Proces zarządzania ryzykiem składa się z następujących po

sobie etapów :

– Identyfikacji i analizy

– Oceny

– Planowania zabezpieczeń

– Monitorowania zabezpieczeń

– Raportowania ”

RYZYKO – elementy procesu


Warszawa 2015 7


KUFA University


7

Cele formalne

Określenie ryzyk funkcjonujących w organizacji.

Skatalogowanie ryzyk w organizacji.

Zasilenie systemu zarządzania ryzykiem w informacje.

Określenie znaczenia poszczególnych ryzyk dla organizacji.

Opracowanie rekomendacji w zakresie niwelowania ryzyk lub

prawdopodobieństwa ich wystąpienia

ZARZĄDZANIE RYZYKIEM – cele


Warszawa 2015 8


KUFA University


8

Cele nieformalne

Budowa świadomości istnienia ryzyk u wszystkich

zaangażowanych.

Refleksja u poszczególnych osób nad ryzykami dotyczącymi

poszczególnych stanowisk/funkcji/procesów.

Pobudzenie do myślenia:

– czy zajmujemy się danym ryzykiem?

– czy nie angażujemy zbyt dużych/małych zasobów do

zarządzania danym ryzykiem?

– czy to co postrzegamy jako ryzyko stanowi ryzyko?

ZARZĄDZANIE RYZYKIEM – cele


Warszawa 2015 9


KUFA University


9

Nie możemy zarządzać

ryzykiem,

którego nie znamy!

IDENTYFIKACJA RYZYKA


Warszawa 2015 10


KUFA University


10

NARZĘDZIA i ŹRÓDŁA INFORMACJI

Karta Ryzyka

[email protected]

Raporty z audytów wewnętrznych i zewnętrznych

Raporty szkodowe

Informacja od właścicieli obszarów i procesów

Dane z otoczenia - branży i rynku

Dane historyczne



Warszawa 2015 11


KUFA University


11

GWARANCJA DOSTĘPU DO DANYCH

Z draftu procedury Zarządzania Ryzykiem i Audytem Wewnętrznym w firmie XXX:

„Zestawienie danych i informacji jest niezbędne do

właściwej i rzetelnej identyfikacji ryzyk.

Dyrektor ds. Zarządzania Ryzykiem i Audytu jest

upoważniony do uzyskania pełnej informacji i dostępu do

niezbędnych danych”



Warszawa 2015 12


KUFA University


12

Nie możemy zarządzać ryzykiem,

którego nie możemy zmierzyć.

OCENA I KLASYFIKACJA RYZYKA


Warszawa 2015 13


KUFA University


13

Źródło: Raport „Firma XXX - Mapowanie ryzyka oraz ocena systemu zarządzania ryzykiem”; Aon



Warszawa 2015 14


KUFA University


14

1 Nieznaczące Poniżej 50 tys. zł Poniżej 100 tys. zł

2 Niewielkie 50 tys. zł – 500 tys. zł 100 tys. zł – 1,0 mln zł

3 Istotne 500 tys. –1 mln zł 1,0 mln –5 mln zł

4 Duże 1 mln – 3 mln zł 5 mln – 15 mln zł

5 Bardzo duże Ponad 3 mln zł Ponad 15 mln zł

1) Źródło: Ocena ryzyka technicznego i operacyjnego metodą COSSO II; Menedżer XXX 2010

2) Źródło: Raport „Firma XXX. Mapowanie ryzyka oraz ocena systemu zarządzania ryzykiem”; AoN 2009

AoN 2009 (2) BBJ 2010-11 (1)

SKUTKI FINANSOWE



Warszawa 2015 15


KUFA University


15

Mapa - skutki finansowe

0

1

2

3

4

5

0 1 2 3 4 5

Prawdopodobieństwo

Sk

utk

i fi

na

ns

ow

e

Źródło: Ocena ryzyka technicznego i operacyjnego metodą COSSO II; Menedżer XXX

REZULTATY WARSZTATÓW OCEN RYZYKA



Warszawa 2015 16


KUFA University


16

Zanim rozpocznie się proces oceny i klasyfikacji, znaczenie

poszczególnych ocen prawdopodobieństwa i skutku musi być

precyzyjnie określone. W przeciwnym wypadku poszczególne

punkty skali ocen mogą mieć różne znaczenie dla różnych

osób.

Definicje skali prawdopodobieństwa oraz skali skutku powinny

zostać jasno zdefiniowane w regulacjach wewnętrznych

przedsiębiorstwa.

W INNYM PRZYPADKU….

ŚMIECI NA WEJŚCIU

= ŚMIECI NA WYJŚCIU



Warszawa 2015 17


KUFA University


17

Bariery negatywnie wpływające na proces analizy i oceny

ryzyka:

Niedojrzałe praktyki zarządzania ryzykiem,

Brak zasobów i czasu, potrzebnych na kwantyfikację ryzyka,

Brak jasno zdefiniowanej polityki, procesów i planów,

Brak wśród najwyższego kierownictwa przywódcy zainteresowanego

zarządzaniem ryzykiem,

Brak szkoleń, wiedzy oraz formalnych narzędzi i technik pomiaru ryzyka,

Brak jasnych wytycznych dla kierownictwa i personelu,

Brak zachęt do uczestnictwa w pomiarze ryzyka

PROBLEMY PRZY ANALIZIE I OCENIE RYZYKA


Warszawa 2015 18


KUFA University


18

Strategie zarządzania ryzykiem i zabezpieczenia

STRATEGIA OPIS

akceptacja

strategia polega na świadomej akceptacji możliwych negatywnych skutków

materializacji ryzyka, np. akceptacja ryzyka kradzieży firmowego samochodu

unikanie

strategia polega na powstrzymaniu się od działań (unikaniu ich), które eksponują

firmę na dany rodzaj ryzyka, np. nie zawieranie umów z kontrahentami o

niskiej reputacji

eliminacja

strategia polega na usunięciu całej kategorii ryzyka generowanego przez dany

rodzaj działalności, np. zawieranie umów z podmiotami o niskiej reputacji, ale

wyłącznie w przypadku, gdy podmiot ten w całości zabezpieczy swoje

zobowiązania wobec naszej firmy

redukcja

strategia polega na zmniejszeniu negatywnego wpływu materializacji ryzyka lub

prawdopodobieństwa jego wystąpienia, np. poprzez dywersyfikację źródeł

zaopatrzenia, rynków zbytu, itp.

transfer

strategia polega na przekazaniu (wytransferowaniu) ryzyka do innego podmiotu,

np. do firmy ubezpieczeniowej, poprzez zawarcie umowy ubezpieczenia

majątku, utraty zysku, odpowiedzialności cywilnej, itp.

zwiększenie

strategia polega na zwiększeniu ponoszonego ryzyka w celu uzyskania

dodatkowych korzyści

brak strategii Brak świadomej decyzji odnośnie strategii zarządzania ryzykiem.

PLANOWANIE ZABEZPIECZEŃ


Warszawa 2015 19


KUFA University


19

Monitorowanie wpisane w audyt wewnętrzny

Obejmuje cały łańcuch wartości (również audyt dostawców traktujemy jak wewnętrzny)

Jak się zmieniają ryzyka

Czy pojawiają się nowe, nieznane dotąd ryzyka

Czy działania zaradcze i środki kontroli są:

– Adekwatne do ryzyk

– Przestrzegane/wykonywane

– Skuteczne

RYZYKO - monitorowanie


Warszawa 2015 20


KUFA University


20

Audyt wewnętrzny jest wyrazem kryzysu do metod zarządzania w organizacji.

Wymaga uruchomienia strony trzeciej, bardziej obiektywnej, gwarantującej

mechaniczną obiektywność.

Audyt wewnętrzny jest

uwiarygodnieniem

standardów zarządzania.

AUDYT WEWNĘTRZNY - idea


Warszawa 2015 21


KUFA University


21

AUDYT

MA UMACNIAĆ

ZAUFANIE


Warszawa 2015 22


KUFA University


22

Zgromadzenie informacji o wszystkich koniecznych Audytach

wewnętrznych w Firmie XXX

Identyfikacja procesów wymagających audytów poza systemowych.

Nadzór, kompletowanie i weryfikacja dokumentacji z audytów

Przygotowanie Harmonogramu Audytów w Fimie XXX

Nadzór nad terminowością i kompletnością przeprowadzanych audytów

Szkolenie i Koordynacja pracy Zespołów Audytu

Włączenie wyników AW do procesu identyfikacji ryzyka

AUDYT WEWNĘTRZNY – obszary aktywności


Warszawa 2015 23


KUFA University


23

Monitorowanie procesów

Weryfikacja skuteczności ZR w procesach

Weryfikacja zgodności działań w obszarze ZR z przyjętą

polityką

Udział we wdrożeniu metodologii (etap powdrożeniowy)

Przygotowanie planu audytu

Aktualizacja rejestru ryzyk na podstawie wyników przeglądów

Wczesna rejestracja nowych zagrożeń

Wyznaczanie nowych ryzyk i priorytetów audytu

Wymuszanie nowego pojmowania, sposobów weryfikacji i

ocen podczas Audytów

Skupienie się na rezultatach – decyzjach, działaniach, zmianie

a nie tylko na procedurach

AUDYT WEWNĘTRZNY vs RYZYKO – interakcje i synergia


Warszawa 2015 24


KUFA University


24

„Największy problem

związany

z komunikacją

to iluzja, że do niej

doszło”George Bernard Shaw

RYZYKO i AUDYT - komunikacja


Warszawa 2015 25


KUFA University


25

RYZYKO i AUDYT – KOMUNIKACJA

Częstotliwo

ść Nadawca informacji Cel

Forma

komunika

cji Odbiorca informacji

Raz w roku

DZRiA

Raport: z monitoringu ryzyk i realizacji strategii wobec

poszczególnych ryzyk.

Prezentacj

a Zarząd Firmy XXX

Zarząd Firmy XXX

Apetyt na ryzyko - określenie i akceptacja kryteriów oceny

ryzyka

Uchwała/Z

arządzeni

e Organizacja/DZRiA

Raz na

kwartał

DZRiA

Informacja o zaakceptowanych przez Zarząd

zabezpieczeniach - do realizacji

tabela/

mail Zarząd, WR

Zarząd Informacja o zaakceptowanych zabezpieczeniach DZRiA

DZRiA

Mapy ryzyka ze wskazaniem ryzyk mających charakter

kluczowy i strategiczny wraz z rekomendacją zabezpieczeń

mapa/

mail lub

spotkanie EPPIDO, Zarząd

WR

Raport z aktualnego stanu ryzyk oraz odchyleń w realizacji

zabezpieczeń.

raport

exl./mail DZRiA

Raz w

miesiącu

DZRiA Aktualna Macierz i Mapy Ryzyka+ aktualne zabezpieczenia

raport

exl./mail Zarząd, WR

Audytorzy wewnętrzni Raporty z przeprowadzonych audytów wewnętrznych

raport

exl./mail

DZRiA; BB; Zarząd Spółki;

Dyrektor odpowiedzialny

za dany obszar

Na bieżąco/

codziennie

Dyrektorzy obszarów Zapotrzebowania co do audytów

informacja

/mail DZRiA

WR/Man ds.

Ubezpieczeń Zgłoszenie zdarzeń, incydentów

formularz/

mail DZRiA

DZRiA Informacja o BZR/ wdrożenie procedury

intranet;

szkolenia/

spotkania

Wszyscy pracownicy

Firmy XXX

RYZYKO i AUDYT - komunikacja


Warszawa 2015 26


KUFA University


26

MANAGER RYZYKA

odpowiedzialność za standard i komunikację

w procesie Zarządzania Ryzykiem

WŁAŚCICIEL RYZYKA

odpowiedzialność za Zarządzanie Ryzykiem

w swoim obszarze i procesie

ZARZĄD

odpowiedzialność za przyjętą strategię Zarządzania

Ryzykiem

i określenie „apetytu” na Ryzyko

ZARZĄDZANIE RYZYKIEM - role


Warszawa 2015 27


KUFA University


27

Właściciel Ryzyka – osoba odpowiedzialna za postępowanie wobec ryzyka, jest z

niego rozliczana

Kryteria wyboru

– Kompetencje w obszarze którego dotyczy ryzyko

Władza managerska do podejmowania i realizowania decyzji w tym obszarze

– Budżet na realizację decyzji

– Realna władza (nie nominalna)

– Rozliczany za decyzje czy i jak kontrolować ryzyko tzn czy, jak i ile inwestować

w minimalizację ryzyka

– Rozliczany za występowanie „jego” ryzyka (czyli za realizację)

– Ryzyko alokowane tym wyżej w hierarchii im wyższy ma wpływ

WŁAŚCICIEL RYZYKA - rola


Warszawa 2015 28


KUFA University


28

Obszary Ryzyka Firma XXX

Strategiczne Zarząd Firmy XXX

Personalne Dyrektor Personalny

Prawny Biuro Zarządu

Finanse( windykacja, finansowanie)Dyrektor Finansowy

Sprawozdawczość Finansowa Dyrektor Finansowy

OperacyjneDyrektor Operacyjny

Inwestycje (CAPEX)Dyrektor Controllingu

Ubezpieczenia Menedżer ds. Ubezpieczeń

Środowiskowe Menedżer ds. Ochrony Środowiska

Komunikacyjne/PR Dyrektor Marketingu

IT Dyrektor IT

Zakupowe (Łańcuch Dostaw) Dyrektor Supply Chain

InfastrukturaDyrektor ds. Zarządzania Bieżącym Utrzymaniem Infrastruktury

WŁAŚCICIELE RYZKA W OBSZARACH


Warszawa 2015 29


KUFA University


29

Identyfikacja Ryzyka Ocena Ryzyka, planowanie

zabezpieczeń i monitorowanie

Komunikacja i Raportowanie

Zarządzania Ryzykiem

Merytoryczne wsparcie i

weryfikacja wypełniania Kart

Ryzyka przez Właścicieli

Agregacja, analiza i wstępna

ocena otrzymanych danych

z Kart Ryzyk i rejestru

zagrożeń – wybór ryzyk

kluczowych zarządzanych

centralnie vs ryzyka

monitorowane

Bieżący nadzór nad

wdrażaniem zabezpieczeń

Przygotowanie i

przeprowadzenie warsztatów

oceny dla ryzyk kluczowych

Wsparcie Właścicieli ryzyka w

opracowaniu zabezpieczeń

Monitorowanie zabezpieczeń

Mapa Ryzyka

Rejestr Zagrożeń

Odchylenia przy realizacji

zabezpieczeń

Wdrożenie i promowanie

ogólno dostępnego Rejestru

Zagrożeń

Promowanie i szkolenia z

metodologii Zarządzania

Ryzykiem

Informowanie o

zidentyfikowanych ryzykach

Organizacji (podnoszenie

świadomości)

Raportowanie w górę (Zarząd,

RN, udziałowcy)

MENEDŻER RYZYKA - rola


Warszawa 2015 30


KUFA University


30

Rola Zarządu we wdrażaniu i funkcjonowaniu Zarządzania Ryzykiem

– Cele Zarządzania Ryzykiem

– Ustalenie apetytu na ryzyko (kryteria)

– Umożliwienie startu

– Odpowiedzialność za ryzyka krytyczne

– Zarządzanie kryzysami

Brak wsparcia Zarządu firmy

uśmierca Zarządzanie Ryzykiem

ZARZĄD - rola


Warszawa 2015 31


KUFA University


31

Materiał opracowany na podstawie prezentacji pt. Zarzadzanie ryzykiem i audytem wewnętrznym, Manage or Die Inspirations, Fundacja Rozwoju

Menedzerskiego „Manage or Die”

Zapraszamy do kontaktu

z Aon Polska.

www.aon.pl

http://www.aon.pl/

KUFA University - Zarządzanie ryzykiem i audytem wewnętrznym

Leadership & Management

Transcript of KUFA University - Zarządzanie ryzykiem i audytem wewnętrznym