Rola audytu w zarządzaniu ryzykiem

advertisement
*
...Najważniejsze jest wiedzieć o czym się mówi...
W. Pareto
Audyt wewnętrzny jest
działalnością niezależną i
obiektywną,
której celem jest przysporzenie
wartości i usprawnienie
działalności operacyjnej
organizacji. Polega na
systematycznej
i dokonywanej w uporządkowany
sposób ocenie procesów:
zarządzania ryzykiem, kontroli i
ładu organizacyjnego, i
przyczynia się do poprawy ich
działania. Pomaga organizacji
osiągnąć cele dostarczając
zapewnienia o skuteczności tych
procesów, jak również poprzez
doradztwo.
Governance
System kontroli
wewnętrznej
System
zarządzania
ryzykiem
Zagrożenia
wykorzystują
zwiększają
chronią
przed
zmniejszają
Zabezpieczenia
realizowane
przez
Ryzyko
analiza
wskazuje
zagrażają
Wymagania w
zakresie ochrony
zwiększają
Podatności
są cechą
zwiększają
mają „apetyt”
zwiększają
Zasoby
mają
Wartości
(stąd potencjalne
skutki następstw)
*
1.
To ciągły proces, który dotyczy całości organizacji i na który wpływają
pracownicy ze wszystkich szczebli,
2.
3.
Jest związany bezpośrednio z przyjętą strategią szpitala,
4.
Jest konstytutywny dla zarządzania jakością
5.
Umożliwia udzielenie władzom Szpitala rozsądnego zapewnienia, że cele
instytucji zostaną osiągnięte.
Celem jest identyfikacja ryzyk i zarządzanie nimi zgodnie z przyjętym
„apetytem na ryzyko”,
6. Jest obowiązkiem prawnym
7. (art. 68 ust2 p7 ustawy o finansach publicznych)
8. USTAWA O OCHRONIE BAZ DANYCH
9. USTAWA O RACHUNKOWOŚCI
10. USTAWA O PODPISIE ELEKTRONICZNYM
11. USTAWA O OCHRONIE DANYCH OSOBOWYCH (ROZP)
Słabości systemu zarządzania ryzykiem powszechnie
spotykane
*Istnienie deklaratywne
*Działania pozorne/naskórkowe/nieweryfikowalne
zewnętrznie.
*Niski stopień informatyzacji procesów z.r. (papierologia)
*Rejestracja / ukrywanie incydentów – jakość
zarządzania danymi
*Apetyt na ryzyko – nieidentyfikowany
*Niski stopień zgodności audytu wewnętrznego ze
standardami (pomylenie z kontrolą)
*
Kontroler (rewident)
Audytor
Bada nadużycia lub przypadki skompromitowania systemu kontroli
Bada skuteczność całego systemu kontroli wewnętrznej, wskazując na
wewnętrznej.
ryzyko.
Bada wyłącznie zgodność działania organizacji z przepisami i
Bada efektywność, skuteczność, wydajność
prawidłowość postępowania poszczególnych jednostek organizacyjnych i inne kryteria, które pozwalają organizacji funkcjonować.
wewnątrz organizacji.
Celem jego jest wykrycie niezgodności.
Celem jest takie usprawnienie procesu, aby spełniał założone kryteria
jakości.
Nie pełni funkcji doradczych.
Pełni rolę partnera i doradcy
Szuka niezgodności, wskazuje winnych
i wnioskuje o ich ukaranie. Mówi, jak coś zrobić lepiej, sprawniej
i skuteczniej. Motywuje i
aktywizuje.
Staje wobec kontrolowanego w pozycji nadrzędnej.
Nawiązuje komunikację z audytowanym, aby lepiej zrozumieć istotę
procesu.
Znając normę – wie wszystko.
Uczy się wraz z wykonywaniem zadania.
Budzi respekt i dystansuje się wobec kontrolowanych.
Budzi szacunek i wdzięczność.
Bada zgodność, nie interesując się samym procesem.
Stara się zrozumieć proces, aby móc wskazać adekwatne mechanizmy
jego ochrony.
Nadzór i legalizm.
Superwizja i coaching.
Jego siłą jest norma prawna.
Jego siłą jest wiedza.
Jest zorientowany na kontrolę.
Jest zorientowany na ryzyko.
*Audyt to nie kontrola
Relację pomiędzy nim a jednostką kontrolowaną można opisać słowami Relację pomiędzy nim a jednostką kontrolowaną można opisać słowami
„Wygrał - Przegrał”.
„Wygrał – Wygrał”.
Różnica jest podobna do różnicy pomiędzy
węglem kamiennym a kamieniem węgielnym
Firmy często proponują Państwu usługi, które
* Nie uwzględniają specyfiki – nie szyją systemu „na miarę” ale wrzucają wszystko
co leci. Nie płać za wszystko jak leci – płać za to czego nie masz, a chcesz
posiadać
* Stosują szablonowe metody i rozwiązania
* Oferują to co same umieją a nie to czego Państwo potrzebujecie
* Nie znają metodyk międzynarodowych na tyle, aby opisać procesy zgodnie z nimi
* Mają braki w analizie systemowej – posługują się słowem system często,
wykonują prace systemowe – bardzo rzadko
* Pastują rozwiązania z innych jednostek
* Produkują „półkowniki”
* Przepisują w innej formie to co już istnieje w jednostce
* Posługują się tańszym podwykonawstwem celem maksymalizacji zysku, kosztem
dojrzałości metodologicznej
* Traktują normy literalnie (jako hard law) tymczasem one są soft law
*
2120 – Zarządzanie ryzykiem
Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów
zarządzania ryzykiem. (zewnątrzsterowność i wewnątrzsterowność)
Audytor wewnętrzny uważa procesy zarządzania ryzykiem za skuteczne, jeśli z jego oceny
wynika, że:
cele organizacji wspierają misję organizacji i są z nią zgodne; (zarządzanie strategiczne i
kreacja wartości)
istotne ryzyka zostały zidentyfikowane i ocenione; (metodyka)
wybrano odpowiedni sposób reakcji na ryzyko, zgodny z apetytem organizacji na dane
ryzyko ;
istotne informacje o ryzyku są zbierane i na czas przekazywane wewnątrz organizacji,
umożliwiając pracownikom, kierownictwu i radzie wykonywanie obowiązków.
(komunikacja)
Audyt wewnętrzny może w trakcie różnych zadań zbierać informacje potrzebne do wyrażenia
powyższej oceny. Wyniki tych zadań, zebrane razem, dadzą obraz procesów zarządzania
ryzykiem w organizacji i ich skuteczności. Procesy zarządzania ryzykiem są monitorowane w
ramach bieżącego zarządzania, odrębnych ocen lub na oba te sposoby.
*
*
* Kontrola ryzyka i audyt muszą być dwoma niezależnymi funkcjami
* W oba procesy powinni angażować się efektywnie właściciel i jednostka
nadzorująca
* Oba systemy powinny być niepowątpiewalnie udokumentowane
* Zarzadzanie ryzykiem ma być:
* Proste
* Tanie
* Praktyczne
* Użyteczne
* Audytorzy
lub
zarządzania
specjaliści
ryzykiem
którzy
powinni
projektują
posiadać
lub
wdrażają
międzynarodowe
systemy
certyfikaty
(minimum CRMA i CRISC). Kontrola NIK lub RIO jest łatwiejsza.
* Metodyki
zarządzania ryzykiem są IDENTYCZNE jakie zaprezentował
Uniwersytet Stanforda – audyt wewnętrzny stosuje z powodzeniem te
metodyki od wielu lat. (ISO 31000, ISO 27001 oraz ISO 27005, COSO, ERM
COSO)
*
*
Wola pozytywnego
działania
Pełna jawność
Pełna
odpowiedzialność
Znajomość rzeczy
*
Integracja jakości, bezpieczeństwa i zarządzania ryzykiem
Cele
Zadania
Rezultaty
Dokumentacja
Realizacja zapisów
ustawy z dn. 27 sierpnia
2009 o finansach
publicznych
Zaprojektowanie
systemu zarządzania
ryzykiem
Zintegrowany system
zarządzania ryzykiem
środowiska
zdecentralizowanego
Strategia zarządzania
ryzykiem wbudowana w
strategię jst
Stabilne, ostrożne i
dojrzałe zarządzanie
organizacją
Wdrożenie systemu
Minimalizacja zagrożeń
System „wczesnego
ostrzegania”
Polityka i metodyka
zarządzania ryzykiem
Wiarygodna
sprawozdawczość
Raporty użyteczne do
podejmowania decyzji o
charakterze zarządczym
Dokumentacja systemu
Eksploatacja systemu
Monitorowanie systemu
Podjęcie
współodpowiedzialności
za zarządzanie ryzykiem
w strukturze
organizacyjnej
(centralizowane są
łatwiejsze)
Ciągłe usprawniania
(continous improvement)
Założony poziom
dojrzałości systemu
Wewnętrzne procedury
*Metodologiczny
* Lista procesów
* Rejestr ryzyka
* Mapa ryzyka
* Lista mechanizmów kontrolnych
* Organizacyjny
* Pełnomocnik ds. ryzyka (może być audytor lub
pełnomocnik ds. systemu zarządzania jakością)
* Komitet ryzyka
*Dokumentacyjny
* Strategia
* Polityka + Metodyka
* Procedury
*
Właściciel ryzyka –kierownictwo organizacji
Subwłaściciel ryzyka – jednostka, której właściciel ryzyka
zleca zarządzanie ryzykiem procesu. Właściciel ryzyka
jednego z procesów.
Zarządzanie ryzykiem
•Poziom strategiczny – Wskazanie kierunków działania, ustalenie
polityki, kreowanie kultury organizacji (corporate governance).
•Poziom operacyjny – poprawna realizacja zadań wynikających z
celów strategicznych, wyrażonych przez właściciela w aktach
normatywnych. Wyraża się poprzez określenie zadań i jednostek
organizacyjnych odpowiedzialnych za zarządzanie ryzykiem.
Układ podstawowy
weryfikacja
sterowanie
wejście
przetwarzanie
wyjście
wejścia
ZASOBY
DECYZJE
NORMY
ZASOBY
•wartości
•produkty
•narzędzia
•ludzie
•dane
•technologia
•bezpieczeństwo
•wiedza
•...
NORMY
•akty prawne
•standardy
•procedury
•dobre praktyki
•...
DECYZJE
•wagi
•kryteria
•wybór (tak/nie)
•typy
•...
Zespół tabel do
późniejszej bazy danych
Typy przetwarzania:
–wykonywanie
–projektowanie
–wdrażanie
–testowanie
–opisywanie
–opiniowanie
–analizowanie
–rekomendowanie
–kontrola
–ocenianie
–dostarczenie
–wspieranie
–.....
sterowanie
•Algorytm przetwarzania
•Zasady przetwarzania
(NORMY)
•Efektywność
•Wydajność
•Skuteczność
•Kluczowe wskaźniki
wydajności
•Kluczowe wskaźniki celu
•...
weryfikacja
Mechanizmy kontrolne
Poziom dojrzałości CMM
wyjście
Dane wyjściowe
Sprawozdawczość
wewnętrzna
(gromadzenie wiedzy
o samym procesie przez
jednostkę organizacyjną)
Dane do procesów potomnych
Obróbka wstępna
Dane „na zewnątrz”
statystyka
Badania i rozwój
Realizacja celów organizacji poprzez funkcje
poszczególnych jednostek organizacyjnych
J.O.
J.O.
J.O.
J.O.
J.O.
CELE ORGANIZACJI
Dekompozycja układu
J.O.
J.O.
J.O.
J.O.
J.O.
Selekcja jednostek i nadanie wag
J.O.
0,2
J.O.
0,2
J.O.
J.O.
0,1
J.O.
0,0
0,3
J.O.
J.O.
J.O.
J.O.
J.O.
0,2
0,2
0,1
0,3
0,0
0,15
0,15
0,3
0,2
0,7
Wyodrebnienie procesów
J.O.
J.O.
J.O.
J.O.
0,1
0,3
ZWP1
0,3
0,2
ZWP2
Proces A
0,2
0,2
Proces B
0,15
0,15
ZWP= zagregowana waga procesu
ZWP1...N
„Pieczątka” ryzyka
Strategiczne
Finansowe
Operacyjne
•zagrożenie
•prawdopodobieństwo
•waga
•zagrożenie
•prawdopodobieństwo
•waga
•zagrożenie
•prawdopodobieństwo
•waga
„Pieczątka” ryzyka
J.O.
J.O.
J.O.
J.O.
P
Proces A
0,2
0,2
0,1
0,3
P
Proces B
0,15
0,15
ZWP= zagregowana waga procesu
ZWP1
0,3
0,2
ZWP2
ZWP1...N
„Pieczątka” ryzyka
(przykład)
waga
2
x
3
x
0,5
1
x
1
x
0,7
4
x
4
x
0,1
f(z,p,w)
3
0,7
1,6
zagrożenie
prawdop.
„Pieczątka” ryzyka
S(3)
F(0,7)
O(1,6)
f(S,F,O)
...
...
...
...
Dla każdego z procesów
zasoby
normy
decyzje
kontrola
Risk
proces 1
proces 2
....
proces n
czynności, typy „sterowania”, weryfikacja
Ryzyka procesów zarządzania w szpitalu
(przykład)
Ochrona fizyczna
ISO 9001
BCP
4
3
Systemy IT
2
Zarządzanie jakością
1
Audyt/
kontrola zarządcza
Zgodność i akredytacja
0
Zarządzanie danymi
Incydenty medyczne
Zarządzanie zmianą
Residual
Inherent
* 1. systematyczne i uporządkowane podejście
* 2. Koniecznie związane z SIP
* 3. Integrujące istniejące systemy - aktualizowane
* 4. Interoperabilne
* 5. Powszechnie dostępne
*
Relacje pomiędzy AW i systemem zarządzania
ryzykiem operacyjnym
Business
Unit
Risk
Categories
Strategic
Reporting
Reporting
Business
Objectives
Risks
Processes
Sub -Processes
Entities
Audits
Events
Questionnaire
Reporting
Controls &
Assurances
Management
Testing
Actions
Working
Papers
Model strategicznego zarządzania szpitalem wg. GRC
1
Rejestracja incydentu
Kontrola bezpieczeństwa
BD
Tablet
Treść
Raporty z analizy
ryzyka
Zarządzanie
incydentami/ analiza
przyczyn/ mapa ryzyka
LEX
Prawo
Regulacje
Wewnętrzne
Zakresy
obowiązków
Uprawnienia
Normy
Dobre praktyki
Rejestr
pełnomocnictw i
upoważnień
Audyt wewnętrzny i
kontrola zarządcza
Zarzadzanie
dokumentacją
Dokumenty Rady
Budżetowanie
zadaniowe
Mierzenie
stopnia
obciążenia
pracowników
Zarzadzanie
Umowami
Kompetencje
Analiza
kosztów
BIP
Zarządzanie obiegiem informacji
Moduły
37
* WKP
proponuje
Państwu
cykl
szkoleń
–
począwszy
od
poziomu
podstawowego, na konkretnych dokumentach, a różnych poziomach
zarządczych – zarówno dla części białej jak i szarej.
* Szkolenia,
warsztaty, case studies prowadzone są przez certyfikowanych
międzynarodowo risk managerów (CRMA, CRISC, CGEIT)
* Proponujemy Państwu szkolenia w trybie 1:10:100
* Proponujemy
niezależny nadzór audytorski, nad wdrażaniem systemów IT,
zarzadzania ryzykiem, zarządzania ryzykiem zgodności oraz niezależne
audyty.
* Dostarczamy nie tylko LEXa ale i narzędzia
*
*
* System zarządzania ryzykiem umożliwia nie tylko dokonania
OCENY funkcjonowania organizacji na bieżąco ale wskazuje
perspektywę przyszłości organizacji.
* To jak zarządzamy ryzykiem świadczy o kulturze naszej
organizacji. Spokojne patrzenie w lustro.
* Audyt przeprowadzony dla stwierdzenia „jest dobrze” jest
niewystarczający. Audyt ma wskazać nie tylko stan ale i ryzyka i
jak organizacja się przed nimi zabezpieczona.
* Zarządzanie ryzykiem jest trudne z powodu tego, że wymaga
ogromnej, pozytywnej woli Zarządu zrewidowania własnego
stylu zarządzania organizacją - jasnego określenia jakości i
świadomości
A tak właściwie to po co nam
zarządzanie ryzykiem?
Jesteśmy przecież jak ryba w wodzie.
PIOTR WELENC,
CISA, CICA, CGEIT, CRISC, CRMA, QAVal
Dyrektor rozwoju rynku
Governance-Risk-Compliance
Wolters Kluwer Polska S.A.
Warszawa, ul. Płocka 5a
tel. 603692276
[email protected]
Download
Random flashcards
123

2 Cards oauth2_google_0a87d737-559d-4799-9194-d76e8d2e5390

bvbzbx

2 Cards oauth2_google_e1804830-50f6-410f-8885-745c7a100970

Pomiary elektr

2 Cards m.duchnowski

słowka

2 Cards kksenia.kot1997

Create flashcards