Jeżeli szukasz odpowiedzi na pytania:
Co to jest audyt wewnętrzny?
Co to jest zarządzanie ryzykiem?
Jak łączą się oba elementy w podnoszeniu efektywności organizacyjnej?
Jakie cele warto stawiać przed RM (risk management)?
Jak organizować RM w firmie?
to powiniennaś/eś zapoznać się z najnowszą prezentacją z cyklu Manage or Die Inspirations 2012, pt. Zarządzanie ryzykiem i audytem wewnętrznym.
jeżeli jesteś specjalistą z tych dziedzin, prosimy o konstruktywną polemikę do tego materiału.
Serdecznie polecamy
Prezentację przygotował: Sebastian Pilorz
Przywództwo, a proces doskonalenia menedżera - Manage or Die Inspiration
Zarządzanie ryzykiem i audytem wewnętrznym - Manage or Die Inspiration
1. inspirations
ZARZĄDZANIE RYZKIEM i AUDYTEM
WEWNĘTRZNYM
PROSTO O TRUDNYCH SPRAWACH…
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
2. inspirations
RYZYKO – Co to jest?
• dotyczy każdej organizacji
• dotyczy wszystkich obszarów, procesów i projektów
• wynika z działania lub jego braku
• wynika z otoczenia lub wnętrza organizacji
• obejmuje negatywne konsekwencje oraz niewykorzystane
możliwości.
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
2
3. inspirations
RYZYKO – Co to jest?
W języku naturalnym oznacza
jakąś miarę/ocenę zagrożenia czy
niebezpieczeństwa wynikającego
albo z prawdopodobnych zdarzeń
od nas niezależnych,
albo z możliwych konsekwencji
podjęcia decyzji.
Najogólniej, ryzyko jest
wskaźnikiem stanu lub zdarzenia,
które może prowadzić do strat.
strat
Jest ono proporcjonalne do
prawdopodobieństwa wystąpienia
tego zdarzenia i do wielkości strat,
które może spowodować.
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
3
4. inspirations
RYZYKO – kluczowe pytanie
Dlaczego warto
systemowo zarządzać
ryzykiem biznesowym?
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
4
5. inspirations
RYZYKO – motywacje
Zarządzając ryzykiem możemy:
- adekwatnie alokować środki
- skutecznie zapobiegać
- poprawiać jakość podejmowanych decyzji
na wszystkich poziomach organizacji
- zwiększać wartość przedsiębiorstwa
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
5
6. inspirations
RYZYKO – elementy procesu
Z draftu procedury Zarządzania Ryzykiem i Audytem Wewnętrznym
firmy XXX:
„Proces zarządzania ryzykiem składa się z następujących po sobie
etapów :
– Identyfikacji i analizy
– Oceny
– Planowania zabezpieczeń
– Monitorowania zabezpieczeń
– Raportowania ”
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
6
7. inspirations
ZARZĄDZANIE RYZYKIEM – cele
Cele formalne
• Określenie ryzyk funkcjonujących w organizacji.
• Skatalogowanie ryzyk w organizacji.
• Zasilenie systemu zarządzania ryzykiem w informacje.
• Określenie znaczenia poszczególnych ryzyk dla
organizacji.
• Opracowanie rekomendacji w zakresie niwelowania ryzyk
lub prawdopodobieństwa ich wystąpienia
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
7
8. inspirations
ZARZĄDZANIE RYZYKIEM – cele
Cele nieformalne
• Budowa świadomości istnienia ryzyk u wszystkich
zaangażowanych.
• Refleksja u poszczególnych osób nad ryzykami
dotyczącymi poszczególnych stanowisk/funkcji.
• Pobudzenie do myślenia:
– czy zajmujemy się danym ryzykiem?
– czy nie angażujemy zbyt dużych/małych zasobów do
zarządzania danym ryzykiem?
– czy to co postrzegamy jako ryzyko stanowi ryzyko?
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
8
9. inspirations
IDENTYFIKACJA RYZYKA
Nie możemy zarządzać
ryzykiem,
którego nie znamy!
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
9
10. inspirations
IDENTYFIKACJA RYZYKA
NARZĘDZIA i ŹRÓDŁA INFORMACJI
• Karta Ryzyka
• ryzyka@firma.pl
• Raporty z audytów wewnętrznych i zewnętrznych
• Raporty szkodowe
• Informacja od właścicieli obszarów i procesów
• Dane z otoczenia - branży i rynku
• Dane historyczne
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
10
11. inspirations
IDENTYFIKACJA RYZYKA
GWARANCJA DOSTĘPU DO DANYCH
Z draftu procedury Zarządzania Ryzykiem i Audytem Wewnętrznym w firmie XXX:
„Zestawienie danych i informacji jest niezbędne do właściwej i rzetelnej identyfikacji ryzyk.
Dyrektor ds. Zarządzania Ryzykiem i Audytu jest upoważniony do uzyskania pełnej
informacji i dostępu do niezbędnych danych”
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
11
12. inspirations
OCENA I KLASYFIKACJA RYZYKA
Nie możemy zarządzać
ryzykiem,
którego nie możemy
zmierzyć.
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
12
13. inspirations
OCENA I KLASYFIKACJA RYZYKA
Źródło: Raport „Firma XXX - Mapowanie ryzyka oraz ocena systemu zarządzania ryzykiem”; AoN 2009
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
13
14. inspirations
SKUTKI FINANSOWE
OCENA I KLASYFIKACJA RYZYKA
AoN 2009 (2) BBJ 2010-11 (1)
1 Nieznaczące Poniżej 50 tys. zł Poniżej 100 tys. zł
2 Niewielkie 50 tys. zł – 500 tys. zł 100 tys. zł – 1,0 mln zł
3 Istotne 500 tys. –1 mln zł 1,0 mln –5 mln zł
4 Duże 1 mln – 3 mln zł 5 mln – 15 mln zł
5 Bardzo duże Ponad 3 mln zł Ponad 15 mln zł
1) Źródło: Ocena ryzyka technicznego i operacyjnego metodą COSSO II; Menedżer XXX 2010
2) Źródło: Raport „Firma XXX.
Mapowanie ryzyka oraz ocena systemu zarządzania ryzykiem”; AoN 2009
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
14
15. inspirations REZULTATY WARSZTATÓW OCEN
RYZYKA
OCENA I KLASYFIKACJA RYZYKA
Mapa - skutki finansowe
5
4
Skutki finansowe
3
2
1
0
0 1 2 3 4 5
Prawdopodobieństwo
Źródło: Ocena ryzyka technicznego i operacyjnego metodą COSSO II; Menedżer XXX
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
15
16. inspirations
OCENA I KLASYFIKACJA RYZYKA
• Zanim rozpocznie się proces oceny i klasyfikacji, znaczenie
poszczególnych ocen prawdopodobieństwa i skutku musi być
precyzyjnie określone. W przeciwnym wypadku poszczególne punkty
skali ocen mogą mieć różne znaczenie dla różnych osób.
• Definicje skali prawdopodobieństwa oraz skali skutku powinny zostać
jasno zdefiniowane w regulacjach wewnętrznych przedsiębiorstwa.
W INNYM PRZYPADKU….
ŚMIECI NA WEJŚCIU
= ŚMIECI NA WYJŚCIU
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
16
17. inspirations
PROBLEMY
PRZY ANALIZIE I OCENIE RYZYKA
Bariery negatywnie wpływające na proces
analizy i oceny ryzyka:
•Brak kultury organizacyjnej, w której doganiałoby się korzyści
płynące z zarządzania ryzykiem,
•Niedojrzałe praktyki zarządzania ryzykiem,
•Brak zasobów i czasu, potrzebnych na kwantyfikację ryzyka,
•Brak jasno zdefiniowanej polityki, procesów i planów,
•Brak wśród najwyższego kierownictwa przywódcy
zainteresowanego zarządzaniem ryzykiem,
•Brak szkoleń, wiedzy oraz formalnych narzędzi i technik
pomiaru ryzyka,
•Brak jasnych wytycznych dla kierownictwa i personelu,
•Brak zachęt do uczestnictwa w pomiarze ryzyka
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
17
18. inspirations
PLANOWANIE ZABEZPIECZEŃ
STRATEGIE zarządzania ryzykiem i ZABEZPIECZENIA
STRATEGIA OPIS
strategia polega na świadomej akceptacji możliwych negatywnych skutków
materializacji ryzyka, np. akceptacja ryzyka kradzieży firmowego
akceptacja samochodu
strategia polega na powstrzymaniu się od działań (unikaniu ich), które
eksponują firmę na dany rodzaj ryzyka, np. nie zawieranie umów z
unikanie kontrahentami o niskiej reputacji
strategia polega na usunięciu całej kategorii ryzyka generowanego przez dany
rodzaj działalności, np. zawieranie umów z podmiotami o niskiej
reputacji, ale wyłącznie w przypadku, gdy podmiot ten w całości
eliminacja zabezpieczy swoje zobowiązania wobec naszej firmy
strategia polega na zmniejszeniu negatywnego wpływu materializacji ryzyka
lub prawdopodobieństwa jego wystąpienia, np. poprzez dywersyfikację
redukcja źródeł zaopatrzenia, rynków zbytu, itp.
strategia polega na przekazaniu (wytransferowaniu) ryzyka do innego
podmiotu, np. do firmy ubezpieczeniowej, poprzez zawarcie umowy
transfer ubezpieczenia majątku, utraty zysku, odpowiedzialności cywilnej, itp.
strategia polega na zwiększeniu ponoszonego ryzyka w celu uzyskania
zwiększenie dodatkowych korzyści
brak strategii Brak świadomej decyzji odnośnie strategii zarządzania ryzykiem.
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
18
19. inspirations
RYZYKO - monitorowanie
MONITOROWANIE wpisane w AUDYT WEWNĘTRZY
• Obejmuje CAŁY łańcuch wartości (również audyt dostawców
traktujemy jak wewnętrzny)
• Jak się zmieniają ryzyka
• Czy pojawiają się nowe, nieznane dotąd ryzyka
• Czy działania zaradcze i środki kontroli są:
– Adekwatne do ryzyk
– Przestrzegane/wykonywane
– Skuteczne
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
19
20. inspirations
AUDYT WEWNĘTRZNY - idea
Audyt wewnętrzny jest wyrazem kryzysu do metod
zarządzania w organizacji.
Wymaga uruchomienia strony trzeciej, bardziej
obiektywnej, gwarantującej mechaniczną obiektywność.
Audyt jest de facto nośnikiem wartości psychologicznych
i socjologicznych – dostarcza zaufania.
Audyt wewnętrzny jest UWIARYGODNIENIEM
standardów zarządzania.
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
20
21. inspirations
AUDYT
MA
UMACNIAĆ
ZAUFANIE
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
21
22. inspirations
AUDYT WEWNĘTRZNY –
obszary aktywności
Zgromadzenie informacji o wszystkich koniecznych Audytach
wewnętrznych w Firmie XXX
Identyfikacja procesów wymagających audytów poza systemowych.
Przygotowanie Harmonogramu Audytów w Fimie XXX
Szkolenie i Koordynacja pracy Zespołów Audytu
Włączenie wyników AW do procesu identyfikacji ryzyka
Nadzór nad terminowością i kompletnością przeprowadzanych audytów
Nadzór, kompletowanie i weryfikacja dokumentacji z audytów
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
22
23. inspirations
AUDYT WEWNĘTRZNY vs RYZYKO –
interakcje i synergia
• Monitorowanie procesów
• Weryfikacja skuteczności ZR w procesach
• Weryfikacja zgodności działań w obszarze ZR z przyjętą polityką
• Udział we wdrożeniu metodologii (etap powdrożeniowy)
• Przygotowanie planu audytu
• Aktualizacja rejestru ryzyk na podstawie wyników przeglądów
• Wczesna rejestracja nowych zagrożeń
• Wyznaczanie nowych ryzyk i priorytetów audytu
• Wymuszanie nowego pojmowania, sposobów weryfikacji i ocen podczas
Audytów
• Skupienie się na rezultatach – decyzjach, działaniach, zmianie a nie tylko na
procedurach
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
23
24. inspirations
RYZYKO i AUDYT - komunikacja
„Największy
problem związany
z komunikacją
to iluzja, że do niej
doszło”
George Bernard Shaw
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
24
25. inspirations
RYZYKO i AUDYT – KOMUNIKACJA
Forma
Częstotliwo komunika
ść Nadawca informacji Cel cji Odbiorca informacji
Raport: z monitoringu ryzyk i realizacji strategii wobec Prezentacj
DZRiA poszczególnych ryzyk. a Zarząd Firmy XXX
Uchwała/
Apetyt na ryzyko - określenie i akceptacja kryteriów oceny Zarządzen
Raz w roku Zarząd Firmy XXX ryzyka ie Organizacja/DZRiA
Informacja o zaakceptowanych przez Zarząd tabela/
DZRiA zabezpieczeniach - do realizacji mail Zarząd, WR
Zarząd Informacja o zaakceptowanych zabezpieczeniach DZRiA
mapa/
Mapy ryzyka ze wskazaniem ryzyk mających charakter mail lub
DZRiA kluczowy i strategiczny wraz z rekomendacją zabezpieczeń spotkanie EPPIDO, Zarząd
Raz na Raport z aktualnego stanu ryzyk oraz odchyleń w realizacji raport
kwartał WR zabezpieczeń. exl./mail DZRiA
raport
DZRiA Aktualna Macierz i Mapy Ryzyka+ aktualne zabezpieczenia exl./mail Zarząd, WR
DZRiA; BB; Zarząd Spółki;
Raz w raport Dyrektor odpowiedzialny
miesiącu Audytorzy wewnętrzni Raporty z przeprowadzonych audytów wewnętrznych exl./mail za dany obszar
informacja
Dyrektorzy obszarów Zapotrzebowania co do audytów /mail DZRiA
WR/Man ds. formularz
Ubezpieczeń Zgłoszenie zdarzeń, incydentów / mail DZRiA
intranet;
Na bieżąco/ szkolenia/ Wszyscy pracownicy
codziennie DZRiA Informacja o BZR/ wdrożenie procedury spotkania Firmy XXX
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
25
26. inspirations
ZARZĄDZANIE RYZYKIEM - role
ZARZĄD
odpowiedzialność za przyjętą strategię Zarządzania
Ryzykiem
i określenie „apetytu” na Ryzyko
MANAGER RYZYKA
WŁAŚCICIEL RYZYKA
odpowiedzialność za standard i
odpowiedzialność za Zarządzanie
komunikację
Ryzykiem w swoim obszarze i procesie
w procesie Zarządzania Ryzykiem
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
26
27. inspirations
WŁAŚCICIEL RYZYKA - rola
• Właściciel Ryzyka – osoba odpowiedzialna za postępowanie wobec ryzyka, jest z niego
rozliczana
• Kryteria wyboru
– Kompetencje w obszarze którego dotyczy ryzyko
• Władza managerska do podejmowania i realizowania decyzji w tym obszarze
– Budżet na realizację decyzji
– Realna władza (nie nominalna)
– Rozliczany za decyzje czy i jak kontrolować ryzyko tzn czy, jak i ile inwestować w
minimalizację ryzyka
– Rozliczany za występowanie „jego” ryzyka (czyli za realizację)
– Ryzyko alokowane tym wyżej w hierarchii im wyższy ma wpływ
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
27
28. inspirations
WŁAŚCICIELE RYZKA W OBSZARACH
Obszary Ryzyka Firma XXX
Strategiczne Zarząd Firmy XXX
Personalne Dyrektor Personalny
Prawny
Biuro Zarządu
Finanse( windykacja, finansowanie)
Dyrektor Finansowy
Sprawozdawczość Finansowa Dyrektor Finansowy
Operacyjne
Dyrektor Operacyjny
Inwestycje (CAPEX)
Dyrektor Controllingu
Ubezpieczenia Menedżer ds. Ubezpieczeń
Środowiskowe Menedżer ds. Ochrony Środowiska
Komunikacyjne/PR Dyrektor Marketingu
IT Dyrektor IT
Zakupowe (Łańcuch Dostaw) Dyrektor Supply Chain
Infastruktura
Dyrektor ds. Zarządzania Bieżącym Utrzymaniem Infrastruktury
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
28
29. inspirations
MENEDŻER RYZYKA - rola
Identyfikacja Ryzyka Ocena Ryzyka, planowanie Komunikacja i Raportowanie
zabezpieczeń i Zarządzania Ryzykiem
monitorowanie
Mapa Ryzyka
Wdrożenie i promowanie
ogólno dostępnego Rejestru
Zagrożeń Przygotowanie i Rejestr Zagrożeń
przeprowadzenie warsztatów
oceny dla ryzyk kluczowych
Merytoryczne wsparcie i
weryfikacja wypełniania Kart Odchylenia przy realizacji
Ryzyka przez Właścicieli zabezpieczeń
Wsparcie Właścicieli ryzyka w Promowanie i szkolenia z
opracowaniu zabezpieczeń metodologii Zarządzania
Ryzykiem
Agregacja, analiza i wstępna
ocena otrzymanych danych z
Kart Ryzyk i rejestru zagrożeń Informowanie o
– wybór ryzyk kluczowych Bieżący nadzór nad zidentyfikowanych ryzykach
zarządzanych centralnie vs wdrażaniem zabezpieczeń Organizacji (podnoszenie
ryzyka monitorowane świadomości)
Monitorowanie zabezpieczeń Raportowanie w górę
(Zarząd, RN, udziałowcy)
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
29
30. inspirations
ZARZĄD - rola
• Rola Zarządu we wdrażaniu i funkcjonowaniu Zarządzania Ryzykiem
– Cele Zarządzania Ryzykiem
– Ustalenie apetytu na ryzyko (kryteria)
– Umożliwienie startu
– Odpowiedzialność za ryzyka krytyczne
– Zarządzanie kryzysami
Brak wsparcia Zarządu uśmierca
Zarządzanie Ryzykiem
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
30
31. inspirations
Wyrażamy zgodę na wykorzystywanie niniejszych
materiałów, pod warunkiem zacytowania źródła.
Zdjęcia i ilustracje: www.dreamstime.com, www.microsoft.com
Wyrażamy zgodę na wykorzystywanie niniejszych materiałów, pod warunkiem podania źródła - FRM Manage or Die Opracował: Sebastian Pilorz
31