Zarządzanie ryzykiem nadużyć
Transkrypt
Zarządzanie ryzykiem nadużyć
Zarządzanie ryzykiem nadużyć – pro-aktywne podejście do walki z nadużyciami Listopad 2013 Zarządzanie ryzykiem nadużyć – pro-aktywne podejście do walki z nadużyciami Plan prezentacji 1. Wypracowanie założeń programu – czyli co chcemy osiągnąć 2. Opracowanie rejestru adekwatnych ryzyk oraz ich ocena 3. Zaprojektowanie i wdrożenie mechanizmów kontrolnych 4. Monitorowanie i wykrywanie incydentów 5. Reakcja na incydenty 6. FM SAT © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 2 Wypracowanie założeń programu – czyli co chcemy osiągnąć Założenia Wzrost efektowności zapobiegania, wykrywania i reagowania na nadużycia. Zmniejszenie strat generowanych przez występujące nadużycia. Cel główny Ograniczenie strat finansowych spowodowanych nadużyciami i korupcją poprzez: • Identyfikację ryzyk występujących w najważniejszych procesach biznesowych, gdzie podejmowane są kluczowe decyzje mające wpływ na funkcjonowanie Spółki. • Ocena zidentyfikowanych ryzyk pod kątem ich istotności, prawdopodobieństwa wystąpienia i występujących kluczowych czynników ryzyka, oraz • Wypracowanie planu działań mającego na celu zminimalizowanie prawdopodobieństwa wystąpienia zidentyfikowanych ryzyk oraz zapobieganie występowaniu tych i nowych ryzyk w przyszłości. A Główne fazy Założenia programu B Identyfikacja i ocena ryzyka Produkt końcowy • Stworzenie rejestru ryzyk nadużyć wraz z oceną (prawdopodobieństwo/wpływ) i planem działania krótko i długoterminowego. • Optymalizacja istniejących i wdrożenie nowych mechanizmów kontrolnych. Ujęcie mechanizmów kontrolnych w procedurach przedsiębiorstwa. Czynniki Sukcesu • Dostępność odpowiednich danych i dokumentacji. • Współpraca przy analizie procesów, przeprowadzania warsztatów oraz dyskusji panelowych kadry zarządzającej i kierowniczej. C Zaprojektowanie i wdrożenie mechanizmów kontrolnych D Monitorowanie i wykrywanie incydentów © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 3 Opracowanie rejestru adekwatnych ryzyk oraz ich ocena Istnieje wiele sposobów identyfikacji ryzyka nadużyć Jednym z najlepszych źródeł informacji na temat zagrożeń dla prowadzonej działalności są PRACOWNICY, którzy na co dzień mają do czynienia z rzeczywistością gospodarczą w danym obszarze. 1. Identyfikacja możliwych schematów nadużyć ■ Wywiady i warsztaty z pracownikami (kadra zarządzająca i pracownicy szeregowi) ■ Przegląd wyników prac poprzednich audytów dochodzeniowych, przegląd bazy incydentów, inne źródła zdarzeń historycznych ■ Źródła zewnętrzne, inne instytucje finansowe, konsultanci zewnętrzni 2. Opracowanie rejestru ryzyk ■ Rejestr może przybierać różne formy i zawierać różny zakres informacji, poniżej prezentujemy przykład rejestru ryzyk uzgodniony z jednym z naszych Klientów: LP. Źródło danych Kategoria nadużycia Podkategoria Ryzyko Schemat nadużycia Funkcja Proces 145 Wywiad z pracownikiem Sprzeniewierz enie majątku Zarządzanie gotówką Zaniżona sprzedaż Agent otrzymuje płatność w gotówce. Agent raportuje zapłatę w ratach. Nadwyżki posiadane przez agenta są inwestowane. Obsługa umów ubezpieczeń majątkowych Ubezpieczenia majątkowe © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 4 Opracowanie rejestru adekwatnych ryzyk oraz ich ocena Upewnij się, że wszyscy mają takie samo rozumienie zidentyfikowanych Przykładowe narzędzie do oceny schematów nadużyć - anonimowy system do głosowania schematów nadużyć / występujących ryzyk Każdy uczestnik otrzymuje pulpit do głosowania nadużyć. Pomoże to trafnie ocenić prawdopodobieństwo wystąpienia i wpływ na organizację. Wynikiem warsztatu jest matryca obrazujące prawdopodobieństwo wystąpienia i wpływ nadużycia Odpowiedzi są przetwarzana w czasie rzeczywistym. Wyniki wyświetlane są od razu na ekranie. © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 5 Opracowanie rejestru adekwatnych ryzyk oraz ich ocena Zwróć uwagę na realną dla danego obszaru definicję poszczególnych poziomów prawdopodobieństwa i Dwa kryteria wykorzystywane są do oceny ryzyka: PRAWDOPODOBIEŃSWTO oraz WPŁYW • Poniżej przedstawiamy przykładowe kryteria uzgodnione z klientem. Proszę zwrócić uwagę iż mogą być one różne dla innych obszarów działania. wpływu. Prawdopodobieństwo Wpływ 5 Very likely Częściej niż 10 razy w roku (częściej niż 2 razy w tygodniu, prawie codziennie) 5 Catastrophic Pow. 5.000.000 EUR 4 Probable Częściej niż 10 razy w roku (częściej niż raz w miesiącu) 4 Major Pow. 500.000 EUR 3 Possible Częściej niż 1 w roku 3 Moderate Pow. 20.000 EUR 2 Unlikely Raz na 5 lat 2 Minor Pow. 1.000 EUR 1 Rare Raz na 10 lat 1 Insignificant Do 1.000 EUR © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 6 Opracowanie rejestru adekwatnych ryzyk oraz ich ocena To Kadra Zarządzająca jest odpowiedzialna za działalność operacyjną i to Ostateczna wartość prawdopodobieństwa i wpływu może zostać obliczona na podstawie wartości średniej ona powinna zdecydować o priorytetach. Przedstawiane narzędzia maja wspomagać decyzję więc jest niezmiernie Poniższa tabela przedstawia przykładowe ostateczne oceny ryzyka Probabilit Very likely istotne, aby były przygotowane w sposób Impact Probable Possible Unlikely Rare 5 4 3 2 1 profesjonalny i w maksymalnym stopniu Catastrophic 5 Extreme Extreme Very high High Moderate Major 4 Extreme Very high High Moderate Low Moderate 3 Very high High Moderate Low Very low Minor 2 High Moderate Low Very low Very low Insignificant 1 Moderate Low Very low Very low Very low odzwierciedlały rzeczywistość. © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 7 Przykładowe wyniki No. 1 2 3 4 5 Zidentyfikowane ryzyko Opis problemu Prawd. wystąpienia Ryzyka związane z Po połączeniu 2 banków nie wszystkie systemy IT zostały Possible systemami IT. rozpoznane i zsynchronizowane. Np. istnieją różnice w terminie zamknięcia tych samych czynności księgowych dokonywanych w różnych systemach. Może to sprzyjać nadużyciom poprzez inne terminy raportowania zdarzeń gospodarczych. Zastosowanie Istnieje ryzyko wprowadzenia przez pracownika innego Possible nieprawidłowej oprocentowania pożyczki niż jest oficjalnie opublikowane na stawki procentowej. stronach internetowych banku. Brak weryfikacji danych wprowadzanych do systemu przez niezależną osobę. Przekraczanie Istnieje ryzyko iż dilerzy rynków kapitałowych będą Possible limitów związanych przekraczali akceptowalne przez Bank poziomy ryzyka i z produktami wielkości dokonywanych transakcji w związku z brakiem rynków adekwatnych i skutecznych kontroli monitorujących kapitałowych. dokonywane przez nich transakcje. Kadry. Ryzyko iż pracownicy departamentu bankowości inwestycyjnej Possible i finansów nie byli poddani weryfikacji (employee duediligence) i dokonywali w przeszłości nadużyć finansowych. Istnieje większe ryzyko zmowy między takimi pracownikami w celu ominięcia mechanizmów kontrolnych. Niepoprawne Istnieje ryzyko nie wykrycia nie autoryzowanych księgowań Possible uzgodnienia sald manualnych, nieautoryzowanych zmian w produktach, różnic lub brak uzgodnień między systemami produktowymi a księgowymi, ukrywanie lub nie wyjaśnianie strat na handlu produktami bankowymi. Istnieje również różnic. ryzyko, że nieprawidłowości zostaną wykryte za późno. Wpływ Major 7 Skuteczność Ryzyko mechanizmu rezydualne kontroli Nieefektywne 7 Moderate 6 Nie istnieją 6 Moderate 6 Nieefektywne 6 Major 7 Efektywne 4 Major 7 Efektywne 4 Ryzyko nieodłączne © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 8 Zaprojektowanie i wdrożenie mechanizmów kontrolnych Zrewiduj istniejące mechanizmy kontrolne. Unikaj powielania się kontroli, zwiększa to ilość pracy i może być podważane Istniejące mechanizmy Ocena Identyfikacja wszystkich istniejących mechanizmów kontrolnych wprowadzonych w odpowiedzi na określone ryzyka. Ocena operacyjnej efektywności zidentyfikowanych mechanizmów kontrolnych. Optymalizacja przez pracowników (wpływa negatywnie na postrzeganie zasadności kontroli). Może się okazać, że istnieje wiele kontroli przeciwdziałających jednemu ryzyku. Wprowadzenie nowych mechanizmów udoskonalających istniejące kontrole i/lub pokrywających obszary do tej pory nie kontrolowane. System kontroli wewnętrznej © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 9 Fraud Management Strategy Assessment Tool – FM SAT Prosty sposób oceny ryzyka nadużyć. Określenie ogólnego zarysu kontroli w kluczowych aspektach zarządzania ryzykiem nadużyć. Zrozumiały i prosty sposób oceny. 1. Narzędzie strategicznej oceny ryzyka nadużyć (FMSAT) jest kwestionariuszem oceny ryzyka nadużyć przeprowadzanym on-line. 2. Pomaga dokonać przeglądu środowiska kontroli zapobiegających nadużyciom w krótkim czasie i niewielkim nadkładem pracy. 3. Umożliwia dostarczenie ogólnego zarysu kontroli stosowanego na poziomie organizacji, którego celem jest zapobieganie, wykrywanie i reagowanie na nadużycia oraz porównanie ich z najlepszymi praktykami stosowanymi w danej branży. 4. W ostatnim badaniu 32 największych międzynarodowych spółek, spotkaliśmy się z następującymi komentarzami określającymi wartości dodane wynikające z zarządzania ryzykiem nadużyć: „Pomaga ono chronić reputację/markę organizacji”; „Jest skuteczne w zapobieganiu stratom”; „Ma pozytywny wpływ na kulturę organizacji, morale i lojalność”; „Pomaga uzyskać korzyści finansowe w co trzeciej z badanych firm”. 5. KPMG przypisuje oceny w oparciu o odpowiedzi uzyskane na konkretne pytania. Znaczenie tych ocen było następujące: Odpowiedź zdecydowanie pozytywna na pytanie dotyczące Strategii Zarządzania Nadużyciami Odpowiedź raczej pozytywna na pytanie dotyczące Strategii Zarządzania Nadużyciami Odpowiedź raczej negatywna na pytanie dotyczące Strategii Zarządzania Nadużyciami Odpowiedź zdecydowanie negatywna na pytanie dotyczące Strategii Zarządzania Nadużyciami © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 10 FM SAT – Podsumowanie, Dostęp do badania Wyniki prezentowane w formie raportu. Raport może zawierać odniesienie do standardów rynkowych. Raport będzie wzbogacony o komentarze ekspertów KPMG w odniesieniu do poszczególnych 1. Chcielibyśmy zachęcić Państwa do udziału w badaniu i odpowiedzi na pytania zawarte w kwestionariuszu. Wyniki ankiety będziecie mogli Państwo otrzymać w formie raportu wzbogaconego o komentarze ekspertów KPMG w odniesieniu do poszczególnych zagadnień. 2. Brak limitu respondentów, sprawdza się zasada, że im więcej osób w ramach firmy weźmie udział w badaniu tym bardziej miarodajne będą jego rezultaty. 3. Nasze doświadczenie wskazuje że miarodajne wyniki z przeprowadzonej ankiety można uzyskać w przypadku gdy ankieta wypełniona zostanie przez co najmniej 8 przedstawicieli jednego respondenta. Dlatego też zachęcamy do dystrybucji ankiety wśród kadry zarządzającej w firmie, preferowane osoby to Członkowie Zarządu, Dyrektorzy Finansowi, Dyrektorzy ds. prawnych, Compliance, Audytu, Kadr i Płac jak również Dyrektorzy Operacyjni. 4. Wynik ankiety oraz zagadnienia w niej zawarte będą mogli Państwo wykorzystać jako podsumowanie podejścia do Zarządzania Ryzykiem Nadużyć w firmie np. w kontekście wymogów ISA 240 które obowiązują audytora finansowego spółki. zagadnień. Ankieta jest anonimowa a jej wypełnienie nie powinno zająć dłużej niż 15min. Łatwy i anonimowy dostęp Z góry dziękujemy za udział w badaniu. do badania. Wersja polska (PL): Dostęp online – prosimy o kontakt Link to EN version: Dostęp online – prosimy o kontakt © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 11 Kontakt Agnieszka Gawrońska Malec Marcin Izbicki Director, KPMG Advisory Principal Consultant, KPMG Advisory Tel. kom: +48 664 718 836 Tel. kom: +48 664 718 617 Tel. +48 (22) 528 12 86 Tel. +48 (22) 528 18 01 Fax. +48 (22) 528 11 09 Fax. +48 (22) 528 11 09 [email protected] [email protected] Zbigniew Czyżewski Manager, KPMG Advisory Tel. kom: +48 509 413 383 Tel. +48 (22) 528 18 07 Fax. +48 (22) 528 11 09 [email protected] © 2013 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative (“KPMG International”), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce. 12