KRI

Wskaźniki ryzyka
w jednostkach finansów
publicznych
Przemysław Wistel
Menedżer, Dział Zarządzania Ryzykiem
© 2010 Deloitte Polska
Bezpiecznie i oszczędnie?
Istotność KRI w zarządzaniu ryzykiem w jednostkach finansów publicznych
Rodzaje stosowanych wskaźników
Ryzyko a jednostki finansów publicznych (rys historyczny)
Zasady tworzenia efektywnych KRI
Przegląd wskaźników stosowanych w jednostkach finansów publicznych
Pytania
© 2010 Deloitte Polska
Rodzaje wskaźników stosowanych w monitoringu ryzyk
• Podstawowym przesłaniem zarządzania ryzykiem jest powiązanie celów z ryzykiem i
odpowiedzią na ryzyko
• KRI – Key Risk Indicator (kluczowy wskaźnik ryzyka)
• KPI – Key Performance Indicator (kluczowy wskaźnik efektywności)
• KCI – Key Control Indicator (kluczowy wskaźnik mechanizmów kontrolnych)
• KPI jednego obszaru mogą stanowić KRI w innym
• KRI mogą informować o aktualnej ekspozycji na ryzyko, jeśli odnoszą się do zdarzeń.
Mogą też stanowić sygnały ostrzegawcze, jeśli odnoszą się do uwarunkowań.
Te drugie mają większą wartość zarządczą.
© 2010 Deloitte Polska
Standardy kontroli finansowej (Ministerstwo Finansów, 2003)
KPI:
• Kierownik jednostki zapewnia przygotowanie rocznego planu pracy jednostki
zawierającego poszczególne cele i zadania, komórki organizacyjne odpowiedzialne za
ich realizację oraz zasoby (np. osobowe, finansowe, rzeczowe) przeznaczone do ich
realizacji. Kierownik jednostki prowadzi bieżącą ocenę (monitoring) realizacji zadań
za pomocą mierzalnych wskaźników lub precyzyjnie zdefiniowanych kryteriów.
IDENTYFIKACJA RYZYKA:
• Kierownik jednostki systematycznie, nie rzadziej niż raz w roku, dokonuje identyfikacji
zewnętrznego i wewnętrznego ryzyka związanego z osiąganiem celów jednostki,
dotyczącego zarówno działania całej jednostki, jak i prowadzonych przez jednostkę
konkretnych programów, projektów czy zadań. W przypadku zmiany warunków w
których funkcjonuje jednostka, identyfikacja ryzyka powinna być ponawiana.
Źródło: Standardy kontroli finansowej w jednostkach sektora finansów publicznych, Ministerstwo Finansów, 2003
© 2010 Deloitte Polska
Wytyczne do samooceny kontroli finansowej w jednostce
sektora finansów publicznych (Ministerstwo Finansów, 2007)
Analiza ryzyka:
• Zidentyfikowane ryzyka poddawane są gruntownej i całościowej analizie. (…)
W szczególności każde ryzyko poddane analizie przypisywane jest do odpowiednich
celów.
• Kierownik jednostki wyznaczył poziom ryzyka akceptowalnego dla jednostki, czyli
stopień ryzyka, jaki jednostka gotowa jest podjąć („apetyt na ryzyko”). W szczególności:
przy określaniu apetytu na ryzyko kierownik jednostki uwzględnił sytuację jednostki (…),
wielkość kosztów ograniczenia danego ryzyka.
• Apetyt na ryzyko jest zróżnicowany w zależności od rodzaju i istotności danego ryzyka.
(NIE RZADZIEJ NIŻ RAZ W ROKU)
Źródło: Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych, Ministerstwo Finansów, 2007
© 2010 Deloitte Polska
4
Wytyczne do samooceny kontroli finansowej w jednostce
sektora finansów publicznych (Ministerstwo Finansów, 2007)
(2)
Reakcja na ryzyko i działania zaradcze:
• Zarządzający określił rodzaj reakcji w stosunku do danego ryzyka (np. przeniesienie,
tolerowanie, działanie, wycofanie się). W szczególności: zostały zaplanowane i
wdrożone odpowiednie działania w stosunku do każdego ryzyka, które nie może być
przez jednostkę zaakceptowane, zgodnie z ustalonym rodzajem reakcji (…)
• Kierownik jednostki monitoruje funkcjonowanie procesu zarządzania ryzykiem w
jednostce.
• Dla każdego ryzyka został ustalony „właściciel”, czyli osoba odpowiedzialna za
zarządzanie tym ryzykiem.
(DZIAŁANIE BIEŻĄCE)
© 2010 Deloitte Polska
5
Kontrola zarządcza (Ministerstwo Finansów, 2009)
6. Określanie celów i zadań, monitorowanie i ocena ich realizacji
• Cele i zadania należy określać jasno i w co najmniej rocznej perspektywie. Ich
wykonanie należy monitorować za pomocą wyznaczonych mierników.
• W jednostce nadrzędnej lub nadzorującej należy zapewnić odpowiedni system
monitorowania realizacji celów i zadań przez jednostki podległe lub nadzorowane.
• Zaleca się przeprowadzanie oceny realizacji celów i zadań uwzględniając kryterium
oszczędności, efektywności i skuteczności.
• Należy zadbać, aby określając cele i zadania wskazać także jednostki, komórki
organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie oraz zasoby
przeznaczone do ich realizacji.
(KPI)
Źródło: Ustawa z dnia 27 sierpnia 2009r. o finansach publicznych; Komunikat nr 23 Ministra Finansów
z dnia 16 grudnia 2009r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych
© 2010 Deloitte Polska
6
Kontrola zarządcza (Ministerstwo Finansów, 2009) (2)
7. Identyfikacja ryzyka
• Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i
zadań.
• W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego
należy uwzględnić, że cele i zadania są realizowane także przez jednostki podległe lub
nadzorowane.
• W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka należy
dokonać ponownej identyfikacji ryzyka.
8. Analiza ryzyka
• Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie
prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Należy
określić akceptowany poziom ryzyka.
9. Reakcja na ryzyko
• W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji
(tolerowanie, przeniesienie, wycofanie się, działanie). Należy określić działania, które
należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu.
© 2010 Deloitte Polska
7
Standardy kontroli zarządczej – czego w nich brak?
Co jest w wytycznych (MF):
• misja,
• określanie celów i zadań, monitorowanie i ocena ich
realizacji,
• modelu ryzyk,
Cele i zarządzanie ryzykiem
Proces 1
Czego nie ma w wytycznych:
Mechanizmy kontroli
Jednostka A
• reakcja na ryzyko.
Informacja i komunikacja
Jednostka B
• analiza ryzyka,
Monitorowanie i ocena
Środowisko wewnętrzne
• „apetytu na ryzyko”, tolerancji ryzyka,
• wskazówki w jaki sposób przeprowadzać analizę
ryzyka,
• obowiązku wskazania właścicieli ryzyk.
© 2010 Deloitte Polska
8
Działanie 1
• identyfikacja ryzyka,
Co umożliwiają KRI?
• Przewidywanie potencjalnego poziomu ekspozycji na ryzyko (poprzez analizę trendów)
• Określenie i podjęcie odpowiednich działań w odpowiedzi na niekorzystne zmiany
poziomu ryzyka
• Wyznaczenie poziomów tolerancji na poszczególne ryzyka w odniesieniu do apetytu na
ryzyko
• Na poziomie strategicznym – częstsze podejmowanie decyzji obarczonych ryzykiem
nagradzanym ze względu na możliwość kontroli poziomu ekspozycji na ryzyko
• Agregację informacji o profilach ryzyk i właściwy przepływ informacji
© 2010 Deloitte Polska
9
Dobrze skonstruowany KRI
• Efektywny w monitorowaniu ekspozycji na ryzyko
• Porównywalny z innymi wskaźnikami
• Praktyczny i łatwy w zastosowaniu
© 2010 Deloitte Polska
10
KRI efektywny w monitorowaniu ekspozycji na ryzyko:
• Ma zastosowanie dla co najmniej jednego ryzyka / jednostki
• Umożliwia pomiar w przedziałach czasowych (zmienność ryzyka, trendy)
• Umożliwia dokonanie obiektywnego pomiaru, eliminując subiektywny osąd
• Dostarcza użytecznych informacji zarządczych
• Odzwierciedla przynajmniej jeden parametr opisujący zdarzenie / stratę, tj.:
częstotliwość zdarzenia / prawdopodobieństwo, wpływ (wielkość straty), podatność
© 2010 Deloitte Polska
11
KRI porównywalny z innymi wskaźnikami:
• Jest wyznaczony jako wartość, procent lub proporcja
• Jego wartości są porównywalne w czasie
• Jego wartości są porównywalne w organizacji (pomiędzy jednostkami organizacyjnymi)
• Jego wartości mogą być porównywalne z wartościami w innych organizacjach
• Opiera się głównie na obiektywnych wartościach i uniemożliwia subiektywną
interpretację
• Może być poddany audytowi i weryfikacji
© 2010 Deloitte Polska
12
KRI praktyczny i łatwy w zastosowaniu:
• Czas konieczny do uzyskania informacji źródłowych i kalkulacji wskaźnika nie jest
nadmierny
• Koszt czynności wymaganych do jego kalkulacji nie jest nadmierny
• Jest łatwy do komunikowania i interpretacji
• Kalkulacja KRI nie stanowi celu samego w sobie
© 2010 Deloitte Polska
13
Wyzwania w stosowaniu KRI:
• Brak jednolitej terminologii – może utrudniać konsolidację, raportowanie i analizę na
kolejnych szczeblach sektora finansów publicznych
• Brak całościowego ujęcia (ram zarządzania ryzykiem) – pojedyncze KRI (rozpatrywane
bez powiązania z KPI i KCI) może być trudne w interpretacji lub podatne na próby
manipulacji
• Zbyt wysoki poziom agregacji – KRI powinny być sprofilowane na dosyć wąskie obszary
działalności i ryzyka. Przykładem zbyt ogólnego wskaźnika KRI może być poziom rotacji
personelu mierzony na poziomie całej jednostki sektora finansów publicznych
• Natura niektórych ryzyk – uniemożliwia skonstruowanie miarodajnego i wiarygodnego
wskaźnika. Przykładem może być ryzyko zmowy i naruszenia zasad podziału uprawnień
(Segregation of Duties)
• Kalibracja wskaźników – wymaga jasnego określenia apetytu i tolerancji na ryzyko, czyli
działań na etapie formułowania strategii zarządzania ryzykiem
© 2010 Deloitte Polska
14
Zaawansowane wykorzystanie KRI:
• Pomiar efektywności strategii zarządzania ryzykiem
• Przykładowe korzyści:
• Wspomaganie analizy przyczynowo-skutkowej pozwalającej ograniczyć
częstotliwość i/lub zakres strat
• Testowanie efektywności (performance benchmarking)
• Przykładowe korzyści:
• Możliwość tworzenia i optymalizacji „dobrych praktyk” (best practice) w
sektorze
• Tworzenie indeksów KRI
• Przykładowe korzyści:
• Dobrze skonstruowany indeks będący składową wielu wskaźników KRI
ukazuje podatność na konkretne ryzyko (zależne od wielu czynników)
© 2010 Deloitte Polska
15
Tworzenie wskaźników KRI:
• Odniesienie do celu oraz modelu i mapy ryzyka
• Istotność monitorowanego ryzyka (w tym: świadomość związków
przyczynowo-skutkowych pomiędzy ryzykiem a celami jednostki)
© 2010 Deloitte Polska
16
Model ryzyka
• Zgodnie z dobrą praktyką – punkt wyjścia do tworzenia wskaźników KRI – przypisanie
ryzyk do poszczególnych rodzajów / kategorii ryzyk
• Nadzór
• Zgodność
• Etyka
• Komunikacja
• Szkolenia
• Tone at the Top
• …
• Czynniki zewnętrzne
• Prawo, regulacje i procedury
• Raportowanie
• …
• Misja
• …
2010 Deloitte Polska
Źródło: Deloitte Risk Intelligence for the Federal ©Government
17
Identyfikowane grupy ryzyk (przykład prostego modelu ryzyk):
• Ryzyka strategiczne:
• Polityczne
• Ekonomiczne
• Społeczne
• Technologiczne
• Legislacyjne
• Środowiskowe
• Ryzyka operacyjne:
• Finansowe
• Prawne
• Zawodowe
• Fizyczne
• Umowne
• Technologiczne
• Środowiskowe
Źródło: Zarządzanie ryzykiem w sektorze publicznym:
Podręcznik wdrożenia systemu zarządzania ryzykiem w administracji publicznej w Polsce. Ministerstwo Finansów, 2004
© 2010 Deloitte Polska
18
Tworzone dla poszczególnych ryzyk wskaźniki KRI (przykład):
Wskaźnik KRI
Ryzyko
Potencjał i możliwości organizacji
•Duża liczba wolnych etatów
•Poziom wakatów (%)
•Nieobsadzone główne stanowiska
•Poziom wakatów na (zdefiniowanych) kluczowych stanowiskach (%)
•Duży wskaźnik zachorowalności
•Wskaźnik absencji chorobowej (%)
•Zbyt wielu pracowników
•Wskaźnik wydajności pracowników (np. liczba spraw zamkniętych / pracownika)
•Duży odsetek długotrwałych zwolnień
lekarskich
•Odsetek zwolnień lekarskich powyżej 14 / 30 dni w budżecie czasu pracy (%)
•Niska motywacja i morale personelu
•Wynik oceny ankietowej morale pracowników (punkty)
•Zbyt niski poziom zatrudnienia
•Poziom wakatów (%), Wskaźnik wydajności pracowników (liczba spraw otwartych /
pracownika)
•Wysoka rotacja pracowników
•Wskaźnik rotacji personelu (liczba pracowników odchodzących / średnie zatrudnienie w
okresie) (%)
•Niestaranność pracowników
•Liczba wykrytych błędów popełnionych przez pracowników (%)
Na podstawie „Zarządzanie ryzykiem w sektorze publicznym” Ministerstwo Finansów, 2004
© 2010 Deloitte Polska
19
Tworzone dla poszczególnych ryzyk wskaźniki KRI (przykład)
(2):
Wskaźnik KRI
Ryzyko
Działalność operacyjna
•Decyzje podejmowane w
nieodpowiednim terminie
•Odsetek decyzji podejmowanych z opóźnieniem w stosunku do przepisów (%)
•Niezadowalający proces decyzyjny
•Odsetek decyzji podejmowanych z naruszeniem przepisów (%)
•Niewłaściwe systemy informatyczne
•Odsetek czasu pracy bezawaryjnego funkcjonowania systemów IT (%)
•Luki w bezpieczeństwie IT
•Odnotowane próby włamania do systemów IT (liczba)
•Wysoki poziom środków trwałych
•Wskaźnik struktury bilansu środków trwałych / suma aktywów (%)
•Utrzymywane zapasy
nieproporcjonalne do prowadzonej
działalności
•Wskaźnik struktury bilansu zapasów / suma aktywów (%)
•Nałożenie kar przez organy regulacyjne
w wyniku niezgodności z przepisami
•Wartość nałożonych kar (PLN)
Na podstawie „Zarządzanie ryzykiem w sektorze publicznym” Ministerstwo Finansów, 2004
© 2010 Deloitte Polska
20
Jak zwiększyć użyteczność „standardowych” wskaźników
ryzyka / efektywności
Liczba wykrytych błędów
Cechy wskaźnika:
• Brak informacji jakościowej oraz niewielkie przełożenie na cel jednostki
• Poziom wskaźnika może być stosunkowo łatwo manipulowany przez właściciela
ryzyka
Przedefiniuj
„Nieprawidłowości / błędy o
znacznym ryzyku”
Zidentyfikowane ryzyka wyrażalne w
jednostkach pieniężnych
„Nieprawidłowości dotyczące
skuteczności operacyjnej”
Identyfikacja potencjalnych
oszczędności w procesach biznesowych
Analiza wartości ekstremalnych
Brak „błędów”
Czy system kontroli wewnętrznej działa
skutecznie (wyłapuje błędy) i efektywnie
(monitorujemy właściwe KRI)?
Wysoki poziom wskaźnika „błędów”
Czy definicja „błędu” jest poprawna. Czy
system jest efektywny?
Zdefiniowany „normalny” przedział
wskaźnika
Skuteczność i efektywność w
systemie kontroli wewnętrznej.
Porównanie
„Liczba wykrytych błędów” a
„Wartość wykrytych błędów” i
„Wdrożone mechanizmy korygujące”
Czy proces monitorowania poziomu
ryzyka spełnia oczekiwania
jednostki? Jak zarządzamy ryzykami
po wykryciu alarmującego poziomu?
© 2010 Deloitte Polska
21
Przykłady innych wykorzystywanych wskaźników KRI
• Mierniki KPI/KRI budżetu zadaniowego – analiza przykładowych mierników
wykorzystywanych na świecie (www.mf.gov.pl)
• Mierniki wykorzystywane w sektorze prywatnym:
• Świadomość (ryzyko strategiczne)
• Znajomość polityk, standardów i procedur (ankiety i testy)
• Szacowanie ryzyka (ryzyko strategiczne)
• Zakres i częstotliwość standardowych oszacowań ryzyka w obrębie
przedsiębiorstwa
• Zarządzanie ryzykiem (ryzyko strategiczne)
• Liczba zaraportowanych incydentów, wartość poniesionych strat, liczba
opanowanych sytuacji kryzysowych
• Audyt (ryzyko strategiczne lub operacyjne)
• Odnotowanie rozbieżności z politykami i standardami
• Kryteria i certyfikacja (ryzyko strategiczne)
• Osiąganie i utrzymywanie certyfikacji bezpieczeństwa informatycznego
© 2010 Deloitte Polska
22
Mierniki sektora prywatnego (zarządzanie projektami /
inwestycjami)
Czas / koszt realizacji projektu
• Odchylenie harmonogramu w dniach
• Różnica pomiędzy terminami wynikającym z harmonogramu
• Wskaźnik zadań przeterminowanych
• % udział zadań (kamieni milowych), dla których przekroczono terminy realizacji w
relacji do wszystkich zadań wymagalnych na dany dzień
• Odchylenie harmonogramu
• Różnica wartości wypracowanej (budżetowanej wartości wykonanych prac) i
wartości planowanej (budżetowany koszt zaplanowanych prac)
• Realizacja budżetu
• Wskaźnik wykonania budżetu (%)
© 2010 Deloitte Polska
23
Przykłady powiązania KRI z KPI oraz KCI dla mierników
w obszarze IT
• Kontrola dostępu IT
• KPI: miara zgodności ze standardami kontroli dostępu ze zwróceniem szczególnej uwagi na
infrastrukturę i poziom kontroli użytkowników końcowych
• Wskaźnik KRI: liczba nieautoryzowanych skutecznych prób dostępu
• Wskaźniki KCI (skuteczność mechanizmów kontrolnych): dostęp do kluczowych
systemów IT jest systemowo ograniczony do wybranej grupy użytkowników; okresowo
weryfikowana jest lista użytkowników dokonujących transakcji w systemie…
• Bezpieczeństwo informacji
• KPI: ogólna kategoria, która mierzy efektywność mechanizmów ochrony informacji
• Wskaźnik KRI: liczba utraconych / błędnie zmodyfikowanych rekordów bazy danych
• Wskaźniki KCI: baza danych podlega codziennej archiwizacji przyrostowej; okresowo
prowadzone są testowe odtworzenia danych
• Zarządzanie incydentami bezpieczeństwa informacji
• KPI: efektywność procesu odpowiedzi na incydenty związane z bezpieczeństwem informacji
• Wskaźnik KRI: liczba incydentów bezpieczeństwa IT
• Wskaźniki KCI: wykryte incydenty bezpieczeństwa są raportowane; prowadzona jest
analiza przyczyn wystąpienia incydentów
© 2010 Deloitte Polska
24
Cel wdrożenia mierników KRI
• Mierniki KRI (w powiązaniu z wskaźnikami efektywności – KPI oraz mechanizmów
kontrolnych KCI) umożliwiają:
• systematyczne monitorowanie poziomu ryzyka
• świadome zarządzanie poziomem ryzyka (w powiązaniu z jasno zdefiniowanym
apetytem na ryzyko i sposobami zarządzania ryzykiem
• podejmowanie działań korekcyjnych w przypadku wykrycia odchyleń poziomu
ryzyka od wartości akceptowanych
• w konsekwencji: pozwalają na świadomą ocenę adekwatności, skuteczności i
efektywności kontroli zarządczej w jednostce sektora finansów publicznych
• Standardy B5 – B9: Cele i zarządzanie ryzykiem
• Standardy C10 – C15: Mechanizmy kontroli
Źródło: Komunikat nr 23 Ministra Finansów z dnia 16 grudnia 2009r.
w sprawie standardów kontroli zarządczej dla sektora finansów publicznych
© 2010 Deloitte Polska
25
Pytania
© 2010 Deloitte Polska
26
Kontakt
Przemysław Wistel
Menedżer
Dział Zarządzania Ryzykiem
Tel. +48 (22) 511 02 69
email: [email protected]
© 2010 Deloitte Polska
Nazwa Deloitte odnosi się do Deloitte Touche Tohmatsu, podmiotu prawa szwajcarskiego i
jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny
opis struktury prawnej Deloitte Touche Tohmatsu oraz jego firm członkowskich można
znaleźć na stronie www.deloitte.com/pl/onas
Członek Deloitte Touche Tohmatsu
© 2010 Deloitte Polska. Member of Deloitte Touche Tohmatsu
© 2010 Deloitte Polska