KRI
Transkrypt
KRI
Wskaźniki ryzyka w jednostkach finansów publicznych Przemysław Wistel Menedżer, Dział Zarządzania Ryzykiem © 2010 Deloitte Polska Bezpiecznie i oszczędnie? Istotność KRI w zarządzaniu ryzykiem w jednostkach finansów publicznych Rodzaje stosowanych wskaźników Ryzyko a jednostki finansów publicznych (rys historyczny) Zasady tworzenia efektywnych KRI Przegląd wskaźników stosowanych w jednostkach finansów publicznych Pytania © 2010 Deloitte Polska Rodzaje wskaźników stosowanych w monitoringu ryzyk • Podstawowym przesłaniem zarządzania ryzykiem jest powiązanie celów z ryzykiem i odpowiedzią na ryzyko • KRI – Key Risk Indicator (kluczowy wskaźnik ryzyka) • KPI – Key Performance Indicator (kluczowy wskaźnik efektywności) • KCI – Key Control Indicator (kluczowy wskaźnik mechanizmów kontrolnych) • KPI jednego obszaru mogą stanowić KRI w innym • KRI mogą informować o aktualnej ekspozycji na ryzyko, jeśli odnoszą się do zdarzeń. Mogą też stanowić sygnały ostrzegawcze, jeśli odnoszą się do uwarunkowań. Te drugie mają większą wartość zarządczą. © 2010 Deloitte Polska Standardy kontroli finansowej (Ministerstwo Finansów, 2003) KPI: • Kierownik jednostki zapewnia przygotowanie rocznego planu pracy jednostki zawierającego poszczególne cele i zadania, komórki organizacyjne odpowiedzialne za ich realizację oraz zasoby (np. osobowe, finansowe, rzeczowe) przeznaczone do ich realizacji. Kierownik jednostki prowadzi bieżącą ocenę (monitoring) realizacji zadań za pomocą mierzalnych wskaźników lub precyzyjnie zdefiniowanych kryteriów. IDENTYFIKACJA RYZYKA: • Kierownik jednostki systematycznie, nie rzadziej niż raz w roku, dokonuje identyfikacji zewnętrznego i wewnętrznego ryzyka związanego z osiąganiem celów jednostki, dotyczącego zarówno działania całej jednostki, jak i prowadzonych przez jednostkę konkretnych programów, projektów czy zadań. W przypadku zmiany warunków w których funkcjonuje jednostka, identyfikacja ryzyka powinna być ponawiana. Źródło: Standardy kontroli finansowej w jednostkach sektora finansów publicznych, Ministerstwo Finansów, 2003 © 2010 Deloitte Polska Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych (Ministerstwo Finansów, 2007) Analiza ryzyka: • Zidentyfikowane ryzyka poddawane są gruntownej i całościowej analizie. (…) W szczególności każde ryzyko poddane analizie przypisywane jest do odpowiednich celów. • Kierownik jednostki wyznaczył poziom ryzyka akceptowalnego dla jednostki, czyli stopień ryzyka, jaki jednostka gotowa jest podjąć („apetyt na ryzyko”). W szczególności: przy określaniu apetytu na ryzyko kierownik jednostki uwzględnił sytuację jednostki (…), wielkość kosztów ograniczenia danego ryzyka. • Apetyt na ryzyko jest zróżnicowany w zależności od rodzaju i istotności danego ryzyka. (NIE RZADZIEJ NIŻ RAZ W ROKU) Źródło: Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych, Ministerstwo Finansów, 2007 © 2010 Deloitte Polska 4 Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych (Ministerstwo Finansów, 2007) (2) Reakcja na ryzyko i działania zaradcze: • Zarządzający określił rodzaj reakcji w stosunku do danego ryzyka (np. przeniesienie, tolerowanie, działanie, wycofanie się). W szczególności: zostały zaplanowane i wdrożone odpowiednie działania w stosunku do każdego ryzyka, które nie może być przez jednostkę zaakceptowane, zgodnie z ustalonym rodzajem reakcji (…) • Kierownik jednostki monitoruje funkcjonowanie procesu zarządzania ryzykiem w jednostce. • Dla każdego ryzyka został ustalony „właściciel”, czyli osoba odpowiedzialna za zarządzanie tym ryzykiem. (DZIAŁANIE BIEŻĄCE) © 2010 Deloitte Polska 5 Kontrola zarządcza (Ministerstwo Finansów, 2009) 6. Określanie celów i zadań, monitorowanie i ocena ich realizacji • Cele i zadania należy określać jasno i w co najmniej rocznej perspektywie. Ich wykonanie należy monitorować za pomocą wyznaczonych mierników. • W jednostce nadrzędnej lub nadzorującej należy zapewnić odpowiedni system monitorowania realizacji celów i zadań przez jednostki podległe lub nadzorowane. • Zaleca się przeprowadzanie oceny realizacji celów i zadań uwzględniając kryterium oszczędności, efektywności i skuteczności. • Należy zadbać, aby określając cele i zadania wskazać także jednostki, komórki organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie oraz zasoby przeznaczone do ich realizacji. (KPI) Źródło: Ustawa z dnia 27 sierpnia 2009r. o finansach publicznych; Komunikat nr 23 Ministra Finansów z dnia 16 grudnia 2009r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych © 2010 Deloitte Polska 6 Kontrola zarządcza (Ministerstwo Finansów, 2009) (2) 7. Identyfikacja ryzyka • Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań. • W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego należy uwzględnić, że cele i zadania są realizowane także przez jednostki podległe lub nadzorowane. • W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka należy dokonać ponownej identyfikacji ryzyka. 8. Analiza ryzyka • Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Należy określić akceptowany poziom ryzyka. 9. Reakcja na ryzyko • W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Należy określić działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu. © 2010 Deloitte Polska 7 Standardy kontroli zarządczej – czego w nich brak? Co jest w wytycznych (MF): • misja, • określanie celów i zadań, monitorowanie i ocena ich realizacji, • modelu ryzyk, Cele i zarządzanie ryzykiem Proces 1 Czego nie ma w wytycznych: Mechanizmy kontroli Jednostka A • reakcja na ryzyko. Informacja i komunikacja Jednostka B • analiza ryzyka, Monitorowanie i ocena Środowisko wewnętrzne • „apetytu na ryzyko”, tolerancji ryzyka, • wskazówki w jaki sposób przeprowadzać analizę ryzyka, • obowiązku wskazania właścicieli ryzyk. © 2010 Deloitte Polska 8 Działanie 1 • identyfikacja ryzyka, Co umożliwiają KRI? • Przewidywanie potencjalnego poziomu ekspozycji na ryzyko (poprzez analizę trendów) • Określenie i podjęcie odpowiednich działań w odpowiedzi na niekorzystne zmiany poziomu ryzyka • Wyznaczenie poziomów tolerancji na poszczególne ryzyka w odniesieniu do apetytu na ryzyko • Na poziomie strategicznym – częstsze podejmowanie decyzji obarczonych ryzykiem nagradzanym ze względu na możliwość kontroli poziomu ekspozycji na ryzyko • Agregację informacji o profilach ryzyk i właściwy przepływ informacji © 2010 Deloitte Polska 9 Dobrze skonstruowany KRI • Efektywny w monitorowaniu ekspozycji na ryzyko • Porównywalny z innymi wskaźnikami • Praktyczny i łatwy w zastosowaniu © 2010 Deloitte Polska 10 KRI efektywny w monitorowaniu ekspozycji na ryzyko: • Ma zastosowanie dla co najmniej jednego ryzyka / jednostki • Umożliwia pomiar w przedziałach czasowych (zmienność ryzyka, trendy) • Umożliwia dokonanie obiektywnego pomiaru, eliminując subiektywny osąd • Dostarcza użytecznych informacji zarządczych • Odzwierciedla przynajmniej jeden parametr opisujący zdarzenie / stratę, tj.: częstotliwość zdarzenia / prawdopodobieństwo, wpływ (wielkość straty), podatność © 2010 Deloitte Polska 11 KRI porównywalny z innymi wskaźnikami: • Jest wyznaczony jako wartość, procent lub proporcja • Jego wartości są porównywalne w czasie • Jego wartości są porównywalne w organizacji (pomiędzy jednostkami organizacyjnymi) • Jego wartości mogą być porównywalne z wartościami w innych organizacjach • Opiera się głównie na obiektywnych wartościach i uniemożliwia subiektywną interpretację • Może być poddany audytowi i weryfikacji © 2010 Deloitte Polska 12 KRI praktyczny i łatwy w zastosowaniu: • Czas konieczny do uzyskania informacji źródłowych i kalkulacji wskaźnika nie jest nadmierny • Koszt czynności wymaganych do jego kalkulacji nie jest nadmierny • Jest łatwy do komunikowania i interpretacji • Kalkulacja KRI nie stanowi celu samego w sobie © 2010 Deloitte Polska 13 Wyzwania w stosowaniu KRI: • Brak jednolitej terminologii – może utrudniać konsolidację, raportowanie i analizę na kolejnych szczeblach sektora finansów publicznych • Brak całościowego ujęcia (ram zarządzania ryzykiem) – pojedyncze KRI (rozpatrywane bez powiązania z KPI i KCI) może być trudne w interpretacji lub podatne na próby manipulacji • Zbyt wysoki poziom agregacji – KRI powinny być sprofilowane na dosyć wąskie obszary działalności i ryzyka. Przykładem zbyt ogólnego wskaźnika KRI może być poziom rotacji personelu mierzony na poziomie całej jednostki sektora finansów publicznych • Natura niektórych ryzyk – uniemożliwia skonstruowanie miarodajnego i wiarygodnego wskaźnika. Przykładem może być ryzyko zmowy i naruszenia zasad podziału uprawnień (Segregation of Duties) • Kalibracja wskaźników – wymaga jasnego określenia apetytu i tolerancji na ryzyko, czyli działań na etapie formułowania strategii zarządzania ryzykiem © 2010 Deloitte Polska 14 Zaawansowane wykorzystanie KRI: • Pomiar efektywności strategii zarządzania ryzykiem • Przykładowe korzyści: • Wspomaganie analizy przyczynowo-skutkowej pozwalającej ograniczyć częstotliwość i/lub zakres strat • Testowanie efektywności (performance benchmarking) • Przykładowe korzyści: • Możliwość tworzenia i optymalizacji „dobrych praktyk” (best practice) w sektorze • Tworzenie indeksów KRI • Przykładowe korzyści: • Dobrze skonstruowany indeks będący składową wielu wskaźników KRI ukazuje podatność na konkretne ryzyko (zależne od wielu czynników) © 2010 Deloitte Polska 15 Tworzenie wskaźników KRI: • Odniesienie do celu oraz modelu i mapy ryzyka • Istotność monitorowanego ryzyka (w tym: świadomość związków przyczynowo-skutkowych pomiędzy ryzykiem a celami jednostki) © 2010 Deloitte Polska 16 Model ryzyka • Zgodnie z dobrą praktyką – punkt wyjścia do tworzenia wskaźników KRI – przypisanie ryzyk do poszczególnych rodzajów / kategorii ryzyk • Nadzór • Zgodność • Etyka • Komunikacja • Szkolenia • Tone at the Top • … • Czynniki zewnętrzne • Prawo, regulacje i procedury • Raportowanie • … • Misja • … 2010 Deloitte Polska Źródło: Deloitte Risk Intelligence for the Federal ©Government 17 Identyfikowane grupy ryzyk (przykład prostego modelu ryzyk): • Ryzyka strategiczne: • Polityczne • Ekonomiczne • Społeczne • Technologiczne • Legislacyjne • Środowiskowe • Ryzyka operacyjne: • Finansowe • Prawne • Zawodowe • Fizyczne • Umowne • Technologiczne • Środowiskowe Źródło: Zarządzanie ryzykiem w sektorze publicznym: Podręcznik wdrożenia systemu zarządzania ryzykiem w administracji publicznej w Polsce. Ministerstwo Finansów, 2004 © 2010 Deloitte Polska 18 Tworzone dla poszczególnych ryzyk wskaźniki KRI (przykład): Wskaźnik KRI Ryzyko Potencjał i możliwości organizacji •Duża liczba wolnych etatów •Poziom wakatów (%) •Nieobsadzone główne stanowiska •Poziom wakatów na (zdefiniowanych) kluczowych stanowiskach (%) •Duży wskaźnik zachorowalności •Wskaźnik absencji chorobowej (%) •Zbyt wielu pracowników •Wskaźnik wydajności pracowników (np. liczba spraw zamkniętych / pracownika) •Duży odsetek długotrwałych zwolnień lekarskich •Odsetek zwolnień lekarskich powyżej 14 / 30 dni w budżecie czasu pracy (%) •Niska motywacja i morale personelu •Wynik oceny ankietowej morale pracowników (punkty) •Zbyt niski poziom zatrudnienia •Poziom wakatów (%), Wskaźnik wydajności pracowników (liczba spraw otwartych / pracownika) •Wysoka rotacja pracowników •Wskaźnik rotacji personelu (liczba pracowników odchodzących / średnie zatrudnienie w okresie) (%) •Niestaranność pracowników •Liczba wykrytych błędów popełnionych przez pracowników (%) Na podstawie „Zarządzanie ryzykiem w sektorze publicznym” Ministerstwo Finansów, 2004 © 2010 Deloitte Polska 19 Tworzone dla poszczególnych ryzyk wskaźniki KRI (przykład) (2): Wskaźnik KRI Ryzyko Działalność operacyjna •Decyzje podejmowane w nieodpowiednim terminie •Odsetek decyzji podejmowanych z opóźnieniem w stosunku do przepisów (%) •Niezadowalający proces decyzyjny •Odsetek decyzji podejmowanych z naruszeniem przepisów (%) •Niewłaściwe systemy informatyczne •Odsetek czasu pracy bezawaryjnego funkcjonowania systemów IT (%) •Luki w bezpieczeństwie IT •Odnotowane próby włamania do systemów IT (liczba) •Wysoki poziom środków trwałych •Wskaźnik struktury bilansu środków trwałych / suma aktywów (%) •Utrzymywane zapasy nieproporcjonalne do prowadzonej działalności •Wskaźnik struktury bilansu zapasów / suma aktywów (%) •Nałożenie kar przez organy regulacyjne w wyniku niezgodności z przepisami •Wartość nałożonych kar (PLN) Na podstawie „Zarządzanie ryzykiem w sektorze publicznym” Ministerstwo Finansów, 2004 © 2010 Deloitte Polska 20 Jak zwiększyć użyteczność „standardowych” wskaźników ryzyka / efektywności Liczba wykrytych błędów Cechy wskaźnika: • Brak informacji jakościowej oraz niewielkie przełożenie na cel jednostki • Poziom wskaźnika może być stosunkowo łatwo manipulowany przez właściciela ryzyka Przedefiniuj „Nieprawidłowości / błędy o znacznym ryzyku” Zidentyfikowane ryzyka wyrażalne w jednostkach pieniężnych „Nieprawidłowości dotyczące skuteczności operacyjnej” Identyfikacja potencjalnych oszczędności w procesach biznesowych Analiza wartości ekstremalnych Brak „błędów” Czy system kontroli wewnętrznej działa skutecznie (wyłapuje błędy) i efektywnie (monitorujemy właściwe KRI)? Wysoki poziom wskaźnika „błędów” Czy definicja „błędu” jest poprawna. Czy system jest efektywny? Zdefiniowany „normalny” przedział wskaźnika Skuteczność i efektywność w systemie kontroli wewnętrznej. Porównanie „Liczba wykrytych błędów” a „Wartość wykrytych błędów” i „Wdrożone mechanizmy korygujące” Czy proces monitorowania poziomu ryzyka spełnia oczekiwania jednostki? Jak zarządzamy ryzykami po wykryciu alarmującego poziomu? © 2010 Deloitte Polska 21 Przykłady innych wykorzystywanych wskaźników KRI • Mierniki KPI/KRI budżetu zadaniowego – analiza przykładowych mierników wykorzystywanych na świecie (www.mf.gov.pl) • Mierniki wykorzystywane w sektorze prywatnym: • Świadomość (ryzyko strategiczne) • Znajomość polityk, standardów i procedur (ankiety i testy) • Szacowanie ryzyka (ryzyko strategiczne) • Zakres i częstotliwość standardowych oszacowań ryzyka w obrębie przedsiębiorstwa • Zarządzanie ryzykiem (ryzyko strategiczne) • Liczba zaraportowanych incydentów, wartość poniesionych strat, liczba opanowanych sytuacji kryzysowych • Audyt (ryzyko strategiczne lub operacyjne) • Odnotowanie rozbieżności z politykami i standardami • Kryteria i certyfikacja (ryzyko strategiczne) • Osiąganie i utrzymywanie certyfikacji bezpieczeństwa informatycznego © 2010 Deloitte Polska 22 Mierniki sektora prywatnego (zarządzanie projektami / inwestycjami) Czas / koszt realizacji projektu • Odchylenie harmonogramu w dniach • Różnica pomiędzy terminami wynikającym z harmonogramu • Wskaźnik zadań przeterminowanych • % udział zadań (kamieni milowych), dla których przekroczono terminy realizacji w relacji do wszystkich zadań wymagalnych na dany dzień • Odchylenie harmonogramu • Różnica wartości wypracowanej (budżetowanej wartości wykonanych prac) i wartości planowanej (budżetowany koszt zaplanowanych prac) • Realizacja budżetu • Wskaźnik wykonania budżetu (%) © 2010 Deloitte Polska 23 Przykłady powiązania KRI z KPI oraz KCI dla mierników w obszarze IT • Kontrola dostępu IT • KPI: miara zgodności ze standardami kontroli dostępu ze zwróceniem szczególnej uwagi na infrastrukturę i poziom kontroli użytkowników końcowych • Wskaźnik KRI: liczba nieautoryzowanych skutecznych prób dostępu • Wskaźniki KCI (skuteczność mechanizmów kontrolnych): dostęp do kluczowych systemów IT jest systemowo ograniczony do wybranej grupy użytkowników; okresowo weryfikowana jest lista użytkowników dokonujących transakcji w systemie… • Bezpieczeństwo informacji • KPI: ogólna kategoria, która mierzy efektywność mechanizmów ochrony informacji • Wskaźnik KRI: liczba utraconych / błędnie zmodyfikowanych rekordów bazy danych • Wskaźniki KCI: baza danych podlega codziennej archiwizacji przyrostowej; okresowo prowadzone są testowe odtworzenia danych • Zarządzanie incydentami bezpieczeństwa informacji • KPI: efektywność procesu odpowiedzi na incydenty związane z bezpieczeństwem informacji • Wskaźnik KRI: liczba incydentów bezpieczeństwa IT • Wskaźniki KCI: wykryte incydenty bezpieczeństwa są raportowane; prowadzona jest analiza przyczyn wystąpienia incydentów © 2010 Deloitte Polska 24 Cel wdrożenia mierników KRI • Mierniki KRI (w powiązaniu z wskaźnikami efektywności – KPI oraz mechanizmów kontrolnych KCI) umożliwiają: • systematyczne monitorowanie poziomu ryzyka • świadome zarządzanie poziomem ryzyka (w powiązaniu z jasno zdefiniowanym apetytem na ryzyko i sposobami zarządzania ryzykiem • podejmowanie działań korekcyjnych w przypadku wykrycia odchyleń poziomu ryzyka od wartości akceptowanych • w konsekwencji: pozwalają na świadomą ocenę adekwatności, skuteczności i efektywności kontroli zarządczej w jednostce sektora finansów publicznych • Standardy B5 – B9: Cele i zarządzanie ryzykiem • Standardy C10 – C15: Mechanizmy kontroli Źródło: Komunikat nr 23 Ministra Finansów z dnia 16 grudnia 2009r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych © 2010 Deloitte Polska 25 Pytania © 2010 Deloitte Polska 26 Kontakt Przemysław Wistel Menedżer Dział Zarządzania Ryzykiem Tel. +48 (22) 511 02 69 email: [email protected] © 2010 Deloitte Polska Nazwa Deloitte odnosi się do Deloitte Touche Tohmatsu, podmiotu prawa szwajcarskiego i jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny opis struktury prawnej Deloitte Touche Tohmatsu oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas Członek Deloitte Touche Tohmatsu © 2010 Deloitte Polska. Member of Deloitte Touche Tohmatsu © 2010 Deloitte Polska