Zadanie audytowe: identyfikacja ryzyka oraz czynności kontrolnych Monika Kaszczyc, Tomasz Dzida 9 lutego 2012 Opinie i poglądy zawarte w prezentacji są własnymi poglądami autorów i jedynie jako takie powinny być odbierane. Powielanie i wykorzystywanie materiałów tylko za zgodą autorów. 1
Wprowadzenie Agenda Zadanie audytowe: Etapy identyfikacji i przykłady ryzyk. Konstrukcja czynności kontrolnych i przykłady kontroli. Dyskusja na forum. Zakończenie. 2
Ryzyko MoŜliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację załoŝonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia. Definicja ryzyka Ryzyko rezydualne Ryzyko jakie pozostaje po przeprowadzeniu przez kierownictwo działań zmierzających do zmniejszenia wpływu (skutków) i prawdopodobieństwa wystąpienia niepomyślnych zdarzeń, w tym działań kontrolnych podjętych w odpowiedzi na ryzyko. Źródło: IIA Polska, Definicja audytu wewnętrznego, Kodeks etyki oraz Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego Tłumaczenie na język polski, styczeń 2011 3
Rola audytu w ERM Źródło: IIA POSITION PAPER: THE ROLE OF INTERNAL AUDITING IN ENTERPRISE-WIDE RISK MANAGEMENT, January 2009 4
2010 Planowanie Zarządzający audytem wewnętrznym musi opracowywać plany oparte na analizie ryzyka, określające priorytety działań audytu wewnętrznego zgodne z celami organizacji. Plany roczne Wybrane standardy oraz produkty audytu 2060 Składanie sprawozdań kierownictwu wyŝszego szczebla i radzie Zarządzający audytem wewnętrznym musi składać kierownictwu wyŝszego szczebla i radzie okresowe sprawozdania na temat celu działania audytu wewnętrznego, uprawnień, odpowiedzialności oraz stopnia wykonania planu. Sprawozdania muszą równieŝ obejmować zagadnienia dotyczące systemu kontroli, ładu organizacyjnego, znaczącego ryzyka, na jakie naraŝona jest organizacja (w tym ryzyka oszustwa) oraz inne, których omówienia wymaga lub oczekuje kierownictwo wyŝszego szczebla i rada. 2120 Zarządzanie ryzykiem Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem. Okresowe opinie Raporty audytowe Źródło: IIA Polska, Definicja audytu wewnętrznego, Kodeks etyki oraz Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego Tłumaczenie na język polski, styczeń 2011 5
Identyfikacja ryzyka w zadaniu audytowym: Etap I: Identyfikacja procesów i ryzyk w badanym obszarze. Etapy identyfikacji ryzyka Podstawowe źródła a informacji: Audytowani: - Informacje biznesowe (produkty, cele biznesowe, plany operacyjne i strategiczne). - Struktura organizacyjna, opisy stanowisk. - Opis infrastruktury IT (hardware, software, mapy IT). - Powiązanie z podmiotami trzecimi (zaleŝności, umowy). - Polityki i procedury wewnętrzne. - Raporty wewnętrzne i zewnętrzne. - Samoocena zarządzania ryzykiem (mapy ryzyk, ryzyka operacyjne, SOX). Środowisko zewnętrzne: - Regulacje prawne i rekomendacje dotyczące badanego obszaru. - Hot topics i opracowania branŝowe - Wyniki niezaleŝnych przeglądów (audyt zewnętrzny, inspekcje nadzorcze). Informacje, które juŝ posiadamy: - Poprzednie audyty, bieŝący monitoring i planowanie roczne 6
Identyfikacja ryzyka w zadaniu audytowym: Etap II: Pomiar istniejących ryzyk. Etapy identyfikacji ryzyka Podstawowa technika pomiaru ryzyka: Dwa wymiary: skutek i prawdopodobieństwo Trzystopniowa skala: małe, średnie i duŝe 7
Identyfikacja ryzyka w zadaniu audytowym: Etap III: Wybór ryzyk do zbadania w zadaniu audytowym. Etapy identyfikacji ryzyka Podstawowa technika selekcji: Tylko średnie i duŝe ryzyka badane w zadaniu audytowym. 8
Dlaczego poprawne Dyskusja nad istotnością poprawności sformułowania ryzyka sformułowanie ryzyka w zadaniu audytowym jest istotne? 9
Pytanie 1: Co podoba nam się w sformułowaniach? Sformułowanie ryzyka dyskusja i wymiana Pytanie 2: Co moŝna by powiedzieć lepiej? Pytanie 3: Trzy rady na przyszłość dla nas, to: 10
A. Model wewnętrzny wyznaczający scoring kredytowy osoby ubiegającej się o kredyt bankowy moŝe z upływającym czasem nieprawidłowo dyskryminować dobrych i złych klientów, wynikiem czego nastąpi obniŝenie jakości portfela kredytowego Banku. Sformułowanie ryzyka dyskusja i wymiana B. Klient chce wyłudzićświadczenie NW z tytułu fikcyjnego wypadku i do zgłoszenia internetowego załącza skany dokumentacji medycznej potwierdzające doznany uraz i sposób jego leczenia nie budzące wątpliwości. C. Agent nieprawidłowo naliczy składkę naleŝną z polisy. D. Niedotrzymanie umownych klauzul niefinansowych przez Klienta Banku, skutkujący podwyŝszeniem ryzyka niedotrzymania pozostałych warunków umowy. E. Brak kontroli nad rozliczaniem obsługi zgłoszeń przez dostawcę zewnętrznego. 11
I. Jakość usług, które zostały wyoutsoursowane, nie jest monitorowana co moŝe doprowadzić do zwiększenia liczby reklamacji i w konsekwencji do strat finansowych i utraty reputacji. Sformułowanie ryzyka dyskusja i wymiana II. Agent zagubi polisę (druk ścisłego zarachowania). III. Towarzystwo ubezpieczeniowe stosuje uproszczoną procedurę likwidacji świadczeń z tytułu NW dla prostych spraw, w której kwota świadczenia zostaje uzgodniona z klientem w trakcie rozmowy telefonicznej. IV.Planowanie finansowe: niewystarczające środki finansowe w stosunku do zaplanowanych działań. V. Decyzje dotyczące finansowania klientów podejmowane są bez udziału Kierownictwa Banku co prowadzić moŝe do nadmiernego wzrostu ekspozycji kredytowych niezgodnego ze strategią i akceptowalnym poziomem ryzyka kredytowego. 12
1. Klienci finansowani są na niestandardowych warunkach, które nie zapewniają osiągnięcia załoŝonego poziomu marŝy. Sformułowanie ryzyka dyskusja i wymiana 2. Kierownictwo banku nie monitoruje zmian w regulacjach oraz oczekiwaniach regulatorów co moŝe doprowadzić do podjęcia działań przez tych regulatorów i w konsekwencji do nałoŝenia kar, wydania rekomendacji nadzorczych oraz utraty reputacji. 3. Przekroczenia limitów nie są monitorowane co moŝe doprowadzić do przekroczenia akceptowanego poziomu ryzyka i w konsekwencji do strat finansowych. 4. Brak lub niekompletne zdefiniowanie ścieŝki obsługi incydentu/wniosku. 5. Szacowanie ryzyka w ramach bezpieczeństwa informacji: niewłaściwa ocena poziomu ryzyka dla zagroŝeń w realizowanych procesach (mogąca skutkować niewystarczającym lub nadmiernym poziomem ochrony aktywów w tych procesach). 13
Kontrola KaŜde działanie podejmowane przez kierownictwo, radę i inne osoby w celu zarządzenia ryzykiem i zwiększenia prawdopodobieństwa osiągnięcia ustalonych celów. Kierownictwo planuje i organizuje działania wystarczające do uzyskania racjonalnego zapewnienia, Ŝe ogólne i szczegółowe cele organizacji zostaną zrealizowane. Kierownictwo kieruje teŝ wykonaniem tych działań. Definicja kontroli Odpowiednia kontrola Ma miejsce wówczas, gdy kierownictwo zaplanowało i zorganizowało kontrolę w sposób dający racjonalne zapewnienie, Ŝe organizacja skutecznie zarządza ryzykiem, a jej ogólne i szczegółowe cele zostaną sprawnie i ekonomicznie zrealizowane. Źródło: IIA Polska, Definicja audytu wewnętrznego, Kodeks etyki oraz Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego Tłumaczenie na język polski, styczeń 2011 14
Dlaczego poprawne Budowa czynności kontrolnej dyskusja i wymiana sformułowanie kontroli jest istotne? 15
Pytanie 1: Co podoba nam się w sformułowaniach? Budowa czynności kontrolnej dyskusja i wymiana Pytanie 2: Co moŝna by powiedzieć lepiej? Pytanie 3: Trzy rady na przyszłość dla nas, to: 16
A. Zespół Monitorujący prowadzi bieŝącą analizę zmian jakości portfela kredytowego Banku przez pryzmat macierzy migracji ratingów wyznaczonych przez nadany scoring kredytowy. B. Zespół Walidacyjny (jednostka niezaleŝna od Zespołu Budującego Model) przeprowadza okresową walidację siły dyskryminacyjnej modelu. C. Audyt Wewnętrzny przeprowadza okresowy audyt stanu realizacji uwag Zespołu Walidacyjnego przez Zespół Budujący Model w kontekście modelu wyznaczającego scoring kredytowy. D. Opiekun Klienta prowadzi bieŝącą identyfikację podwyŝszonego ryzyka niedotrzymywania umownych klauzul niefinansowych przez Klienta Banku E. Zespół Monitorujący prowadzi zestawienia umownych klauzul niefinansowych Klientów Banku oraz monitoruje ich dotrzymywanie F. Audyt Wewnętrzny przeprowadza okresowy audyt oceniający proces monitorowania dotrzymywania klauzul niefinansowych przez Klienta Banku na wybranej próbie Klientów. Budowa czynności kontrolnej dyskusja i wymiana 17
I. Mechanizm kontrolny 1A analiza dziennika aktywności zgłoszeń w SDM (service desk manager). Mechanizm kontrolny 2A implementacja odpowiednich reguł w SDM. Budowa czynności kontrolnej dyskusja i wymiana II. Mechanizm kontrolny 2A wskazanie odpowiedzialności za rozliczanie umowy (koordynator umowy). Mechanizm kontrolny 2B rozliczenia dokonywane na podstawie zgłoszeń zarejestrowanych we wspólnej bazie zgłoszeń. Mechanizm kontrolny 2C weryfikacja przez incydent managera zarejestrowanych w SDM zgłoszeń. III. WdroŜona metodyka szacowania ryzyka (zawierająca formularze oceny). Wiedza i doświadczenie Właścicieli procesów. Weryfikacja przez komórkę konsolidującą wyniki analizy ryzyka. 18
IV. Plan finansowy sporządzany przez komórkę finansową na podstawie danych cząstkowych z komórek merytorycznych pisemne uzasadnienie wysokości planowanych wydatków w powiązaniu z zaplanowanymi działaniami (wraz z kalkulacją). Porównywanie pozycji projektu bieŝącego planu z planem i wykonaniem planu z poprzedniego roku. Weryfikacja i zatwierdzenie planu przez kierownictwo. BieŜący (comiesięczny) monitoring stanu wykorzystania środków finansowych w poszczególnych pozycjach i w razie konieczności wnioskowanie o zmiany w planie (w ramach odpowiednich pozycji i w ograniczonym zakresie). Przewidziane rezerwy budŝetowe. Budowa czynności kontrolnej dyskusja i wymiana V. Kontrola A: Wyznaczona w jednostce terenowej osoba weryfikuje prawidłowość naliczenia składki na polisie oddanej przez agenta. Kontrola B: System, w którym rejestrowane są polisy zawiera informacje dot. prawidłowości zastosowanych zniŝek. Departament w Biurze Centrali Firmy okresowo weryfikuje raporty o przypadkach, w których zastosowano nieprawidłową zniŝkę. 19
1. Kontrola A: Okresowe okazywanie przez agenta w jednostce terenowej polis czystych pozostających stanie agenta. (Weryfikacja zgodności z danymi z ksiąŝki druków ścisłego zarachowania). Kontrola B: Inwentaryzacja roczna. Budowa czynności kontrolnej dyskusja i wymiana 2. Polityka Kredytowa Banku opisuje poziom kompetencji w zakresie podejmowania decyzji finansowych. Istnieją automatyczne kontrole poziomów autoryzacji w systemach IT Banku. Decyzje finansowe o znacznej wartości podejmowane są przez więcej niŝ jedną osobę. 3. Wszystkie niestandardowe oferty finansowania muszą być odpowiednio autoryzowane. Oferty niestandardowe przygotowywane są przy uŝyciu odpowiedniej aplikacji IT. Dostęp do aplikacji posiadają jedynie upowaŝnieni pracownicy Banku. Regularnie przeprowadzany jest monitoring marŝy osiągniętej na danym kontrakcie. 20
4. Kontrola A: Pracownik zobowiązany jest do przeprowadzenia rozmowy telefonicznej z klientem zgodnie ze skryptem rozmowy opracowanym przez biuro nadzorującym obszar likwidacji. Pracownik w rozmowie pomija jeden z istotniejszych elementów (którego celem było zweryfikowanie okoliczności wypadku i rodzaju doznanego urazu) z uwagi na to, Ŝe skrypt scenariusza jest błędnie zaprojektowany (na wstępie rozmowy likwidator m.in. informuje klienta o urazie, którego doznał wymieniając rodzaje obraŝeń a następnie w trakcie dalszej rozmowy klient powinien opisać likwidatorowi okoliczności wypadku i rodzaj doznanych obraŝeń). Z uwagi na sprzeczność w scenariuszu informacji, likwidator intuicyjnie rezygnuje z jednego elementu, który jego zdaniem dubluje się. Jednocześnie wyłączając ten element z rozmowy wzrasta ryzyko, Ŝe świadczenie zostanie przyznane za fikcyjny uraz. Budowa czynności kontrolnej dyskusja i wymiana Kontrola B Rozmowa nagrana z klientem dołączana jest do elektronicznych akt sprawy. Kontrola C: Kierownik pracownika likwidującego sprawy NW dokonuje wyrywkowych kontroli spraw zlikwidowanych w zespole. Nie kontroluje jednak przeprowadzonych rozmów z uwagi na brak słuchawek lub głośników (w komputerze) umoŝliwiających odsłuchanie rozmowy. 21
Schemat czynności kontrolnej Osoba O pobiera informację Inf 1.. Porównuje ją j z informacją Inf 2, posługuj ugując się kryteriami oceny Kr. KONSTRUKCJA CZYNNOŚCI KONTROLNYCH - - WAZNE ZASADY Wyniki oceny dokumentuje w dowodzie D. Czynność ta jest opisana w normie N. podstawowe wymagania: N określa minimum O,Inf1,Inf2,Kr,D. N jest obowiązuj zująca i jest dostępna dla O. Obowiązek przeprowadzania kontroli O powinna mieć w swoim zakresie obowiązk zków. Autor: PJ 22
Pamiętajmy jeszcze, Ŝe: BranŜowe Koło Finansowe SAW IIA Dla kaŝdej kontroli powinno zostać dokładnie zdefiniowane KRYTERIUM POPRAWNOŚCI: Przykładowo, CO OZNACZA, Ŝe kontrolowane informacje lub wyniki procesu, są: POPRAWNE KOMPLETNE W ODPOWIEDNIEJ WYSOKOŚCI POPRAWNIE SKALKULOWANE ZGODNE Z PRZEPISAMI PRAWA KONSTRUKCJA CZYNNOŚCI KONTROLNYCH - - WAZNE ZASADY W kryterium zawiera się określenie POZIOMU DOPUSZCZALNEGO ODCHYLENIA aby wiadomo było czy moŝliwe jest przejście do kolejnego etapu procesu! 23
Co jeszcze powinniśmy brać pod uwagę przy ocenie kontroli? Odpowiednie umiejscowienie w procesie niezbędne dla zapewnienia, Ŝe kontrola ma sens i zmniejszy akurat w tym miejscu prawdopodobieństwo wystąpienia ryzyka. KONSTRUKCJA CZYNNOŚCI KONTROLNYCH - - WAZNE ZASADY Częstotliwość przeprowadzania kontroli bez przesady i z rozsądkiem (pamiętajmy o kosztach i korzyściach). Dobór odpowiedniego rodzaju kontroli: Kontrole prewencyjne, Kontrole detekcyjne, Kontrole ciągłe. Odpowiedzialność za realizację czynności kontrolnej Czynność kontrolną naleŝy zawsze łączyć z odpowiedzialnością konkretnej osoby. 24
C.D. Czynność kontrolna to nie czynność operacyjna! pamiętajmy prawidłowe rozpatrzenie wniosku o wypłatę odszkodowania nie jest kontrolą. Kontrolą jest sprawdzenie zasadności decyzji o wypłacie odszkodowania. Prawidłowa kalkulacja prowizji dla Agenta nie jest kontrolą. Kontrolą jest sprawdzenie, czy zostało to zrealizowane w oparciu o prawidłowe parametry i prawidłową metodę. KONSTRUKCJA CZYNNOŚCI KONTROLNYCH - - WAZNE ZASADY Brak rozdzielności funkcji pomiędzy osobą wykonującą czynność operacyjną a osobą kontrolującą! np. osoba sporządzająca zestawienie, fakturę, raport nie moŝe kontrolować tych dokumentów. Ale co z danymi z systemów IT? Nieodpowiednie dowody przeprowadzenia kontroli pamiętaj, dowody kontroli muszą wskazywać jednoznacznie KTO przeprowadził kontrolę! Autoryzowane dokumenty są dobrym dowodem kontroli a nie zestawienie, które jej podlega. 25
Czynność kontrolna versus ryzyko. BranŜowe Koło Finansowe SAW IIA Cele kontroli muszą być powiązane z ryzykami. CZYNNOŚĆ KONTROLNA VERSUS RYZYKO Wszystkie istotne, zidentyfikowane ryzyka powinny być pokryte przez kontrolę jeśli nie powinniśmy rekomendować zmianę design kontroli. Błędy zidentyfikowane podczas kontroli powinny być korygowane w celu mitygowania ryzyka. Efektywność kontroli - kontrola faktycznie zabezpiecza organizację przed wystąpieniem ryzyka i jego skutkami. PRZYKŁADY DO OMÓWIENIA NA NASTĘPNYM SLAJDZIE. 26
Przykłady błędów w projektowanych kontrolach. Proces rozliczeń składek. RYZYKO W PROCESIE Ryzyko finansowe w wyniku nierozliczonych wpłat lub nieterminowych rozliczeń wpłat CEL KONTROLI Zapewnienie poprawności, terminowości i kompletności rozliczania wpłat. Assertions: wycena Kompletność COSO O, FI Na koniec dnia kierownik Działu Rozliczeń dokonuje sprawdzenia czy ilość wpłat wykazana w pliku bankowym jest zgodna z ilością wpłat rozliczonych na kontach polis. Sprawdzenia dokonuje na podstawie raportu dziennego X generowanego z systemu rozliczeniowego i porównuje dane z wyciągiem bankowym. Jeśli dane są zgodne uznaje wpłaty w systemie rozliczeniowym. Proces realizacji zamówień. RYZYKO W PROCESIE CEL KONTROLI! co z wyceną? poza tym kompletność to takŝe wartość wpłat, co ze strukturą wpłat? Ryzyko utraty przychodu, w wyniku braku faktury lub błędnych danych klienta na fakturze. Poprawność rejestracji klienta Czy na pewno zapewnimy tutaj poprawność? Assertions: Kompletność COSO - O Przy wprowadzeniu danych klienta system wymusza wypełnienie obowiązkowych pól - imię nazwisko, PESEL, adres: miasto, ulica, kod pocztowy- typ klienta, płeć oraz dane dodatkowe (nr tel. kontaktowy, drugie imię, data urodzenia, adres do korespondencji. W przypadku firm obowiązkowe pola to: nazwa firmy, adres prawny siedziby, segment, wypis KRS dane dodatkowe to Regon, NIP, namiar kontaktowy. W przypadku braku tych pól system uniemoŝliwia rejestrację klienta. 27
CZYNNOŚĆ KONTROLNA VERSUS RYZYKO ANALIZA PRZYKŁADÓW 28
Ryzyko - Brak lub niekompletne zdefiniowanie ścieŝki obsługi incydentu/wniosku. Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny 1A analiza dziennika aktywności zgłoszeń w SDM (service desk manager) Mechanizm kontrolny 2A implementacja odpowiednich reguł w SDM. 29
Ryzyko - Brak kontroli nad rozliczaniem obsługi zgłoszeń przez dostawcę zewnętrznego. Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny: Mechanizm kontrolny 2A wskazanie odpowiedzialności za rozliczanie umowy (koordynator umowy). Mechanizm kontrolny 2B rozliczenia dokonywane na podstawie zgłoszeń zarejestrowanych we wspólnej bazie zgłoszeń. Mechanizm kontrolny 2C weryfikacja przez incydent managera zarejestrowanych w SDM zgłoszeń. 30
Ryzyko - Szacowanie ryzyka w ramach bezpieczeństwa informacji. Niewłaściwa ocena poziomu ryzyka dla zagroŝeń w realizowanych procesach (mogąca skutkować niewystarczającym lub nadmiernym poziomem ochrony aktywów w tych procesach). Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny WdroŜona metodyka szacowania ryzyka (zawierająca formularze oceny). Wiedza i doświadczenie Właścicieli procesów. Weryfikacja przez komórkę konsolidującą wyniki analizy ryzyka. 31
Ryzyko - Planowanie finansowe. Niewystarczające środki finansowe w stosunku do zaplanowanych działań Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny: Plan finansowy sporządzany przez komórkę finansową na podstawie danych cząstkowych z komórek merytorycznych pisemne uzasadnienie wysokości planowanych wydatków w powiązaniu z zaplanowanymi działaniami (wraz z kalkulacją). Porównywanie pozycji projektu bieŝącego planu z planem i wykonaniem planu z poprzedniego roku. Weryfikacja i zatwierdzenie planu przez kierownictwo. BieŜący (comiesięczny) monitoring stanu wykorzystania środków finansowych w poszczególnych pozycjach i w razie konieczności wnioskowanie o zmiany w planie (w ramach odpowiednich pozycji i w ograniczonym zakresie). Przewidziane rezerwy budŝetowe. 32
Ryzyko - Agent nieprawidłowo naliczy składkę naleŝną z polisy Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny: Kontrola A: Wyznaczona w jednostce terenowej osoba weryfikuje prawidłowość naliczenia składki na polisie oddanej przez agenta. Kontrola B: System, w którym rejestrowane są polisy zawiera informacje dot. prawidłowości zastosowanych zniŝek. Departament w Biurze Centrali Firmy okresowo weryfikuje raporty o przypadkach, w których zastosowano nieprawidłową zniŝkę.. 33
Ryzyko - Agent zagubi polisę (druk ścisłego zarachowania). Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny: Kontrola A: Okresowe okazywanie przez agenta w jednostce terenowej polis czystych pozostających stanie agenta. (Weryfikacja zgodności z danymi z ksiąŝki druków ścisłego zarachowania). Kontrola B: Inwentaryzacja roczna. 34
Ryzyko - Decyzje dotyczące finansowania klientów podejmowane są bez udziału Kierownictwa Banku co prowadzić moŝe do nadmiernego wzrostu ekspozycji kredytowych niezgodnego ze strategią i akceptowalnym poziomem ryzyka kredytowego. Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny: Polityka Kredytowa Banku opisuje poziom kompetencji w zakresie podejmowania decyzji finansowych. Istnieją automatyczne kontrole poziomów autoryzacji w systemach IT Banku. Decyzje finansowe o znacznej wartości podejmowane są przez więcej niŝ jedną osobę. 35
Ryzyko - Klienci finansowani są na niestandardowych warunkach, które nie zapewniają osiągnięcia załoŝonego poziomu marŝy. Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny: Wszystkie niestandardowe oferty finansowania muszą być odpowiednio autoryzowane. Oferty niestandardowe przygotowywane są przy uŝyciu odpowiedniej aplikacji IT. Dostęp do aplikacji posiadają jedynie upowaŝnieni pracownicy Banku. Regularnie przeprowadzany jest monitoring marŝy osiągniętej na danym kontrakcie. 36
Ryzyko - Towarzystwo ubezpieczeniowe stosuje uproszczoną procedurę likwidacji świadczeń z tytułu NW dla prostych spraw, w której kwota świadczenia zostaje uzgodniona z klientem w trakcie rozmowy telefonicznej. Klient chce wyłudzićświadczenie NW z tytułu fikcyjnego wypadku i do zgłoszenia internetowego załącza skany dokumentacji medycznej potwierdzające doznany uraz i sposób jego leczenia nie budzące wątpliwości. Budowa czynności kontrolnej dyskusja i wymiana 37
Mechanizm kontrolny: Kontrola A: Pracownik zobowiązany jest do przeprowadzenia rozmowy telefonicznej z klientem zgodnie ze skryptem rozmowy opracowanym przez biuro nadzorującym obszar likwidacji. Pracownik w rozmowie pomija jeden z istotniejszych elementów (którego celem było zweryfikowanie okoliczności wypadku i rodzaju doznanego urazu) z uwagi na to, Ŝe skrypt scenariusza jest błędnie zaprojektowany (na wstępie rozmowy likwidator m.in. informuje klienta o urazie, którego doznał wymieniając rodzaje obraŝeń a następnie w trakcie dalszej rozmowy klient powinien opisać likwidatorowi okoliczności wypadku i rodzaj doznanych obraŝeń). Z uwagi na sprzeczność w scenariuszu informacji, likwidator intuicyjnie rezygnuje z jednego elementu, który jego zdaniem dubluje się. Jednocześnie wyłączając ten element z rozmowy wzrasta ryzyko, Ŝe świadczenie zostanie przyznane za fikcyjny uraz. Budowa czynności kontrolnej dyskusja i wymiana Kontrola B: Rozmowa nagrana z klientem dołączana jest elektronicznych akt sprawy. Kontrola C: Kierownik pracownika likwidującego sprawy NW dokonuje wyrywkowych kontroli spraw zlikwidowanych w zespole. Nie kontroluje jednak przeprowadzonych rozmów z uwagi na brak słuchawek lub głośników (w komputerze) umoŝliwiających odsłuchanie rozmowy. 38
Ryzyko - Model wewnętrzny wyznaczający scoring kredytowy osoby ubiegającej się o kredyt bankowy moŝe z upływającym czasem nieprawidłowo dyskryminować dobrych i złych klientów, wynikiem czego nastąpi obniŝenie jakości portfela kredytowego Banku Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny: Kontrola 1: Zespół Monitorujący prowadzi bieŝącą analizę zmian jakości portfela kredytowego Banku przez pryzmat macierzy migracji ratingów wyznaczonych przez nadany scoring kredytowy. Kontrola 2: Zespół Walidacyjny (jednostka niezaleŝna od Zespołu Budującego Model) przeprowadza okresową walidację siły dyskryminacyjnej modelu. Kontrola 3: Audyt Wewnętrzny przeprowadzana okresowy audyt stanu realizacji uwag Zespołu Walidacyjnego przez Zespół Budujący Model w kontekście modelu wyznaczającego scoring kredytowy. 39
Ryzyko - Niedotrzymanie umownych klauzul niefinansowych przez Klienta Banku, skutkujący podwyŝszeniem ryzyka niedotrzymania pozostałych warunków umowy. Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny: Kontrola 1: Opiekun Klienta prowadzi bieŝącą identyfikację podwyŝszonego ryzyka niedotrzymywania umownych klauzul niefinansowych przez Klienta Banku. Kontrola 2: Zespół Monitorujący prowadzi zestawienia umownych klauzul niefinansowych Klientów Banku oraz monitoruje ich dotrzymywanie. Kontrola 3: Audyt Wewnętrzny przeprowadza okresowy audyt oceniający proces monitorowania dotrzymywania klauzul niefinansowych przez Klienta Banku na wybranej próbie Klientów.. 40
Ryzyko - Ryzyko: Odpowiednie transakcje o wartości powyŝej 15 tys EUR i transakcje powiązane nie są raportowane do GIIF lub są raportowane z opóźnieniem/ w sposób niekompletny. Budowa czynności kontrolnej dyskusja i wymiana Mechanizm kontrolny: Kontrola 1 A Funkcjonują automatyczne interfejsy pomiędzy systemami źródłowymi, zawierającymi dane o transakcjach a systemem X słuŝącym do raportowania transakcji do GIIF, które dokonują transferu danych o transakcjach do rejestru specjalnego w systemie X i ich dalsze przesyłanie do GIIF. Kontrola 1 B Koordynator PPP jest odpowiedzialny za identyfikację transakcji powiązanych w oddziale i ma moŝliwość generowania zapytań w systemie X. 41
Ryzyko - Ryzyko: Wymagana przez Ustawę o ppp analiza ryzyka klienta pod kątem ryzyka ppp nie jest poprawnie przeprowadzana w Banku Mechanizm kontrolny: Kontrola 1 A Pracownik oddziału wypełnia formularz KYC w systemie, w którym znajdują się pytania mogące sugerować podwyŝszone ryzyko PPP danego klienta, wyniki analizy wstępnej są przekazywane do centralnej jednostki compliance jeśli nastąpi zaznaczenie którejś odpowiedzi na NIE Budowa czynności kontrolnej dyskusja i wymiana Kontrola 1 B Komórka compliance analizuje dane klienta opierając się na wewnętrznych procedurach i decyduje o poziomie ryzyka klienta. Kontrola 1 C W systemie znajduje się flaga wskazująca poziom ryzyka ppp klienta, która pozwala na jego monitorowanie. 42
Dziękujemy za uwagę. Kontakt: Monika Kaszczyc Tomasz Dzida m_4kasz@tlen.pl tomasz@visionseedcoaching.com 43