Gdybym wiedział że upadnę to bym się położył

Identyfikacja ryzyka w przedsiębiorstwach energetycznych Dr Ryszard Pocheć Szczyrk, wrzesień 2007 1 Gdybym wiedział że upadnę to bym się położył 2

Struktura referatu Zarządzanie ryzykiem Zarządzanie ryzykiem w energetyce Zarządzanie ryzykiem korporacyjnym 3 Specyfika systemu energetycznego Podsektor wytwórczy Podsektor przesyłu Podsektor dystrybucji Obrót nowe ważne ogniwo 4

Podstawowe pojęcia Ryzyko jest nieodłącznie związane z każdą działalnością ukierunkowaną na osiągnięcie zaplanowanych wyników. Samo w sobie nie jest niczym złym. Staje się jednak zagrożeniem w chwilach jego lekceważenia, sytuacjach niedoszacowania i niewłaściwego zarządzania lub wtedy, gdy stanowi element zaskoczenia. Ryzyko - niebezpieczeństwo, że zdarzenia i akcje mające miejsce zarówno wewnątrz przedsiębiorstwa, jak i w jego otoczeniu, poprzez swoje oddziaływania mogą utrudniać bądź uniemożliwiać osiągnięcie strategicznych i operacyjnych celów organizacji. Zarządzanie ryzykiem Obszar zarządzania ryzykiem jest odpowiedzialny za stworzenie właściwego procesu zarządzania ryzykiem, określanie modeli pomiaru ryzyk oraz ocenę wyników z punktu widzenia zarządzania zania ryzykiem. Controlling ryzyka Controlling ryzyka odpowiedzialny jest za przygotowywanie raportów dla kierownictwa przedsiębiorstwa oraz kontrolę wykonywania zaleceń polityki zarządzania ryzykiem. Zarządzanie ryzykiem nakierowane jest na całkowitą eliminację, lub co najmniej ograniczenie przyczyn i/lub skutków zdarzeń losowych, które wpływają na zakłócenie procesów gospodarczych. Jego celem nie jest zmiana przebiegu tego procesu 5 Typowa klasyfikacja ryzyk Ryzyka Ekonomiczne Zarządzania i działalności operacyjnej Rynkowe Finansowe Zabezpieczeń i refinansowania Techniczne Technologiczne Operacyjne Eksploatacji Pozostałe Polityczne Siły wyższej Regulacyjne Prawne 6

Identyfikacja ryzyka Identyfikacja ryzyka ma na celu ujawnienie pełnej ekspozycji przedsiębiorstwa na zjawiska niepewności, wszystkich aspektów działalności przedsiębiorstwa i jej otoczenia biznesowego. Zidentyfikowane zagrożenia mogą być sklasyfikowane w następujących grupach: Strategiczne (długoterminowe cele firmy), Operacyjne, Finansowe, Knowledge management (m.in. kontrola nad wiedzą, technologią, przepływem informacji oraz ich bezpieczeństwem), Zgodność (m.in. BHP, środowisko, warunki handlowe, prawa pracownicze, ochrona danych osobowych). 7 Ryzyka dotyczące energetyki Ryzyka spowodowane czynnikami zewnętrznymi Ryzyka spowodowane czynnikami wewnętrznymi 8

Ryzyka strategiczne Ryzyko konkurencji na rynku energii Zmiany konkurencji po wprowadzeniu rynku Zmiany w sektorze energetycznym Zmiany popytu na energię elektryczną 9 Ryzyka finansowe Ryzyko stóp procentowych Ryzyko zmian kursowych Ryzyko kredytowe 10

Ryzyka operacyjne Kultura organizacji Ustawodawstwo Kadra 11 Inne ryzyka Ryzyko wiążące się z zawartymi umowami Ryzyko dostawców i odbiorców energii elektrycznej Ryzyko związane z siłami natury 12

Zarządzanie ryzykiem wytwórców energii elektrycznej 13 Energia elektryczna Energia elektryczna jako dobro przed wprowadzeniem rynku energii Energia elektryczna jako towar na rynku 14

Ryzyko w podsektorze wytwórczym Kiedyś ryzyko niewyprodukowania wymaganej ilości energii Dziś ryzyko niesprzedania wyprodukowanej energii elektrycznej 15 Ryzyko na rynku energii elektrycznej Nowe ryzyka Nowe zagrożenia Nowe szanse 16

Etapy zarządzania ryzykiem Zarządzanie ryzykiem to proces, składający się z następujących etapów: Szacowanie ryzyka analiza i ocena ryzyka (identyfikacja, opisanie ryzyka) Ewaluacja ryzyka od poziomu strategicznego do poziomu taktycznego, nadanie poszczególnym ryzykom priorytetów ważności i pilności, Reakcja na ryzyko świadome modyfikowanie ryzyka ( redukcja, akceptacja, transfer bądź odrzucenie ryzyka) Administrowanie ryzykiem raportowanie, komunikowanie ryzyka; wypracowanie planu awaryjnego; Monitorowanie i przegląd (proces ciągły) m.in. audyty wewnętrzne i kontrola - czy podjęte działania są skuteczne oraz czy nie pojawiają się nowe ryzyka 17 Zarządzanie ryzykiem w przykładowej elektrowni Norma ISO/IEC 27001 nakłada konieczność identyfikacji ryzyka FORUM BEZPIECZEŃSTWA INFORMACJI Deklaracja stosowania Plan postępowania z ryzykiem bezpieczeństwa informacji Zapewnienie ciągłości działania w obszarze informacyjnym Raport z szacowania ryzyka bezpieczeństwa informacji Utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji Wydział Skarbca EZ Zespół ds. zabezpieczeń Polityka zarządzania ryzykiem Nadzór nad ryzykiem zmian kursów walutowych oraz zmian stóp procentowych. Wydział Ochrony Przedsiębiorstwa - ZO Zabezpieczenie osób i mienia 18

Zarządzanie ryzykiem w elektrowni - (1) Czynniki zewnętrzne Firma zewnętrzna wspomaganie w tworzeniu modelu zarządzania ryzykiem w elektrowni propozycja Komórki organizacyjne Elektrowni informowanie o wprowadzaniu bądź rozpoczynaniu nowych projektów skutkujących powstawaniem nowych ryzyk w przedsiębiorstwie. Forum Bezpieczeństwa Informacji potrzeba rozszerzenia składu FBI o osoby z pionu DT, DE Wydział Ochrony Przedsiębiorstwa - ZO Zespół ds. zabezpieczeń Risk Manager Zadania związane z nadzorem nad ryzykiem: Identyfikacja, opisanie, oszacowanie ryzyka Ewaluacja ryzyka Propozycja reakcji na ryzyko Administracja ryzykiem Wykorzystanie opisanych i oszacowanych ryzyk do określenia zadań audytowych Wydział Skarbca - EZ Przekazywanie informacji o zdarzeniach, notatek ze spotkań, zabezpieczonych transakcjach, nowym możliwym ryzyku raportowanie Prezes Zarządu elektrowni 19 Zarządzanie ryzykiem w elektrowni - (2) propozycja Biuro Kontroli - w zakresie swojej działalności skupia szeroko rozumianą organizację bezpieczeństwa informacji (m.in. ochrona informacji niejawnych, danych osobowych, sieci teleinformatycznych) oraz kontrolę wewnętrzną i audyt (który nazywany jest niezależną, obiektywną działalnością o charakterze oceniającym, zapewniającym m i doradczym w zakresie procesów zarządzania ryzykiem, kontroli wewnętrznej oraz zarządzania ania pod względem legalności, gospodarności, celowości, rzetelności, a także przejrzystości i jawności). Metodyka zadań audytowych polega na określeniu i wyodrębnieniu w przedsiębiorstwie obszarów ryzyka, które poddawane są audytowi. Podejmowanie jakichkolwiek zmian czy rozpoczynanie projektów wewnątrz Elektrowni na pewno będzie generowało powstawanie nowych ryzyk, będzie wpływało na obraz o ryzyk w elektrowni (np( np. wdrożenie nowych rozwiązań informatycznych, zlecenie procesu archiwizacji dokumentacji papierowej firmie zewnętrznej, itp.) 20

Przykłady ryzyk w elektrowni 1. Ryzyko rynkowe / polityczne: niekorzystne rozwiązanie KDT 2. Ryzyko działalności: wystąpienie awarii 3. Ryzyko regulacyjne: wzrost cen energii czerwonej i zielonej 4. Ryzyko wolumenu: ograniczenia produkcji na skutek warunków pogodowych 5. Ryzyko kursu walutowego: wzrost kosztów obsługi zadłużenia Prawdopodobieństwo Wysokie Średnie 3 5 2 4 RYZYKO NIEDOPUSZCZALNE Mapa ryzyka Niskie Pomijalne 1 Lina dopuszczalnego poziomu ryzyka Wartość ryzyka w mln PLN Niewielkie Średnie Znaczące Zagrożenie egzystencji 21 Korzyści z nadzorowania ryzyk (1) Działania związane z określeniem i postępowaniem z ryzykiem pozwolą olą na: Koncentrowanie się w ramach audytu wewnętrznego na najważniejszych zidentyfikowanych zagrożeniach, Sprawdzenie prawidłowości zarządzania ryzykiem w przedsiębiorstwie, ie, Pomoc w edukowaniu pracowników operacyjnych w kwestii zarządzania a ryzykiem i kontroli wewnętrznej. Jakie korzyści może dać zarządzanie ryzykiem: Elektrownia będzie pierwszą Spółką w swojej grupie, posiadającą profesjonalny sposób postępowania z ryzykiem wartość dla całej Grupy Zapewnienie lepszej jakości, kompletniejszej informacji na temat stanu Elektrowni, co ma zapewnić podejmowanie przez kierownictwo bardziej adekwatnych decyzji, a co za tym idzie wzrost wartości firmy Zmniejszenie wrażliwości (uodpornienie) przedsiębiorstwa na niespodziewane zdarzenia Polepszenie i usprawnienie procesów planowania i decyzyjności 22

Korzyści z nadzorowania ryzyk (2) Ochrona wizerunku firmy i jej majątku Rozwijanie i podtrzymywanie bazy wiedzy w firmie (koncepcja firmy y uczącej się ) Optymalizacja sprawności operacyjnej Zapewnienie wskazówek umożliwiających sprawne funkcjonowanie firmy Zaspokojenie podstawowej potrzeby bezpieczeństwa Wypełnienie regulacji prawnych i wymagań właścicielskich Wymagania rynkowe. Wymagania w zakresie kierowania przedsiębiorstwem energetycznym Tworzenie wartości w przedsiębiorstwie. Zarządzanie ryzykiem jest t częścią kultury organizacyjnej przedsiębiorstwa 23 Znaczenie zarządzania ryzykiem dla uczestników rynku energii elektrycznej Dzisiejsze rynki są dalekie od teoretycznego modelu konkurencji doskonałej. Istnieje wiele obszarów funkcjonowania dostawców energii elektrycznej (od zagadnień związanych z regulacją rynku, przez niepewność co do uregulowań prawnych aż po zmienność cen i możliwość bankructwa kontrahentów), które sprawiają, że zarządzanie ryzykiem staje się cennym ogniwem kierowania działalnością każdego uczestnika rynku energii elektrycznej. Proces ten powinien koncentrować się na kluczowych ryzykach, mogących spowodować największe straty w poszczególnych obszarach funkcjonowania przedsiębiorstwa. 24

Zarządzanie ryzykiem w koncernie dystrybucyjnym Ryszard Pocheć Piotr Zawistowski Krzysztof Huzar 25 Zasady zarządzania ryzykiem w koncernie dystrybucyjnym Cele zarządzania ryzykiem Cele modelu zarządzania ryzykiem Ogólne zasady modelu zarządzania ryzykiem 26

Cele zarządzania ryzykiem w koncernie energetycznym Ochrona i maksymalizacja wartości firmy: jej majątku, zdolności do generowania zysku, udziału w rynku Aktywne i kompleksowe reagowanie na ryzyka, jakie mogą wystąpić w koncernie Opracowanie w oparciu o własne doświadczenie oraz strukturę organizacyjną własnego optymalnego Modelu zarządzania ryzykiem 27 Cele modelu zarządzania ryzykiem Określenie i scharakteryzowanie ryzyk które mogą wystąpić w koncernie a także skutków wystąpienia ryzyka Opracowanie założeń do wdrożenia procesu zarządzania ryzykiem Ustalenie poziomów kompetencji i zadań formalnych uczestników zarządzania ryzykiem Wzrost poziomu edukacji wśród uczestników procesu zarządzania ryzykiem. 28

Podmioty zarządzania ryzykiem w spółce dystrybucyjnej Zarząd Komisja ds. zarządzania ryzykiem Risk manager Właściciel ryzyka 29 WŁAŚCICIEL RYZYKA Identyfikuje ryzyka w swoim obszarze Utrzymuje podległych pracowników w stanie kompetencji i uprawnień do informowania o pojawiających się ryzykach Opisuje zidentyfikowane ryzyka Rejestruje zidentyfikowana ryzyka w rejestrze ryzyk Sporządza karty ryzyk Przesyła niezbędne informacje do Risk Managera Kontroluje i zarządza ryzykiem Dokonuje analizy opłacalności metod postępowania z ryzykiem 30

Risk Manager Opracowuje zasady funkcjonowania procesu zarządzania ryzykiem Tworzy i aktualizuje wzory dokumentów Opracowuje zbiorczy rejestr i mapy ryzyk Wspiera właścicieli ryzyk w ich zadaniach związanych z zarządzaniem ryzykiem Organizuje i prowadzi szkolenia związane z zarządzaniem ryzykiem Monitoruje proces zarządzania ryzykiem i kontroluje jego skuteczność Raportuje do zarządu o efektach funkcjonowania zarządzania ryzykiem 31 Komisja Risk Management Wyznacza cele zarządzania ryzykiem Opiniuje proponowane rozwiązania dotyczące postępowania wobec ryzyka i rekomenduje je do Zarządu Wyznacza budżet związany z zarządzaniem ryzykiem Ustala poziom tolerancji na ryzyko 32

ZARZĄD Określa cele strategiczne zarządzania ryzykiem oraz podejmuje decyzje strategiczne w zakresie zarządzania ryzykiem, między innymi o raporty Risk Managera 33 Rejestr ryzyk Nazwa ryzyka Przyczyna ryzyka Skutek ryzyka Prawdopodobieństwo wystąpienia w okresie czasu Czynniki wpływające na prawdopodobieństwo Czynniki wpływające na skutek 34

Przykładowe obszary występowania ryzyk Finanse Obrót energią elektryczną Systemy i sieci komputerowe Zarządzanie kadrami Zarządzanie majątkiem sieciowym Kontrakty z OSP BHP 35 POZIOMY WARTOŚCI PROGOWYCH SKUTKÓW Poziom ryzyka dla skutku Utracone dochody Opis Katastrofalne Poważne Duże Średnie Małe Większe niż 30 mln 30 mln 7,5 mln 2mln 500 tys Może spowodować zapaść spółki Może spowodować zachwianie się spółki Może spowodować zachwianie się spółki w pewnych obszarach Powoduje odczuwalne skutki finansowe dla spółki Niewielkie skutki finansowe 36

Poziomy progowych wartości prawdopodobieństwa Poziom ryzyka Bardzo wysoki Wysoki 1raz na n lat 1 raz/1-2 2 lata 1 raz/ 3-53 5 lat % Ponad 50% 50-21% opis Zdarza się często w spółce Zdarza się co kilka lat może zdarzyć się ponownie Średni 1 raz/6 lat 20 11% Zdarzyło się raz Niski Bardzo niski 1 raz/ 11-19 19 lat 1 raz/ 20 lat i więcej 10 6% 5% i mniej Zdarzyło się raz w branży Nie zdarzyło się nigdy 37 Mapa ryzyk Prawdopodobieństwo Mapa ryzyka Wysokie Średnie 3 RYZYKO NIEDOPUSZCZALNE 5 2 4 Niskie Pomijalne 1 Lina dopuszczalnego poziomu ryzyka Wartość ryzyka w mln PLN Niewielkie Średnie Znaczące Zagrożenie egzystencji 38

Co wybrać co lepsze? Zarządzanie ryzykiem w różnych obszarach działania podmiotu energetycznego Zarządzanie ryzykiem korporacyjnym Enterprice Risk Management 39 Zarządzanie ryzykiem korporacyjnym Zarządzanie ryzykiem korporacyjnym jest realizowanym przez zarząd, kierownictwo lub inny personel przedsiębiorstwa, uwzględnionym w strategii i w całym przedsiębiorstwie procesem, którego celem jest identyfikacja potencjalnych zdarzeń, które mogą wywrzeć wpływ na przedsiębiorstwo, utrzymywanie ryzyka w ustalonych granicach oraz rozsądne zapewnienie realizacji celów przedsiębiorstwa Źródło: Zarządzanie ryzykiem korporacyjnym zintegrowana struktura ramowa 40

Zarządzanie ryzykiem korporacyjnym Proces zachodzący w całym przedsiębiorstwie Realizacja na wszystkich szczeblach organizacji Uwzględnione w strategii Postrzegane z poziomu całości przedsiębiorstwa Istnieje w celu identyfikacji potencjalnych zdarzeń mogących mieć wpływ na organizację Utrzymywanie ryzyka w określonym zakresie 41 Osiąganie celów przez organizację Strategicznych Operacyjnych Sprawozdawczości Zgodności 42

Zarządzanie ryzykiem korporacyjnym Uzgodnienie akceptowalnego poziomu ryzyka Reakcja na ryzyko Ograniczenie strat operacyjnych Identyfikacja i zarządzanie wieloma rodzajami ryzyka w całej organizacji Zintegrowana reakcja na różne rodzaje ryzyka Wykorzystanie szans Wykorzystanie kapitału 43 Elementy zarządzania ryzykiem korporacyjnym Środowisko wewnętrzne Ustalanie celów Identyfikacja zdarzeń Ocena ryzyka Reakcja na ryzyko Działania kontrolne Informacja i komunikacja monitorowanie 44

Środowisko wewnętrzne Poziom akceptowalnego ryzyka Zarząd Wartości etyczne Kompetencje w organizacji Struktura organizacyjna Podział uprawnień i obowiązków 45 Cele strategiczne Cele powiązane Cele operacyjne Ustalanie celów Osiągalność celów Akceptowalność ryzyka 46

Zdarzenia mające wpływ na organizację Ekonomiczne Środowiskowe Polityczne Społeczne Technologiczne 47 Ocena ryzyka Ryzyko wewnętrzne i rezydualne Ocena prawdopodobieństwa wyników Techniki oceny 48

Reakcja na ryzyko Unikanie Ograniczanie Dzielenie się Akceptacja 49 Działania kontrolne Rodzaje działań kontrolnych Polityki i procedury Kontrola systemów informatycznych Zależności pomiędzy specyfiką organizacji a działaniami kontrolnymi 50

Wymiana informacji Systemy zintegrowane Działalność operacyjna Szczegółowość i terminowość Jakość informacji 51 Komunikacja w organizacji Komunikacja wewnętrzna Komunikacja zewnętrzna Środki komunikacji 52

Monitorowanie Monitorowanie bieżące Odrębne oceny Zgłaszanie nieprawidłowości 53 Dziękuję za uwagę 54