Wskaźniki ryzyka w jednostkach finansów publicznych

Podobne dokumenty
SKZ System Kontroli Zarządczej

Standardy kontroli zarządczej

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

ZARZĄDZENIE NR 36/2016 BURMISTRZA KSIĄŻA WLKP. z dnia 22 marca 2016 r.

Kontrola zarządcza w szkołach i placówkach oświatowych. Ewa Halska, Andrzej Jasiński, OSKKO

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Ustawa z dnia 27 sierpnia 2009 roku Przepisy wprowadzające ustawę o finansach publicznych (Dz.U. Nr 157, poz. 1241)

Karta identyfikacji, szacowania i zarządzania ryzykiem Skład zespołu identyfikującego ryzyko

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

ZARZĄDZENIE NR 19/2011/2012 DYREKTORA PRZEDSZKOLA KRÓLA Maciusia I w Komornikach z dnia w sprawie przyjęcia regulaminu kontroli zarządczej

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

POLITYKA ZARZĄDZANIA RYZYKIEM

Regulamin zarządzania ryzykiem. Założenia ogólne

Kwestionarisz samooceny

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Kryteria oceny Systemu Kontroli Zarządczej

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

Zarządzanie ryzykiem w rozwiązaniach prawnych. by Antoni Jeżowski, 2014

Standardy kontroli zarządczej

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

1. 1. Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Z 2013 r. Poz. 885, z późn. zm.).

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

ANKIETA dla kadry kierowniczej samoocena systemu kontroli zarządczej za rok

Samoocena w systemie kontroli zarządczej z perspektywy audytora wewnętrznego

Dyrektora Gminnego Zespołu Szkół w Ozimku

ARKUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ UWAGI/DODATKOW E INFORMACJE

Polityka Zarządzania Ryzykiem

REGULAMIN ZARZĄDZANIA RYZYKIEM. w Sądzie Okręgowym w Krakowie

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia roku

System kontroli zarządczej obejmuje wszystkie jednostki sektora finansów publicznych.

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

ZARZĄDZENIE Nr 21/11 MARSZAŁKA WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO z dnia 10 marca 2011 r.

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

BURMISTRZA MIASTA CHEŁMŻY z dnia 7 lutego 2014 r.

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Przedszkole Nr 30 - Śródmieście

STRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

Regulamin kontroli zarządczej w Gminnym Ośrodku Kultury

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Zasady monitorowania i dokonywania samooceny systemu kontroli zarządczej oraz udzielania zapewnienia o stanie kontroli zarządczej

Zarządzenie nr ZEAS 0161/-5/2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu

Reforma regulacyjna sektora bankowego

POLITYKA ZARZĄDZANIA RYZYKIEM w Zespole Szkół w Otocznej

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

Instrukcja zarządzania ryzykiem

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Z A R Z Ą D Z E N I E Nr 3/2011

ZARZĄDZENIE NR 1/2016 STAROSTY POLKOWICKIEGO. z dnia 11 stycznia 2016 r.

Zarządzenie Nr OR OR Burmistrza Gminy i Miasta Lwówek Śląski z dnia 30 lipca 2012r.

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

ZARZĄDZENIE NR B-0151/224/10 BURMISTRZA MIASTA BIERUNIA z dnia r.

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Rektora Państwowej Wyższej Szkoły Zawodowej w Tarnowie z dnia 30 grudnia 2013 roku

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Zarządzenie Nr 508 / 2016 Prezydenta Miasta Kalisza z dnia 9 września 2016 r.

Zarządzanie ryzykiem w jednostce samorządu terytorialnego MARCIN SZEMRAJ CGAP

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

KONTROLA ZARZĄDCZA w jednostkach sektora finansów publicznych. Prowadzący: Artur Przyszło

Rozdział I Postanowienia ogólne

Informacje, o których mowa w art. 110w ust. 4 u.o.i.f., tj.:

ZARZĄDZENIE Nr 0050/20/15 PREZYDENTA MIASTA TYCHY z dnia 16 stycznia 2015 roku

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

System kontroli wewnętrznej w Limes Banku Spółdzielczym

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

Wykonanie zarządzenia powierza się Wiceprezydentom Miasta, Sekretarzowi Miasta, Skarbnikowi Miasta oraz kierownikom komórek organizacyjnych.

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

Zarządzenie NR 4/2013 Dyrektora Tarnowskiego Ośrodka Interwencji Kryzysowej i Wsparcia Ofiar Przemocy w Tarnowie, z dnia 7 stycznia 2013 r.

Poz. 237 KOMUNIKAT MINISTRA SPRAWIEDLIWOŚCI. z dnia 1 grudnia 2015 r.

Zarządzenie wewnętrzne Nr 19/2013 Burmistrza Miasta Środa Wielkopolska z dnia 26 września 2013 r.

Warszawa, dnia 17 marca 2017 r. Poz. 82

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Zarządzenie Nr 01/2011 Dyrektora Gminnego Ośrodka Kultury w Nieporęcie z dnia 23 marca 2011

Strategia zarządzania ryzykiem w DB Securities S.A.

Załącznik nr 5 do zarządzenia Nr 163/2011 z dnia r. REGULAMIN ZARZĄDZANIA RYZYKIEM Urzędu Gminy i Miasta Nowe Skalmierzyce

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

Opis systemu kontroli wewnętrznej Banku Spółdzielczego w Połańcu. 1. Cele i organizacja systemu kontroli wewnętrznej

Benchmarking narzędzie efektywnej kontroli zarządczej w urzędach miast na prawach powiatu, urzędach gmin i starostwach powiatowych

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

ZARZĄDZENIE Nr 32/2012 Wójta Gminy w Chojnicach. z dnia 16 marca 2012 roku

Organizacja i funkcjonowanie Systemu Kontroli Wewnętrznej w HSBC Bank Polska S.A.

Transkrypt:

Wskaźniki ryzyka w jednostkach finansów publicznych Przemysław Wistel Menedżer, Dział Zarządzania Ryzykiem

Bezpiecznie i oszczędnie? Istotność KRI w zarządzaniu ryzykiem w jednostkach finansów publicznych Rodzaje stosowanych wskaźników Ryzyko a jednostki finansów publicznych (rys historyczny) Zasady tworzenia efektywnych KRI Przegląd wskaźników stosowanych w jednostkach finansów publicznych Pytania

Rodzaje wskaźników stosowanych w monitoringu ryzyk Podstawowym przesłaniem zarządzania ryzykiem jest powiązanie celów z ryzykiem i odpowiedzią na ryzyko KRI Key Risk Indicator (kluczowy wskaźnik ryzyka) KPI Key Performance Indicator (kluczowy wskaźnik efektywności) KCI Key Control Indicator (kluczowy wskaźnik mechanizmów kontrolnych) KPI jednego obszaru mogą stanowić KRI w innym KRI mogą informować o aktualnej ekspozycji na ryzyko, jeśli odnoszą się do zdarzeń. Mogą też stanowić sygnały ostrzegawcze, jeśli odnoszą się do uwarunkowań. Te drugie mają większą wartość zarządczą.

Standardy kontroli finansowej (Ministerstwo Finansów, 2003) KPI: Kierownik jednostki zapewnia przygotowanie rocznego planu pracy jednostki zawierającego poszczególne cele i zadania, komórki organizacyjne odpowiedzialne za ich realizację oraz zasoby (np. osobowe, finansowe, rzeczowe) przeznaczone do ich realizacji. Kierownik jednostki prowadzi bieżącą ocenę (monitoring) realizacji zadań za pomocą mierzalnych wskaźników lub precyzyjnie zdefiniowanych kryteriów. IDENTYFIKACJA RYZYKA: Kierownik jednostki systematycznie, nie rzadziej niż raz w roku, dokonuje identyfikacji zewnętrznego i wewnętrznego ryzyka związanego z osiąganiem celów jednostki, dotyczącego zarówno działania całej jednostki, jak i prowadzonych przez jednostkę konkretnych programów, projektów czy zadań. W przypadku zmiany warunków w których funkcjonuje jednostka, identyfikacja ryzyka powinna być ponawiana. Źródło: Standardy kontroli finansowej w jednostkach sektora finansów publicznych, Ministerstwo Finansów, 2003

Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych (Ministerstwo Finansów, 2007) Analiza ryzyka: Zidentyfikowane ryzyka poddawane są gruntownej i całościowej analizie. ( ) W szczególności każde ryzyko poddane analizie przypisywane jest do odpowiednich celów. Kierownik jednostki wyznaczył poziom ryzyka akceptowalnego dla jednostki, czyli stopień ryzyka, jaki jednostka gotowa jest podjąć ( apetyt na ryzyko ). W szczególności: przy określaniu apetytu na ryzyko kierownik jednostki uwzględnił sytuację jednostki ( ), wielkość kosztów ograniczenia danego ryzyka. Apetyt na ryzyko jest zróżnicowany w zależności od rodzaju i istotności danego ryzyka. (NIE RZADZIEJ NIŻ RAZ W ROKU) Źródło: Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych, Ministerstwo Finansów, 2007 4

Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych (Ministerstwo Finansów, 2007) (2) Reakcja na ryzyko i działania zaradcze: Zarządzający określił rodzaj reakcji w stosunku do danego ryzyka (np. przeniesienie, tolerowanie, działanie, wycofanie się). W szczególności: zostały zaplanowane i wdrożone odpowiednie działania w stosunku do każdego ryzyka, które nie może być przez jednostkę zaakceptowane, zgodnie z ustalonym rodzajem reakcji ( ) Kierownik jednostki monitoruje funkcjonowanie procesu zarządzania ryzykiem w jednostce. Dla każdego ryzyka został ustalony właściciel, czyli osoba odpowiedzialna za zarządzanie tym ryzykiem. (DZIAŁANIE BIEŻĄCE) 5

Kontrola zarządcza (Ministerstwo Finansów, 2009) 6. Określanie celów i zadań, monitorowanie i ocena ich realizacji Cele i zadania należy określać jasno i w co najmniej rocznej perspektywie. Ich wykonanie należy monitorować za pomocą wyznaczonych mierników. W jednostce nadrzędnej lub nadzorującej należy zapewnić odpowiedni system monitorowania realizacji celów i zadań przez jednostki podległe lub nadzorowane. Zaleca się przeprowadzanie oceny realizacji celów i zadań uwzględniając kryterium oszczędności, efektywności i skuteczności. Należy zadbać, aby określając cele i zadania wskazać także jednostki, komórki organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie oraz zasoby przeznaczone do ich realizacji. (KPI) Źródło: Ustawa z dnia 27 sierpnia 2009r. o finansach publicznych; Komunikat nr 23 Ministra Finansów z dnia 16 grudnia 2009r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych 6

Kontrola zarządcza (Ministerstwo Finansów, 2009) (2) 7. Identyfikacja ryzyka Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań. W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego należy uwzględnić, że cele i zadania są realizowane także przez jednostki podległe lub nadzorowane. W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka należy dokonać ponownej identyfikacji ryzyka. 8. Analiza ryzyka Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Należy określić akceptowany poziom ryzyka. 9. Reakcja na ryzyko W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Należy określić działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu. 7

Standardy kontroli zarządczej czego w nich brak? Co jest w wytycznych (MF): misja, określanie celów i zadań, monitorowanie i ocena ich realizacji, identyfikacja ryzyka, analiza ryzyka, reakcja na ryzyko. Czego nie ma w wytycznych: modelu ryzyk, apetytu na ryzyko, tolerancji ryzyka, wskazówki w jaki sposób przeprowadzać analizę ryzyka, obowiązku wskazania właścicieli ryzyk. Monitorowanie i ocena Informacja i komunikacja Mechanizmy kontroli Cele i zarządzanie ryzykiem Środowisko wewnętrzne Jednostka A Proces 1 Jednostka B 8 Działanie 1

Co umożliwiają KRI? Przewidywanie potencjalnego poziomu ekspozycji na ryzyko (poprzez analizę trendów) Określenie i podjęcie odpowiednich działań w odpowiedzi na niekorzystne zmiany poziomu ryzyka Wyznaczenie poziomów tolerancji na poszczególne ryzyka w odniesieniu do apetytu na ryzyko Na poziomie strategicznym częstsze podejmowanie decyzji obarczonych ryzykiem nagradzanym ze względu na możliwość kontroli poziomu ekspozycji na ryzyko Agregację informacji o profilach ryzyk i właściwy przepływ informacji 9

Dobrze skonstruowany KRI Efektywny w monitorowaniu ekspozycji na ryzyko Porównywalny z innymi wskaźnikami Praktyczny i łatwy w zastosowaniu 10

KRI efektywny w monitorowaniu ekspozycji na ryzyko: Ma zastosowanie dla co najmniej jednego ryzyka / jednostki Umożliwia pomiar w przedziałach czasowych (zmienność ryzyka, trendy) Umożliwia dokonanie obiektywnego pomiaru, eliminując subiektywny osąd Dostarcza użytecznych informacji zarządczych Odzwierciedla przynajmniej jeden parametr opisujący zdarzenie / stratę, tj.: częstotliwość zdarzenia / prawdopodobieństwo, wpływ (wielkość straty), podatność 11

KRI porównywalny z innymi wskaźnikami: Jest wyznaczony jako wartość, procent lub proporcja Jego wartości są porównywalne w czasie Jego wartości są porównywalne w organizacji (pomiędzy jednostkami organizacyjnymi) Jego wartości mogą być porównywalne z wartościami w innych organizacjach Opiera się głównie na obiektywnych wartościach i uniemożliwia subiektywną interpretację Może być poddany audytowi i weryfikacji 12

KRI praktyczny i łatwy w zastosowaniu: Czas konieczny do uzyskania informacji źródłowych i kalkulacji wskaźnika nie jest nadmierny Koszt czynności wymaganych do jego kalkulacji nie jest nadmierny Jest łatwy do komunikowania i interpretacji Kalkulacja KRI nie stanowi celu samego w sobie 13

Wyzwania w stosowaniu KRI: Brak jednolitej terminologii może utrudniać konsolidację, raportowanie i analizę na kolejnych szczeblach sektora finansów publicznych Brak całościowego ujęcia (ram zarządzania ryzykiem) pojedyncze KRI (rozpatrywane bez powiązania z KPI i KCI) może być trudne w interpretacji lub podatne na próby manipulacji Zbyt wysoki poziom agregacji KRI powinny być sprofilowane na dosyć wąskie obszary działalności i ryzyka. Przykładem zbyt ogólnego wskaźnika KRI może być poziom rotacji personelu mierzony na poziomie całej jednostki sektora finansów publicznych Natura niektórych ryzyk uniemożliwia skonstruowanie miarodajnego i wiarygodnego wskaźnika. Przykładem może być ryzyko zmowy i naruszenia zasad podziału uprawnień (Segregation of Duties) Kalibracja wskaźników wymaga jasnego określenia apetytu i tolerancji na ryzyko, czyli działań na etapie formułowania strategii zarządzania ryzykiem 14

Zaawansowane wykorzystanie KRI: Pomiar efektywności strategii zarządzania ryzykiem Przykładowe korzyści: Wspomaganie analizy przyczynowo-skutkowej pozwalającej ograniczyć częstotliwość i/lub zakres strat Testowanie efektywności (performance benchmarking) Przykładowe korzyści: Możliwość tworzenia i optymalizacji dobrych praktyk (best practice) w sektorze Tworzenie indeksów KRI Przykładowe korzyści: Dobrze skonstruowany indeks będący składową wielu wskaźników KRI ukazuje podatność na konkretne ryzyko (zależne od wielu czynników) 15

Tworzenie wskaźników KRI: Odniesienie do celu oraz modelu i mapy ryzyka Istotność monitorowanego ryzyka (w tym: świadomość związków przyczynowo-skutkowych pomiędzy ryzykiem a celami jednostki) 16

Model ryzyka Zgodnie z dobrą praktyką punkt wyjścia do tworzenia wskaźników KRI przypisanie ryzyk do poszczególnych rodzajów / kategorii ryzyk Nadzór Zgodność Etyka Komunikacja Szkolenia Tone at the Top Czynniki zewnętrzne Prawo, regulacje i procedury Raportowanie Misja Źródło: Deloitte Risk Intelligence for the Federal Government 2010 Deloitte Polska 17

Identyfikowane grupy ryzyk (przykład prostego modelu ryzyk): Ryzyka strategiczne: Polityczne Ekonomiczne Społeczne Technologiczne Legislacyjne Środowiskowe Ryzyka operacyjne: Finansowe Prawne Zawodowe Fizyczne Umowne Technologiczne Środowiskowe Źródło: Zarządzanie ryzykiem w sektorze publicznym: Podręcznik wdrożenia systemu zarządzania ryzykiem w administracji publicznej w Polsce. Ministerstwo Finansów, 2004 18

Tworzone dla poszczególnych ryzyk wskaźniki KRI (przykład): Ryzyko Wskaźnik KRI Potencjał i możliwości organizacji Duża liczba wolnych etatów Nieobsadzone główne stanowiska Duży wskaźnik zachorowalności Zbyt wielu pracowników Duży odsetek długotrwałych zwolnień lekarskich Niska motywacja i morale personelu Zbyt niski poziom zatrudnienia Wysoka rotacja pracowników Niestaranność pracowników Poziom wakatów (%) Poziom wakatów na (zdefiniowanych) kluczowych stanowiskach (%) Wskaźnik absencji chorobowej (%) Wskaźnik wydajności pracowników (np. liczba spraw zamkniętych / pracownika) Odsetek zwolnień lekarskich powyżej 14 / 30 dni w budżecie czasu pracy (%) Wynik oceny ankietowej morale pracowników (punkty) Poziom wakatów (%), Wskaźnik wydajności pracowników (liczba spraw otwartych / pracownika) Wskaźnik rotacji personelu (liczba pracowników odchodzących / średnie zatrudnienie w okresie) (%) Liczba wykrytych błędów popełnionych przez pracowników (%) Na podstawie Zarządzanie ryzykiem w sektorze publicznym Ministerstwo Finansów, 2004 19

Tworzone dla poszczególnych ryzyk wskaźniki KRI (przykład) (2): Ryzyko Wskaźnik KRI Działalność operacyjna Decyzje podejmowane w nieodpowiednim terminie Niezadowalający proces decyzyjny Niewłaściwe systemy informatyczne Luki w bezpieczeństwie IT Wysoki poziom środków trwałych Utrzymywane zapasy nieproporcjonalne do prowadzonej działalności Nałożenie kar przez organy regulacyjne w wyniku niezgodności z przepisami Odsetek decyzji podejmowanych z opóźnieniem w stosunku do przepisów (%) Odsetek decyzji podejmowanych z naruszeniem przepisów (%) Odsetek czasu pracy bezawaryjnego funkcjonowania systemów IT (%) Odnotowane próby włamania do systemów IT (liczba) Wskaźnik struktury bilansu środków trwałych / suma aktywów (%) Wskaźnik struktury bilansu zapasów / suma aktywów (%) Wartość nałożonych kar (PLN) Na podstawie Zarządzanie ryzykiem w sektorze publicznym Ministerstwo Finansów, 2004 20

Jak zwiększyć użyteczność standardowych wskaźników ryzyka / efektywności Liczba wykrytych błędów Cechy wskaźnika: Brak informacji jakościowej oraz niewielkie przełożenie na cel jednostki Poziom wskaźnika może być stosunkowo łatwo manipulowany przez właściciela ryzyka Przedefiniuj Analiza wartości ekstremalnych Porównanie Nieprawidłowości / błędy o znacznym ryzyku Zidentyfikowane ryzyka wyrażalne w jednostkach pieniężnych Nieprawidłowości dotyczące skuteczności operacyjnej Identyfikacja potencjalnych oszczędności w procesach biznesowych Brak błędów Czy system kontroli wewnętrznej działa skutecznie (wyłapuje błędy) i efektywnie (monitorujemy właściwe KRI)? Wysoki poziom wskaźnika błędów Czy definicja błędu jest poprawna. Czy system jest efektywny? Liczba wykrytych błędów a Wartość wykrytych błędów i Wdrożone mechanizmy korygujące Czy proces monitorowania poziomu ryzyka spełnia oczekiwania jednostki? Jak zarządzamy ryzykami po wykryciu alarmującego poziomu? Zdefiniowany normalny przedział wskaźnika Skuteczność i efektywność w systemie kontroli wewnętrznej. 21

Przykłady innych wykorzystywanych wskaźników KRI Mierniki KPI/KRI budżetu zadaniowego analiza przykładowych mierników wykorzystywanych na świecie (www.mf.gov.pl) Mierniki wykorzystywane w sektorze prywatnym: Świadomość (ryzyko strategiczne) Znajomość polityk, standardów i procedur (ankiety i testy) Szacowanie ryzyka (ryzyko strategiczne) Zakres i częstotliwość standardowych oszacowań ryzyka w obrębie przedsiębiorstwa Zarządzanie ryzykiem (ryzyko strategiczne) Liczba zaraportowanych incydentów, wartość poniesionych strat, liczba opanowanych sytuacji kryzysowych Audyt (ryzyko strategiczne lub operacyjne) Odnotowanie rozbieżności z politykami i standardami Kryteria i certyfikacja (ryzyko strategiczne) Osiąganie i utrzymywanie certyfikacji bezpieczeństwa informatycznego 22

Mierniki sektora prywatnego (zarządzanie projektami / inwestycjami) Czas / koszt realizacji projektu Odchylenie harmonogramu w dniach Różnica pomiędzy terminami wynikającym z harmonogramu Wskaźnik zadań przeterminowanych % udział zadań (kamieni milowych), dla których przekroczono terminy realizacji w relacji do wszystkich zadań wymagalnych na dany dzień Odchylenie harmonogramu Różnica wartości wypracowanej (budżetowanej wartości wykonanych prac) i wartości planowanej (budżetowany koszt zaplanowanych prac) Realizacja budżetu Wskaźnik wykonania budżetu (%) 23

Przykłady powiązania KRI z KPI oraz KCI dla mierników w obszarze IT Kontrola dostępu IT KPI: miara zgodności ze standardami kontroli dostępu ze zwróceniem szczególnej uwagi na infrastrukturę i poziom kontroli użytkowników końcowych Wskaźnik KRI: liczba nieautoryzowanych skutecznych prób dostępu Wskaźniki KCI (skuteczność mechanizmów kontrolnych): dostęp do kluczowych systemów IT jest systemowo ograniczony do wybranej grupy użytkowników; okresowo weryfikowana jest lista użytkowników dokonujących transakcji w systemie Bezpieczeństwo informacji KPI: ogólna kategoria, która mierzy efektywność mechanizmów ochrony informacji Wskaźnik KRI: liczba utraconych / błędnie zmodyfikowanych rekordów bazy danych Wskaźniki KCI: baza danych podlega codziennej archiwizacji przyrostowej; okresowo prowadzone są testowe odtworzenia danych Zarządzanie incydentami bezpieczeństwa informacji KPI: efektywność procesu odpowiedzi na incydenty związane z bezpieczeństwem informacji Wskaźnik KRI: liczba incydentów bezpieczeństwa IT Wskaźniki KCI: wykryte incydenty bezpieczeństwa są raportowane; prowadzona jest analiza przyczyn wystąpienia incydentów 24

Cel wdrożenia mierników KRI Mierniki KRI (w powiązaniu z wskaźnikami efektywności KPI oraz mechanizmów kontrolnych KCI) umożliwiają: systematyczne monitorowanie poziomu ryzyka świadome zarządzanie poziomem ryzyka (w powiązaniu z jasno zdefiniowanym apetytem na ryzyko i sposobami zarządzania ryzykiem podejmowanie działań korekcyjnych w przypadku wykrycia odchyleń poziomu ryzyka od wartości akceptowanych w konsekwencji: pozwalają na świadomą ocenę adekwatności, skuteczności i efektywności kontroli zarządczej w jednostce sektora finansów publicznych Standardy B5 B9: Cele i zarządzanie ryzykiem Standardy C10 C15: Mechanizmy kontroli Źródło: Komunikat nr 23 Ministra Finansów z dnia 16 grudnia 2009r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych 25

Pytania 26

Kontakt Przemysław Wistel Menedżer Dział Zarządzania Ryzykiem Tel. +48 (22) 511 02 69 email: pwistel@deloittece.com

Nazwa Deloitte odnosi się do Deloitte Touche Tohmatsu, podmiotu prawa szwajcarskiego i jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny opis struktury prawnej Deloitte Touche Tohmatsu oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas Członek Deloitte Touche Tohmatsu. Member of Deloitte Touche Tohmatsu

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres