Wskaźniki ryzyka w jednostkach finansów publicznych Przemysław Wistel Menedżer, Dział Zarządzania Ryzykiem
Bezpiecznie i oszczędnie? Istotność KRI w zarządzaniu ryzykiem w jednostkach finansów publicznych Rodzaje stosowanych wskaźników Ryzyko a jednostki finansów publicznych (rys historyczny) Zasady tworzenia efektywnych KRI Przegląd wskaźników stosowanych w jednostkach finansów publicznych Pytania
Rodzaje wskaźników stosowanych w monitoringu ryzyk Podstawowym przesłaniem zarządzania ryzykiem jest powiązanie celów z ryzykiem i odpowiedzią na ryzyko KRI Key Risk Indicator (kluczowy wskaźnik ryzyka) KPI Key Performance Indicator (kluczowy wskaźnik efektywności) KCI Key Control Indicator (kluczowy wskaźnik mechanizmów kontrolnych) KPI jednego obszaru mogą stanowić KRI w innym KRI mogą informować o aktualnej ekspozycji na ryzyko, jeśli odnoszą się do zdarzeń. Mogą też stanowić sygnały ostrzegawcze, jeśli odnoszą się do uwarunkowań. Te drugie mają większą wartość zarządczą.
Standardy kontroli finansowej (Ministerstwo Finansów, 2003) KPI: Kierownik jednostki zapewnia przygotowanie rocznego planu pracy jednostki zawierającego poszczególne cele i zadania, komórki organizacyjne odpowiedzialne za ich realizację oraz zasoby (np. osobowe, finansowe, rzeczowe) przeznaczone do ich realizacji. Kierownik jednostki prowadzi bieżącą ocenę (monitoring) realizacji zadań za pomocą mierzalnych wskaźników lub precyzyjnie zdefiniowanych kryteriów. IDENTYFIKACJA RYZYKA: Kierownik jednostki systematycznie, nie rzadziej niż raz w roku, dokonuje identyfikacji zewnętrznego i wewnętrznego ryzyka związanego z osiąganiem celów jednostki, dotyczącego zarówno działania całej jednostki, jak i prowadzonych przez jednostkę konkretnych programów, projektów czy zadań. W przypadku zmiany warunków w których funkcjonuje jednostka, identyfikacja ryzyka powinna być ponawiana. Źródło: Standardy kontroli finansowej w jednostkach sektora finansów publicznych, Ministerstwo Finansów, 2003
Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych (Ministerstwo Finansów, 2007) Analiza ryzyka: Zidentyfikowane ryzyka poddawane są gruntownej i całościowej analizie. ( ) W szczególności każde ryzyko poddane analizie przypisywane jest do odpowiednich celów. Kierownik jednostki wyznaczył poziom ryzyka akceptowalnego dla jednostki, czyli stopień ryzyka, jaki jednostka gotowa jest podjąć ( apetyt na ryzyko ). W szczególności: przy określaniu apetytu na ryzyko kierownik jednostki uwzględnił sytuację jednostki ( ), wielkość kosztów ograniczenia danego ryzyka. Apetyt na ryzyko jest zróżnicowany w zależności od rodzaju i istotności danego ryzyka. (NIE RZADZIEJ NIŻ RAZ W ROKU) Źródło: Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych, Ministerstwo Finansów, 2007 4
Wytyczne do samooceny kontroli finansowej w jednostce sektora finansów publicznych (Ministerstwo Finansów, 2007) (2) Reakcja na ryzyko i działania zaradcze: Zarządzający określił rodzaj reakcji w stosunku do danego ryzyka (np. przeniesienie, tolerowanie, działanie, wycofanie się). W szczególności: zostały zaplanowane i wdrożone odpowiednie działania w stosunku do każdego ryzyka, które nie może być przez jednostkę zaakceptowane, zgodnie z ustalonym rodzajem reakcji ( ) Kierownik jednostki monitoruje funkcjonowanie procesu zarządzania ryzykiem w jednostce. Dla każdego ryzyka został ustalony właściciel, czyli osoba odpowiedzialna za zarządzanie tym ryzykiem. (DZIAŁANIE BIEŻĄCE) 5
Kontrola zarządcza (Ministerstwo Finansów, 2009) 6. Określanie celów i zadań, monitorowanie i ocena ich realizacji Cele i zadania należy określać jasno i w co najmniej rocznej perspektywie. Ich wykonanie należy monitorować za pomocą wyznaczonych mierników. W jednostce nadrzędnej lub nadzorującej należy zapewnić odpowiedni system monitorowania realizacji celów i zadań przez jednostki podległe lub nadzorowane. Zaleca się przeprowadzanie oceny realizacji celów i zadań uwzględniając kryterium oszczędności, efektywności i skuteczności. Należy zadbać, aby określając cele i zadania wskazać także jednostki, komórki organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie oraz zasoby przeznaczone do ich realizacji. (KPI) Źródło: Ustawa z dnia 27 sierpnia 2009r. o finansach publicznych; Komunikat nr 23 Ministra Finansów z dnia 16 grudnia 2009r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych 6
Kontrola zarządcza (Ministerstwo Finansów, 2009) (2) 7. Identyfikacja ryzyka Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań. W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego należy uwzględnić, że cele i zadania są realizowane także przez jednostki podległe lub nadzorowane. W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka należy dokonać ponownej identyfikacji ryzyka. 8. Analiza ryzyka Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Należy określić akceptowany poziom ryzyka. 9. Reakcja na ryzyko W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Należy określić działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu. 7
Standardy kontroli zarządczej czego w nich brak? Co jest w wytycznych (MF): misja, określanie celów i zadań, monitorowanie i ocena ich realizacji, identyfikacja ryzyka, analiza ryzyka, reakcja na ryzyko. Czego nie ma w wytycznych: modelu ryzyk, apetytu na ryzyko, tolerancji ryzyka, wskazówki w jaki sposób przeprowadzać analizę ryzyka, obowiązku wskazania właścicieli ryzyk. Monitorowanie i ocena Informacja i komunikacja Mechanizmy kontroli Cele i zarządzanie ryzykiem Środowisko wewnętrzne Jednostka A Proces 1 Jednostka B 8 Działanie 1
Co umożliwiają KRI? Przewidywanie potencjalnego poziomu ekspozycji na ryzyko (poprzez analizę trendów) Określenie i podjęcie odpowiednich działań w odpowiedzi na niekorzystne zmiany poziomu ryzyka Wyznaczenie poziomów tolerancji na poszczególne ryzyka w odniesieniu do apetytu na ryzyko Na poziomie strategicznym częstsze podejmowanie decyzji obarczonych ryzykiem nagradzanym ze względu na możliwość kontroli poziomu ekspozycji na ryzyko Agregację informacji o profilach ryzyk i właściwy przepływ informacji 9
Dobrze skonstruowany KRI Efektywny w monitorowaniu ekspozycji na ryzyko Porównywalny z innymi wskaźnikami Praktyczny i łatwy w zastosowaniu 10
KRI efektywny w monitorowaniu ekspozycji na ryzyko: Ma zastosowanie dla co najmniej jednego ryzyka / jednostki Umożliwia pomiar w przedziałach czasowych (zmienność ryzyka, trendy) Umożliwia dokonanie obiektywnego pomiaru, eliminując subiektywny osąd Dostarcza użytecznych informacji zarządczych Odzwierciedla przynajmniej jeden parametr opisujący zdarzenie / stratę, tj.: częstotliwość zdarzenia / prawdopodobieństwo, wpływ (wielkość straty), podatność 11
KRI porównywalny z innymi wskaźnikami: Jest wyznaczony jako wartość, procent lub proporcja Jego wartości są porównywalne w czasie Jego wartości są porównywalne w organizacji (pomiędzy jednostkami organizacyjnymi) Jego wartości mogą być porównywalne z wartościami w innych organizacjach Opiera się głównie na obiektywnych wartościach i uniemożliwia subiektywną interpretację Może być poddany audytowi i weryfikacji 12
KRI praktyczny i łatwy w zastosowaniu: Czas konieczny do uzyskania informacji źródłowych i kalkulacji wskaźnika nie jest nadmierny Koszt czynności wymaganych do jego kalkulacji nie jest nadmierny Jest łatwy do komunikowania i interpretacji Kalkulacja KRI nie stanowi celu samego w sobie 13
Wyzwania w stosowaniu KRI: Brak jednolitej terminologii może utrudniać konsolidację, raportowanie i analizę na kolejnych szczeblach sektora finansów publicznych Brak całościowego ujęcia (ram zarządzania ryzykiem) pojedyncze KRI (rozpatrywane bez powiązania z KPI i KCI) może być trudne w interpretacji lub podatne na próby manipulacji Zbyt wysoki poziom agregacji KRI powinny być sprofilowane na dosyć wąskie obszary działalności i ryzyka. Przykładem zbyt ogólnego wskaźnika KRI może być poziom rotacji personelu mierzony na poziomie całej jednostki sektora finansów publicznych Natura niektórych ryzyk uniemożliwia skonstruowanie miarodajnego i wiarygodnego wskaźnika. Przykładem może być ryzyko zmowy i naruszenia zasad podziału uprawnień (Segregation of Duties) Kalibracja wskaźników wymaga jasnego określenia apetytu i tolerancji na ryzyko, czyli działań na etapie formułowania strategii zarządzania ryzykiem 14
Zaawansowane wykorzystanie KRI: Pomiar efektywności strategii zarządzania ryzykiem Przykładowe korzyści: Wspomaganie analizy przyczynowo-skutkowej pozwalającej ograniczyć częstotliwość i/lub zakres strat Testowanie efektywności (performance benchmarking) Przykładowe korzyści: Możliwość tworzenia i optymalizacji dobrych praktyk (best practice) w sektorze Tworzenie indeksów KRI Przykładowe korzyści: Dobrze skonstruowany indeks będący składową wielu wskaźników KRI ukazuje podatność na konkretne ryzyko (zależne od wielu czynników) 15
Tworzenie wskaźników KRI: Odniesienie do celu oraz modelu i mapy ryzyka Istotność monitorowanego ryzyka (w tym: świadomość związków przyczynowo-skutkowych pomiędzy ryzykiem a celami jednostki) 16
Model ryzyka Zgodnie z dobrą praktyką punkt wyjścia do tworzenia wskaźników KRI przypisanie ryzyk do poszczególnych rodzajów / kategorii ryzyk Nadzór Zgodność Etyka Komunikacja Szkolenia Tone at the Top Czynniki zewnętrzne Prawo, regulacje i procedury Raportowanie Misja Źródło: Deloitte Risk Intelligence for the Federal Government 2010 Deloitte Polska 17
Identyfikowane grupy ryzyk (przykład prostego modelu ryzyk): Ryzyka strategiczne: Polityczne Ekonomiczne Społeczne Technologiczne Legislacyjne Środowiskowe Ryzyka operacyjne: Finansowe Prawne Zawodowe Fizyczne Umowne Technologiczne Środowiskowe Źródło: Zarządzanie ryzykiem w sektorze publicznym: Podręcznik wdrożenia systemu zarządzania ryzykiem w administracji publicznej w Polsce. Ministerstwo Finansów, 2004 18
Tworzone dla poszczególnych ryzyk wskaźniki KRI (przykład): Ryzyko Wskaźnik KRI Potencjał i możliwości organizacji Duża liczba wolnych etatów Nieobsadzone główne stanowiska Duży wskaźnik zachorowalności Zbyt wielu pracowników Duży odsetek długotrwałych zwolnień lekarskich Niska motywacja i morale personelu Zbyt niski poziom zatrudnienia Wysoka rotacja pracowników Niestaranność pracowników Poziom wakatów (%) Poziom wakatów na (zdefiniowanych) kluczowych stanowiskach (%) Wskaźnik absencji chorobowej (%) Wskaźnik wydajności pracowników (np. liczba spraw zamkniętych / pracownika) Odsetek zwolnień lekarskich powyżej 14 / 30 dni w budżecie czasu pracy (%) Wynik oceny ankietowej morale pracowników (punkty) Poziom wakatów (%), Wskaźnik wydajności pracowników (liczba spraw otwartych / pracownika) Wskaźnik rotacji personelu (liczba pracowników odchodzących / średnie zatrudnienie w okresie) (%) Liczba wykrytych błędów popełnionych przez pracowników (%) Na podstawie Zarządzanie ryzykiem w sektorze publicznym Ministerstwo Finansów, 2004 19
Tworzone dla poszczególnych ryzyk wskaźniki KRI (przykład) (2): Ryzyko Wskaźnik KRI Działalność operacyjna Decyzje podejmowane w nieodpowiednim terminie Niezadowalający proces decyzyjny Niewłaściwe systemy informatyczne Luki w bezpieczeństwie IT Wysoki poziom środków trwałych Utrzymywane zapasy nieproporcjonalne do prowadzonej działalności Nałożenie kar przez organy regulacyjne w wyniku niezgodności z przepisami Odsetek decyzji podejmowanych z opóźnieniem w stosunku do przepisów (%) Odsetek decyzji podejmowanych z naruszeniem przepisów (%) Odsetek czasu pracy bezawaryjnego funkcjonowania systemów IT (%) Odnotowane próby włamania do systemów IT (liczba) Wskaźnik struktury bilansu środków trwałych / suma aktywów (%) Wskaźnik struktury bilansu zapasów / suma aktywów (%) Wartość nałożonych kar (PLN) Na podstawie Zarządzanie ryzykiem w sektorze publicznym Ministerstwo Finansów, 2004 20
Jak zwiększyć użyteczność standardowych wskaźników ryzyka / efektywności Liczba wykrytych błędów Cechy wskaźnika: Brak informacji jakościowej oraz niewielkie przełożenie na cel jednostki Poziom wskaźnika może być stosunkowo łatwo manipulowany przez właściciela ryzyka Przedefiniuj Analiza wartości ekstremalnych Porównanie Nieprawidłowości / błędy o znacznym ryzyku Zidentyfikowane ryzyka wyrażalne w jednostkach pieniężnych Nieprawidłowości dotyczące skuteczności operacyjnej Identyfikacja potencjalnych oszczędności w procesach biznesowych Brak błędów Czy system kontroli wewnętrznej działa skutecznie (wyłapuje błędy) i efektywnie (monitorujemy właściwe KRI)? Wysoki poziom wskaźnika błędów Czy definicja błędu jest poprawna. Czy system jest efektywny? Liczba wykrytych błędów a Wartość wykrytych błędów i Wdrożone mechanizmy korygujące Czy proces monitorowania poziomu ryzyka spełnia oczekiwania jednostki? Jak zarządzamy ryzykami po wykryciu alarmującego poziomu? Zdefiniowany normalny przedział wskaźnika Skuteczność i efektywność w systemie kontroli wewnętrznej. 21
Przykłady innych wykorzystywanych wskaźników KRI Mierniki KPI/KRI budżetu zadaniowego analiza przykładowych mierników wykorzystywanych na świecie (www.mf.gov.pl) Mierniki wykorzystywane w sektorze prywatnym: Świadomość (ryzyko strategiczne) Znajomość polityk, standardów i procedur (ankiety i testy) Szacowanie ryzyka (ryzyko strategiczne) Zakres i częstotliwość standardowych oszacowań ryzyka w obrębie przedsiębiorstwa Zarządzanie ryzykiem (ryzyko strategiczne) Liczba zaraportowanych incydentów, wartość poniesionych strat, liczba opanowanych sytuacji kryzysowych Audyt (ryzyko strategiczne lub operacyjne) Odnotowanie rozbieżności z politykami i standardami Kryteria i certyfikacja (ryzyko strategiczne) Osiąganie i utrzymywanie certyfikacji bezpieczeństwa informatycznego 22
Mierniki sektora prywatnego (zarządzanie projektami / inwestycjami) Czas / koszt realizacji projektu Odchylenie harmonogramu w dniach Różnica pomiędzy terminami wynikającym z harmonogramu Wskaźnik zadań przeterminowanych % udział zadań (kamieni milowych), dla których przekroczono terminy realizacji w relacji do wszystkich zadań wymagalnych na dany dzień Odchylenie harmonogramu Różnica wartości wypracowanej (budżetowanej wartości wykonanych prac) i wartości planowanej (budżetowany koszt zaplanowanych prac) Realizacja budżetu Wskaźnik wykonania budżetu (%) 23
Przykłady powiązania KRI z KPI oraz KCI dla mierników w obszarze IT Kontrola dostępu IT KPI: miara zgodności ze standardami kontroli dostępu ze zwróceniem szczególnej uwagi na infrastrukturę i poziom kontroli użytkowników końcowych Wskaźnik KRI: liczba nieautoryzowanych skutecznych prób dostępu Wskaźniki KCI (skuteczność mechanizmów kontrolnych): dostęp do kluczowych systemów IT jest systemowo ograniczony do wybranej grupy użytkowników; okresowo weryfikowana jest lista użytkowników dokonujących transakcji w systemie Bezpieczeństwo informacji KPI: ogólna kategoria, która mierzy efektywność mechanizmów ochrony informacji Wskaźnik KRI: liczba utraconych / błędnie zmodyfikowanych rekordów bazy danych Wskaźniki KCI: baza danych podlega codziennej archiwizacji przyrostowej; okresowo prowadzone są testowe odtworzenia danych Zarządzanie incydentami bezpieczeństwa informacji KPI: efektywność procesu odpowiedzi na incydenty związane z bezpieczeństwem informacji Wskaźnik KRI: liczba incydentów bezpieczeństwa IT Wskaźniki KCI: wykryte incydenty bezpieczeństwa są raportowane; prowadzona jest analiza przyczyn wystąpienia incydentów 24
Cel wdrożenia mierników KRI Mierniki KRI (w powiązaniu z wskaźnikami efektywności KPI oraz mechanizmów kontrolnych KCI) umożliwiają: systematyczne monitorowanie poziomu ryzyka świadome zarządzanie poziomem ryzyka (w powiązaniu z jasno zdefiniowanym apetytem na ryzyko i sposobami zarządzania ryzykiem podejmowanie działań korekcyjnych w przypadku wykrycia odchyleń poziomu ryzyka od wartości akceptowanych w konsekwencji: pozwalają na świadomą ocenę adekwatności, skuteczności i efektywności kontroli zarządczej w jednostce sektora finansów publicznych Standardy B5 B9: Cele i zarządzanie ryzykiem Standardy C10 C15: Mechanizmy kontroli Źródło: Komunikat nr 23 Ministra Finansów z dnia 16 grudnia 2009r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych 25
Pytania 26
Kontakt Przemysław Wistel Menedżer Dział Zarządzania Ryzykiem Tel. +48 (22) 511 02 69 email: pwistel@deloittece.com
Nazwa Deloitte odnosi się do Deloitte Touche Tohmatsu, podmiotu prawa szwajcarskiego i jego firm członkowskich, które stanowią oddzielne i niezależne podmioty prawne. Dokładny opis struktury prawnej Deloitte Touche Tohmatsu oraz jego firm członkowskich można znaleźć na stronie www.deloitte.com/pl/onas Członek Deloitte Touche Tohmatsu. Member of Deloitte Touche Tohmatsu