Kilka refleksji o zarządzaniu ryzykiem Dr inż. Andrzej Kulik Konferencja IIA Iława, 2016
Zawartość Człowiek vs przyroda Kryzysy w ekonomii Regulacje Najistotniejsze ryzyka Trzy linie obrony
Zarządzanie ryzykiem Zarządzanie ryzykiem pozwala na transfer ryzyka od tych, którzy chcą się ryzyka pozbyć do tych, którzy ryzykiem potrafią dobrze zarządzać Wynikiem tego jest koncentracja ryzyka u tych, którzy ryzykiem dobrze zarządzają Idea zarządzania ryzykiem jest relatywnie prosta, natomiast implementacja już prosta nie jest 3 / 22
Powódź tysiąclecia 1997 56 ofiar śmiertelnych w Polsce Straty ekonomiczne: 12 mld Największa powódź w naszej historii 4 / 22
Kredyty we frankach Obecny wolumen kredytów to 137 mld i ponad pół miliona kredytobiorców Koszt propozycji Prezydenta RP (wg KNF): zwrot opłat za spready: 15 mld przeliczanie po kursie sprawiedliwym: 67 mld 5 / 22
Charakterystyka kryzysów Endogeniczny - mający swoje źródło wewnątrz systemu (katastrofy finansowe) Egzogeniczny - mający swoje źródło poza systemem (katastrofy naturalne) 6 / 22
Zarządzanie ryzykiem Ludzie są dużo bardziej niebezpieczni od natury Zarządy uważają, że dobra osoba zarządzająca ryzykiem umożliwi maksymalizację ryzyka przy ograniczonych kapitałach Audytorzy są również częścią procesu zarządzania ryzykiem Istnieje potrzeba dobrego zarządzania ryzykiem 7 / 22
Ekonomia Ekonomia ma mało wspólnego z fizyką. Ten sam eksperyment ekonomiczny za każdym razem da inny wynik Ekonomia ma więcej wspólnego z pokerem niż z sudoku Sudoku - techniczne umiejętności są najważniejsze Poker - obliczanie prawdopodobieństw jest bardzo ważne, ale również podejmowanie decyzji przy niepełnych informacjach, emocje, blefowanie i po prostu szczęście w podejmowaniu decyzji 8 / 22
Zarządzanie ryzykiem Większość metodyk wykorzystywanych w zarządzaniu ryzykiem opiera się na stabilnych rozkładach losowych W praktyce mamy do czynienia ze zmianami strukturalnymi, które prowadzą do tzw. grubych ogonów Modele wykorzystywane w zarządzaniu ryzykiem powinny brać inspirację z modeli powstawania lawin albo trzęsień ziemi 9 / 22
Cyberprzestępczość Phising i malware stał się już codziennością DDOS jest wykorzystywany w stosunku do państw jak i korporacji Kradzież danych wewnątrz firm stała się już dawno plagą SOC staje się koniecznością w każdej większej firmie Audyt musi zwracać uwagę na efektywną organizację procesu zarządzania ryzykiem cyfrowym od definicji polityki po skuteczność działań operacyjnych 10 / 22
Zmiany, zmiany Regulacje w systemie finansowym są analogiczne do innych sektorów gospodarki. Bezpieczeństwo podróży samochodem: 1970 - Seat belt law Virginia, Australia 1998 - każdy nowy samochód musi mieć poduszkę powietrzną (USA) 2004 - każdy nowy samochód musi być wyposażony w anti-lock breaking system W sektorze finansowym wszystko przebiega dużo szybciej 11 / 22
Zmiany, zmiany Wydane poprawki istniejących regulacji (lub nowe) dla sektora finansowego strefy euro w 2015 roku: 191 - sektor bankowy 65 - sektor ubezpieczeniowy 24 - sektor zarządzania aktywami 99 - sektor przedsiębiorstw 1,200 - decyzji nadzorczych wydanych przez europejskiego regulatora 12 / 22
Najistotniejsze zmiany w 2016 Solvency II SREP & IRRBB (EBA) Stress Test (EBA) ILAAP/ICAAP (EBA) CCP - fundusze własne MIFID II - standardy raportowania To w Europie, a u nas mamy jeszcze podatek bankowy 13 / 22
Błędy w zarządzaniu ryzykiem Ignorancja - nie posiadam informacji i umiejętności analitycznych aby prawidłowo rozpoznać ryzyko Niekompetencja - ryzyko nie posiada wystarczającej niezależności i siły aby przeciwstawić się pomysłom biznesu, albo zajmuje się nie tym co trzeba Istnieje duże niebezpieczeństwo, że ogromne wymogi regulacyjne doprowadzą do rozwodnienia procesu zarządzania ryzykiem 14 / 22
Gdzie audyt może być przydatny w procesie zarządzania ryzykiem? Audytorzy powinni krytycznie oceniać nadmierne korzystanie z modeli ilościowych Audytorzy powinni kwestionować techniki oszczędzania kapitału Audytorzy powinni promować utrzymywanie wysokich poziomów kapitału Audytorzy powinni zwracać szczególną uwagę na zmiany strukturalne w audytowanych procesach 15 / 22
Inwentaryzacja najważniejszych ryzyk Samoocena Proces samooceny ryzyka przez biznes ogólnie prowadzi do stworzenia szerokiego katalogu ryzyk gdzie nie za bardzo wiadomo co jest ważne a co nie A jak można inaczej? 16 / 22
Inwentaryzacja najważniejszych ryzyk Przegląd najważniejszych celów biznesowych Przegląd najistotniejszych pozycji w szczegółowym P&L, sumie bilansowej Przegląd najważniejszych wymogów regulacyjnych (cienka linia z Compliance) Metodyka COSO jest dobrym rozwiązaniem 17 / 22
COSO w praktyce Jakie identyfikujesz ryzyka zagrażające realizacji celów? Które zidentyfikowane ryzyka uważasz za najważniejsze? Jakie kluczowe mechanizmy kontrolne są zaimplementowane? Czy mechanizmy kontrolne mitygują ryzyko? (adekwatność) Czy mechanizm kontrolny działa efektywnie? (efektywność) Na podstawie odpowiedzi możemy wydać swoją cząstkową opinię co do zarządzania ryzykiem 18 / 22
Uniwersum audytowe Lista najistotniejszych ryzyk musi odpowiadać możliwościom zespołu audytowego Audyty kluczowych ryzyk dla korporacji powinny być możliwe w 2/3 cyklu audytowego (3-5 lat) Większe straty operacyjne można oczekiwać przy procesach stosunkowo mało powtarzalnych charakteryzujących się dużym jednostkowym przychodem (kredyt konsorcjalny vs kredyt na lodówkę) 19 / 22
Trzy linie obrony Wszyscy dobrze znamy koncepcję trzech linii obrony, z audytem na trzeciej linii Aby firma dobrze funkcjonowała potrzeba równowagi pomiędzy działaniem każdej z linii Trzeba uważać aby nie mieszać odpowiedzialności poszczególnych linii biznesowych 20 / 22
Rola audytu wewnętrznego 21 / 22
Kontakt andrzej.kulik@mbank.pl http://www.mbank.pl 22 / 22