Risk management a Interní audit

Risk management a Interní audit

Zkušenosti z implementace systému řízení rizik v ČD a ve Skupině ČD – projekt Corporate Governance (panelová diskuse)

Národní konference ČIIA, Špindlerův Mlýn, 15.-16.10.2014

www.cd.cz

Požadavky na řízení rizik - Corporate Governance

9. Společnosti musí uveřejnit informace o rozumně předvídatelných významných rizicích včetně rizika, které je specifické pro dané odvětví a zeměpisnou oblast…. 13. Společnosti by měly ve svých zprávách uveřejňovat … existenci a povahu systému rizik … Představenstvo, dozorčí rada, výbor pro audit plní určité klíčové funkce: - Revize a formulace strategie společnosti, plány velkých akcí, politika vůči riziku,… - Zajišťování integrity systému účetnictví a finančního výkaznictví společnosti včetně nezávislého auditu, zejména systému řízení rizika, finančního řízení, … - Vést tvorbu strategie společnosti, hlavních plánů činnosti, politiky rizika, ročního rozpočtu a podnikatelského plánu … - Odpovědnost za analýzu rizik, stanovení limitu rizik a soustředění se na nejzávažnější rizika, která mají nebo mohou mít negativní vliv na podnikatelskou činnost - Dohlížet na významná rizika, jako je riziko zpronevěry finančních prostředků, riziko selhání techniky a přírodních katastrof včetně rizika poškození zdraví a poškození životního prostředí

2


www.cd.cz

Trendy vývoje řízení rizik

Získaná hodnota/ realizovaný přínos

- integrovaný risk management

Nepřetržité a komplexní řízení rizik

Integrované řízení rizik Jednorázové a izolované řízení rizik Řízení pojistitelných rizik Omezení na vybraná rizika (zpravidla pojistitelná)

Řízení vybraných skupin (oblastí) rizik Izolované řízení souborů rizik seskupených do skupin dle rizikových oblastí (bezpečnostní rizika, finanční rizika atd.)

Strategie, organizace a procesy, jejichž cílem je rizika ► posoudit (identifikovat, určit zdroj, kvantifikovat) ► řídit (kontrolovat, převádět, redukovat,..) ► monitorovat a vykazovat integrované komplexy rizik

Metodika řízení rizik - míra integrace 3


www.cd.cz

Integrované řízení rizik •

komplexní (systémové, celopodnikové) řízení rizik s plnou funkčností v celém cyklu nepřetržitého

o o o o o

zjišťování, vyhodnocování, zvládání (zabezpečování, zajišťování, hedging), monitorování a

vykazování významných rizik,

•

s vlastní organizační strukturou,

•

s účinnou informační podporou a

•

plnící též funkci včasného varování

Pozn.: V podnikové sféře - Enterprise Risk Management (ERM) – celopodnikové (korporátní) řízení rizik 4


www.cd.cz

Vybrané přednosti integrovaného řízení rizik pro vlastníky a analytiky • Systém řízení rizik je účinnou cestou pro včasné upozornění na narůstající rizika („zaměstnanci je nenesou pouze na svých bedrech“) • Usnadňuje získání podpory pro řešení komplikovaných a stresujících rizikových problémů (často i prostřednictvím nových investic). • Umožňuje lepší vymezení pravomocí a odpovědností Fungující řízení rizik oceňují – auditoři, bezpečnostní technici, IT specialisté, personalisté, plánovači a manažeři velkých rizikových projektů

5


www.cd.cz

Hlavní oblasti projektu Corporate Governance Interní audit Řízení rizik Compliance Společenská odpovědnost (CSR) Základní dokumenty systému řízení rizik: Statut Výboru pro řízení rizik Politika řízení rizik Manuál řízení rizik

Další dokumenty: Uživatelské příručky pro SW nástroje, IT podpora apod.

6


www.cd.cz

Základní rámec Corporate Governance

Interní audit

Řízení rizik

7


www.cd.cz

Akční plán implementace Risk Managementu v ČD a ve Skupině ČD Cíl: Zkvalitnění správy a řízení společnosti ČD, a.s. - zlepšení procesů v oblasti řízení rizik dle

závěrů projektu

Corporate Governance (rating ČD)

Hlavní úkoly: 1. Vytvořit komplexní systém pro identifikaci, analýzu, měření, zvládání, monitorování, vykazování, konsolidaci a komunikaci o všech významných rizicích za účinné IT podpory.

podnikatelských

2. Ve spolupráci s vlastníky rizik (ŘO) průběžně omezovat negativní dopady na hospodářský výsledek a cash flow ČD a Skupiny ČD.

rizik

Listopad 2010

31.01.2011

16.11.2010

Návrh Akčního plánu

31.5.2011

28.02.2011

31.12. 2011

Implementace Risk managementu v ČD a ve Skupině ČD

Hlavní fáze

1

Analýza stavu ŘR v ČD - návrh akčního plánu (konceptu ŘR)

Aktualizace

2

Katalog rizik ČD

Pravidla pro ŘR ve Skupině ČD

3

Konsolidace rizik ČD Politika řízení rizik DS

4

Manuál řízení rizik Katalogy rizik DS

5

Školení v oblasti ŘR

IT podpora ŘR

Průběžná komunikace a spolupráce s VŘR, VpA a vedením společnosti ČD a podpora při implementaci řízení rizik

8


www.cd.cz

IT podpora řízení rizik IT podpora - rychlost její odezvy je určována • rozsahem datové základny systému řízení rizik, • náročností metod řízení rizik • rychlostí / cykličností hlavních aktivit organizace Speciální nároky plynou z např. • přístupových práv • archivace Softwarové prostředky – od jednoduchého MS Excelu až po sofistikovaný specializovaný SW a integrované systémy • Prostředky MS Office (MS Word, MS Excel atd.) • Databázové systémy – např. MS Access. • Specializovaný software – např. RIMIS, KIODEX, zpravidla webovské aplikace • IT podpora realizovaná v MS Sharepoint • Moduly integrovaných systémů a datové sklady - např. SAP GRC – Business Objects • Úzce specializovaný SW pro řízení speciálních rizik např. CRAMM – analýza rizik IS/IT

9


www.cd.cz

Příklad specializovaného SW

10


Ukázka

www.cd.cz

Hlavní úrovně risk managementu Organizační struktura systému řízení rizik se skládá ze tří úrovní - dohledové, řídící a výkonné: 1. Dohledovou roli plní Dozorčí rada, Výbor pro audit a Odbor interního auditu a kontroly. 2. Řídící roli plní Představenstvo, Výbor pro řízení rizik a Korporátní manažer rizik.

VŘR a KMR úzce spolupracuje zejména s:

Odborem interního auditu a kontroly, který: – hodnotí funkčnost a účinnost systému řízení rizik, – předkládá doporučení k optimalizaci systému řízení rizik a – využívá výstupů řízení rizik pro svoji činnost - zejména pro plánování a realizaci auditů 3. Výkonnou roli plní vlastníci a analytici rizik - aktivní řízení přidělených rizik, monitoring a reporting rizik včetně vydávání včasného varování. 11


www.cd.cz

Organizační struktura ve Skupině ČD - rozdělení odpovědností v systému řízení rizik

12


www.cd.cz

Případová studie - Vývoj počtu rizik v období 2010 - 2014 Prvotní analýza základních rizik společnosti provedena OIAK v r. 2010 Po • • • • •

implementaci Risk managementu v r. 2011: postupné snižování počtu rizik (duplicity, bezvýznamný vliv, reorganizace společnosti), upřesněny metody oceňování negativního vlivu rizik (E@R, CF@R), zkvalitnění pravidelného reportingu pro vedení společnosti, zvýšený důraz na aktivní řízení rizik (opatření k eliminaci negativního vlivu rizik), vydávání včasného varování.

Počet identifikovaných rizik 100 90 80 70 60 50 40 30 20 10 0

89 59

2010

13

2011

46

40

33

2012

2013

2014


www.cd.cz

Případová studie - Aktivní řízení rizik – úkoly: V oblasti RM přechod od analýz a mapování rizik k aktivnímu řízení rizik s důrazem na: •

Supervizi karet rizik (ověření ocenění významnosti, hodnocení KRI, limit /RA) – aktivní role IA !

•

Uplatnění systému včasného varování při překročení limitu – risk apetitu u identifikovaného rizika – aktivní role IA !

•

Vyhodnocování přijímání a realizaci opatření k minimalizaci negativního vlivu identifikovaných rizik na výsledek hospodaření (propojení KRI na KPI strategického reportingu) – aktivní role IA !

•

Pravidelný monitoring a reporting (VŘR, VpA, PČD, DR)

•

Zajištění IT podpory řízení rizik

14


www.cd.cz

Děkuji Vám za pozornost

JUDr. Eduard Jeleň , CIA, CRMA Korporátní manažer rizik - GŘ ČD T: 9722 33436, M: (+420) 724 518 685 E: [email protected]

15


www.cd.cz

Risk management a Interní audit

Recommend Documents