2015-05-27

1

Podstawy kontroli i audytu

Część 4

prof. nadzw. dr hab. Kamilla Marchewka-Bartkowiak

Studia dyplomowe

Ryzyko

Ryzyko to niepewność związana ze zdarzeniem lub
działaniem, które wpłynie na zdolność organizacji do
realizacji celów jej działalności

(wszystkie przeszkody,

które napotkamy na drodze do realizacji wyznaczonego
celu)



Może mieć charakter negatywnego zagrożenia lub też
pozytywnej możliwości

. W pracy audytora głównie

skupiamy się na negatywnych zagrożeniach realizacji celów
i zadań.

 Nie jest też możliwe, aby

zredukować ryzyko do zera.

2015-05-27

2

Przykłady ryzyka w życiu prywatnym i

działalności organizacji

 Przy przechodzeniu przez ulicę, możemy zostać potrąceni.

Dlatego przed wejściem na nią, a także w trakcie
przechodzenia, nieustannie sprawdzamy ruch pojazdów na
ulicy.

 Istnieje ryzyko, iż nasze mienie zostanie skradzione. Dlatego

chronimy je zamkami i wykupujemy ubezpieczenie, które
pokryje koszt odtworzenia utraconego mienia w razie jego
kradzieży lub zniszczenia.

 Organizacja nie może świadczyć usług na odpowiednim

poziomie, ze względu na brak dostępnych i
wykwalifikowanych pracowników.

Przykłady oceny ryzyka (z życia)

Cel -

Dojazd na spotkanie służbowe z miejscowości

A do B

2015-05-27

3

Ryzyko a postawy życiowe

Żyjemy w świecie zmian, niepewności, złożoności i zmienności:
 ryzyko środowiskowe (huragany, powodzie, susza),
 ryzyko gospodarcze,
 ryzyko polityczne,
 ryzyko utraty dobrego imienia,
 ryzyko dla zdrowia.

Postawy życiowe wobec ryzyka:

 niektórzy lubią ryzyko,
 niektórych ryzyko fascynuje,
 niektórzy nienawidzą ryzyka,
 niektórzy zarabiają na ryzyku.

Zarządzanie ryzykiem



Zarządzanie ryzykiem to logiczna i systematyczna metoda tworzenia
kontekstu, identyfikacji, analizy, oceny, działania, nadzoru oraz
informowania o ryzyku w sposób, który umożliwi organizacji
minimalizację strat i maksymalizację możliwości.



Zarządzanie ryzykiem to kwestia kluczowa dla wszystkich organizacji,
zarówno w sektorze publicznym, jak i prywatnym

. Niedawne

niepowodzenia firm i organizacji w sektorze publicznym jak i
prywatnym na całym świecie, zwróciły uwagę na potrzebę skutecznej
identyfikacji i zarządzania ryzykiem.



Na konieczność zarządzania ryzykiem wskazują międzynarodowe
standardy kontroli i audytu

(w tym Standardy kontroli zarządczej –

Standard B. Cele i zarządzanie ryzykiem wskazują kierownikowi
jednostki sposób zarządzania ryzykiem oraz obowiązek wdrożenia m.in.
„Polityki zarządzania ryzykiem”)

2015-05-27

4

Zarządzanie ryzykiem w

organizacji

Zarządzanie ryzykiem to właściwe zarządzanie zasobami, ochrona organizacji i jej

zasobów, dbanie o majątek i środowisko oraz utrzymanie reputacji jednostki.

Zarządzania ryzykiem nie można traktować jako obciążenia dla organizacji, lecz

jako sposób maksymalizacji dostępnych możliwości i zmniejszenia
prawdopodobieństwa porażki. Identyfikacja i zarządzanie ryzykiem winno
dotyczyć każdej osoby w jednostce i być realizowane przez jej kierownictwo.

Zarządzanie ryzykiem:

NIE sprowadza się do wypełniania papierków

NIE jest jednorazowym zadaniem

NIE dotyczy tylko pewnych osób

NIE dotyczy tylko kwestii finansowych

NIE sprowadza się do likwidacji całego ryzyka

NIE ogranicza się do ryzyka objętego możliwością ubezpieczeni.

Ryzyko i etapy postępowania z nim

2015-05-27

5

Jak zarządzać ryzykiem organizacji

Standardy kontroli zarządczej wskazują kierownikowi

jednostki sposób zarządzania ryzykiem:

 Określić misję jednostki oraz jej cele a następnie zadania,
 Zidentyfikować ryzyko niepowodzenia ich realizacji,
 Przeanalizować wpływ zidentyfikowanego ryzyka na

realizację misji, celów i zadań,

 Zastosować środki zaradcze w sytuacji przekroczenia

akceptowalnego poziomu ryzyka,

 Monitorować.

Pytania jakie należy zadać przy

zarządzaniu ryzykiem

 Co może pójść nie tak?
 Jakie jest tego prawdopodobieństwo?
 Co się stanie, jeśli coś pójdzie nie tak?
 Co należy zrobić, by usunąć zagrożenie?
 Co można zrobić, by zmniejszyć

prawdopodobieństwo ponownego wystąpienia
zagrożenia?

2015-05-27

6

Korzyści z zarządzania ryzykiem w

organizacji

 Większy nacisk kierownictwa na sprawy faktycznie istotne,
 Krótszy czas reakcji kierownictwa na sprawy kryzysowe,
 Mniej nieprzewidzianych zdarzeń mających negatywny wpływ na

jednostkę,

 Większy nacisk w organizacji na poprawne wykonywanie właściwych

zadań,

 Większe prawdopodobieństwo realizacji celów jednostki,
 Większe prawdopodobieństwo wdrożenia planowanych zmian,
 Lepsze wykorzystanie zasobów,
 Bardziej świadome podejmowanie ryzyka oraz decyzji,
 Większe zaufanie społeczeństwa w przypadku administracji publicznej.

Strategie postępowania z ryzykiem



Tolerowanie

- brak działań wpływających na ryzyko (np. koszty

przewyższają korzyści);



Przeniesienie

– przeniesienie części lub całości ryzyka innej

stronie (np. zakup polisy ubezpieczeniowej, zlecanie czynności na
zewnątrz);



Wycofanie się

– odejście od działań, które wiążą się z ryzykiem

(np. rezygnacja z projektu);



Działanie

– podejmowanie działań ograniczających ryzyko do

akceptowalnego poziomu (wszelkie mechanizmy kontroli
stosowane w codziennym funkcjonowaniu (np. podział
obowiązków);



Gra ryzykiem

(zabronione w administracji publicznej – np.

inwestowanie na giełdzie).

2015-05-27

7

Ryzyko w pracy audytora

wewnętrznego

Audytor nie jest odpowiedzialny za zarządzanie ryzykiem w

organizacji.



Ocena ryzyka jest dokonywana na każdym etapie pracy audytora
poprzedzającym opracowanie sprawozdania z realizacji audytu, a
w szczególności jest bazą do sporządzenia planu audytu
wewnętrznego.

Na proces oceny ryzyka składają się dwa etapy:



identyfikacja

obszarów ryzyka,



analiza ryzyka

, w wyniku której następuje grupowanie obszarów

ryzyka pod względem ich istotności w zakresie działania
organizacji, a w konsekwencji wyłanianie zadań audytowych do
realizacji w danym roku, jak również prognostycznie na następne
lata

Rodzaje ryzyka

2015-05-27

8

Ryzyko operacyjne



Finansowe

– związane z planowaniem finansowym i kontrolą;



Prawne

– dotyczące ewentualnego naruszenia przepisów prawa;



Zawodowe

– związane z charakterem konkretnego zawodu;



Fizyczne

– dotyczące pożaru, bezpieczeństwa, zapobiegania wypadkom

oraz kwestii ochrony zdrowia i bezpieczeństwa osób , np. zagrożenia dla
budynków, pojazdów, zakładów lub sprzętu, itd.;



Umowne

– związane z brakiem realizacji usług lub dostarczenia

produktów przez dostawców wg uzgodnionej ceny i specyfikacji;



Technologiczne

– dotyczące uzależnienia instytucji od sprzętu

wykorzystywanego w jej działalności, np. systemów informatycznych
lub sprzętu i maszyn;



Środowiskowe

– dotyczące hałasu lub energooszczędności bieżącej

działalności usługowej;

Definicje zw. z ryzykiem

Analiza ryzyka jest to metoda oceny podatności obszaru (systemu, procesu) na czynniki

ryzyka.

Czynnik ryzyka jest to zdarzenie, działanie, zaniechanie, które może spowodować

wystąpienie ryzyka

Kategorie ryzyka (kategorie czynników ryzyka) są to pogrupowane w ograniczoną

liczbę kategorii czynniki ryzyka.

Potencjalna strata jest to rezultat zmaterializowania się ryzyka.

Waga ryzyka jest to wpływ danego czynnika ryzyka (lub danej kategorii czynników

ryzyka) na badany obszar (system, proces) wyrażony poprzez przypisanie temu
czynnikowi relatywnej wagi.

Właściciel ryzyka jest to osoba lub komórka organizacyjna odpowiedzialna

za przygotowanie planów działań ograniczających prawdopodobieństwo wystąpienia
ryzyka jak również działań zmniejszających potencjalną stratę w przypadku
zmaterializowania się ryzyka.

Istotność jest to iloczyn prawdopodobieństwa wystąpienia danego zdarzenia oraz jego

wpływu na jednostkę (potencjalnej straty).

2015-05-27

9

Ryzyko a czynnik ryzyka



Czynnik ryzyka – jest to zdarzenie, działanie,
zaniechanie, które może spowodować wystąpienie
ryzyka

(„jest to iskra, która rozpala ryzyko”).

Przykład:
 Cel – wyjazd na wczasy do Egiptu;


Ryzyko

– choroba (np. grypa, angina)



Czynnik ryzyka

– chory kolega w pracy, niewłaściwe ubieranie

się

Ryzyko a czynnik ryzyka w organizacji

przykłady

Ryzyko inwestycyjne/Obszar ryzyka

Czynnik ryzyka

– ograniczony dostęp do źródeł finansowania,

nieefektywne metody podejmowania decyzji inwestycyjnych, złe
zasady kalkulacji kosztów

Ryzyko technologiczne/Obszar ryzyka

Czynnik ryzyka

– niedostosowany sprzęt komputerowy, wadliwe

systemy

Ryzyko prawne/Obszar ryzyka

Czynnik ryzyka

– częste zmiany przepisów, zła interpretacja

przepisów

2015-05-27

10

Zadanie

– określ czynnik ryzyka

 Ryzyko nieterminowej realizacji zadań przez

pracowników

 Ryzyko dostarczenia kierownikowi

informacji po terminie

 Ryzyko wydania decyzji administracyjnej z

naruszeniem prawa

 Ryzyko utraty danych osobowych klientów

Przykłady czynników ryzyka

do zadania

 Absencja chorobowa pracowników

 Nieefektywny system przepływu informacji

 Częsta zmiana przepisów prawa

 Niewłaściwe zabezpieczenie mienia

jednostki

2015-05-27

11

Techniki

identyfikacji ryzyka



Listy potencjalnych zdarzeń

– opracowywane są na podstawie doświadczeń innych

jednostek wykonujących podobną działalność. Mogą być stosowane jako punkt wyjściowy
do identyfikacji zdarzeń;



Moderowane warsztaty i wywiady

– identyfikacja zdarzeń poprzez wykorzystanie w

dyskusji wiedzy i doświadczenia kierownictwa i pracowników. Moderator prowadzi
dyskusję na temat zdarzeń, które mogą wpływać na osiąganie celów i zadań. Działania te
powinny być odpowiednio zorganizowane, aby zapewnić systematyczną identyfikację
ryzyka;



Analiza procesów

– analiza nakładów, zadań, obowiązków i rezultatów, które składają się

na proces, poznanie relacji zachodzących między nimi. Jednostka/komórka identyfikuje
zdarzenia, które mogą wpływać na osiąganie celów poprzez analizę czynników
wewnętrznych i zewnętrznych wpływających na nakłady i działania w ramach procesów;



Burza mózgów

– dyskusja, w której uczestnicy spotkania mogą swobodnie zgłaszać

wszelkie potencjalne ryzyka, nieprawidłowości, możliwości wystąpienia błędów, które
następnie są weryfikowane i selekcjonowane. Istotą burzy mózgów jest pobudzanie jej
uczestników do zebrania jak największej ilości potencjalnych zdarzeń, które mogą
wpłynąć na osiągnięcie celów i zadań

Etapy analizy ryzyka

Audytor powinien opracować ujednolicone wytyczne dla ocen ryzyka i

nadawania znaczenia poszczególnym obszarom ryzyka. Korzystając z
ujednoliconych kryteriów (wag) audytor decyduje, jaki czynnik będzie
miał decydujący wpływ na wybór obszaru działalności organizacji do
przeprowadzenia zadania zapewniającego

.

a) wskazanie obszarów ryzyka,

b) określenie poziomu wrażliwości procesu na ryzyko,

c) wybranie metody oceny ryzyka,

d) dokonanie interpretacji uzyskanych wyników.

2015-05-27

12

Metody oceny ryzyka przez AW

Audytor wewnętrzny może wykorzystać

wiele metod oceny ryzyka takich jak:

a) matryce ryzyka

b) mapa ryzyka

c) ustalenie znaczenia ryzyka wyłącznie na

podstawie opisu ryzyka.

Wybrane skale ocen ryzyka

2015-05-27

13

Wybrane skale ocen ryzyka

Matryca punktowej oceny ryzyka

2015-05-27

14

Mapa ryzyka