Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Governance System kontroli wewnętrznej System zarządzania ryzykiem Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie.

Podobne prezentacje


Prezentacja na temat: "Governance System kontroli wewnętrznej System zarządzania ryzykiem Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie."— Zapis prezentacji:

1

2 Governance System kontroli wewnętrznej System zarządzania ryzykiem Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Polega na systematycznej i dokonywanej w uporządkowany sposób ocenie procesów: zarządzania ryzykiem, kontroli i ładu organizacyjnego, i przyczynia się do poprawy ich działania. Pomaga organizacji osiągnąć cele dostarczając zapewnienia o skuteczności tych procesów, jak również poprzez doradztwo....Najważniejsze jest wiedzieć o czym się mówi... W. Pareto

3 Wymagania w zakresie ochrony Zabezpieczenia ZagrożeniaPodatności Zasoby Ryzyko Wartości (stąd potencjalne skutki następstw) chronią przed zwiększają zmniejszają zwiększają analiza wskazuje mają „apetyt” mają realizowane przez wykorzystują są cechą zagrażają

4 1. To ciągły proces, który dotyczy całości organizacji i na który wpływają pracownicy ze wszystkich szczebli, 2. Jest związany bezpośrednio z przyjętą strategią szpitala, 3. Celem jest identyfikacja ryzyk i zarządzanie nimi zgodnie z przyjętym „apetytem na ryzyko”, 4. Jest konstytutywny dla zarządzania jakością 5. Umożliwia udzielenie władzom Szpitala rozsądnego zapewnienia, że cele instytucji zostaną osiągnięte. 6. Jest obowiązkiem prawnym 7. ( art. 68 ust2 p7 ustawy o finansach publicznych ) 8. USTAWA O OCHRONIE BAZ DANYCH 9. USTAWA O RACHUNKOWOŚCI 10. USTAWA O PODPISIE ELEKTRONICZNYM 11. USTAWA O OCHRONIE DANYCH OSOBOWYCH (ROZP)

5 Słabości systemu zarządzania ryzykiem powszechnie spotykane * Istnienie deklaratywne * Działania pozorne/naskórkowe/nieweryfikowalne zewnętrznie. * Niski stopień informatyzacji procesów z.r. (papierologia) * Rejestracja / ukrywanie incydentów – jakość zarządzania danymi * Apetyt na ryzyko – nieidentyfikowany * Niski stopień zgodności audytu wewnętrznego ze standardami (pomylenie z kontrolą)

6 Kontroler (rewident)Audytor Bada nadużycia lub przypadki skompromitowania systemu kontroli wewnętrznej. Bada skuteczność całego systemu kontroli wewnętrznej, wskazując na ryzyko. Bada wyłącznie zgodność działania organizacji z przepisami i prawidłowość postępowania poszczególnych jednostek organizacyjnych wewnątrz organizacji. Bada efektywność, skuteczność, wydajność i inne kryteria, które pozwalają organizacji funkcjonować. Celem jego jest wykrycie niezgodności. Celem jest takie usprawnienie procesu, aby spełniał założone kryteria jakości. Nie pełni funkcji doradczych.Pełni rolę partnera i doradcy Szuka niezgodności, wskazuje winnych i wnioskuje o ich ukaranie. Mówi, jak coś zrobić lepiej, sprawniej i skuteczniej. Motywuje i aktywizuje. Staje wobec kontrolowanego w pozycji nadrzędnej. Nawiązuje komunikację z audytowanym, aby lepiej zrozumieć istotę procesu. Znając normę – wie wszystko.Uczy się wraz z wykonywaniem zadania. Budzi respekt i dystansuje się wobec kontrolowanych.Budzi szacunek i wdzięczność. Bada zgodność, nie interesując się samym procesem. Stara się zrozumieć proces, aby móc wskazać adekwatne mechanizmy jego ochrony. Nadzór i legalizm.Superwizja i coaching. Jego siłą jest norma prawna.Jego siłą jest wiedza. Jest zorientowany na kontrolę.Jest zorientowany na ryzyko. Relację pomiędzy nim a jednostką kontrolowaną można opisać słowami „Wygrał - Przegrał”. Relację pomiędzy nim a jednostką kontrolowaną można opisać słowami „Wygrał – Wygrał”.

7 Firmy często proponują Państwu usługi, które * Nie uwzględniają specyfiki – nie szyją systemu „na miarę” ale wrzucają wszystko co leci. Nie płać za wszystko jak leci – płać za to czego nie masz, a chcesz posiadać * Stosują szablonowe metody i rozwiązania * Oferują to co same umieją a nie to czego Państwo potrzebujecie * Nie znają metodyk międzynarodowych na tyle, aby opisać procesy zgodnie z nimi * Mają braki w analizie systemowej – posługują się słowem system często, wykonują prace systemowe – bardzo rzadko * Pastują rozwiązania z innych jednostek * Produkują „półkowniki” * Przepisują w innej formie to co już istnieje w jednostce * Posługują się tańszym podwykonawstwem celem maksymalizacji zysku, kosztem dojrzałości metodologicznej * Traktują normy literalnie (jako hard law) tymczasem one są soft law

8 2120 – Zarządzanie ryzykiem Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem. (zewnątrzsterowność i wewnątrzsterowność) Audytor wewnętrzny uważa procesy zarządzania ryzykiem za skuteczne, jeśli z jego oceny wynika, że:  cele organizacji wspierają misję organizacji i są z nią zgodne; (zarządzanie strategiczne i kreacja wartości)  istotne ryzyka zostały zidentyfikowane i ocenione; (metodyka)  wybrano odpowiedni sposób reakcji na ryzyko, zgodny z apetytem organizacji na dane ryzyko ;  istotne informacje o ryzyku są zbierane i na czas przekazywane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie obowiązków. (komunikacja) Audyt wewnętrzny może w trakcie różnych zadań zbierać informacje potrzebne do wyrażenia powyższej oceny. Wyniki tych zadań, zebrane razem, dadzą obraz procesów zarządzania ryzykiem w organizacji i ich skuteczności. Procesy zarządzania ryzykiem są monitorowane w ramach bieżącego zarządzania, odrębnych ocen lub na oba te sposoby.

9

10 * Kontrola ryzyka i audyt muszą być dwoma niezależnymi funkcjami * W oba procesy powinni angażować się efektywnie właściciel i jednostka nadzorująca * Oba systemy powinny być niepowątpiewalnie udokumentowane * Zarzadzanie ryzykiem ma być: * Proste * Tanie * Praktyczne * Użyteczne

11 * Audytorzy lub specjaliści którzy projektują lub wdrażają systemy zarządzania ryzykiem powinni posiadać międzynarodowe certyfikaty (minimum CRMA i CRISC). Kontrola NIK lub RIO jest łatwiejsza. * Metodyki zarządzania ryzykiem są IDENTYCZNE jakie zaprezentował Uniwersytet Stanforda – audyt wewnętrzny stosuje z powodzeniem te metodyki od wielu lat. (ISO 31000, ISO oraz ISO 27005, COSO, ERM COSO)

12

13 Wola pozytywnego działania Pełna jawność Pełna odpowiedzialność Znajomość rzeczy

14

15 CeleZadaniaRezultatyDokumentacja Realizacja zapisów ustawy z dn. 27 sierpnia 2009 o finansach publicznych Zaprojektowanie systemu zarządzania ryzykiem Zintegrowany system zarządzania ryzykiem środowiska zdecentralizowanego Strategia zarządzania ryzykiem wbudowana w strategię jst Stabilne, ostrożne i dojrzałe zarządzanie organizacją Wdrożenie systemuMinimalizacja zagrożeń System „wczesnego ostrzegania” Polityka i metodyka zarządzania ryzykiem Dokumentacja systemu Eksploatacja systemu Monitorowanie systemu Podjęcie współodpowiedzialności za zarządzanie ryzykiem w strukturze organizacyjnej (centralizowane są łatwiejsze) Ciągłe usprawniania (continous improvement) Wiarygodna sprawozdawczość Raporty użyteczne do podejmowania decyzji o charakterze zarządczym Założony poziom dojrzałości systemu Wewnętrzne procedury Integracja jakości, bezpieczeństwa i zarządzania ryzykiem

16 * Metodologiczny * Lista procesów * Rejestr ryzyka * Mapa ryzyka * Lista mechanizmów kontrolnych * Organizacyjny * Pełnomocnik ds. ryzyka (może być audytor lub pełnomocnik ds. systemu zarządzania jakością) * Komitet ryzyka * Dokumentacyjny * Strategia * Polityka + Metodyka * Procedury

17 Właściciel ryzyka –kierownictwo organizacji Subwłaściciel ryzyka – jednostka, której właściciel ryzyka zleca zarządzanie ryzykiem procesu. Właściciel ryzyka jednego z procesów. Zarządzanie ryzykiem Poziom strategiczny – Wskazanie kierunków działania, ustalenie polityki, kreowanie kultury organizacji (corporate governance). Poziom operacyjny – poprawna realizacja zadań wynikających z celów strategicznych, wyrażonych przez właściciela w aktach normatywnych. Wyraża się poprzez określenie zadań i jednostek organizacyjnych odpowiedzialnych za zarządzanie ryzykiem.

18 wejściewyjście przetwarzanie weryfikacja sterowanie Układ podstawowy

19 ZASOBY DECYZJENORMY wejścia

20 ZASOBY wartości produkty narzędzia ludzie dane technologia bezpieczeństwo wiedza... DECYZJE wagi kryteria wybór (tak/nie) typy... NORMY akty prawne standardy procedury dobre praktyki... Zespół tabel do późniejszej bazy danych

21 Typy przetwarzania: –wykonywanie –projektowanie –wdrażanie –testowanie –opisywanie –opiniowanie –analizowanie –rekomendowanie –kontrola –ocenianie –dostarczenie –wspieranie –..... Algorytm przetwarzania Zasady przetwarzania (NORMY) Efektywność Wydajność Skuteczność Kluczowe wskaźniki wydajności Kluczowe wskaźniki celu... sterowanie Mechanizmy kontrolne Poziom dojrzałości CMM weryfikacja

22 wyjście Sprawozdawczość wewnętrzna (gromadzenie wiedzy o samym procesie przez jednostkę organizacyjną) Dane wyjściowe Obróbka wstępna Dane do procesów potomnychDane „na zewnątrz” statystyka Badania i rozwój

23 J.O. Realizacja celów organizacji poprzez funkcje poszczególnych jednostek organizacyjnych CELE ORGANIZACJI

24 J.O. Dekompozycja układu

25 0,2 0,1 0,3 0,0 0,2 J.O. Selekcja jednostek i nadanie wag

26 0,2 0,15 0,1 0,3 0,2 0,0 0,7 0,2 0,15 J.O.

27 0,2 0,15 0,1 0,3 0,2 0,15 J.O. Proces A Proces B Wyodrebnienie procesów ZWP 1 ZWP 2 ZWP 1...N ZWP= zagregowana waga procesu

28 „Pieczątka” ryzyka Strategiczne zagrożenie prawdopodobieństwo waga Finansowe zagrożenie prawdopodobieństwo waga Operacyjne zagrożenie prawdopodobieństwo waga

29 P 0,2 0,15 0,1 0,3 0,2 0,15 J.O. Proces A Proces B „Pieczątka” ryzyka ZWP 1 ZWP 2 ZWP 1...N ZWP= zagregowana waga procesu SFO P SFO

30 „Pieczątka” ryzyka 2 x 3 x 0,5 1 x 1 x 0,7 4 x 4 x 0,1 3 0,71,6 zagrożenie prawdop. waga f(z,p,w) (przykład)

31 „Pieczątka” ryzyka S(3)F(0,7)O(1,6) f(S,F,O) Dla każdego z procesów...

32 zasobynormydecyzjekontrola czynności, typy „sterowania”, weryfikacja proces 1 proces proces n Risk

33 Ochrona fizyczna Systemy IT Zarządzanie jakością Zarządzanie danymi Incydenty medyczne Zarządzanie zmianą Zgodność i akredytacja Audyt/ kontrola zarządcza BCP ISO 9001 Residual Inherent Ryzyka procesów zarządzania w szpitalu (przykład)

34 * 1. systematyczne i uporządkowane podejście * 2. Koniecznie związane z SIP * 3. Integrujące istniejące systemy - aktualizowane * 4. Interoperabilne * 5. Powszechnie dostępne

35 Relacje pomiędzy AW i systemem zarządzania ryzykiem operacyjnym Actions Reporting Business Objectives Processes Sub-Processes Events Management Testing Reporting Questionnaire Audits Entities Strategic Reporting Working Papers

36

37 Rejestracja incydentu Kontrola bezpieczeństwa BD Raporty z analizy ryzyka Zarządzanie incydentami/ analiza przyczyn/ mapa ryzyka LEX Prawo Regulacje Wewnętrzne Zakresy obowiązków Uprawnienia Rejestr pełnomocnictw i upoważnień Budżetowanie zadaniowe Zarzadzanie Umowami Mierzenie stopnia obciążenia pracowników Normy Dobre praktyki Audyt wewnętrzny i kontrola zarządcza Zarzadzanie dokumentacją Dokumenty Rady BIP Kompetencje Analiza kosztów Zarządzanie obiegiem informacji Treść 37 Moduły Model strategicznego zarządzania szpitalem wg. GRC 1 Tablet

38 * WKP proponuje Państwu cykl szkoleń – począwszy od poziomu podstawowego, na konkretnych dokumentach, a różnych poziomach zarządczych – zarówno dla części białej jak i szarej. * Szkolenia, warsztaty, case studies prowadzone są przez certyfikowanych międzynarodowo risk managerów (CRMA, CRISC, CGEIT) * Proponujemy Państwu szkolenia w trybie 1:10:100 * Proponujemy niezależny nadzór audytorski, nad wdrażaniem systemów IT, zarzadzania ryzykiem, zarządzania ryzykiem zgodności oraz niezależne audyty. * Dostarczamy nie tylko LEXa ale i narzędzia

39

40 * System zarządzania ryzykiem umożliwia nie tylko dokonania OCENY funkcjonowania organizacji na bieżąco ale wskazuje perspektywę przyszłości organizacji. * To jak zarządzamy ryzykiem świadczy o kulturze naszej organizacji. Spokojne patrzenie w lustro. * Audyt przeprowadzony dla stwierdzenia „jest dobrze” jest niewystarczający. Audyt ma wskazać nie tylko stan ale i ryzyka i jak organizacja się przed nimi zabezpieczona. * Zarządzanie ryzykiem jest trudne z powodu tego, że wymaga ogromnej, pozytywnej woli Zarządu zrewidowania własnego stylu zarządzania organizacją - jasnego określenia jakości i świadomości

41 A tak właściwie to po co nam zarządzanie ryzykiem? Jesteśmy przecież jak ryba w wodzie.

42

43 PIOTR WELENC, CISA, CICA, CGEIT, CRISC, CRMA, QAVal Dyrektor rozwoju rynku Governance-Risk-Compliance Wolters Kluwer Polska S.A. Warszawa, ul. Płocka 5a tel


Pobierz ppt "Governance System kontroli wewnętrznej System zarządzania ryzykiem Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie."

Podobne prezentacje


Reklamy Google