Governance System kontroli wewnętrznej System zarządzania ryzykiem Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Polega na systematycznej i dokonywanej w uporządkowany sposób ocenie procesów: zarządzania ryzykiem, kontroli i ładu organizacyjnego, i przyczynia się do poprawy ich działania. Pomaga organizacji osiągnąć cele dostarczając zapewnienia o skuteczności tych procesów, jak również poprzez doradztwo....Najważniejsze jest wiedzieć o czym się mówi... W. Pareto

Wymagania w zakresie ochrony Zabezpieczenia ZagrożeniaPodatności Zasoby Ryzyko Wartości (stąd potencjalne skutki następstw) chronią przed zwiększają zmniejszają zwiększają analiza wskazuje mają „apetyt” mają realizowane przez wykorzystują są cechą zagrażają

1. To ciągły proces, który dotyczy całości organizacji i na który wpływają pracownicy ze wszystkich szczebli, 2. Jest związany bezpośrednio z przyjętą strategią szpitala, 3. Celem jest identyfikacja ryzyk i zarządzanie nimi zgodnie z przyjętym „apetytem na ryzyko”, 4. Jest konstytutywny dla zarządzania jakością 5. Umożliwia udzielenie władzom Szpitala rozsądnego zapewnienia, że cele instytucji zostaną osiągnięte. 6. Jest obowiązkiem prawnym 7. ( art. 68 ust2 p7 ustawy o finansach publicznych ) 8. USTAWA O OCHRONIE BAZ DANYCH 9. USTAWA O RACHUNKOWOŚCI 10. USTAWA O PODPISIE ELEKTRONICZNYM 11. USTAWA O OCHRONIE DANYCH OSOBOWYCH (ROZP)

Słabości systemu zarządzania ryzykiem powszechnie spotykane * Istnienie deklaratywne * Działania pozorne/naskórkowe/nieweryfikowalne zewnętrznie. * Niski stopień informatyzacji procesów z.r. (papierologia) * Rejestracja / ukrywanie incydentów – jakość zarządzania danymi * Apetyt na ryzyko – nieidentyfikowany * Niski stopień zgodności audytu wewnętrznego ze standardami (pomylenie z kontrolą)

Kontroler (rewident)Audytor Bada nadużycia lub przypadki skompromitowania systemu kontroli wewnętrznej. Bada skuteczność całego systemu kontroli wewnętrznej, wskazując na ryzyko. Bada wyłącznie zgodność działania organizacji z przepisami i prawidłowość postępowania poszczególnych jednostek organizacyjnych wewnątrz organizacji. Bada efektywność, skuteczność, wydajność i inne kryteria, które pozwalają organizacji funkcjonować. Celem jego jest wykrycie niezgodności. Celem jest takie usprawnienie procesu, aby spełniał założone kryteria jakości. Nie pełni funkcji doradczych.Pełni rolę partnera i doradcy Szuka niezgodności, wskazuje winnych i wnioskuje o ich ukaranie. Mówi, jak coś zrobić lepiej, sprawniej i skuteczniej. Motywuje i aktywizuje. Staje wobec kontrolowanego w pozycji nadrzędnej. Nawiązuje komunikację z audytowanym, aby lepiej zrozumieć istotę procesu. Znając normę – wie wszystko.Uczy się wraz z wykonywaniem zadania. Budzi respekt i dystansuje się wobec kontrolowanych.Budzi szacunek i wdzięczność. Bada zgodność, nie interesując się samym procesem. Stara się zrozumieć proces, aby móc wskazać adekwatne mechanizmy jego ochrony. Nadzór i legalizm.Superwizja i coaching. Jego siłą jest norma prawna.Jego siłą jest wiedza. Jest zorientowany na kontrolę.Jest zorientowany na ryzyko. Relację pomiędzy nim a jednostką kontrolowaną można opisać słowami „Wygrał - Przegrał”. Relację pomiędzy nim a jednostką kontrolowaną można opisać słowami „Wygrał – Wygrał”.

Firmy często proponują Państwu usługi, które * Nie uwzględniają specyfiki – nie szyją systemu „na miarę” ale wrzucają wszystko co leci. Nie płać za wszystko jak leci – płać za to czego nie masz, a chcesz posiadać * Stosują szablonowe metody i rozwiązania * Oferują to co same umieją a nie to czego Państwo potrzebujecie * Nie znają metodyk międzynarodowych na tyle, aby opisać procesy zgodnie z nimi * Mają braki w analizie systemowej – posługują się słowem system często, wykonują prace systemowe – bardzo rzadko * Pastują rozwiązania z innych jednostek * Produkują „półkowniki” * Przepisują w innej formie to co już istnieje w jednostce * Posługują się tańszym podwykonawstwem celem maksymalizacji zysku, kosztem dojrzałości metodologicznej * Traktują normy literalnie (jako hard law) tymczasem one są soft law

2120 – Zarządzanie ryzykiem Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem. (zewnątrzsterowność i wewnątrzsterowność) Audytor wewnętrzny uważa procesy zarządzania ryzykiem za skuteczne, jeśli z jego oceny wynika, że:  cele organizacji wspierają misję organizacji i są z nią zgodne; (zarządzanie strategiczne i kreacja wartości)  istotne ryzyka zostały zidentyfikowane i ocenione; (metodyka)  wybrano odpowiedni sposób reakcji na ryzyko, zgodny z apetytem organizacji na dane ryzyko ;  istotne informacje o ryzyku są zbierane i na czas przekazywane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie obowiązków. (komunikacja) Audyt wewnętrzny może w trakcie różnych zadań zbierać informacje potrzebne do wyrażenia powyższej oceny. Wyniki tych zadań, zebrane razem, dadzą obraz procesów zarządzania ryzykiem w organizacji i ich skuteczności. Procesy zarządzania ryzykiem są monitorowane w ramach bieżącego zarządzania, odrębnych ocen lub na oba te sposoby.

* Kontrola ryzyka i audyt muszą być dwoma niezależnymi funkcjami * W oba procesy powinni angażować się efektywnie właściciel i jednostka nadzorująca * Oba systemy powinny być niepowątpiewalnie udokumentowane * Zarzadzanie ryzykiem ma być: * Proste * Tanie * Praktyczne * Użyteczne

* Audytorzy lub specjaliści którzy projektują lub wdrażają systemy zarządzania ryzykiem powinni posiadać międzynarodowe certyfikaty (minimum CRMA i CRISC). Kontrola NIK lub RIO jest łatwiejsza. * Metodyki zarządzania ryzykiem są IDENTYCZNE jakie zaprezentował Uniwersytet Stanforda – audyt wewnętrzny stosuje z powodzeniem te metodyki od wielu lat. (ISO 31000, ISO oraz ISO 27005, COSO, ERM COSO)

Wola pozytywnego działania Pełna jawność Pełna odpowiedzialność Znajomość rzeczy

CeleZadaniaRezultatyDokumentacja Realizacja zapisów ustawy z dn. 27 sierpnia 2009 o finansach publicznych Zaprojektowanie systemu zarządzania ryzykiem Zintegrowany system zarządzania ryzykiem środowiska zdecentralizowanego Strategia zarządzania ryzykiem wbudowana w strategię jst Stabilne, ostrożne i dojrzałe zarządzanie organizacją Wdrożenie systemuMinimalizacja zagrożeń System „wczesnego ostrzegania” Polityka i metodyka zarządzania ryzykiem Dokumentacja systemu Eksploatacja systemu Monitorowanie systemu Podjęcie współodpowiedzialności za zarządzanie ryzykiem w strukturze organizacyjnej (centralizowane są łatwiejsze) Ciągłe usprawniania (continous improvement) Wiarygodna sprawozdawczość Raporty użyteczne do podejmowania decyzji o charakterze zarządczym Założony poziom dojrzałości systemu Wewnętrzne procedury Integracja jakości, bezpieczeństwa i zarządzania ryzykiem

* Metodologiczny * Lista procesów * Rejestr ryzyka * Mapa ryzyka * Lista mechanizmów kontrolnych * Organizacyjny * Pełnomocnik ds. ryzyka (może być audytor lub pełnomocnik ds. systemu zarządzania jakością) * Komitet ryzyka * Dokumentacyjny * Strategia * Polityka + Metodyka * Procedury

Właściciel ryzyka –kierownictwo organizacji Subwłaściciel ryzyka – jednostka, której właściciel ryzyka zleca zarządzanie ryzykiem procesu. Właściciel ryzyka jednego z procesów. Zarządzanie ryzykiem Poziom strategiczny – Wskazanie kierunków działania, ustalenie polityki, kreowanie kultury organizacji (corporate governance). Poziom operacyjny – poprawna realizacja zadań wynikających z celów strategicznych, wyrażonych przez właściciela w aktach normatywnych. Wyraża się poprzez określenie zadań i jednostek organizacyjnych odpowiedzialnych za zarządzanie ryzykiem.

wejściewyjście przetwarzanie weryfikacja sterowanie Układ podstawowy

ZASOBY DECYZJENORMY wejścia

ZASOBY wartości produkty narzędzia ludzie dane technologia bezpieczeństwo wiedza... DECYZJE wagi kryteria wybór (tak/nie) typy... NORMY akty prawne standardy procedury dobre praktyki... Zespół tabel do późniejszej bazy danych

Typy przetwarzania: –wykonywanie –projektowanie –wdrażanie –testowanie –opisywanie –opiniowanie –analizowanie –rekomendowanie –kontrola –ocenianie –dostarczenie –wspieranie –..... Algorytm przetwarzania Zasady przetwarzania (NORMY) Efektywność Wydajność Skuteczność Kluczowe wskaźniki wydajności Kluczowe wskaźniki celu... sterowanie Mechanizmy kontrolne Poziom dojrzałości CMM weryfikacja

wyjście Sprawozdawczość wewnętrzna (gromadzenie wiedzy o samym procesie przez jednostkę organizacyjną) Dane wyjściowe Obróbka wstępna Dane do procesów potomnychDane „na zewnątrz” statystyka Badania i rozwój

J.O. Realizacja celów organizacji poprzez funkcje poszczególnych jednostek organizacyjnych CELE ORGANIZACJI

J.O. Dekompozycja układu

0,2 0,1 0,3 0,0 0,2 J.O. Selekcja jednostek i nadanie wag

0,2 0,15 0,1 0,3 0,2 0,0 0,7 0,2 0,15 J.O.

0,2 0,15 0,1 0,3 0,2 0,15 J.O. Proces A Proces B Wyodrebnienie procesów ZWP 1 ZWP 2 ZWP 1...N ZWP= zagregowana waga procesu

„Pieczątka” ryzyka Strategiczne zagrożenie prawdopodobieństwo waga Finansowe zagrożenie prawdopodobieństwo waga Operacyjne zagrożenie prawdopodobieństwo waga

P 0,2 0,15 0,1 0,3 0,2 0,15 J.O. Proces A Proces B „Pieczątka” ryzyka ZWP 1 ZWP 2 ZWP 1...N ZWP= zagregowana waga procesu SFO P SFO

„Pieczątka” ryzyka 2 x 3 x 0,5 1 x 1 x 0,7 4 x 4 x 0,1 3 0,71,6 zagrożenie prawdop. waga f(z,p,w) (przykład)

„Pieczątka” ryzyka S(3)F(0,7)O(1,6) f(S,F,O) Dla każdego z procesów...

zasobynormydecyzjekontrola czynności, typy „sterowania”, weryfikacja proces 1 proces proces n Risk

Ochrona fizyczna Systemy IT Zarządzanie jakością Zarządzanie danymi Incydenty medyczne Zarządzanie zmianą Zgodność i akredytacja Audyt/ kontrola zarządcza BCP ISO 9001 Residual Inherent Ryzyka procesów zarządzania w szpitalu (przykład)

* 1. systematyczne i uporządkowane podejście * 2. Koniecznie związane z SIP * 3. Integrujące istniejące systemy - aktualizowane * 4. Interoperabilne * 5. Powszechnie dostępne

Relacje pomiędzy AW i systemem zarządzania ryzykiem operacyjnym Actions Reporting Business Objectives Processes Sub-Processes Events Management Testing Reporting Questionnaire Audits Entities Strategic Reporting Working Papers

Rejestracja incydentu Kontrola bezpieczeństwa BD Raporty z analizy ryzyka Zarządzanie incydentami/ analiza przyczyn/ mapa ryzyka LEX Prawo Regulacje Wewnętrzne Zakresy obowiązków Uprawnienia Rejestr pełnomocnictw i upoważnień Budżetowanie zadaniowe Zarzadzanie Umowami Mierzenie stopnia obciążenia pracowników Normy Dobre praktyki Audyt wewnętrzny i kontrola zarządcza Zarzadzanie dokumentacją Dokumenty Rady BIP Kompetencje Analiza kosztów Zarządzanie obiegiem informacji Treść 37 Moduły Model strategicznego zarządzania szpitalem wg. GRC 1 Tablet

* WKP proponuje Państwu cykl szkoleń – począwszy od poziomu podstawowego, na konkretnych dokumentach, a różnych poziomach zarządczych – zarówno dla części białej jak i szarej. * Szkolenia, warsztaty, case studies prowadzone są przez certyfikowanych międzynarodowo risk managerów (CRMA, CRISC, CGEIT) * Proponujemy Państwu szkolenia w trybie 1:10:100 * Proponujemy niezależny nadzór audytorski, nad wdrażaniem systemów IT, zarzadzania ryzykiem, zarządzania ryzykiem zgodności oraz niezależne audyty. * Dostarczamy nie tylko LEXa ale i narzędzia

* System zarządzania ryzykiem umożliwia nie tylko dokonania OCENY funkcjonowania organizacji na bieżąco ale wskazuje perspektywę przyszłości organizacji. * To jak zarządzamy ryzykiem świadczy o kulturze naszej organizacji. Spokojne patrzenie w lustro. * Audyt przeprowadzony dla stwierdzenia „jest dobrze” jest niewystarczający. Audyt ma wskazać nie tylko stan ale i ryzyka i jak organizacja się przed nimi zabezpieczona. * Zarządzanie ryzykiem jest trudne z powodu tego, że wymaga ogromnej, pozytywnej woli Zarządu zrewidowania własnego stylu zarządzania organizacją - jasnego określenia jakości i świadomości

A tak właściwie to po co nam zarządzanie ryzykiem? Jesteśmy przecież jak ryba w wodzie.

PIOTR WELENC, CISA, CICA, CGEIT, CRISC, CRMA, QAVal Dyrektor rozwoju rynku Governance-Risk-Compliance Wolters Kluwer Polska S.A. Warszawa, ul. Płocka 5a tel