Audyt wewnętrzny jako integralna część zarządzania firmą cz I
autor Administrator, opublikowano 2002-10-27
Ekonomiści zwracają uwagę na to, że zdarzenia katastroficzne przysłaniają widok na kosztowne acz nie tak dramatyczne zdarzenia, które stają się plagą większości firm i są sygnałem niedostatków techniki i praktyki zarządzania ryzykiem.
Doświadczenia ostatnich lat wskazują, że ryzyko operacyjne w kategoriach kapitału kosztuje więcej niż sądzono - ostatnie szacunki mówią o co najmniej 25%. Wartość ta rośnie w związku z pojawieniem się modelu biznesowego zwanego Nową Ekonomią - bankowości internetowej, handlu elektronicznego oraz przekazywania obsługi funkcji bankowych na zewnątrz (outsourcing).
Stąd zacieśnianie wymagań stawianych przez nadzór bankowy, co znalazło swój wyraz w określeniu nowych wymagań kapitałowych, powiązanych ściśle z zarządzaniem ryzykiem kredytowym, rynkowym i operacyjnym. Żeby było trudniej, system ten dotyczy nie tylko sektora finansowego. Poprzez stawianie wymagań bankom stawiać się będzie również wymagania firmom, które z usług tego sektora korzystają. Służyć temu ma system skoringowy do oceny firm, prowadzony przez wyspecjalizowane instytucje. Premiowani będą ci, którzy wprowadzą i udowodnią skuteczność systemów zarządzania ryzykami i będą posiadać niezależną komórkę audytu wewnętrznego.
W działaniu komórek audytu wewnętrznego są elementy specyficzne ze względu na sektor, w którym działa dana firma. Oczywiście przed sektorem finansowym stawiane są najwyższe wymagania. Niemniej podstawowe zasady działania audytu wewnętrznego są wspólne i ściśle określone. Bazę informacji o tym czym jest audyt wewnętrzny, jakie są jego cele, kompetencje i obowiązki stanowią "Standardy Profesjonalnej Praktyki Audytu Wewnętrznego", Instytutu Audytorów Wewnętrznych oraz "Raport Turnbulla". Dla sektora bankowego źródłem informacji są również rekomendacje Komitetu Bazylejskiego.
ZARZĄDZANIE RYZYKIEM OPERACYJNYM
Ryzyko operacyjne to ryzyko bezpośrednich i pośrednich strat wynikających z nieadekwatności lub błędów procesów, ludzi i systemów lub przyczyn zewnętrznych.
Ryzyko operacyjne dotyczy całej firmy, tkwi w każdym procesie. Zarządzanie ryzykiem operacyjnym chroni i zwiększa wartość firmy dla jej udziałowców, co dla instytucji finansowych jest już sprawą oczywistą.
Ryzyko operacyjne nie jest nowym ryzykiem. Dla banku jest to pierwsze ryzyko, którym musi zarządzać zanim udzieli pierwszego kredytu lub wykona pierwszą transakcję. Ale pomysł, że zarządzanie ryzykiem operacyjnym jest nową dyscypliną, z własną strukturą zarządzania, narzędziami i procesami, jest nowy i głośno o nim od ok. 4 lat.
Właśnie w zarządzaniu ryzykiem operacyjnym audyt wewnętrzny znalazł swoje szczególne miejsce. Jest bowiem źródłem obiektywnych informacji, bez których bardzo trudno jest kierownictwu firmy spełniać właściwie funkcje menadżerskie, mieć pełne rozeznanie co do skali ryzyka wystąpienia oszustw, ocenić sprawność i adekwatność systemu kontroli wewnętrznej - podstawowego mechanizmu zarządzania ryzykiem operacyjnym i biznesowym.
Schemat zarządzania ryzykiem operacyjnym w firmie
Źródło: Operational Risk Management--The New Frontier. Oprac. PricewaterhouseCoopers
Główne czynniki, które decydują o kulturze korporacyjnej, włączając w nią sposób podejmowania decyzji, organizację procesów i cechy prowadzonej działalności to:
1. Strategia. Zarządzanie ryzykiem zaczyna się od sformułowania strategii i celów działalności oraz wynikających z tego zadań dla poszczególnych jednostek organizacyjnych, produktów i menadżerów. Towarzyszy temu identyfikacja ryzyk związanych z daną działalnością. Należy wziąć pod uwagę zarówno zdarzenia negatywne (największą spodziewaną stratę, która może mieć wpływ na osiągnięcie planowanych dochodów), jak i możliwości (np. nowe produkty, które kreują ryzyko operacyjne). Wynikiem powinno być określenie poziomu ryzyka, które firma jest w stanie zaakceptować: podjąć ryzyko, którym potrafi zarządzać, inne wytransferować lub wyeliminować. W ten sposób powstaje baza do podejmowania decyzji.
2. Polityka w zakresie ryzyk. Strategia dotycząca ryzyka oraz zasady zarządzania ryzykiem operacyjnym stanowią wskazówkę dla służb odpowiedzialnych za to zarządzanie. Polityka zwykle definiuje ryzyko operacyjne, podejście do zarządzania tym ryzykiem, ustala odpowiedzialność oraz koncepcję technologii informatycznej.
3. Proces zarządzania ryzykiem stanowi zestaw ogólnych procedur zarządzania ryzykiem operacyjnym:
· System kontroli - definicja systemu kontroli wewnętrznej oraz wybór alternatywnych sposobów zmniejszania ryzyka, np. ubezpieczenie określonych ryzyk.
· Ocena - program zapewniający skuteczność systemu kontroli oraz określenie poziomu akceptowalnego ryzyka. Na tę ocenę składa się przepływ informacji, program samooceny oraz program audytu.
· Pomiar - zestaw miar finansowych i niefinansowych, czynników ryzyka, wielkości kapitału ekonomicznego do określenia aktualnego poziomu ryzyka i postępowania zapewniającego realizację celów.
· Raportowanie - informacja dla kadry zarządzającej niezbędna dla zapewnienia zasobów i ustalenia priorytetów.
4. Zmniejszanie ryzyka zapewnia zaprojektowany system kontroli wewnętrznej oraz program redukujący zagrożenia, częstotliwość i wystąpienie groźnego zdarzenia lub redukujący skutki wystąpienia niekorzystnych zdarzeń, eliminujący wystąpienie pewnych elementów ryzyka operacyjnego lub też przenoszący (transferujący) je na innych. Przykładami są plan na wypadek awarii czy też katastrofy, bezpieczeństwo systemów informatycznych, przegląd zgodności z regulacjami, zarządzanie projektami, ubezpieczenie.
5. Zarządzanie operacyjne. Odnosi się ono do codziennych czynności, takich jak funkcje związane z bezpośrednią obsługą jak i funkcje zaplecza (front i back-office), technologia informatyczna, zwiększanie wydajności i usprawnianie procesów operacyjnych, raportowanie w celach zarządczych, zarządzanie kadrami. Każdy z tych procesów zawiera wbudowane składniki systemu zarządzania ryzykiem operacyjnym.
6. Kultura. Istnieje pewna równowaga pomiędzy formalną polityką i kulturą firmy. Dla ryzyka operacyjnego istotne są takie aspekty kultury korporacyjnej jak komunikowanie się wewnątrz firmy i z otoczeniem, tzw. przykład z góry, zasady etyczne, jasne przypisanie właściciela ustalonym zadaniom i celom, szkolenia, ustalenie miar dla oceny działalności, dzielenie się wiedzą, sposób podejmowania decyzji, przekazywanie władzy i odpowiedzialności na niższe szczeble.
Dodatkowo w modelu zarządzania firmą opartym o ryzyko należy uwzględnić integrację z ryzykiem kredytowym i rynkowym jak również współdziałanie z głównymi uczestnikami prowadzonej działalności takimi jak klienci firmy, pracownicy, dostawcy, instytucje nadzoru i twórcy prawa oraz akcjonariusze.