RISK BASED INTERNAL AUDIT ΚΑΙ ΝΕΟ ΠΛΑΙΣΙΟ ΕΠΟΠΤΕΙΑΣ ΑΠΟ ΤΗΝ ΤΡΑΠΕΖΑ ΕΛΛΑΔΟΣ (ΠΔΤΕ 2577/2006)
Δομή Παρουσιάσεως ΠΡΩΤΟ ΜΕΡΟΣ Θεσμικό περιβάλλον. Ορισμός κινδύνων και κριτήρια Σύνδεση κινδύνων με το ΣΕΕ Αναγνώριση & Αξιολόγηση Κινδύνων Ανάπτυξη Πλάνου Ελέγχων Εμπλοκή της Διοικήσεως (Ελεγκτικής Επιτροπής, Διοικητικού Συμβουλίου) Διεξαγωγή Ελεγκτικών Έργων ΔΕΥΤΕΡΟ ΜΕΡΟΣ Παράδειγμα ενός πλήρους Εργαστηρίου Κινδύνων
ΘΕΣΜΙΚΟ ΠΕΡΙΒΑΛΛΟΝ ΠΔΤΕ 2577/9.3.2006 Διεθνή Πρότυπα Εσωτερικού Ελέγχου
ΠΔΤΕ 2577/9.3.2006 Κάθε πιστωτικό ίδρυμα διαθέτει καταγεγραμμένη πολιτική και διαδικασίες σχετικά με τον καθορισμό των εκάστοτε αποδεκτών ορίων ανάληψης κινδύνου «ετήσια επαναξιολόγηση των κινδύνων προσδιορίζεται ότι οι υψηλού κινδύνου περιοχές θα ελέγχονται συχνότερα.» «η αυξημένη ανάγκη χρήσης συστημάτων πληροφορικής ενισχύει συγκεκριμένες κατηγορίες κινδύνου. Οι κίνδυνοι αυτοί πρέπει να προσδιορίζονται έγκαιρα» Καθήκοντα Επιτροπής Ελέγχου: «Η αξιολόγηση του έργου της Μονάδας Εσωτερικής Επιθεώρησης με έμφαση στις προτεραιότητες που προσδιορίζονται από μεταβολές του οικονομικού περιβάλλοντος, των συστημάτων και του επιπέδου των κινδύνων»
ΠΔΤΕ 2577/9.3.2006 Υπεύθυνος Διαχείρισης των Κινδύνων Το Διοικητικό Συμβούλιο έχει την ευθύνη της υιοθέτησης κατάλληλων πολιτικών που αποσκοπούν στη διασφάλιση επαρκούς και αποτελεσματικού ΣΕΕ. της ύπαρξης κατάλληλης πολιτικής για τη διαχείριση κινδύνων με καθορισμό των εκάστοτε αποδεκτών ανωτάτων ορίων ανάληψης κινδύνου
ΠΔΤΕ 2577/9.3.2006 Ρόλος Εσωτερικού Ελέγχου Η έννοια της διασφάλισης που ο Εσωτερικός Έλεγχος θα πρέπει να παρέχει εστιάζεται στα εξής: Οι επιχειρηματικοί κίνδυνοι αναγνωρίζονται, αξιολογούνται και διαχειρίζονται σε συνεχή βάση με μια συστηματική προσέγγιση. Το Σ.Ε.Ε. και οι μηχανισμοί επιβεβαίωσης της λειτουργίας του (monitoring) είναι κατάλληλοι, επαρκείς και αποτελεσματικοί, επιτυγχάνοντας τη διαχείριση των κινδύνων σε αποδεκτά επίπεδα, όπως αυτά έχουν καθοριστεί από το Διοικητικό Συμβούλιο.
ΔΙΕΘΝΗ ΠΡΟΤΥΠΑ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ Ορισμός Εσωτερικού Ελέγχου - ΙΙΑ: «Ο Εσωτερικός Έλεγχος είναι μία ανεξάρτητη, αντικειμενική, ασφαλής και συμβουλευτική δραστηριότητα σχεδιασμένη να προσθέτει αξία και να βελτιώνει τις λειτουργίες του οργανισμού. Βοηθά ένα οργανισμό να επιτύχει τους αντικειμενικούς σκοπούς του προσφέροντας μία συστηματική επιστημονική προσέγγιση για την αποτίμηση και βελτίωση της αποτελεσματικότητας της διαχείρισης κινδύνων, των εσωτερικών ελέγχων και των διαδικασιών διοίκησης.» Ο Έλεγχος Βάσει Κινδύνων δεν αποτελεί άλλη μεθοδολογία αλλά είναι η κατάλληλη για τη συμμόρφωση με τις απαιτήσεις των εποπτικών αρχών κι επομένως ενισχύει το ρόλο του Εσωτερικού Ελεγκτή. Συνδέει τη λειτουργία του Εσωτερικού Ελέγχου με το σύστημα διαχείρισης κινδύνων που διατρέχει όλη την επιχείρηση. Στόχος: Η παροχή διασφάλισης προς το Διοικητικό Συμβούλιο ότι όλοι οι κίνδυνοι διαχειρίζονται αποτελεσματικά σε αποδεκτά (από το Διοικητικό Συμβούλιο) επίπεδα.
ΔΙΕΘΝΗ ΠΡΟΤΥΠΑ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ 2010 Planning The chief audit executive should establish risk-based plans to determine the priorities of the internal audit activity, consistent with the organization's goals 2010.A1 The internal audit activity's plan of engagements should be based on a risk assessment, undertaken at least annually. The input of senior management and the board should be considered in this process.
ΚΙΝΔΥΝΟΣ (Risk) Κίνδυνος είναι κάθε γεγονός που θα μπορούσε να εμποδίσει έναν οργανισμόναεπιτύχειτοσκοπότου
ΚΙΝΔΥΝΟΣ (Risk) Προκειμένου ένα γεγονός να θεωρηθεί ότι είναι κίνδυνος δύο είναι τα χαρακτηριστικά στοιχεία που πρέπει να έχει: Αβεβαιότητα (uncertainty) Έκθεση στον κίνδυνο (Exposure) Εάν κάποιο από αυτά δεν υπάρχει δεν είναι κίνδυνος, αλλά οτιδήποτε άλλο (κισμέτ, πεπρωμένο κ.λπ.)
ΚΙΝΔΥΝΟΣ (Risk) Η έννοια του Κινδύνου είναι θεμελιώδης πληροφορία. Πάνω σε αυτήν βασίζονται όλες οι εργασίες στον Έλεγχο Βάσει Κινδύνων Υποδηλώνει την πιθανότητα πραγματοποίησης μιας απειλής (threat) Έχει ως αποτέλεσμα οικονομική ζημιά (άμεσηήέμμεση) «Μπορείς να διαχειριστείς αυτό που δεν γνωρίζεις (και δεν έχεις αναγνωρίσει); );» Οι γενικές κατηγορίες κινδύνων (π.χ. Κίνδυνος Απάτης) δεν επαρκούν. Καταγραφή ειδικότερων εκφάνσεων κινδύνων (Risk Definitions) που απορρέουν από τις γενικές κατηγορίες. Χρήση βοηθητικού Πλαισίου Αναγνώρισης Κινδύνων. Εκτίμηση σε 2 καταστάσεις και 2 διαστάσεις Εγγενής (Inherent) / Υπολειπόμενος (Residual) Συχνότητα Εμφάνισης(Likelihood of Occurrence) / Οικονομικός Αντίκτυπος ανά Έκφανση Κινδύνου (Financial Impact per Risk Event)
ΚΙΝΔΥΝΟΣ (Risk) Καταστάσεις Εγγενής Κίνδυνος Δεν λαμβάνει υπόψη τα τυχόν υπάρχοντα μέτρα απομείωσής του. Το χειρότερο σενάριο κινδύνου που θα μπορούσε να συμβεί. Υπολειπόμενος Κίνδυνος Λαμβάνει υπόψη την επάρκεια και την αποτελεσματικότητα των υπαρχόντων μέτρων διαχείρισής του. Η διαφορά των 2 καταστάσεων δίνει την Αποτελεσματικότητα των Μέσων Διαχείρισης του Κινδύνου. Παράδειγμα: Εγγενής Κίνδυνος = Υπολειπόμενος Απουσία μέσων διαχείρισης του κινδύνου / Πλήρως ανεπαρκή ή αναποτελεσματικά μέσα διαχείρισης (Αποτελεσματικότητα = 0)
ΚΙΝΔΥΝΟΣ Διαστάσεις Πλαίσιο Αξιολόγησης Κινδύνων 1. Συχνότητα Εμφάνισης 2. Οικονομικός Αντίκτυπος ανά Έκφανση Κινδύνου Χρήση ομοιόμορφης, 5-βάθμιας κλίμακας για την κάθε διάσταση Ιδιαίτερη περιγραφή για κάθε βαθμίδα Συνδυάζοντας τις δύο διαστάσεις, προκύπτει o Συνολικός Αντίκτυπος του Κινδύνου (Total Risk) Συσχέτιση της κάθε βαθμίδας με αριθμούς Συγκρισιμότητα και Δυνατότητα τέλεσης ποικιλίας υπολογισμών επί των αξιολογήσεων ΣΥΧΝΟΤΗΤΑ ΕΜΦΑΝΙΣΗΣ (Ορίζοντας 3 ετών) ΟΙΚΟΝΟΜΙΚΟΣ ΑΝΤΙΚΤΥΠΟΣ ΑΝΑ ΕΚΦΑΝΣΗ ΚΙΝΔΥΝΟΥ ΚΑΤΗΓΟΡΙΑ ΠΕΡΙΓΡΑΦΗ ΚΑΤΗΓΟΡΙΑ ΠΕΡΙΓΡΑΦΗ (ποσά σε χιλ. Ευρώ) 1 Απίθανη Έως μια φορά 1 Ελάχιστος < 10 2 Σπάνια 2-3 φορές 2 Μικρός 10-50 3 Πιθανή 4-12 φορές 3 Μέτριος 50-250 4 Συχνή 13-30 φορές 4 Υψηλός 250-1.250 5 Σχεδόν Βέβαιη Πάνω από 30 φορές 5 Πολύ Υψηλός > 1.250
ΣΥΝΔΕΣΗ ΚΙΝΔΥΝΩΝ ΜΕ Σ.Ε.Ε. Διοικητικό Συμβούλιο ΕΓΓΕΝΕΙΣ ΚΙΝΔΥΝΟΙ (Inherent Risks) Σ.Ε.Ε. -Μηχανισμοί Ελέγχου (Controls) -Μέσα Διασφάλισης της λειτουργίας των Μηχανισμών Ελέγχου (Monitoring) Εσωτερικός Έλεγχος: «Αξιολόγηση του Σ..Ε..Ε..» ΥΠΟΛΕΙΠΟΜΕΝΟΙ ΚΙΝΔΥΝΟΙ (Residual Risks)
ΑΝΑΓΝΩΡΙΣΗ & ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ Στόχος: Η αναγνώριση, καταγραφή & επιβεβαίωση των σημαντικών κινδύνων από τα Στελέχη των Μονάδων. Αποτέλεσμα: Χάρτης Κινδύνων (Risk Register) Μέθοδοι συλλογής στοιχείων: Εργαστήρια Αναγνώρισης & Αξιολόγησης Κινδύνων (Risk Identification & Assessment Workshops) Συνεντεύξεις Ερωτηματολόγια Εργαλεία Πλαίσιο Αναγνώρισης Κινδύνων (Risk Identification Framework) Πλαίσιο Αξιολόγησης Κινδύνων (Risk Assessment Framework)
ΠΛΑΙΣΙΟ ΑΝΑΓΝΩΡΙΣΗΣ ΚΙΝΔΥΝΩΝ ΚΑΤΗΓΟΡΙΕΣ ΚΙΝΔΥΝΩΝ ΛΕΙΤΟΥΡΓΙΕΣ Φυσικές Καταστροφές IT Συμμόρφωση με το εποπτικό πλαίσιο Απάτη Ανάπτυξη Προϊόντων Άνοιγμα Λογαριασμών Αξιολόγηση & Έγκριση Αιτημάτων Πιστοδοτήσεων Διαχείριση Εντολών Εκφάνσεις Κινδύνων
Πληροφορίες που Συλλέγονται Για κάθε Κίνδυνο (Risk Definition) που αναγνωρίζεται καταγράφονται οι εξής πληροφορίες: Βασική Αιτία Κινδύνου (Root Cause) Υπεύθυνος Διαχείρισης Κινδύνου (Risk Owner) Εγγενής Κίνδυνος (Inherent Risk) Αξιολόγηση σε 2 διαστάσεις Μηχανισμοί Μείωσης του Κινδύνου (Risk Mitigation) Μέσα Επιβεβαίωσης των Μηχανισμών Μείωσης του Κινδύνου (Monitoring). Υπολειπόμενος Κίνδυνος (Residual Risk) Αξιολόγηση σε 2 διαστάσεις Αποτελεσματικότητα των Μέσων Διαχείρισης των Κινδύνων (Control Effectiveness)
Βασική Αιτία Κινδύνου (Root Cause) Η κύρια συνθήκη που επιτρέπει την πραγματοποίηση του κινδύνου Είναι η απάντηση στα εξής ερωτήματα: «Γιατί;» «Τι μπορεί να επιτρέψει στον κίνδυνο να υλοποιηθεί;»
Υπεύθυνος Διαχείρισης Κινδύνου (Risk Owner) Το Στέλεχος / Εκτελεστικό Όργανο το οποίο: είναι υπεύθυνο για την εκπλήρωση του στόχου ή τη διεκπεραίωση της εργασίας την οποία επηρεάζει ο κίνδυνος. μπορεί να εκκινήσει τη διαδικασία προσθήκης / βελτίωσης μέσων διαχείρισης του κινδύνου (ακόμη και αν δεν έχει την εξουσιοδότηση για την τελική τους έγκριση). Παρέχει πληροφόρηση για τους ειδικότερους κινδύνους που διαχειρίζεται Τα Εκτελεστικά Όργανα έχουν την ευθύνη της συνεχούς επιβεβαίωσης (continuous oversight) της καλής λειτουργίας των μέσων διαχείρισης των κινδύνων. Κάθε στέλεχος σε μια επιχείρηση είναι διαχειριστής (μικρότερων ή μεγαλύτερων) κινδύνων
Μηχανισμοί Μείωσης των Κινδύνων (Risk Mitigation) Τα μέτρα που λαμβάνονται από τον Υπεύθυνο Διαχείρισης του Κινδύνου για τη μείωση : της συχνότητας εμφάνισης του κινδύνου (μηχανισμοί ελέγχου) Των συνεπειών από την υλοποίησή του Στις περισσότερες περιπτώσεις, επιτυγχάνεται η μείωση της συχνότητας εμφάνισης του κινδύνου Εναλλακτικές μέθοδοι αντιμετώπισης κινδύνων: Αποδοχή Μεταβίβαση (π.χ. ασφάλιση) Εξάλειψη (π.χ. εγκατάλειψη ενός προϊόντος) Σκοπός δεν πρέπει να είναι η εξάλειψη όλων των κινδύνων, αλλά η διαχείρισή τους σε αποδεκτά, καθορισμένα επίπεδα (no risk, no reward).
Μέσα Επιβεβαίωσης των Μηχανισμών Μείωσης (Monitoring) Τα μέσα που έχει θεσπίσει ο Υπεύθυνος Διαχείρισης του Κινδύνου για να διασφαλίσει ότι οι μηχανισμοί μείωσης των κινδύνων λειτουργούν αποτελεσματικά (monitoring element). Οι Υπεύθυνοι Διαχείρισης Κινδύνων δεν θα πρέπει να βασίζονται στον Εσωτερικό Έλεγχο για να τους επιβεβαιώσει την αποτελεσματική λειτουργία τους. Η ελεγκτική εργασία θα πρέπει να δίνει μεγαλύτερο βάρος στην αξιολόγησή τους.
Χάρτης Κινδύνων (Risk Register) + Επιβεβαίωση των κινδύνων από τους συμμετέχοντες + Ανασκόπηση από τον Εσωτερικό Έλεγχο + (Ανασκόπηση και επιβεβαίωση από τη Διοίκηση της θυγατρικήςμονάδας) + Παρουσίαση στη Διοίκηση του Ομίλου ΟΛΟΚΛΗΡΩΜΕΝΟΣ ΧΑΡΤΗΣ ΚΙΝΔΥΝΩΝ Καθορισμός Επιπέδου Ανεκτικότητας Κινδύνου (ανά Μονάδα ή συνολικά)
Ανεκτικότητα Κινδύνων (Risk Tolerance) Το επίπεδο, κάτω από το οποίο οι κίνδυνοι θεωρούνται ότι διαχειρίζονται αποτελεσματικά Προσδιορίζεται με βάση την ίδια κλίμακα που χρησιμοποιείται για την αξιολόγηση των κινδύνων. Καθορίζεται από το Διοικητικό Συμβούλιο Μπορεί να διαφοροποιείται ανά χώρα / Μονάδα Απαραίτητη προϋπόθεση για τη δημιουργία του περιοδικού προγραμματισμού ελέγχων (audit plan) Ο Εσωτερικός Έλεγχος οφείλει να ενημερώνει άμεσα το Διοικητικό Συμβούλιο για τις περιπτώσεις κινδύνων που υπερβαίνουν τα αποδεκτά επίπεδα.
Ανεκτικότητα Κινδύνων (Risk Tolerance) ΟΙΚ. ΑΝΤΙΚΤΥΠΟΣ Αποτελεσματικά Μέτρα Διαχείρισης Κινδύνου Εγγενής Κίνδυνος Υπολειπόμενος Κίνδυνος Μη Αποτελεσματικά Μέτρα Διαχείρισης Κινδύνου ΑΝΕΚΤΙΚΟΤΗΤΑ ΚΙΝΔΥΝΟΥ ΣΥΧΝΟΤΗΤΑ ΕΜΦΑΝΙΣΗΣ
ΑΝΑΠΤΥΞΗ ΠΛΑΝΟΥ ΕΛΕΓΧΩΝ Διαχωρισμός των κινδύνων που δεν απαιτείται να ελεγχθούν Κίνδυνοι με Εγγενές επίπεδο σημαντικότητας (Inherent Risk) χαμηλότερο από την Ανεκτικότητα Κινδύνων (Risk Tolerance) Κίνδυνοι για τους οποίους παρέχεται διασφάλιση από άλλους Κίνδυνοι που η Διοίκηση αποδέχεται Κατάταξη κινδύνων με βάση τη σημαντικότητά τους & τον Υπεύθυνο Διαχείρισης (Risk Owner) Δυνατότητα χρήσεως συνδυασμού πρόσθετων κριτηρίων Ενσωμάτωση σε δευτερεύουσα, παράλληλη βαθμολογία Ομαδοποίηση κινδύνων σε Ελεγκτικά Έργα Ενσωμάτωση ειδικών ελεγκτικών έργων / αιτημάτων της Διοίκησης Επιλογή ελεγκτικών έργων σύμφωνα με τους διαθέσιμους ελεγκτικούς πόρους Αριθμητική Επάρκεια Καταλληλότητα Ανάθεση ελεγκτικών έργων σε τρίτους
ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΚΤΙΚΩΝ ΕΡΓΩΝ Η ελεγκτική εργασία, όπως ορίζεται από τα Διεθνή Πρότυπα Εσωτερικού Ελέγχου, δεν διαφοροποιείται Ο Εσωτερικός Ελεγκτής καλείται: να αναγνωρίσει & καταγράψει ειδικότερους, πιο αναλυτικούς κινδύνους Να αναγνωρίσει & καταγράψει τα τυχόν υπάρχοντα μέσα διαχείρισης των κινδύνων (controls & monitoring) Να αξιολογήσει την επάρκεια και την αποτελεσματικότητά τους Ως αποτέλεσμα του παραπάνω, να δώσει την δική του εκτίμηση για το επίπεδο του υπολειπόμενου κινδύνου
ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΚΤΙΚΩΝ ΕΡΓΩΝ Αξιολόγηση Μηχανισμών Μείωσης Κινδύνων & Μέσων Επιβεβαίωσης αυτών Για κάθε κίνδυνο που εξετάζεται στα πλαίσια ενός ελέγχου, ο Εσωτερικός Ελεγκτής καλείται να αξιολογήσει ξεχωριστά: Την επάρκεια των μηχανισμών μείωσης του κινδύνου & των μέσων επιβεβαίωσης αυτών Την αποτελεσματικότητα των μηχανισμών μείωσης του κινδύνου Την αποτελεσματικότητα των μέσων επιβεβαίωσης αυτών
ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΚΤΙΚΩΝ ΕΡΓΩΝ Αξιολόγηση Μηχανισμών Μείωσης Κινδύνων & Μέσων Επιβεβαίωσης αυτών (1) Επίπεδο Εγγενούς Κινδύνου (2) Επάρκεια ΜΜΚ & ΜΕ 0% 25% 50% 75% 100% (3) Αποτελεσματικότητα ΜΜΚ 50% 75% 100% (4) Αποτελεσματικότητα ΜΕ 50% 75% 100% (5) ΑΞΙΟΛΟΓΗΣΗ ΕΛΕΓΚΤΗ «Αξιολόγηση Ελεγκτή» (5) = (1) x (2) x (3) x (4)
ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΚΤΙΚΩΝ ΕΡΓΩΝ Εκτίμηση Επιπέδου Υπολειπόμενου Κινδύνου Προκύπτει από το συνδυασμό του Εγγενούς κινδύνου και της αξιολόγησης των μηχανισμών μείωσης των κινδύνων και μέσων επιβεβαίωσης αυτών από τον Εσωτερικό Ελεγκτή Υπολειπόμενος Κίνδυνος Σύμφωνα με τον Εσωτερικό Έλεγχο Εγγενής = - Κίνδυνος Εκτίμηση Εσωτ. Ελέγχου για την επάρκεια & αποτελεσματικότητα των μέσων διαχείρισης του κινδύνου Έχει εκτιμηθεί κατά την Αναγνώριση & Αξιολόγηση των κινδύνων από τον Ελεγχόμενο Εκτιμάται από τον Εσωτερικό Έλεγχο
ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΚΤΙΚΩΝ ΕΡΓΩΝ Γενική εκτίμηση Αποτελεσματικότητας ΣΕΕ και Επιπέδου Κινδύνου (Overall Assessment) Σταθμίζονται οι εξής παράγοντες: Το πλήθος των κινδύνων που εξετάστηκε στα πλαίσια του ελέγχου Η αξιολόγηση του Εσωτερικού Ελέγχου στην Υπολειπόμενη Κατάστασή τους Εκτίμηση Υπολειπόμενου Κινδύνου (Auditor s Residual Risk Score) 1 5 6 9 10 και άνω Ειδικό Βάρος 1 2 3
ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΚΤΙΚΩΝ ΕΡΓΩΝ Γενική εκτίμηση Αποτελεσματικότητας ΣΕΕ και Επιπέδου Κινδύνου (Overall Assessment) Η Γενική Εκτίμηση του Εσωτερικού Ελεγκτή αναφέρεται ταυτόχρονα Στην εκτιμώμενη Επάρκεια του ΣΕΕ Στο μέγεθος του Υπολειπόμενου Κινδύνου Συνολική Βαθμολογία 1 6 7 14 15 και άνω Επάρκεια ΣΕΕ Ικανοποιητική Οριακή Μη ικανοποιητική Υπολειπόμενος Κίνδυνος Χαμηλός Μέτριος Υψηλός / Μη αποδεκτός
ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΚΤΙΚΩΝ ΕΡΓΩΝ Οφέλη Οι εκτιμήσεις του εσωτερικού ελέγχου ενσωματώνονται στο Χάρτη Κινδύνων Τήρηση επικαιροποιημένου, δυναμικού Χάρτη Κινδύνων Συγκρισιμότητα Κινδύνων Δυνατότητα αποτελεσματικής παρακολούθησης της υλοποίησης διορθωτικών ενεργειών Αποτελεσματική πληροφόρηση προς την Επιτροπή Ελέγχου και τη Διοίκηση για το προφίλ κινδύνων της εταιρίας