RISK BASED INTERNAL AUDIT Ένας καλύτερος τρόπος ελέγχου Από τον Ανδρέα Γ. Κουτούπη MIIA, PIIA Manager PricewaterhouseCoopers Internal Audit Services
2 ΟΡΙΣΜΟΣ ΕΠΙΧΕΙΡΗΜΑΤΙΚΟΥ ΚΙΝΔΥΝΟΥ Η απειλή ότι ένα γεγονός θα επηρεάσει αρνητικά την ικανότητα ενός οργανισμού να επιτύχει τους αντικειμενικούς επιχειρηματικούς στόχους του και να εκτελέσει τη στρατηγική του επιτυχώς. The Economist
3 ΠΡΟΣΔΙΟΡΙΣΜΟΣ ΕΠΙΧΕΙΡΗΜΑΤΙΚΟΥ ΚΙΝΔΥΝΟΥ Ο Επιχειρηματικός Κίνδυνος εκδηλώνεται τόσο από την πιθανότητα ότι δεν θα συμβεί κάτι καλό όσο και από την απειλή ότι κάτι κακό θα συμβεί.
4 ΑΝΤΙΛΗΨΗ ΚΙΝΔΥΝΟΥ Επισφάλειες Ευκαιρίες Εσόδων Οικονομικές Υπηρεσίες Marketing
5 ΤΟ ΜΟΝΤΕΛΟ COSO Control Objectives Components of Control Org Structure
6 The Five COSO Components of Control Control environment - Tone at the top, Ethics, People quality, Locations Risk assessment- Strategy setting, Objectives setting, Risk Assessment, Change management Control activities - Policies & procedures, Management and supervision activities, Process controls design and execution Information & Communication - Operational, financial, regulatory reporting, Quality, timeliness of data flows, Communication channels. Monitoring - External and internal audit, Other compliance & regulatory functions.
7 ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ Αξιολόγηση Κινδύνων Προϋπόθεση της αξιολόγησης κινδύνων αποτελεί η αναγνώριση των σκοπών και στόχων του οργανισμού με σύνδεση με τα διαφορετικά επίπεδα του οργανισμού. Η αναγνώριση και η αξιολόγηση του αναλαμβανόμενου κινδύνου για επίτευξη των σκοπών και στόχων. Διαμόρφωση της βάσης για καθορισμό του τρόπου διαχείρισης των κινδύνων.
8 ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ: ΓΙΑΤΙ; Απαιτείται μία επιστημονική μέθοδος για εστίαση στην προσπάθεια του εσωτερικού ελέγχου. Γιατί να μην ρωτάμε απλά τη διοίκηση αναφορικά με τις υποθέσεις της; Η διοίκηση συνήθως εμφανίζεται προκατειλημμένη ως προς τις υποθέσεις που την αφορούν και συχνά αγνοεί προφανή και έκδηλα γεγονότα. Λειτουργικά θέματα συχνά αγνοούνται εξαιτίας της αντίληψης της διοίκησης αναφορικά με το αντικείμενο που ΘΑ ΠΡΕΠΕΙ να ασχολείται ο εσωτερικός έλεγχος.
9 ΠΡΟΤΥΠΑ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ Αναφέρεται η αξιολόγηση των κινδύνων ως θεμελιώδες μέρος της διαδικασίας που αφορά τον προγραμματισμό του ελέγχου.
10 ΣΥΜΒΑΤΙΚΟΣ ΕΛΕΓΧΟΣ Εστίαση στο παρελθόν Αποτελέσματα ελέγχου εκφρασμένα σε ευρήματα και προτεινόμενες ενέργειες. Καθορισμός αντικειμενικών στόχων οργανισμού Εκτιμώμενος Κίνδυνος Προσδιορισμός απαιτούμενων σημείων ελέγχου
11 ΕΛΕΓΧΟΣ ΒΑΣΙΣΜΕΝΟΣ ΣΤΟΝ ΚΙΝΔΥΝΟ Εστίαση στο μέλλον. Καθορισμός αντικειμενικών στόχων οργανισμού Εκτιμώμενος Κίνδυνος Αναγνώριση Μέτρηση Προτεραιότητες Διαχείριση Κινδύνου Έλεγχος Αποφυγή Καταμερισμός
ΕΛΕΓΧΟΣ ΒΑΣΙΣΜΕΝΟΣ ΣΤΟΝ ΚΙΝΔΥΝΟ vs. ΣΥΜΒΑΤΙΚΟ ΕΛΕΓΧΟ Συμβατικός Εστίαση ελέγχου Εστίαση σε τεστ Εστίαση αναφοράς Αποτέλεσμα ελέγχου Σύστημα εσωτερικού ελέγχου Εργασίες ελέγχου Επάρκεια και αποτελεσματικότητα εσωτερικού ελέγχου Νέες ή βελτιωμένες δικλείδες ασφαλείας Βασισμένος στον Κίνδυνο Επιχειρηματικός κίνδυνος 12 Όλες οι δραστηριότητες που χαρακτηρίζονται από κινδύνους Επάρκεια και αποτελεσματικότητα των ενεργειών αντιμετώπισης των κινδύνων Περιορισμός των κινδύνων
13 ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ Αναγνώριση Εταιρικών Στόχων Κρίσιμοι Παράγοντες Επιτυχίας (CSF) Αναγνώριση Βασικών Επιχειρησιακών Μονάδων Αναγνώριση Επιχειρησιακών Λειτουργιών Για Όλες Τις Επιχειρησιακές Μονάδες Αναγνώριση Βασικών Κινδύνων Που Επηρεάζουν Κάθε Επιχειρησιακή Διαδικασία Σύνοψη Αποτελεσμάτων Για Κάθε Επιχειρησιακή Μονάδα
14 ΒΑΣΙΚΗ ΠΡΟΣΕΓΓΙΣΗ Απαντήστε στις ερωτήσεις που ακολουθούν σχετικά με κάθε βήμα: Τι είναι κίνδυνος Τι μπορεί να «πάει λάθος» Τι είναι η διαχείριση κινδύνων, συμπεριλαμβανομένων των δικλείδων ασφαλείας, που περιορίζουν τον κίνδυνο Ποια είναι η καλύτερη τεκμηρίωση με βάση την οποία οι τεχνικές περιορισμού των κινδύνων λειτουργούν όπως ακριβώς σχεδιάστηκαν Τι διαδικασίες δοκιμών διενεργούνται για τεκμηρίωση
15 ΒΑΣΙΚΗ ΠΡΟΣΕΓΓΙΣΗ (συνέχεια) Τα πιο κρίσιμα βήματα για την επίτευξη των αντικειμενικών στόχων της εταιρείας και οι πιο σημαντικοί κίνδυνοι εξετάζονται με εκτεταμένο δείγμα σε σχέση με βήματα ή κινδύνους χαμηλότερης διαβάθμισης. Ο ελεγκτής είναι δυνατόν να παραλείψει βήματα στη διαδικασία, εάν επιθυμεί, τα οποία βέβαια δεν είναι τόσο σημαντικά ή έχουν περιορισμένο κίνδυνο για την εταιρεία.
16 ΕΙΔΗ ΚΙΝΔΥΝΩΝ (RISK EXPOSURES) Οικονομικοί (Financial Risks) Λειτουργικοί (Operational Risks) Κανονιστικοί Κίνδυνοι Πληροφόρησης Ανθρώπινων Πόροι
17 ΠΑΡΑΜΕΤΡΟΙ ΚΙΝΔΥΝΟΥ Ποιότητα του συστήματος εσωτερικού ελέγχου Επάρκεια διοίκησης Ακεραιότητα διοίκησης Μέγεθος της μονάδας Πρόσφατες αλλαγές στα λογιστικά συστήματα Πολυπλοκότητα των λειτουργιών
18 ΠΑΡΑΜΕΤΡΟΙ ΚΙΝΔΥΝΟΥ (συνέχεια) Πρόσφατες αλλαγές σε κρίσιμο προσωπικό Οικονομική κατάσταση της μονάδας Ραγδαία ανάπτυξη Βαθμός της επεξεργασίας δεδομένων Χρονικό διάστημα από τον τελευταίο έλεγχο Πίεση διοίκησης για πραγματοποίηση των στόχων
19 ΠΑΡΑΜΕΤΡΟΙ ΚΙΝΔΥΝΟΥ (συνέχεια) Έκταση των κρατικών ρυθμίσεων Ηθική των εργαζομένων Πλάνο ελέγχου Απόσταση της μονάδας από τα κεντρικά γραφεία.
20 ΜΕΘΟΔΟΛΟΓΙΑ ΑΞΙΟΛΟΓΗΣΗΣ ΚΙΝΔΥΝΩΝ Φάση 1 Μελέτη Οργανωτικής Διάρθρωσης Εταιρείας Φάση 2 Ανάλυση Οργανωτικής Δομής Καθορισμός Βαρύτητας Επιχειρηματικής Μονάδας Φάση 3 Εκτίμηση Κινδύνων Επιχειρηματικής Μονάδας - Βαθμολόγηση Ελεγχόμενων Περιοχών Φάση 4 Συνολική Βαθμολογία Επιχειρηματικής Μονάδας Φάση 5 Προϋπολογιζόμενες Ώρες Ελέγχου Φάση 6 Συνολικές Προϋπολογιζόμενες Ώρες Ελέγχου vs. Συνολική Βαθμολογία Επιχειρηματικής Μονάδας
21 ΦΑΣΗ 1 ΜΕΛΕΤΗ ΟΡΓΑΝΩΤΙΚΗΣ ΔΙΑΡΘΡΩΣΗΣ Αναγνώριση χαρτογράφηση των παρακάτω: Επιχειρησιακές Μονάδες (Business Units - BU) Ελεγχόμενες περιοχές (Auditable Areas - AA)
22 ΦΑΣΗ 2 ΑΝΑΛΥΣΗ ΟΡΓΑΝΩΤΙΚΗΣ ΔΟΜΗΣ ΚΑΘΟΡΙΣΜΟΣ ΒΑΡΥΤΗΤΑΣ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗΣ ΜΟΝΑΔΑΣ Αναγνώριση των στόχων Εκτίμηση (με κατανομή σχετικής αριθμητικής βαθμολογίας) της ΣΥΝΑΦΕΙΑΣ των επιχειρησιακών μονάδων (BU) με τους επιχειρηματικούς στόχους της ΕΠΙΔΡΑΣΗΣ που θα έχει ο κάθε στόχος ο οποίος δεν επιτυγχάνεται από τις επιχειρηματικές μονάδες (BU) Αποτέλεσμα: ΣΥΝΑΦΕΙΑ x ΕΠΙΔΡΑΣΗ = BU ΒΑΡΥΤΗΤΑ (σχετική σημασία μεταξύ των επιχειρηματικών μονάδων - BU)
23 ΦΑΣΗ 3 ΕΚΤΙΜΗΣΗ ΚΙΝΔΥΝΩΝ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗΣ ΜΟΝΑΔΑΣ - ΒΑΘΜΟΛΟΓΗΣΗ ΕΛΕΓΧΟΜ. ΠΕΡΙΟΧΩΝ Εκτίμηση της σπουδαιότητας (σημασίας) κάθε Ελεγχόμενης Περιοχής (AA) στην επιχειρησιακή μονάδα (BU). Αναγνώριση των κινδύνων σε σχέση με τις ελεγχόμενες περιοχές (AA). Εκτίμηση της ενδεχόμενης επίδρασης κάθε κινδύνου στην ελεγχόμενη περιοχή. Αποτέλεσμα: ΣΠΟΥΔΑΙΟΤΗΤΑ x ΚΙΝΔΥΝΟΣ = ΒΑΘΜΟΛΟΓΙΑ [η σχετική σημασία της ελεγχόμενης περιοχής (AA) στην επιχειρησιακή μονάδα (BU)] Βαθμολογία Ελεγχόμενης Περιοχής = μέσος όρος των ΒΑΘΜΟΛΟΓΙΩΝ
ΦΑΣΗ 4 - ΣΥΝΟΛΙΚΗ ΒΑΘΜΟΛΟΓΙΑ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗΣ ΜΟΝΑΔΑΣ (BU) 24 Βαθμολογία Ελεγχόμενης Περιοχής (σχετική σημασία της ελεγχόμενης περιοχής στην επιχειρηματική μονάδα) x Βαρύτητα Επιχειρησιακής Μονάδας (σχετική σημασία της κάθε επιχειρηματικής μονάδας στον οργανισμό) = ΣΥΝΟΛΙΚΗ ΒΑΘΜΟΛΟΓΙΑ
25 ΦΑΣΗ 4 - ΣΥΝΟΛΙΚΗ ΒΑΘΜΟΛΟΓΙΑ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗΣ ΜΟΝΑΔΑΣ (BU) (συνέχεια) ΤΙ σημαίνει? Ορίζει το σχετικό με την επιχειρησιακή μονάδα κίνδυνο σε σύγκριση με τους κινδύνους των άλλων επιχειρησιακών μονάδων. Ορίζει την προφανή ένδειξη για την κατανομή των ανθρώπινων πόρων της μονάδας εσωτερικού ελέγχου υποθέτοντας ότι είναι εντοπισμένοι όλοι οι κίνδυνοι.
26 ΦΑΣΗ 5 ΠΡΟΫΠΟΛΟΓΙΖΟΜΕΝΕΣ ΩΡΕΣ ΕΛΕΓΧΟΥ Ετοιμασία πλάνου ελέγχου, βασισμένη σε: Αποτελέσματα της ανάλυσης κινδύνων Απαιτήσεις της ανώτερης διοίκησης Φύση του testing (δειγματοληψίας) Έκταση του testing ενσωματωμένο σε άλλη ελεγχόμενη περιοχή Απαιτούμενο χρόνο και επίπεδο ικανοτήτων Επιμερισμός των προϋπολογιζόμενων ωρών στις ελεγχόμενες περιοχές. Σύγκριση των προϋπολογιζόμενων ωρών με τη Συνολική Βαθμολόγηση.
ΦΑΣΗ 6 ΣΥΝΟΛΙΚΑ ΠΡΟΫΠ/ΜΕΝΕΣ ΩΡΕΣ ΕΛΕΓΧΟΥ vs. ΣΥΝΟΛΙΚΗ ΒΑΘΜΟΛΟΓΙΑ ΕΠΙΧΕΙΡ/ΚΗΣ ΜΟΝΑΔΑΣ Η σύγκριση παρέχει μία ένδειξη ως προς το εάν οι διαθέσιμες πηγές ελέγχου κατανέμονται επαρκώς στις περιοχές ελέγχου. Επιτρέπει στη διοίκηση να επισκοπεί τον επιμερισμό των πηγών (ανθρώπινου δυναμικού και άλλων μέσων) στους κινδύνους. 27
28 ΔΙΑΔΙΚΑΣΙΑ ΣΥΛΛΟΓΗΣ ΠΗΓΩΝ Εκθέσεις ελέγχου Επιχειρησιακά οργανογράμματα Οικονομικές εκθέσεις και καταστάσεις Εκθέσεις των εξωτερικών ελεγκτών προς τη διοίκηση Διενέργεια συνεντεύξεων Εγχειρίδια εταιρικών διαδικασιών Πρακτικά συναντήσεων και συσκέψεων Διαγράμματα και τεκμηρίωση των συστημάτων ιεραρχίας
29 ΔΙΑΔΙΚΑΣΙΑ ΣΥΛΛΟΓΗΣ ΔΕΔΟΜΕΝΩΝ Ελεγχόμενες μονάδες και κρίσιμα σημεία ελέγχου. Εργασίες / λειτουργίες / δραστηριότητες που διεκπεραιώνονται από κάθε μονάδα. Ποσοτικά δεδομένα αναφορικά με την ελεγχόμενη μονάδα, π.χ. αριθμός συναλλαγών, μέγεθος συναλλαγών. Ποιοτικά δεδομένα, π.χ. αξιολόγηση διευθυντή ελεγχόμενης μονάδας. Άλλη αναγκαία πληροφόρηση με συμπερίληψη γεγονότων πριν τον έλεγχο, τέτοια όπως ημερομηνία και αποτελέσματα του τελευταίου ελέγχου, κλπ.
30 ΜΕΘΟΔΟΙ ΔΙΕΝΕΡΓΕΙΑΣ ΑΞΙΟΛΟΓΗΣΗΣ ΚΙΝΔΥΝΩΝ Workshops Brainstorming Συνέντευξη με ανώτερα και ανώτατα διευθυντικά στελέχη Χρήση και ανάλυση ερωτηματολογίων ΠΡΟΑΠΑΙΤΟΥΜΕΝΑ: Χρήση κατάλληλων μηχανογραφικών εφαρμογών Ηλεκτρονικό σύστημα υποστήριξης συναντήσεων Προηγμένη διαδικασία διευκόλυνσης workshops Διαδικασία Workshop - Brainstorming: Αναγνώριση των ελεγκτικών πεδίων Προτεραιότητες στο πλάνο δράσης Αναγνώριση των σχετικών σημείων ελέγχου
31 ΜΕΘΟΔΟΙ ΔΙΕΝΕΡΓΕΙΑΣ ΑΞΙΟΛΟΓΗΣΗΣ ΚΙΝΔΥΝΩΝ (συνέχεια) Μεγιστοποίηση της αξίας των workshops: Επιλογή συμμετεχόντων Εξοικείωση με τη διαδικασία Κατανόηση των θεμάτων Ταξινόμηση της αρχαιότητας των συμμετεχόντων αναγνώριση όλων των θεμάτων Συμμετοχή ανώτερων και ανώτατων διευθυντικών στελεχών Διασφάλιση της τεχνολογίας: Συμμετοχή όλων Συνεδριάσεις με ίσους όρους Καμία ηγεμονία Πραγματικά ευρήματα
32 ΣΥΣΚΕΨΗ ΓΙΑ ΑΝΤΑΛΛΑΓΗ ΙΔΕΩΝ (BRAINSTORMING) Οι συμμετέχοντες εισάγουν κινδύνους σε κάθε κατηγορία (defined by buckets ). Σε συγκεκριμένα workshops, κίνδυνοι/ ευρήματα οργανώνονται εκ των προτέρων και οι συμμετέχοντες απαιτούνται μόνο για να σχολιάζουν. Κάθε PC εκθέτει τους κινδύνους τονισμένους από άλλους συμμετέχοντες, όμως αυτά είναι TΕΛΕΙΩΣ ανώνυμα και χωρίς φόβο εκδίκησης.
33
34
35
36
37
38
39 ΚΙΝΔΥΝΟΙ Ε Π Ι Δ Ρ Α Σ Η ΠΙΘΑΝΟ ΑΣΧΕΤΟ ΚΡΙΣΙΜΟ HOUSEKEEPING ΠΙΘΑΝΟΤΗΤΑ
40 ΚΡΙΤΗΡΙΑ ΑΝΑΓΝΩΡΙΣΗΣ ΕΚΤΑΣΗ ΠΙΘΑΝΟΤΗΤΑ ΕΠΙΔΡΑΣΗ 1 Δεν συμβαίνει ποτέ Καμία επίδραση στην υπηρεσία Πιθανό; ΣΥΜΦΩΝΙΑ ΤΟΥ ΣΗΜΕΙΟΥ ΤΟΥ ΜΕΣΟΥ Περιπλεκόμενες δαπάνες? 10 Σχεδόν βέβαιο να συμβεί Εξαιρετικά επιζήμια για εξυπηρέτηση, σχεδόν καταστροφική
41 ΑΠΟΤΕΛΕΣΜΑΤΑ: ΒΑΣΙΚΕΣ ΕΠΙΣΗΜΑΝΣΕΙΣ Αυξημένη επίγνωση των συμμετεχόντων για τον κίνδυνο Πληρέστερη αντίληψη του οργανισμού από τους ανώτερους διευθυντές και τα μη εκτελεστικά μέλη της διοίκησης Συνεισφορά στην αποσαφήνιση ρόλων και αρμοδιοτήτων Διοικητικά και λειτουργικά θέματα αποτελούν οικονομικούς κινδύνους Ανάγκη για ανάπτυξη του προσωπικού, καθοδήγηση και επιμόρφωση Σαφή κριτήρια της απόδοσης/ έκβασης του Επιχειρησιακού Πλάνου
42 ΠΛΕΟΝΕΚΤΗΜΑΤΑ Αίσθημα μεγαλύτερης ασφάλειας Πληρέστερη αντίληψη κινδύνων και σημείων ελέγχου Συμφωνηθείσες ενέργειες βάσει προτεραιοτήτων Εστιασμένη απόκριση σε σημαντικούς κινδύνους Η εργασία θα πρέπει να οδηγεί σε καλύτερη απόδοση και περιβάλλον ελέγχου
43 TeamRisk ΠΑΡΑΔΕΙΓΜΑ ΜΗΧΑΝΟΓΡΑΦΙΚΗΣ ΥΠΟΣΤΗΡΙΞΗΣ ΑΞΙΟΛΟΓΗΣΗΣ ΚΙΝΔΥΝΩΝ TeamRisk, ένα περιεκτικό εργαλείο για την εκτίμηση κινδύνων. Οδηγός του πλάνου του ελέγχου βασιζόμενοι στους κινδύνους Παραγωγή αναφορών προς τη διοίκηση (heat maps, risk ranking charts)
TeamRisk 44
TeamRisk 45
TeamRisk 46
TeamRisk 47
ΣΥΝΟΨΗ ΠΡΟΤΕΙΝΟΜΕΝΩΝ ΕΝΕΡΓΕΙΩΝ ΓΙΑ ΕΚΤΙΜΗΣΗ & ΑΞΙΟΛΟΓΗΣΗ ΕΠΙΧΕΙΡΗΜΑΤΙΚΩΝ ΚΙΝΔΥΝΩΝ Αναγνώριση και καταγραφή επιχειρησιακών σκοπών και στόχων Καθορισμός επιθυμητού προφίλ κινδύνου Προσδιορισμός επιθυμητού προφίλ κινδύνου βάσει εγγενούς (inherent) ή υπολειμματικού (residual) κινδύνου Καθορισμός ανοχής έναντι αναγνωρισμένων κινδύνων Συλλογή και καταγραφή πληροφοριών για κατηγορίες και παραμέτρους κινδύνου Εξέταση πληρότητας των ανωτέρω δεδομένων Αξιολόγηση, ιεράρχηση και βαθμολόγηση των κινδύνων σε σχέση με τα επίπεδα ανοχής της διοίκησης και με τις εγκατεστημένες δικλείδες ασφαλείας. Κατάρτιση πλάνου ελέγχου με εστίαση στους κινδύνους που χαρακτηρίζουν τον οργανισμό. 48