Όμιλος FOURLIS Risk Based Audit

Όμιλος FOURLIS Risk Based Audit Παράδειγμα Εφαρμογής Οκτώβριος 2005

1. Risk based audit: πώς προέκυψε; 2. Risk assessment project: πώς σχεδιάστηκε; 3. Risk assessment method: ποιά επιλέξαμε; 4. Risk assessment results: ποιά ήταν; 5. Audit plan: πώς το καταρτίσαμε 6. Risk based audit: τί μάθαμε; 7. Ερωτήσεις

Risk based audit: πώς προέκυψε; (1) Η εταιρεία ήταν πολυάριθμη, γεωγραφικά διασκορπισμένη και με ηγετική θέση στον κλάδο... Η εταιρεία είχε υποστεί αρκετές οργανωτικές αλλαγές σε μικρό χρονικό διάστημα... Η εταιρεία βρισκόταν σε μια ιδιαίτερα κρίσιμη καμπή... Η εικόνα έπρεπε να αναστραφεί το συντομότερο δυνατό... Σε όλες τις Διευθύνσεις υπήρχαν ανοικτά θέματα... Οι αλλαγές έπρεπε να είναι άμεσα ορατές και εφαρμόσιμες και να προσθέτουν σημαντική αξία... Οι ελεγκτές δεν είχαν προηγούμενη εμπειρία ελέγχου στην εταιρεία...

Risk based audit: πώς προέκυψε; (2) Το ιστορικό των ελέγχων ήταν σχεδόν ανύπαρκτο και με ασαφή προσανατολισμό... Τα αρχεία των ελέγχων ακόμη και αν είχαν βρεθεί, θα ήταν άχρηστα... Η προσέγγιση του ελέγχου έπρεπε να έχει τη μεγαλύτερη δυνατή αποδοχή... Η συνεργασία όλων ήταν επιβεβλημένη κυρίως για τη γρήγορη υλοποίηση των αλλαγών... Το έργο του ελέγχου θα είχε συνέχεια... Η εξωτερική βοήθεια από έμπειρους ελεγκτές ήταν διαθέσιμη...

1. Risk based audit: πώς προέκυψε; 2. Risk assessment project: πώς σχεδιάστηκε; 3. Risk assessment method: ποιά επιλέξαμε; 4. Risk assessment results: ποιά ήταν; 5. Audit plan: πώς το καταρτίσαμε; 4. Risk based audit: τί μάθαμε; 5. Ερωτήσεις

Risk assessment project: πώς σχεδιάστηκε; Στάδιο 1: Στάδιο 2: Στάδιο 3: Στάδιο 4: Στάδιο 5: Στάδιο 6: Στάδιο 7: Στάδιο 8: Στάδιο 9: Στάδιο 10: Στάδιο 11: Στάδιο 12: Διαγνωστική μελέτη Επιλογή μεθόδου risk assessment Εκπαίδευση στη μέθοδο risk assessment Διανομή ερωτηματολογίων Διευθυντών Υποστήριξη κατά τη συμπλήρωση ερωτηματολογίων Επεξεργασία ερωτηματολογίων Οριστικοποίηση ερωτηματολογίων Διευθυντών Ανάλυση κινδύνων από ερωτηματολόγια Διευθυντών Ανάλυση κινδύνων από ερωτηματολόγια ομάδας ελέγχου Παρουσίαση αποτελεσμάτων στο BoD Επαναξιολόγηση Σχεδιασμός audit plan και παρουσίαση στους Διευθυντές Έναρξη έργων εσωτερικού ελέγχου

1. Risk based audit: πώς προέκυψε; 2. Risk assessment project: πώς σχεδιάστηκε; 3. Risk assessment method: ποιά επιλέξαμε; 4. Risk assessment results: ποιά ήταν; 5. Audit plan: πώς το καταρτίσαμε; 4. Risk based audit: τί μάθαμε; 5. Ερωτήσεις

Risk assessment method: ποιά επιλέξαμε; (1) Τρόπος βαθμολόγησης κινδύνων (scoring method) Μεθοδολογία αξιολόγησης κινδύνων (risk assessment method) βασικά στοιχεία

Risk assessment method: ποιά επιλέξαμε; (2) Κάθε γενική περιοχή εξειδικεύεται σε επιμέρους κινδύνους Γενικές περιοχές κινδύνων και ειδικές παράμετροι κινδύνων (risk factors)

Risk assessment method: ποιά επιλέξαμε; (3) Γενικές περιοχές κινδύνων Πληροφοριακά συστήματα Διαχείριση ανθρώπινων πόρων Εσωτερικές δικλείδες ασφαλείας Διαχείριση περιουσίας Κανονιστικό περιβάλλον Στρατηγική Εξυπηρέτηση πελατών Εμπορικοί στόχοι Πολυπλοκότητα διαδικασιών Τιμολογιακή πολιτική

Risk assessment method: ποιά επιλέξαμε; (4) Ειδικές περιοχές κινδύνων Γενική περιοχή: Πληροφοριακά συστήματα Υπάρχουν; Επαρκούν; Πολλά ή ένα; Πολύπλοκα ή απλά; Υπάρχουν interfaces ή όχι; Απαιτείται ή όχι εξειδίκευση χρηστών; Λειτουργούν συνεχώς ή όχι; Υπάρχουν καταστροφές απώλειες δεδομένων / καταστροφές λειτουργίας; Ελέγχεται ή όχι η πρόσβαση; Υπάρχουν ή όχι εμπιστευτικά δεδομένα; Υπάρχει εσωτερική υποστήριξη χρηστών; Υπάρχει εξωτερική υποστήριξη χρηστών;

Risk assessment method: ποιά επιλέξαμε;(5) Ειδικές περιοχές κινδύνων Γενική περιοχή: Διαχείριση ανθρώπινων πόρων Επαρκές ανθρώπινο δυναμικό; Κατάλληλα εκπαιδευμένο; Χαμηλό ηθικό εργαζομένων; Δυσαρέσκεια από την εργασία; Επικάλυψη διαδικασιών μεταξύ Διευθύνσεων; Συχνότητα αναδιοργανώσεων; Συχνή αλλαγή ρόλων; Χρησιμοποιούνται KPIs; Συνδέεται η απόδοση με σύστημα αμοιβών; Υπάρχει ενημέρωση για στόχους, πλάνα, αποτελέσματα; Η δομή της Διεύθυνσης αντανακλά το ρόλο της; Υπάρχουν ξεκάθαρες περιγραφές θέσεων; Κανονισμός εργασίας;

Risk assessment method: ποιά επιλέξαμε; (6) Ειδικές περιοχές κινδύνων Γενική περιοχή: Εσωτερικές δικλείδες ασφαλείας Τακτικοί έλεγχοι από ανεξάρτητους/ εξωτερικούς ελεγκτές; Επαρκής διαχωρισμός καθηκόντων; Ενημερωμένες γραπτές διαδικασίες λειτουργίας; Συστήματα ελέγχου εν λειτουργία; Σύστημα αξιολόγησης απόδοσης εν λειτουργία; Υπάρχει αντίδραση της Διοίκησης σε περίπτωση εντοπισμού λαθών; Απάτες εντοπίστηκαν; Αξιολογούνται οι υπηρεσίες τρίτων;

Risk assessment method: ποιά επιλέξαμε; (7) Ειδικές περιοχές κινδύνων Γενική περιοχή: Διαχείριση περιουσίας Φυλάσονται οι χώροι που βρίσκονται περιουσιακά στοιχεία της εταιρείας; Ενημερώνονται οι εργαζόμενοι για διαδικασίες διαχείρισης και προστασίας της περιουσίας;

Risk assessment method: ποιά επιλέξαμε; (8) Ειδικές περιοχές κινδύνων Γενική περιοχή: Κανονιστικό περιβάλλον Παρακολουθείται η νομοθεσία που αφορά την εταιρεία; Έχουν επιβληθεί πρόστιμα; Με τί συχνότητα; Ενημερώνονται οι εργαζόμενοι για υποχρεώσεις που απορρέουν από τη νομοθεσία;

Risk assessment method: ποιά επιλέξαμε;(9) Ειδικές περιοχές κινδύνων Γενική περιοχή: Στρατηγική Παρακολουθούνται συστηματικά οι εξελίξεις στην αγορά; Οι αλλαγές που προτείνονται από τη Διοίκηση εφαρμόζονται; Οι στόχοι των Διευθύνσεων εναρμονίζονται με τους στόχους της εταιρείας; Η επίτευξη των στόχων της εταιρείας εξαρτάται από τη συνεργασία της με βασικούς προμηθευτές;

Risk assessment method: ποιά επιλέξαμε;(10) Ειδικές περιοχές κινδύνων Γενική περιοχή: Εξυπηρέτηση πελατών Υπάρχει σύστημα αξιολόγησης της ανταγωνιστικότητας των εμπορευμάτων και των υπηρεσιών της εταιρείας; Οι εφαρμοζόμενες διαδικασίες επικεντρώνονται στην εξυπηρέτηση των πελατών;

Risk assessment method: ποιά επιλέξαμε;(11) Ειδικές περιοχές κινδύνων Γενική περιοχή: Εμπορικοί στόχοι Ανταποκρίνονται στις συνθήκες της αγοράς; Αναθεωρούνται τακτικά; Παρακολουθείται η επίτευξή τους συστηματικά και βασίζεται σε πλήρη στοιχεία; Συμβάλουν στην επίτευξη των στρατηγικών στόχων της εταιρείας; Υπάρχει επαρκής επικοινωνία μεταξύ των Διευθύνσεων για την επίτευξη των εμπορικών στόχων;

Risk assessment method: ποιά επιλέξαμε;(12) Ειδικές περιοχές κινδύνων Γενική περιοχή: Πολυπλοκότητα διαδικασιών Οι εφαρμοζόμενες διαδικασίες είναι σύνθετες και γραφειοκρατικές; Οι εφαρμοζόμενες διαδικασίες είναι χρονοβόρες, κοστίζουν πολύ και δεν είναι ουσιώδεις; Χρησιμοποιούνται KPIs αξιολόγησης της αποτελεσματικότητας των διαδικασιών;

Risk assessment method: ποιά επιλέξαμε;(13) Ειδικές περιοχές κινδύνων Γενική περιοχή: Τιμολογιακή πολιτική Ελέγχεται η ορθή εφαρμογή; Ο καθορισμός των τιμών βασίζεται σε ελλιπή στοιχεία; Επιτυγχάνεται το επιθυμητό μικτό κέρδος; Υπάρχει συστηματικός τρόπος παρακολούθησης και αναθεώρησης των τιμών ώστε να ανταποκρίνονται στις συνθήκες που επικρατούν στην αγορά;

Risk assessment method: ποιά επιλέξαμε; (14) Επίδραση κινδύνων (impact) 0 έως 4 με βήμα 1 Τρόπος βαθμολόγησης κινδύνων (scoring method)

Risk assessment method: ποιά επιλέξαμε; (15) 12 Διευθύνσεις 15 Περιοχές Ελέγχου Τρόπος συλλογής στοιχείων για την ανάλυση κινδύνων (data gathering)

Risk assessment method: ποιά επιλέξαμε; (16) Υπολογισμός συνολικού βαθμού κινδύνου ανά Διεύθυνση Τρόπος διενέργειας ανάλυσης κινδύνων (risk analysis)

Risk assessment method: ποιά επιλέξαμε; (17) Τα αποτελέσματα που προκύπτουν από την αξιολόγηση τοποθετούνται σε ειδικό εργαλείο αξιολόγησης κινδύνων το οποίο ιεραρχεί κάθε Διεύθυνση ανάλογα με το συνολικό βαθμό κινδύνου που συγκεντρώνει και την τοποθετεί σε μία από τις τρεις ζώνες κινδύνων του γραφήματος: Υψηλή Μη αποδεκτό επίπεδο κινδύνου Μεσαία Χαμηλή Αποδεκτό επίπεδο κινδύνου Μεσαία Πιθανότητα εμφάνισης Επίπεδο κινδύνου που απαιτεί προσοχή Υψηλή

Risk assessment method: ποιά επιλέξαμε; (18) Ζώνη υψηλού κινδύνου: Κόκκινη ζώνη μεγάλη πιθανότητα εμφάνισης, μεγάλη επίδραση Μεγάλα προβλήματα λειτουργίας Εκτεταμένες οικονομικές απώλειες Κίτρινη ζώνη Ζώνη μεσαίου κινδύνου μέτρια πιθανότητα εμφάνισης, μέτρια επίδραση Προβλήματα λειτουργίας μεσαίας κλίμακας Οικονομικές απώλειες μεσαίας κλίμακας Πράσινη ζώνη Ζώνη χαμηλού κινδύνου μικρή πιθανότητα εμφάνισης, μικρή επίδραση Ελάχιστα ή ανύπαρκτα προβλήματα λειτουργίας Ελάχιστες ή ανύπαρκτες οικονομικές απώλειες

1. Risk based audit: πώς προέκυψε; 2. Risk assessment project: πώς σχεδιάστηκε; 3. Risk assessment method: ποιά επιλέξαμε; 4. Risk assessment results: ποιά ήταν; 5. Audit plan: πώς το καταρτίσαμε; 4. Risk based audit: τί μάθαμε; 5. Ερωτήσεις

Risk assessment results: ποιά ήταν; (1) Αποτελέσματα από τα ερωτηματολόγια των Διευθυντών Διεύθυνση Αγορών 400 Αξιολόγηση Κινδύνων Διεύθυνση Εκπαίδευσης Διεύθυνση Πωλήσεων Τμήμα Budgeting & Reporting (Οικ. Δ/νση) Διεύθυνση Λογιστηρίου (Οικ. Δ/νση) Tμήμα Διαθεσίμων (Οικ. Δ/νση) Επίδραση 200 Διεύθυνση Πιστωτικού Ελέγχου Διεύθυνση Customer Care Διεύθυνση Ανθρώπινου Δυναμικού Διεύθυνση Πληροφορικής Διεύθυνση Marketing 0 0 200 400 Πιθανότητα εμφάνισης Διεύθυνση Οργάνωσης και Ανάπτυξης Νέων Καταστημάτων Τμήμα After Sales Διεύθυνση Προμηθειών Διεύθυνση Logistics

Αποτελέσματα από τα ερωτηματολόγια της ομάδας ελέγχου Risk assessment results: ποιά ήταν; (2) Αποτελέσματα από τα ερωτηματολόγια της ομάδας ελέγχου Αξιολόγηση Κινδύνων 400 Διεύθυνση Αγορών Διεύθυνση Εκπαίδευσης Επίδραση 200 Διεύθυνση Πωλήσεων Τμήμα Budgeting & Reporting (Οικ. Δ/νση) Διεύθυνση Λογιστηρίου (Οικ. Δ/νση) Tμήμα Διαθεσίμων (Οικ. Δ/νση) Διεύθυνση Πιστωτικού Ελέγχου Διεύθυνση Customer Care Διεύθυνση Ανθρώπινου Δυναμικού Διεύθυνση Πληροφορικής Διεύθυνση Marketing Διεύθυνση Οργάνωσης κ αι Ανάπτυξης Τμήμα After Sales 0 0 200 400 Πιθανότητα εμφάνισης Διεύθυνση Προμηθειών Διεύθυνση Logistics

Risk assessment results: ποιά ήταν; (3) Πρόγραμμα ελέγχου από την αξιολόγηση των Διευθυντών Περιοχή Ελέγχου Επίδραση Πιθανότητα Βαθμός Κινδύνου Τμήμα Budgeting & Reporting (Οικονομική Διεύθυνση) 300 150 450 Διεύθυνση Logistics 270 170 440 Διεύθυνση Αγορών 320 110 430 Διεύθυνση Οργάνωσης και Ανάπτυξης Νέων Καταστημάτων 300 130 430 Διεύθυνση Εκπαίδευσης 320 80 400 Διεύθυνση Πωλήσεων 270 120 390 Διεύθυνση Marketing 240 140 380 Διεύθυνση Ανθρώπινου Δυναμικού 220 100 320 Διεύθυνση Λογιστηρίου (Οικονομική Διεύθυνση) 230 70 300 Διεύθυνση Προμηθειών 150 150 300 Διεύθυνση Πληροφορικής 270 10 280 Τμήμα After Sales 90 70 160 Διεύθυνση Customer Care 40 60 100 Tμήμα Διαθεσίμων (Οικονομική Διεύθυνση) 20 40 60 Διεύθυνση Πιστωτικού Ελέγχου 0 10 10

Risk assessment results: ποιά ήταν; (4) Πρόγραμμα ελέγχου από την αξιολόγηση της ομάδας ελέγχου Περιοχή Ελέγχου Επίδραση Πιθανότητα Βαθμός Κινδύνου Διεύθυνση Πωλήσεων 340 200 540 Διεύθυνση Αγορών 370 150 520 Διεύθυνση Logistics 310 200 510 Διεύθυνση Οργάνωσης και Ανάπτυξης Νέων Καταστημάτων 350 140 490 Διεύθυνση Marketing 280 200 480 Διεύθυνση Προμηθειών 250 200 450 Τμήμα Budgeting & Reporting (Οικονομική Διεύθυνση) 300 140 440 Διεύθυνση Πληροφορικής 300 110 410 Διεύθυνση Εκπαίδευσης 290 110 400 Διεύθυνση Ανθρώπινου Δυναμικού 270 120 390 Διεύθυνση Λογιστηρίου (Οικονομική Διεύθυνση) 280 100 380 Διεύθυνση Πιστωτικού Ελέγχου 280 100 380 Τμήμα After Sales 230 100 330 Tμήμα Διαθεσίμων (Οικονομική Διεύθυνση) 150 60 210 Διεύθυνση Customer Care 90 110 200

1. Risk based audit: πώς προέκυψε; 2. Risk assessment project: πώς σχεδιάστηκε; 3. Risk assessment method: ποιά επιλέξαμε; 4. Risk assessment results: ποιά ήταν; 5. Audit plan: πώς το καταρτίσαμε; 4. Risk based audit: τί μάθαμε; 5. Ερωτήσεις

Audit plan: πώς το καταρτίσαμε; Περιοχή Ελέγχου Επίδραση Πιθανότητα εμφάνισης Βαθμός Κινδύνου Ώρες Ελέγχου Διεύθυνση Αγορών 370 150 520 70 Διεύθυνση Logistics 310 200 510 70 Διεύθυνση Οργάνωσης & Ανάπτυξης Καταστημάτων 350 140 490 70 Διεύθυνση Πωλήσεων 340 200 540 50 Διεύθυνση Customer Care 90 110 200 50 Tμήμα Διαθεσίμων (Οικ. Δ/νση) 150 60 210 50 Διεύθυνση Marketing 280 200 480 20 Διεύθυνση Προμηθειών 250 200 450 20 Τμήμα Budgeting & Reporting (Οικ. Δ/νση) 300 140 440 20 Διεύθυνση Πληροφορικής 300 110 410 20 Διεύθυνση Εκπαίδευσης 290 110 400 20 Διεύθυνση Ανθρώπινου Δυναμικού 270 120 390 20 Διεύθυνση Λογιστηρίου (Οικ. Δ/νση) 280 100 380 20 Διεύθυνση Πιστωτικού Ελέγχου 280 100 380 20 Τμήμα After Sales 230 100 330 20

1. Risk based audit: πώς προέκυψε; 2. Risk assessment project: πώς σχεδιάστηκε; 3. Risk assessment method: ποιά επιλέξαμε; 4. Risk assessment results: ποιά ήταν; 5. Audit plan: πώς το καταρτίσαμε; 4. Risk based audit: τί μάθαμε; 5. Ερωτήσεις

Risk based audit: τί μάθαμε; (1) Η μέθοδος είναι εφαρμόσιμη. Αποτελεί εναλλακτική μέθοδο του παραδοσιακού audit με εμφανή πλεονεκτήματα. Δεν εφαρμόζεται αυτόματα ή ως δια μαγείας. Δεν αποτελεί προορισμό αλλά διαδρομή. Το ρητό κάθε χρόνο και καλύτερα ισχύει και στην περίπτωση αυτή. Ακόμη και αν η αξιολόγηση κινδύνων δεν πραγματοποιηθεί με την πιο προηγμένη επιστημονικά μέθοδο, δεν επηρεάζεται η ουσία των αποτελεσμάτων.

Risk based audit: τί μάθαμε; (2) Η Διοίκηση παίζει για μια ακόμη φορά καταλυτικό ρόλο στην επιτυχή εφαρμογή. Η εμπειρία και οι γνώσεις της ομάδας ελέγχου είναι προαπαιτούμενα. Εξωτερική βοήθεια είναι μάλλον υποχρεωτική, τουλάχιστον κατά την πρώτη εφαρμογή. Σίγουρα υπάρχουν δυσκολίες όπως άλλωστε και σε οποιαδήποτε άλλη περίπτωση προσπαθούμε να ποσοτικοποιήσουμε αυτό που γνωρίζουμε.

Risk based audit: τί μάθαμε; (3) Τελικά μάθαμε ότι... Don t act like a coward, act like a market leader Ingvad Kamprad, ιδρυτής ΙΚΕΑ Οι εταιρείες που εφαρμόζουν ή επιθυμούν να εφαρμόσουν risk based audit ανήκουν στην κατηγορία των market leaders και όχι των cowards...

Ερωτήσεις