ΕΡΓΑΣΤΗΡΙΟ ΑΝΑΓΝΩΡΙΣΗΣ & ΑΞΙΟΛΟΓΗΣΗΣ ΚΙΝΔΥΝΩΝ (Risk Identification & Assessment Workshop) Παράδειγμα εφαρμογής Εσωτερικού Ελέγχου Βάσει Κινδύνων
ΕΡΓΑΣΤΗΡΙΟ ΑΝΑΓΝΩΡΙΣΗΣ & ΑΞΙΟΛΟΓΗΣΗΣ ΚΙΝΔΥΝΩΝ -Σκοπός- Η αναγνώριση των σημαντικών κινδύνων από τους συμμετέχοντες Η εκτίμηση της σημαντικότητας των κινδύνων, σύμφωνα με την εμπειρία & την εκτίμηση των συμμετεχόντων Η αναγνώριση των υπαρχόντων μέσων διαχείρισης των κινδύνων από τους συμμετέχοντες Η συλλογή πρόσθετων πληροφοριών σχετικά με τους κινδύνους Η καταγραφή όλων των παραπάνω πληροφοριών Η επιβεβαίωση των αποτελεσμάτων από τους συμμετέχοντες Τα ανωτέρω επιτυγχάνονται μέσα από μια δομημένη διαδικασία
ΕΡΓΑΣΤΗΡΙΟ ΑΝΑΓΝΩΡΙΣΗΣ & ΑΞΙΟΛΟΓΗΣΗΣ ΚΙΝΔΥΝΩΝ -Βήματαπουθαπρέπειναπροηγηθούν- Προετοιμασία Συντονιστή - Γνωριμία με τη Μονάδα Στρατηγική, Στόχοι, Οργανωτική Δομή, βασικές εργασίες Έκδοση Ενημερωτικού Φυλλαδίου Agenda Στόχοι εργαστηρίου Πλαίσια Αναγνώρισης & Αξιολόγησης Κινδύνων Δομή / χρονοδιάγραμμα εργαστηρίου Κατευθύνσεις / οδηγίες προς τους συμμετέχοντες Ενημέρωση της Διοίκησης της Μονάδας Επιλογή & Προετοιμασία Συμμετεχόντων Οργανωτική Προετοιμασία
ΕΡΓΑΣΤΗΡΙΟ ΑΝΑΓΝΩΡΙΣΗΣ & ΑΞΙΟΛΟΓΗΣΗΣ ΚΙΝΔΥΝΩΝ -Βήματαπουθαπρέπειναπροηγηθούν- Χρονοδιάγραμμα εργαστηρίου Το εργαστήριο ΔΕΝ ΕΙΝΑΙ σεμινάριο Απαιτεί (και προϋποθέτει) την ενεργή συμμετοχή όλων Ο συνολικός χρόνος που απαιτείται είναι σημαντικός (min. 0 «καθαρές» ώρες) Ιδανική διάρκεια συνάντησης: Μέχρι ώρες Επιλογή και Προετοιμασία Συμμετεχόντων Μέγεθος ομάδας: 0- άτομα (με ελάχιστη διασπορά διοικητικής βαθμίδας) Βασικό Εργαλείο: Ενημερωτικό Φυλλάδιο Θα διαβαστεί; Θα γίνει κατανοητός από τους συμμετέχοντες ο επιθυμητός τρόπος σκέψης και συνεισφοράς στην προσπάθεια; Εισαγωγική συνάντηση (παρουσίαση Ενημερωτικού, επεξηγήσεις, παραδείγματα) Καταγραφή των πιο σημαντικών κινδύνων από κάθε συμμετέχοντα και αποστολή στο Συντονιστή πριν από τη διεξαγωγή του εργαστηρίου
ΕΡΓΑΣΤΗΡΙΟ ΑΝΑΓΝΩΡΙΣΗΣ & ΑΞΙΟΛΟΓΗΣΗΣ ΚΙΝΔΥΝΩΝ -Συντονιστής (Facilitator)- Υπεύθυνος για την οργάνωση, διεξαγωγή και παρουσίαση των αποτελεσμάτων του εργαστηρίου. Θα πρέπει να έχει ιδιαίτερες επικοινωνιακές ικανότητες (προφίλ του σύγχρονου Εσωτερικού Ελεγκτή) Certification in Control Self-Assessment Βασικοί Ρόλοι Καθοδήγηση των συμμετεχόντων προς στην επίτευξη των στόχων του εργαστηρίου Διατήρηση κατάλληλου κλίματος διαλόγου Διαχείριση προβλημάτων κατά τη διάρκεια του εργαστηρίου Απαραίτητες Ιδιότητες Χαρακτηριστικά Καλός Ακροατής (0-90% του συνολικού χρόνου) Ενθαρρύνει τη συμμετοχή όλων (προκαλεί δημιουργικά). Ουδέτερη στάση Ικανότητα αντιμετώπισης «δύσκολων» περιπτώσεων Διαχείριση μεροληψίας (bias) από πλευράς των συμμετεχόντων
ΑΝΑΓΝΩΡΙΣΗ & ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ Συνδυασμός Λειτουργιών Γενικών Κατηγοριών Κινδύνων (Πλαίσιο Αναγνώρισης Κινδύνων) και αναγνώριση ειδικότερων κινδύνων που απορρέουν από αυτόν Η μεγαλύτερη πρόκληση είναι η σωστή αποτύπωση του κάθε μεμονωμένου κινδύνου, έτσι ώστε το τελικό αποτέλεσμα να έχει συνοχή και να είναι κατανοητό. Πώς θα πρέπει να αποτυπώνεται ο κίνδυνος στα πλαίσια του εργαστηρίου;. Προϋποθέτει ενέργεια («είναι το ενδεχόμενο»).. Έχει ως αποτέλεσμα την οικονομική ζημιά (άμεση / έμμεση). Υπονοεί αβεβαιότητα Έχει τα συστατικά μιας πλήρους πρότασης; Μπορεί η τράπεζα να χάσει χρήματα αν υλοποιηθεί ο κίνδυνος; Μπορώ να απαντήσω στην ερώτηση «Πόσο συχνά»»;. Δεν είναι η απουσία μηχανισμών ελέγχου Μετατροπή Μηχανισμών Ελέγχου σε Κίνδυνο ΕΡΩΤΗΜΑΤΟΛΟΓΙΑ / CONTROL CHECKLISTS
ΑΝΑΓΝΩΡΙΣΗ & ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ RISK OWNER ROOT CAUSE / ΛΕΙΤΟΥΡΓΙΑ Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξουσιοδοτημένους εκπροσώπους τους Αδυναμία αναγνώρισης εκπροσώπων από το Κατάστημα Εσφαλμένες Πρακτικές / Διαχείριση Πελατών Στέλνονται λανθασμένα / ελλιπή στοιχεία (καταστάσεις) προς τις εποπτικές αρχές. Δνση Οικ. Υπηρεσιών Χειρόγραφη διαδικασία Καν. Συμμόρφωση / Εποπτικές Αναφορές Καταστρέφεται το μηχανογραφικό κέντρο της τραπέζης Φυσικά φαινόμενα, πυρκαγιά κ.ά. Φυσικές Καταστροφές / Υποδομές ΙΤ Τρίτοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της τραπέζης Έλλειψη μέτρων προστασίας των συστημάτων. ΙΤ / Υποδομές ΙΤ Σχεδιάζονται τραπ. υπηρεσίες που παραβιάζουν το ισχύον νομοθετικό πλαίσιο Δνση Άγνοια του νομοθετικού πλαισίου από τους υπεύθυνους σχεδιασμού Καν. Συμμόρφωση / Ανάπτυξη Προϊόντων Υπάλληλοι υπεξαιρούν ποσά από λογαριασμούς που κινούνται σπάνια Ευκολία αναζήτησης και κίνησης τέτοιων λογαριασμών. Απάτη / Συναλλαγές Καταθέσεων (μετρητά/εμβάσματα/αξίες) Οι Teller υπεξαιρούν μετρητά από το ταμείο τους. Αίσθηση απουσίας ελέγχου για τα χρηματικά υπόλοιπα. Απάτη / Συναλλαγές Καταθέσεων (μετρητά/εμβάσματα/αξίες)
ΑΝΑΓΝΩΡΙΣΗ & ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξ/μένους εκπροσώπους τους RISK OWNER LO FI TRS ΣΥΧΝΟΤΗΤΑ ΕΜΦΑΝΙΣΗΣ Απίθανη ΟΙΚ. ΑΝΤΙΚΤΥΠΟΣ / ΕΚΦΑΝΣΗ Ελάχιστος Στέλνονται λανθασμένα / ελλιπή στοιχεία (καταστάσεις) προς τις εποπτικές αρχές. Δνση Οικ. Υπηρεσιών 6 Σπάνια Πιθανή Μικρός Μέτριος Καταστρέφεται το μηχανογραφικό κέντρο της τραπέζης Συχνή Σχεδόν Βέβαιη Υψηλός Πολύ Υψηλός Τρίτοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της τραπέζης Σχεδιάζονται τραπ. υπηρεσίες που παραβιάζουν το ισχύον νομοθετικό πλαίσιο Δνση - - 6- ΣΥΝΟΛΙΚΟΣ ΑΝΤΙΚΤΥΠΟΣ Ελάχιστος Μικρός Μέτριος Υπάλληλοι υπεξαιρούν ποσά από λογαριασμούς που κινούνται σπάνια 9- > Υψηλός Πολύ Υψηλός Οι Teller υπεξαιρούν μετρητά απότοταμείοτους. Ειδική Προσοχή ΕΓΓΕΝΗΣ (IR)
ΑΝΑΓΝΩΡΙΣΗ & ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ RISK OWNER LO FI TRS CONTROL MONITORING Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξ/μένους εκπροσώπους τους Καταχώρηση στοιχείων εκπροσώπων στησύμβασηαπόγνωμάτευση Νομικών Υπηρεσιών. Αντιπαραβολή στοιχείων εκπροσώπων από Προϊστάμενο που υπογράφει. Στέλνονται λανθασμένα / ελλιπή στοιχεία (καταστάσεις) προς τις εποπτικές αρχές. Δνση Οικ. Υπηρεσιών 6 Αντιπαραβολή πρωτογενών στοιχείων και καταστάσεων από Προϊστάμενο. Έγγραφη επιβεβαίωση προς το Δντη. Καταστρέφεται το μηχανογραφικό κέντρο της τραπέζης Τρίτοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της τραπέζης Χρήση firewalls. Penetration testing σε ετήσια βάση. Σχεδιάζονται τραπ. υπηρεσίες που παραβιάζουν το ισχύον νομοθετικό πλαίσιο Δνση Γνωμάτευση από στέλεχος της Δνσης πριν την έγκριση του προϊόντος / υπηρεσίας. Ανασκόπηση γνωμάτευσης από Δντη. Υπάλληλοι υπεξαιρούν ποσά από λογαριασμούς που κινούνται σπάνια Οι Teller υπεξαιρούν μετρητά απότοταμείοτους. Αιφνιδιαστικές καταμετρήσεις σε ημερήσια βάση από Προϊστάμενο. Ενημέρωση Δνσης & συμπλήρωση ειδικής κατ/σης. ΕΓΓΕΝΗΣ (IR)
ΑΝΑΓΝΩΡΙΣΗ & ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξ/μένους εκπροσώπους τους RISK OWNER LO FI TRS C X M X LO FI TRS CES ΑΠΟΤ/ΤΗΤΑ ΤΗΤΑ ΜΕΣΩΝ ΔΙΑΧΕΙΡΙΣΗΣ (CES) Στέλνονται λανθασμένα / ελλιπή στοιχεία (καταστάσεις) προς τις εποπτικές αρχές. Δνση Οικ. Υπηρεσιών 6 X X Καταστρέφεται το μηχανογραφικό κέντρο της τραπέζης 0 Τρίτοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της τραπέζης X X 0 Σχεδιάζονται τραπ. υπηρεσίες που παραβιάζουν το ισχύον νομοθετικό πλαίσιο Δνση X X Υπάλληλοι υπεξαιρούν ποσά από λογαριασμούς που κινούνται σπάνια 0 Οι Teller υπεξαιρούν μετρητά απότοταμείοτους. X X ΕΓΓΕΝΗΣ (IR) ΥΠΟΛΕΙΠΟΜΕΝΟΣ (RR)
ΑΝΑΓΝΩΡΙΣΗ & ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξ/μένους εκπροσώπους τους Στέλνονται λανθασμένα / ελλιπή στοιχεία (καταστάσεις) προς τις εποπτικές αρχές. RISK OWNER Δνση Οικ. Υπηρεσιών IR 6 RR CES Η ολοκλήρωση του πρώτου βασικού βήματος συντελείται με την παρουσίαση και επιβεβαίωση των αποτελεσμάτων Καταστρέφεται το μηχανογραφικό κέντρο της τραπέζης 0 (Χάρτης Κινδύνων) Τρίτοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της τραπέζης 0 Σχεδιάζονται τραπ. υπηρεσίες που παραβιάζουν το ισχύον νομοθετικό πλαίσιο Δνση Υπάλληλοι υπεξαιρούν ποσά από λογαριασμούς που κινούνται σπάνια 0 Οι Teller υπεξαιρούν μετρητά απότοταμείοτους.
ΑΝΑΓΝΩΡΙΣΗ & ΑΞΙΟΛΟΓΗΣΗ ΚΙΝΔΥΝΩΝ -Χρήσιμες Κατευθύνσεις- Το αποτέλεσμα του Εργαστηρίου μπορεί να χρησιμοποιηθεί και σε άλλες Μονάδες Ως βάση, την οποία θα εμπλουτίσει & τροποποιήσει κατάλληλα η κάθε μία Είναι σχεδόν απίθανο δυο μονάδες να καταλήξουν με τον ίδιο ακριβώς Χάρτη Κινδύνων Στο μεγαλύτερο μέρος τους, οι κίνδυνοι που αντιμετωπίζουν τα χρηματοπιστωτικά ιδρύματα είναι κοινοί, διαφοροποιείται όμως η σημαντικότητά τους. Ο Χάρτης Κινδύνων δεν θα είναι ποτέ «πλήρης» (οι κίνδυνοι είναι δυναμικοί), αλλά θα βελτιώνεται (από πλευράς ποιότητας και πληρότητας) με το χρόνο. Ο Εσωτερικός Έλεγχος μπορεί να βοηθήσει την προσπάθεια για έναν αντιπροσωπευτικό Χάρτη Κινδύνων Καταγραφή Εκφάνσεων Κινδύνων, οι οποίοι θα επεξεργάζονται συμπληρωματικά με τους κινδύνους που αναγνωρίζονται στα πλαίσια των εργαστηρίων.
ΑΝΑΠΤΥΞΗ ΠΛΑΝΟΥ ΕΛΕΓΧΩΝ -Βασικές Προϋποθέσεις- Ολοκλήρωση της Αναγνώρισης & Αξιολόγησης Κινδύνων Καθορισμός Επιπέδου Ανεκτικότητας (Risk Tolerance) Κίνδυνοι με συνολική αξιολόγηση πάνω από 6 θεωρούνται ότι υπερβαίνουν τα αποδεκτά όρια ανοχής κινδύνου από τη μονάδα. Οικ. Αντίκτυπος 6 0 Συχνότητα Εμφάνισης 6 9 6 0 0 0
ΑΝΑΠΤΥΞΗ ΠΛΑΝΟΥ ΕΛΕΓΧΩΝ -Διαχωρισμός Κινδύνων που δεν απαιτείται να ελεγχθούν- RISK OWNER IR RR CES Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξ/μένους εκπροσώπους τους Στέλνονται λανθασμένα / ελλιπή στοιχεία (καταστάσεις) προς τις εποπτικές αρχές. Καταστρέφεται το μηχανογραφικό κέντρο της τραπέζης Δνση Οικ. Υπηρεσιών 6 0 Οκίνδυνος, εγγενώς, βρίσκεται εντός των αποδεκτών ορίων: Δενπρέπεινααποτελείελεγκτική προτεραιότητα Τρίτοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της τραπέζης 0 Σχεδιάζονται τραπ. υπηρεσίες που παραβιάζουν το ισχύον νομοθετικό πλαίσιο Υπάλληλοι υπεξαιρούν ποσά από λογαριασμούς που κινούνται σπάνια Οι Teller υπεξαιρούν μετρητά απότοταμείοτους. Δνση 0 Οκίνδυνοςυπερβαίνειτα αποδεκτά όρια: Ανάγκη άμεσης λήψης μέτρων διαχείρισης
ΑΝΑΠΤΥΞΗ ΠΛΑΝΟΥ ΕΛΕΓΧΩΝ -Κατάταξη Κινδύνων- RISK OWNER IR RR CES Adjusted Score Μας ενδιαφέρει : Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξ/μένους εκπροσώπους τους 0 Η αποτελεσματικότητα που αποδίδεται στα μέσα διαχείρισής των κινδύνων Καταστρέφεται το μηχανογραφικό κέντρο της τραπέζης 0 Το ύψος του υπολειπόμενου κινδύνου Τρίτοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της τραπέζης 0 9 Υπολογίζεται νέα βαθμολογία: (RR) x % + (CES) x 7% Σχεδιάζονται τραπ. υπηρεσίες που παραβιάζουν το ισχύον νομοθετικό πλαίσιο Δνση 7 Οι Teller υπεξαιρούν μετρητά απότοταμείοτους. Ή επιλογή πρόσθετων κριτηρίων και των συντελεστών στάθμισής τους έγκειται στο Δντη Εσωτερικού Ελέγχου και υπόκειται στην έγκριση της Επιτροπής Ελέγχου
ΑΝΑΠΤΥΞΗ ΠΛΑΝΟΥ ΕΛΕΓΧΩΝ -Ομαδοποίηση σε Ελεγκτικά Έργα- RISK OWNER IR RR CES Adjusted Score GROUP Group Score Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξ/μένους εκπροσώπους τους Οι Teller υπεξαιρούν μετρητά απότοταμείοτους. 0 Κατ/μα -G- Καταστρέφεται το μηχανογραφικό κέντρο της τραπέζης Τρίτοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της τραπέζης 0 0 9 Η/Υ -G- 0 Σχεδιάζονται τραπ. υπηρεσίες που παραβιάζουν το ισχύον νομοθετικό πλαίσιο Δνση 7 -G- 7
ΑΝΑΠΤΥΞΗ ΠΛΑΝΟΥ ΕΛΕΓΧΩΝ -Πλάνο Ελέγχου προς την Επιτροπή Ελέγχου- RISK OWNER IR RR CES Adjusted Score GROUP Group Score Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξ/μένους εκπροσώπους τους Οι Teller υπεξαιρούν μετρητά από το ταμείο τους. 0 Κατ/μα -G- Καταστρέφεται το μηχανογραφικό κέντρο της τραπέζης Τρίτοι αποκτούν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της τραπέζης 0 0 9 Η/Υ -G- 0 ΕΛΕΓΚΤΙΚΑ ΕΡΓΑ Σχεδιάζονται τραπ. υπηρεσίες που παραβιάζουντοισχύοννομοθετικό πλαίσιο Δνση 7 -G- 7 Στέλνονται λανθασμένα / ελλιπή στοιχεία (καταστάσεις) προς τις εποπτικές αρχές Δνση 6 Θα αποτελέσει αντικείμενο ελέγχου μόνο στην περίπτωση που επαρκούν οι ελεγκτικοί πόροι Υπάλληλοι υπεξαιρούν ποσά από λογαριασμούς που κινούνται σπάνια 0 Ο κίνδυνος υπερβαίνει τα επίπεδα ανεκτικότητας.
ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΚΤΙΚΩΝ ΕΡΓΩΝ -Αξιολόγηση Επιμέρους Κινδύνων- Εκτίμηση Μονάδας IR CES RR CONTROL MONITORING Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξουσιοδοτημένους εκπροσώπους τους Καταχώρηση στοιχείων εκπροσώπων στη σύμβαση από Γνωμάτευση Νομικών Υπηρεσιών. Αντιπαραβολή στοιχείων εκπροσώπων από Προϊστάμενο που υπογράφει.. Είναιταμέσαδιαχείρισης του κινδύνου επαρκή; ΝΑΙ 00%. Είναι τα μέσα μείωσης του κινδύνου (controls) αποτελεσματικά;. Είναιταμέσαεπιβεβαίωσης των παραπάνω (monitoring) αποτελεσματικά; Σε δείγμα 0 υπογεγραμμένων συμβάσεων με νομικά πρόσωπα (συνολικού ύψους εκ, ποσοστό 7%) αντιπαραβολή στοιχείων εκπροσώπων με σχετική γνωμάτευση, ημερομηνίας μικρότερης ίσης με αυτήν της συμβάσεως. 7 συμβάσεις (%) συνολικού ύψους 00.000 (,%) είχαν υπογραφεί από μη εξουσιοδοτημένους εκπροσώπους. 7% 7% 6% Εκτίμηση ΕΕ για τα μέσα διαχείρισης του κινδύνου : x 6% =
ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΚΤΙΚΩΝ ΕΡΓΩΝ -Αξιολόγηση Επιμέρους Κινδύνων- IR CES RR ACES ARR Εταιρίες αμφισβητούν την υπογραφή συμβάσεων από εξουσιοδοτημένους εκπροσώπους τους 7 Ο υπολειπόμενος κίνδυνος υπερβαίνει, σύμφωνα με την αξιολόγηση του Εσωτερικού Ελεγκτή, το όριο ανεκτικότητας. Εκτίμηση Μονάδας Αξιολόγηση Εσωτερικού Ελέγχου Αναφορά στην έκθεση ελέγχου ως ένα από τα βασικά ευρήματα Η σημαντικότητα των ευρημάτων του ελέγχου καθορίζεται όχι μόνο από την αξιολόγηση του υπολειπόμενου κινδύνου, αλλά και τη σύγκρισή του με το Επίπεδο Ανεκτικότητας ACES: Auditor s Control Effectiveness Score ARR: Auditor s Residual Risk
RISK BASED INTERNAL AUDIT ΚΑΙ ΝΕΟ ΠΛΑΙΣΙΟ ΕΠΟΠΤΕΙΑΣ ΑΠΟ ΤΗΝ ΤΡΑΠΕΖΑ ΕΛΛΑΔΟΣ (ΠΔΤΕ 77/006)