Dílna interního auditu: VŘKS

Transkript

1 Dílna interního auditu: VŘKS ČIIA Konference Šindlerův Mlýn Tomáš Pivoňka Vendula Kožíšková

2 Page 2 Presentation title Cíle a očekávání Na jedné straně ponku Ukázat cesty k hodnocení VŘKS Prožít příjemný a inspirativní čas Na druhé straně ponku?

3 Cesty Dílny Použijeme (doufejme ) kombinaci metod vzdělávání (sdělení metodik) microteachink (vysvětlování a argumentace účastníků mezi sebou) diskusi a závěrečné shrnutí Page 3

4 a vojín Kefalín, čo to je také VŘKS? COSO Internal Control (řídicí a kontrolní systém) je proces ovlivňovaný představenstvem společnosti, vedením a dalšími pracovníky, s cílem poskytnutí přiměřené jistoty při dosahování cílů týkajících se provozu, reportingu (informace) a compliance (soulad). Řečí lidskou Vše Vše, co organizace používá k tomu, aby dosáhla svých cílů V auditované oblasti - Jak manažeři řídí tuto oblast = čím dosahují plnění svých cílů Lidé Procesy a organizace Nástroje (IT) Page 4

5 VŘKS ve veřejném sektoru...vnitřní kontrolní systém, který vytváří podmínky pro hospodárný, efektivní a účelný výkon veřejné správy (PROVOZ) je způsobilý včas zjišťovat, vyhodnocovat a minimalizovat provozní, finanční, právní a jiná rizika vznikající v souvislosti s plněním schválených záměrů a cílů orgánu veřejné správy (?), zahrnuje postupy pro včasné podávání informací příslušným úrovním řízení o výskytu závažných nedostatků a o přijímaných a plněných opatřeních k jejich nápravě (REPORTING) vnitřní kontrolní systém, který se skládá z řídící kontroly a Interního auditu vnitřní kontrolní systém, který je každoročně hodnocen IA hodnotí obecnou kvalitu VKS v roční zprávě Page 5 Presentation title

6 VŘKS ve finančním sektoru (banky) IA provádí vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému (alespoň jednou ročně), včetně: dodržování pravidel obezřetného podnikání dodržování stanovených zásad, cílů a postupů, systém řízení rizik včetně interních přístupů a interních modelů a systém vnitřní kontroly, finanční řízení a řádnost hospodaření, úplnost, průkaznost a správnost vedení účetnictví, spolehlivost a bezrozpornost účetních, statistických a dalších informací funkčnost a bezpečnost informačního a komunikačního systému Page 6 Presentation title

7 VŘKS budoucnosti? GRC Governance, Risk, Compliance Dle : Je systém tvořený lidmi, procesy a technologií, který organizaci umožňuje: Pochopit a prioritizovat očekávání stakeholderů Stanovit cíle společnosti v souladu s hodnotami a riziky Dosáhnout cílů při optimalizaci rizikového profilu a zachování hodnoty Fungovat v právních, smluvních, interních, sociálních a etických mantinelech Poskytovat relevantní, spolehlivé a včasné informace příslušným stakeholderům GRC typicky zahrnuje: Governance Strategy and Business Performance Management Risk Management Compliance Internal Control Corporate Security Legal Information Technology Business Ethics Quality Management Sustainability and Corporate Social Security Human Capital and Culture Audit and Assurance Finance Page 7 Zdroj: OCEG, GRC Capability model Red Book 2.0

8 Komponenty GRC Page 8 Zdroj: OCEG, GRC Capability model Red Book 2.0

9 Prvky GRC Page 9 Zdroj: OCEG, GRC Capability model Red Book 2.0

10 Diskuse 1. kolo K čemu je pro IA dobré umět pracovat s VŘKS a s jeho hodnocením? V kterých situacích? Co se vám osvědčilo? S jakými výzvami se potkáváte? Page 10

11 Role IA Náklady Strategický poradce Společnost Garant VŘKS Procesní IA (end-to-end) Procesy Kontrola (vyhledávání chyb) Činnosti Hasič požárů Přidaná hodnota Page 11

12 Realizace auditu Výběr cílů Prioritizovaná rizika z hodnocení rizik Očekávání managementu a výboru pro audit Očekávání zákazníků auditu Záměry interního auditu - VKS Přiřazení priorit Přiřazení potřebných zdrojů Ověření se zákazníky auditu a vedoucím interního auditu Finální výběr cílů auditu Osobní cíle členů auditního týmu Sociální aspekty Morálka / Stát Etika Vrátní a spol. Zákazník auditu 06 Rodina auditora Auditovaní Auditor 02 Profesní standardy Ne všechny cíle je možné realizovat v interním auditu Nadřízení auditora Management společnosti Auditní tým Ochrana přírody 04 Politická situace Strana 12

13 20% 15% 10% 5% 0% Consumera Consumer TMT spending a in US GDP for US Consumer TMT spending growth significantly out-performs GDP growth 20% 15% 10% 5% 0% SME and Corporate c TMT spending Corporateb Corporateb GDP for industrial countries E 2003E 2004E SME and Corporate TMT spending growth is is ahead of GDP growth 20% 15% 10% 5% 0% GDP for industrial countries Governmentb Government c TMT spending E 2003E 2004E Government TMT spending growth is is counter cyclical to GDP growth Realizace auditu Testovací strategie Vytvoř strategii 1. Normativní procesní model Vyber vzorek, detailně otestuj, vyhodnoť výsledky 5. Doplnění RCM Scénáře Podvodného Jednání Interpretace důsledků Rizika Ujištění o pokrytí Kontrolní mechanismy Ujištění o úplnosti 2. Flowchart procesu Strana Matice rizik a kontrol Risk & Control Matri A) POBJ Byla ve VŘ Datum Popis nakupované Celková Pokud byla celková částka zvolena Kdo vystavil vystavení komodity (zboží Objednávané Jednotková částka na větší než Kč, nejvýhodnější RB1 RB2 RB3 RB4 RB5 RB6 RB7 RB8 RD0 RD1 RD2 RD3 RD4 RD5 RI1 RI2 RI3 RI4 RI5 RI6 RI7 RI8 RI9 RI10 # RI11 Č. POBJ RM1 RM2 POBJ? RM3 RM4POBJ RM5 RM6 nebo RM7 služba) RM8 RM9 Dodavatel RM10 RM11množství RM12 RM13 RZ1 cenarz2 RZ3 POBJ RZ4 proběhlo VŘ? nabídka? (RCM) NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO Kč Kč ano/ne ano/ne CB1 1 CB2 2 CB3 3 CB4 4 CD0 5 CD1 CD2 CD3 4a. Analytická revize CD4 CI1 GDP and TMT spending growth by customer segment in industrial countries Small Medium CI2 Consumer a Enterprise b CI3 CI4 CI5 CI6 CM1 CM2 CM3 CM4 CM5 CM6 CM7 CM8 CM9 CM10 CM11 CM12 CM13 CZ1 CZ2 CZ3 CZ4 4b. Testovací matice

14 Prezentace výsledků Audit - proč to celé děláme?? Cíl interního auditu Změnit Přesvědčit Informovat Popsat Cílem interního auditu je řešit současný stav. Interní auditor se primárně zabývá nejen tím, jak jeho výstup ovlivní názory vybraných osob, ale také přímo jeho reálnými dopady. Interní auditor se může posunout do role facilitátora změn. Cílem interního auditu je prokázat nezbytnost řešení současného stavu. Interní auditor se primárně zabývá nejen tím, kdo se seznámí s jeho výstupem, ale také tím, jak tento výstup ovlivní názory vybraných osob. Cílem interního auditu je seznámit vybrané osoby se současným stavem. Interní auditor se primárně zabývá nejen zpracováním kvalitního výstupu, ale také tím, kdo se s tímto výstupem seznámí. Cílem interního auditu je věrně zobrazit současný stav. Interní auditor se primárně zabývá zpracováním kvalitního výstupu. Page 14

15 Jak hodnotit VŘKS? Kde se můžeme pohybovat? Hodnocení dílčí - na úrovni oblasti/procesu/aktivity Hodnocení komplení na úrovni organizace společnosti Někde mezi Co můžeme použít? 1. COSO 2. Byznysový pohled 3. Pohled VpA (zzzzzzvysoka) 4. Pragmatický pohled Page 15

16 Přístupy k hodnocení VŘKS 1. COSO Page 16 Presentation title

17 COSO Internal Control Integrated Framework COSO v číslech Poprvé 1992, podruhé 2007 (ERM), potřetí úrovně cílů, 5 prvků, 16 principů, 81 faktorů (vlastnosti principů) 3 Úrovně cílů 5 Komponent Provozní Reporting Kontrolní prostředí Hodnocení rizik Kontrolní aktivity Informace a komunikace Monitoring Shoda Organizace Divize/ Organizační složka Obchodní jednotka Oddělení 4 Úrovně zkoumání COSO Cube (1992 Edition) COSO Cube (2013 Edition) Page 17

18 Kontrolní prostředí Hodnocení rizik 1. Prosazování integrity a etických hodnot 2. Vrcholové vedení vystupuje nezávisle na středním managementu a plní dohledovou roli 3. Management za dohledu vrcholového vedení nastavuje strukturu, pravomoc a odpovědnost 4. Organizace ctí závazek ke kompetentnosti (vč. vzdělávání a certifikace) 5. Organizace má nastaven princip osobní zodpovědnosti 6. Společnost disponuje dostatečným počtem zaměstnanců s ohledem na cíle VKŘS 7. Jsou specifikovány relevantní a dostatečně jasné cíle (výkonnostní ukazatele), které umožňují identifikaci rizik 8. Jsou identifikovaná a zhodnocená rizika 9. Organizace zahrnuje možnosti podvodu do hodnocených rizik 10.Jsou identifikovány a zhodnoceny významné změn, které mohu mít vliv na systém vnitřní kontroly Kontrolní činnosti 10.Jsou vybírány a rozvíjeny kontrolní aktivity 11.Jsou vybírány a rozvíjeny obecné IT kontroly 12.Kontroly jsou zavedeny ve směrnicích a postupech Informace a komunikace 13.Organizace získává či vytváří relevantní a kvalitní informace 14.Probíhá interní komunikace 15.Probíhá eterní komunikace Monitoring 16.Jsou vybírána, rozvíjena a prováděna průběžná a oddělená hodnocení funkčnosti VŘKS 17.Dochází k vyhodnocování a komunikaci nedostatků a nápravným opatřením Page 18

19 COSO Komplení hodnocení VŘKS Příklad (Shrnutí hodnocení) Snížené hodnocení stavu VKS celé společnosti (dle oblastí COSO): Monitoring Informace a komunikace Kontrolní aktivity Řízení rizik Kontrolní prostředí Hodnocení jednotlivých prvků VKS Zelená přiměřený stav VKS Žlutá prostor pro zlepšení VKS, který není kritický COSO Cube (1992 Edition) Kontrolní prostředí Neeistence programu prevence a detekce podvodných jednání Kontrolní aktivity Nepřesná struktura vnitřní řídicí dokumentace Neúplné nastavení kontrolních mechanismů v procesu nákupu Informace a komunikace Nedostatečná úroveň koordinace kontrolních činností v oblasti institucionální kontroly Monitoring Neúplné pokrytí všech významných oblastí / procesů interním auditem Nepřesně upravený monitoring stavu plnění nápravných opatření z IA COSO Cube (2013 Edition) Page 19

20 COSO Komplení hodnocení VŘKS Příklad (Přístup k hodnocení) Zaměření 1. Posouzení manažerského kontrolního systému 2. Posouzení institucionální kontroly (specializovaných kontrolních funkcí) 3. Vyhodnocení reakce na zjištění z provedených IA a nálezů EA Rozsah 1. Adekvátnost nastavení kontrol odpovídá předmětu podnikatelských aktivit 2. Úplnost všechny významné oblasti hodnocených procesů jsou pokryty kontrolami 3. Neposuzovali jsme funkčnost nastavených kontrol Metodika 1. Rozhovory Celkem jsme provedli 23 rozhovorů s manažery/členy orgánů 2. Analýza vnitřní řídicí dokumentace Celkem jsme analyzovali přes 50 vnitřních předpisů 3. Manažerské sebehodnocení ( Control Self Assessment ) Osloveno 86 manažerů na úrovních B, B-1, B-2 Elektronický dotazník vyplnilo 70 % manažerů Page 20 Presentation title

21 Komplení hodnocení VŘKS Příklad (Shrnutí sebehodnocení) Monitoring (1,52) Kontrolní prostředí (1,72) 2 1,8 1,6 1,4 1,2 1 Ohodnocení rizik (1,63) Informace a komunikace (1,68) Kontrolní činnosti (1,71) Největší prostor pro zlepšení se nachází v oblasti VKS Kontrolní prostředí V rámci oblasti Kontrolní prostředí byla nejhůře hodnocena komponenta Integrita a etické hodnoty Dosud nebyl vydán Etický kode společnosti Nejsou stanovena pravidla prevence podvodných jednání a postupů při jejich vyšetřování Téměř polovina manažerů neví nebo nesouhlasí, že všechny odpovědnosti jsou v XY řádně odděleny tak, aby žádný jednotlivec nemohl kontrolovat všechny fáze daného procesu Nejlépe byla manažery hodnocena oblast Monitoring V XY jsou vhodně nastavené mechanismy pro včasnou identifikaci nedostatků, včetně Interního auditu COSO Cube (1992 Edition) COSO Cube (2013 Edition) Page 21

22 Holdingová společnost Dceřiná společnost 1 Dceřiná společnost 2 Dceřiná společnost 3 Dceřiná společnost 4 COSO Dílčí hodnocení VŘKS Příklad (Shrnutí hodnocení) Audit oblasti Oprávnění k výkonu činností Kontrolní prostředí Hodnocení rizik Kontrolní činnosti Cílem bylo poskytnout ujištění o dodržování legislativy v oblasti plnění požadavků pro udělení oprávnění pro výkon specifických činností a pro udržení jejich platnosti Informace a komunikace Monitoring COSO Cube (1992 Edition) COSO Cube (2013 Edition) Page 22

23 Diskuse 2. kolo Jaké jsou Vaše zkušenosti s používáním COSO? Komplením hodnocením (entity level)? Co byste doporučili ostatním? Cimrmanovské slepé uličky? Page 23

24 Přístupy k hodnocení VŘKS 2. Byznysový pohled Page 24 Presentation title

25 Byznysový pohled aneb Cesta tam a zase zpátky COSO se v prai ukázal jako nezajímavý/neuchopitelný pro eekutivní management (zejm. u hodnocení na úrovni procesu) Pokusy jak zredukovat kompleitu VŘKS do jednoduchých, uchopitelných schémat s bysnysovým jazykem Postupným vývojem jsme v EY dospěli k metodice 3+1 Ta funguje jako obecné, myšlenkové prizma (vždy) a jako prezentační nástroj (někdy) Často používáme více customizované/detailní Maturity modely Končíme tím, že hodnotíme (na úrovni oblasti/procesu) systém ŘÍZENÍ a KONTROLY Page 25

26 Prolog - hodnocení VŘKS pomocí hypotéz Cílem auditu Skladování materiálu a nástrojů je poskytnout managementu ujištění o eistenci a efektivitě klíčových kontrolních mechanizmů v oblasti skladování materiálu a o dodržování principů BOZP v prai. Hlavní výroky 1. Pohyb skladových zásob je řádně zdokumentován a lze jej zpětně sledovat 2. S havarijními zásobami je řádně nakládáno Ověřované hypotézy a) Dodané zboží je řádně přijato a zdokumentováno (je prováděna kontrola dodacího listu vs. skutečně dodané zboží) b) Dodané zboží je skladováno na předem určeném místě principem FIFO c) Dodané zboží je předmětem kontroly kvality d) Dodané zboží je správně zaznamenáváno do systému SAP e) Skladníci mají uzavřenou smlouvu o hmotné odpovědnosti f) Informace v systému SAP nemohou být zpětně změněny g) Zboží lze vydat ze skladu pouze na základě schválené výdejky a) Havarijní zásoby jsou ve skladu uspořádány odděleně b) Havarijní zásoby jsou ze skladu vydávány pouze na základě řádně schváleného dokumentu 3. Inventura skladových zásob je pravidelně prováděna 4. Ochrana majetku je ve skladech dostatečná 5. Principy bezpečnosti a ochrany zdraví jsou při skladování materiálu dodržovány Page 26 a) Inventura je pravidelně prováděna, zdokumentována a inventurní rozdíly jsou prověřeny a zohledněny na finančních účtech b) Eistuje vnitřní řídící dokumentace pro provádění inventur, která je v prai dodržována a) Doba použitelnosti zásob je pravidelně monitorována b) Přístup do skladu je zabezpečený a neoprávněné osoby do něj mají zamezený přístup (fyzické zabezpečení) c) Zásoby jsou chráněny před poškozením a jsou skladovány v podmínkách, které jsou jejich povahou vyžadovány (teplota, vlhkost, nosnost vybavení, způsob uložení) d) Zásoby jsou ve skladu uspořádány způsobem, který zajišťuje jednoduchou orientaci ve skladu a identifikaci jednotlivých zásob a) Pokyny pro bezpečnost a ochranu zdraví jsou ve vnitřní řídící dokumentaci stanoveny b) Vnitřní řídící dokumentace pro bezpečnost a ochranu zdraví je v souladu s legislativními požadavky c) Pokyny pro bezpečnost a ochranu zdraví jsou ve skladu v prai dodržovány Presentation title

27 Kapitola první - zhodnocení VŘKS auditované oblasti Hodnocení nastavení VŘKS Hlavní řídící a kontrolní prostředky Stručné vysvětlení hodnocení VŘKS Vymáhání pohledávek po splatnosti Organizace Předpisy a postupy Pracovníci Standardní manažerské nástroje Odpovědnosti a pravomoci jsou vhodně rozděleny mezi tři útvary, které spolupracují a komunikují. Subproces vymáhání pohledávek po splatnosti je do značné míry popsán v podnikových normách. V rámci auditu ale byly identifikovány oblasti, které by bylo vhodné ve VŘD aktualizovat nebo doplnit jako například konkrétní rozdělení odpovědností a pravomocí mezi útvary sekce Prodej a oddělení Fakturace a pohledávky za elektřinu. Podrobněji viz zjištění č. 1. Odpovědnost za řízení kreditního rizika a výše pohledávky není jednoznačně přiřazena. Pravomoci a odpovědnosti oddělení Obchodně právní v procesu vymáhání pohledávek v segmentu B2B ještě před předáním těchto případů k právnímu vymáhání nejsou oficiálně definovány. Zaměstnanci nejsou dostatečně motivováni k řízení pohledávek po splatnosti. Podrobněji viz zjištění č. 1 a 2. Z 13 relevantních nástrojů je ve společnosti v segmentu B2B 7 nástrojů používáno zcela, 3 používány částečně (tj. s prostorem pro zlepšení) a 3 nástroje zatím nejsou používány. Ze 6 nástrojů, které jsou společností v segmentu B2B používány pouze částečně nebo nejsou používány, považujeme 4 nástroje za nástroje hlavní, které by dle našeho názoru měly být společností používány. Podrobněji viz zjištění č. 2, 4 a 5. Legenda: Hlavní využívaný řídící a kontrolní prostředek Důležitý využívaný řídící a kontrolní prostředek podporující hlavní Minimálně využívaný nebo nevyužívaný řídící a kontrolní prostředek Page 27

28 Kapitola druhá Vznik metodiky EY 3+1 Smysl / Byznys / Potenciál Lidé Postupy Nástroje Principy využití 3+1 VŘKS tak vyhodnocujeme z následujících tří hledisek: Lidé Postupy Nástroje V rámci vyhodnocování VŘKS klademe důraz na smysl (většinou byznysové potřeby auditované společnosti) Hlavní výhody a nevýhody přístupu Výhodou tohoto přístupu je jednoduchost a srozumitelnost pro management Oproti jiným přístupům (např. COSO) tento přístup obsahuje byznysový pohled Tento přístup je velmi přímočarý jde po příčinách a odhaluje hlavní nedostatky VŘKS Page 28

29 Kapitola třetí aplikace 3+1 Page 29

30 Kapitola třetí aplikace 3+1 (2) Page 30

31 Kapitola čtvrtá nutné odbočky (1) Komplení maturity modely VAZBA MEZI STRATEGII A PROVOZEM Vazba na strategii společnosti ANALÝZY FIREMNÍ VÝKONNOSTI FLEXIBILNÍ ARCHITEKTURA STRATEGIE ŘÍZENÍ KONTAKTNÍCH BODŮ ŘÍZENÍ a KONTROLA VÝKONNOSTI KOMUNIKACE A NÁSTROJE PRO PODPORU OPERÁTORŮ Produktivita operátorů PROCESNÍ WORKFLOW ROLE A ZODPOVĚDNOSTI Neustálé zdokonalování operátorů Spokojenost zaměstnanců KOUČINK ŠKOLENÍ KARIÉRNÍ PLÁNOVÁNÍ PRACOVNÍ PROSTŘEDÍ HODNOCENÍ VÝKONNOSTI ŘÍZENÍ KVALITY ODMĚŇOVÁNÍ MZDA A MOTIVACE ANALÝZA VÝKONNOSTI OPERÁTORŮ FIREMNÍ KULTURA IVR a ROZPOZNÁVÁNÍ ŘEČI ŘÍZENÍ VZTAHŮ SE ZÁKAZNÍKY (CRM) Architektura COMPUTER TELEPHONY INTEGRATION (CTI) ARCHITEKTURA APLIKACÍ MULTI-KANÁLOVÁ INFRASTRUKTURA Infrastruktura ŘÍZENÍ ODCHOZÍ KOMUNIKACE SMĚROVÁNÍ HOVORŮ a REAKCE NA PROVOZNÍ ŠPIČKY DISASTER RECOVERY a BCP PRACOVNÍ MÍSTO a PROSTORY HLASOVÁ a DATOVÁ SÍŤ BEZPEČNOST ŘÍZENÍ LIDSKÝCH ZDROJŮ Podpora a zabezpečení provozu PROJEKTOVÉ A ZMĚNOVÉ ŘÍZENÍ ZABEZPEČENÍ TECHNICKÉ PODPORY NÁBORY Page 31 Presentation title

32 Kapitola čtvrtá nutné odbočky (2) Komplení maturity modely Nedostatečná úroveň Podstandardní úroveň Standardní úroveň Nejlepší prae VAZBA MEZI STRATEGIÍ A PROVOZEM Cíle call centra nejsou definovány a/nebo komunikovány Cíle pro operátory nejsou definovány a/nebo komunikovány Cíle call centra jsou definovány bez vazby na cíle společnosti Nedostatečná komunikace cílů call centra směrem k zaměstnancům Neeistuje provázanost mezi cíli call centra a jeho zaměstnanců Cíle call centra jsou definovány s drobnými odchylkami od cílů společnosti Cíle zaměstnanců call centra jsou definovány, ne všechny mají vazbu na klíčové cíle společnosti Cíle call centra jsou plně sladěny s celkovými cíli společnosti Cíle zaměstnanců call centra jsou plně sladěny s cíli call centra Call centrum funguje jako profit centrum a přínos call centra je sledován a měřen vedením společnosti ANALÝZA FIREMNÍ VÝKONNOSTI FLEXIBILNÍ ARCHITEKTURA Omezená přesnost reportů (např. metody sběru dat náchylné k chybám) Omezená dostupnost a četnost dat (např. relevantní data nejsou shromažďována) Klíčové ukazatele výkonnosti nejsou definovány Dostupnost systémů a architektury je omezena na provozní dobu Omezená fleibilita při naplňování potřeb byznysu Vysoké náklady na vlastnictví Chybí prostor pro růst Ruční a automatizovaný sběr dat, který je méně náchylný k chybám Datová úložiště s definovanými reporty Zvýšená četnost (např. týdně) Ukazatele výkonnosti jsou definovány, ale nejsou poměřovány s cíli Systémy jsou dostupné na delší časové úseky, ale pořád eistují úseky nefunkčnosti Fleibilita při naplňování potřeb byznysu za cenu vysokých nákladů Vysoké náklady na celkové vlastnictví Omezený prostor pro růst Komplení, automatický a přesný sběr dat Přístup k úložištím dat a možnost přizpůsobení Zvýšená četnost (např. denně) Ukazatele výkonnosti jsou definovány a poměřovány s cíli Systémy jsou dostupné 24/7 s kombinací online a offline systémů Fleibilita přizpůsobení se potřebám byznysu s minimálními náklady Průměrné náklady na vlastnictví s omezenými náklady na podporu Dostatečný prostor pro růst Aktualizace v reálném čase zobrazené v dashboardovém náhledu (BAM Business Activity Monitoring) Data pro reporting jsou dostupná v reálném čase Sdílení pracovních míst Plná fleibilita pro přizpůsobení se požadavkům byznysu Nízké náklady na celkové vlastnictví Vazby na strategii společnosti STRATEGIE ŘÍZENÍ KONTAKTNÍCH BODŮ Neeistuje koncepce pro komunikaci mezi kontaktními body a zákazníkem Neeistuje definovaný model spolupráce a koordinace činností mezi zákazníkem a interními útvary Eistuje vysoká chybovost v předávání úkolů a velký objem nevyřízených požadavků Všechny zákaznické požadavky jsou vyřizovány efektivně a včas Některé kontaktní body jsou řízeny odděleně Některé činnosti jsou prováděny duplicitně a některé požadavky zůstávají nevyřízeny Všechny zákaznické požadavky jsou evidovány (vč. sledování historie) Duplicitní činnosti jsou ojedinělé Veškerá historie komunikace se zákazníky je sdílena mezi kontaktními body Role a zodpovědnosti jsou definovány Strategie řízení kontaktních bodů je provázána na zákaznický segmentační model (diferencovaná péče o zákazníky v přístupu a kvalitě obsluhy na všech kontaktních bodech) Page 32

33 Krok pátý Kodifikace metodiky 3+1 Hodnocení řízení a kontrol Smysl Cíle auditované oblasti, jak jsou stanoveny / jak je vidí management. Tyto cíle poměřujeme s cíli, které v oblasti očekáváme v kategoriích: Hospodárnost Efektivita Zákaznický přístup Soulad s legislativou Lidé Procesy Nástroje Dostatečný počet Nastavení rolí Vzdělání a certifikace Integrita (nedochází k podvodům) Dodržování postupů Řízení oblasti, KPIs Definované a popsané postupy, pravomoci a odpovědnosti Kompletní, dostupná a aktuální dokumentace Struktura Pravidelný a funkční monitoring Informační systémy Page 33

34 Krok pátý Kodifikace metodiky 3+1 Identifikace potenciálu pro změnu Potenciál Potenciál hledáme v těchto rovinách: Hospodárnost Efektivita Zákaznický přístup Soulad s legislativou Lidé Procesy Nástroje Jsou kompetentní, oblast berou za svou, práce je baví, oblast rozvíjí. Umí řešit i situace nezachycené v postupech. Jsou motivovaní. Co je potřeba změnit, aby přispěly k naplnění potenciálu? Co je potřeba změnit, aby přispěly k naplnění potenciálu? Page 34

35 Krok šestý na úrovni společnosti Smysl a cíle Společnost se nechová jako komerční subjekt. Nedochází k naplňování hlavního cíle Společnosti, kterým je generování zisku prostřednictvím maimalizace výnosů a minimalizace nákladů. Dále není formulováno jasné zadání města jako vlastníka Společnosti (smlouva o obstarání správy nemovitostí a výkonu dalších práv a povinností) např. způsob nakládání se ziskem (viz kapitola 2.1 Zhodnocení). Základní úkoly správy nemovitostí (dle smlouvy s městem / SVJ) Společnost plní. Lidé Procesy Nástroje Lidí je dostatečný počet pro zajištění stávajícího rozsahu činností Eistuje volná kapacita, která by mohla být využita pro generování dodatečného zisku Jednotliví zaměstnanci mají kompetence / znalosti potřebné pro jejich náplň práce (pro technicko-administrativní činnosti) Zaměstnanci mají dlouholetou prai v oboru a byla zajištěna kontinuita činnosti (zaměstnanci působili v původním odboru správy majetku města před jeho transformací v městskou společnost) Jedna osoba v sobě spojuje tři role jednatel, ředitel a částečně i bytový technik Nejasné nastavení rolí a odpovědností Není stanoven základní systém řízení Společnosti (plány, reporting ) Pravidla a postupy pro poskytování služeb nejsou stanoveny (formálně popsány) Poměr náplně práce (služby poskytované pro město Štětí / Služby poskytované pro SVJ) neodpovídá příjmům společnosti Neeistuje ucelený přehled sazeb za poskytování služeb pro SVJ Jsou poskytovány služby městu i SVJ nad rámec smluvního ujednání Odměňování zaměstnanců není nastaveno výkonově Informační systémy (Pohoda a DES) vyhovují současným potřebám Společnosti Je zajištěna zastupitelnost pozic bytový technik a účetní Page 35 Presentation title

36 Shrnutí S metodikou 3+1 pracujeme jako s nástrojem hodnocení a změny na úrovni procesů / oblasti > Skrze tyto brýle hodnotíme proces/ oblast / společnost a identifikujeme potenciál pro rozvoj > V prvé řadě definujeme, jaký smysl/cíle by podle nás auditovaná oblast měla plnit > V druhé řadě zjišťujeme, jakou má vrcholový management představu o smyslu auditované oblasti a jakou strategii a cíle k jeho dosahování stanovili > 3 parametry hodnotíme vzhledem k tomu, jako pomáhají plnit smyslu, který má oblast plnit dle vrcholového managementu > Vše pak hodnotíme jako celek (jak funguje systém dohromady) např. slabé nástroje a nedostatečné procesy mohou dohnat lidé > Eistuje-li rozdíl mezi smyslem dle managementu ( jak je ) a smyslem dle nás ( jak má být ), identifikujeme potenciál pro rozvoj oblasti > S tímto potenciálem identifikujeme potřeby rozvoje 3 parametrů vzhledem k navrhované změně v části Smysl Metodika 3+1 použitelná pro hodnocení VŘKS u org. Jednotek, a SME organizací Page 36

37 Zkušenosti s vyhodnocováním VŘKS Význam VŘKS a očekávání managementu > Vyhodnocování VŘKS představuje jeden z pilířů práce IA > Management společností od interního auditu očekává, že ujištění nad stavem VŘKS je součástí všech interních auditů > Další poradenské a konzultační práce nad auditovaným procesem vycházejí z vyhodnocení VŘKS Co se osvědčilo > Schéma customizovat do podoby tzv. Maturity Modelu (zejm. u klíčových auditů > Maturity Model připravit ve spolupráci s epertem z prae > Díky Maturity Modelu oblasti a práci s vyššími rámci a smyslem lze výsledky hodnocení VŘKS lépe interpretovat > Pro zajištění optima není nezbytné, aby byly všechny hodnocené komponenty vyhodnoceny jako nejvyspělejší. Důležitý je správný mi vyspělosti. > Optimální je rovnováha komponenty Lidé na jedné straně a komponent Postupy a Nástroje na straně druhé > Management standardně oceňuje zejména byznysový kontet hodnocení Page 37

38 Diskuse 3. kolo Který z prezentovaných přístupů je pro Vás relevantní? Používáte jiný model/přístup? Kdy? Proč? Výhody/nevýhody? Page 38

39 Přístupy k hodnocení VŘKS 3. Pohled VpA (zzzzzzvysoka) Page 39 Presentation title

40 Desatero člena VpA 1.Jsou aktivity risk managementu, vnitřní kontroly, interního auditu v souladu s cíli a strategií společnosti? 2.Jsou aktivity risk managementu, vnitřní kontroly dostatečně nezávislé a mají adekvátní zdroje a kompetence? 3.Spolupracují/koordinují své aktivity funkce risk managementu, interního a eterního auditu? 4.Má společnost definovanou strategii řízení rizik, rizikový apetit a jasný proces řízení rizik? 5.Jakou pozornost věnuje vedení otázkám risk managementu, vnitřní kontroly, interního auditu? 6.Jak jsou nastaveny odpovědností za řízení rizik, efektivnost vnitřní kontroly a interního auditu? 7.Jak jsou klíčová/nová rizika, nedostatky a selhání kontrol komunikována, eskalována a řešena? 8.Pokrývá plán IA všechna klíčová rizika/oblasti? 9.Jsou nápravná opatření z provedených auditů a prověrek plněna řádně a včas? 10.Vydává IA roční hodnocení VKS? Page 40 Presentation title

41 Přístupy k hodnocení VŘKS 4. Pragmaticky Page 41 Presentation title

42 Přístup k ročnímu hodnocení pragmaticky 1. Vytvoření Risk/Audit Universe (za účasti eekutivního managementu) 2. Pokrytí Risk/Audit Universe ujištěním horizontu 3 až 5 let Interní audity (zejm.), eterní audit, eterním ujištěním Pravidelnou součástí interních auditů je hodnocení VŘKS auditované oblasti (na dohodnuté škále) 3. Komplení pravidelný reporting a hodnocení na dohodnuté škále Kvartálně průběžné info Ročně Zohlednění výsledků IA a jiných ujišťovacích funkcí za daný rok. Jaké máme vysvědčení? Co je achilovou patou? Co a jak pokryjeme příští rok? Page 42 Presentation title

43 EY Assurance Ta Transactions Advisory Informace o EY EY je předním celosvětovým poskytovatelem odborných poradenských služeb v oblasti auditu, daní, transakčního a podnikového poradenství. Znalost problematiky a kvalita služeb, které poskytujeme, přispívají k posilování důvěry v kapitálové trhy i v ekonomiky celého světa. Výjimečný lidský a odborný potenciál nám umožňuje hrát významnou roli při vytváření lepšího prostředí pro naše zaměstnance, klienty i pro širší společnost. Název EY zahrnuje celosvětovou organizaci a může zahrnovat jednu či více členských firem Ernst & Young Global Limited, z nichž každá je samostatnou právnickou osobou. Ernst & Young Global Limited, britská společnost s ručením omezeným garancí, služby klientům neposkytuje. Pro podrobnější informace o naší organizaci navštivte prosím naše webové stránky ey.com Ernst & Young, s.r.o. Ernst & Young Audit, s.r.o. E & Y Valuations s.r.o. Všechna práva vyhrazena. Tento materiál má pouze všeobecný informační charakter, na který není možné spoléhat se jako na poskytnutí účetního, daňového ani jiného odborného poradenství. V případě potřeby se prosím obraťte na svého konkrétního poradce. ey.com