Risk management a Interní audit Zkušenosti z implementace systému řízení rizik v ČD a ve Skupině ČD projekt Corporate Governance (panelová diskuse)
Požadavky na řízení rizik - Corporate Governance 9. Společnosti musí uveřejnit informace o rozumně předvídatelných významných rizicích včetně rizika, které je specifické pro dané odvětví a zeměpisnou oblast. 13. Společnosti by měly ve svých zprávách uveřejňovat existenci a povahu systému rizik Představenstvo, dozorčí rada, výbor pro audit plní určité klíčové funkce: - Revize a formulace strategie společnosti, plány velkých akcí, politika vůči riziku, - Zajišťování integrity systému účetnictví a finančního výkaznictví společnosti včetně nezávislého auditu, zejména systému řízení rizika, finančního řízení, - Vést tvorbu strategie společnosti, hlavních plánů činnosti, politiky rizika, ročního rozpočtu a podnikatelského plánu - Odpovědnost za analýzu rizik, stanovení limitu rizik a soustředění se na nejzávažnější rizika, která mají nebo mohou mít negativní vliv na podnikatelskou činnost - Dohlížet na významná rizika, jako je riziko zpronevěry finančních prostředků, riziko selhání techniky a přírodních katastrof včetně rizika poškození zdraví a poškození životního prostředí 2
Získaná hodnota/ realizovaný přínos Trendy vývoje řízení rizik - integrovaný risk management Nepřetržité a komplexní řízení rizik Jednorázové a izolované řízení rizik Řízení pojistitelných rizik Omezení na vybraná rizika (zpravidla pojistitelná) Řízení vybraných skupin (oblastí) rizik Izolované řízení souborů rizik seskupených do skupin dle rizikových oblastí (bezpečnostní rizika, finanční rizika atd.) Integrované řízení rizik Strategie, organizace a procesy, jejichž cílem je rizika posoudit (identifikovat, určit zdroj, kvantifikovat) řídit (kontrolovat, převádět, redukovat,..) monitorovat a vykazovat integrované komplexy rizik Metodika řízení rizik - míra integrace 3
Integrované řízení rizik komplexní (systémové, celopodnikové) řízení rizik s plnou funkčností v celém cyklu nepřetržitého o o o o o zjišťování, vyhodnocování, zvládání (zabezpečování, zajišťování, hedging), monitorování a vykazování významných rizik, s vlastní organizační strukturou, s účinnou informační podporou a plnící též funkci včasného varování Pozn.: V podnikové sféře - Enterprise Risk Management (ERM) celopodnikové (korporátní) řízení rizik 4
Vybrané přednosti integrovaného řízení rizik pro vlastníky a analytiky Systém řízení rizik je účinnou cestou pro včasné upozornění na narůstající rizika ( zaměstnanci je nenesou pouze na svých bedrech ) Usnadňuje získání podpory pro řešení komplikovaných a stresujících rizikových problémů (často i prostřednictvím nových investic). Umožňuje lepší vymezení pravomocí a odpovědností Fungující řízení rizik oceňují auditoři, bezpečnostní technici, IT specialisté, personalisté, plánovači a manažeři velkých rizikových projektů 5
Hlavní oblasti projektu Corporate Governance Interní audit Řízení rizik Compliance Společenská odpovědnost (CSR) Základní dokumenty systému řízení rizik: Statut Výboru pro řízení rizik Politika řízení rizik Manuál řízení rizik Další dokumenty: Uživatelské příručky pro SW nástroje, IT podpora apod. 6
Základní rámec Corporate Governance Interní audit Řízení rizik 7
Akční plán implementace Risk Managementu v ČD a ve Skupině ČD Cíl: Zkvalitnění správy a řízení společnosti ČD, a.s. - zlepšení procesů v oblasti řízení rizik dle Corporate Governance (rating ČD) závěrů projektu Hlavní úkoly: 1. Vytvořit komplexní systém pro identifikaci, analýzu, měření, zvládání, monitorování, vykazování, konsolidaci a komunikaci o všech významných rizicích za účinné IT podpory. podnikatelských 2. Ve spolupráci s vlastníky rizik (ŘO) průběžně omezovat negativní dopady rizik na hospodářský výsledek a cash flow ČD a Skupiny ČD. Listopad 2010 Návrh Akčního plánu 16.11.2010 31.01.2011 28.02.2011 31.5.2011 31.12. 2011 Implementace Risk managementu v ČD a ve Skupině ČD Hlavní fáze 1 Analýza stavu ŘR v ČD - návrh akčního plánu (konceptu ŘR) 2 Aktualizace Katalog rizik ČD Pravidla pro ŘR ve Skupině ČD 3 Konsolidace rizik ČD Politika řízení rizik DS 4 Manuál řízení rizik Katalogy rizik DS 5 Školení v oblasti ŘR IT podpora ŘR Průběžná komunikace a spolupráce s VŘR, VpA a vedením společnosti ČD a podpora při implementaci řízení rizik 8
IT podpora řízení rizik IT podpora - rychlost její odezvy je určována rozsahem datové základny systému řízení rizik, náročností metod řízení rizik rychlostí / cykličností hlavních aktivit organizace Speciální nároky plynou z např. přístupových práv archivace Softwarové prostředky od jednoduchého MS Excelu až po sofistikovaný specializovaný SW a integrované systémy Prostředky MS Office (MS Word, MS Excel atd.) Databázové systémy např. MS Access. Specializovaný software např. RIMIS, KIODEX, zpravidla webovské aplikace IT podpora realizovaná v MS Sharepoint Moduly integrovaných systémů a datové sklady - např. SAP GRC Business Objects Úzce specializovaný SW pro řízení speciálních rizik např. CRAMM analýza rizik IS/IT 9
Příklad specializovaného SW Ukázka 10
Hlavní úrovně risk managementu Organizační struktura systému řízení rizik se skládá ze tří úrovní - dohledové, řídící a výkonné: 1. Dohledovou roli plní Dozorčí rada, Výbor pro audit a Odbor interního auditu a kontroly. 2. Řídící roli plní Představenstvo, Výbor pro řízení rizik a Korporátní manažer rizik. VŘR a KMR úzce spolupracuje zejména s: Odborem interního auditu a kontroly, který: hodnotí funkčnost a účinnost systému řízení rizik, předkládá doporučení k optimalizaci systému řízení rizik a využívá výstupů řízení rizik pro svoji činnost - zejména pro plánování a realizaci auditů 3. Výkonnou roli plní vlastníci a analytici rizik - aktivní řízení přidělených rizik, monitoring a reporting rizik včetně vydávání včasného varování. 11
Organizační struktura ve Skupině ČD - rozdělení odpovědností v systému řízení rizik 12
Případová studie - Vývoj počtu rizik v období 2010-2014 Prvotní analýza základních rizik společnosti provedena OIAK v r. 2010 Po implementaci Risk managementu v r. 2011: postupné snižování počtu rizik (duplicity, bezvýznamný vliv, reorganizace společnosti), upřesněny metody oceňování negativního vlivu rizik (E@R, CF@R), zkvalitnění pravidelného reportingu pro vedení společnosti, zvýšený důraz na aktivní řízení rizik (opatření k eliminaci negativního vlivu rizik), vydávání včasného varování. Počet identifikovaných rizik 100 90 80 70 60 50 40 30 20 10 0 89 59 46 40 33 2010 2011 2012 2013 2014 13
Případová studie - Aktivní řízení rizik úkoly: V oblasti RM přechod od analýz a mapování rizik k aktivnímu řízení rizik s důrazem na: Supervizi karet rizik (ověření ocenění významnosti, hodnocení KRI, limit /RA) aktivní role IA! Uplatnění systému včasného varování při překročení limitu risk apetitu u identifikovaného rizika aktivní role IA! Vyhodnocování přijímání a realizaci opatření k minimalizaci negativního vlivu identifikovaných rizik na výsledek hospodaření (propojení KRI na KPI strategického reportingu) aktivní role IA! Pravidelný monitoring a reporting (VŘR, VpA, PČD, DR) Zajištění IT podpory řízení rizik 14
Děkuji Vám za pozornost JUDr. Eduard Jeleň, CIA, CRMA Korporátní manažer rizik - GŘ ČD T: 9722 33436, M: (+420) 724 518 685 E: jelen@gr.cd.cz 15