Integrált Kockázatkezelési Rendszer vizsgálata a Belső Ellenőrzés szemszögéből

Átírás

1 Integrált Kockázatkezelési Rendszer vizsgálata a Belső Ellenőrzés szemszögéből Belső Ellenőrök Társasága XV. Szakmai Konferencia december 11. Budapest Kattra István Integritás tanácsadó ÁEEK 1111

2 Témakörök 1. Röviden az integritásról 2. Aktuális Korm. Rendeletek, Szabályzatok 3. Az Integrált Kockázat Kezelési Szabályzat kialakítása, működtetése, vizsgálata 2

3 Az integritás fogalma, jellemzői Integritás a szervezet vezetője és az irányító szerv által meghatározott célkitűzéseknek, értékeknek és elveknek megfelelő működés, érték-vezérelt magatartás. Az integritás-alapon működtetetett szervezet a rendeltetésének megfelelően látja el feladatait; működése átlátható, elszámoltatható, tisztességes, etikus, feddhetetlen, és sebezhetetlen. A követett értékek, célok és az egyes személyek viselkedése összhangban áll, a szervezetek és munkatársaik minden szükséges lépést megtesznek, hogy a követett értékeknek megfelelően végezzék munkájukat. 3

4 Feddhetetlenség nem keresi a kiskapukat egyet jelent a fennálló szabályokhoz igazodó józan ésszel, egyet jelent a csapatba vetett bizalommal bizalmasan kezeljük, ami titkos nem vesztegetünk, és nem hagyjuk magunkat megvesztegetni: a korrupción alapuló döntések erkölcstelenek, torzítják a versenyt, ártanak a szervezet hírnevének, és megsértik a közjót minden munkatársnak ismernie kell a fogalom pontos értelmezését és ennek megfelelően kell viselkednie, cselekednie a mindennapokban segít dönteni, hogy mit tehetünk, és mit nem feltétele a saját cselekedeteink iránti felelősség. 4

5 Integritás a gyakorlatban A/Eset Egy pályázat, kérelem a határidő után érkezik be, személyesen hozták be, az egyik legelőnyösebb pályázat, a késedelem oka nagyon hihető, nem tehet róla. Méltányosságból befogadja-e a pályázatot úgy, hogy a határidőn belül érkeztetettnek tünteti fel? x határidő B/Eset Hivatali kocsival megy a legrövidebb útvonalon egy késő délelőtti találkozóra egy másik városban, közel jár egy nagy raktárépülethez, ahol egy személyes csomag vár magára. A hatékonyság érdekében megteszi a rövid kitérőt, hogy felvegye? Elintézi személyes ügyét? Megtenném? Megtegyem? Mások megtennék? 5

6 Új szabályzatok szükségesek (2016. október 1.) 370/2011 (XII.31) Korm. rendelet (Bkr.) 50/2013. (II.25) Korm. rendelet (Integritás rendelet: Int.) Áht. 69. (2) bekezdés (felelősség) Korábban: Szabálytalanságkezelési Szabályzat Intr. integritás bejelentések fogadása Aktuálisan: A Szervezet integritását sértő események kezelésének eljárásrendje Bkr kockázatok felmérése a szervezet valamennyi tevékenységére Intr integritás/korrupciós kockázatok kezelése Integrált kockázatkezelési szabályzat / eljárásrend A Bkr.-ben definiálásra került a szervezet integritását sértő esemény kifejezés, amely úgy került meghatározásra, hogy mind a korábbi szabálytalanságok fogalmi körét, mind az íratlan és egyéb értékalapú szabályok megsértésének eseteit is lefedje, tehát megfeleljen az integritás legszélesebb értelemben vett definíciójának. 6

7 A módosítások célja: A Bkr. és az Intr. (a belső kontrollrendszer és a korrupció megelőzését szolgáló belső intézkedések) közötti összhang megteremtése; A rendellenességek azonos eljárásrend keretében kerüljenek szabályozásra - mindkét területet magába foglaló egységes eljárásrend elkészítése; A párhuzamosságok kiszűrése; A két rendelet által alkalmazott terminológia egységesítése; A belső kontrollrendszer harmonizációja az integritással 7

8 Belső kontroll keretrendszer 5 eleme Bkr. 10 Bkr. 9 Integrált Kockázatkezelési Rendszer Bkr. 8 Bkr. 2 m, 7 Bkr. 6

9 Integrált Kockázatkezelési Rendszer (IKR) A különböző jogszabályokban előírt kockázatkezelés egyetlen koordinált folyamatban valósul meg Folyamatalapú kockázatkezelési rendszer, mely kiterjed a szervezet valamennyi tevékenységére; Egységes módszertan és eljárások alkalmazása; A szervezet kockázatainak teljes körű azonosítása (a célkitűzések és értékek figyelembevételével); Kockázatok meghatározott kritériumok szerinti értékelése; Kockázatok kezelésére intézkedési terv készítése; Monitoring 9

10 Az integrált kockázatkezelés folyamata A kockázatkezelés a szervezet céljai elérésével kapcsolatos kockázatok azonosításának és elemzésének, valamint a megfelelő válaszok meghatározásának folyamata. A kockázatkezelés egy állandóan változó folyamat. A folyamat az alábbiakat foglalja magába: 1. a kockázatok azonosítása; 2. a kockázatok kiértékelése (a 1. és 2. alpont együttesen: kockázatelemzés); 3. a szervezet kockázatokra való hajlamosságának (kockázatérzékenységének, kockázattűrésének) értékelése; 4. a válaszok kialakítása a kockázatokra; 5. az integrált kockázatkezelési intézkedési tervek megvalósítása, valamint a kockázatok és a kockázatokra kialakított válaszok folyamatos monitoringja. 10

11 Fogalom-meghatározások folyamatgazda: a szervezet adott folyamatáért általános felelősséget viselő vezető beosztású személy (A folyamatgazda a folyamat kialakításáért, dokumentálásáért és fejlesztéséért felel, ez jelenti a folyamatért való általános felelősséget, de nem veszi át a folyamatban résztvevőktől a felelősséget a folyamatban betöltött szerepük vonatkozásában); adatszolgáltató: adott szakterületen a kockázatok felmérésében, dokumentálásában közreműködő, a kockázatok kezeléséért felelős vezető által kijelölt munkatárs; integritás kockázat: a szervezet célkitűzéseit, értékeit, elveit sértő, vagy veszélyeztető visszaélés, szabálytalanság, vagy egyéb esemény lehetősége; integritáskontrollok: a szervezet azon eszközei, amelyekkel a meghatározott értékrendszerének érvényesülését a mindennapi feladatellátás során elősegíti, kikényszeríti (pl. jogszabályok, szabályzatok, etikai kódex, küldetésnyilatkozat). kockázat: pontosan előre nem látható, de azért nem elhanyagolható eséllyel, véletlenszerűen bekövetkező tehát még be nem következett esemény. kockázati tényezők: a kockázatok kiváltó okai, olyan tényezők, melyek kockázatot generálnak (több tényező egymást erősíti, ezáltal a bekövetkezés esélyét vagy hatását illetve mindkettőt növeli) 11

12 Az integrált kockázatkezelés folyamatában részt vevők: Költségvetési szerv vezetője Folyamatgazdák Munkatársak Kockázatkezelési Munkacsoport Integritás tanácsadó Belső ellenőr (kizárólag tanácsadói tevékenység keretében, független értékelés nyújtásával segítheti a kockázatkezelési munkacsoport munkáját). Kockázatkezelési Munkacsoport (a továbbiakban: Munkacsoport) az integritás tanácsadó, mint a Munkacsoport koordinátora, belső kontroll koordinátor (amennyiben kijelölésre került), valamint a folyamatgazdák. (Ügyrend, kijelölések?) 12

13 A kockázatkezelés módszertana A kockázati univerzum meghatározása (folyamattérkép és folyamat listák). A kockázatok azonosításakor az eredendő kockázatokat* tárjuk fel. A kockázatokat úgy kell megfogalmazni, hogy tartalmazza: az esemény kiváltó okát; az esemény hatását; és azt, hogy mely szervezeti célra van hatással az adott esemény. A kockázatok azonosítását az integritás tanácsadó koordinálja. A szervezeti és folyamati szintű kockázatok azonosításáért az egyes munkatársak közreműködésének igénybevételével a folyamatgazdák a felelősek. A kockázatok azonosításának eredményeképpen a Munkacsoport elkészíti az Integrált Kockázatkezelési leltárt (minden azonosított kockázattal) kockázatelemzés űrlap. *eredendő kockázat: a folyamatban rejlő összes kockázat, ami a belső kontrollrendszertől létezésétől független létezik; kontrollkockázat: a kiépített kontrollok nem képesek a hibák megelőzésére, feltárására; maradvány kockázat: a vezetés által a kockázatokra adott válasz után fennmaradó kockázat, már a tűréshatár alatt. 13

14 Kockázatértékelési Kritérium Mátrix (KKM) Minden kockázat alapvetően két kritérium alapján értékelhető: - a bekövetkezési valószínűség (KV), és - a szervezet céljaira gyakorolt negatív hatás (KH) alapján (a szervezet céljaira az elszalasztott/kihasználatlan lehetőségek is negatív hatást gyakorolhatnak). Pontosabb becslés az értékelési kritériumokra bontás (lényegesség, sérülékenység, reputáció)! Szint Értelmezés KV értéke Alacsony Bekövetkezhet, de nem valószínű 1 Közepes Elképzelhető, hogy bekövetkezik a jövőben 2 Magas 1 2 éven belül bekövetkezhet 3 Nagyon magas Várhatóan bekövetkezik a közeljövőben 4 KH értéke Hatás leírása Kis munkával, kevés erőforrással helyreállítható, jogszabályt nem sértő, munkavégzést nehezíti, de nem akadályozza, nincs mérhető reputációs kockázat. Többlet erőforrás bevonását igényli, de a funkciók ellátását nem akadályozza meg, munkavégzést nehezíti, előfordulhat reputációs veszteség. Kárt okoz (akár anyagit is), funkció ellátását akadályozza, az ÁEEK hírnevét befolyásolja. Jelentős (akár anyagit is) kárt okoz, alapfunkció nem működik, az ÁEEK hírnevét súlyosan befolyásolja, ellene jogi lépések, perek indulhatnak. Szint Alacsony Közepes Magas Nagyon magas 14

15 Kockázatok típusai stratégiai működési humán erőforrás pénzügyi megfelelősségi integritás/korrupciós biztonsági informatikai külső 15

16 Kockázatok értékelése, Kockázati Térkép A kockázati értéket (KÉ) a kockázat bekövetkezésének valószínűsége (KV) és a kockázat hatása (KH) értékek szorzataként kapjuk meg A folyamatgazda meghatározza a kockázatviselési hajlandóságát és javaslatot tesz a kockázatok csökkentésére vonatkozó stratégiára és a szükséges intézkedések megtételére Kezelhetőség vizsgálat Kockázat kezelhetősége Bekövetkezés Hatás Hatás valószínűségének kifejezhetősége mértékegysége befolyásolhatósága kifejezhető pénz befolyásolható (1) nem kifejezhető Hatás befolyásolhatósága befolyásolható (1) határidő részben befolyásolható (0,5) részben befolyásolható (0,5) minőség nem befolyásolható (0) nem befolyásolható (0) VALÓSZÍNŰSÉG megnevezése értéke nagyon magas 4 magas 3 közepes 2 alacsony értéke alacso ny közepes magas nagyon magas megnevezése HATÁS Kockázat Kockázati tényező felmerülésének terjedelme helye belső (1) egy tevékenységet érint külső (0) Kockázati tényező gyakorisága ismétlődő több tevékenységet érint alkalmanként fellépő Kezelhetőség minősítése A folyamatgazdák szintjén nem kezelhető kockázatok esetében a kockázatok értékelését, a delegált kockázati étvágyat és a kockázatok kezelésének stratégiáját a Munkacsoport alakítja ki A Kockázati Térképen a kockázatok értékelésének eredményeképpen meghatározott valószínűségi és hatás értékek alapján, mind a folyamatokat, mind az egyes kockázatokat el lehet helyezni. A Kockázati Térkép segítségével láthatóvá válnak a kockázati tűréshatárok Az összefoglaló kockázatelemzését az integritás tanácsadó előterjesztése alapján az első számú vezető hagyja jóvá. 16

17 A kockázati tűréshatárok meghatározása Az elfogadható kockázati értékekről az elsőszámú vezető dönt. Az alkalmazott kockázati tűréshatár feletti kockázati értékű kockázatok már nem elfogadható szintű kockázatok, válaszintézkedés szükséges. A kockázati értékek alapján a kockázatokat két csoportba kell osztani: 1. nem elfogadható kockázatok (intézkedés szükséges) 2. elfogadható, szinten tartható kockázatok (a kockázati tűréshatár és az alatti kockázatok felügyelet szükséges) Szervezeti szintű kockázati tűréshatár (egész szervezetre vonatkozik) Delegált kockázati tűréshatár (kisebb mint a szervezet egészére megállapított kockázati tűréshatár) Projekt kockázati tűréshatár (futó projektek) 17

18 Kockázatkezelési stratégiák Milyen módon reagál a vezetés a felismert kockázatokra? A kockázatok elkerülése: alapvetően a kockázati események bekövetkezési lehetőségének kivédését szolgáló eljárások. Előfordulhatnak olyan folyamatok, amelyek kockázatai csak akkor csökkenthetők elfogadható szintre, ha megszüntetnénk az adott tevékenységet. A közszférában erre nagyon korlátozottan van lehetőség. Kockázatok áthárítása, megosztása: a szervezet megpróbál olyan partnert találni, aki általában valamilyen kompenzáció fejében átvállalja a kockázatot a kockázat kezelésének felelősségével együtt (biztosítás, fedezeti felügyelet, feladatok kiszervezése, alvállalkozó). Kockázatok kezelése, csökkentése (leggyakoribb) Kockázatok viselése: a kockázatok megtartása, azok tudatos vállalásával (ha az eredendő kockázat nem jelentős, nincs lehetőség a csökkentésre) 18

19 Integrált Kockázatkezelési Intézkedési Terv A kockázatok csökkentésére kialakított stratégiákat és válaszlépéseket intézkedési tervbe szükséges foglalni. Az Integrált Kockázatkezelési Intézkedési Tervet az integritás tanácsadó előterjesztésére az elsőszámú vezető hagyja jóvá. Integrált kockázatkezelési leltár és kockázatelemzés alapján kell a kockázatkezelési intézkedésről dönteni (pl. magas KÉ esetén a Munkacsoport szerint a kontrollok kezelik a kockázatot, így nem szükséges beavatkozás). Szükséges intézkedés Az intézkedés által kezelni kívánt kockázat/kockzati tényező Érintett folyamat/projekt/ szervezeti egység Szükséges intézkedés Határidő és a Beszámolás formája Intézkedésért felelős személy Megvalósítás státusza Maradványkockázat 19

20 Belső Ellenőrzés integrált kockázatkezeléssel kapcsolatos feladatai értékeli a szervezet integrált kockázatkezelési rendszerét és javaslatot tesz annak fejlesztésére; tanácsadó tevékenysége keretében a szervezetről és a szervezeti kockázatokról való átfogó ismereteivel támogatja a kockázatok elemzését; a belső ellenőrzés folyamatgazdájaként azonosítja és értékeli a saját folyamatának kockázatait, meghatározza a kockázatok csökkentésére vonatkozó intézkedéseket. Belső Ellenőrzés kockázatértékelése BE IT IKR 20

21 Belső Ellenőrzés kockázatkezeléssel kapcsolatos ellenőrzési feladatai Bevezetés alatt az IKR: Ütemterv készült a bevezetésre? Szabályzat készült és megfelelő? Folyamatalapú folyamatleírások, ellenőrzési nyomvonalak elkészültek? Koordinálásért felelős kijelölése megtörtént? Integritás tanácsadó vagy más? Munkacsoport megalakítása megtörtént? Tagok kijelölése, ügyrend, alakuló ülés? IKR működtetése esetén: Folyamatok azonosítása megfelelő? Az ellenőrzési nyomvonalak folyamatalapúak? Folyamatgazdák kijelölésre kerültek? Ki lett jelölve az integrált kockázatkezelési rendszer koordinálásáért felelős személy? Ha van integritás tanácsadó, akkor Ő lett kijelölve? Szabályzatot kellett módosítani? Ha igen, megfelelően módosították? 21

22 Belső Ellenőrzés kockázatkezeléssel kapcsolatos ellenőrzési feladatai Kockázati univerzum? Kockázatok megfogalmazása teljes (ok/esemény hatása/mely szervezeti célra van hatással)? KK Mátrix, kockázati térkép készült? Integrált kockázatkezelési leltár készült? Nevesítésre kerültek benne a kockázatok típusai? Kockázati tűréshatár meghatározásra került? Monitoring milyen módon történik? Integrált kockázatkezelési intézkedési terv készült? Vezetői nyilatkozat? 1. melléklet a 370/2011. (XII.31) Kormány rendelethez 22

23 Vezetői felelősség Áht. 69. (2) bekezdése értelmében a belső kontrollrendszer létrehozásáért, működtetéséért és fejlesztéséért a költségvetési szerv vezetője felelős. Bkr. 7. (1) A költségvetési szerv vezetője köteles integrált kockázatkezelési rendszert működtetni. Vezetői nyilatkozat (Bkr. 1. sz. mell) kitöltése a szervezet minden tevékenységére vonatkozik, a vezető értékeli a belső kontrollrendszer minőségét (tárgyévet követő év április 30-ig az éves költségvetési beszámolóval együtt). Az aláírás minden esetben felelősségvállalás az aláírt dokumentum tartalmáért, emellett tanúsítja a kontroll végrehajtását. nyugodtan írja alá? nyugodtan írja alá! 23

24 Az integrált kockázatkezelés folyamatának időbeli sorrendje A kockázatok értékelését a folyamatgazdák megküldik a Munkacsoport részére tárgyév szeptember 30. napjáig. A Munkacsoport elkészíti a Kockázatkezelési nyilvántartó lapot tárgyév október 15. napjáig. A Munkacsoport tárgyév október 31. napjáig megküldi a Belső Ellenőrzési Főosztály részére a rendelkezésre álló kockázati táblák és intézkedési tervek másolatát (BE éves terv november 15!!). A Munkacsoport tárgyév december 01. napjáig elkészíti és felterjeszti jóváhagyásra az elsőszámú vezetőnek az Integrált Kockázatkezelési Intézkedési Tervet. Az elsőszámú vezető az Integrált Kockázatkezelési tervet tárgyév december 31. napjáig jóváhagyja. 24

25 Amiről nem beszéltem Szervezeti integritást sértő események kezelésének eljárásrendje - bejelentések fogadása, kivizsgálása - bejelentők védelme Érdekérvényesítőkkel való találkozás eljárásrendje Ajándékok elfogadásának illetve visszautasításának szabályozása (etikai kódex) Panaszok és közérdekű bejelentések fogadása, eljárásrendje Az integritás tanácsadó feladatai, kinevezése, képzése Korrupció esetei 25

26 Köszönöm a megtisztelő figyelmet! kattra.istvan@aeek.hu