Kockzatmenedzsment a kzszfrban Bels ellenrk klubja 2008 jnius

Kockázatmenedzsment a közszférában Belső ellenőrök klubja 2008. június 4.

• A költségvetési szervek részére 2004. január 1 -je óta írja elő jogszabály a FEUVE keretein belül a kockázatkezelést és kockázatelemzést.

Jogszabályi előírás • Ámr. 145/C. §-a: A költségvetési szerv vezetője köteles a kockázati tényezők figyelembevételével kockázatelemzést végezni, és kockázatkezelési rendszert működtetni. A kockázatelemzés során fel kell mérni és meg kell állapítani a költségvetési szerv tevékenységében, gazdálkodásában rejlő kockázatokat. A kockázatkezelés rendjének kialakítása során meg kell határozni azon intézkedéseket és megtételük módját, amelyek csökkentik, illetve megszüntetik a kockázatokat.

Pénzügyminisztérium által kiadott segédletek 1. www. pm. gov. hu - Ellenőrzési rendszer – FEUVE Dokumentumok a kockázatmenedzsmenttel kapcsolatban: • Kockázatkezelési útmutató melléklete

Mellékletek 1. A kockázatkezelés folyamatábrája 2. Kockázatazonosítási kérdőív 3. Egy kockázatértékelési példa 4. Kockázatok értékelésének dokumentálása, példa 5. Kockázati tűréshatár az egyes szervezeti szinteken 6. Útmutató a kockázatkezelési szabályzatra 7. Gyakorlati példa

Pénzügyminisztérium által kiadott segédletek 2. • Brit kockázatkezelési minták • Brit kockázatkezelés 1. • Brit kockázatkezelés 2.

I. BEVEZETÉS A KOCKÁZATMENEDZSMENTBE

Mi a kockázat? (1) Kockázat: • ismert negatív hatású, bizonytalan bekövetkezésű jövőbeli esemény • egy olyan esemény bekövetkezésének lehetősége, amely hatással lesz a kitűzött célokra • a tervezés jellegéből adódó bizonytalanság, valamint annak lehetősége, hogy az üzleti vagy projekt célok megvalósításának kilátásait valaminek a bekövetkezése befolyásolhatja

Mi a kockázat? (2) Bár a meghatározások száma végtelen, a kockázat lényege: • eltérés lehetősége a tervezetthez vagy elvárthoz képest • bizonytalanság, valószínűség.

Kockázat fogalma a közigazgatásban • Az Ámr. 2. § 63. pontja kifejezetten a közigazgatásra vonatkozóan definiálja a kockázatot: „kockázat: a költségvetési szerv gazdálkodása tekintetében mindazon elemek és események bekövetkezésének valószínűsége, amelyek hátrányosan érinthetik egy szerv működését. ” • Tágabb értelemben véve a kockázat mindazon események összességét jelenti, amelyek bekövetkezése hatással lehet a szervezet által kitűzött célok elérésére. Ez a hatás lehet negatív, illetve pozitív. Amennyiben pozitív hatásról van szó, azt definiálhatjuk lehetőségként.

Kockázatmenedzsment • A kockázatmenedzsment fogalma: a szervezet működését jelentős mértékben befolyásoló, az intézmény által nem vagy nehezen kontrollálható tényezők lehetséges negatív hatásainak a feltérképezése, illetve e hatások minimalizálását célzó tervek megfogalmazása. • A kockázatmenedzsment alapvető célja – hasonlóan a számvitelhez – a döntéshozók tájékoztatása, megfelelő információkkal való ellátása. Amiben mégis különbözik, hogy nem a múltbéli eseményekről tájékoztat, hanem a várható, a szervezet terveivel kapcsolatban esetlegesen a jövőben felmerülő lehetőségekről és veszélyekről.

Kockázatkezelés • A PM által közzétett útmutatók alapján a kockázatkezelést kettős értelemben használjuk: • az a tevékenység, amely magában foglalja a kockázatokkal kapcsolatos folyamatot (az azonosítástól kezdve az értékelésen keresztül a kezelésig, illetve a felülvizsgálatig) • az előző komplex tevékenységen belül a kockázatelemzés eredményeire támaszkodva az egyes kockázatok kezelését.

A kockázatkezelés és a kockázatelemzés helye a belső ellenőrzés rendszerében

FEUVE KOCKÁZATMENEDZSMENT Szabályzat a kockázatkezelés eljárási rendjéről Kockázatkezelési eljárás Folyamatba épített és vezetői ellenőrzési pontok kialakítása, módosítása FÜGGETLENÍTETT BELSŐ ELLENŐRZÉS 1. Szervezeti célkitűzések, és a hozzájuk tartozó kockázatok azonosítása 2. Kockázatok értékelése, kockázatelemzés 3. Kockázatkezelés 4. Felülvizsgálat Ellenőrzési terv

Kockázatmenedzsment folyamata • • • A kockázatmenedzsment – mint tevékenység egymástól elkülöníthető, de folyamatba szervezett lépések sorozata: meg kell határozni a célokat azonosítani kell a kockázatokat elemezni, értékelni kell a kockázatokra reagálni kell a kockázatokat, a kockázatok kezelésére hozott döntéseket felül kell vizsgálni, ellenőrizni kell

Szervezeti célok azonosítása

Szervezeti célok • Valamennyi költségvetési szerv általános célja (küldetése) az állami feladatként meghatározott szolgáltatások nyújtása, kedvező eredmények elérése a közérdekében. Ezzel az általános céllal összhangban kell állnia a szervezetek egyéni céljainak.

Kockázatok azonosítása

Kockázatok azonosítása 1. • Kockázatvizsgálat – kockázatok azonosítására külön „munkacsoport” jön létre • Kockázati önértékelés – a kockázatok azonosításában szervezet valamennyi területén dolgozó munkatárs részt vesz a tevékenységek kockázati szempontú vizsgálatában

Kockázatok azonosítása 2. Módszerek: • Kockázati önértékelési ívek (PM honlapján található kérdőív jól használható) • Munkamegbeszélések

Kockázatok azonosítása 3. - a kockázatok folyamatgazdái • A kockázatkezelés akkor a leghatékonyabb, amikor a szervezeti vezető kijelöli az adott kockázatok folyamatgazdáit, általában saját felelősségkörükön belül. (Ez gyakorlatilag minden tevékenységgel így van – általában nem beszélhetünk hatékony működésről, ha senki nem felelős az adott tevékenységért. ) • Ez gyakorlatilag azt jelenti, hogy az adott szervezeti egységeken belül, az egyes vezetők felelnek a kockázatok felismeréséért, kezeléséért. A kockázatkezelési tevékenység feladat és hatáskörét, a szabályzat, a munkaköri leírások, egy szervezeti vezetői utasítás, eljárásrend tartalmazhatja.

Kockázatok azonosítása 4. – kockázati kategóriák • Tiszta kockázat és üzleti kockázat ( a tiszta kockázat a várható veszéllyel fenyegető kockázatok, melyeknek csak két lehetséges kimenetele van: veszteség és változatlan állapotban maradás, üzleti kockázat esetén egy harmadik kimenetel is lehetséges, ez a nyereség) • Aktív és passzív kockázat (a passzív kockázat akkor is utolér minket, ha nem teszünk semmit, míg az aktív kockázatot magunk vállaljuk fel a nyereség reményében) • Lappangó és szinte előzmény nélkül kipattanó kockázat. • Szembeszökő és rejtett kockázat. • Gyorsan lefutó és tartós kockázat. • Közvetlenül vagy áttételesen ható kockázat. • Kockázattal szembesülhet egyetlen szervezet vagy adott típusba tartozó intézmények, adott esetben az egész közszféra • A kockázat érhet egyént, szervezeti egységet, s érheti a szervezet egészét.

Kockázatelemzés

Kockázatelemzés általában • A kockázatelemzés a kockázatkezelés lelke és agya. • A kockázatelemzés segít abban, hogy pontosan meghatározhassuk a költségvetési szervezetre vonatkozó legoptimálisabb kockázatkezelési eszköztárat. • A kockázatelemzés kiinduló pontja a különböző fő- és részfolyamatok részletes leírása.

Egyedi kockázatok elemzése • Értékelni kell az egyes főfolyamatokhoz tartozó egyedi kockázatokat, majd összesíteni kell azokat. • Számos technika és módszer található a szakirodalomban. • A Pénzügyminisztérium által elfogadott kockázatkezelési kritérium mátrixot (továbbiakban: KKM) a legoptimálisabbnak a költségvetési szervezetek esetében.

Egyedi kockázatok kezdeti értékelésének meghatározása • A belső ellenőrzés összehasonlítja a kockázat bekövetkezésének valószínűségét és hatását a KKM-ben szereplő értékelési kritériumokkal. • A belső ellenőrzés összesítheti a hatások és valószínűségek értékelését, a vizsgált egyedi kockázatra vonatkozóan. • Átfogó besorolást ad a kockázatnak, és a kockázati mátrix segítségével az alábbiaknak megfelelően jelöli a kockázat súlyát, fontosságát.

Az egyedi kockázatok összegzése folyamatok szerint • Az egyedi kockázatokat feltárásuk és fontosság alapján történt besorolásuk után folyamatok szerint csoportosítani kell. • A belső ellenőrzés a főfolyamathoz tartozó kockázatokból listát készít. • Ekkor még nem történt meg a kontrollok mélyreható elemzése. Erre a belső ellenőrzési vizsgálat későbbi szakaszában kerül sor.

A folyamat teljes körű értékelésének elkészítése A kockázatelemzés végeredményének kialakításához a belső ellenőrzésnek össze kell vetnie az egyes folyamatok átfogó kockázatelemzését a működési folyamatok jelentősége feltérképezésének és elemzésének eredményeivel. Ennek során két összetevőt kell bemutatni: Ø a vizsgált folyamat mennyire jelentős, fontos Ø a vizsgált folyamat mennyire kockázatos.

A kockázatok értékelése, az értékelés keretei I. • Bizonyos típusú kockázatok számszerűsíthetők (számszakilag értékelhetők, ld. pénzügyi kockázatok). • Más kockázatok értékelésére, mint pl. a hírnév, csak sokkal szubjektívebb értékmérés áll rendelkezésre.

A kockázatok értékelése, az értékelés keretei II. Szükséges azonban a kockázati kategóriák besorolási kereteit is kialakítani (pl. magas/közepes/alacsony), amelyeknél hasznos figyelembe venni az alábbi szempontokat: • Biztosítani kell, hogy az értékelés folyamata mind a kockázatok bekövetkezésének valószínűségét, mind azok hatását figyelembe vegye. • Az értékelés eredményeit olyan módon kell rögzíteni, hogy az megkönnyítse a kockázati prioritások meghatározását és a kockázatok folyamatos nyomon követését. • Az értékelés során szét kell választani a még kezdeti, nem kezelt, és a beavatkozás után visszamaradt kockázatokat.

A kockázatok értékelése, az értékelés keretei III. Az értékelés legegyszerűbb formája tehát egy – korábban már említett – kockázatkezelési kritérium mátrix, amelyben az alacsony–közepes–magas szinteket jelölhetjük meg. (A kockázat bekövetkezésének hatása, valamint a kockázat bekövetkezésének valószínűsége szerint. )

Kockázati tűréshatár A kockázati tűréshatár azt a szintet jelenti, ami felett a szervezet mindenképpen válaszintézkedést tesz a felmerülő kockázatokra. A kockázattűrő képesség meghatározása meglehetősen szubjektív, azonban a megfelelő kockázati stratégia kialakításának elengedhetetlen feltétele. Általában a kockázati tűréshatár meghatározását az alábbi tényezők befolyásolják adott szervezeten belül: • Szervezeti kultúra • Menedzsment hozzáállása • Kapacitás • Technikai lehetőségek

A kockázatelemzés lépései: 1. lépés: Kategóriák felállítása − Bekövetkezési valószínűség kategóriái − Kár kategóriák − Kockázati szorzótábla meghatározása 2. lépés: Veszélyforrások listájának összeállítása 3. lépés: Bekövetkezési valószínűségek nagyságrendi becslése 4. lépés: Kárértékek nagyságrendi meghatározása 5. lépés: Az első négy lépés alapján a legkockázatosabb elemek rangsorolása, majd ezeknek a belső ellenőrzési tervbe való beillesztése

Kategóriák felállítása I. A gyakorlati kockázatelemzési módszereknél a becslések során nem valamilyen számszerűsített értéket próbálunk megbecsülni, hanem nagyságrendi kategóriákat állítunk fel és ezután ezekbe a kategóriákba soroljuk be a becsült értékeket. A kategóriák megfelelő felállítása függ attól, hogy az elemzést milyen környezetre végezzük el (egy szervezeti egységre, vagy akár az egész szervezetre), illetve attól is, hogy milyen részletességű elemzést kívánunk végezni. Általában 4 -7 kategória felállítása célszerű, ennél nagyobb részletességre nagyon ritkán lehet csak szükség.

Kategóriák felállítása II. Kockázatfelmérés szempontjai Pontszám Súlyszám Irányítási/Kontroll környezet 0 -5 8 Pénzügyi hatás 1 -5 10 Stratégiai hatás 1 -5 6 Funkcionális stabilitás 0 -5 6 Az ellenőrzés gyakorisága 0 -5 8 Összetettség 1 -5 3 Kötelező ellenőrzés 0/0, 5/1 500

Kategóriák felállítása III. Irányítási környezet: 0 -tól 5 -ig terjedő pontszám. 5 -öst adunk annak jelzésére, hogy a vizsgálati tapasztalatok alapján az adott területen komoly irányítási problémák vannak. 0 jelzi, hogy nem ismeretes, illetve nem várható semmiféle ellenőrzési probléma. Pénzügyi hatás: 1 -től 5 -ig pontozunk. 5 -öst alkalmazunk annak jelzésére, hogy e területnek közvetlen hatásai vannak a gazdasági tevékenységre nézve, ami a bevételt, a költségeket, a hiteleket stb. illeti. Stratégiai hatás: 1 -től 5 -ig pontozunk. 5 -öst alkalmazunk annak jelzésére, hogy e területnek közvetelen hatásai vannak a gazdálkodó szervezet eredményességére, ami a stratégiai tervezést, a stratégiai célok megvalósítását illeti. Funkcionális stabilitás: 0 -tól 5 -ig pontozunk. 5 -öst alkalmazunk annak jelzésére, hogy e folyamat az előző ellenőrzés óta komoly változáson megy át, vagy ment már át, új rendszereket vezettek be, új szervezeti struktúra van, stb. A 0 jelzi, hogy e folyamat tekintetében nem történik semmiféle változás. Az ellenőrzés gyakorisága: 0 -tól 5 -ig pontozunk. 5 -öst alkalmazunk annak jelzésére, hogy a területet célszerű évente ellenőrizni. 0 pontszámot annak jelzésére, hogy ezt a területet egy éven belül ellenőriztük, és nincs újból előforduló követelmény. Összetettség: 1 -től 5 -ig pontozunk. 5 -öst alkalmazunk annak jelzésére, hogy e folyamatnak sok a határfelülete egyéb folyamatokkal és sok részfolyamattal, sok szervezetet/szervezeti egységet ölel fel, többféle renszert alkalmaz, stb. Az 1 azt jelzi, hogy a folyamat egyszerű, bármiféle jelentősebb illeszkedési felület nélkül. Kötelező ellenőrzések: 1 pontot adunk, ha ezt az ellenőrzést törvényi előírás, vagy felügyeleti szerv követeli meg. 0, 5 pontot adunk, ha a gazdálkodó szervezetője, vagy egyéb kötelező jellegű forrás javasolja. Egyébként 0 pontot adunk.

Kockázatra adott reakciók, kockázatkezelés

• A kockázatelemzést követően kerülhet sor a kockázatokra adott válaszlépések kidolgozására. A szakirodalom ezt a lépést kockázattervezésként definiálja. • A kockázattervezés során az egyes kockázatokra vonatkozó stratégia kerül meghatározásra és végrehajtásra. A kockázatelemzésre alapozva kerül sor azokra a konkrét lépésekre, válaszreakciókra, amelyek célja, hogy csökkentsék, illetve megszüntessék a fenyegetést jelentő kockázatokat, vagy éppen kihasználják a kínálkozó lehetőségeket.

Kockázatkezelési stratégiák Bekövetkezés valószínűsége Alacsony Magas megtartás csökkentés áthárítás elkerülés Hatás Magas

A kockázatcsökkentés/kezelés módjai A kockázatok kezelésére a legjobb eszköz a hatékony folyamatba épített ellenőrzési rendszer A folyamatba épített ellenőrzés rendszer kiépítése során az egyes tevékenységekhez különféle kontrollokat rendelünk. Ezek a kontrollok lehetnek:

Kontrollok: - Megelőző (preventív) kontrollok - Korrekciós (corrective) kontrollok - Iránymutató (directive) kontrollok - Felderítő(detective) kontrollok

Megelőző (preventív) kontrollok • Ezek a kontrollok az adott kockázat bekövetkezésének valószínűségét csökkentik. • A szervezeten belül működő belső kontrollok többsége ehhez a kategóriához tartozik. Példa lehet az ilyen jellegű kontrollra bizonyos feladatok szétválasztása (például az a személy, aki a számlák kifizetését hagyja jóvá különbözik attól, aki az árut vagy szolgáltatást megrendeli – ilyen módon megakadályozható, hogy valaki közpénzen saját hasznára tevékenykedjen) vagy egyes tevékenységek ellátására csak meghatározott személyek felhatalmazása (például megfelelően képzett, felkészített és ezáltal a sajtóval való kapcsolattartásra felhatalmazott személy kijelölése megelőzi a veszélyét annak, hogy nem megfelelő nyilatkozat jelenik meg a szervezetről a médiában).

Korrekciós (corrective) kontrollok • Ezek az úgynevezett elhárító, helyreállító kontrollok, amelyek a kockázat bekövetkezése esetén annak hatását csökkentik. Példa lehet rá olyan szerződési feltételek kikötése, amelyek védik a feleket esetleges veszteség esetén. Fontos eleme eshetőségi tervek kidolgozása, amellyel a szervezet működésének folytonosságát tudja biztosítani negatív hatásokkal, veszteséggel járó esemény bekövetkezése esetén.

Iránymutató (directive) kontrollok • Ezek a kontrollok egy bizonyos, kívánt következmény elérését biztosítják. Általában egy tevékenység vagy tevékenységcsoport konkrét lépéseit, időbeni ütemezésüket tartalmazzák. Hasznos lehet a szervezet korábbi, hasonló tevékenységekből nyert tapasztalatainak beépítése az ilyen jellegű kontrollokba, amely ugyancsak biztosítékként szolgálhat a kívánt cél eléréséhez. Példái lehetnek az eljárásrendek, vagy előírások, vezetői utasítások.

Felderítő(detective) kontrollok • Ezek a kontrollok azt a célt szolgálják, hogy fényt derítsenek olyan esetekre, amikor nem kívánt események következtek be. Mivel csak az esemény bekövetkezése után fejtik ki hatásukat, ezért csak abban az esetben használhatók, amennyiben lehetőség van a kár vagy veszteség elfogadására. Példái lehetnek készletellenőrzések (voltak-e, engedély nélküli kivételezések), készletegyeztetések, (voltak-e engedély nélküli tranzakciók) vagy projektek megvalósításáról szóló áttekintések, monitoring jelentések (projektek tapasztalatai, amelyek a későbbiekben is felhasználhatók).

Kockázatok felülvizsgálata „Vajon jól csináljuk? ” Célja: • Nyomon követni, hogy a szervezet kockázatprofilja megváltozott-e. • Bizonyosságot szerezni, hogy a kockázatkezelés hatékony, és meghatározni, hogy további intézkedések szükségesek-e.

Feladatok

A költségvetési szerv feladatai a kockázatmenedzsment kapcsán • Szabályozás • Végrehajtás • Dokumentálás