HORIZONTY magazín pro top management / prosinec 2012
Romana Benešová: „Kdo uřídí rizika, zvítězí.” Vliv nových regulatorních požadavků na korporátní sféru Efektivní kontroling Nová éra tvorby rozpočtů a prognóz
Obsah 03/
16/
04/
20/
Romana Benešová: „Kdo uřídí rizika, zvítězí.”
Vliv nových regulatorních požadavků na korporátní sféru
08/
Efektivní kontroling: strategická výhoda moderních pojišťoven
12/
Nová éra tvorby rozpočtů a prognóz
Jak zvýšit důvěryhodnost firmy?
Trestní odpovědnost právnických osob: přidaná hodnota efektivního řízení rizik
23/
Anketa Jak chápete řízení rizik a jak k němu prakticky přistupujete?
Úvodní slovo
Kdo uřídí rizika, zvítězí Riziko bylo vždy nedílnou součástí každého podnikání. Již staří mořeplavci hovořili o „risicu“ jako o úskalí, kterému je nutné se vyhnout. Jeho ekonomické vnímání je však nesmírně složité. Zatímco budoucí výnos si dokážeme živě představit (a mnohdy jsme schopni ho předem spotřebovat), pravděpodobný výskyt nepříznivé situace, jak riziko definujeme dnes, je stav pro nás přirozeně nepříjemný, pro některé z nás dokonce neuchopitelný. A současnost nám jasně ukazuje, že riziko není zdaleka virtuální veličinou… Jestliže bylo kvalitní řízení rizik v minulosti důležité, dnes je kritickým faktorem úspěchu podniků a ekonomik v budoucnu. V moderním řízení rizik, stejně jako při řízení plavidla, nabývá na významu jeho komplexnost, správné chápání relevantních rizik a jejich měření. Mnohem větší důraz dnes klademe na odhad budoucího vývoje, nikoliv na analýzu předchozích období. Metodika a způsoby měření rizik jsou sice stále podstatné, na významu však nabývá především úplnost zohlednění rizik, jejich správné posouzení a vyhodnocení a jejich zohlednění v ekonomických ukazatelích. Klíčová je i forma, jakou výsledky analýz dostává vrcholové vedení. To by ji mělo zohlednit při svém rozhodování a volbě budoucí strategie podniku. Rovněž způsob, jakým jsou analýzy rizik interpretovány navenek, ať už akcionářům, nebo dalším zainteresovaným stranám, je velmi důležitý.
Jestliže bylo kvalitní řízení rizik v minulosti důležité, dnes je kritickým faktorem budoucího úspěchu podniků a ekonomik. Pročítáte-li články, které hodnotí aktuální situaci na finančních trzích, si nelze nevšimnout pojmů jako krize, recese, úsporná opatření apod. Hledají se řešení, jak opětovně nastartovat hospodářský růst, zároveň se ale odhalují příčiny, které současný stav způsobily. Podceňování podnikatelských rizik je bezpochyby jedním z faktorů, které současnou situaci způsobily a ovlivňují vývoj většiny ekonomik. Jak se ale mění podnikatelské prostředí v poslední době? Všichni vnímáme, že se především zvyšuje nejistota ohledně budoucího vývoje, změny probíhají v řádu dnů, dochází k významným výkyvům na mnoha trzích. V důsledku toho se zpřísňují požadavky regulátorů.
Aktuální vydání Horizontů vám přináší pět článků, které se zabývají různými aspekty řízení rizik, od řízení tržních rizik včetně likvidity, přes způsoby řízení rizik v IT, až po hodnocení vlivu rostoucí regulace a legislativních změn na současné podnikatelské prostředí. V jednom z příspěvků se zabýváme i kvalitou výkaznictví, které má nejen odrážet výsledky řízení, ale má být i uživatelsky přístupné. Abyste dokázali udržet své plavidlo v koridoru, který vám zajistí očekávané výsledky, musíte být neustále ve střehu, umět správně odhadnout situaci a zvolit správný kurz. Vývoj posledních let nás donutil ještě rychleji vytvořit tým specializovaný na tuto oblast a jeho jednotliví členové mají různé sektorové zaměření. Budeme rádi s vámi diskutovat jakékoliv aspekty řízení rizik související s vaším podnikáním. Přeji vám, aby pro vás byly naše články jednak inspirací pro další práci v oblasti řízení rizik a také abyste po vzoru mořeplavců propluli šťastně dobou, která ale určitě přeje připraveným! Romana Benešová Partner Risk Consulting
Horizonty / prosinec 2012 / 3
Vliv nových regulatorních požadavků na korporátní sféru
4 / Horizonty / prosinec 2012
Opatření vyvolaná finanční krizí přinesla zvýšenou regulaci, která postihne téměř všechny činnosti bank.
V
reakci na finanční krizi, kterou odstartoval pád banky Lehman Brothers v září 2008, se celosvětově zvedla vlna opatření, která si stanovila ambiciózní cíl zabránit do budoucna, aby se krize v obdobném rozsahu již neopakovala. Bankovní sektor byl označen za jednoho z hlavních viníků této krize, a byl tak po zásluze potrestán zvýšenou dávkou regulace, která postihne téměř veškeré činnosti bank.
Požadavek na finanční stabilitu Nová regulace bankovního sektoru chce přispět k zajištění stability finančního systému jako celku, a to: • posilováním odolnosti finančního systému a • omezováním nárůstu systémových rizik tak, aby byl zajištěn udržitelný příspěvek finančního sektoru k hospodářskému růstu. Na druhé straně na banky působí takové vlivy jako tlak na snížení personálních nákladů a zvýšení výnosnosti pro majitele, zvýšená očekávaní klientů, snaha o růst případně udržení pozice na trhu nebo změna postoje k riziku u akciových i dluhopisových investorů. V reakci na vývoj tržního a regulatorního prostředí přistupují banky k zásadnímu přehodnocení své korporátní strategie a dále obchodního a provozního modelu.
Horizonty / prosinec 2012 / 5
Aplikace nových regulatorních požadavků navýší koncové ceny bankovních produktů. Nová regulace bank a finančních institucí • CRD III (EU) • FSB (UK)
• EBA • MIFID 2 • CRD IV
Odměňování
• IFRS • FINREP • COREP
Jednání se zákazníky
Sy Pra ste vid
í e n ti s
Dohled společ a říz no
Dohled a zveřejňování informací
Likvidita
Regulované oblasti
Zá y kazn íci a trh
Kapitálová přiměřenost
rizika cká ati kapitál m pro la
Řízení a správa bank
• Národní regulátoři • EBA, ESMA • Basel Committee
• Liquidity Coverage Ratio • Net Stable Funding Ratio
Strukturální změny
Finanční kriminalita
• • • • • • •
Basel 2,5/3 CRD IV Pravidla pro obchodní portfolio EBA zátěžové testy SIFI přirážky Ratingové agentury Dodd-Frank Act
• • • • • •
Krizové řízení EU Recovery and Resolution Plan (UK) Dodd-Frank Volcker Rule Stínové bankovnictví High-Level Expert Group ICB (Independent Comission on Banking, UK)
Tržní infrastruktura • MIFID 2 • PRIPs (Packaged Retail Investment Products) • Retail Distribution Review (UK)
• MIFID 2 • Krátké prodeje • EMR • Securities • DoddLaw -Frank Direction
Dopady regulatorních změn na klienty bank Z pohledu dopadu nových regulatorních požadavků na klienty bank lze očekávat, že dojde ke změnám zejména v oblastech
6 / Horizonty / prosinec 2012
• AML • KYC (Know Your Customer) • FATCA
úvěrování, depozitních a platebních produktů a investičního bankovnictví. V uvedených oblastech budou banky upravovat především cenu, produktový mix a cílové skupiny zákazníků.
Oblasti dopadu bankovní regulace na klienty
Depozita od Pr
ukt
Projektové financování
k du
Operace na peněžním trhu
Cenné papíry
t nic
ví
tičn
oz
o d u kt y í pr
Oblasti dopadu regulace na klienty
In
ve s
Dep
ty
itn
Provozní úvěry
Úvěrové p ro
Cen a
Trade finance
í bankov
Alternativní investice
OTC deriváty Cenné papíry
Klienti
Úvěrování reálné ekonomiky V oblasti úvěrování reálné ekonomiky mají pro banky zásadní význam regulatorní požadavky týkající se kapitálové přiměřenosti a likvidity. Pro kapitálovou přiměřenost je transmisní mechanismus regulace na klienty nejméně dvojí: 1. V úrokové sazbě, kterou banka stanovuje klientovi, jsou kromě jiných složek zohledněny náklady na kapitál. V případě, že je akcionářem banky požadovaná výnosnost vlastního kapitálu ve výši 20 procent a požadavek na kapitálovou přiměřenost stoupne v rámci nové regulace například o pět procentních bodů, dojde z definice způsobu, jakým se úroková sazba úvěrů stanovuje, k jejímu navýšení o 100 bazických bodů. 2. V procesu alokace rizikově vážených aktiv v rámci jednotlivých bankovních skupin dochází k tomu, že kvůli vyšším požadavkům na kvalitu kapitálu jsou banky nuceny opustit strategii levného úvěrování (tzv. cheap lending) a hledat v rámci svých portfolií, případně i mimo ně, takové obchodní příležitosti, které budou při stejné úrovni „konzumace“ rizikových aktiv bance přinášet vyšší výnos. Praktické implikace tohoto přístupu pro klienty jsou: • Banky si budou vybírat kvalitněji připravené projekty. • Můžeme očekávat větší tlak na hodnotu a kvalitu zajištění.
• V případě projektového financování bude banka požadovat vyšší míru účasti klienta, a tedy nižší ukazatel LTV (Loan To Value).
Nová regulace likvidity V oblasti nových regulatorních požadavků týkajících se likvidity můžeme očekávat, že banky budou preferovat kratší doby splatnosti. Financování dlouhých aktiv se pro ně totiž stane dražší. Na druhou stranu, nová pravidla pro likviditu upřednostňují relativně méně riziková aktiva typu státních dluhopisů, které obvykle nesou nižší výnos než aktiva retailová nebo korporátní. Lze tedy očekávat, že se banky budou snažit dohnat chybějící výnos financováním relativně rizikových projektů s vysokou rizikovou prémií.
A co kombinace bankovních produktů? V neposlední řadě je potřeba zmínit multiplikaci efektů regulace ve chvíli, kdy se klient rozhodne zkombinovat několik bankovních produktů najednou. Příkladem takovéhoto dvojího dopadu může být sjednání úrokového swapu k úvěru s variabilní sazbou. Z ekonomického pohledu jde o poskytnutí úvěru s fixní sazbou, kdy sníženou profitabilitu na úvěrovém produktu kompenzuje dodatečný zisk z treasury operace. Z pohledu regulace se jedná o dvě samostatné transakce, je tedy potřeba je vnímat odděleně například pro účely kapitálové přiměřenosti. Aplikace nových regulatorních požadavků bude mít za následek navýšení koncové ceny pro klienta u obou produktů.
Pavel Kliment Partner Risk Consulting
Lukáš Bajgar Manager Risk Consulting
+420 222 123 573 pkliment@kpmg.cz
+420 222 123 213 lbajgar@kpmg.cz Horizonty / prosinec 2012 / 7
Efektivní kontroling:
strategická výhoda moderních pojišťoven
Dnešní doba, která se podobá rozbouřenému moři, klade zvýšené nároky na kormidelníka a kapitána lodi.
V
ýznamná míra nejistoty, volatilita mnoha ekonomických a finančních ukazatelů stejně jako větší konkurence a tlak na profitabilitu činí z kontrolingu coby nástroje efektivního řízení pojišťoven náročnou disciplínu. Jaké jsou základní prvky moderního kontrolingu? A co vlastně pojišťovny v České republice v této oblasti momentálně tíží?
Definice a formy kontrolingu Definic moderního kontrolingu existuje celá řada. Asi nejlépe jej vystihuje následující pojetí:
Kontroling je systém moderního řízení podniku, který se orientuje na budoucnost. Jedná se o soubor nástrojů, jež vytvářejí systém vedoucí k efektivní alokaci zdrojů uvnitř pojišťovny tak, aby byly správně vytvořeny (kvantifikovány) a naplněny cíle pojišťovny v měnících se podmínkách vnější ekonomiky. Cíle a nástroje moderního kontrolingu se zaměřují na zajištění budoucnosti, rozpoznání a eliminaci rizik, tj. nikoliv na sběr dat a jejich strohou interpretaci či porovnání s plány. V podstatě tedy jde o rozvoj podle stanovených cílů, dosažení podnikatelských záměrů a zajištění dlouhodobé existence.
Horizonty / prosinec 2012 / 9
V pojišťovnách se stejně v jako jiných společnostech setkáváme s různými formami kontrolingu, které vycházejí z rozdílných úhlů pohledu, odlišného obsahu a forem používaných nástrojů:
• systém výstupů, který mapuje dosahování operativních cílů, • tvorba finančních plánů (v krátkodobém a střednědobém horizontu, např. tříletý plán).
• podle obsahu (např. nákladový, výkonový, finanční kontroling), • podle časové linie (strategický a operativní kontroling).
Základní prvky moderního kontrolingu Moderní kontroling využívá tradiční prvky a nástroje operativního kontrolingu (např. manažerské účetnictví), zároveň však vychází ze strategického kontrolingu, který stanovuje základní prvky, orientaci a směr řízení společnosti. Strategický kontroling Strategický kontroling zajišťuje nastavení jasného záměru a odpovídajících nástrojů a prostředků, aby společnost mohla dosáhnout definované cíle. Dělá tedy správnou věc – zná cíl cesty a využívá adekvátní plavidlo. Strategický kontroling proto zajišťuje vedení pojišťovny. Hlavními prvky a úkoly strategického kontrolingu jsou: • určení základní ambice a vize pojišťovny, • stanovení a kvantifikace základních cílů společnosti (např. výnosnost kapitálu, tzv. ROE, na úrovni vyšší než 1,5násobek nákladů kapitálu),
Operativní kontroling… … na druhé straně produkuje informace na základě odhalení odchylek mezi skutečným a požadovaným stavem, a to nejen ve statické podobě (tj. v okamžiku jejich vyčíslení), ale i během jejich vývoje (proto se také zaměřuje na budoucnost). Identifikované odchylky jsou pak podkladem pro analýzu příčin nepříznivého stavu, respektive vývoje a návrhu nápravných opatření, které vzniklé příčiny odstraní. Ještě než dojde k formulaci nápravných opatření, měl by odpovědný manažer zkusit namodelovat různé varianty vzniklé situace, včetně jejích dopadů na očekávané cíle. Mezi hlavní prvky a úkoly operativního kontrolingu řadíme: • aplikaci a dodržování nastavených nástrojů kontrolingu, jež vycházejí z kontrolingu strategického, • tvorbu operativních plánů (plánů na jeden rok, včetně např. jejich kvartální revize) formou aktualizace ročních plánů (tvorby očekávaní, tzv. forecastu),
• stanovení jasné firemní strategie, jež odpovídá definovaným základním cílům,
• reporting (pravidelné statistiky klíčových ukazatelů, které jsou v čase porovnávány s plánem, benchmarkem a loňskou skutečností),
• komunikace strategie uvnitř pojišťovny a sladění strategických a operativních cílů,
• vysvětlení obchodních příčin odchylek klíčových ukazatelů od plánu, benchmarku či loňské skutečnosti,
• nastavení motivace v souladu se strategickými a operativními cíli,
• operativní ad hoc analýzy (zaměřené např. na efektivní využívání nákladů, projektů).
• nastavení systému metod kontrolingu a nástrojů včetně benchmarku, analýzy alternativních scénářů a definování rizik,
Prostřednictvím specializovaných pracovníků – kontrolorů zajišťuje operativní kontroling efektivní realizaci stanovených cílů (tj. vede plavidlo správnou cestou).
• definování datových požadavků, které splňují požadavky 1 kladené na aplikaci Business inteligence (BI ),
Moderní kontroling Plánování
Organizace
Řízení
Kontroling
Stanovení úkolů a cílů a následná identifikace způsobů a metod nezbytných k dosažení těchto cílů
Navržení pracovních pozic, rolí, organizace a systému k dosažení daných cílů
Vedení a motivace lidských zdrojů za účelem dosažení cílů
Sledování a srovnávání skutečnosti s plánem, vyhodnocení rozdílů a plnění stanovených cílů
Školení a rozvoj zaměstnanců, budování týmové spolupráce (okamžitá opatření) Změna pracovních pozic a náplně práce, změna organizační struktury, benchmarkových postupů (střednědobá opatření) Revize a nastavení nových cílů (dlouhodobá opatření) Výše uvedené úkoly kontrolingu si pojišťovny zpravidla zajišťují z vlastních zdrojů. Vhodnou alternativou může být outsourcing (zejména pro menší pojišťovny), případně co-sourcing (pro středně velké či větší pojišťovny, které kombinují výhody flexibility zdrojů s kvalifikovanými zdroji a znalostmi v oblasti a externími zkušenostmi). 1
10 / Horizonty / prosinec 2012 10 / Horizonty / listopad 2012
Technologie BI umožňuje v kontrolingu prezentovat informace platné v daném okamžiku v celé firmě, díky čemuž dochází k realizaci principu tzv. jediné pravdy. Významnou úlohu při naplnění tohoto principu hrají přesně a správně definované požadavky na datový sklad, který obsahuje integrovaná data za celou firmu.
Nastavení efektivně fungujícího kontrolingu je náročnou disciplínou. Pojišťovny, které ji zvládají, mají konkurenční výhodu. S čím se pojišťovny potýkají?
• nesprávné místo kontrolingu ve firemní organizaci
Zavedení a nastavení efektivního kontrolingu je náročnou disciplínou, která může generovat celou řadou rizik. Správné nastavení a realizace jsou pak pro úspěšné řízení pojišťoven rozhodující.
• nejasně nastavené odpovědnosti a role, které vedou k nekonzistentním požadavkům na kontroling,
Mezi hlavní problémy, které pojišťovny v současné době trápí, lze zařadit: • nevyhovující informační systémy (kompatibilita, formy výstupů atd.), • nedostatečnou kvalitu a rychlost dat, • nejednotný slovník a definice základních ukazatelů, • časovou náročnost přípravy výstupů kontrolingu, • kvalitu výstupů kontrolingu (např. nedostatečné komentáře, které vysvětlují obchodní důvody odchylky), • jednostrannost informací (očišťování o abnormální jevy, záměrné zkreslování informací na základě motivace a ambicí jednotlivců),
• chybnou kvantifikaci firemní strategie či nejasnou strategii (např. v podobě nedosažitelných či neměřitelných cílů, nedostupných zdrojů, kvůli nimž nelze získat objektivní vyhodnocení), • nesoulad mezi výstupy kontrolingu (reporty) a firemními cíli (reporty kontrolingu nemapují ani problematická místa, ani hlavní cíle). Dnešní prostředí klade na kontroling a řízení pojišťoven zvýšené nároky. Vrcholové vedení tak musí neustále revidovat a přizpůsobovat své řízení a nastavení kontrolingu novým podmínkám. Přestože nastavení a fungování kontrolingu pojišťoven momentálně trpí celou řadou nedostatků, moderní pojišťovny, které jsou v revizi a aktualizaci nastavení svých procesů a nástrojů kontrolingu nejdále, mají před ostatními značnou konkurenční výhodu.
Romana Benešová Partner Risk Consulting
Marek Čáp Senior Manager Risk Consulting
+420 222 123 477 rbenesova@kpmg.cz
+420 222 123 642 mcap@kpmg.cz
Horizonty / prosinec 2012 / 11
Nová éra tvorby rozpočtů a prognóz
12 / Horizonty / prosinec 2012
Problematika tvorby rozpočtů pro potřeby prognózování nabývá v poslední době na významu. Je jednou z reakcí na zvyšující se nejistotu a volatilitu trhu.
P
ro budoucí přežití společnosti a řízení jejích rizik je systematické nastavení procesu tvorby rozpočtů a prognóz jednou z klíčových funkcí finančního řízení – vykazuje vysokou přidanou hodnotu a zároveň buduje důvěru zaměstnanců vůči vedení a vlastníkům společnosti. V neposlední řadě více vyhovuje externím subjektům.
Ze statických výkazů nástroj řízení společnosti Finanční výkaznictví se dlouho primárně orientovalo na zobrazení minulé činnosti a vyhodnocování aktuální situace společnosti. Rozpočty se tvořily převážně jako statické ukazatele žádoucího směru, aniž by zohledňovaly současný vývoj okolního prostředí a předpokládané trendy v odvětví. Zaměření výkazů dříve logicky reagovalo na požadavky uživatelů a regulátorů vůči společnosti a rovněž souviselo se zdaleka ne tak turbulentní ekonomickou realitou. Starý pohled na tvorbu rozpočtů již moderním společnostem a jejich vlastníkům, kteří se pohybují v globalizovaném a silně provázaném prostředí, nestačí, proto stále více zdůrazňují, že proces vytváření rozpočtu musí úspěšně reagovat na nestabilní a nejistý trh.
Horizonty / prosinec 2012 / 13
Pro včasné a přesné podchycení změn a jejich zakomponování do rozpočtů hrají důležitou roli i kvalita řízení rizik, správné sledování výkonnosti a datová analýza. Proces vytváření rozpočtu probíhá cyklicky v následujících základních etapách: Sestavení rozpočtu (vychází ze strategických cílů a souvisejících rizik)
Zohlednění změn
Měření výkonnosti/ /plnění plánu
Aktuální trendy Rozpočet již dávno není jen kompilací čísel. Naopak. Dnes se z něj stává nástroj řízení pro vedení a vlastníky společnosti. Proto se sestavuje hned několik variant budoucího vývoje, konkrétně optimistická, pesimistická a realistická. Komplexnost samotného rozhodování již dávno přerostla hranice a kompetence finančních oddělení. Příkladem je sestavování rozpočtu, kdy vedení společnosti nejprve stanoví svou vizi a související strategii a následně po konkrétních vlastnících procesů (např. odpovědných zástupcích prodeje, nákupu, výroby, oddělení lidských zdrojů) vyžaduje, aby dodali své vstupy. Finanční oddělení v tomto případě hraje spíše roli vyjednavače a usměrňovače a dohlíží, aby byly jednotlivé komponenty rozpočtu v souladu s celkovou strategií společnosti.
Odpovědnost za dílčí parametry Správně navržený a vyhodnocovaný rozpočet ve většině společností přímo ovlivňuje hodnocení vybraných oddělení a pracovníků. Je tedy důležité, aby rozpočet obsahoval veškeré Klíčové ukazatele výkonnosti (tzv. Key Performance Indicators, KPIs), které jsou k tomuto účelu potřeba. Zároveň musí napříč společností vládnout konsensus, za které KPIs konkrétní oddělení či zaměstnanec vlastně odpovídá. Aby výše uvedený proces správně probíhal, musí být jasně definován proces vytváření rozpočtu. Jmenovitě například 14 / Horizonty / prosinec 2012
z hlediska oběhu dat, termínů pro dodání a formátu. Zároveň jej ale musí podporovat i používané IT systémy. Sestavit spolehlivý rozpočet bez těchto předpokladů je u větších skupin společností prakticky nemožné.
Členění na mnoha úrovních Detailní rozpočet mívají společnosti zpracovaný minimálně na období jednoho roku. Většina z nich pracuje hned s několika úrovněmi svého rozpočtu – detailní (na období několika měsíců, resp. jednoho roku) a strategickou (na tři až pět let). Každý rozpočet pak má ve vztahu k řízení budoucích rizik společnosti jiný cíl, proto je také jinak podrobný. Nedílnou součást rozhodovacího procesu tvoří i pravidelné vyhodnocování sestaveného rozpočtu, jeho průběžná aktualizace a zpřesnění formou prognózy (tzv. forecastu). Takové vyhodnocování se obvykle provádí jednou měsíčně srovnáním se skutečnými výsledky. Podle stejného časového harmonogramu se většinou provádí i jeho zpřesnění. Vzhledem k výše uvedenému je logické, že se rozpočet nesoustředí pouze na ukazatele finanční výkonnosti společnosti. Důležité také je, že se strategie společnosti dynamicky mění a vyvíjí v čase. Vedení proto musí neustále vyhodnocovat tržní příležitosti, upravovat plány v návaznosti na změny v nestálém prostředí a udělovat rozhodovací pravomoci lidem, kteří mají za úkol na tyto změny reagovat. S ohledem na včasné a přesné podchycení změn a jejich
zakomponování do rozpočtů jsou tedy klíčové i další aktivity jako např. řízení rizik, sledování výkonnosti či datová analýza.
Prověrka podle ISAE 3000 Řada společností dnes projevuje zájem, aby jejich prognózy prověřil na základě standardu ISAE 3000 nezávislý subjekt. Jaké ale jsou výhody tohoto kroku z pohledu jednotlivých zájmových skupin? • Pro vedení společnosti a dozorčí radu je zásadní především vyšší kvalita výstupu, větší důvěryhodnost vůči třetím stranám (například finančním institucím), a tím i potenciálně lepší pozice v externích vztazích. • Banky a investoři považují za přínosný externí pohled na budoucí prognózy vývoje společnosti. Zatímco účetní
závěrka ověřená auditorem představuje pro banku uchopitelný soubor informací, sebelepší finanční plán z pera interního oddělení klienta vzbuzuje řadu otázek. Jeho revize na základě standardu ISAE 3000 může představovat důvěryhodnější zdroj, jestliže klient investuje do náročného projektu (např. výstavby nové výrobní linky) a dodatečně žádá kvůli zpoždění projektu o překlenovací financování. • V neposlední řadě ocení kontinuitu informací pro případ významné změny ve vedení společnosti sami vlastníci. Jak je z předchozích řádek patrné, zájem o služby tvorby rozpočtů a prognóz (budgeting a forecasting) neustále roste. Je totiž logickým vyústěním rostoucí nejistoty a reakcí na volatilitu současného trhu.
Pavel Kliment Partner Risk Consulting
Filip Bělák Senior Manager Risk Consulting
+420 222 123 573 pkliment@kpmg.cz
+420 222 123 425 fbelak@kpmg.cz
Horizonty / prosinec 2012 / 15
Jak zvýšit důvěryhodnost firmy?
16 / Horizonty / prosinec 2012
Využíváte outsourcing pro své hlavní aktivity? Jste proto závislí na svém poskytovateli služeb? Nebo jste naopak jejich dodavatelem a chcete být pro vaše zákazníky důvěryhodnější? Jaké ujištění o kvalitě svých kontrol poskytujete zainteresovaným stranám?
G
lobální konkurenční prostředí nutí poslední dobou firmy důkladně revidovat a přehodnocovat své činnosti. Mnohé z nich přešly na outsourcing, aby uspořily náklady a posílily svoji konkurenční výhodu. Výsledkem je ještě větší množství variant subdodavatelských aktivit.
Organizace se dnes snaží získat strategickou a konkurenční výhodu tím, že využívají outsourcing svých klíčových činností, kritických systémů nebo procesů, které mají přímý dopad na finanční výkazy.
Proč začít uvažovat o ujištění? Přestože využíváte outsourcing u jedné, nebo dokonce více činností, odpovědnost za rizika nesete ve finále stále vy. Jste to také vy, kdo musí dbát, aby tyto činnosti byly v souladu s odpovídajícími předpisy. Abyste uměli rizika spojená s outsourcingem vašich činností správně identifikovat a řídit, měli byste začít uvažovat o auditu, který provede třetí strana. Ta činnosti prováděné poskytovatelem služeb (servisní organizací) ověří. Pokud například vaše servisní organizace zpracovává, případně uchovává důvěrné a soukromé informace o vašich zákaznících nebo zpracovává transakce pro větší počet klientů, mohou být rizika pro vaši společnost o to vyšší. Na druhé straně, jestliže jste servisní organizací, pak vaše schopnost naplnit regulatorní potřeby vašich zákazníků pomáhá zvýšit vaši konkurenceschopnost. Provedené ujištění, že vaše systémy a procesy dobře řídíte, dotváří vaši profesionální vizitku a zvyšuje nejen jistotu, že jsou vaši stávající zákazníci v dobrých rukou, ale také vaši šanci získat nové zákazníky.
Horizonty / prosinec 2012 / 17
I když využíváte outsourcing svých činností, za rizika nesete odpovědnost vy. Proto musíte dbát na to, aby byly tyto aktivity v souladu s odpovídajícími předpisy.
Výhody ujištění Záruka/ověření pro zainteresované osoby
Prodejní a marketingový nástroj
Zpráva podle ISAE 3402… Pohodlí pro externí auditory
Zlepšení efektivity činnosti
Varianty ujištění Způsobů, jak může servisní organizace poskytnout ujištění svým zákazníkům (uživatelským jednotkám), jejich auditorům (auditorům uživatelských jednotek) či jiným zainteresovaným osobám v souvislosti s interními procesy, existuje hned několik. Jedním z nich je zpráva o ujištění, kterou předkládá vedení společnosti a kterou nezávisle ověřuje třetí strana (auditor servisní organizace). Mezi nejběžnější standardy, podle nichž 1 se tato zpráva vydává, patří ISAE 3402 (Mezinárodní standard pro ověřovací zakázky 3402), který nahradil standard SAS 70.
18 / Horizonty / prosinec 2012
… je uznávána po celém světě, protože potvrzuje, že servisní organizace prošla nezávislým a důkladným ověřením vlastních kontrolních činností. Servisním organizacím zpráva umožňuje předložit zákazníkům a auditorům svých zákazníků přehled o kontrolách a procesech v jednotném formátu. Výhodou je, že ISAE neurčuje striktně kontrolní cíle nebo kontroly, které musí mít servisní organizace nastaveny. Společnosti si tak mohou stanovit vlastní kontrolní cíle a kontroly, které splňují potřeby jejich zákazníků. Nicméně kontroly uvedené ve zprávě podle ISAE 3402, jmenovitě například kontroly při zpracování transakcí nebo aplikační kontroly, by se měly vztahovat k finančnímu reportingu.
ISAE 3000 a další standardy Pokud kontroly, které mají být předmětem ujištění, přímo neovlivňují finanční reporting, můžeme zvolit i jiný ujišťovací standard – nejběžněji například ISAE 3000 2 (Mezinárodní standard pro ověřovací zakázky 3000), kterým se tyto zakázky obecně řídí. Ke kontrolám, jež zpráva podle ISAE 3000 standardně zahrnuje, se řadí obecné IT kontroly (např. řízení bezpečnosti, fyzická a logická bezpečnost, kontrola změn, monitoring sítí a systémů či rozvoj systémů). Mimo to existují ještě další rámcové standardy jako SSAE 16, americká verze standardů ISAE 3402, nebo AAF 01/06, které se zaměřují na investice ve Velké Británii. 1
International Standard on Assurance Engagements 3402 International Standard on Assurance Engagements 3000
2
Struktura zprávy podle zprávy ISAE Oblast
Odpovědnost
I. Zpráva nezávislého auditora
Vyjádření managementu
KPMG (auditor servisní organizace) Společnost A (servisní organizace)
Zpráva podle ISAE – shrnutí • Dva druhy zprávy – zpráva typu I a II
II. Popis kontrol a postupů
Společnost A (servisní organizace)
• Zprávy typu II zahrnují období nejméně šesti měsíců • Omezené použití – pouze pro zákazníky • Zpráva obsahuje detailní popis testů provedených auditorem servisní organizace • Velikost vzorků je zveřejněna, pouze pokud dojde k zjištění nedostatků
Zprávy podle ISAE ISAE rozlišuje dva druhy zpráv – zprávy typu I a II. Oba typy zahrnují popis celkového podnikatelského a kontrolního prostředí, kontrolní cíle a kontroly, které vedou k jejich dosažení. • Zpráva typu I zahrnuje popis kontrol k určitému datu (např. k 30. červnu 2012). Auditor v ní vyjadřuje svůj názor, zda kontroly uvedené ve zprávě přesně popisují skutečnost k určitému datu a jsou navrženy tak, aby byly splněny kontrolní cíle. Zpráva typu I často slouží jako výchozí bod pro následné prověrky typu II. • Ve zprávě typu II vyjadřuje auditor svůj názor na stejné oblasti jako ve zprávě typu I, zároveň ale popisuje, zda kontroly fungovaly během daného období efektivně. Zpráva typu II kontroly nejen popisuje, ale podrobně se také věnuje provedeným testům, jež pokrývají dané období, obvykle dobu šesti až dvanácti měsíců.
Diagnostická prověrka Klientům často doporučujeme provést takzvanou diagnostickou prověrku, a to ještě před tím, než budou tyto zprávy vydány. Diagnostická prověrka totiž dokáže identifikovat nedostatky kontrol a servisní organizaci umožňuje, aby provedla nápravu ještě před tím, než dojde k vydání zprávy typu I nebo II. Servisní organizaci prověrka zároveň pomáhá vyladit seznam kontrol a svých kontrolních cílů.
III. Testy efektivity kontrol
KPMG (auditor servisní organizace)
IV. Jiné informace poskytnuté společností A (nepovinné)
Společnost A (servisní organizace)
Outsourcing přestavuje významnou součást fungování mnoha společností. Ty musí najít vhodný způsob, jak efektivně řídit a zároveň kontrolovat činnosti, které svěří externím poskytovatelům tak, aby naplnily potřeby zainteresovaných osob, zákazníků, auditorů nebo regulátorů. Ať jste poskytovatelem služeb, nebo využíváte outsourcing v rámci svých klíčových činností, výkaz podle ISAE vám zajistí, že kontroly a procesy společnosti prověřil nezávislý auditor.
Radka Haluzíková Manager Risk Consulting +420 222 123 627 rhaluzikova@kpmg.cz
Horizonty / prosinec 2012 / 19
Trestní odpovědnost právnických osob:
přidaná hodnota efektivního řízení rizik 20 / Horizonty / prosinec 2012
Mezinárodní právní akty OSN, OECD, Evropského společenství, Rady Evropy a Evropské unie přiměly Českou republiku zavést zákon o trestní odpovědnosti právnických osob. Jaké jsou tedy klíčové dopady daného zákona?
V
průběhu roku 2010 došlo k projednání upraveného návrhu, o rok později zákon schválily obě komory Parlamentu České republiky, a to i navzdory uplatněnému právu veta prezidenta republiky. Zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim (TOPO), nabyl účinnosti 1. ledna 2012. Zásadní změnou je, že zavedl možnost trestně stíhat i právnické osoby.
Nutná revize vnitřních kontrolních systémů V důsledku zavedení nového zákona musí řada společností výrazně zrevidovat svůj vnitřní kontrolní systém (VKS) a řízení operačních rizik. Nový zákon pro ně tedy představuje určité riziko, na druhou stranu jej můžeme vnímat jako příležitost – společnosti totiž mohou v rámci revize VKS a řízení operačních rizik dosáhnout hmatatelných přínosů.
Dopady zákona – přičitatelnost trestného činu V paragrafu osm je trestní odpovědnost konstruována jako subjektivní, proto zákonodárce zavádí institut tzv. přičitatelnosti trestného činu (§ 8 odst. 2 tohoto zákona). Trestní odpovědnost tedy musí naplňovat několik znaků: • Trestným činem spáchaným právnickou osobou se rozumí protiprávní čin, který je provedený jejím jménem nebo v jejím zájmu, případně v rámci její činnosti. • Pachatelem může být: – statutární orgán nebo jeho členové, osoba oprávněná jednat za právnickou osobu, – osoby vykonávající řídicí a kontrolní činnost (ředitel divize, odboru, týmu – napříč všemi hierarchickými úrovněmi společnosti), – zaměstnanec nebo osoba v obdobném postavení při plnění pracovních úkolů. • Trestný čin je právnické osobě přičitatelný, pokud je spáchán orgány nebo osobami vyjmenovanými v bodě 2. Za pozornost stojí ustanovení § 8 odst. 2 písm. b, které specificky hovoří o přičitatelnosti trestného činu spáchaného zaměstnanci společnosti. Zaměstnanec může spáchat trestný čin, za nějž bude právnická osoba odpovědná, v následujících případech:
• na základě rozhodnutí/schválení/pokynu orgánů společnosti nebo vybraných osob, nebo • faktu, že tyto orgány/osoby neprovedly opatření, která po nich lze spravedlivě požadovat, zejména pokud neprovedly povinnou, nebo potřebnou kontrolu nad činností zaměstnanců či jiných osob. Vzniku trestní odpovědnosti právnické osoby nebrání, nepodaří-li se zjistit, která konkrétní fyzická osoba se dopustila protiprávního jednání, jež lze právnické osobě přičíst.
Konzistentní VKS odpovědí na nový zákon Nová právní úprava trestní odpovědnosti právnických osob zapříčinila, že se společnosti nyní zaměřují na jejich vnitřní kontrolní systém, aby byl konzistentní, fungoval efektivně a prakticky se používal napříč firmou. VKS musí podporovat řízení každodenních operačních rizik právnické osoby, společnosti proto musí jasně propojit své činnosti, rizika s příslušnými kontrolami. Jako první preventivní krok řada společností zvolí školení zaměstnanců o trestní odpovědnosti nebo zdokumentuje a informuje zaměstnance o etickém kodexu společnosti. Jde o relativně rychle uskutečnitelnou (ve srovnání s dlouhodobějšími opatřeními) reakci na novou legislativu. Následovat by však měla systémová opatření, neboť samotný etický kodex a školení nemusí garantovat, že společnost provádí povinnou a potřebnou kontrolu podle ustanovení § 8 odst. 2 písm. b. V této souvislosti musíme upozornit na několik významných skutečností: • Zákon o TOPO nestanovuje konkrétní požadavky na VKS a svým zaměřením je mnohem obecnější než například Anti-bribery Act (protikorupční zákon). • V současnosti není dostupný standard či certifikace, jež by společnosti garantovala, že v případném trestním řízení jeho existence a dokumentace zajistí vyvinění.
Horizonty / prosinec 2012 / 21
Pro každou společnost je klíčové konzistentní řízení rizik, fungující vnitřní kontrolní systém a jejich prokazatelnost.
• Existují však tzv. best practices pro řízení rizik, postupy a vybrané mezinárodní standardy pro oblast vnitřních kontrol (například ICAE 3402, COSO – Committee of Sponsoring Organizations of the Treadway Commission), které mohou posloužit jako vodítko a argumentace.
Řízení operačních rizik Byť TOPO společnosti doposud vnímaly spíše jako právní problematiku, ve skutečnosti se za novým zákonem skrývá rozsáhlá oblast řízení operačních rizik, a to nejen směrem dovnitř společnosti vůči osobám ve smyslu § 8, ale také navenek vůči zákazníkům, dodavatelům, třetím stranám (distribučním sítím), obchodním partnerům, servisním organizacím apod. Řízení (operačních) rizik je potřeba vybavit takovými nástroji, zázemím a podporou vyššího managementu, aby ve spolupráci s dalšími útvary (např. compliance a právním či interním auditem) pomohla společnosti prokázat existenci prakticky fungujícího a pravidelně monitorovaného vnitřního kontrolního systému. Tedy faktu, že společnost má relevantní rizika jednoznačně přiřazena procesům, které je generují, a má na ně nastaveny kontroly, jež mají omezit jejich realizaci. Jinými slovy, jde o jasné spojení „činnost–riziko–kontrola“ doplněné o pravidelné vyhodnocování a implementaci případných nápravných opatření. Celý systém funguje na všech hierarchických úrovních společnosti, která si stanoví a pravidelně vyhodnocuje konkrétní metriky (klíčové ukazatele výkonnosti, tzv. KPIs), jak jsou rizika jednotlivými úrovněmi řízena. V tomto případě bude výchozí pozice společnosti při argumentaci vůči orgánům činným v trestním řízení (OČTR) z podstaty mnohem lepší, neboť bude schopna jasně prokázat, jak se kontrola prakticky provádí. Pokud by i přesto došlo k realizaci trestného činu, společnost by mohla čin označit za exces, který vznikl navzdory prakticky fungujícímu VKS. Z toho můžeme dovodit, že by pak pro OČTR bylo mnohem složitější společnosti takový trestný čin přičíst.
Na základě několika zodpovězených otázek mohou společnosti rychle zjistit, jak jsou na TOPO připraveny: • Máme implementovány, zdokumentovány a monitorovány kontroly na všech operačních úrovních? • Používá se vnitřní kontrolní systém prakticky pro řízení operačních rizik, probíhá jeho pravidelné vyhodnocování a je systematicky rozvíjen? • Vnímají naše organizační útvary vlastnictví (operačních) rizik jako běžnou součást našich denních pracovních aktivit? • Mají pracovníci všech úrovní stanovené KPIs zaměřené na řízení rizik, která se pravidelně vyhodnocují? •
Máme jasně stanovenou odpovědnost za vlastnictví rizik a kontrol?
•
Jsou skutečně všechny klíčové kontroly řádně popsány?
•
Máme správně rozdělenou odpovědnost za jednotlivé složky operačního rizika mezi naše útvary/manažery?
Marek Salač Manager Risk Consulting +420 222 123 333 msalac@kpmg.cz
22 / Horizonty / prosinec 2012
23 / Horizonty / prosinec 2012
anketa Jakub Strnad Předseda představenstva Allianz pojišťovna Řízení rizik v moderní pojišťovně představuje natolik komplexní a sofistikovanou činnost, že za největší výzvu považuji přenositelnost tohoto know-how z úzkého okruhu lidí zabývajících pouze a jen touto činností do celé firmy tak, aby mohl vzniknout skutečně plošný a robustní systém. Jinými slovy, genialita nespočívá ve vytvoření složitých matematických modelů, ale v jejich srozumitelné interpretaci a aplikovatelnosti v dennodenní praxi.
Jak chápete řízení rizik a jak k němu prakticky přistupujete?
Radek Dyntar Chief Financial Officer KKCG Skupina KKCG chápe řízení rizik jako podstatnou součást skupinové corporate governance. Hlavní cílem systému řízení rizik je vytváření přidané hodnoty pro akcionáře skupiny při podstupování akceptovatelného rizika. Řízení rizik se zaměřuje na kvantifikaci rizikové expozice vzhledem k jednotlivým typům rizik, zejména tržním (měnové, úrokové, komoditní) a kreditním rizikům, a v souladu s finančními cíli skupiny a rizikovým profilem se snaží o minimalizaci rizikové expozice. Principy řízení jednotlivých rizik jsou schváleny a monitorovány na úrovni managementu jednotlivých provozních společností skupiny. Vybraná rizika (likvidita, tržní) jsou následně agregována na skupinové úrovni za všechny společnosti ve skupině.
Pavel Řehák Generální ředitel Česká pojišťovna Správné řízení rizik je klíčovou oblastí řízení výkonu celé České pojišťovny. Navzdory současnému náročnému ekonomickému prostředí se nám kontinuálně daří zvyšovat její kapitálovou sílu, efektivně řídit náklady a zároveň zásadně investovat do budoucnosti. Proto pravidelně vyhodnocujeme všechna rizika jak v oblasti vývoje produktů a služeb, tak v oblasti jejich prodeje, vývoje trhu, interních procesů i každodenních vazeb s klienty. Důraz na správné řízení rizik je pevnou součástí každodenního rozhodování o chodu České pojišťovny napříč všemi úrovněmi manažerského řízení.
Miroslav Horňák Ekonomický ředitel a člen představenstva PSJ Řízením rizik se zabýváme ve všech fázích vývoje našich zakázek. Vytvořili jsme soubor kontrolních mechanismů, které nám umožňují limitovat případné škody. Důležité pro nás zároveň je dosažení rovnováhy mezi opatřeními vedoucími k omezení rizik a flexibilitou v našem jednání. Náš přístup je prakticky založen na kvantifikaci a sledování rizik na úrovni jednotlivých projektů, odtud je agregován na úroveň společností a následně celé skupiny PSJ. Přes všechna tato opatření nás však jednou za delší časový úsek, zhruba deset let, překvapí nepredikovatelná „černá labuť“, tj. událost, kterou jsme si ani ve snu nedokázali představit, a poučí nás. Nakonec vždy zvítězí selský rozum.
Horizonty / prosinec 2012 / 23
Řízení rizik – podpora vaší strategie Získejte náskok a výhodu! • Poradíme vám, jak efektivně řídit likviditu a cash flow vaší společnosti. • Posoudíme a případně pomůžeme nastavit strategii řízení finančních rizik včetně zajištění. • Provedeme analýzu vašich výsledků a pomůžeme vám je interpretovat odpovídajícím způsobem. • Posoudíme kvalitu interního kontrolního prostředí včetně efektivity fungování interního auditu. • Nezávisle zhodnotíme spolehlivost dat používaných pro řízení vaší společnosti. • Probereme s vámi veškeré aspekty finančního řízení a výkaznictví. kpmg.cz
© 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Předchozí vydání: HORIZONTY magazín pro top management / listopad 2012
Jindřich Vašina: „Jsou banky a pojišťovny y stále atraktivní investiční příležitostí?” Bankovní sektor se transformuje Solvency II: jsou pojišťovny připraveny? Příležitosti a hrozby nového soukromého práva
Archiv Horizontů naleznete na naší webové stránce www.kpmg.cz
Informace zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby či subjektu. Ačkoliv se snažíme zajistit, aby byly poskytované informace přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou doručeny, nebo že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace by neměla být na základě těchto informací činěna žádná opatření. © 2012 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. The KPMG name, logo and “cutting through complexity“ are registered trademarks or trademarks of KPMG International. Označení KPMG Česká republika zahrnuje všechny právní entity spojené s činností KPMG v České republice. Design a produkce KPMG Česká republika, s.r.o. Vytištěno v České republice prosinec 2012