Broszura KPMG pt. Jak audytorzy wewnętrzni i …...E: [email protected] Kraków ul. Opolska 114 31-323...
Transcript of Broszura KPMG pt. Jak audytorzy wewnętrzni i …...E: [email protected] Kraków ul. Opolska 114 31-323...
1 kwietnia 2020 r.
W normalnych okolicznościach, audytorzy wewnętrzni i specjaliści ds. zarządzania ryzykiem przygotowywaliby się obecnie do planowania audytu i przeglądu systemu zarządzania ryzykiem (ERM), jednak ten wyjątkowy okres wymaga przeorganizowania priorytetów i wykorzystania umiejętności w zupełnie nowy sposób.
Nadszedł czas, w którym należy wyjść poza coroczną rutynę i podjąć działania, które pomogą organizacji wykorzystać wiedzę i kompetencje oraz będą cennym wkładem w wielu priorytetowych obszarach w nadchodzących miesiącach:
Przyczynianie się do ciągłości działania (BCM)
Wiele firm boryka się z tym, jak sprostać stojącym przed nimi wyzwaniom, częściowo z powodu niewystarczającej uwagi poświęconej ciągłości działań w przeszłości. Teraz już nie ma czasu nad tym ubolewać, tylko należy podjąć konstruktywną
współpracę w celu opracowania zwinnych i praktycznych rozwiązań. Nadal jest wiele do zrobienia, aby nadrobić zaległości w fazach reakcji na sytuację kryzysową i przywracania do normalnego działania.
Jak audytorzy wewnętrzni i specjaliści ds. zarządzania ryzykiem mogą pomóc w czasach COVID-19?KPMG w Polsce
Zapobieganie
Reakcja
Przywrócenie
Pozi
om
rea
lizac
ji u
słu
g
Czas
Mitygowanie skutków incydentów
z BCM bez BCM
środowisko niezakłócone
CORONA
Skrócenie czasu przywracania
Co możecie Państwo zrobić:
1. Przyczynić się do usprawnienia planu zarządzania kryzysowego.
2. Przyczynić się do usprawnienia planu ciągłości działania oraz planu przywrócenia działania usług IT.
1 Więcej na ten temat patrz Zarządzanie kryzysowe i ciągłość działania (BCM) https://kpmgspot.pl/produkt/zarzadzanie-kryzysowe-i-ciaglosc-dzialania-bcm/
Plan zarządzania
kryzysowego
Plan ciągłości działania1
Plan przywracania usług IT po awarii (Disaster Recovery Plan)
/ (Plan ciągłości usług IT)
Plan zarządzania kryzysowego (Crisis Management Plan)
Plan zarządzania kryzysowego (CMP) określa zasady natychmiastowej reakcji na poziomie zarządczym w celu zarządzenia sytuacją kryzysową i przywrócenia operacji krytycznych. Plan zarządzania kryzysowego może obejmować:
• Role i obowiązki kierownictwa, w tym procedury eskalacji
• Wewnętrzne i zewnętrzne strategie komunikacji, w tym zarządzanie interesariuszami
• Współpracę z zewnętrznymi dostawcami usług przywracania działania
• Współpracę z wewnętrznymi zespołami ds. ciągłości działania i przywracania działania usług IT
Plan ciągłości działania (Business Continuity Plan)1
Plan ciągłości działania (BCP) określa procedury, których należy przestrzegać w przypadku wystąpienia poważnych, nieprzewidzianych zakłóceń. BCP może obejmować:
• Strategie przywracania funkcjonowania krytycznych procesów biznesowych (co należy zrobić, aby kontynuować operacje krytyczne)
• Listy danych kontaktowych
• Wymagania odnośnie infrastruktury niezbędnej do realizacji zdań krytycznych
• Wymagania w obszarze zasobów ludzkich
Plan przywracania usług IT po awarii (Disaster Recovery Plan) / (Plan ciągłości usług IT)
Plan przywrócenia działania usług IT (DRP) określa konkretne procedury wymagane do odtworzenia lub przywrócenia działania kluczowych systemów informatycznych. DRP może stanowić część BCP lub – co jest bardziej powszechne – być oddzielnym dokumentem.
Zapewnienie wglądu w zmienione środowisko: ryzyko i szanse
„Przewidywanie tego, co nieprzewidywalne: radzenie sobie z ryzykiem i niepewnością” było zawsze kluczową zasadą audytorów, która, gdy pojawił się COVID-19, jest jeszcze bardziej aktualna. Istnieje wiele powiązanych ze sobą zagrożeń, które nagle ze względu na COVID-19 mogą się zmaterializować, na przykład: ryzyko związane z cyberprzestępczością i oszustwami, ryzyko utraty reputacji, ryzyko związane z łańcuchem dostaw, zdrowiem i bezpieczeństwem, to przykłady zaledwie kilku z nich. Jako specjaliści ds. zarządzania ryzykiem jesteście Państwo najlepszymi osobami, które mogą kształtować podejście kierownictwa i doprowadzić do tego, że na zagrożenia – ale również szanse – związane z wirusem SARSCov2, organizacja będzie patrzyła holistycznie i do ich analizy podejdzie w sposób ustrukturyzowany.
Wdrożenie zwinnego zarządzania audytem
Należy rozmawiać z kierownictwem firmy. Dzięki temu uzgodnione zostanie, w jaki sposób audyt wewnętrzny może wnieść wartość w tym kryzysowym okresie. Prawdopodobnie nie jest to najlepszy czas, aby trzymać się wcześniej założonego planu audytu albo innych rutynowych procedur, jeśli w obecnej sytuacji nie zapewniają organizacji konkretnych korzyści. Zdecydowanie lepszym rozwiązaniem będzie tymczasowe skupienie się audytorów wewnętrznych na roli doradczej (na przykład w obszarze ciągłości działania i zarządzania kryzysowego), a po ustabilizowaniu sytuacji podjęcie dalszych działań poświadczających.
Im szybciej podejmiecie Państwo działania, tym skuteczniejsze będą efekty dla Państwa organizacji i jej pracowników – począwszy od kierownictwa, aż po najmłodszych stażem pracowników. Wierzymy,
że posiadacie Państwo odpowiednią wiedzę i umiejętności, aby wnieść prawdziwą wartość w tym krytycznym momencie. Życzymy powodzenia podczas pracy w nadchodzących tygodniach i miesiącach.
Promowanie kultury zarządzania ryzykiem w organizacji
Ludzki aspekt obecnego kryzysu ma fundamentalne znaczenie i powinien zostać wyraźnie uwzględniony przy mitygowaniu ryzyk oraz wdrażaniu środków zaradczych. Audytorzy jako specjaliści ds. zarządzania ryzykiem powinni upewnić się, że środki zapewniające ciągłość działania firmy w sytuacji z jaką mamy do czynienia są:
• jasno określone i zrozumiałe,
• dobrze zakomunikowane w organizacji,
• angażują całą organizację,
• w pełni stosowane przez kierownictwo,
• wykonalne,
• otwarcie omawiane,
• egzekwowane,
• ciągle ulepszane.
Czynniki kulturowe
Jasność Dostępność
Wiedza i zrozumienie
Zaangażowanie Dawanie przykładu
Zaufanie i Zapewnienie
Wykonalność Otwartość
Kompetencje i kontekst
Egzekwowanie Udoskonalanie
Działanie i determinacja
Kontakt
Krzysztof Radziwon Doradztwo biznesowePartner E: [email protected]: +48 508 047 500
Doradztwo biznesowe
E: [email protected]: +48 519 118 080
Biura KPMG w Polsce
Warszawa
00-189 WarszawaT: +48 22 528 11 00F: +48 22 528 10 09E: [email protected]
ul. Roosevelta 22
T: +48 61 845 46 00F: +48 61 845 46 01E: [email protected]
T: +48 58 772 95 00F: +48 58 772 95 01E: [email protected]
Krakówul. Opolska 11431-323 KrakówT: +48 12 424 94 00F: +48 12 424 94 01E: [email protected]
ul. Szczytnicka 11
T: +48 71 370 49 00F: +48 71 370 49 01E: [email protected]
Katowiceul. Francuska 3640-028 KatowiceT: +48 32 778 88 00F: +48 32 778 88 10E: [email protected]
T: +48 42 232 77 00F: +48 42 232 77 01E: [email protected]
kpmg.pl
Informacje zawarte w niniejszej publikacji mają charakter ogólny i nie dotyczą sytuacji konkretnej firmy. Ze względu na szybkość zmian zachodzących w polskim prawodawstwie prosimy o upewnienie się w dniu zapoznania się z niniejszą publikacją, czy informacje w niej zawarte są wciąż aktualne. Przed podjęciem konkretnych decyzji proponujemy skonsultowanie ich z naszymi doradcami. Nazwa i logo KPMG są zastrzeżonymi znakami towarowymi bądź znakami towarowymi KPMG International.
© 2020 KPMG Central Services, a Belgian Economic Interest Grouping („ESV/GIE”) and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative („KPMG International”), a Swiss entity. All rights reserved.
Skład i modyfikacje treści w języku polskim KPMG w Polsce.© 2020 KPMG in Poland.