1 kwietnia 2020 r.

W normalnych okolicznościach, audytorzy wewnętrzni i specjaliści ds. zarządzania ryzykiem przygotowywaliby się obecnie do planowania audytu i przeglądu systemu zarządzania ryzykiem (ERM), jednak ten wyjątkowy okres wymaga przeorganizowania priorytetów i wykorzystania umiejętności w zupełnie nowy sposób.

Nadszedł czas, w którym należy wyjść poza coroczną rutynę i podjąć działania, które pomogą organizacji wykorzystać wiedzę i kompetencje oraz będą cennym wkładem w wielu priorytetowych obszarach w nadchodzących miesiącach:

Przyczynianie się do ciągłości działania (BCM)

Wiele firm boryka się z tym, jak sprostać stojącym przed nimi wyzwaniom, częściowo z powodu niewystarczającej uwagi poświęconej ciągłości działań w przeszłości. Teraz już nie ma czasu nad tym ubolewać, tylko należy podjąć konstruktywną

współpracę w celu opracowania zwinnych i praktycznych rozwiązań. Nadal jest wiele do zrobienia, aby nadrobić zaległości w fazach reakcji na sytuację kryzysową i przywracania do normalnego działania.

Jak audytorzy wewnętrzni i specjaliści ds. zarządzania ryzykiem mogą pomóc w czasach COVID-19?KPMG w Polsce

Zapobieganie

Reakcja

Przywrócenie

Pozi

om

rea

lizac

ji u

słu

g

Czas

Mitygowanie skutków incydentów

z BCM bez BCM

środowisko niezakłócone

CORONA

Skrócenie czasu przywracania

Co możecie Państwo zrobić:

1. Przyczynić się do usprawnienia planu zarządzania kryzysowego.

2. Przyczynić się do usprawnienia planu ciągłości działania oraz planu przywrócenia działania usług IT.

1 Więcej na ten temat patrz Zarządzanie kryzysowe i ciągłość działania (BCM) https://kpmgspot.pl/produkt/zarzadzanie-kryzysowe-i-ciaglosc-dzialania-bcm/

Plan zarządzania

kryzysowego

Plan ciągłości działania1

Plan przywracania usług IT po awarii (Disaster Recovery Plan)

/ (Plan ciągłości usług IT)

Plan zarządzania kryzysowego (Crisis Management Plan)

Plan zarządzania kryzysowego (CMP) określa zasady natychmiastowej reakcji na poziomie zarządczym w celu zarządzenia sytuacją kryzysową i przywrócenia operacji krytycznych. Plan zarządzania kryzysowego może obejmować:

• Role i obowiązki kierownictwa, w tym procedury eskalacji

• Wewnętrzne i zewnętrzne strategie komunikacji, w tym zarządzanie interesariuszami

• Współpracę z zewnętrznymi dostawcami usług przywracania działania

• Współpracę z wewnętrznymi zespołami ds. ciągłości działania i przywracania działania usług IT

Plan ciągłości działania (Business Continuity Plan)1

Plan ciągłości działania (BCP) określa procedury, których należy przestrzegać w przypadku wystąpienia poważnych, nieprzewidzianych zakłóceń. BCP może obejmować:

• Strategie przywracania funkcjonowania krytycznych procesów biznesowych (co należy zrobić, aby kontynuować operacje krytyczne)

• Listy danych kontaktowych

• Wymagania odnośnie infrastruktury niezbędnej do realizacji zdań krytycznych

• Wymagania w obszarze zasobów ludzkich

Plan przywracania usług IT po awarii (Disaster Recovery Plan) / (Plan ciągłości usług IT)

Plan przywrócenia działania usług IT (DRP) określa konkretne procedury wymagane do odtworzenia lub przywrócenia działania kluczowych systemów informatycznych. DRP może stanowić część BCP lub – co jest bardziej powszechne – być oddzielnym dokumentem.

Zapewnienie wglądu w zmienione środowisko: ryzyko i szanse

„Przewidywanie tego, co nieprzewidywalne: radzenie sobie z ryzykiem i niepewnością” było zawsze kluczową zasadą audytorów, która, gdy pojawił się COVID-19, jest jeszcze bardziej aktualna. Istnieje wiele powiązanych ze sobą zagrożeń, które nagle ze względu na COVID-19 mogą się zmaterializować, na przykład: ryzyko związane z cyberprzestępczością i oszustwami, ryzyko utraty reputacji, ryzyko związane z łańcuchem dostaw, zdrowiem i bezpieczeństwem, to przykłady zaledwie kilku z nich. Jako specjaliści ds. zarządzania ryzykiem jesteście Państwo najlepszymi osobami, które mogą kształtować podejście kierownictwa i doprowadzić do tego, że na zagrożenia – ale również szanse – związane z wirusem SARSCov2, organizacja będzie patrzyła holistycznie i do ich analizy podejdzie w sposób ustrukturyzowany.

Wdrożenie zwinnego zarządzania audytem

Należy rozmawiać z kierownictwem firmy. Dzięki temu uzgodnione zostanie, w jaki sposób audyt wewnętrzny może wnieść wartość w tym kryzysowym okresie. Prawdopodobnie nie jest to najlepszy czas, aby trzymać się wcześniej założonego planu audytu albo innych rutynowych procedur, jeśli w obecnej sytuacji nie zapewniają organizacji konkretnych korzyści. Zdecydowanie lepszym rozwiązaniem będzie tymczasowe skupienie się audytorów wewnętrznych na roli doradczej (na przykład w obszarze ciągłości działania i zarządzania kryzysowego), a po ustabilizowaniu sytuacji podjęcie dalszych działań poświadczających.

Im szybciej podejmiecie Państwo działania, tym skuteczniejsze będą efekty dla Państwa organizacji i jej pracowników – począwszy od kierownictwa, aż po najmłodszych stażem pracowników. Wierzymy,

że posiadacie Państwo odpowiednią wiedzę i umiejętności, aby wnieść prawdziwą wartość w tym krytycznym momencie. Życzymy powodzenia podczas pracy w nadchodzących tygodniach i miesiącach.

Promowanie kultury zarządzania ryzykiem w organizacji

Ludzki aspekt obecnego kryzysu ma fundamentalne znaczenie i powinien zostać wyraźnie uwzględniony przy mitygowaniu ryzyk oraz wdrażaniu środków zaradczych. Audytorzy jako specjaliści ds. zarządzania ryzykiem powinni upewnić się, że środki zapewniające ciągłość działania firmy w sytuacji z jaką mamy do czynienia są:

• jasno określone i zrozumiałe,

• dobrze zakomunikowane w organizacji,

• angażują całą organizację,

• w pełni stosowane przez kierownictwo,

• wykonalne,

• otwarcie omawiane,

• egzekwowane,

• ciągle ulepszane.

Czynniki kulturowe

Jasność Dostępność

Wiedza i zrozumienie

Zaangażowanie Dawanie przykładu

Zaufanie i Zapewnienie

Wykonalność Otwartość

Kompetencje i kontekst

Egzekwowanie Udoskonalanie

Działanie i determinacja

Kontakt

Krzysztof Radziwon Doradztwo biznesowePartner E: kradziwon@kpmg.plT: +48 508 047 500

Doradztwo biznesowe

E: wbielinski@kpmg.plT: +48 519 118 080

Biura KPMG w Polsce

mampytanie@kpmg.pl

Warszawa

00-189 WarszawaT: +48 22 528 11 00F: +48 22 528 10 09E: kpmg@kpmg.pl

ul. Roosevelta 22

T: +48 61 845 46 00F: +48 61 845 46 01E: poznan@kpmg.pl

T: +48 58 772 95 00F: +48 58 772 95 01E: gdansk@kpmg.pl

Krakówul. Opolska 11431-323 KrakówT: +48 12 424 94 00F: +48 12 424 94 01E: krakow@kpmg.pl

ul. Szczytnicka 11

T: +48 71 370 49 00F: +48 71 370 49 01E: wroclaw@kpmg.pl

Katowiceul. Francuska 3640-028 KatowiceT: +48 32 778 88 00F: +48 32 778 88 10E: katowice@kpmg.pl

T: +48 42 232 77 00F: +48 42 232 77 01E: lodz@kpmg.pl

kpmg.pl

Informacje zawarte w niniejszej publikacji mają charakter ogólny i nie dotyczą sytuacji konkretnej firmy. Ze względu na szybkość zmian zachodzących w polskim prawodawstwie prosimy o upewnienie się w dniu zapoznania się z niniejszą publikacją, czy informacje w niej zawarte są wciąż aktualne. Przed podjęciem konkretnych decyzji proponujemy skonsultowanie ich z naszymi doradcami. Nazwa i logo KPMG są zastrzeżonymi znakami towarowymi bądź znakami towarowymi KPMG International.

© 2020 KPMG Central Services, a Belgian Economic Interest Grouping („ESV/GIE”) and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative („KPMG International”), a Swiss entity. All rights reserved.

Skład i modyfikacje treści w języku polskim KPMG w Polsce.© 2020 KPMG in Poland.