Страница 11 из 20
С практической точки зрения наиболее полезной является оценка силы воздействия, сочетающая стоимостную оценку потерь и оценку скорости наступления таких потерь (интегрированная оценка). Поэтому все качественные оценки (и количественные тоже) в идеале следует приводить к интегрированной оценке.
Управляемость. Любая компания может в той или иной степени влиять на вероятность и силу воздействия своих рисков. Это влияние зависит от степени управляемости конкретного риска. Риски можно разделить на две основные группы – риски, вероятность и сила воздействия которых может быть в какой-то мере изменена усилиями компании (управляемые риски), и риски, вероятность и сила воздействия которых остаются практически неизменными независимо от попыток их изменить (неуправляемые риски). Классическим примером рисков последней группы являются риски форс-мажорных обстоятельств, особенно связанных со стихийными бедствиями (землетрясения, наводнения, штормы, торнадо и т. д.). Единственное, что можно сделать в случае реализации неуправляемого риска, – это попытаться избежать части негативного эффекта. Это достигается, во-первых, за счет прямой защиты от предполагаемого негативного эффекта (например, строительство сейсмоустойчивых домов в сейсмоопасной зоне), во-вторых, за счет использования скорости наступления негативного эффекта (например, план эвакуации при пожаре). Однако это лишь способ подстроиться под обстоятельства. Изначальная вероятность и сила воздействия неуправляемых рисков остаются неизменными.
Взаимосвязанность. Как уже говорилось, у большинства рисков двойственная природа, они являются одновременно и рисками, и факторами риска для других рисков. В среде рисков широко распространен эффект домино. Многие риски образуют цепочки рисков, структуру которых чаще всего невозможно предугадать. Наличие многообразных взаимосвязей приближает систему рисков любого предприятия к детерминированно-хаотическим системам. В рамках таких систем возможна реализация эффекта бабочки[6]. Не исключено, что изначальной причиной многих крупных негативных событий явилась реализация мелких и на первый взгляд незначительных рисков. Последствия реализации этих цепочек рисков загубили бы не одно предприятие, если бы не теория вероятности и естественное прерывание цепочек рисков вследствие воздействия сторонних факторов (которое тем вероятнее, чем длиннее цепочка и медленнее реализация эффекта домино).
Взаимосвязь риска и бизнес-процесса
Любой, даже самый мелкий и незначительный, бизнес-процесс всегда взаимосвязан с рядом рисков. В случае реализации этих рисков цель такого бизнес-процесса достигается частично либо не достигается вовсе. Другими словами, на выходе из процесса вы не получите ничего либо получите не то, что нужно. Именно эта взаимосвязь позволяет конвертировать риски в план или программу внутреннего аудита.
Внутренний аудит занимается анализом бизнес-процессов и систем контроля бизнес-процессов. С технической точки зрения невозможно затеять проект по аудиту какого-либо риска, поскольку, по сути, риск – это событие, причем во многих случаях такое, которое может и не произойти. Событие само по себе является не процессом, а результатом определенных процессов. Поэтому при использовании риск-ориентированного подхода аудитору необходимо сначала установить взаимосвязь между рисками и процессами, а затем, в зависимости от выбранного подхода, приступить к формированию плана или программы аудита.
Суть риск-ориентированного подхода
Деятельность любого предприятия подвержена влиянию множества факторов риска. Одни факторы риска способны спровоцировать реализацию конкретного риска самостоятельно, другие – только в комбинации с другими факторами риска. Факторы риска оказывают влияние на эффективность функционирования процессов предприятия. Система процессов всегда имеет одну цель – выполнение поставленных задач. Это должно обеспечить достижение ключевой цели любого коммерческого предприятия – увеличения своей стоимости. Анализируя факторы риска в привязке к процессам, в которых они зарождаются и/или на которые они влияют, внутренний аудитор может сформировать оптимальную тематику своей работы. В этом и заключается суть риск-ориентированного подхода к внутреннему аудиту – понять, что в первую очередь мешает предприятию достичь цели, и найти наилучший способ нивелирования негативного воздействия.
В рамках риск-ориентированного подхода можно выделить два базовых метода, а именно:
• упрощенный метод;
• продвинутый метод.
Аудитор должен четко уяснить одну важную взаимосвязь. Эффективность использования любого из данных методов растет с повышением квалификации и опыта внутреннего аудитора. Например, продвинутые аудиторы могут не заниматься проведением детальных оценок процессов с использованием факторов риска, а сразу оперировать как отдельными рисками, так и цепочками рисков различной сложности, располагая только отрывочной информацией об объекте аудита, даже если они прежде его не посещали.
Упрощенный метод
При использовании данного метода основная задача заключается в формировании рейтинга рискованности процессов и выборе наиболее рискованных процессов для проведения проектов внутреннего аудита. Этот метод имеет одно существенное достоинство – его результаты могут быть наглядными, доступными для восприятия неподготовленными гражданами и относительно легкодоказуемыми. Наиболее рискованным процессом считается тот, на достижение цели которого влияет максимальное количество факторов риска максимально негативным образом. Чтобы получить рейтинг рискованности, каждый выбранный для анализа процесс оценивается с точки зрения наличия и существенности определенного перечня факторов риска. Такой перечень формируется произвольно, единственного правильного варианта просто не существует, поскольку каждая компания имеет свою специфику (разумеется, какие-то факторы являются общими для большинства компаний). Единственный критерий отбора – это прямое или опосредованное препятствование достижению процессами (или большей части анализируемых процессов) их целей. При применении упрощенного метода необходимо помнить о ряде нюансов, а именно:
• количество факторов риска ничем не ограничено. Встречаются перечни из 10–15 факторов риска и более. Скорее всего, при работе с факторами риска внутренний аудитор будет ограничен имеющимися ресурсами. Однако до определенного момента увеличение количества факторов риска, используемых для анализа, повышает качество оценки;
• рейтинг и результаты оценки должны быть наглядными. Наиболее распространенным вариантом является создание электронной таблицы (которая к тому же автоматизирует пересчет). Сверху вниз (по строкам) указываются наименования процессов, слева направо (по столбцам) – факторы риска;
• системы оценки могут быть самыми разнообразными. Можно проставлять баллы, можно выделять цветом, можно вводить дополнительные балансирующие и корректирующие элементы (веса факторов риска, степень применимости результатов оценки для отдельных предприятий или для всех предприятий группы и т. д.). В качестве базового варианта можно принять три оценки (например, высокий, средний, низкий);
• методика формирования рейтинга процессов, в любом случае, должна обсуждаться с топ-менеджментом компании (по-хитрому, как и положено внутреннему аудитору, сначала приватно с каждым руководителем, а потом со всеми вместе). Понимание и хотя бы частичное согласие с методикой обеспечит более позитивное восприятие результатов ее использования.
В качестве примера критически рассмотрим фрагмент оценочной таблицы, целью которой было формирование базовых данных для составления рейтинга подпроцессов процесса «Производство» (табл. 2). Здесь представлен подпроцесс «Хранение» (хранение МТР перед выдачей в производство), состоящий из 10 этапов. Рассматривается влияние шести факторов риска на достижение целей процессов. Факторы риска следующие:
6
Незначительное влияние на систему может иметь большие и непредсказуемые эффекты где-нибудь в другом месте и в другое время. Термин введен Эдвардом Нортоном Лоренцем.