Страница 13 из 20
Продвинутый метод
Упрощенный метод предполагает следующую последовательность действий: формирование перечня процессов (подпроцессов, этапов подпроцессов), затем генерирование факторов риска (при этом рассматриваются факторы единственного риска – риска недостижения цели процесса). Оценка воздействия выбранных факторов риска на степень достижения цели процессов позволяет сформировать рейтинг рискованности процессов. При использовании продвинутого метода за точку отсчета берется перечень рисков предприятия с оценкой как минимум их силы воздействия и вероятности, или, как его называют в специализированной литературе, карта рисков. Таким образом, формируется следующая цепочка действий: создание карты рисков, выбор наиболее существенных рисков, конвертирование рисков в план и программу аудита. На первый взгляд все просто, однако в условиях российской действительности появляется ряд следующих нюансов.
Во-первых, многие компании в нашей стране, услышав слова «карта рисков», ведут себя не так, как предполагали создатели этого инструмента, – одни пугаются, другие откладывают на потом, но большинство считают эту затею полной ерундой. Так или иначе, большинство компаний в России не формируют карту рисков на регулярной основе хотя бы искусства ради, не говоря уже о ее практическом применении. Однозначного объяснения этой ситуации сложно найти. Возможно, все упирается в уровень профессионального развития большинства российских управленцев, полного изъянов; возможно, все поглощены поиском источников личного обогащения; возможно, виноваты разработчики карт рисков, неспособные создать жизнеспособный и практически значимый инструмент управления. Как говорится, всего понемногу.
Во-вторых, отчасти как следствие из предыдущего нюанса, многие карты рисков, мягко говоря, вызывают сомнения в профессиональной пригодности авторов. Один из примеров мы разберем немного дальше.
В-третьих, многие карты рисков не заточены для конвертации в план или программу аудита. В таких случаях может потребоваться адаптация материала (см. разбор примера по данным табл. 5). Основные причины следующие:
• практика обобщения рисков (например, формулировка «валютный риск» без пояснений весьма многозначна);
• отсутствие причинно-следственной связи в наименовании (описании) риска (которая устанавливает базовую, т. е. наиболее свойственную в конкретных условиях, взаимосвязь фактора риска и риска);
• отсутствие процессного восприятия деятельности предприятия (фундаментальная причина, которая вряд ли исчезнет в ближайшие 5–10 лет).
В-четвертых, если компания не формирует карту рисков, то ПВА придется сделать это самостоятельно. Довольно часто первые карты страдают изъянами. Прежде всего, основным источником информации о рисках на первых порах выступает менеджмент. В силу множества причин (непонимание происходящего, стремление скрыть недостатки, недоверие к команде внутренних аудиторов и т. д.) данная информация может быть не совсем достоверной. По мере накопления информации в ходе проектов ПВА начинает лучше ориентироваться в деталях рисков компании. Затем, составление карты рисков требует затрат ресурсов, в первую очередь времени. В этой ситуации ПВА важно соблюсти баланс между необходимостью получить максимально объективное представление о рисках компании и необходимостью приступить к осуществлению проектов. И наконец, методика формирования карты и ее использования для выбора объектов аудита должна быть в той или иной степени согласована с менеджментом. Это не означает, что ПВА должно спрашивать разрешения на использование методики. Однако оно должно провести разъяснительную работу, максимально учесть мнения и пожелания менеджмента, обеспечить понимание происходящего окружающими. Только в этом случае можно вовлечь менеджмент в добросовестную работу по выявлению и оценке рисков, а также нивелировать разногласия в восприятии результатов оценки рисков.
Перед тем как двинуться дальше, имеет смысл рассмотреть процесс выявления и оценки рисков, а также процесс формирования карты рисков.
Выявление и оценка рисков. Существует несколько базовых способов, позволяющих с той или иной степенью эффективности идентифицировать риски и оценить их параметры (табл. 3).
Таблица 3. Базовые способы оценки рисков
Шкала от 1 (очень плохо) до 5 (очень хорошо)
Как следует из табл. 3, мы имеем пять базовых способов:
• эксперты (суть способа – проведение интервью сотрудников компании для выяснения их мнения о существующих рисках и формирования оценки параметров этих рисков);
• статистика (суть способа – изучение документальных источников для выявления фактов реализации рисков, а также факторов риска, способных привести к конкретным рискам);
• третья сторона (суть способа – наем сторонней организации для проведения идентификации и оценки рисков);
• вмененные риски (суть способа – формирование перечня и оценка параметров рисков, часто встречающихся в условиях, аналогичных тем, в которых действует компания);
• процессы (суть способа – использование упрощенного подхода, описанного выше).
Каждый из этих способов оценивается по пяти ключевым параметрам:
• объективность (степень приближенности к реальности);
• полнота (насколько исчерпывающим получится конечный перечень);
• стоимость (объем ресурсов, в том числе имеющих неденежную оценку, для осуществления необходимых мероприятий в рамках способа);
• время (количество времени для осуществления необходимых мероприятий в рамках способа);
• качество (пригодность исходного материала для перехода к процессу конвертирования в программу аудита).
Разумеется, проставленные оценки имеют условный характер и являются усредненным вариантом (при прочих равных). Вариации конкретных обстоятельств способствуют перестановкам в данной таблице. Перечисленные способы имеют свои плюсы и минусы (табл. 4).
Таблица 4. Плюсы и минусы базовых способов оценки рисков
Отдельного разговора заслуживает вопрос формулирования сути риска. Здесь прослеживаются два основных подхода (не считая неправильных):
• использование укрупненных рисков (формулировка риска обычно не содержит причинно-следственной связи, она сопровождается расшифровывающим и уточняющим описанием; например, формулировка «риск аварий» может сопровождаться перечислением видов, мест и, возможно, причин, а также прочими уточняющими деталями);
• использование рисков с указанием на причинно-следственную связь (точечные риски) (формулировка риска содержит указание на причинно-следственную связь, во многих случаях дальнейшие объяснения не требуются, так как она достаточно точно описывает суть риска, например формулировка «риск аварий вследствие несоблюдения режима эксплуатации оборудования»).
Как часто бывает в нашей жизни, у каждого из этих подходов есть свои плюсы и минусы (табл. 5).
Таблица 5. Основные подходы к формулированию сути риска
В дополнение к информации, приведенной в табл. 5, полезно пояснить один существенный нюанс. Укрупненными рисками нельзя управлять, так как, по сути, они состоят из нескольких цепочек факторов риска. При этом для каждой цепочки часто нужны свои мероприятия по управлению и у каждой цепочки может быть свой владелец риска (учитывая двойственность понятия «риск»). Поэтому карта укрупненных рисков более всего подходит для презентации и представления общего расклада по рискам, так сказать, по диагонали. Для целей как управления, так и конвертации в программу аудита укрупненные риски нуждаются в декомпозиции. Она должна проводиться как минимум до тех пор, пока укрупненный риск, условно говоря, не будет разбит на несколько рисков, у каждого из которых будет один владелец. Например, у нас есть риск «риск аварий». Предположим, что он в результате декомпозиции был разбит на два риска: «риск аварий вследствие несоблюдения режима эксплуатации оборудования» (риск 1) и «риск аварий вследствие общего состояния оборудования» (риск 2). На данном этапе у обоих рисков все еще может быть несколько владельцев. Возьмем для дальнейшего анализа риск 1. Его можно разбить как минимум на два риска: «риск несоблюдения режима эксплуатации оборудования вследствие нарушения требований техпроцесса» (риск 3) и «риск несоблюдения режима эксплуатации оборудования вследствие ошибок в требованиях техпроцесса» (риск 4). На этом этапе минимальное требование по декомпозиции в отношении риска 1 выполняется – владельцем риска 3 является дирекция по производству (нарушение в процессе эксплуатации оборудования), а владельцем риска 4 – служба главного технолога[7] (ошибка при расчете техпроцесса).
7
На производственных предприятиях, имеющих правильную организационную структуру, служба главного технолога не подчиняется дирекции по производству.