Страница 14 из 20
Приведенный пример демонстрирует важный момент. Как уже говорилось в разделе «Риск», факторы риска формируют цепочки, в которых каждый последующий фактор риска является риском для предыдущих факторов. Таким образом, каждый риск можно разбить на определенное число более мелких рисков. Количество и суть таких рисков будет соответствовать количеству и сути факторов риска исходного риска. Например, если риск реализуется в результате последовательной реализации цепочки из пяти факторов риска, то его можно разбить на пять последовательных рисков. При этом каждый последующий риск в цепочке будет менее существенным, чем предыдущий риск. Для удобства далее будем употреблять слово «уровень» для обозначения места риска в цепочке рисков. Например, формулировка «уровень 3» означает, что выше по существенности находятся два риска из той же цепочки. Таким образом, любой риск, который необходимо подвергнуть декомпозиции, является риском уровня 1, или риском первого уровня.
Формирование карты рисков. Основная цель данного процесса заключается в получении на выходе перечня рисков, расположенных в порядке убывания существенности.
Рис. 2. Пример графического представления карты рисков
Перечень может сопровождаться построением графика, на котором риски располагаются в соответствии с их вероятностью и силой воздействия. Классическим является вариант графика с зеленым (белым), желтым (серым) и красным (черным) секторами (рис. 2). В зеленом (белом) секторе располагаются риски, вероятность которых относительно низка, а сила воздействия минимальна. В красном (черном) секторе располагаются риски с максимальной вероятностью и максимальной силой воздействия. Между зеленым (белым) и красным (черным) секторами располагается желтый (серый) сектор, в котором находятся три группы рисков, а именно:
• риски со средней вероятностью и силой воздействия;
• риски с низкой вероятностью, но с большой силой воздействия;
• риски с высокой вероятностью, но с маленькой силой воздействия.
Логично предположить, что ПВА в первую очередь должны интересовать риски, расположенные в красном (черном) секторе. Это действительно так, однако довольно часто в этот сектор попадают риски, которыми трудно управлять, а именно:
• «внешние» риски (т. е. риски, которые зарождаются вне компании, но влияют на ее деятельность, например риск неблагоприятного изменения законодательства);
• риски форс-мажорных обстоятельств;
• крупные риски, обусловленные совокупностью большого количества факторов риска (например, риск неадекватной бизнес-модели).
С точки зрения внутреннего аудита риски, которыми трудно управлять, не представляют особого интереса как объект конвертирования в план или программу аудита. Во-первых, многие «внешние» риски и риски форс-мажорных обстоятельств довольно очевидны. Все, что нужно сделать, – это сформировать план мероприятий по минимизации их существенности (по возможности снизить вероятность и силу воздействия), а также план действий на случай реализации данных рисков. Последнее необходимо для того, чтобы максимально воспользоваться динамикой нарастания негативных последствий риска (попросту, план того, что можно сделать, пока последствия реализации риска не достигли максимального эффекта). Во-вторых, крупные риски при конвертации могут привести к формированию громоздкой и сложной для понимания программы аудита. Также не исключено, что с первого раза не удастся выявить все существенные факторы риска и установить правильные причинно-следственные связи. Поэтому наилучшей стратегией работы с крупными рисками является их разбиение (декомпозиция) на более мелкие риски, которые более подходят для конвертирования в программы аудита.
Конвертирование рисков в программу аудита. В классическом варианте выбор рисков для конвертирования осуществляется на основании анализа карты рисков компании. Варианты выбора могут быть самыми разнообразными. Понятно, что есть определенное тяготение к выбору наиболее существенных рисков. Однако могут быть выбраны и менее существенные риски, например, потому, что их быстрее и проще устранить.
Конвертация может выполняться двумя основными способами.
Способ 1. Определение приоритетного процесса (владелец данного процесса является одновременно владельцем выбранного риска). Применение этого способа предполагает, что исходный риск либо является точечным, либо представляет собой результат декомпозиции более крупного взаимосвязанного риска. Важно, чтобы в исходной карте, во-первых, каждый риск определялся как точечный, либо укрупненный, во-вторых, для точечных рисков указывались владельцы, в-третьих, право провести декомпозицию и определить владельцев риска предоставлялось ПВА. Чаще всего имеет смысл согласовывать результаты декомпозиции и определения владельцев рисков с такими владельцами. Это повышает позитивное отношение к работе ПВА.
Способ 2. Определение кластера приоритетных процессов (владелец риска не может быть определен на этапе конвертации). Правильность определения приоритетных процессов зависит от осведомленности компании о существенных нюансах конкретного риска. Это может показаться странным, но многие компании имеют слабое представление о ключевых факторах как минимум части своих рисков. К тому же такое знание весьма неоднородно внутри компании – всегда есть кто-то, кто более полно представляет ситуацию, чем остальные. Как результат в большинстве случаев карты состоят из укрупненных рисков, не говоря уже про отсутствие причинно-следственной связи в наименовании или описании риска. Оптимальной была бы полная декомпозиция, однако она либо требует слишком много времени (особенно при необходимости согласовывать результаты), либо невозможна по ряду причин (например, владелец процесса не согласен с привязкой конкретного риска к своему процессу), включая фундаментальную причину, указанную выше. В такой ситуации у ПВА нет другого выхода, кроме привязки конкретного риска к кластеру процессов вместо одного процесса. Таким образом, использование способа 2 порой может быть вынужденной мерой.
С технической точки зрения основные сложности при конвертации возникают в трех наиболее типичных ситуациях.
Ситуация 1. Карта сформирована с использованием укрупненных рисков. При работе с такого рода рисками необходимо учитывать ряд нюансов.
Нюанс 1. Степень, так сказать, укрупненности рисков во многих случаях неравнозначна. Возьмем для примера два риска: «риск кассовых разрывов» и «риск недостаточного качества». Оба риска являются укрупненными, т. е. могут быть разбиты на взаимосвязанные риски меньшей существенности. В случае с риском кассовых разрывов разбивка даст от силы три-четыре риска второго уровня (нарушение графика оплаты дебиторской задолженности, отказ в выдаче кредита, возникновение срочных платежей) и шесть – восемь рисков третьего уровня. При разбивке риска недостаточного качества получается не менее пяти-шести рисков второго уровня (нарушение требований техпроцессов, ошибка при исполнении техпроцесса, снижение качества исходных компонентов, использование устаревшего оборудования, недостаточное количество сотрудников, обслуживающих техпроцесс) и 10–12 рисков третьего уровня.
Нюанс 2. Если разбить любой укрупненный риск на риски более низкого уровня, то существенность таких рисков будет неравнозначна. Другими словами, один или несколько факторов риска более остальных влияют на существенность вышестоящего риска. Основным следствием данной ситуации является то, что разные укрупненные риски будут конвертироваться в разные по трудоемкости программы аудита. При этом чем меньше возможностей для декомпозиции, тем сложнее сопоставить риски по трудоемкости программ аудита, созданных на их основе. Однако неравнозначность рисков дает возможность пренебречь некоторыми из них и за счет этого минимизировать трудоемкость программы аудита.