Карта рисков.

Карта рисков – простой метод оценки рисков

Представители разных отраслей экономики – зачастую задают, как консультантам по управлению рисками вопрос: есть ли простые и наглядные методы, доступные и неспециалистам, которые помогли бы хотя бы грубо оценить риски при развитии новых стратегических направлений бизнеса, крупных инвестиционных планов и т.п.

Что такое карта риска и чем она полезна?

Частный пример карты рисков

Описание структуры карты рисков

Арабские цифры на карте – обозначения рисков, которые были классифицированы по…

Построение карты рисков

Производиться как в рамках внедрения системы управления рисками на уровне всей организации , что сложно, а зачастую и невозможно выполнить внутренними силами организации.

Для решения обособленного круга задач по управлению рисками , например в рамках предварительной оценки различных стратегий развития.

Что Вы можете сделать сами: процесс построения карты риска.

В общем случае процесс картографирования рисков позволяет:

o выделить риски

o расположить риски по приоритетам

o оценить количественно (разбить на классы) риски организации.

Методы, которые применяют консультанты при составлении карты рисков включают

o интервью

o формализованные и неформализованные опросники

o обзоры и исследования отрасли

o анализ документационного комплекта компании

o численные методы оценки

Основные шаги процесса самостоятельного картографирования рисков

2. определение границ анализа 3. формирование состава команды 4. анализ сценариев и ранжирование

Таблица результатов сценарного анализа и ранжирования рисков

Методы управления рисками.

Сами по себе методы риск-менеджмента достаточно разнообразны. Это связано с неоднозначностью понятия риска и наличием большого числа критериев их… Во – первых, подходы к управлению рисками можно сгруппировать как методы… · Дособытийные методы управления рисками – осуществляемые заблаговременно мероприятия, направленные на изменение…

Для снижения внутренних предпринимательских рисков предприятие должно проверять потенциальных партнеров по бизнесу и тщательно подбирать кадры.


Что будем делать с полученным материалом:

Если этот материал оказался полезным для Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Еще рефераты, курсовые, дипломные работы на эту тему:

Риски предприятия, методы их оценки
В дальнейшем я хотел бы развить эту тему при написании дипломной работы. Я считаю, что данный вопрос в настоящее время очень актуален в России, так как.. С другой стороны, он обычно невелик, особенно если человек осторожен. Другое дело риск предпринимателя.На такой риск..

Сравнение эффективности методов сортировки массивов: Метод прямого выбора и метод сортировки с помощью дерева
При прямом включении на каждом шаге рассматриваются только один очередной элемент исходной последовательности и все элементы готовой.. Полностью алгоритм прямого выбора приводится в прогр. 3. Таблица 2. Пример.. Можно сказать, что в этом смысле поведение этого метода менее естественно, чем поведение прямого включения.Для С имеем..

Методы решения жестких краевых задач, включая новые методы и программы на С++ для реализации приведенных методов
Стр. 8. Второй алгоритм для начала счета методом прогонки С.К.Годунова.Стр. 9. Замена метода численного интегрирования Рунге-Кутта в методе прогонки.. Стр. 10. Метод половины констант. Стр. 11. Применяемые формулы.. Стр. 62. 18. Вычисление вектора частного решения неоднородной системы дифференциальных уравнений. Стр. 19. Авторство..

Курс лекций по дисциплине риски вэд модуль. Риск как экономическая категория. Риск в экономической деятельности
Государственное образовательное учреждение высшего профессионального образования российская таможенная академия ростовский филиал.. содержание..

Предпринимательский риск виды риска, оценка фактов и способы его минимизации
В связи с развитием рыночныхотношений предпринимательскую деятельность в нашей стране приходится осуществлятьв условиях нарастающей неопределенности.. Подобная обстановка нескольконеобычна и непривычна для нашего хозяйственника.. Но она вносила явную или по крайней мере кажущуюся четкость,обеспечивала навязанный порядок. Хотя и не с полной..

Аудиторский риск и методы его оценки
Одна из функций аудита и есть контроль финансово-экономической деятельности экономических субъектов.Но в нашей стране аудит ещё не “стал на ноги”.. В связи с этим возникают у аудиторской фирмы (самостоятельного аудитора).. Концепция аудиторского риска, появившаяся в теории аудита в середине 80–х годов, ознаменовала начало нового этапа..

Валютные риски, методы управления и минимизации валютных рисков
Риск выражается вероятностью получения таких нежелательных результатов, как потери прибыли и возникновение убытков вследствие неплатежей по выданным.. Поэтому, с одной стороны, любой производитель старается свести к минимуму.. Уровень риска увеличивается, если: проблемы возникают внезапно и вопреки ожиданиям; поставлены новые задачи, не..

Статистические показатели себестоимости продукции: Метод группировок. Метод средних и относительных величин. Графический метод
Укрупненно можно выделить следующие группы издержек, обеспечивающих выпуск продукции: - предметов труда (сырья, материалов и т.д.); - средств труда.. Себестоимость является экономической формой возмещения потребляемых факторов.. Такие показатели рассчитываются по данным сметы затрат на производство. Например, себестоимость выпущенной продукции..

Решение систем линейных алгебраических уравнений методом простых итераций и методом Зейделя
При использовании итерационных процессов, сверх того, добавляется погрешность метода. Заметим, что эффективное применение итерационных методов существенно зависит.. Сейчас разберем несколько определений которые будем использовать в этой работе.Система линейных уравнений с n..

Количественные и качественные методы оценки риска
Количественная оценка рисков часто сопровождает качественную оценку и также требует процесс идентификации рисков.Количественная и количественная.. Мера риска - это степень неопределенности финансовых результатов, сте¬пень.. Чем меньше значе¬ние стандартного отклонения а и коэффициента вариации по основ¬ным параметрам деятельности, тем..

0.054

Транскрипт

1 Методика построения карты рисков проекта развертывания технопарка в регионе, претендующем на включение в государственную программу «Создание в Российской Федерации технопарков в сфере высоких технологий» Общий подход к построению карты рисков Карта рисков представляет собой схематичное отображение классификации рисков по степени их существенности и вероятности. Существенность и вероятность это главные категории оценки риска. Существенность представляет собой характеристику степени возможного ущерба от рискового события (прямые финансовые потери, упущенные возможности (косвенные финансовые потери), невыполнение поставленных целей и задач и др.). Существенность для коммерческих субъектов может быть измерена в денежном выражении как оценка возможных потерь от рискового события (например, остановка производственной линии недовыполнение плана выпуска и плана продаж ущерб в виде недополученной прибыли (упущенная возможность)). Однако, если речь идет не только о выполнении показателей коммерческой эффективности проекта, но и о достижении социального, макроэкономического и политического эффекта, то денежный эквивалент как единственная мера существенности риска неприменима. В этом случае прибегают к экспертной оценке существенности, которая позволяет оценить степень влияния каждого вида риска на возможность достижения в ходе проекта коммерческих, макроэкономических, социальных и политических задач. Вероятность риска определяет вероятность наступления рискового события, приносящего ущерб. Вероятность может оцениваться при помощи статистических моделей, методов нечеткой логики, экспертных методов. Для удобства применения методики различными участниками процесса создания технопарка предпочтительно использование экспертных методов определения вероятности риска. 238

2 Карта рисков, в большинстве случаев, и, в частности, в данной методике представляется в виде точечной диаграммы, осями которой являются интервалы значений существенности и вероятности, условно определенные низкой, средней и высокой степенями (Рис). Диаграмма образует 9 областей, в которые попадают точки, имеющие координаты экспертной оценки существенности и вероятности. Деление этих областей имеет своей целью дифференциацию подхода к рискам, имеющим различный уровень существенности и вероятности. Наибольший уровень существенности и вероятности имеют риски, попадающие в область А3. Применительно к этой категории рисков необходимо отдельно разрабатывать план управления рисками, включающий: 1. Меры по мониторингу уровня значений факторов, определяющих риск (тарифы, персонал, энергоснабжение и т.д.) 2. Решения по снижению вероятности рисковых событий и план их исполнения 3. Решения по уменьшению последствий рисковых событий (снижению существенности) и план их исполнения Меры по мониторингу уровня значений факторов, определяющих риск, предусматривают определение точек контроля (объектов, процессов, действий), способов контроля (отчетность, автоматизированный мониторинг, периодический аудит и т.д.) в зависимости от типов контролируемых рисков, а также показателей и индикаторов, при помощи которых производится контроль и оценка уровней риска. Решения по снижению вероятности рисковых событий лежат в области совершенствования процессов деятельности, процессов работы с трудовыми ресурсами, ресурсами основных фондов, материальными ресурсами, а также в области совершенствование методов контроля. 239

3 Решения по уменьшению последствий рисковых событий лежат в области внешнего размещения риска и внутреннего резервирования финансовых средств на устранение последствий рисковых событий. Наиболее распространены решения по: страхованию ответственности; перераспределению ответственности; резервированию денежных сумм в бюджете на оперативное устранение последствий рисковых событий; разработке и применению инструкций по контролю рисков и оперативному устранению последствий рисковых событий. Вероятность рискового события высокая А1 А2 А3 Риск 1 Риск 2 средняя А4 А5 А6 Риск 3 А7 низкая А8 А9 низкая средняя высокая Существенность рискового события Рисунок Карта рисков По всем рискам, попавшим в область А3, в Концепции развертывания технопарка необходимо привести план действий по мониторингу их уровня, снижению вероятности и устранению возможных последствий. 240

4 Области А2, А5 и А6 не являются столь критичными, как область А3, однако также требуют повышенного внимания, поскольку оценки рисков из этих областей могут переместиться в область А3. По рискам, попадающим в эти области, необходимо привести краткую характеристику действий по управлению их вероятностью и существенностью и представить в виде таблицы в концепции развертывания технопарка (Таблица 39). Таблица 39. Перечень мер по снижению рисков п/п Виды рисков В i C i Меры по снижению рисков При выработке мер по снижению рисков можно руководствоваться предложениями, изложенными в таблице 39. глубокого Риски, попадающие в области А1, А4, А7, А8, А9 не являются предметом анализа и управления, поскольку либо маловероятны, либо несут незначительный ущерб. По данным рискам должны быть идентифицированы факторы и предложены меры по их контролю. Для построения карты рисков необходимо дать экспертную оценку уровней относительной вероятности и относительной значимости рисков. При такой оценке удается проранжировать все виды рисков, характерные для предлагаемого проекта и выделить из них наиболее существенные и вероятные относительно остальных. Для оценки абсолютного уровня рисков проекта (как одного из критериев) по каждому виду рисков согласно определенным условиям будет проставляться экспертное значение, которое и будет определять абсолютный уровень риска и будет входить в состав интегральной оценки для отбора региона и предлагаемого им проекта развертывания технопарка. 241

5 Методика построения карты рисков Методика построения карты рисков предполагает несколько шагов: Шаг 1. Расчет относительных уровней вероятности и существенности рисков. Шаг 2. Определение интервалов построения карты рисков и формирование полей А1-А9. Шаг 3. Нанесение на карту рисков точек, координаты которых образованы значениями относительных уровней вероятности и существенности рисков. Шаг 1. Расчет относительных уровней вероятности и существенности рисков. Для проведения ранжирования видов рисков по их относительной вероятности и существенности в данной методике применяется метод парных сравнений. При использовании этого метода экспертами осуществляются парные сравнения оцениваемых факторов. Такое сравнение, как известно, наиболее простая, сводящая к минимуму затруднения экспертов форма отражения своих предпочтений. При этом избыточная информация, содержащаяся в матрице парных сравнений факторов (оценки результатов непосредственного сравнения характеристик экспертами и оценки, полученные опосредствованно через сравнения характеристик с другими, промежуточными характеристиками) позволяет в процессе последующей обработки (на этапе обработки данных) существенно уменьшить влияние ошибок, допущенных экспертами при осуществлении элементарных операций попарного сопоставления факторов. Группа экспертов, пользуясь специальной вербально-числовой шкалой, заполняет матрицу парных сравнений 242

6 11 21 m m m 2m... Z =, = 1, n,... mm где jk - результат сравнения j-го фактора с k-ым Оценки jk назначаются в соответствии с вербально-числовой шкалой значений следующим образом: jk $ 1, åñëè j % ûé è k % ûé ôàêòî!û èìå?ò îäèíàêîâó? âàæíîñòü! = # 0,5, åñëè j % ûé ôàêòî! ìåíåå âàæåí k % ãî ôàêòî!à ;! " 1,5, åñëè j % ûé ôàêòî! âàæíåå k % ãî ôàêòî!à ; ; При заполнении матрицы накладывается и учитывается требование взаимного дополнения оценок: 1 jk =. (4.13.1) kj Следует отметить, что для построения карты рисков необходимо сначала проранжировать виды рисков согласно их вероятности, а затем значимости. На практике для оценки рисков матрица парных сравнений выглядит следующим образом (Пример для расчета относительной вероятности В i выборки рисков): 243

7 jk k В В В В В В В В Σ j 1 В,5 1,5 1 1,5 1,5 1 1,5 9,5 2 В,5 6,5 3 В,5 7,5 4 В В,5 1,5 0,5 6 В,5 7 В В,5 0,5 0,5 Точно такая же матрица строится и для оценки существенности рисков (С i). j и k применительно к данной методике являются обозначениями вероятности (В i) и существенности (С i) видов риска из таблицы 38. Итоговая сумма определяет количество баллов, набранных каждым конкретным видом риска относительно других видов рисков в данной выборке. Выборка формируется из всех определенных в реестре к Концепции развертывания технопарка видов рисков. Шаг 2. Определение интервалов построения карты рисков и формирование полей А1-А9. Интервалы построения карты рисков определяются по следующему алгоритму: 1. Рассчитываются минимальное и максимальное значение на карте рисков 2. Находится длина интервала 244

8 3. Определяются значения границ интервалов. Расчет минимального значения карты рисков производится по формуле: = 0,5*(k 1), () min! k=j То есть, в приведенном выше примере k=j=8, соответственно min = 0,5*(8! 1) = 3,5 Расчет максимального значения карты рисков производится по формуле: = 1,5*(k 1), () max! k=j То есть, в приведенном выше примере k=j=8, соответственно max = 1,5*(8! 1) = 10,5 Длина интервала находится исходя из допущения о его линейности и количества интервалов, равного 3. Длина интервала рассчитывается по формуле: int = max! 3 min То есть, в приведенном выше примере: 10,5 " 3,5 = 3 int! 2,33 () Погрешность, связанная с округлением до второго знака после запятой при подобных расчетах несущественна. Значения границ интервалов определяются по формулам: 245

9 + int = 1 min int ; () + int 2 = 1 int ; () Для нашего примера значения границ интервалов будут равны: = 3,50 min int = 3,50 + 2,33 = 5,83 1 int = 5,83 + 2,33 = 2 8,16 max = 10,50 Поскольку k=j=i, то по осям абсцисс и ординат откладываются равные интервалы. В результате строится диаграмма, на которой выделяются области классификации риска: 10,50 10,49 Вероятность рискового события высокая А1 А2 А3 8,16 средняя 5,83 низкая А4 А5 А6 А7 А8 А9 3,5 3,5 низкая 5,83 средняя 8,16 высокая 10,49 10,50 Существенность рискового события 246

10 Шаг 3. Нанесение на карту рисков точек, координаты которых образованы значениями относительных уровней вероятности и существенности рисков. Данный шаг предполагает парную оценку всех рисков, входящих в выборку, сначала по вероятности (B i), а затем по существенности (С i). Значения по вероятности откладываются по оси ординат, значения по существенности по оси абсцисс. В результате получаем карту, на которой определено местоположение каждого вида риска. Пример парного сравнения вероятностей и существенностей ограниченной выборки рисков (из таблицы 38) приведен в Приложении 4.4. Следует подчеркнуть, что карта рисков дает представление об относительном уровне вероятности и значимости различных видов риска, т.е. сравнивает все риски между собой. Поэтому, карта рисков в обязательном порядке должна быть дополнена оценкой уровня рисков проекта, рассчитываемой в соответствии с методикой, приведенной в Главе 3 настоящих Методических рекомендаций. В рамках описания методов и приемов управления рисками могут быть приведены проекты положений подразделений, ответственных за мониторинг рисков, выработку корректирующих воздействий, устранение последствий рисковых событий, а также краткое описание процедур проверки факторов риска Раздел 14. План - график создания и запуска в эксплуатацию технопарка План-график создания и запуска в эксплуатацию объектов технопарка должен быть составлен в форме, приведенной в таблице

11 Таблица 40. График строительства Дата сдачи объекта п/п Основные объекты Наименование объекта Принадлежнос ть объекта к пусковому комплексу (очереди) Дата начала строитель ства I кв г. II кв г. III кв г. IV кв г. I кв г. II кв г. III кв г. IV кв г. 1. Объект 1 2. Объект 2 Объекты инженерной инфраструктуры 1. Объект 1 2. Объект 2 248


Глава МЕТОДЫ ПОЛУЧЕНИЯ ГРУППОВЫХ ЭКСПЕРТНЫХ ОЦЕНОК СЦЕНАРИЕВ Методы получения усредненных оценок Анализ экспертных оценок может выполняться с использованием разнообразных статистических методов однако

Директор Департамента контрольно-ревизионной деятельности ПАО «Россети» М.А. Лелекова Система управления рисками как инструмент достижения целей бизнес-процессов 1 марта 2016 года Взаимосвязь управления

Зарегистрировано в Минюсте России 3 февраля 2011 г. N 19691 МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРИКАЗ от 13 декабря 2010 г. N 167н ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ПО БУХГАЛТЕРСКОМУ УЧЕТУ "ОЦЕНОЧНЫЕ ОБЯЗАТЕЛЬСТВА,

Труды ИСА РАН 2006. Т. 27 Оценка рисков доверия к кибербезопасности компьютеризированных систем А. А. Кононов При использовании любой компьютеризированной системы (КС) пользователь, доверяя этой системе,

ОСНОВНЫЕ СПОСОБЫ СОКРАЩЕНИЯ РИСКА НА ВСЕХ ЭТАПАХ ФОРМИРОВАНИЯ ИННОВАЦИОННОЙ ПРОГРАММЫ ПРЕДПРИЯТИЯ Халикова Р.Н. Томский политехнический университет, г. Томск Научный руководитель: Янушевская М.Н., ст.

5309 УДК 330.131 ФОРМИРОВАНИЕ КОМПЛЕКСНОЙ ПРОГРАММЫ СНИЖЕНИЯ ПРОИЗВОДСТВЕННОГО РИСКА Е.А. Киреева Воронежский государственный архитектурно-строительный университет Россия, 394006, Воронеж, 20-летия Октября,

Приложение 1 к Концепции системы управления рисками Федеральной службы по регулированию алкогольного рынка Методология построения системы управления рисками, для последующей адаптации к условиям деятельности

Министерство финансов Российской Федерации (Минфин России) Приказ 13.12.2010 167 н Москва Об утверждении Положения по бухгалтерскому учету «Оценочные обязательства, условные обязательства и условные активы»

Заметки 2011. 3(29) УДК 519.2/6 2011 г. О.Н. Лучко, канд. пед. наук, С.В. Мальцев (Омский государственный институт сервиса), В.А. Маренко, канд. техн. наук (Омский филиал института математики им. С.Л.

Компетентность 6/97/2012 МЕНЕДЖМЕНТ 37 FMEA-анализ критичности процесса «Техническое Говорится о применении FMEА-анализа для обнаружения и оценки нарушений производственного процесса В ходе исследования

Одной из главных задач клинической лабораторной диагностики является обеспечение достоверности результатов исследований, то есть высокого уровня их качества. Контроль качества клинических лабораторных

МЕТОДОЛОГИЧЕСКИЕ ПОДХОДЫ К АНАЛИЗУ И КАЧЕСТВЕННОЙ ОЦЕНКЕ ОПЕРАЦИОННЫХ РИСКОВ В СТАТИСТИЧЕСКИ НЕКОРРЕКТНОЙ СРЕДЕ Я.Н. Лаврушина, старший менеджер отдела операционных и кредитных рисков ООО «Газпром экспорт»,

2.4. Решение матричных игр в смешанных стратегиях 2х2 1 Аналитический метод Графический метод Аналитический метод решения игры 2х2 2 A 1) оптимальное решение в смешанных стратегиях: S A = p 1, p 2 и S

ЭКОЛОГИЧЕСКАЯ И СОЦИАЛЬНАЯ ПОЛИТИКА КОМПАНИИ MAYKOR ЭКОЛОГИЧЕСКАЯ И СОЦИАЛЬНАЯ ПОЛИТИКА КОМПАНИИ MAYKOR Настоящая Экологическая и Социальная Политика компании MAYKOR (далее Компания) направлена на обеспечение

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) 2015 г. г. Москва У К А З А Н И Е О внесении изменений в Положение Банка России от 6 августа 2015 года 483-П «О порядке расчета величины кредитного риска

Нижегородский Государственный Технический университет имени Р.Е. Алексеева Кафедра ФТОС Статистическая обработка результатов измерений в лабораторном практикуме Попов Е.А., Успенская Г.И. Нижний Новгород

Утверждена Советом Директоров ОАО «Группа Компаний ПИК» Протокол 3 от 27.07.2012 г. КОНЦЕПЦИЯ УПРАВЛЕНИЯ РИСКАМИ ОАО «ГРУППА КОМПАНИЙ ПИК» Концепция ОГЛАВЛЕНИЕ КОНЦЕПЦИЯ... 1 1. ОБЩИЕ ПОЛОЖЕНИЯ... 4 2.

Правовая и нормативная база, регулирующая взаимодействие между СВА, СРМ И СУР Соколов Б.Н. Председатель Совета НП «НОВАК» Слайд 1. Нормативно-правовая база Международное регулирование 1. Концепция COSO

ЭКСПЕРТНЫЕ ТЕХНОЛОГИИ В СИСТЕМЕ МОНИТОРИНГА И ПОДДЕРЖКИ РЕШЕНИЙ ПРИ УПРАВЛЕНИИ РЕГИОНАЛЬНЫМ РАЗВИТИЕМ А. В. ТИТОВ, кандидат технических наук, доцент Московский государственный технический университет им.

Приложение 8 к решению Совета директоров ОАО «Тюменьэнерго» (Протокол от 15.09.2014 13/14) Политика управления рисками ОАО «Тюменьэнерго» г. Сургут, 2014 г Содержание 1. Общие положения... 3 2. Термины

Ф КОКАРЕВ А.И. Начальник отдела Департамента бюджетной методологии и финансовой отчетности в государственном секторе Минфина России О подготовке стандартов внутреннего финансового контроля и внутреннего

658 Результаты мониторинга качества финансового менеджмента, осуществляемого главными распорядителями средств бюджета Ханты-Мансийского автономного округа Югры, главными администраторами доходов бюджета

ЭКСПЕРТНЫЕ ОЦЕНКИ РИСКА Глинка А.В. Российский государственный университет им. Г.В.Плеханова, Москва, Россия EXPERT RISK ASSESSMENT Glinka A. V. Plekhanov Russian University of Economics, Moscow, Russia

Методология RCM-анализа Общие положения 1 RCM (Reliability-сentered Maintenance Техническое обслуживание, ориентированное на надежность) методология, позволяющая определить необходимые меры для того, чтобы

Интегрированный подход к план-фактному управлению производством Алексей Козин Инженер АСУТП ООО «Иокогава Электрик СНГ» 29 июня 2017 г. 1 Введение Управление производством планомерное, целенаправленное

ФУНКЦИОНАЛЬНАЯ безопасностьтеория И ПРАКТИКА Новожилов ЕО ПРИНЦИПЫ ПОСТРОЕНИЯ МАТРИЦЫ РИСКОВ Настоящая статья посвящена проблеме выбора параметров обеспечивающих построение матрицы рисков Выявлены основные

«Заводская лаборатория. Диагностика материалов» 7. 006. Том 7 59 УДК 59.584 УТОЧНЕНИЕ ЭКСПЕРТНЫХ ОЦЕНОК С ПОМОЩЬЮ ИЗМЕРЯЕМЫХ ДАННЫХ В. В. Стрижов Статья поступила 0 августа 005 г. Описан способ построения

Тема 12. Прогнозирование и определение риска и его оценка Понятия: «Риск» и «Управление риском» Риск это величина возможных потерь/выигрыша в случае наступления рискового события. Риск описывается тремя

УДК 005.334 УПРАВЛЕНИЕ РИСКАМИ ЖИЗНЕННОГО ЦИКЛА ПРОЕКТА Старкова А.С. Научный руководитель профессор Мошкович Л.И. Сибирский федеральный университет Инвестиционное решение одна из наиболее важных деловых

Утверждено решением Совета директоров ОАО «Россети» от 28.04.2014 (протокол 151) Политика управления рисками ОАО «Россети» (новая редакция) г. Москва, 2014 г Содержание 1. Общие положения... 3 2. Термины

Сибилев В.А. Магистрант, Федеральное государственное образовательное бюджетное учреждение высшего образования «Финансовый университет при Правительстве Российской Федерации» ИСПОЛЬЗОВАНИЕ МЕТОДИК ОЦЕНКИ

Управленческий анализ УДК 658:338.32.053.3 Моделирование влияния ассортимента продукции на основные показатели предприятия Г. В. ДАНИЛОВ, кандидат экономических наук, доцент кафедры финансов и бухгалтерского

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) «2» декабря 2015 г. 3873-У г. Москва У К А З А Н И Е О внесении изменений в Указание Банка России от 30 апреля 2008 года 2005-У «Об оценке экономического

68 Экономические проблемы организации производства ПОКАЗАТЕЛИ ОЦЕНКИ ЭФФЕКТИВНОСТИ ВЛОЖЕНИЙ В БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ ЕП Ростова, канд экон наук, доцент Cамарский государственный аэрокосмический университет

ВЫБОР ОПТИМАЛЬНОГО РЕШЕНИЯ В МНОГОКРИТЕРИАЛЬНЫХ ЗАДАЧАХ (ОБ ИСПОЛЬЗОВАНИИ И СООТНОШЕНИИ ПРИНЦИПОВ ПАРЕТО И ДОМИНИРОВАНИЯ В ЗАДАЧАХ МНОГОКРИТЕРИАЛЬНОГО ВЫБОРА) А.Н. Ковалев, Ф.Н. Ковалев, Ф.Ф. Юрлов Нижегородский

Номер региона Варианты индивидуальных заданий D.. Парная регрессия и корреляция Приложение D Пример. По территориям региона приводятся данные за 99X г. Среднедушевой прожиточный минимум в день одного трудоспособного,

Работа 3 Стандартная обработка результатов прямых измерений с многократными наблюдениями 1. ЦЕЛЬ РАБОТЫ Ознакомление с методикой выполнения прямых измерений с многократными наблюдениями. Получение в этом

Лекция 3. ЭКОНОМЕТРИКА 3. Методы отбора факторов. Оптимальный состав факторов, включаемых в эконометрическую модель, является одним из основных условий ее хорошего качества, понимаемого и как соответствие

Мониторинг и оценка деятельности управляющих организаций в практике управления многоквартирными домами Специалисты Института экономики города давно и плодотворно сотрудничают с администрацией города Чебоксары

Основные направления совершенствования процедуры согласования результатов оценки В.В. Мищенко, к.э.н. (Кузбасский технический университет им. Т.Ф. Горбачева, Россия, г. Кемерово) Л.А. Мищенко, к.э.н.,

Описание процессов управления портфелем проектов на базе системы Адванта В рамках данной группы процессов описаны ключевые процессы управления портфелем проектов компании. Процессы управления портфелем

Приложение к приказу Министерства здравоохранения Российской Федерации от 2014 г. Методические рекомендации по формированию рейтингов государственных (муниципальных) учреждений, оказывающих услуги в сфере

УДК 658.5.012+651 В.П. КАРАНДАШОВ, А.А. МАТВЕЕВА Пермский государственный технический университет МЕТОД СЦЕНАРИЕВ В ОЦЕНКЕ ИНВЕСТИЦИОННЫХ ПРОЕКТОВ В работе приведен пример решения задачи оценки инвестиционного

Вестник Томского государственного университета. Экономика. 2013. 4 (24) УДК 338.24.01 ЭКСПРЕСС-ДИАГНОСТИКА КЛЮЧЕВЫХ ПОКАЗАТЕЛЕЙ УСТОЙЧИВОЙ БЕЗОПАСНОСТИ СОЦИАЛЬНО-ТРУДОВЫХ ОТНОШЕНИЙ ГРАДООБРАЗУЮЩЕГО ПРЕДПРИЯТИЯ

УДК 338.3 Бенгина П.М., магистр института экономики и управления Самарский национальный исследовательский университет имени академика С.П. Королева Россия, г. Самара АНАЛИЗ ПРИВЛЕКАТЕЛЬНОСТИ ИНТЕРНЕТ ОТРАСЛИ

Лекция 3. Решение игр в смешанных стратегиях. 18.09.2014 1 3.1 Нахождение смешанных стратегий в играх 2 2 3.2 Упрощение матричных игр 3.3 Решение матричных игр в смешанных стратегиях 2xn и mx2 2 Аналитический

Проект ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) г. Москва ПОЛОЖЕНИЕ О порядке бухгалтерского учета резервов - оценочных обязательств и условных обязательств некредитными финансовыми организациями

Направление 280700.68 «Техносферная безопасность» ТЕМЫ КОНТРОЛЬНЫХ РАБОТ ПО ДИСЦИПЛИНЕ «МАТЕМАТИЧЕСКИЕ МЕТОДЫ ПЛАНИРОВАНИЯ ЭКСПЕРИМЕНТА И ОБРАБОТКА ЭКСПЕРИМЕНТАЛЬНЫХ ДАННЫХ» Для проверки практических навыков

Тема 4. Основы нечеткой логики: определение функции принадлежности; прямой и косвенные методы построения функций принадлежности. Операции над нечеткими множествами: операция равенства и доминирования;

МОДЕЛИ ПРИОРИТЕЗАЦИИ ПРОЕКТОВ Н.Б. Грошева Для вертикально-интегрированной компании, имеющей подразделения в разных регионах или разной направленности бизнеса (или и то, и другое одновременно), постоянно

УДК 351.712 В.П. Акимкин МЕТОДИКА ОЦЕНКИ КОРПОРАТИВНОЙ СОЦИАЛЬНОЙ ОТВЕТСТВЕННОСТИ ПРЕДПРИНИМАТЕЛЬСКИХ СТРУКТУР С УЧЕТОМ ЭФФЕКТИВНОСТИ ИХ ДЕЯТЕЛЬНОСТИ В статье предлагается методика оценки корпоративной

УДК: 519.856 Ю. М. Якименко РЕАЛИЗАЦИЯ МЕТОДА АНАЛИЗА ИЕРАРХИЙ ПРИ ОБОСНОВАНИИ ПРИНИМАЕМЫХ УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ ПО БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ Опыт обоснования управленческих решений при осуществлении

Оперативный контроль электрооборудования систем электроснабжения. Александр Назаричев, Алексей Таджибаев, Елена Сергеева Петербургский энергетический институт по переподготовке руководителей и специалистов,

Сценарий 1: Строительство ж/д моста через пролив Проект в целом РЕЗУЛЬТАТЫ РАСЧЕТОВ ПОКАЗАТЕЛЕЙ ЭФФЕКТИВНОСТИ Сценарий 1.1 (финансирование строительства Углегорск - Ильинск за счет средств Инвестиционного

УДК 681.513 Ю.В. КОППА, В.С. СТЕПАШКО СРАВНЕНИЕ ПРОГНОЗИРУЮЩИХ СВОЙСТВ МОДЕЛЕЙ РЕГРЕССИОННОГО ТИПА И МГУА На примерах применения АСТРИД для построения моделей объема производства легкой промышленности

МЕТОДИКА ЭКСПЕРТНОЙ ОЦЕНКИ ТЕХНОГЕННОЙ БЕЗОПАСНОСТИ ПРОЕКТА РЕЗЕРВУАРА ДЛЯ НЕФТИ И НЕФТЕПРОДУКТОВ Н. А. Мороз; А. Н. Иванов, кандидат технических наук, доцент; А. С. Поляков, доктор технических наук, профессор,

Олег Крышкин Глава из книги «Настольная книга по внутреннему аудиту: Риски и бизнес-процессы»
Издательство «Альпина Паблишер »

  • процесс «Продажи» - своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в краткосрочной перспективе;
  • процесс «Управление складской логистикой» - своевременное размещение производимой продукции в складских помещениях, обеспечивающих сохранность в течение оптимального срока хранения;
  • процесс «Управление производством» - своевременное производство продукции установленного ассортимента и качества в требуемых объемах.

В свете вышеуказанных целей процессов наиболее заинтересованным в управлении риском затоваривания складов готовой продукцией является владелец процесса «Управление складской логистикой». На достижение целей именно этого процесса реализация данного риска окажет максимальное влияние при условии, что предприятие располагает ограниченными складскими помещениями и его продукция чувствительна к условиям хранения. Владельцу процесса «Управление производством» указанный риск безразличен - его цель будет достигнута независимо от того, происходит затоваривание или нет. Владелец процесса «Продажи» также не особо привязан к риску затоваривания, поскольку его целью является реализация по оптимальным ценам. Если продукция в процессе хранения утратит часть свойств, но будет продана по хорошей цене (пропорциональнониже, чем стоимость качественной продукции), то владелец процесса «Продажи» выполнит поставленную перед ним задачу.

Подводя итог сказанному, еще раз остановимся на ключевых моментах. Во-первых , можно использовать два способа определения владельца риска - дробление исходного риска на более мелкие риски (при этом необходимо правильно установить полный перечень ключевых причин риска) или определение заинтересованности в управлении риском (при этом необходимо отталкиваться от целей процессов). К недостаткам первого способа можно отнести то, что в результате дробления рисков может оказаться слишком много для эффективного управления ими (может потребоваться автоматизация процесса). К недостаткам второго способа можно отнести то, что цели процессов, в отличие от причин рисков, меняются чаще. В связи с этим при каждом изменении целей необходимо пересматривать привязку рисков к имеющимся процессам. Например, используя параметры предыдущего примера, предположим, что компания стала производить продукцию, которую все равно где хранить. Параллельно перед владельцем процесса «Продажи» была поставлена цель «своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в долгосрочной перспективе», что может привести к придерживанию продукции с целью более выгодной продажи в будущем (в расчете, например, на рост цен). В этом случае владельцем риска затоваривания складов становится владелец процесса «Продажи», так как именно его цель больше всего страдает от реализации риска.

Во-вторых , необходимо устанавливать единственного владельца конкретного риска. Когда владельцев одного риска несколько, крайне сложно определить, кто в большей степени отвечает за управление этим риском.

Свойства рисков

Каждый риск обладает рядом специфичных свойств, которые влияют на выбор способа управления им. С практической точки зрения имеет смысл обратить внимание на следующие четыре свойства риска, а именно:

  • вероятность;
  • сила воздействия;
  • управляемость;
  • взаимосвязанность (цепочки причинно-следственных связей).

Вероятность. Риск представляет собой событие, которое может произойти, а может и не произойти. С помощью определения вероятности риска мы пытаемся оценить шансы на то, что конкретное событие произойдет в течение рассматриваемого периода времени. Сразу отмечу, что последнее обстоятельство довольно часто упускается при оценке рисков. Я регулярно сталкиваюсь со следующим вариантом формулировки вероятности риска - вероятность столько-то процентов (например, «вероятность 20 %»). Такой оценке не хватает как минимум указания на временной интервал, к которому данная вероятность применима. Указание «срока годности» вероятности крайне важно, поскольку со временем величина вероятности подавляющей части рисков меняется.

В продолжение темы использования процентной оценки вероятности стоит отметить еще несколько нюансов. Указание величины вероятности в процентах в большинстве случаев говорит о том, что оценка проводилась экспертным методом. При использовании данного метода необходимо убедиться в том, что восприятие экспертом конкретной оценки соответствует ее восприятию окружающими (начиная с того, о чем говорит эксперт - об исходном или остаточном риске). Например, эксперт говорит, что вероятность риска аварии на производстве составляет 10 %. Однако он может иметь в виду только те случаи, в которых виноваты люди по причине неправильного исполнения трудовых обязанностей, а окружающие (в отсутствие пояснений) могут посчитать, что речь идет о риске в целом. Также эксперт мог получить итоговый показатель 10 % путем деления количества аварийных ситуаций на производстве на общее количество работников данного производства по итогам прошлого года. Окружающие же могут подумать, что это означает одну аварию каждые 10 месяцев. В сухом остатке у нас остается тот факт, что бездумное использование процентной оценки вероятности может приводить к существенным искажениям восприятия реальности.

В определенной мере недостатки предыдущего метода устраняются указанием количества возможных фактов реализации риска в течение определенного периода (например, конкретный риск может реализоваться как минимум один раз в год). Однако данный метод оценки вероятности также подвержен искажениям восприятия. Например, эксперт говорит, что вероятность риска неоплаты дебиторской задолженности составляет 10 раз в год. При этом он может основываться на данных прошлых периодов и не учитывать факторы, влияющие на оплату дебиторской задолженности в будущем. Так, если продажи компании должны существенно вырасти в следующем году (например, в конце прошлого года открылось несколько новых филиалов), то оценка эксперта занижает вероятность риска, делая его менее существенным.

Все это может склонить к выбору математических методов оценки вероятности риска, таких как формула Бернулли, локальная теорема Лапласа, формула Пуассона, а также специальных ИТ-приложений (например, Crystal Ball, использующее моделирование методом Монте-Карло). Однако сфера применения данных методов ограниченна. Например, при использовании формулы Бернулли для вычисления вероятности риска для ряда сопоставимых ситуаций необходимо знать точную величину вероятности такого риска для одной ситуации. Многие риски, хотя и могут показаться сравнительно простыми, нередко связаны с довольно сложными цепочками событий. Также не стоит забывать про любопытный парадокс - сложные методы довольно часто приводят к таким же выводам, что и простые. Особенно это касается таких неопределенных явлений, как риски. При обеспечении достаточной теоретической подготовки экспертов в области рискменеджмента (или хотя бы в области определения и оценки рисков) можно добиться относительно качественной и полной оценки существенных рисков.

Сила воздействия . Мы вряд ли вообще обращали внимание на риски, если бы они не обладали данным свойством. Однако все риски, которые заслуживают внимания, обладают определенной силой воздействия. Факт реализации конкретного риска определенным образом воздействует на деятельность компании (владельца риска). Это воздействие имеет негативный характер и принимает различные формы, которые можно разделить на две основные группы - формы, обладающие качественными характеристиками (потеря репутации, ухудшение отношений, утрата доверия, снижение привлекательности и т. д.), и формы, обладающие количественными характеристиками (утрата доли рынка, финансовые потери, штрафные санкции и т. д.). В принципе реализация любого риска приводит к ухудшению финансового и имущественного состояния предприятия, т. е., грубо говоря, к потере денег. Однако с точки зрения управления рисками имеет смысл использовать более детальную дифференциацию последствий реализации рисков, в первую очередь потому, что скорость наступления негативного эффекта различна для разных рисков. Например, если произошла авария на производстве, компания тут же теряет часть своего имущества и потеряет еще какую-то часть спустя определенное время (расходы на восстановление, возможно уплата штрафов, социальные выплаты и т. д.). А если, например, резкое снижение качества продукции компании повлекло снижение ее репутации как качественного производителя, то это приведет к потере денег только через определенное время, как минимум не сразу.

С практической точки зрения наиболее полезной является оценка силы воздействия, сочетающая стоимостную оценку потерь и оценку скорости наступления таких потерь (интегрированная оценка). Поэтому все качественные оценки (и количественные тоже) в идеале следует приводить к интегрированной оценке.

Управляемость. Любая компания может в той или иной степени влиять на вероятность и силу воздействия своих рисков. Это влияние зависит от степени управляемости конкретного риска. Риски можно разделить на две основные группы - риски, вероятность и сила воздействия которых может быть в какой-то мере изменена усилиями компании (управляемые риски), и риски, вероятность и сила воздействия которых остаются практически неизменными независимо от попыток их изменить (неуправляемые риски). Классическим примером рисков последней группы являются риски форс-мажорных обстоятельств, особенно связанных со стихийными бедствиями (землетрясения, наводнения, штормы, торнадо и т. д.). Единственное, что можно сделать в случае реализации неуправляемого риска, - это попытаться избежать части негативного эффекта. Это достигается, во-первых, за счет прямой защиты от предполагаемого негативного эффекта (например, строительство сейсмоустойчивых домов в сейсмоопасной зоне), во-вторых, за счет использования скорости наступления негативного эффекта (например, план эвакуации при пожаре). Однако это лишь способ подстроиться под обстоятельства. Изначальная вероятность и сила воздействия неуправляемых рисков остаются неизменными.

Взаимосвязанность. Как уже говорилось, у большинства рисков двойственная природа, они являются одновременно и рисками, и факторами риска для других рисков. В среде рисков широко распространен эффект домино. Многие риски образуют цепочки рисков, структуру которых чаще всего невозможно предугадать. Наличие многообразных взаимосвязей приближает систему рисков любого предприятия к детерминированно-хаотическим системам. В рамках таких систем возможна реализация эффекта бабочки . Не исключено, что изначальной причиной многих крупных негативных событий явилась реализация мелких и на первый взгляд незначительных рисков. Последствия реализации этих цепочек рисков загубили бы не одно предприятие, если бы не теория вероятности и естественное прерывание цепочек рисков вследствие воздействия сторонних факторов (которое тем вероятнее, чем длиннее цепочка и медленнее реализация эффекта домино).

Взаимосвязь риска и бизнес-процесса

Любой, даже самый мелкий и незначительный, бизнес-процесс всегда взаимосвязан с рядом рисков. В случае реализации этих рисков цель такого бизнес-процесса достигается частично либо не достигается вовсе. Другими словами, на выходе из процесса вы не получите ничего либо получите не то, что нужно. Именно эта взаимосвязь позволяет конвертировать риски в план или программу внутреннего аудита.

Внутренний аудит занимается анализом бизнес-процессов и систем контроля бизнес-процессов. С технической точки зрения невозможно затеять проект по аудиту какого-либо риска, поскольку, по сути, риск - это событие, причем во многих случаях такое, которое может и не про изойти. Событие само по себе является не процессом, а результатом определенных процессов. Поэтому при использовании риск-ориентированного подхода аудитору необходимо сначала установить взаимосвязь между рисками и процессами, а затем, в зависимости от выбранного подхода, приступить к формированию плана или программы аудита.

Суть риск-ориентированного подхода

Деятельность любого предприятия подвержена влиянию множества факторов риска. Одни факторы риска способны спровоцировать реализацию конкретного риска самостоятельно, другие - только в комбинации с другими факторами риска. Факторы риска оказывают влияние на эффективность функционирования процессов предприятия. Система процессов всегда имеет одну цель - выполнение поставленных задач. Это должно обеспечить достижение ключевой цели любого коммерческого предприятия - увеличения своей стоимости. Анализируя факторы риска в привязке к процессам, в которых они зарождаются и/ или на которые они влияют, внутренний аудитор может сформировать оптимальную тематику своей работы. В этом и заключается суть риск-ориентированного подхода к внутреннему аудиту - понять, что в первую очередь мешает предприятию достичь цели, и найти наилучший способ нивелирования негативного воздействия.

В рамках риск-ориентированного подхода можно выделить два базовых метода, а именно:

  • упрощенный метод;
  • продвинутый метод.

Аудитор должен четко уяснить одну важную взаимосвязь. Эффективность использования любого из данных методов растет с повышением квалификации и опыта внутреннего аудитора. Например, продвинутые аудиторы могут не заниматься проведением детальных оценок процессов с использованием факторов риска, а сразу оперировать как отдельными рисками, так и цепочками рисков различной сложности, располагая только отрывочной информацией об объекте аудита, даже если они прежде его не посещали.

Упрощенный метод

При использовании данного метода основная задача заключается в формировании рейтинга рискованности процессов и выборе наиболее рискованных процессов для проведения проектов внутреннего аудита. Этот метод имеет одно существенное достоинство - его результаты могут быть наглядными, доступными для восприятия неподготовленными гражданами и относительно легкодоказуемыми. Наиболее рискованным процессом считается тот, на достижение цели которого влияет максимальное количество факторов риска максимально негативным образом. Чтобы получить рейтинг рискованности, каждый выбранный для анализа процесс оценивается с точки зрения наличия и существенности определенного перечня факторов риска. Такой перечень формируется произвольно, единственного правильного варианта просто не существует, поскольку каждая компания имеет свою специфику (разумеется, какие-то факторы являются общими для большинства компаний). Единственный критерий отбора - это прямое или опосредованное препятствование достижению процессами (или большей части анализируемых процессов) их целей.

При применении упрощенного метода необходимо помнить о ряде нюансов, а именно:

  • количество факторов риска ничем не ограничено. Встречаются перечни из 10–15 факторов риска и более. Скорее всего, при работе с факторами риска внутренний аудитор будет ограничен имеющимися ресурсами. Однако до определенного момента увеличение количества факторов риска, используемых для анализа, повышает качество оценки;
  • рейтинг и результаты оценки должны быть наглядными. Наиболее распространенным вариантом является создание электронной таблицы (которая к тому же автоматизирует пересчет). Сверху вниз (по строкам) указываются наименования процессов, слева направо (по столбцам) - факторы риска;
  • системы оценки могут быть самыми разнообразными. Можно проставлять баллы, можно выделять цветом, можно вводить дополнительные балансирующие и корректирующие элементы (веса факторов риска, степень применимости результатов оценки для отдельных предприятий или для всех предприятий группы и т. д.). В качестве базового варианта можно принять три оценки (например, высокий, средний, низкий);
  • методика формирования рейтинга процессов, в любом случае, должна обсуждаться с топ-менеджментом компании (по-хитрому, как и положено внутреннему аудитору, сначала приватно с каждым руководителем, а потом со всеми вместе). Понимание и хотя бы частичное согласие с методикой обеспечит более позитивное восприятие результатов ее использования.

В качестве примера критически рассмотрим фрагмент оценочной таблицы, целью которой было формирование базовых данных для составления рейтинга подпроцессов процесса «Производство» (табл. 1). Здесь представлен подпроцесс «Хранение» (хранение МТР перед выдачей в производство), состоящий из 10 этапов. Рассматривается влияние шести факторов риска на достижение целей процессов. Факторы риска следующие:

Таблица 1. Пример оценочной таблицы для формирования рейтинга подпроцессов процесса «Производство»

  • отсутствие этапа процесса - возможно, отсутствует какой-либо этап процесса, вследствие чего цель процесса достигается не всегда, с потерей качества, так сказать, с большим напрягом;
  • недостижение цели этапа процесса - в силу различных причин цель этапа процесса не достигается либо достигается не так часто, как необходимо;
  • нарушение регламента - в ходе исполнения процесса наблюдаются случаи намеренного или вынужденного нарушения существующих регламентирующих документов, при этом возрастает риск недостижения цели процесса;
  • техническая ошибка - ошибки при исполнении отдельных операций в ходе осуществления этапа процесса, а также ошибки при формировании и передаче информации;
  • персонал - недостаток персонала, как по количеству, так и по качеству, а также низкая исполнительская дисциплина;
  • неэффективность СВК - система внутреннего контроля не препятствует факторам риска.

Использованные для целей оценки факторы риска по большей части выбраны не совсем удачно, а именно:

  • отсутствие этапа процесса - довольно сложный фактор риска. Во-первых, требуется знание основ процессного управления и терминологии, чтобы понять, о чем идет речь. Во-вторых, чтобы проверить достоверность оценки, необходимо как минимум знать, как данный процесс выглядит на практике. В-третьих, для ряда предприятий отсутствие конкретного этапа может быть нормальным явлением;
  • недостижение цели этапа процесса - еще более сложный фактор риска. Во-первых, проблемы использования аналогичны проблемам предыдущего фактора риска. Во-вторых, появляется необходимость в предварительном определении целей этапов процесса, по крайней мере для команды внутренних аудиторов. Такая работа, если ее проводить досконально, трудоемка и объемна (например, если взять шесть подпроцессов, каждый из которых состоит из 8–10 этапов, в сумме получаем 48–60 этапов). К тому же высока вероятность возникновения проблемы при использовании результата на практике, например, если привлечь к формированию и/ или обсуждению результатов работы по определению целей этапов подпроцессов их владельцев, то можно застрять в самом начале. Например, сначала можно долго и нудно объяснять терминологию и основы процессного управления, затем долго спорить по поводу целей этапов подпроцессов, затем - по поводу оценки влияния фактора риска на цели данных этапов;
  • нарушение регламента - фактор риска пригоден к использованию во многих случаях. Плюсом является то, что получить представление об актуальности данного фактора риска можно из нескольких источников - переписка, мнения сотрудников, контролирующих исполнение регламентов, мнение сторонних экспертов (аудиторские фирмы, консультанты и т. д.) и т. д. Наличие данного фактора риска может указывать на недостатки управления процессом и предприятием в целом - низкая исполнительская дисциплина, несовершенство регламентов, громоздкие процедуры и т. д.;
  • техническая ошибка - можно использовать в качестве фактора риска. Однако если результат таких ошибок не явился результатом существенного негативного события, то о них можно умолчать и проверить это непросто. Отсюда следует, что во многих случаях данный фактор может показаться мелковатым для использования в оценке;
  • персонал - хороший фактор риска для целей оценки. Недостаток адекватного персонала - проблема всех времен и народов. Проблемы с персоналом порождают множество проблем в различных сферах деятельности любого предприятия. Получить представление о данном факторе риска, возможно, даже проще, чем о нарушении регламентов, - существует несколько источников, начиная с управленческой отчетности и заканчивая актами трудовой инспекции;
  • неэффективность СВК - малопригоден для целей оценки. Во-первых, звучит довольно жестко, и мало какое предприятие легко согласиться с тем, что даже отдельные его процессы имеют проблемы контроля. Во-вторых, базовая цель аудита как раз и состоит в оценке как минимум адекватности СВК. Данный фактор можно использовать только в том случае, если команда внутренних аудиторов в прошлом (желательно не очень далеком) уже имела дело с конкретным процессом на конкретном объекте аудита. Если мало что изменилось с тех пор, то оценка получится достоверной и доказуемой.

Таким образом, по результатам анализа мы имеем следующее:

  • три фактора пригодны к использованию;
  • два фактора пригодны к использованию, но на практике может возникнуть множество сложностей;
  • один фактор не пригоден.

В качестве примера приведу небольшой перечень факторов риска (далеко не исчерпывающий), которые можно применять в большинстве случаев для целей составления рейтинга рискованности процессов:

  • практика форсирования контрольных процедур (данная практика очень заразительна, отсутствие контроля расхолаживает, подталкивает к размышлениям о собственном благе и способах его преувеличения в свете появившихся в отсутствие контроля возможностей);
  • широкое использование экспертных оценок (данная практика также заразительна, в результате люди могут перестать делать, например, элементарные расчеты);
  • сложность операций, этапов и процессов с организационной точки зрения (повышается риск прогрессирующей задержки, исполнение процесса может затянуться);
  • сложность операций, этапов и процессов с технологической точки зрения (возрастает цена ошибки);
  • текучесть сотрудников (создает нездоровую атмосферу в коллективе, а также тормозит исполнение процесса и требует дополнительных затрат);
  • децентрализованные процессы (довольно часто дают порулить тому, кто либо еще не дорос до этого, либо перерос и склонен к использованию служебного положения в личных целях);
  • объем операций (большое количество транзакций увеличивает вероятность и существенность ошибки);
  • мошенничество (каждый процесс обладает вмененным и приобретенным потенциалом для мошеннических схем);
  • нанесение ущерба здоровью (может повлечь за собой как материальные обязательства по отношению к потерпевшей стороне, так и обязательства перед государством и обществом; взаимосвязано с рядом рисков, например технологического характера или рисками неадекватного состояния имущества);
  • нанесение ущерба окружающей среде (аналогично предыдущему пункту только по отношению к окружающей среде);
  • государственное регулирование (пристальное внимание государства означает визиты различных органов, участие в коррупционных схемах, риски, связанные с плохим настроением представителей власти, и т. д.);
  • изменения систем и процессов (к любым изменениям необходимо привыкнуть, а это повышает вероятность ошибок);
  • амбициозные цели процесса, особенно во взаимосвязи с амбициозным вознаграждением (когда что-то очень надо, а есть вероятность, что не получится, возникает непреодолимый соблазн сыграть не по правилам);
  • отсутствие нормативов (когда не установлен формально верх или низ или иные рамки, работает принцип «будет так, как я хочу»);
  • низкая регламентированность процесса (сопоставим с предыдущим фактором, может приводить к неоднозначным результатам - как к перекосам, так и к эффективности, однако перекосы случаются чаще);
  • отсутствие управленческого учета (когда ходы не записывают, трудно разобраться в текущей ситуации и, тем более, в прошлой ситуации; под песню «нам некогда бумажками шуровать, нам работать надо» торжественно разбивались вдребезги мечты многих акционеров о светлом будущем и даче с кабанчиком).

Мы разобрали основные моменты представленного для примера фрагмента оценочной таблицы. Как я уже говорил, шкала оценок может быть какой угодно. Хотелось бы, однако, обрисовать ситуацию вокруг данной оценочной таблицы в целом. Данная таблица была использована для составления рейтинга рискованности процессов нового объекта аудита, на котором команда внутренних аудиторов прежде не бывала. В попытке обеспечить максимальное качество таблицы было принято решение заполнить ее при активном участии владельцев процессов объекта аудита. Как показала дальнейшая работа, и не только в рамках того проекта, такой подход носит неоднозначный характер с уклоном в сторону вранья. Некоторые владельцы процессов действительно пытались объективно оценить происходящее в их епархии. Правда, со временем выяснилось, что некоторые факторы риска они просто не поняли (о чем говорилось выше). Однако чаще владельцы процессов стремились приукрасить картину, что и выяснилось в ходе последовавшего проекта аудита. Данный пример является одним из многих свидетельств того, что владельцы процессов являются не самыми лучшими соавторами рейтинга рискованности собственных процессов. Команда внутренних аудиторов должна стремиться использовать как можно более объективные, но в то же время оперативные (все происходит на этапе планирования проекта, который часто весьма ограничен во времени) источники информации.

Продвинутый метод

Упрощенный метод предполагает следующую последовательность действий: формирование перечня процессов (подпроцессов, этапов подпроцессов), затем генерирование факторов риска (при этом рассматриваются факторы единственного риска - риска недостижения цели процесса). Оценка воздействия выбранных факторов риска на степень достижения цели процессов позволяет сформировать рейтинг рискованности процессов. При использовании продвинутого метода за точку отсчета берется перечень рисков предприятия с оценкой как минимум их силы воздействия и вероятности, или, как его называют в специализированной литературе, карта рисков. Таким образом, формируется следующая цепочка действий: создание карты рисков, выбор наиболее существенных рисков, конвертирование рисков в план и программу аудита. На первый взгляд все просто, однако в условиях российской действительности появляется ряд следующих нюансов.

Во-первых , многие компании в нашей стране, услышав слова «карта рисков», ведут себя не так, как предполагали создатели этого инструмента, - одни пугаются, другие откладывают на потом, но большинство считают эту затею полной ерундой. Так или иначе, большинство компаний в России не формируют карту рисков на регулярной основе хотя бы искусства ради, не говоря уже о ее практическом применении. Однозначного объяснения этой ситуации сложно найти. Возможно, все упирается в уровень профессионального развития большинства российских управленцев, полного изъянов; возможно, все поглощены поиском источников личного обогащения; возможно, виноваты разработчики карт рисков, неспособные создать жизнеспособный и практически значимый инструмент управления. Как говорится, всего понемногу.

Во-вторых , отчасти как следствие из предыдущего нюанса, многие карты рисков, мягко говоря, вызывают сомнения в профессиональной пригодности авторов. Один из примеров мы разберем немного дальше.

В-третьих , многие карты рисков не заточены для конвертации в план или программу аудита. В таких случаях может потребоваться адаптация материала (см. разбор примера по данным табл. 5). Основные причины следующие:

  • практика обобщения рисков (например, формулировка «валютный риск» без пояснений весьма многозначна);
  • отсутствие причинно-следственной связи в наименовании (описании) риска (которая устанавливает базовую, т. е. наиболее свойственную в конкретных условиях, взаимосвязь фактора риска и риска);
  • отсутствие процессного восприятия деятельности предприятия (фундаментальная причина, которая вряд ли исчезнет в ближайшие 5–10 лет).

В-четвертых , если компания не формирует карту рисков, то ПВА придется сделать это самостоятельно. Довольно часто первые карты страдают изъянами. Прежде всего, основным источником информации о рисках на первых порах выступает менеджмент. В силу множества причин (непонимание происходящего, стремление скрыть недостатки, недоверие к команде внутренних аудиторов и т. д.) данная информация может быть не совсем достоверной. По мере накопления информации в ходе проектов ПВА начинает лучше ориентироваться в деталях рисков компании. Затем, составление карты рисков требует затрат ресурсов, в первую очередь времени. В этой ситуации ПВА важно соблюсти баланс между необходимостью получить максимально объективное представление о рисках компании и необходимостью приступить к осуществлению проектов.

И наконец, методика формирования карты и ее использования для выбора объектов аудита должна быть в той или иной степени согласована с менеджментом. Это не означает, что ПВА должно спрашивать разрешения на использование методики. Однако оно должно провести разъяснительную работу, максимально учесть мнения и пожелания менеджмента, обеспечить понимание происходящего окружающими. Только в этом случае можно вовлечь менеджмент в добросовестную работу по выявлению и оценке рисков, а также нивелировать разногласия в восприятии результатов оценки рисков.

Выявление и оценка рисков. Существует несколько базовых способов, позволяющих с той или иной степенью эффективности идентифицировать риски и оценить их параметры (табл. 2).

Таблица 2. Базовые способы оценки рисков

Шкала от 1 (очень плохо) до 5 (очень хорошо)

Как следует из табл. 2, мы имеем пять базовых способов:

  • эксперты (суть способа - проведение интервью сотрудников компании для выяснения их мнения о существующих рисках и формирования оценки параметров этих рисков);
  • статистика (суть способа - изучение документальных источников для выявления фактов реализации рисков, а также факторов риска, способных привести к конкретным рискам);
  • третья сторона (суть способа - наем сторонней организации для проведения идентификации и оценки рисков);
  • вмененные риски (суть способа - формирование перечня и оценка параметров рисков, часто встречающихся в условиях, аналогичных тем, в которых действует компания);
  • процессы (суть способа - использование упрощенного подхода, описанного выше).

Каждый из этих способов оценивается по пяти ключевым параметрам:

  • объективность (степень приближенности к реальности);
  • полнота (насколько исчерпывающим получится конечный перечень);
  • стоимость (объем ресурсов, в том числе имеющих неденежную оценку, для осуществления необходимых мероприятий в рамках способа);
  • время (количество времени для осуществления необходимых мероприятий в рамках способа);
  • качество (пригодность исходного материала для перехода к процессу конвертирования в программу аудита).

Разумеется, проставленные оценки имеют условный характер и являются усредненным вариантом (при прочих равных). Вариации конкретных обстоятельств способствуют перестановкам в данной таблице. Перечисленные способы имеют свои плюсы и минусы (табл. 3).

Таблица 3. Плюсы и минусы базовых способов оценки рисков

Отдельного разговора заслуживает вопрос формулирования сути риска. Здесь прослеживаются два основных подхода (не считая неправильных):

  • использование укрупненных рисков (формулировка риска обычно не содержит причинно-следственной связи, она сопровождается расшифровывающим и уточняющим описанием; например, формулировка «риск аварий» может сопровождаться перечислением видов, мест и, возможно, причин, а также прочими уточняющими деталями);
  • использование рисков с указанием на причинно-следственную связь (точечные риски) (формулировка риска содержит указание на причинно-следственную связь, во многих случаях дальнейшие объяснения не требуются, так как она достаточно точно описывает суть риска, например формулировка «риск аварий вследствие несоблюдения режима эксплуатации оборудования»).

Как часто бывает в нашей жизни, у каждого из этих подходов есть свои плюсы и минусы (табл. 4).

Таблица 4. Основные подходы к формулированию сути риска

В дополнение к информации, приведенной в табл. 4, полезно пояснить один существенный нюанс. Укрупненными рисками нельзя управлять, так как, по сути, они состоят из нескольких цепочек факторов риска. При этом для каждой цепочки часто нужны свои мероприятия по управлению и у каждой цепочки может быть свой владелец риска (учитывая двойственность понятия «риск»). Поэтому карта укрупненных рисков более всего подходит для презентации и представления общего расклада по рискам, так сказать, по диагонали. Для целей как управления, так и конвертации в программу аудита укрупненные риски нуждаются в декомпозиции. Она должна проводиться как минимум до тех пор, пока укрупненный риск, условно говоря, не будет разбит на несколько рисков, у каждого из которых будет один владелец. Например, у нас есть риск «риск аварий». Предположим, что он в результате декомпозиции был разбит на два риска: «риск аварий вследствие несоблюдения режима эксплуатации оборудования» (риск 1) и «риск аварий вследствие общего состояния оборудования» (риск 2). На данном этапе у обоих рисков все еще может быть несколько владельцев. Возьмем для дальнейшего анализа риск 1. Его можно разбить как минимум на два риска: «риск несоблюдения режима эксплуатации оборудования вследствие нарушения требований техпроцесса» (риск 3) и «риск несоблюдения режима эксплуатации оборудования вследствие ошибок в требованиях техпроцесса» (риск 4). На этом этапе минимальное требование по декомпозиции в отношении риска 1 выполняется - владельцем риска 3 является дирекция по производству (нарушение в процессе эксплуатации оборудования), а владельцем риска 4 - служба главного технолога (ошибка при расчете техпроцесса).

Приведенный пример демонстрирует важный момент. Как уже говорилось в разделе «Риск», факторы риска формируют цепочки, в которых каждый последующий фактор риска является риском для предыдущих факторов. Таким образом, каждый риск можно разбить на определенное число более мелких рисков. Количество и суть таких рисков будет соответствовать количеству и сути факторов риска исходного риска. Например, если риск реализуется в результате последовательной реализации цепочки из пяти факторов риска, то его можно разбить на пять последовательных рисков. При этом каждый последующий риск в цепочке будет менее существенным, чем предыдущий риск. Для удобства далее будем употреблять слово «уровень» для обозначения места риска в цепочке рисков. Например, формулировка «уровень 3» означает, что выше по существенности находятся два риска из той же цепочки. Таким образом, любой риск, который необходимо подвергнуть декомпозиции, является риском уровня 1, или риском первого уровня.

Формирование карты рисков. Основная цель данного процесса заключается в получении на выходе перечня рисков, расположенных в порядке убывания существенности.

Рис. 1. Пример графического представления карты рисков

Перечень может сопровождаться построением графика, на котором риски располагаются в соответствии с их вероятностью и силой воздействия. Классическим является вариант графика с зеленым (белым), желтым (серым) и красным (черным) секторами (рис. 1). В зеленом (белом) секторе располагаются риски, вероятность которых относительно низка, а сила воздействия минимальна. В красном (черном) секторе располагаются риски с максимальной вероятностью и максимальной силой воздействия. Между зеленым (белым) и красным (черным) секторами располагается желтый (серый) сектор, в котором находятся три группы рисков, а именно:

  • риски со средней вероятностью и силой воздействия;
  • риски с низкой вероятностью, но с большой силой воздействия;
  • риски с высокой вероятностью, но с маленькой силой воздействия.

Логично предположить, что ПВА в первую очередь должны интересовать риски, расположенные в красном (черном) секторе. Это действительно так, однако довольно часто в этот сектор попадают риски, кото-рыми трудно управлять, а именно:

  • «внешние» риски (т. е. риски, которые зарождаются вне компании, но влияют на ее деятельность, например риск неблагоприятного изменения законодательства);
  • риски форс-мажорных обстоятельств;
  • крупные риски, обусловленные совокупностью большого количества факторов риска (например, риск неадекватной бизнес-модели).

С точки зрения внутреннего аудита риски, которыми трудно управлять, не представляют особого интереса как объект конвертирования в план или программу аудита. Во-первых, многие «внешние» риски и риски форс-мажорных обстоятельств довольно очевидны. Все, что нужно сделать, - это сформировать план мероприятий по минимизации их существенности (по возможности снизить вероятность и силу воздействия), а также план действий на случай реализации данных рисков. Последнее необходимо для того, чтобы максимально воспользоваться динамикой нарастания негативных последствий риска (попросту, план того, что можно сделать, пока последствия реализации риска не достигли максимального эффекта). Во-вторых, крупные риски при конвертации могут привести к формированию громоздкой и сложной для понимания программы аудита. Также не исключено, что с первого раза не удастся выявить все существенные факторы риска и установить правильные причинно-следственные связи. Поэтому наилучшей стратегией работы с крупными рисками является их разбиение (декомпозиция) на более мелкие риски, которые более подходят для конвертирования в программы аудита.

Конвертирование рисков в программу аудита. В классическом варианте выбор рисков для конвертирования осуществляется на основании анализа карты рисков компании. Варианты выбора могут быть самыми разнообразными. Понятно, что есть определенное тяготение к выбору наиболее существенных рисков. Однако могут быть выбраны и менее существенные риски, например, потому, что их быстрее и проще устранить.

Конвертация может выполняться двумя основными способами.

Способ 1. Определение приоритетного процесса (владелец данного процесса является одновременно владельцем выбранного риска). Применение этого способа предполагает, что исходный риск либо является точечным, либо представляет собой результат декомпозиции более крупного взаимосвязанного риска. Важно, чтобы в исходной карте, во-первых, каждый риск определялся как точечный, либо укрупненный, во-вторых, для точечных рисков указывались владельцы, в-третьих, право провести декомпозицию и определить владельцев риска предоставлялось ПВА.

Чаще всего имеет смысл согласовывать результаты декомпозиции и определения владельцев рисков с такими владельцами. Это повышает позитивное отношение к работе ПВА.

Способ 2. Определение кластера приоритетных процессов (владелец риска не может быть определен на этапе конвертации). Правильность определения приоритетных процессов зависит от осведомленности компании о существенных нюансах конкретного риска. Это может показаться странным, но многие компании имеют слабое представление о ключевых факторах как минимум части своих рисков. К тому же такое знание весьма неоднородно внутри компании - всегда есть кто-то, кто более полно представляет ситуацию, чем остальные. Как результат в большинстве случаев карты состоят из укрупненных рисков, не говоря уже про отсутствие причинно-следственной связи в наименовании или описании риска. Оптимальной была бы полная декомпозиция, однако она либо требует слишком много времени (особенно при необходимости согласовывать результаты), либо невозможна по ряду причин (например, владелец процесса не согласен с привязкой конкретного риска к своему процессу), включая фундаментальную причину, указанную выше. В такой ситуации у ПВА нет другого выхода, кроме привязки конкретного риска к кластеру процессов вместо одного процесса. Таким образом, использование способа 2 порой может быть вынужденной мерой.

С технической точки зрения основные сложности при конвертации возникают в трех наиболее типичных ситуациях.

Ситуация 1. Карта сформирована с использованием укрупненных рисков. При работе с такого рода рисками необходимо учитывать ряд нюансов.

Нюанс 1. Степень, так сказать, укрупненности рисков во многих случаях неравнозначна. Возьмем для примера два риска: «риск кассовых разрывов» и «риск недостаточного качества». Оба риска являются укрупненными, т. е. могут быть разбиты на взаимосвязанные риски меньшей существенности. В случае с риском кассовых разрывов разбивка даст от силы три-четыре риска второго уровня (нарушение графика оплаты дебиторской задолженности, отказ в выдаче кредита, возникновение срочных платежей) и шесть–восемь рисков третьего уровня. При разбивке риска недостаточного качества получается не менее пяти-шести рисков второго уровня (нарушение требований техпроцессов, ошибка при исполнении техпроцесса, снижение качества исходных компонентов, использование устаревшего оборудования, недостаточное количество сотрудников, обслуживающих техпроцесс) и 10–12 рисков третьего уровня.

Нюанс 2. Если разбить любой укрупненный риск на риски более низкого уровня, то существенность таких рисков будет неравнозначна. Другими словами, один или несколько факторов риска более остальных влияют на существенность вышестоящего риска. Основным следствием данной ситуации является то, что разные укрупненные риски будут конвертироваться в разные по трудоемкости программы аудита. При этом чем меньше возможностей для декомпозиции, тем сложнее сопоставить риски по трудоемкости программ аудита, созданных на их основе. Однако неравнозначность рисков дает возможность пренебречь некоторыми из них и за счет этого минимизировать трудоемкость программы аудита.

Нюанс 3. При разбивке нескольких укрупненных рисков возрастает вероятность того, что некоторые факторы риска будут общими. Например, такой фактор риска, как использование устаревшего оборудования, может провоцировать как риск недостаточного качества, так и риск аварий. Данное обстоятельство указывает на то, что вся совокупность рисков компании имеет трехмерную структуру с линейными и нелинейными взаимосвязями.

Нюанс 4. При проведении декомпозиции и особенно при представлении результатов декомпозиции имеет смысл максимально использовать графическое представление информации. Хорошим подспорьем может служить такой инструмент, как диаграмма Ишикавы (рис. 3).Как видно из приведенного примера, диаграмма Ишикавы позволяет как минимум отобразить риски четырех уровней (включая исходный риск).

Ситуация 2. Карта сформирована с использованием рисков без причинно-следственной связи. Все укрупненные риски являются рисками без причинно-следственной связи, однако не все риски без причинно-следственной связи являются укрупненными. Основной задачей при работе с такими рисками является установление причинно-следственной связи. Риски без такой связи просто непригодны как для формирования подхода к управлению ими, так и для конвертирования в программу аудита. Наиболее простой способ установления причинно-следственной связи заключается в проведении дополнительных интервью с автором риска (лицом, сформулировавшим риск). Как вариант, ПВА также может предложить свой вариант декомпозиции риска в качестве базового варианта для обсуждения.

Рис. 2. Пример диаграммы Ишикавы

Ситуация 3. Карта сформирована с использованием рисков, формулировка которых не отражает их суть. Отчасти забавная ситуация, которая, однако, периодически встречается на практике. Попросту говоря, вы читаете наименование риска и думаете об одном, а автор данного риска подразумевал совсем другое. Ключевая задача в такой ситуации состоит в уточнении формулировки риска. Пример приведен в табл. 5.

Таблица 5. Пример уточнения формулировки риска в зависимости от его сути

Как видно из приведенной таблицы, алгоритм изменения формулировки риска начинается с определения процесса и цели процесса, на который риск предположительно оказывает влияние. Определение процесса необходимо для того, чтобы определить цель процесса. Зная цель процесса, можно определить риски, реализация которых негативно отразится на достижении цели процесса. Итак, мы получили на выходе два варианта риска - риск пропуска встречи вследствие опоздания на поезд (управляемый риск) и риск пропуска встречи из-за неблагоприятных погодных условий, препятствующих движению поезда (неуправляемый риск). Возможно, оба этих риска актуальны. Таким образом, уточняя формулировку, можно получить на выходе более одного риска, т. е. произвести определенную декомпозицию. Обратите внимание также на правильность формулировок обоих рисков - в них обозначена причинно-следственная связь.

В завершение раздела, посвященного процессу конвертирования, рассмотрим практический пример использования способа 2 (кластеры процессов) на одном из крупных производственных предприятий.

На этапе формирования годового плана проектов внутреннего аудита выполнялась процедура идентификации и оценки рисков (основной метод - опрос экспертов). В результате была сформирована карта рисков. Она получилась не очень удобной для формирования программ аудита, так как практически полностью состояла из укрупненных рисков. Поскольку на данную процедуру ушло немало времени (процедура проводилась в компании впервые), было принято решение использовать укрупненные риски. Из карты рисков выбрали три самых существенных риска. Одним из них был риск невыполнения плана производства. При проведении первого аудита (на этапе планирования) на одном из предприятий компании для этого риска сформировали кластер соответствующих процессов (рис. 3). Кластер был получен на основании интервью с владельцами ключевых процессов (необходимые согласования были проведены).

Рис. 3. Пример позиционирования риска в кластере процессов
Кликните мышкой по изображений для его увеличения

Пробежимся по структуре схемы. В центре расположен процесс «Производство» и основные взаимодействующие с ним процессы: процессы «Хранение», «Подача сырья», «Складирование готовой продукции» и «Погрузка в вагоны и взвешивание». Также на процесс «Производство» влияют риски других процессов: «Закупки», «Планирование», «ТОиР» и «Логистика». Черным маркером выделены те процессы, риски которых оказывают наиболее существенное влияние на реализацию риска невыполнения плана производства, а именно:

    процесс «Закупки» - риск несвоевременной закупки сырья (вследствие изменения динамики производства и отсутствия запасов у поставщика);

  • процесс «ТОиР» - риск увеличения времени ремонта вследствие внеплановых поломок;
  • процесс «Производство» - риск несоблюдения требований техпроцесса по причине ошибки работника;
  • процесс «Складирование готовой продукции» - риск несоблюдения условий хранения по причине несвоевременной подготовки складских помещений;
  • процесс «Логистика» - риск несвоевременной отгрузки продукции (вследствие изменений позиции покупателя, недостатка вагонов, изменения маршрута транспортировки).

Таким образом, план аудита предусматривал аудит пяти процессов (процессы, отмеченные серым маркером, и неотмеченные процессы в тематику аудита не попали вследствие ограниченности ресурсов ПВА и незначительного совокупного влияния на реализацию основного риска). В ходе аудита уточнялась степень воздействия вышеуказанных рисков на основной риск (выяснилось, что значимость рисков процессов «Производство» и «Складирование готовой продукции» преувеличена), а также выявлялись дополнительные факторы основного риска (например, было установлено, что в данные систем ЦОСАДУ и АСУТП можно было вносить нерегламентированные изменения). Для справки: ЦОСАДУ расшифровывается как центральная оперативная система автоматизированного диспетчерского управления, а АСУТП - автоматизированная система управления технологическим процессом. По результатам аудита был разработан план мероприятий, направленный, в том числе, на минимизацию как изначально определенных, так и выявленных в процессе аудита рисков.

Рекомендации по выбору подхода к проведению проектов внутреннего аудита

Возможно, ряд внутренних аудиторов со скепсисом воспримут идею и технологию риск-ориентированного подхода. Отчасти они правы. Однако они правы только в том, что многие российские предприятия пока не оперируют в своей повседневной деятельности понятиями «процесс» и «риск». Это усложняет задачу ПВА по внедрению риск-ориентированного подхода, но потенциальный эффект от внедрения с лихвой покроет все трудозатраты. Основные преимущества использования риск-ориентированного подхода заключаются в следующем:

  • концентрация на наиболее существенных проблемах, препятствующих успешной работе компании;
  • формирование целевых мероприятий по минимизации негативного влияния факторов рисков;
  • стимулирование профессионального развития внутренних аудиторов.

Данные преимущества усиливаются при переходе от упрощенного подхода к продвинутому риск-ориентированному подходу к аудиту. Однако даже упрощенный подход дает намного более впечатляющие результаты, чем подходы, не основанные на анализе и оценке рисков.

В реальных условиях приведенные далее формулировки целей процессов стоит уточнить с применением принципов SMART, так как они не совсем однозначны. Например, фразу «своевременная реализация продукции…» лучше заменить фразой «реализация продукции не позднее 30 дней со дня выпуска». В данном случае цели процессов нам нужны только для демонстрации подходов к определению владельцев рисков.

Риск-менеджмент в том виде, в котором он продвигается сейчас в нашей стране, изначально был взят на вооружение западными компаниями. Поэтому практически вся терминология является переводной. И именно поэтому существуют вариации перевода тех или иных терминов. В английском языке термину «сила воздействия » соответствует термин impact, который является более емким (хотя бы потому, что использовано одно слово вместо двух). Однако с точки зрения русского языка прямой перевод выглядит немного коряво.

Незначительное влияние на систему может иметь большие и непредсказуемые эффекты где-нибудь в другом месте и в другое время. Термин введен Эдвардом Нортоном Лоренцем.

На производственных предприятиях, имеющих правильную организационную структуру, служба главного технолога не подчиняется дирекции по производству.

Карта риска - графическое и текстовое описание ограниченного числа рисков организации, расположенных в прямоугольной таблице, по одной «оси» которой указана силавоздействия или значимость риска, а по другой вероятность или частота его возникновения. На рисунке 1 показан частный пример карты рисков.

На самом деле, в зависимости от целей построения можно построить много разных видов карт риска или вариаций данной карты риска. Мы же будем далее опираться на приведенный на рисунке пример. На этой карте рисков вероятность или частота отображается по вертикальной оси, а сила воздействия или значимость - по горизонтальной оси. В этом случае вероятность появления риска увеличивается снизу вверх при продвижении по вертикальной оси, а воздействие риска увеличивается слева направо по горизонтальной оси.

Арабские цифры на карте – обозначения рисков, которые были классифицированы по четырем категориямзначимости и шести категориямвероятности, причем так, чтобы каждому сочетанию вероятность/значимость был приписан один вид риска. Такая классификация, размещающая каждый риск в специфическую отдельную «коробочку» не является обязательной, но упрощает процесс установки приоритетов, показывая положение каждого риска относительно других (увеличивает разрешающую способность данного метода). Жирная ломаная линия - критическая граница терпимости к риску. При выявлении критических рисков сценарии (причинно-следственная связь процессов, событий и действующих факторов риска), приводящие к рискам выше этой границы, считаются непереносимыми. При разработке стратегии, например, по выявленным непереносимым рискам до принятия данной стратегии требуется понять, как уменьшить или передать такие риски, в то время как риски ниже границы являются управляемыми в рабочем порядке.

Мы описываем здесь процедуры по картографированию рисков организации, которые она может выполнить своими собственными силами. Вообще говоря, методологии построения карты рисков столь же различны, как различны риски компаний. Несмотря на кажущуюся простоту карты рисков, за ее построением лежат не только сложные процедуры количественной оценки (например, для агрегирования представлений топ-менеджмента компании о свойственных ей рисках и их размещения на карте), которые могут быть формализованы, но и неформальный логически довольно сложный процесс.

Построение карты рисков может производиться как в рамках внедрения системы управления рисками на уровне всей организации, что сложно, а зачастую и невозможно выполнить внутренними силами организации. Или для решения обособленного круга задач по управлению рисками, например в рамках предварительной оценки различных стратегий развития. В зависимости от задач и применяемой методологии, организация получает и различные преимущества и выгоды. Методология, о которой мы более подробно поговорим в этой работе, основана на достижении согласованного мнения топ-менеджмента компании о рисках. При этом самая важная выгода - решительное сокращение циклов и времени принятия решения.

Представители разных отраслей экономики - в том числе и наши клиенты - зачастую задают нам, как консультантам по управлению рисками вопрос: есть ли простые и наглядные методы, доступные и неспециалистам, которые помогли бы хотя бы грубо оценить риски при развитии новых стратегических направлений бизнеса, крупных инвестиционных планов и т.п. Бывает, что в процессе разработки стратегии оценивается до десяти возможных стратегий. Каждой из них свойственен свой набор зачастую катастрофических рисков. Так есть ли способ быстрого и сжатого отображения деловых рисков вашей организации, препятствующих достижению стратегических целей. Как на нескольких страницах описать детали этих рисков, а также состав действий по их снижению или устранению, как установить и распределить временные рамки выполнения работы, меры успеха и исполнителей, ответственных за успешное выполнение?

Это можно сделать при помощи построения карты рисков вашей организации или отдельного стратегического направления развития бизнеса.

Что такое карта риска и чем она полезна?

Карта риска - графическое и текстовое описание ограниченного числа рисков организации, расположенных в прямоугольной таблице, по одной «оси» которой указана сила воздействия или значимость риска, а по другой вероятность или частота его возникновения. На рисунке 1 показан частный пример карты рисков.

Ч то Вы можете сделать сами: процесс построения карты риска.

В общем случае процесс картографирования рисков - часть систематической, охватывающей все стороны деятельности компании методологии, позволяющей выделить, расположить по приоритетам, и оценить количественно (разбить на классы) риски организации. Методы, которые применяют консультанты при составлении карты рисков, включают интервью, формализованные и неформализованные опросники, обзоры и исследования отрасли, анализ документационного комплекта компании, численные методы оценки и т.п. Необходимо отметить, что в том случае, когда идет речь об оценке финансовых рисков, важным является именно количественный анализ финансовой отчетности компании. Конечно, индивидуальные характеристики компании-клиента и его потребности диктуют соответствующий метод сбора и анализа данных.

Мы опишем пример процесса самостоятельного картографирования рисков при решении задачи выявления критических для организации рисков (угрожающих существованию организации), выдвигая на первый план только главные шаги. Эти шаги включают первичное обучение, определение границ анализа, формирование состава команды, горизонты времени, анализ сценариев и ранжирование, определение границы терпимости к риску, составление плана действий, технологии количественных оценок и моделирования.

Первичное обучение.

При составлении карты рисков организации очень важно, чтобы хотя бы один или два сотрудника компании, прошли обучение основам риск-менеджмента. Они в дальнейшем помогут наладить диалог между членами команды и вести всю команду во время процесса картографирования. Для этого необходимо провести предварительное обучение, которое может длиться от одного до пяти дней. По нашему опыту, наилучший результат достигается при длительности установочных семинаров в два-три дня. Роль такого обученного сотрудника компании - менеджер процесса картографирования рисков внутри компании, постоянно ориентирующий команду на нужную цель. В тех случаях, когда требуется специальная предметная экспертиза, эксперт может быть введен в команду. Конечно, если Ваша организация располагает большим количеством грамотных специалистов, это усилит команду.

Не доверяйте работу дилетантам. Если Вы не намерены обращаться к консультантам, обучите своих сотрудников.

Границы анализа.

Границы анализа, определяющие, какие области бизнес-решений затрагивает картографирование, определяются на начальном этапе процесса. Консультанты по управлению рисками также делают это на первом этапе обследования организации. В рассматриваемом примере границы определим как идентификацию, установление приоритетов и понимание всех рисков, препятствующих достижению корпоративных стратегических целей при реализации конкретного стратегического плана. Отметим, что границы анализа могут быть столь широкими или столь узкими, как это желательно организации. Однако должен соблюдаться баланс между широтой границ, глубиной информации и ценностью той информации, которая будет получена из процесса картографирования рисков. Например, ценность одной карты риска для всей компании может быть значительно меньше, чем карт риска для каждого бизнес-подразделения или какой-то одной деловой единицы компании, а может быть и наоборот.

Определитесь с целями, доступностью и стоимостью информации. Затем уже очертите границы анализа для построения карты рисков.

Состав команды.

Состав команды является критическим для успеха процесса картографирования рисков. При проведении работы профессиональными консультантами команда (рабочая группа) включает обычно топ-менеджмент компании, т.е. тех специалистов, которые обладают опытом и экспертными знаниями. В случае самостоятельного картографирования рисков консультант - это по сути «коллективный разум» топ-менеджмента организации, направляемый прошедшими обучение сотрудниками. Опыт показывает, что команда работает эффективно, если состоит из шести - десяти человек.

Только определив границы анализа, можно определить, кто включается в команду. При составлении карты стратегических рисков компании, например, в команду включаются главный администратор, руководитель финансового отдела, руководитель казначейства, руководитель юридического, контрольного, IT отделов, руководитель отдела стратегического планирования, если таковой отдел имеется в компании. Если компания уже имеет отдел риск менеджмента, то, конечно же, его руководитель включается в рабочую группу.

Для более узких границ, таких как выявление и картографирование рисков специфического подразделения или операционной бизнес-единицы, команда будет состоять из топ-менеджмента команды управления подразделения. Или, если анализируются риски определенной области деятельности типа электронной коммерции, то состав команды будет формироваться из старших представителей соответствующих функциональных областей и тех подразделений, интересы которых затрагиваются.

Наиболее важно, чтобы команда наиболее репрезентативно представляла институциональные знания своей компании и включала топ-менеджмент.

Сценарный анализ и ранжирование.

На этом шаге команда предпринимает управляемый мозговой штурм, чтобы выявить все потенциальные риски компании при данной стратегии развития и сценарии, сопутствующие их появлению. После того как они идентифицированы, риски и сценарии обсуждаются, достигается консенсус и готовится письменное описание сценариев. Ключевыми моментами каждого сценария являются "уязвимость" компании (объект риска), "триггерный механизм" (факторы риска) и "последствия" (величина возможных потерь).

Уязвимость или объект риска - это ценность компании, которой свойственна подверженность потенциальным угрозам. Триггерные механизмы (факторы риска) вызывают негативные последствия для объектов риска. Последствия выражаются в терминах природы и величины потерь, следующей из уязвимости объекта риска и природы триггерного механизма. При этом бывает так, что с виду непохожие сценарии и триггерные механизмы, приводящие к одинаковым последствиям для объекта риска, объединяются, при их рассмотрении с высоты птичьего полета в один сценарий. Уже на этом этапе работы нужно стремиться понять, можно ли множество мелких рисков, которые, как правило, выявляют сотрудники организации при самостоятельной работе, объединить в какие-то группы, на основании чего это можно сделать.

Когда выявлено ограниченное количество сценариев, и достигнут консенсус, команда должна ранжировать сценарии в терминах «воздействия» и «вероятности». Команда определяет и воздействие и вероятность в тех терминах, которые релевантны для организации. Например, в качественных терминах четыре ранга воздействия можно определить в нисходящем порядке как (1) катастрофический, (2) критический, (3) существенный, и (4) граничный. Ранги вероятности, которых на нашей карте шесть, определены также в качественных терминах от «почти невозможно» к «почти точно произойдет». Как вероятность, так и значимость могут также в принципе быть оценены компанией количественно. Команда может использовать любые количественные определения, однако, эта процедура намного более сложна и требует значительного времени на анализ.

Определение границы толерантности к риску.

Критическая граница терпимости к риску - ломаная жирная линия, отделяет те риски, которые являются в настоящее время терпимыми от тех, которые требуют постоянного контроля и именно сейчас. Деловые риски, расположенные выше и справа от границы считают «невыносимыми» и требуют непосредственного внимания с точки зрения управления. В случае разработки стратегии организации желательно до принятия стратегии понять, как ими управлять или устранить их, не приведет ли это к такому снижению доходности бизнес, что стратегия станет непривлекательной? Те угрозы, которые расположены ниже и слева от границы, в настоящее время считаются терпимыми (это не значит, что ими вообще не нужно будет управлять).

Граница толерантности к риску изменяется в зависимости от аппетита организации на риск. При классификации рисков по значимости/вероятности даже без численной оценки можно примерно оценить величину финансовых потерь от того или иного риска, что позволяет определиться в какой-то мере с аппетитом организации на риск и определить границу терпимости к риску на карте.

А вот и карта риска!

Заключительный шаг в построении карты - размещение деловых рисков на карту рисков на основании ранга их воздействия и ранга вероятности, т.е. по сути, классификация рисков по двум параметрам. В общем, более сложном случае таких параметров может быть и три и пять. Тогда уж без математики не обойтись. В нашем примере параметра два, и команда стремится разместить каждый риск в соответствующую ячейку воздействия / вероятности. При этом в одну ячейку попадает только один риск.

Важно понять, что окончательная ценность карты риска организации состоит не в определении точного воздействия или уровня вероятности специфической угрозы, а в относительном расположении одной угрозы относительно других угроз, и в их расположении по отношению к границе терпимости к риску. Теперь, чтобы принять данную стратеги, если она устраивает нас по параметрам доходности, важно понять, как все риски, лежащие в красно-сиреневой зоне «нетерпимости», перевести в зеленую зону.

План действий.

Риски, лежащие выше границы толерантности требуют непосредственного внимания именно сейчас. Поэтому важно разработать определенные планы действий для уменьшения величины или вероятность потерь от данного риска. Необходимо также определить целевые показатели и меру оценки успеха в управлении риском, даты достижения целевых показателей и назначить ответственных. Цель плана действий в данном случае состоит в том, чтобы понять, как переместить каждый «невыносимый» риск левее и ниже в «терпимую зону». Здесь следует заметить, что нужно соотносить затраты на такое перемещение с выгодами от него, а также учитывать, что сильное снижение рисков компании может привести и к потере ею большей части доходности.

Количественная оценка и моделирование.

Степень необходимой при анализе детализации специфична для каждого риска и изменяется от одного риска к другому, а зависит, в основном, от целей, которые преследует организация. Если западные банки зачастую борются за доли процента при оценке возможных потерь, то даже нашим банкам, не говоря уж о предприятиях реального сектора экономики, пока такая точность не нужна. Вообще при оценке достаточно широкого круга деловых рисков существенная детализация не требуется или не может быть произведена. Другие риски и планы действий будут требовать более детального исследования и количественной оценки, чем это может быть достигнуто в процессе анкетирования, мозговых штурмов или изучения отраслевых данных и т.п.

Для рисков, требующих дополнительного анализа, необходимо использовать сложные количественные оценки и методы моделирования.

Карта риска - картинка или процесс?

С точки зрения технологии управления риском с построением карты рисков процесс управления не завершается, а только начинается. Более того, карта риска вашей компании - это «живой организм», который реагирует на принимаемые решения и выполняемые операции. Она живет и развивается с развитием вашего бизнеса, вместе с новыми возможностями появляются новые риски, некоторые из старых рисков утрачивают актуальность и становятся незначимыми для вашего бизнеса. Поэтому важно, чтобы процесс картографирования риска, уточнения карты был встроен в действия организации.

Это позволит проводить актуализацию рисков компании с той периодичностью, которая необходима. Обычно срок «плановой актуализации» составляет год, иногда ее привязывают к сезонным циклам, если они имеют место в бизнесе и т.п. Однако при появлении даже слабых сигналов о событиях, которые могут сильно повлиять на объекты риска компании, следует оценить их влияние на карту рисков компании вне всякой периодичности.

Создание ценности для компании.

Картографирование рисков компании необходимо использовать для проверки существующих стратегий в контексте реализованных и нереализованных рисков и возможностей компании для генерации доходности, а также для поддержки принятия управленческих решений по развитию новых стратегических направлений.

Рассмотрим традиционные подходы к стратегическому планированию. В то время как большинство компаний выполняет какой-либо тип формального стратегического планирования (они все хорошо известны), у компаний нет бизнес-процесса для идентификации, оценки и интеграции возможностей и рисков, т.е. некоей «обучающей стратегии». Это легко может быть проиллюстрировано на примере электронной коммерции, где традиционные стратегические методы планирования не могут справиться со скоростью происходящих изменений. Характер технологических изменений свидетельствует, что те основания (доходность и риски), которые считаются правильными для многих из сегодняшних решений, очень вероятно, не будут таковыми уже через шесть месяцев, и не будет иметь никакого сходства с теми, которые будут иметь место через три года.

Имеется разрыв между теми, кто обычно проводит стратегический процесс планирования, и теми, кто взаимодействует с клиентами и ответственны за выигрыш или фактические деловые потери в текущем процессе деятельности. Традиционные «стратегические планировщики» полагаются на знание, доступное в определенной точке времени, в то время как линейное управление полагается на «живое» знание, основанное на фактической рыночной динамике, которое можно назвать «обучающей стратегией». Деловой успех зависит от качества решений, сделанных в динамическом настоящем. Перманентный процесс картографирования риска, нацеленный на стратегию компании, может ликвидировать или уменьшить разрыв между «планировщиками стратегии» и линейными менеджерами, включая "живую" рыночную информацию о том, где конкурентоспособное преимущество компании фактически может быть реализовано.

Таким образом, картографирование риска является мощным аналитическим инструментом для того, чтобы разобраться в деловых рисках компании и расположить их по приоритетам. Помимо этого во многих случаях карта рисков является источником для создания экономической ценности компании, т.к. уже сейчас ясно, что эта методология может применяться и сверх процесса управления рисками как такового. Она играет важную роль в стратегическом и текущем планировании, осуществлении существующей и оценке будущих деловых стратегий.