Настольная книга по внутреннему аудиту. Риски и бизнес-процессы

54

Редактор В. Ионов

Руководитель проекта И. Гусинская

Компьютерная верстка М. Поташкин

Арт-директор С. Тимонов

© Крышкин О.В., 2013

© ООО «АЛЬПИНА ПАБЛИШЕР», 2013

Все права защищены. Никакая часть электронной версии этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, для частного и публичного использования без письменного разрешения владельца авторских прав.

* * *

Глава 1.
Внутренний аудит как функция системы управления

Внутренний аудит как профессия существует в России уже более 10 лет. В настоящий момент число членов российского представительства Института внутренних аудиторов превышает 2500, а число сертифицированных аудиторов по международным стандартам (Certified Internal Auditors, CIA) – 150. С появлением возможности сдачи профессионального экзамена на русском языке число сертифицированных аудиторов будет расти ускоренными темпами.

Основным препятствием для развития внутреннего аудита в нашей стране стала необходимость адаптации западного опыта к российским условиям. Несмотря на банальность данного утверждения, это объективная реальность. Я сам немало времени посвятил штудированию работ западных авторов. С одной стороны, было полезно попрактиковаться в английском языке, а с другой – выбора не оставалось. Материалов по внутреннему аудиту на русском языке было мало, и им частенько недоставало практичности. Немногим лучше ситуация и сейчас. Одна из целей данной книги – немного изменить статус-кво.

Перенос западного опыта внутреннего аудита в условия российской экономики сопровождается неоднозначными побочными эффектами. Многие особенности и методы внутреннего аудита западной школы, если так можно сказать, выглядят разумно. Однако в основе их эффективности лежат факторы, которые непросто найти в российских условиях. К ним можно отнести, например, высокий уровень развития корпоративного управления, высокую исполнительскую дисциплину, склонность к системному решению проблем. Я знаю немало аудиторов, которые испытали массу негативных эмоций, от недоуменных взглядов до остракизма, при попытке подражать западным внутренним аудиторам во всем. Отчасти именно этот путь привел к некоторой дискредитации профессии внутреннего аудитора. Не секрет, что слово «аудитор» ассоциируется у большинства с человеком, занимающимся аудитом бухгалтерской отчетности, или с ревизором. Эксперименты по адаптации западного опыта добавили к подобным ассоциациям новые, среди которых самой безобидной является «мальчики и девочки, занимающиеся всякой ерундой». Однако я уверен, что этап привыкания российской экономики к внутреннему аудиту уже пройден. Многие аудиторы значительно повысили профессиональный уровень, переварив западный опыт и заменив его наработками российского производства. Вспышки мракобесия еще случаются, но в скором времени российские управленцы научатся эффективно пользоваться функцией внутреннего аудита.

Можно с уверенностью говорить о том, что внутренний аудит приобретает статус перспективной профессии. Во многом его потенциал еще не задействован. Взять хотя бы довольно распространенную на Западе практику, когда сотрудники различных подразделений проходят стажировку в подразделении внутреннего аудита в качестве простых аудиторов. Подобных примеров в России я не встречал. В силу специфики своей работы внутренний аудитор имеет гораздо больше возможностей получить представление об основных бизнес-процессах компании. Из этого следует, что при наличии определенных навыков при прочих равных условиях внутренний аудитор является предпочтительным кандидатом на должность, требующую знания различных аспектов деятельности предприятия, например должность директора по экономике и финансам, директора проектного офиса или даже генерального директора. В нашей стране пока еще прощупывают перспективность такого варианта замещения управленческих должностей. Правильный внутренний аудит учит работать с сутью проблемы, а этого качества очень не хватает многим российским управленцам. Правильный внутренний аудит учит задумываться о построении систем, эффективном сочетании бизнес-процессов и внутренних контрольных процедур, а в России пока предпочитают менять одного нерадивого сотрудника на другого, еще не запятнавшего репутацию, и сложить ручки в ожидании чуда. Только вот чудо происходит нечасто. Огромный потенциал внутреннего аудита заключается в создании внутрикорпоративной конкуренции в области управления процессами, начиная от идей и заканчивая конкретными процедурами. Ведь именно у внутреннего аудитора есть возможность объективно разобраться в нюансах различных процессов в компании и обоснованно поспорить с владельцами этих процессов. Правильный акционер или генеральный директор извлекут из этого огромную пользу, так как у них появляется возможность получить две обоснованные позиции по интересующим их вопросам. Это дает возможность выбора и контроля.

Каждый внутренний аудитор должен стремиться стать правильным. Определим теперь, что же понимать под правильным внутренним аудитом.

Глава 2.
Фундаментальные вопросы и формирование подхода к работе

Место внутреннего аудита в управленческой иерархии предприятия

В подавляющем большинстве случаев подразделение внутреннего аудита является сервисным. Такие подразделения оказывают услуги основным производственным подразделениям  

Ревизионный подход к аудиту. При данном подходе в чистом виде основная работа ПВА состоит в оценке системы обеспечения сохранности имущества компании. При использовании данного подхода ПВА направляет много ресурсов, попросту говоря, на работу с риском мошенничества. В силу ограниченности перечня анализируемых вопросов ревизионная деятельность нередко приводит к типовым однотипным проверкам. Особенно ярко данная тенденция прослеживается, например, в розничной торговле. В некоторых случаях ревизионная деятельность может требовать специальных знаний (техпроцессы, технология и т. д.), однако даже такая серьезная подготовка направлена на выявление только случаев злоупотребления и халатности. Обычно ревизоры не рассматривают проблему в комплексе. От этого их рекомендации или даже требования по исправлению негативной ситуации зачастую имеют карательный характер – наказать, оштрафовать, объявить выговор и т. п. В отличие от правильного внутреннего аудитора, который при обнаружении проблемы старается создать систему предотвращения ее повтора, ревизор при обнаружении проблемы старается вызвать перманентное ощущение неотвратимости наказания. Однако нельзя сказать, что тактика ревизионной деятельности в корне неправильна. Просто основной слабостью данного подхода является отсутствие системного анализа и признания того, что причинно-следственные связи могут оказаться сложнее, чем кажется.

Риск-ориентированный подход к аудиту. Ключевым ограничением предыдущих четырех подходов является их тематическая и методологическая предопределенность. С одной стороны, это хорошо, так как узкоспециализированный подход позволяет повысить качество и увеличить объем выполняемой работы на единицу используемых ресурсов. С другой стороны, все эти подходы страдают ограничениями и не позволяют выполнять более приоритетные задачи, если они не попадают в поле экспертизы. Простой пример – с точки зрения бухгалтерского и даже налогового учета приобретение имущества по завышенной цене (при условии правильного и полного составления всех первичных документов и правильного и полного отражения операций в учете) не идентифицируется как проблема. При использовании риск-ориентированного подхода данная проблема с высокой вероятностью попадет в поле зрения команды внутренних аудиторов, так как, во-первых, изначально риск возникновения подобных ситуаций довольно высок, во-вторых, в большинстве случаев такие ситуации являются следствием пробелов в системе внутреннего контроля. Таким образом, риск-ориентированный подход позволяет избавиться от большинства ограничений других подходов и нацелен на выявление наиболее приоритетной тематики работы ПВА. При его использовании вся деятельность предприятия рассматривается с точки зрения рисков и возможностей. Как только риск обретает определенные параметры (в результате сочетания риск-образующих факторов), ключевым из которых является способность препятствовать достижению целей предприятия, он включается в тематику работы ПВА. К сожалению, риск-ориентированный подход не лишен собственных ограничений. Наиболее серьезным из них являются повышенные требования к составу и квалификации сотрудников ПВА, так как наиболее существенные риски могут быть связаны с разными аспектами деятельности предприятия и касаться разных бизнес-процессов. Хорошая новость заключается в том, что правильное использование методологии анализа и оценки бизнес-процессов и систем внутреннего контроля способно существенно нивелировать ключевое ограничение риск-ориентированного подхода. Более подробно нюансы риск-ориентированного подхода к аудиту представлены в следующей главе.

Мы рассмотрели влияние трех ключевых факторов – линий подчинения, локализации функции и подхода к аудиту – на место внутреннего аудита в управленческой иерархии предприятия. Вариации сочетаний данных факторов могут открывать перед командой внутренних аудиторов различные возможности по влиянию на процветание своей компании. Например, чем существеннее административная поддержка, чем более разветвленной является организационная структура ПВА и чем разнообразнее тематика работы, тем больше возможности ПВА по позитивному воздействию на реализацию целей компании. Однако расширение таких возможностей не может длительное время происходить в отрыве от качественных характеристик команды внутренних аудиторов. Здесь возможны два основных сценария развития событий. В первом случае ПВА изначально получает все требуемые ресурсы и карт-бланш от руководства. Однако этим еще нужно уметь воспользоваться. Попросту говоря, если ПВА не продемонстрирует адекватных результатов работы, его ресурсы и возможности могут быть существенно урезаны. Вернуть их будет непросто. Во втором случае ПВА сначала доказывает свою состоятельность и только потом получает доступ к ресурсам и поддержку руководства. Однако процесс расширения ПВА и расширения его сферы деятельности может протекать непросто и болезненно. Более детально эта ситуация рассмотрена в главе 5. В обоих сценариях есть свои плюсы и минусы. Тем не менее, если команда внутренних аудиторов высокопрофессиональна, для нее предпочтительнее первый сценарий – аудиторы, имеющие высокую квалификацию, должны найти способ достойно воспользоваться предоставленными возможностями.

Регламентация деятельности функции внутреннего аудита

Деятельность функции внутреннего аудита должна определенным образом регламентироваться

Рис. 1. Корреляция контроля и риска

Принцип замкнутости контроля

Система контроля предприятия имеет многослойную структуру. Граница конкретного слоя определяется правами и обязанностями владельца процесса (или группы процессов), в пределах которого располагается этот слой контроля. Особенностью слоев является специфичность набора инструментов и механизмов контроля. Например, бригадир осуществляет контроль действий членов бригады во многом визуально в момент исполнения работы либо спустя некоторое время после ее выполнения. Таким образом, он может влиять на скорость выполнения работы (например, поторопить заснувших работников), на объем используемых материалов (например, указать на нерациональное использование материалов), на качество выполнения работ (например, указать на несоответствие результатов выполняемой работы проекту или чертежу). Такого рода контроль весьма оперативен и обеспечивает достижение ключевых целей контроля – обоснованности, своевременности, правильности или соответствия, полноты. В отличие от бригадира начальник цеха не имеет возможности контролировать действия каждого работника визуально. Таким образом, его инструментарий контроля отличается от инструментария бригадира. Далее, вместо осуществления визуального контроля начальник цеха полагается в основном на систему устной и письменной отчетности и в некоторой степени на данные электронных систем контроля производственного процесса. Эти механизмы контроля, если можно так сказать, лежат уже в иной плоскости по сравнению с механизмами, используемыми бригадиром. Итак, в нашем примере мы получаем два слоя контроля.

Во многих случаях слои контроля очень слабо взаимосвязаны между собой. Часто это обусловлено специфичностью инструментов и механизмов контроля различных слоев. Чем слабее такая взаимосвязь, тем меньше возможностей, условно говоря, у вышестоящих слоев контроля влиять на результаты работы нижестоящих слоев. Например, в примере с бригадиром и начальником цеха бригадир при желании может определенное время скрывать как отставание от графика работ, так и пробелы в качестве, если единственный способ контроля со стороны начальника цеха – это устные отчеты о статусе работ. Для повышения эффективности работы системы контроля в целом необходимо развивать взаимосвязи между различными слоями контроля. В нашем примере начальник цеха может получить дополнительные возможности контроля за счет внедрения автоматизированной системы управления производством (появляется возможность осуществлять онлайн-контроль), за счет сопоставления с результатами работы других сотрудников (например, контролеров ОТК), за счет осведомителей в составе бригады и т. д.

Сложнее всего устанавливать взаимосвязи между сильно удаленными друг от друга слоями контроля, которые разделены несколькими слоями. В этом случае существует два варианта связи с интересующим нижерасположенным слоем – либо напрямую, либо через один или все промежуточные слои. Однако прямая связь должна использоваться исключительно с целью оценки эффективности работы связи через промежуточные слои, иначе высшее руководство погрязнет в ручном регулировании мелочей. В нашем примере начальник цеха может воспользоваться услугами осведомителей, которые будут время от времени передавать ему информацию об истинном статусе работ под руководством бригадира. Начальник цеха, таким образом, будет много чего знать еще до того, как бригадир отчитается в очередной раз. С одной стороны, это вроде бы хорошо, однако, с другой, данный подход может привести к ряду негативных моментов (недоверие к бригадиру, подозрения бригадира, поиски доносителя вместо работы, ухудшение морального климата в бригаде и т. д.). Кроме того, начальник цеха начинает зависеть от расторопности и внимательности осведомителя, а также предметно разбирать отдельные ситуации, подменяя контроль бригадира, т. е. заниматься так называемым ручным контролем.

В итоге правильная система внутреннего контроля должна проектироваться таким образом, чтобы каждый вышестоящий слой имел возможность влиять на эффективность работы любого нижестоящего слоя независимо от способа взаимосвязи (напрямую или через промежуточные слои) и с минимально возможным противодействием. Степень противодействия во многом определяется наличием продуманных и оговоренных изначально правил игры. Если такие правила есть, то система внутреннего контроля является именно системой и результат ее функционирования мало зависит от ручного управления.

Принцип силы контрольной среды

Многие определения термина «контрольная среда» по какой-то причине содержат указания, что это нечто вроде «позиции, осведомленности и действий представителей собственника и руководства…». Однако дело в том, что контрольная среда – это не позиция, осведомленность или действия, а результат наличия определенной позиции, осведомленности или осуществления тех или иных действий. Понятие контрольной среды собирательное, т. к. по сути контрольная среда – это эффект, возникающий от сочетания последствий ряда факторов. На состояние контрольной среды любой компании влияют следующие ключевые факторы:

• Отношение руководства к контролю. В международной практике внутреннего аудита существует специальный термин для данного понятия – tone at the top (буквально «тон сверху»). Попросту говоря, если руководство компании в силу различных причин не готово активно культивировать контроль, большинство усилий в этой сфере обречены на провал. Нередко внутренние аудиторы прикладывают огромные усилия на изменение подобного отношения, но желаемый результат получают далеко не всегда.

• Этические ценности сотрудников компании. Если большинство сотрудников компании наплевательски относятся к самой компании и ко всему, что с ней связано, это создает очень сильную ауру отрицания и негатива. В такой обстановке вряд ли возможны существенные позитивные изменения.

• Степень организационной зрелости компании. Чем более зрелой является компания в организационном смысле, тем собраннее и целенаправленнее ее действия. Более зрелые компании имеют более высокий организационный КПД и производят меньше, так сказать, процессного шума, т. е. бесцельных и беспорядочных действий при осуществлении процессов. Возьмем одну из самых популярных классификаций уровней организационной зрелости, созданную на основе CMM (Capability Maturity Model) (см. табл. 1). Как видно из таблицы, степень организационной зрелости определяется именно подходом к организации процессов. Смею предположить, что большинство компаний в России зависли где-то между уровнем повторяемости и регламентируемости.

• Степень развития управленческих навыков у менеджмента. Наличие и, пользуясь игровой терминологией, прокачанность этих навыков во многом определяют, насколько успешно менеджмент будет выполнять свои ключевые функции. Компания, которая выделяет время и средства на развитие управленческих навыков менеджеров, способствует улучшению характеристик контрольной среды.

• Структура и содержание процессов. В данном случае в первую очередь речь идет о количественном факторе. Чем больше процессов разного уровня, чем больше взаимосвязей и взаимовлияний между данными процессами, чем больше объем операций, тем сложнее и менее предсказуемо их влияние на характеристики контрольной среды. В целом усложнение структуры и содержания процессов негативно влияет на данные характеристики просто потому, что замедляет скорость потоков информации.

• Влияние внешней среды. Ее влияние может быть весьма существенным. Ярким примером влияния внешней среды на контрольную среду предприятия является набирающая в России обороты борьба с мошенничеством. Многие компании искренне озабочены проблемой искоренения мошеннических действий со стороны своих сотрудников. Однако условия внешней среды сводят на нет большую часть их усилий. Сама обстановка в нашей стране потворствует мошенничеству. Если сотрудник компании в повседневной деятельности постоянно сталкивается с мошенническими действиями, затрагивающими его лично или окружающих, то это во многом предопределяет его выбор в ситуации, позволяющей безнаказанно, по его мнению, смошенничать самому. Пока данная проблема не решается на уровне государства, справиться с ней в рамках отдельной компании весьма непросто.

Таблица 1. Классификация уровней организационной зрелости

Данный пример показывает, что борьба с негативным влиянием внешней среды требует существенных затрат и не всегда и не сразу приводит к желаемым результатам.

Разумеется, это далеко не полный перечень факторов, влияющих на характеристики контрольной среды. Стоит также обратить внимание на нюансы взаимодействия контрольной среды и контрольных процедур. Сами по себе контрольные процедуры – это в большинстве случаев осмысленные действия, направленные на достижение целей контроля. Идеальной контрольной процедурой можно назвать ту, которая не испытывает влияния внешних и внутренних негативных факторов. Однако большинство контрольных процедур, к сожалению, подвержены влиянию одного, а чаще нескольких факторов, способных воздействовать на их адекватность и/или эффективность. Так вот, контрольная среда может либо усиливать, либо ослаблять деструктирующее влияние негативных факторов. Другими словами, контрольная среда прямого влияния на контрольные процедуры не оказывает, а действует опосредованно. Например, при проведении инвентаризации ТМЦ, упакованных в коробки, по общему правилу необходимо вскрыть некоторые коробки, чтобы удостовериться, что они надлежащим образом заполнены надлежащими ТМЦ. Однако, если, например, на предприятии царит атмосфера халатного отношения к работе или кладовщик, МОЛ или его покровитель хорошо попросил инвентаризационную комиссию этого не делать, процедура вскрытия может не выполняться, и какие-то несоответствия остаются незамеченными. Таким образом, реализуется механизм опосредованного влияния контрольной среды на контрольные процедуры. По этой причине аудиторы должны направлять энергию не только на разработку контрольных процедур, но и на разработку мероприятий по улучшению характеристик контрольной среды. Нет смысла подробно останавливаться на характеристиках контрольной среды (зона действия, устойчивость, динамика и т. д.). Достаточно понимать, что контрольная среда – это, с одной стороны, нечто неосязаемое, как, например, электромагнитное поле, однако, с другой стороны, результаты ее влияния могут быть весьма заметными. Аудитор должен ясно осознавать, что невозможно иметь сильную систему внутренних контрольных процедур при, если так можно выразиться, слабой контрольной среде. Степень развитости контрольной среды является естественным ограничением для внедрения контрольных процедур.

 

Принцип самовоспроизведения контроля

Отчасти этот принцип перекликается с принципом замкнутости, однако в данном случае речь идет об отдельно взятой контрольной процедуре. Во многих случаях контроль – это действие, которое не является естественным для конкретного – процесса и/или для конкретного владельца процесса. Контроль отнимает ресурсы процесса. Он направлен не на достижение цели самого процесса, а на достижение определенных параметров данной цели. По этой причине при отсутствии поддержки или, по-другому, механизма стимулирования воспроизведения контроля эффективность контроля в большинстве случаев будет снижаться со временем. В связи с этим важно ответить не только на вопрос «что представляет собой контроль?», но и на вопрос «как будет обеспечено его функционирование?».

Существуют различные механизмы стимулирования воспроизведения контроля, а именно:

• Создание коллизии целей у участников процесса при отклонении от установленных параметров процесса. Такая коллизия может быть создана тремя основными способами. Первый заключается в том, чтобы сделать выход из одного процесса входом в другой процесс, при этом параметры выхода из одного процесса и входа в последующий процесс должны быть сопоставимыми. В этом случае владелец следующего процесса заинтересован в том, чтобы владелец предыдущего процесса сделал свою работу как следует. Типичным примером такой ситуации является производственный процесс, состоящий из нескольких переделов, особенно когда переделы выполняются относительно независимыми предприятиями, а не одной компанией. Если на выходе из одного передела получается продукция, не соответствующая определенным параметрам, то ответственный за следующий передел сигнализирует об этом и отказывается принимать продукцию с отклонениями.

Второй способ встречается тогда, когда контроль параметров того или иного процесса является целью владельца процесса такого контроля. Типичным примером второго способа является деятельность такого подразделения как отдел технического контроля, или ОТК. Такое подразделение существует на многих производственных предприятиях. Основной его деятельностью является контроль параметров производимой продукции.

Третий способ встречается тогда, когда контрольные действия дополнительно стимулируются, например с помощью денежного вознаграждения, и обычно не входят в круг обязанностей большинства владельцев процессов. Классическим примером данной ситуации является назначение вознаграждения за поимку опасного преступника или предоставление информации о его местонахождении.

• Улучшение контрольной среды. Можно с полной уверенностью утверждать, что при максимально эффективной контрольной среде отсутствует необходимость в отдельных контрольных процедурах. С философской точки зрения в такой среде не может даже существовать такого понятия, как контроль, поскольку отсутствует объект контроля – отклонения от требуемых или желаемых параметров процессов. Например, при борьбе с мошенничеством в рамках отдельной компании огромное значение имеет пропаганда требуемого поведения на рабочем месте. Такая пропаганда есть не что иное, как попытка повлиять на один из факторов, существенно влияющих на контрольную среду, – этику поведения на рабочем месте.

• Периодический мониторинг. Здесь речь идет в первую очередь о мониторинге адекватности и эффективности системы внутреннего контроля. К такому мониторингу также можно отнести действия по выявлению отклонений от требуемых параметров процессов. И та и другая деятельность может быть как основной, так и сопутствующей задачей владельца конкретного процесса. В первом случае типичным примером владельца процесса является ПВА, или ревизионная служба, или государственный надзорный орган (больше специализируется на поиске отклонений). Во втором случае – это вышестоящий руководитель или вышестоящее подразделение.

• Ограничение свободы выбора. Данный механизм довольно специфичен, однако в ряде ситуаций является, пожалуй, единственным механизмом. Ограничить свободу выбора – значит лишить возможности полностью или частично выполнить те действия, которые приведут к нарушению требуемых параметров процесса. Классическим примером ограничения свободы выбора является ограничение физической свободы, например домашний арест или что похуже.

• Автоматизация процессов. Ключевым преимуществом автоматизации является создание шаблонов процессов. В определенном смысле автоматизация также ограничивает выбор, однако основная ее цель заключается в обеспечении наиболее эффективного подхода к выполнению процесса. Ограничение является побочным эффектом. К тому же автоматизация ограничивает выбор лишь частично. Автоматизация хорошо справляется с бессознательными отклонениями. Что касается сознательных нарушений, то многие системы автоматизации процессов допускают их в той или иной степени. Однако преимуществом автоматизации является то, что она позволяет такие нарушения оперативно фиксировать и анализировать.

Глава 4.
Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита

Основные понятия

Перед тем как углубиться в тему данной главы, необходимо познакомиться поближе с ее основными понятиями, в число которых входят:

• риск;

• фактор риска;

• владелец риска.

Риск. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни.

Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий – работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. д. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. е. негативное событие произошло, этот риск становится фактором риска для следующего негативного события (производственная ошибка). Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки – производственной ошибки-аварии.

С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками.

Фактор риска. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства (деревянный дом и скарб) сами по себе не являются причиной пожара, но образуют факторы риска этого события – они увеличивают вероятность его возникновения и усиливают негативный эффект. Выяснив различия понятий «причина риска» и «фактор риска», я предлагаю… забыть о них. Для простоты будем оперировать только понятием «фактор риска».

Владелец риска. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:

• снижение темпов реализации продукции предприятия;

• несвоевременная отгрузка продукции;

• необоснованное увеличение объемов производства.

На первый взгляд у данного риска несколько владельцев, поскольку причины указывают на разные варианты развития событий. Однако, с одной стороны, исходную формулировку риска можно уточнить путем прибавления причины риска (например, затоваривание складов готовой продукцией вследствие снижения темпов реализации продукции предприятия). Таким образом, мы получаем три риска. У них персональные владельцы более очевидны, чем у исходного риска:

• дирекция по продажам и маркетингу;

• дирекция по логистике;

• дирекция по производству.

С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов. Определим их следующим образом  

Подводя итог сказанному, еще раз остановимся на ключевых моментах. Во-первых, можно использовать два способа определения владельца риска – дробление исходного риска на более мелкие риски (при этом необходимо правильно установить полный перечень ключевых причин риска) или определение заинтересованности в управлении риском (при этом необходимо отталкиваться от целей процессов). К недостаткам первого способа можно отнести то, что в результате дробления рисков может оказаться слишком много для эффективного управления ими (может потребоваться автоматизация процесса). К недостаткам второго способа можно отнести то, что цели процессов, в отличие от причин рисков, меняются чаще. В связи с этим при каждом изменении целей необходимо пересматривать привязку рисков к имеющимся процессам. Например, используя параметры предыдущего примера, предположим, что компания стала производить продукцию, которую все равно где хранить. Параллельно перед владельцем процесса «Продажи» была поставлена цель «своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в долгосрочной перспективе», что может привести к придерживанию продукции с целью более выгодной продажи в будущем (в расчете, например, на рост цен). В этом случае владельцем риска затоваривания складов становится владелец процесса «Продажи», так как именно его цель больше всего страдает от реализации риска.

Во-вторых, необходимо устанавливать единственного владельца конкретного риска. Когда владельцев одного риска несколько, крайне сложно определить, кто в большей степени отвечает за управление этим риском.

Эксперт по банковским продуктам в ThaBank.ru. Совмещаю работу на портале с торговлей на московской бирже.

ОСТАВЬТЕ ОТВЕТ

Введите свой комментарий
Пожалуйста, введите свое Имя