Ознакомительная версия.
Перед тем как двинуться дальше, имеет смысл рассмотреть процесс выявления и оценки рисков, а также процесс формирования карты рисков.
Выявление и оценка рисков. Существует несколько базовых способов, позволяющих с той или иной степенью эффективности идентифицировать риски и оценить их параметры (табл. 3).
Таблица 3. Базовые способы оценки рисков
Шкала от 1 (очень плохо) до 5 (очень хорошо)
Как следует из табл. 3, мы имеем пять базовых способов:
• эксперты (суть способа – проведение интервью сотрудников компании для выяснения их мнения о существующих рисках и формирования оценки параметров этих рисков);
• статистика (суть способа – изучение документальных источников для выявления фактов реализации рисков, а также факторов риска, способных привести к конкретным рискам);
• третья сторона (суть способа – наем сторонней организации для проведения идентификации и оценки рисков);
• вмененные риски (суть способа – формирование перечня и оценка параметров рисков, часто встречающихся в условиях, аналогичных тем, в которых действует компания);
• процессы (суть способа – использование упрощенного подхода, описанного выше).
Каждый из этих способов оценивается по пяти ключевым параметрам:
• объективность (степень приближенности к реальности);
• полнота (насколько исчерпывающим получится конечный перечень);
• стоимость (объем ресурсов, в том числе имеющих неденежную оценку, для осуществления необходимых мероприятий в рамках способа);
• время (количество времени для осуществления необходимых мероприятий в рамках способа);
• качество (пригодность исходного материала для перехода к процессу конвертирования в программу аудита).
Разумеется, проставленные оценки имеют условный характер и являются усредненным вариантом (при прочих равных). Вариации конкретных обстоятельств способствуют перестановкам в данной таблице. Перечисленные способы имеют свои плюсы и минусы (табл. 4).
Таблица 4. Плюсы и минусы базовых способов оценки рисков
Отдельного разговора заслуживает вопрос формулирования сути риска. Здесь прослеживаются два основных подхода (не считая неправильных):
• использование укрупненных рисков (формулировка риска обычно не содержит причинно-следственной связи, она сопровождается расшифровывающим и уточняющим описанием; например, формулировка «риск аварий» может сопровождаться перечислением видов, мест и, возможно, причин, а также прочими уточняющими деталями);
• использование рисков с указанием на причинно-следственную связь (точечные риски) (формулировка риска содержит указание на причинно-следственную связь, во многих случаях дальнейшие объяснения не требуются, так как она достаточно точно описывает суть риска, например формулировка «риск аварий вследствие несоблюдения режима эксплуатации оборудования»).
Как часто бывает в нашей жизни, у каждого из этих подходов есть свои плюсы и минусы (табл. 5).
Таблица 5. Основные подходы к формулированию сути риска
В дополнение к информации, приведенной в табл. 5, полезно пояснить один существенный нюанс. Укрупненными рисками нельзя управлять, так как, по сути, они состоят из нескольких цепочек факторов риска. При этом для каждой цепочки часто нужны свои мероприятия по управлению и у каждой цепочки может быть свой владелец риска (учитывая двойственность понятия «риск»). Поэтому карта укрупненных рисков более всего подходит для презентации и представления общего расклада по рискам, так сказать, по диагонали. Для целей как управления, так и конвертации в программу аудита укрупненные риски нуждаются в декомпозиции. Она должна проводиться как минимум до тех пор, пока укрупненный риск, условно говоря, не будет разбит на несколько рисков, у каждого из которых будет один владелец. Например, у нас есть риск «риск аварий». Предположим, что он в результате декомпозиции был разбит на два риска: «риск аварий вследствие несоблюдения режима эксплуатации оборудования» (риск 1) и «риск аварий вследствие общего состояния оборудования» (риск 2). На данном этапе у обоих рисков все еще может быть несколько владельцев. Возьмем для дальнейшего анализа риск 1. Его можно разбить как минимум на два риска: «риск несоблюдения режима эксплуатации оборудования вследствие нарушения требований техпроцесса» (риск 3) и «риск несоблюдения режима эксплуатации оборудования вследствие ошибок в требованиях техпроцесса» (риск 4). На этом этапе минимальное требование по декомпозиции в отношении риска 1 выполняется – владельцем риска 3 является дирекция по производству (нарушение в процессе эксплуатации оборудования), а владельцем риска 4 – служба главного технолога[7] (ошибка при расчете техпроцесса).
Приведенный пример демонстрирует важный момент. Как уже говорилось в разделе «Риск», факторы риска формируют цепочки, в которых каждый последующий фактор риска является риском для предыдущих факторов. Таким образом, каждый риск можно разбить на определенное число более мелких рисков. Количество и суть таких рисков будет соответствовать количеству и сути факторов риска исходного риска. Например, если риск реализуется в результате последовательной реализации цепочки из пяти факторов риска, то его можно разбить на пять последовательных рисков. При этом каждый последующий риск в цепочке будет менее существенным, чем предыдущий риск. Для удобства далее будем употреблять слово «уровень» для обозначения места риска в цепочке рисков. Например, формулировка «уровень 3» означает, что выше по существенности находятся два риска из той же цепочки. Таким образом, любой риск, который необходимо подвергнуть декомпозиции, является риском уровня 1, или риском первого уровня.
Формирование карты рисков. Основная цель данного процесса заключается в получении на выходе перечня рисков, расположенных в порядке убывания существенности.
Рис. 2. Пример графического представления карты рисков
Перечень может сопровождаться построением графика, на котором риски располагаются в соответствии с их вероятностью и силой воздействия. Классическим является вариант графика с зеленым (белым), желтым (серым) и красным (черным) секторами (рис. 2). В зеленом (белом) секторе располагаются риски, вероятность которых относительно низка, а сила воздействия минимальна. В красном (черном) секторе располагаются риски с максимальной вероятностью и максимальной силой воздействия. Между зеленым (белым) и красным (черным) секторами располагается желтый (серый) сектор, в котором находятся три группы рисков, а именно:
• риски со средней вероятностью и силой воздействия;
• риски с низкой вероятностью, но с большой силой воздействия;
• риски с высокой вероятностью, но с маленькой силой воздействия.
Логично предположить, что ПВА в первую очередь должны интересовать риски, расположенные в красном (черном) секторе. Это действительно так, однако довольно часто в этот сектор попадают риски, которыми трудно управлять, а именно:
• «внешние» риски (т. е. риски, которые зарождаются вне компании, но влияют на ее деятельность, например риск неблагоприятного изменения законодательства);
• риски форс-мажорных обстоятельств;
• крупные риски, обусловленные совокупностью большого количества факторов риска (например, риск неадекватной бизнес-модели).
С точки зрения внутреннего аудита риски, которыми трудно управлять, не представляют особого интереса как объект конвертирования в план или программу аудита. Во-первых, многие «внешние» риски и риски форс-мажорных обстоятельств довольно очевидны. Все, что нужно сделать, – это сформировать план мероприятий по минимизации их существенности (по возможности снизить вероятность и силу воздействия), а также план действий на случай реализации данных рисков. Последнее необходимо для того, чтобы максимально воспользоваться динамикой нарастания негативных последствий риска (попросту, план того, что можно сделать, пока последствия реализации риска не достигли максимального эффекта). Во-вторых, крупные риски при конвертации могут привести к формированию громоздкой и сложной для понимания программы аудита. Также не исключено, что с первого раза не удастся выявить все существенные факторы риска и установить правильные причинно-следственные связи. Поэтому наилучшей стратегией работы с крупными рисками является их разбиение (декомпозиция) на более мелкие риски, которые более подходят для конвертирования в программы аудита.
Ознакомительная версия.
