Зачем нужна карта рисков компании и как ее составить. Курсовая работа риск-менеджмент в строительной отрасли

Дизайн

Или иных методов либо их комбинации) необходимо обработать и наглядно представить для того, чтобы проводить с ними дальнейшую работу по оценке и управлению. Наиболее наглядный, простой и популярный способ – построение карты или матрицы рисков .

Самый простой вариант представления информации о рисках – составление перечня рисков в порядке убывания характеристик их важности.

Однако важность риска с точки зрения управления не определяется одним параметром, что связано с его вероятностной природой. Очевидно, что риск, который в случае реализации несет большие потери, можно считать опасным и требующим управления. Но если вероятность наступления этого риска крайне мала, то им можно и пренебречь. Соответственно и наоборот: риск с небольшим потенциальным убытком, но реализующийся очень часто, в итоге приведет к значительному суммарному ущербу. Следовательно, характеризовать каждый идентифицированный риск необходимо с помощью двух его основных параметров: вероятности реализации и величины возможного ущерба.

Отметим, что хотя последствия реализации рисков бывают не только финансовыми, но и моральными, репутационными, сопровождающимися потерей жизни и здоровья и т.д., но в экономических ситуациях принято рассматривать в качестве основных именно финансовые, материальные. Это связано с тем, что в экономической деятельности именно такого рода потери имеют наибольшее значение, а также тем, что в большинстве случаев остальные потери можно, хотя и с определенной степенью условности, выразить в стоимостном выражении.

Таким образом, каждый идентифицированный риск в случае проведения его оценки будет характеризоваться двумя величинами: вероятностью его наступления и размером убытков. Перечень рисков можно составить, расположив риски в порядке убывания одной из величин, однако общепринятым является одновременное использование обоих показателей с построением так называемых карты или матрицы рисков .

В том случае, если обе величины – вероятность реализации риска и потенциальный ущерб – имеют количественное выражение, мы можем построить карту рисков .

Карта рисков – это наглядное изображение идентифицированных рисков в виде точек на координатной плоскости, где по одной из осей (как правило, OY), отложены вероятности реализации рисков (в долях единицы или в процентах), а по другой (как правило, ОХ) – ущерб от реализации (в денежных единицах). Пример карты рисков можно видеть на рисунке 1.

Рисунок 1 – Схематичное изображение карты рисков

Как видно на рисунке, риски 1 и 4 имеют одинаковую величину потенциального ущерба, однако вероятность реализации риска 1 выше. Риски же 2 и 5 имеют одинаковую вероятность реализации, при этом потенциальный ущерб выше у риска 5. Эти пары рисков можно сравнить и сказать, какой из них обладает более высоким уровнем (если за уровень риска принять пару вероятность/ущерб). Однако в отношении других рисков такое сравнение затруднительно. Так, риск 1 имеет меньший ущерб, чем риск 5, однако вероятность его реализации существенно выше.

Для того, чтобы определить, является риск приемлемым или нет, на карту рисков можно нанести границу толерантности к риску , или границу приемлемости риска (см. рис. 1). Она представляет собой кривую, так как риски с высоким ущербом даже при низкой вероятности могут считаться неприемлемыми, также как и риски с небольшим ущербом, но высокой вероятностью. Строится она на основании представлений о риск-аппетите организации , и отделяет область приемлемых рисков, то есть тех, которые организация принимает и управляет ими, от неприемлемых. Неприемлемые риски – это риски, от которых при невозможности управления ими таким образом, чтобы они в результате попали в область приемлемых рисков, организация отказывается. В зависимости от политики управления рисками и конкретной сущности рисков, от неприемлемых рисков можно отказываться и сразу, без выяснения возможностей управления ими.

Для повышения наглядности риски на карте, помимо номеров, могут обозначаться разными цветами в зависимости от их вида. Карта рисков должна обязательно снабжаться перечнем рисков.

Таким образом, карта рисков представляет собой очень наглядное и достаточно простое в построении изображение рисков предприятия или организации.

Однако в ряде случаев нет возможности измерить вероятность и ущерб в количественном выражении. Особенно это касается вероятности. Тем не менее, существует необходимость в некотором ранжировании рисков по величине вероятности их реализации. В этом случае используют качественные, атрибутивные оценки вероятности типа «весьма вероятно», «маловероятно», «невероятно» и т.д. Количество градаций качественной шкалы может быть любым. Аналогично оценивается и ущерб, например как «высокий», «средний» и «низкий». Количество градаций по шкалам вероятности и ущерба может быть как равным, так и различным.

На основе этой информации строится матрица рисков – изображение рисков в виде таблицы, где по столбцам расположены градации величины ущерба от реализации рисков, а по строкам – градации вероятностей их реализации. Сами риски при этом располагаются в клетках таблицы. Каждая клетка имеет интерпретацию с точки зрения уровня риска. Наглядно пример матрицы рисков представлен в таблице 1.

Таблица 1 – Матрица оценки рисков (пример)

В матрице рисков также можно изобразить границу толерантности к рискам, однако чаще принято клетки таблицы окрашивать в разные цвета: зеленый – низкий риск, желтый – средний риск, красный – высокий риск (чем насыщеннее красный цвет, тем выше риск). Такой вариант изображения является более наглядным.

Также клеткам таблицы могут приписываться некоторые величины (см. табл. 1), отражающие уровень риска. На основе этих величин могут производиться вычисления, например, суммарного риска. Однако эти величины носят условный, произвольный характер, как и вычисления на их основе, и считать их статистическими характеристиками нельзя.

Качественные оценки вероятности и ущерба для каждого риска могут быть получены двумя способами.

В первом случае они могут быть определены из количественных оценок, то есть являться их упрощением. Например, политикой в отношении риск-менеджмента определено, что риск с вероятностью от 0 до 0,05 является крайне низким, от 0,05 до 0,1 – низким, от 0,1 до 0,4 – средним, от 0,4 до 0,7 – высоким и от 0,7 до 1 – крайне высоким. Имея оценки вероятностей реализации идентифицированных рисков мы можем превратить карту рисков в матрицу. Аналогично и с величиной потенциального ущерба. В этом случае построение матрицы рисков может являться хотя, возможно, и более наглядным, однако менее информативным способом представления информации о рисках, чем карта рисков.

Однако чаще матрица рисков строится тогда, когда получить количественные оценки рисков не представляется возможным. Например, нельзя оценить вероятность реализации рисков ни с помощью методов теории вероятностей, ни на основании данных соответствующей статистики. В таких случаях могут использоваться так называемые субъективные вероятности, либо экспертные оценки , либо просто результаты обработки риск-интервью о том, как часто реализуются (или могут реализовываться) те или иные риски по мнению опрашиваемых лиц. Очевидно, что более достоверными в данном случае будут оценки, полученные в качественном, а не в количественном виде. В таких ситуациях использование матрицы рисков является не только наглядным и удобным, но и достаточно достоверным (в случае соблюдения правил получения качественных оценок) способом представления информации о рисках предприятия или организации.

Важно отметить, что «вероятность», используемая для составления матрицы в подобных случаях, как правило, не является вероятностью в классическом или статистическом смысле. В англоязычной литературе для ее обозначения используется термин likelihood , который можно перевести, как «правдоподобие», а в контексте рисков – как «возможность реализации рисков». Понимая при этом, что вероятность – это мера возможности реализации рисков, однако слово «возможность» скорее можно трактовать, как качественную, а не количественную характеристику.

Таким образом, карта и матрица рисков представляют собой, по сути, один и тот же способ представления информации о рисках, отличаясь друг от друга типом оценок характеристик риска.

Литература

1. Синявская Т.Г., Трегубова А.А. Управление экономическими рисками: теория, организация, методы. Учебное пособие. / Ростовский государственный экономический университет (РИНХ). – Ростов-на-Дону, 2015. – 161 с.

Олег Крышкин Глава из книги «Настольная книга по внутреннему аудиту: Риски и бизнес-процессы»
Издательство «Альпина Паблишер »

  • процесс «Продажи» - своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в краткосрочной перспективе;
  • процесс «Управление складской логистикой» - своевременное размещение производимой продукции в складских помещениях, обеспечивающих сохранность в течение оптимального срока хранения;
  • процесс «Управление производством» - своевременное производство продукции установленного ассортимента и качества в требуемых объемах.

В свете вышеуказанных целей процессов наиболее заинтересованным в управлении риском затоваривания складов готовой продукцией является владелец процесса «Управление складской логистикой». На достижение целей именно этого процесса реализация данного риска окажет максимальное влияние при условии, что предприятие располагает ограниченными складскими помещениями и его продукция чувствительна к условиям хранения. Владельцу процесса «Управление производством» указанный риск безразличен - его цель будет достигнута независимо от того, происходит затоваривание или нет. Владелец процесса «Продажи» также не особо привязан к риску затоваривания, поскольку его целью является реализация по оптимальным ценам. Если продукция в процессе хранения утратит часть свойств, но будет продана по хорошей цене (пропорциональнониже, чем стоимость качественной продукции), то владелец процесса «Продажи» выполнит поставленную перед ним задачу.

Подводя итог сказанному, еще раз остановимся на ключевых моментах. Во-первых , можно использовать два способа определения владельца риска - дробление исходного риска на более мелкие риски (при этом необходимо правильно установить полный перечень ключевых причин риска) или определение заинтересованности в управлении риском (при этом необходимо отталкиваться от целей процессов). К недостаткам первого способа можно отнести то, что в результате дробления рисков может оказаться слишком много для эффективного управления ими (может потребоваться автоматизация процесса). К недостаткам второго способа можно отнести то, что цели процессов, в отличие от причин рисков, меняются чаще. В связи с этим при каждом изменении целей необходимо пересматривать привязку рисков к имеющимся процессам. Например, используя параметры предыдущего примера, предположим, что компания стала производить продукцию, которую все равно где хранить. Параллельно перед владельцем процесса «Продажи» была поставлена цель «своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в долгосрочной перспективе», что может привести к придерживанию продукции с целью более выгодной продажи в будущем (в расчете, например, на рост цен). В этом случае владельцем риска затоваривания складов становится владелец процесса «Продажи», так как именно его цель больше всего страдает от реализации риска.

Во-вторых , необходимо устанавливать единственного владельца конкретного риска. Когда владельцев одного риска несколько, крайне сложно определить, кто в большей степени отвечает за управление этим риском.

Свойства рисков

Каждый риск обладает рядом специфичных свойств, которые влияют на выбор способа управления им. С практической точки зрения имеет смысл обратить внимание на следующие четыре свойства риска, а именно:

  • вероятность;
  • сила воздействия;
  • управляемость;
  • взаимосвязанность (цепочки причинно-следственных связей).

Вероятность. Риск представляет собой событие, которое может произойти, а может и не произойти. С помощью определения вероятности риска мы пытаемся оценить шансы на то, что конкретное событие произойдет в течение рассматриваемого периода времени. Сразу отмечу, что последнее обстоятельство довольно часто упускается при оценке рисков. Я регулярно сталкиваюсь со следующим вариантом формулировки вероятности риска - вероятность столько-то процентов (например, «вероятность 20 %»). Такой оценке не хватает как минимум указания на временной интервал, к которому данная вероятность применима. Указание «срока годности» вероятности крайне важно, поскольку со временем величина вероятности подавляющей части рисков меняется.

В продолжение темы использования процентной оценки вероятности стоит отметить еще несколько нюансов. Указание величины вероятности в процентах в большинстве случаев говорит о том, что оценка проводилась экспертным методом. При использовании данного метода необходимо убедиться в том, что восприятие экспертом конкретной оценки соответствует ее восприятию окружающими (начиная с того, о чем говорит эксперт - об исходном или остаточном риске). Например, эксперт говорит, что вероятность риска аварии на производстве составляет 10 %. Однако он может иметь в виду только те случаи, в которых виноваты люди по причине неправильного исполнения трудовых обязанностей, а окружающие (в отсутствие пояснений) могут посчитать, что речь идет о риске в целом. Также эксперт мог получить итоговый показатель 10 % путем деления количества аварийных ситуаций на производстве на общее количество работников данного производства по итогам прошлого года. Окружающие же могут подумать, что это означает одну аварию каждые 10 месяцев. В сухом остатке у нас остается тот факт, что бездумное использование процентной оценки вероятности может приводить к существенным искажениям восприятия реальности.

В определенной мере недостатки предыдущего метода устраняются указанием количества возможных фактов реализации риска в течение определенного периода (например, конкретный риск может реализоваться как минимум один раз в год). Однако данный метод оценки вероятности также подвержен искажениям восприятия. Например, эксперт говорит, что вероятность риска неоплаты дебиторской задолженности составляет 10 раз в год. При этом он может основываться на данных прошлых периодов и не учитывать факторы, влияющие на оплату дебиторской задолженности в будущем. Так, если продажи компании должны существенно вырасти в следующем году (например, в конце прошлого года открылось несколько новых филиалов), то оценка эксперта занижает вероятность риска, делая его менее существенным.

Все это может склонить к выбору математических методов оценки вероятности риска, таких как формула Бернулли, локальная теорема Лапласа, формула Пуассона, а также специальных ИТ-приложений (например, Crystal Ball, использующее моделирование методом Монте-Карло). Однако сфера применения данных методов ограниченна. Например, при использовании формулы Бернулли для вычисления вероятности риска для ряда сопоставимых ситуаций необходимо знать точную величину вероятности такого риска для одной ситуации. Многие риски, хотя и могут показаться сравнительно простыми, нередко связаны с довольно сложными цепочками событий. Также не стоит забывать про любопытный парадокс - сложные методы довольно часто приводят к таким же выводам, что и простые. Особенно это касается таких неопределенных явлений, как риски. При обеспечении достаточной теоретической подготовки экспертов в области рискменеджмента (или хотя бы в области определения и оценки рисков) можно добиться относительно качественной и полной оценки существенных рисков.

Сила воздействия . Мы вряд ли вообще обращали внимание на риски, если бы они не обладали данным свойством. Однако все риски, которые заслуживают внимания, обладают определенной силой воздействия. Факт реализации конкретного риска определенным образом воздействует на деятельность компании (владельца риска). Это воздействие имеет негативный характер и принимает различные формы, которые можно разделить на две основные группы - формы, обладающие качественными характеристиками (потеря репутации, ухудшение отношений, утрата доверия, снижение привлекательности и т. д.), и формы, обладающие количественными характеристиками (утрата доли рынка, финансовые потери, штрафные санкции и т. д.). В принципе реализация любого риска приводит к ухудшению финансового и имущественного состояния предприятия, т. е., грубо говоря, к потере денег. Однако с точки зрения управления рисками имеет смысл использовать более детальную дифференциацию последствий реализации рисков, в первую очередь потому, что скорость наступления негативного эффекта различна для разных рисков. Например, если произошла авария на производстве, компания тут же теряет часть своего имущества и потеряет еще какую-то часть спустя определенное время (расходы на восстановление, возможно уплата штрафов, социальные выплаты и т. д.). А если, например, резкое снижение качества продукции компании повлекло снижение ее репутации как качественного производителя, то это приведет к потере денег только через определенное время, как минимум не сразу.

С практической точки зрения наиболее полезной является оценка силы воздействия, сочетающая стоимостную оценку потерь и оценку скорости наступления таких потерь (интегрированная оценка). Поэтому все качественные оценки (и количественные тоже) в идеале следует приводить к интегрированной оценке.

Управляемость. Любая компания может в той или иной степени влиять на вероятность и силу воздействия своих рисков. Это влияние зависит от степени управляемости конкретного риска. Риски можно разделить на две основные группы - риски, вероятность и сила воздействия которых может быть в какой-то мере изменена усилиями компании (управляемые риски), и риски, вероятность и сила воздействия которых остаются практически неизменными независимо от попыток их изменить (неуправляемые риски). Классическим примером рисков последней группы являются риски форс-мажорных обстоятельств, особенно связанных со стихийными бедствиями (землетрясения, наводнения, штормы, торнадо и т. д.). Единственное, что можно сделать в случае реализации неуправляемого риска, - это попытаться избежать части негативного эффекта. Это достигается, во-первых, за счет прямой защиты от предполагаемого негативного эффекта (например, строительство сейсмоустойчивых домов в сейсмоопасной зоне), во-вторых, за счет использования скорости наступления негативного эффекта (например, план эвакуации при пожаре). Однако это лишь способ подстроиться под обстоятельства. Изначальная вероятность и сила воздействия неуправляемых рисков остаются неизменными.

Взаимосвязанность. Как уже говорилось, у большинства рисков двойственная природа, они являются одновременно и рисками, и факторами риска для других рисков. В среде рисков широко распространен эффект домино. Многие риски образуют цепочки рисков, структуру которых чаще всего невозможно предугадать. Наличие многообразных взаимосвязей приближает систему рисков любого предприятия к детерминированно-хаотическим системам. В рамках таких систем возможна реализация эффекта бабочки . Не исключено, что изначальной причиной многих крупных негативных событий явилась реализация мелких и на первый взгляд незначительных рисков. Последствия реализации этих цепочек рисков загубили бы не одно предприятие, если бы не теория вероятности и естественное прерывание цепочек рисков вследствие воздействия сторонних факторов (которое тем вероятнее, чем длиннее цепочка и медленнее реализация эффекта домино).

Взаимосвязь риска и бизнес-процесса

Любой, даже самый мелкий и незначительный, бизнес-процесс всегда взаимосвязан с рядом рисков. В случае реализации этих рисков цель такого бизнес-процесса достигается частично либо не достигается вовсе. Другими словами, на выходе из процесса вы не получите ничего либо получите не то, что нужно. Именно эта взаимосвязь позволяет конвертировать риски в план или программу внутреннего аудита.

Внутренний аудит занимается анализом бизнес-процессов и систем контроля бизнес-процессов. С технической точки зрения невозможно затеять проект по аудиту какого-либо риска, поскольку, по сути, риск - это событие, причем во многих случаях такое, которое может и не про изойти. Событие само по себе является не процессом, а результатом определенных процессов. Поэтому при использовании риск-ориентированного подхода аудитору необходимо сначала установить взаимосвязь между рисками и процессами, а затем, в зависимости от выбранного подхода, приступить к формированию плана или программы аудита.

Суть риск-ориентированного подхода

Деятельность любого предприятия подвержена влиянию множества факторов риска. Одни факторы риска способны спровоцировать реализацию конкретного риска самостоятельно, другие - только в комбинации с другими факторами риска. Факторы риска оказывают влияние на эффективность функционирования процессов предприятия. Система процессов всегда имеет одну цель - выполнение поставленных задач. Это должно обеспечить достижение ключевой цели любого коммерческого предприятия - увеличения своей стоимости. Анализируя факторы риска в привязке к процессам, в которых они зарождаются и/ или на которые они влияют, внутренний аудитор может сформировать оптимальную тематику своей работы. В этом и заключается суть риск-ориентированного подхода к внутреннему аудиту - понять, что в первую очередь мешает предприятию достичь цели, и найти наилучший способ нивелирования негативного воздействия.

В рамках риск-ориентированного подхода можно выделить два базовых метода, а именно:

  • упрощенный метод;
  • продвинутый метод.

Аудитор должен четко уяснить одну важную взаимосвязь. Эффективность использования любого из данных методов растет с повышением квалификации и опыта внутреннего аудитора. Например, продвинутые аудиторы могут не заниматься проведением детальных оценок процессов с использованием факторов риска, а сразу оперировать как отдельными рисками, так и цепочками рисков различной сложности, располагая только отрывочной информацией об объекте аудита, даже если они прежде его не посещали.

Упрощенный метод

При использовании данного метода основная задача заключается в формировании рейтинга рискованности процессов и выборе наиболее рискованных процессов для проведения проектов внутреннего аудита. Этот метод имеет одно существенное достоинство - его результаты могут быть наглядными, доступными для восприятия неподготовленными гражданами и относительно легкодоказуемыми. Наиболее рискованным процессом считается тот, на достижение цели которого влияет максимальное количество факторов риска максимально негативным образом. Чтобы получить рейтинг рискованности, каждый выбранный для анализа процесс оценивается с точки зрения наличия и существенности определенного перечня факторов риска. Такой перечень формируется произвольно, единственного правильного варианта просто не существует, поскольку каждая компания имеет свою специфику (разумеется, какие-то факторы являются общими для большинства компаний). Единственный критерий отбора - это прямое или опосредованное препятствование достижению процессами (или большей части анализируемых процессов) их целей.

При применении упрощенного метода необходимо помнить о ряде нюансов, а именно:

  • количество факторов риска ничем не ограничено. Встречаются перечни из 10–15 факторов риска и более. Скорее всего, при работе с факторами риска внутренний аудитор будет ограничен имеющимися ресурсами. Однако до определенного момента увеличение количества факторов риска, используемых для анализа, повышает качество оценки;
  • рейтинг и результаты оценки должны быть наглядными. Наиболее распространенным вариантом является создание электронной таблицы (которая к тому же автоматизирует пересчет). Сверху вниз (по строкам) указываются наименования процессов, слева направо (по столбцам) - факторы риска;
  • системы оценки могут быть самыми разнообразными. Можно проставлять баллы, можно выделять цветом, можно вводить дополнительные балансирующие и корректирующие элементы (веса факторов риска, степень применимости результатов оценки для отдельных предприятий или для всех предприятий группы и т. д.). В качестве базового варианта можно принять три оценки (например, высокий, средний, низкий);
  • методика формирования рейтинга процессов, в любом случае, должна обсуждаться с топ-менеджментом компании (по-хитрому, как и положено внутреннему аудитору, сначала приватно с каждым руководителем, а потом со всеми вместе). Понимание и хотя бы частичное согласие с методикой обеспечит более позитивное восприятие результатов ее использования.

В качестве примера критически рассмотрим фрагмент оценочной таблицы, целью которой было формирование базовых данных для составления рейтинга подпроцессов процесса «Производство» (табл. 1). Здесь представлен подпроцесс «Хранение» (хранение МТР перед выдачей в производство), состоящий из 10 этапов. Рассматривается влияние шести факторов риска на достижение целей процессов. Факторы риска следующие:

Таблица 1. Пример оценочной таблицы для формирования рейтинга подпроцессов процесса «Производство»

  • отсутствие этапа процесса - возможно, отсутствует какой-либо этап процесса, вследствие чего цель процесса достигается не всегда, с потерей качества, так сказать, с большим напрягом;
  • недостижение цели этапа процесса - в силу различных причин цель этапа процесса не достигается либо достигается не так часто, как необходимо;
  • нарушение регламента - в ходе исполнения процесса наблюдаются случаи намеренного или вынужденного нарушения существующих регламентирующих документов, при этом возрастает риск недостижения цели процесса;
  • техническая ошибка - ошибки при исполнении отдельных операций в ходе осуществления этапа процесса, а также ошибки при формировании и передаче информации;
  • персонал - недостаток персонала, как по количеству, так и по качеству, а также низкая исполнительская дисциплина;
  • неэффективность СВК - система внутреннего контроля не препятствует факторам риска.

Использованные для целей оценки факторы риска по большей части выбраны не совсем удачно, а именно:

  • отсутствие этапа процесса - довольно сложный фактор риска. Во-первых, требуется знание основ процессного управления и терминологии, чтобы понять, о чем идет речь. Во-вторых, чтобы проверить достоверность оценки, необходимо как минимум знать, как данный процесс выглядит на практике. В-третьих, для ряда предприятий отсутствие конкретного этапа может быть нормальным явлением;
  • недостижение цели этапа процесса - еще более сложный фактор риска. Во-первых, проблемы использования аналогичны проблемам предыдущего фактора риска. Во-вторых, появляется необходимость в предварительном определении целей этапов процесса, по крайней мере для команды внутренних аудиторов. Такая работа, если ее проводить досконально, трудоемка и объемна (например, если взять шесть подпроцессов, каждый из которых состоит из 8–10 этапов, в сумме получаем 48–60 этапов). К тому же высока вероятность возникновения проблемы при использовании результата на практике, например, если привлечь к формированию и/ или обсуждению результатов работы по определению целей этапов подпроцессов их владельцев, то можно застрять в самом начале. Например, сначала можно долго и нудно объяснять терминологию и основы процессного управления, затем долго спорить по поводу целей этапов подпроцессов, затем - по поводу оценки влияния фактора риска на цели данных этапов;
  • нарушение регламента - фактор риска пригоден к использованию во многих случаях. Плюсом является то, что получить представление об актуальности данного фактора риска можно из нескольких источников - переписка, мнения сотрудников, контролирующих исполнение регламентов, мнение сторонних экспертов (аудиторские фирмы, консультанты и т. д.) и т. д. Наличие данного фактора риска может указывать на недостатки управления процессом и предприятием в целом - низкая исполнительская дисциплина, несовершенство регламентов, громоздкие процедуры и т. д.;
  • техническая ошибка - можно использовать в качестве фактора риска. Однако если результат таких ошибок не явился результатом существенного негативного события, то о них можно умолчать и проверить это непросто. Отсюда следует, что во многих случаях данный фактор может показаться мелковатым для использования в оценке;
  • персонал - хороший фактор риска для целей оценки. Недостаток адекватного персонала - проблема всех времен и народов. Проблемы с персоналом порождают множество проблем в различных сферах деятельности любого предприятия. Получить представление о данном факторе риска, возможно, даже проще, чем о нарушении регламентов, - существует несколько источников, начиная с управленческой отчетности и заканчивая актами трудовой инспекции;
  • неэффективность СВК - малопригоден для целей оценки. Во-первых, звучит довольно жестко, и мало какое предприятие легко согласиться с тем, что даже отдельные его процессы имеют проблемы контроля. Во-вторых, базовая цель аудита как раз и состоит в оценке как минимум адекватности СВК. Данный фактор можно использовать только в том случае, если команда внутренних аудиторов в прошлом (желательно не очень далеком) уже имела дело с конкретным процессом на конкретном объекте аудита. Если мало что изменилось с тех пор, то оценка получится достоверной и доказуемой.

Таким образом, по результатам анализа мы имеем следующее:

  • три фактора пригодны к использованию;
  • два фактора пригодны к использованию, но на практике может возникнуть множество сложностей;
  • один фактор не пригоден.

В качестве примера приведу небольшой перечень факторов риска (далеко не исчерпывающий), которые можно применять в большинстве случаев для целей составления рейтинга рискованности процессов:

  • практика форсирования контрольных процедур (данная практика очень заразительна, отсутствие контроля расхолаживает, подталкивает к размышлениям о собственном благе и способах его преувеличения в свете появившихся в отсутствие контроля возможностей);
  • широкое использование экспертных оценок (данная практика также заразительна, в результате люди могут перестать делать, например, элементарные расчеты);
  • сложность операций, этапов и процессов с организационной точки зрения (повышается риск прогрессирующей задержки, исполнение процесса может затянуться);
  • сложность операций, этапов и процессов с технологической точки зрения (возрастает цена ошибки);
  • текучесть сотрудников (создает нездоровую атмосферу в коллективе, а также тормозит исполнение процесса и требует дополнительных затрат);
  • децентрализованные процессы (довольно часто дают порулить тому, кто либо еще не дорос до этого, либо перерос и склонен к использованию служебного положения в личных целях);
  • объем операций (большое количество транзакций увеличивает вероятность и существенность ошибки);
  • мошенничество (каждый процесс обладает вмененным и приобретенным потенциалом для мошеннических схем);
  • нанесение ущерба здоровью (может повлечь за собой как материальные обязательства по отношению к потерпевшей стороне, так и обязательства перед государством и обществом; взаимосвязано с рядом рисков, например технологического характера или рисками неадекватного состояния имущества);
  • нанесение ущерба окружающей среде (аналогично предыдущему пункту только по отношению к окружающей среде);
  • государственное регулирование (пристальное внимание государства означает визиты различных органов, участие в коррупционных схемах, риски, связанные с плохим настроением представителей власти, и т. д.);
  • изменения систем и процессов (к любым изменениям необходимо привыкнуть, а это повышает вероятность ошибок);
  • амбициозные цели процесса, особенно во взаимосвязи с амбициозным вознаграждением (когда что-то очень надо, а есть вероятность, что не получится, возникает непреодолимый соблазн сыграть не по правилам);
  • отсутствие нормативов (когда не установлен формально верх или низ или иные рамки, работает принцип «будет так, как я хочу»);
  • низкая регламентированность процесса (сопоставим с предыдущим фактором, может приводить к неоднозначным результатам - как к перекосам, так и к эффективности, однако перекосы случаются чаще);
  • отсутствие управленческого учета (когда ходы не записывают, трудно разобраться в текущей ситуации и, тем более, в прошлой ситуации; под песню «нам некогда бумажками шуровать, нам работать надо» торжественно разбивались вдребезги мечты многих акционеров о светлом будущем и даче с кабанчиком).

Мы разобрали основные моменты представленного для примера фрагмента оценочной таблицы. Как я уже говорил, шкала оценок может быть какой угодно. Хотелось бы, однако, обрисовать ситуацию вокруг данной оценочной таблицы в целом. Данная таблица была использована для составления рейтинга рискованности процессов нового объекта аудита, на котором команда внутренних аудиторов прежде не бывала. В попытке обеспечить максимальное качество таблицы было принято решение заполнить ее при активном участии владельцев процессов объекта аудита. Как показала дальнейшая работа, и не только в рамках того проекта, такой подход носит неоднозначный характер с уклоном в сторону вранья. Некоторые владельцы процессов действительно пытались объективно оценить происходящее в их епархии. Правда, со временем выяснилось, что некоторые факторы риска они просто не поняли (о чем говорилось выше). Однако чаще владельцы процессов стремились приукрасить картину, что и выяснилось в ходе последовавшего проекта аудита. Данный пример является одним из многих свидетельств того, что владельцы процессов являются не самыми лучшими соавторами рейтинга рискованности собственных процессов. Команда внутренних аудиторов должна стремиться использовать как можно более объективные, но в то же время оперативные (все происходит на этапе планирования проекта, который часто весьма ограничен во времени) источники информации.

Продвинутый метод

Упрощенный метод предполагает следующую последовательность действий: формирование перечня процессов (подпроцессов, этапов подпроцессов), затем генерирование факторов риска (при этом рассматриваются факторы единственного риска - риска недостижения цели процесса). Оценка воздействия выбранных факторов риска на степень достижения цели процессов позволяет сформировать рейтинг рискованности процессов. При использовании продвинутого метода за точку отсчета берется перечень рисков предприятия с оценкой как минимум их силы воздействия и вероятности, или, как его называют в специализированной литературе, карта рисков. Таким образом, формируется следующая цепочка действий: создание карты рисков, выбор наиболее существенных рисков, конвертирование рисков в план и программу аудита. На первый взгляд все просто, однако в условиях российской действительности появляется ряд следующих нюансов.

Во-первых , многие компании в нашей стране, услышав слова «карта рисков», ведут себя не так, как предполагали создатели этого инструмента, - одни пугаются, другие откладывают на потом, но большинство считают эту затею полной ерундой. Так или иначе, большинство компаний в России не формируют карту рисков на регулярной основе хотя бы искусства ради, не говоря уже о ее практическом применении. Однозначного объяснения этой ситуации сложно найти. Возможно, все упирается в уровень профессионального развития большинства российских управленцев, полного изъянов; возможно, все поглощены поиском источников личного обогащения; возможно, виноваты разработчики карт рисков, неспособные создать жизнеспособный и практически значимый инструмент управления. Как говорится, всего понемногу.

Во-вторых , отчасти как следствие из предыдущего нюанса, многие карты рисков, мягко говоря, вызывают сомнения в профессиональной пригодности авторов. Один из примеров мы разберем немного дальше.

В-третьих , многие карты рисков не заточены для конвертации в план или программу аудита. В таких случаях может потребоваться адаптация материала (см. разбор примера по данным табл. 5). Основные причины следующие:

  • практика обобщения рисков (например, формулировка «валютный риск» без пояснений весьма многозначна);
  • отсутствие причинно-следственной связи в наименовании (описании) риска (которая устанавливает базовую, т. е. наиболее свойственную в конкретных условиях, взаимосвязь фактора риска и риска);
  • отсутствие процессного восприятия деятельности предприятия (фундаментальная причина, которая вряд ли исчезнет в ближайшие 5–10 лет).

В-четвертых , если компания не формирует карту рисков, то ПВА придется сделать это самостоятельно. Довольно часто первые карты страдают изъянами. Прежде всего, основным источником информации о рисках на первых порах выступает менеджмент. В силу множества причин (непонимание происходящего, стремление скрыть недостатки, недоверие к команде внутренних аудиторов и т. д.) данная информация может быть не совсем достоверной. По мере накопления информации в ходе проектов ПВА начинает лучше ориентироваться в деталях рисков компании. Затем, составление карты рисков требует затрат ресурсов, в первую очередь времени. В этой ситуации ПВА важно соблюсти баланс между необходимостью получить максимально объективное представление о рисках компании и необходимостью приступить к осуществлению проектов.

И наконец, методика формирования карты и ее использования для выбора объектов аудита должна быть в той или иной степени согласована с менеджментом. Это не означает, что ПВА должно спрашивать разрешения на использование методики. Однако оно должно провести разъяснительную работу, максимально учесть мнения и пожелания менеджмента, обеспечить понимание происходящего окружающими. Только в этом случае можно вовлечь менеджмент в добросовестную работу по выявлению и оценке рисков, а также нивелировать разногласия в восприятии результатов оценки рисков.

Выявление и оценка рисков. Существует несколько базовых способов, позволяющих с той или иной степенью эффективности идентифицировать риски и оценить их параметры (табл. 2).

Таблица 2. Базовые способы оценки рисков

Шкала от 1 (очень плохо) до 5 (очень хорошо)

Как следует из табл. 2, мы имеем пять базовых способов:

  • эксперты (суть способа - проведение интервью сотрудников компании для выяснения их мнения о существующих рисках и формирования оценки параметров этих рисков);
  • статистика (суть способа - изучение документальных источников для выявления фактов реализации рисков, а также факторов риска, способных привести к конкретным рискам);
  • третья сторона (суть способа - наем сторонней организации для проведения идентификации и оценки рисков);
  • вмененные риски (суть способа - формирование перечня и оценка параметров рисков, часто встречающихся в условиях, аналогичных тем, в которых действует компания);
  • процессы (суть способа - использование упрощенного подхода, описанного выше).

Каждый из этих способов оценивается по пяти ключевым параметрам:

  • объективность (степень приближенности к реальности);
  • полнота (насколько исчерпывающим получится конечный перечень);
  • стоимость (объем ресурсов, в том числе имеющих неденежную оценку, для осуществления необходимых мероприятий в рамках способа);
  • время (количество времени для осуществления необходимых мероприятий в рамках способа);
  • качество (пригодность исходного материала для перехода к процессу конвертирования в программу аудита).

Разумеется, проставленные оценки имеют условный характер и являются усредненным вариантом (при прочих равных). Вариации конкретных обстоятельств способствуют перестановкам в данной таблице. Перечисленные способы имеют свои плюсы и минусы (табл. 3).

Таблица 3. Плюсы и минусы базовых способов оценки рисков

Отдельного разговора заслуживает вопрос формулирования сути риска. Здесь прослеживаются два основных подхода (не считая неправильных):

  • использование укрупненных рисков (формулировка риска обычно не содержит причинно-следственной связи, она сопровождается расшифровывающим и уточняющим описанием; например, формулировка «риск аварий» может сопровождаться перечислением видов, мест и, возможно, причин, а также прочими уточняющими деталями);
  • использование рисков с указанием на причинно-следственную связь (точечные риски) (формулировка риска содержит указание на причинно-следственную связь, во многих случаях дальнейшие объяснения не требуются, так как она достаточно точно описывает суть риска, например формулировка «риск аварий вследствие несоблюдения режима эксплуатации оборудования»).

Как часто бывает в нашей жизни, у каждого из этих подходов есть свои плюсы и минусы (табл. 4).

Таблица 4. Основные подходы к формулированию сути риска

В дополнение к информации, приведенной в табл. 4, полезно пояснить один существенный нюанс. Укрупненными рисками нельзя управлять, так как, по сути, они состоят из нескольких цепочек факторов риска. При этом для каждой цепочки часто нужны свои мероприятия по управлению и у каждой цепочки может быть свой владелец риска (учитывая двойственность понятия «риск»). Поэтому карта укрупненных рисков более всего подходит для презентации и представления общего расклада по рискам, так сказать, по диагонали. Для целей как управления, так и конвертации в программу аудита укрупненные риски нуждаются в декомпозиции. Она должна проводиться как минимум до тех пор, пока укрупненный риск, условно говоря, не будет разбит на несколько рисков, у каждого из которых будет один владелец. Например, у нас есть риск «риск аварий». Предположим, что он в результате декомпозиции был разбит на два риска: «риск аварий вследствие несоблюдения режима эксплуатации оборудования» (риск 1) и «риск аварий вследствие общего состояния оборудования» (риск 2). На данном этапе у обоих рисков все еще может быть несколько владельцев. Возьмем для дальнейшего анализа риск 1. Его можно разбить как минимум на два риска: «риск несоблюдения режима эксплуатации оборудования вследствие нарушения требований техпроцесса» (риск 3) и «риск несоблюдения режима эксплуатации оборудования вследствие ошибок в требованиях техпроцесса» (риск 4). На этом этапе минимальное требование по декомпозиции в отношении риска 1 выполняется - владельцем риска 3 является дирекция по производству (нарушение в процессе эксплуатации оборудования), а владельцем риска 4 - служба главного технолога (ошибка при расчете техпроцесса).

Приведенный пример демонстрирует важный момент. Как уже говорилось в разделе «Риск», факторы риска формируют цепочки, в которых каждый последующий фактор риска является риском для предыдущих факторов. Таким образом, каждый риск можно разбить на определенное число более мелких рисков. Количество и суть таких рисков будет соответствовать количеству и сути факторов риска исходного риска. Например, если риск реализуется в результате последовательной реализации цепочки из пяти факторов риска, то его можно разбить на пять последовательных рисков. При этом каждый последующий риск в цепочке будет менее существенным, чем предыдущий риск. Для удобства далее будем употреблять слово «уровень» для обозначения места риска в цепочке рисков. Например, формулировка «уровень 3» означает, что выше по существенности находятся два риска из той же цепочки. Таким образом, любой риск, который необходимо подвергнуть декомпозиции, является риском уровня 1, или риском первого уровня.

Формирование карты рисков. Основная цель данного процесса заключается в получении на выходе перечня рисков, расположенных в порядке убывания существенности.

Рис. 1. Пример графического представления карты рисков

Перечень может сопровождаться построением графика, на котором риски располагаются в соответствии с их вероятностью и силой воздействия. Классическим является вариант графика с зеленым (белым), желтым (серым) и красным (черным) секторами (рис. 1). В зеленом (белом) секторе располагаются риски, вероятность которых относительно низка, а сила воздействия минимальна. В красном (черном) секторе располагаются риски с максимальной вероятностью и максимальной силой воздействия. Между зеленым (белым) и красным (черным) секторами располагается желтый (серый) сектор, в котором находятся три группы рисков, а именно:

  • риски со средней вероятностью и силой воздействия;
  • риски с низкой вероятностью, но с большой силой воздействия;
  • риски с высокой вероятностью, но с маленькой силой воздействия.

Логично предположить, что ПВА в первую очередь должны интересовать риски, расположенные в красном (черном) секторе. Это действительно так, однако довольно часто в этот сектор попадают риски, кото-рыми трудно управлять, а именно:

  • «внешние» риски (т. е. риски, которые зарождаются вне компании, но влияют на ее деятельность, например риск неблагоприятного изменения законодательства);
  • риски форс-мажорных обстоятельств;
  • крупные риски, обусловленные совокупностью большого количества факторов риска (например, риск неадекватной бизнес-модели).

С точки зрения внутреннего аудита риски, которыми трудно управлять, не представляют особого интереса как объект конвертирования в план или программу аудита. Во-первых, многие «внешние» риски и риски форс-мажорных обстоятельств довольно очевидны. Все, что нужно сделать, - это сформировать план мероприятий по минимизации их существенности (по возможности снизить вероятность и силу воздействия), а также план действий на случай реализации данных рисков. Последнее необходимо для того, чтобы максимально воспользоваться динамикой нарастания негативных последствий риска (попросту, план того, что можно сделать, пока последствия реализации риска не достигли максимального эффекта). Во-вторых, крупные риски при конвертации могут привести к формированию громоздкой и сложной для понимания программы аудита. Также не исключено, что с первого раза не удастся выявить все существенные факторы риска и установить правильные причинно-следственные связи. Поэтому наилучшей стратегией работы с крупными рисками является их разбиение (декомпозиция) на более мелкие риски, которые более подходят для конвертирования в программы аудита.

Конвертирование рисков в программу аудита. В классическом варианте выбор рисков для конвертирования осуществляется на основании анализа карты рисков компании. Варианты выбора могут быть самыми разнообразными. Понятно, что есть определенное тяготение к выбору наиболее существенных рисков. Однако могут быть выбраны и менее существенные риски, например, потому, что их быстрее и проще устранить.

Конвертация может выполняться двумя основными способами.

Способ 1. Определение приоритетного процесса (владелец данного процесса является одновременно владельцем выбранного риска). Применение этого способа предполагает, что исходный риск либо является точечным, либо представляет собой результат декомпозиции более крупного взаимосвязанного риска. Важно, чтобы в исходной карте, во-первых, каждый риск определялся как точечный, либо укрупненный, во-вторых, для точечных рисков указывались владельцы, в-третьих, право провести декомпозицию и определить владельцев риска предоставлялось ПВА.

Чаще всего имеет смысл согласовывать результаты декомпозиции и определения владельцев рисков с такими владельцами. Это повышает позитивное отношение к работе ПВА.

Способ 2. Определение кластера приоритетных процессов (владелец риска не может быть определен на этапе конвертации). Правильность определения приоритетных процессов зависит от осведомленности компании о существенных нюансах конкретного риска. Это может показаться странным, но многие компании имеют слабое представление о ключевых факторах как минимум части своих рисков. К тому же такое знание весьма неоднородно внутри компании - всегда есть кто-то, кто более полно представляет ситуацию, чем остальные. Как результат в большинстве случаев карты состоят из укрупненных рисков, не говоря уже про отсутствие причинно-следственной связи в наименовании или описании риска. Оптимальной была бы полная декомпозиция, однако она либо требует слишком много времени (особенно при необходимости согласовывать результаты), либо невозможна по ряду причин (например, владелец процесса не согласен с привязкой конкретного риска к своему процессу), включая фундаментальную причину, указанную выше. В такой ситуации у ПВА нет другого выхода, кроме привязки конкретного риска к кластеру процессов вместо одного процесса. Таким образом, использование способа 2 порой может быть вынужденной мерой.

С технической точки зрения основные сложности при конвертации возникают в трех наиболее типичных ситуациях.

Ситуация 1. Карта сформирована с использованием укрупненных рисков. При работе с такого рода рисками необходимо учитывать ряд нюансов.

Нюанс 1. Степень, так сказать, укрупненности рисков во многих случаях неравнозначна. Возьмем для примера два риска: «риск кассовых разрывов» и «риск недостаточного качества». Оба риска являются укрупненными, т. е. могут быть разбиты на взаимосвязанные риски меньшей существенности. В случае с риском кассовых разрывов разбивка даст от силы три-четыре риска второго уровня (нарушение графика оплаты дебиторской задолженности, отказ в выдаче кредита, возникновение срочных платежей) и шесть–восемь рисков третьего уровня. При разбивке риска недостаточного качества получается не менее пяти-шести рисков второго уровня (нарушение требований техпроцессов, ошибка при исполнении техпроцесса, снижение качества исходных компонентов, использование устаревшего оборудования, недостаточное количество сотрудников, обслуживающих техпроцесс) и 10–12 рисков третьего уровня.

Нюанс 2. Если разбить любой укрупненный риск на риски более низкого уровня, то существенность таких рисков будет неравнозначна. Другими словами, один или несколько факторов риска более остальных влияют на существенность вышестоящего риска. Основным следствием данной ситуации является то, что разные укрупненные риски будут конвертироваться в разные по трудоемкости программы аудита. При этом чем меньше возможностей для декомпозиции, тем сложнее сопоставить риски по трудоемкости программ аудита, созданных на их основе. Однако неравнозначность рисков дает возможность пренебречь некоторыми из них и за счет этого минимизировать трудоемкость программы аудита.

Нюанс 3. При разбивке нескольких укрупненных рисков возрастает вероятность того, что некоторые факторы риска будут общими. Например, такой фактор риска, как использование устаревшего оборудования, может провоцировать как риск недостаточного качества, так и риск аварий. Данное обстоятельство указывает на то, что вся совокупность рисков компании имеет трехмерную структуру с линейными и нелинейными взаимосвязями.

Нюанс 4. При проведении декомпозиции и особенно при представлении результатов декомпозиции имеет смысл максимально использовать графическое представление информации. Хорошим подспорьем может служить такой инструмент, как диаграмма Ишикавы (рис. 3).Как видно из приведенного примера, диаграмма Ишикавы позволяет как минимум отобразить риски четырех уровней (включая исходный риск).

Ситуация 2. Карта сформирована с использованием рисков без причинно-следственной связи. Все укрупненные риски являются рисками без причинно-следственной связи, однако не все риски без причинно-следственной связи являются укрупненными. Основной задачей при работе с такими рисками является установление причинно-следственной связи. Риски без такой связи просто непригодны как для формирования подхода к управлению ими, так и для конвертирования в программу аудита. Наиболее простой способ установления причинно-следственной связи заключается в проведении дополнительных интервью с автором риска (лицом, сформулировавшим риск). Как вариант, ПВА также может предложить свой вариант декомпозиции риска в качестве базового варианта для обсуждения.

Рис. 2. Пример диаграммы Ишикавы

Ситуация 3. Карта сформирована с использованием рисков, формулировка которых не отражает их суть. Отчасти забавная ситуация, которая, однако, периодически встречается на практике. Попросту говоря, вы читаете наименование риска и думаете об одном, а автор данного риска подразумевал совсем другое. Ключевая задача в такой ситуации состоит в уточнении формулировки риска. Пример приведен в табл. 5.

Таблица 5. Пример уточнения формулировки риска в зависимости от его сути

Как видно из приведенной таблицы, алгоритм изменения формулировки риска начинается с определения процесса и цели процесса, на который риск предположительно оказывает влияние. Определение процесса необходимо для того, чтобы определить цель процесса. Зная цель процесса, можно определить риски, реализация которых негативно отразится на достижении цели процесса. Итак, мы получили на выходе два варианта риска - риск пропуска встречи вследствие опоздания на поезд (управляемый риск) и риск пропуска встречи из-за неблагоприятных погодных условий, препятствующих движению поезда (неуправляемый риск). Возможно, оба этих риска актуальны. Таким образом, уточняя формулировку, можно получить на выходе более одного риска, т. е. произвести определенную декомпозицию. Обратите внимание также на правильность формулировок обоих рисков - в них обозначена причинно-следственная связь.

В завершение раздела, посвященного процессу конвертирования, рассмотрим практический пример использования способа 2 (кластеры процессов) на одном из крупных производственных предприятий.

На этапе формирования годового плана проектов внутреннего аудита выполнялась процедура идентификации и оценки рисков (основной метод - опрос экспертов). В результате была сформирована карта рисков. Она получилась не очень удобной для формирования программ аудита, так как практически полностью состояла из укрупненных рисков. Поскольку на данную процедуру ушло немало времени (процедура проводилась в компании впервые), было принято решение использовать укрупненные риски. Из карты рисков выбрали три самых существенных риска. Одним из них был риск невыполнения плана производства. При проведении первого аудита (на этапе планирования) на одном из предприятий компании для этого риска сформировали кластер соответствующих процессов (рис. 3). Кластер был получен на основании интервью с владельцами ключевых процессов (необходимые согласования были проведены).

Рис. 3. Пример позиционирования риска в кластере процессов
Кликните мышкой по изображений для его увеличения

Пробежимся по структуре схемы. В центре расположен процесс «Производство» и основные взаимодействующие с ним процессы: процессы «Хранение», «Подача сырья», «Складирование готовой продукции» и «Погрузка в вагоны и взвешивание». Также на процесс «Производство» влияют риски других процессов: «Закупки», «Планирование», «ТОиР» и «Логистика». Черным маркером выделены те процессы, риски которых оказывают наиболее существенное влияние на реализацию риска невыполнения плана производства, а именно:

    процесс «Закупки» - риск несвоевременной закупки сырья (вследствие изменения динамики производства и отсутствия запасов у поставщика);

  • процесс «ТОиР» - риск увеличения времени ремонта вследствие внеплановых поломок;
  • процесс «Производство» - риск несоблюдения требований техпроцесса по причине ошибки работника;
  • процесс «Складирование готовой продукции» - риск несоблюдения условий хранения по причине несвоевременной подготовки складских помещений;
  • процесс «Логистика» - риск несвоевременной отгрузки продукции (вследствие изменений позиции покупателя, недостатка вагонов, изменения маршрута транспортировки).

Таким образом, план аудита предусматривал аудит пяти процессов (процессы, отмеченные серым маркером, и неотмеченные процессы в тематику аудита не попали вследствие ограниченности ресурсов ПВА и незначительного совокупного влияния на реализацию основного риска). В ходе аудита уточнялась степень воздействия вышеуказанных рисков на основной риск (выяснилось, что значимость рисков процессов «Производство» и «Складирование готовой продукции» преувеличена), а также выявлялись дополнительные факторы основного риска (например, было установлено, что в данные систем ЦОСАДУ и АСУТП можно было вносить нерегламентированные изменения). Для справки: ЦОСАДУ расшифровывается как центральная оперативная система автоматизированного диспетчерского управления, а АСУТП - автоматизированная система управления технологическим процессом. По результатам аудита был разработан план мероприятий, направленный, в том числе, на минимизацию как изначально определенных, так и выявленных в процессе аудита рисков.

Рекомендации по выбору подхода к проведению проектов внутреннего аудита

Возможно, ряд внутренних аудиторов со скепсисом воспримут идею и технологию риск-ориентированного подхода. Отчасти они правы. Однако они правы только в том, что многие российские предприятия пока не оперируют в своей повседневной деятельности понятиями «процесс» и «риск». Это усложняет задачу ПВА по внедрению риск-ориентированного подхода, но потенциальный эффект от внедрения с лихвой покроет все трудозатраты. Основные преимущества использования риск-ориентированного подхода заключаются в следующем:

  • концентрация на наиболее существенных проблемах, препятствующих успешной работе компании;
  • формирование целевых мероприятий по минимизации негативного влияния факторов рисков;
  • стимулирование профессионального развития внутренних аудиторов.

Данные преимущества усиливаются при переходе от упрощенного подхода к продвинутому риск-ориентированному подходу к аудиту. Однако даже упрощенный подход дает намного более впечатляющие результаты, чем подходы, не основанные на анализе и оценке рисков.

В реальных условиях приведенные далее формулировки целей процессов стоит уточнить с применением принципов SMART, так как они не совсем однозначны. Например, фразу «своевременная реализация продукции…» лучше заменить фразой «реализация продукции не позднее 30 дней со дня выпуска». В данном случае цели процессов нам нужны только для демонстрации подходов к определению владельцев рисков.

Риск-менеджмент в том виде, в котором он продвигается сейчас в нашей стране, изначально был взят на вооружение западными компаниями. Поэтому практически вся терминология является переводной. И именно поэтому существуют вариации перевода тех или иных терминов. В английском языке термину «сила воздействия » соответствует термин impact, который является более емким (хотя бы потому, что использовано одно слово вместо двух). Однако с точки зрения русского языка прямой перевод выглядит немного коряво.

Незначительное влияние на систему может иметь большие и непредсказуемые эффекты где-нибудь в другом месте и в другое время. Термин введен Эдвардом Нортоном Лоренцем.

На производственных предприятиях, имеющих правильную организационную структуру, служба главного технолога не подчиняется дирекции по производству.

Одним из основных и доступных методов управления рисками для многих предпринимателей, даже не являющихся специалистами в области рискологии, является построение карты рисков. Предприниматели могут пользоваться этим методом управления рисками в случаях стратегического планирования своего бизнеса, новых инвестиционных проектов и т.д. Ведь бывает так, что при планировании нового бизнеса у предпринимателя имеется множество вариантов решений и прогнозов, и не оценивать риск, связанный с реализацией этих решений, просто нецелесообразно. Но дело в том, что эта оценка риска с помощью построения карты рисков достаточно грубая и приблизительная.

Метод построения карты рисков позволяет достаточно быстро и сжато оценить риски, возможные при реализации управленческих решений предпринимателя.

Карта рисков - это отображение основного числа рисков компании с помощью построения графиков и их описания. По горизонтальной оси карты рисков отображается сила воздействия, т.е. значимость риска, а по вертикальной оси принято отмечать риски с точки зрения частоты их возникновения, или, другими словами, вероятность риска Недосекин А.О., Максимов О.Б. Комплексная оценка финансового состояния предприятия на основе нечетко_множественного подхода // www.vmgroup.ru

Можно построить разнообразные карты риска с разным набором показателей. На рисунке 5 изображен один из вариантов построения карты рисков.

Здесь по вертикальной оси отображается вероятность, или частота, возникновения риска, а по горизонтальной - значимость, или сила воздействия, данного риска.

Рис. 5.

Перед построением такой карты рисков сначала специалист классифицирует оцениваемые риски по нескольким категориям значимости. На рисунке эти категории показаны римскими цифрами от I до IV. Затем тот же специалист определяет категории вероятностей возникновения рисков. На рисунке категории вероятности возникновения обозначены латинскими буквами. Арабскими цифрами от 1 до 10 обозначаются риски, классифицированные по различным категориям вероятности и значимости. Команда, которая занимается построением карты рисков, должна выявить все возможные риски компании, которые являются потенциальными при данной стратегии развития компании. Далее командой составляется письменное описание полученных сценариев. Важным для описания каждого сценария является определение объекта риска или «уязвимость компании», факторов риска или «триггерного механизма», величины возможных потерь или «последствий риска». Следующим шагом для команды является определение ранга каждого сценария. Ранжирование производится в терминах «вероятность» и «воздействие». Полученные данные сводятся для удобства в таблицу (табл. 3), а затем значения «вероятности» и «значимости» переносятся на карту рисков. Таким образом выстраивается график сочетаний вероятности возникновения и значимости каждого риска, причем важно, чтобы каждому сочетанию соответствовал один вид риска. На карту наносится жирная ломаная линия, которая представляет собой границу терпимости к риску. Данная граница берет начало из верхнего левого угла от значения вероятности А и прокладывается по средним значениям по направлению в нижний правый угол карты. Она отделяет риски, которые в настоящий момент времени можно считать терпимыми, от тех, которым прямо сейчас необходимо уделить большое внимание и взять их под строгий контроль. Специалист выявляет критические риски, которые находятся выше границы терпимости и считаются для компании непереносимыми. До принятия верного стратегического решения специалист должен принять меры по их снижению или передаче другим лицам. А риски, находящиеся ниже границы терпимости, являются управляемыми.

Все эти расчеты, оценку и анализ выявленных рисков, а также построение графика терпимости можно сделать своими собственными силами. Но, несмотря на видимую простоту метода, процедуре осуществления построения карты рисков предшествует огромная проделанная работа специалистов по количественной оценке рисков, их формализации. Помимо количественного анализа, специалисты должны проделать огромную работу, чтобы выстроить цепочку вероятностей.

Основной задачей, решаемой с помощью построения карты рисков, является сокращение циклов и времени принятия решений. Сам процесс картографирования рисков - это применение всей компанией методологии, которая позволила бы ей выделить риски, расположить их по приоритетам и количественно оценить, разбив их при этом на классы. Часто компания, имеющая достаточную финансовую возможность, не занимается управлением рисков самостоятельно, а прибегает к помощи консультантов или специалистов.

Консультанты применяют различные методы при построении карты рисков. Это интервью, разного рода анкеты и опросники формального и неформального характера, исследования отрасли, анализ документооборота компании и др. Когда мы говорим о финансовых рисках компании, а именно об их оценке, то здесь невозможно обойтись без анализа финансовой отчетности компании. Здесь целесообразнее будет использование количественных методов оценки и анализа данных. Если же компания имеет какие_либо характерные особенности по виду деятельности или своему формату, то в данном случае эти особенности необходимо учитывать при осуществлении консультантами анализа рисков этой компании.

Далее мы опишем процесс самостоятельного построения карты риска любой компанией с целью выявления критических рисков, угрожающих существованию организации. Этот процесс состоит из нескольких этапов, каждый из которых имеет свои особые характеристики.

  • 1. Первичное обучение. Для анализа рисков и их оценки недостаточно иметь поверхностные навыки, необходимо, чтобы хотя бы несколько работников финансового отдела прошли формальное обучение по специальности «Риск_менеджмент». Даже если не все финансовые работники, занимающиеся вопросами исследования рисков, пройдут это обучение, а только некоторые из них, это уже принесет пользу. Обученные специалисты будут направлять команду в нужное русло и руководить процессом составления карты рисков. Можно провести лишь предварительное обучение, которое займет от трех до пяти дней. Но практика показала, что наиболее эффективными для усвоения являются установочные курсы или семинары по риск_менеджменту продолжительностью около трех дней. Предварительная установка в виде обучения сотрудников основам риск_менеджмента вообще и процесса картографирования в частности имеет своей целью обучение рядового финансового сотрудника для его повышения до уровня менеджера картографирования, который будет ориентировать команду на верную цель. Если же просто обученных нескольких менеджеров будет недостаточно, то компания может воспользоваться помощью экспертов в этой области, которые могут быть введены в команду на время осуществления картографирования. Естественно, что, чем больше хорошо обученных специалистов работают в компании, тем эффективнее ее деятельность и сильнее команда. Важно помнить, что не стоит доверять работу в этой области дилетантам. Лучше обратиться к специалистам или обучить своих сотрудников.
  • 2. Границы анализа. Первым этапом построения карты рисков компании всегда является определение области и границы предстоящего анализа. Под границами анализа принято понимать те стратегические решения, которые в состоянии охватить карта рисков. Это делается путем полного обследования организации. Границы анализа могут быть как широкими, так и достаточно узкими. Это зависит от желания самой организации. Установление границ анализа равнозначно идентификации рисков, установлению приоритетов и пониманию рисков, способных препятствовать достижению корпоративных целей компании. Несмотря на то что размер границ регулирует сама компания, должен соблюдаться баланс между широтой границ, объемом и ценностью информации, которую ожидается получить по результатам процесса составления карты рисков. Например, может быть так, что составление карты рисков для всей организации в целом может оказаться не столь ценным, как составление нескольких карт рисков отдельно по видам деятельности или для каждого отдельного бизнес_подразделения. Вероятна и обратная ситуация. Важно, чтобы сначала команда специалистов определилась с целями, доступностью и стоимостью информации, а потом уже устанавливала границы анализа для картографирования.
  • 3. Состав команды. Важнейший шаг в процессе картографирования - это отбор команды для его осуществления. От правильно подобранных специалистов зависят успех и благополучное завершение проекта картографирования. Если компания прибегает к помощи сторонних консультантов в области анализа и оценки риска, то в этом случае рабочая группа включает топ_менеджеров компании, т.е. высококлассных специалистов, обладающих большим опытом и знаниями в области риска, способных проводить экспертную оценку. Если же организация прибегает к использованию только своих собственных сил, то в таком случае рабочая группа включает в себя команду, направляемую прошедшими обучение сотрудниками, т.е. «коллективный разум», ориентируемый несколькими специалистами. Как показала практика, наиболее эффективной и слаженной оказывается работа в составе от шести до десяти человек. Такой этап при составлении карты рисков, как отбор состава команды, должен непременно следовать за этапом определения границ анализа, а не наоборот. Ведь важно определить, каков спектр затрагиваемых риском подразделений, и уже исходя из этого привлечь работников, специализирующихся в этих подразделениях. Чаще всего в составлении карты рисков принимают участие те работники, которые имеют полномочия в принятии стратегических решений. Это и администраторы, и руководители финансовых, казначейских и юридических подразделений, а также таковыми могут являться руководители отделов стратегического планирования, если они имеются в компании. В картографировании на некоторых предприятиях еще принимают участие руководители контрольных отделов и отделов информационных и компьютерных технологий. В том случае, если среди подразделений компании есть отдел риск_менеджмента, его руководитель также включается в рабочую группу. Если же необходимым является составление карты рисков для отдельного подразделения компании или конкретной операционной бизнес_единицы, то тогда состав команды будет складываться из менеджеров и руководителя этого подразделения.
  • 4. Сценарный анализ и ранжирование. На данном этапе «коллективным разумом» компании осуществляется «мозговой штурм», связанный с определением всех потенциально возможных рисков, угрожающих деятельности организации при данной выбранной стратегии, и возможности появления этих рисковых событий. В результате выявления этих рисков, их идентификации проводится обсуждение полученных результатов о существовании рисков и сценариев их появления. Далее команда стремится к достижению консенсуса по всем намеченным вопросам: готовится письменное описание всех видов рисков и сценариев их появления. В каждом сценарии важными являются три характеристики. Это объект риска (уязвимость компании), факторы риска (триггерный механизм) и величина возможных потерь (последствия). Объект риска представляет собой ценность компании, которая постоянно подвергается потенциальным угрозам. Под триггерным механизмом подразумеваются факторы риска, вызывающие негативные последствия для объектов риска. Последствия представляют собой величину потерь, вызванных уязвимостью объекта риска и природой факторов риска. На данном этапе может быть такая ситуация, когда целесообразно было бы объединять в один сценарий с виду непохожие сценарии и различные факторы риска, приводящие к одинаковым последствиям. Также важно определить необходимость объединений множества мелких рисков в более крупные группы и то, на каких основаниях возможно это объединение. После того как рабочей группой определено некое конкретное число сценариев, достигнут консенсус по их содержанию, команда может приступать к ранжированию сценариев по методу «воздействие - вероятность». Важно определить количественные или качественные характеристики ранжирования. Примером качественного ранжирования можно представить разделение возможного риска на катастрофический, критический, существенный и граничный. Как показано на рисунке 5, можно ранжировать риски по вероятности их возникновения. Так, существуют шесть рангов вероятности, определенных в качественном выражении от «почти невозможно» до «почти точно произойдет». Можно также определить ранги вероятности и значимости рисков количественно, но это кропотливый метод, требующий большого количества времени на анализ. Результаты проведенного сценарного анализа и ранжирования представляют в виде таблицы. Таблица обычно имеет следующий вид (табл. 3).

Таблица 3 Зинкевич В.А., Черкашенко В.Н. Карта рисков - эффективный инструмент управления // www.consult.ru


Торговая компания «Крокус» занимается реализацией бытовой химии. Руководством компании было принято решение расширить ассортимент своей продукции, добавив в него некоторые парфюмерные изделия. Была собрана команда специалистов, которым было поручено разработать для этого проекта карту рисков. В данном случае были определены основные объекты данного проекта. Ими являются: прибыль от торговли парфюмерией, общая прибыль компании, увеличение торговых площадей, рекламная кампания и кампания по продвижению товара, маркетинговые исследования, увеличение штата работников, связанное с принятием на работу специалистов по парфюмерной продукции, увеличение расходов на заработную плату работникам и т.д. Далее экспертами были выявлены все возможные факторы риска, причем у одного объекта может быть несколько «триггерных» механизмов. Затем определяются возможные последствия, которым подвергнется организация, если данные риски все же настигнут ее. Все эти данные вносят в таблицу 4.

Таблица 4


Категории риска, или значимость, определяют как: I - катастрофический, II - критический, III - существенный, IV - граничный. А вероятность потерь обозначают так: A - точно произойдет, B - почти точно произойдет, C - не обязательно произойдет, D - возможно, E - почти невозможно, F - невозможно.

По полученным данным составляется карта рисков (рис. 5), на которой прокладывается ломаная линия - граница терпимости.

  • 5. Определение границы толерантности к риску. Как показано на рисунке 5, жирная ломаная линия - граница терпимости - отделяет риски, которые в данный момент являются терпимыми для компании, от тех, которые должны быть немедленно рассмотрены и по которым должны быть приняты меры по их снижению, отказу от них или передаче этих рисков третьим лицам. Выше и правее границы терпимости находятся те виды рисков, которые требуют постоянного контроля и особого внимания со стороны управления, они считаются невыносимыми. Те виды рисков, которые находятся ниже и левее этой границы, являются в данный момент терпимыми, но это совсем не означает, что ими нужно пренебрегать, просто в данный момент они не требуют управления. Проводя классификацию рисков по их значимости, можно уже приблизительно прочертить границу толерантности и примерно определить величину возможных потерь от каждого вида риска.
  • 6. Составление карты риска. Заключительным шагом в данном процессе картографирования является нанесение полученных и имеющихся данных на карту. Риски наносятся на карту на основании их ранга воздействия и ранга вероятности. Здесь рассматривается классификация риска только по двум параметрам - воздействие и вероятность. Но классификаторов может быть и больше. В таком случае качественными методами не обойтись, нужно прибегать к математическим методикам. После составления карты риска важным является то, чтобы принять все возможные меры, чтобы риски из верхней зоны нетерпимых рисков перешли в нижнюю. Для этого необходимо разработать план действий для уменьшения величины и вероятности возможных потерь от негативных последствий риска (табл. 5). Это прежде всего разработка целевых показателей, определение даты достижения целевых результатов, а также назначение ответственных за проведение данных мероприятий. Цель плана в данном случае одна - найти возможности перенести некоторые нетерпимые риски в терпимую зону. И самое важное при этом - оценить и сопоставить затраты на это перемещение и выгоду от него. Также необходимо учитывать, что значительное снижение уровня риска для компании может привести к значительному снижению уровня доходности.

Таблица 5 Зинкевич В.А., Черкашенко В.Н. Карта рисков - эффективный инструмент управления // www.consult.ru


Можно сказать, что после завершения составления карты риска процесс управления рисками только начинается. Причем карта риска считается «живым организмом». Она развивается и изменяется с развитием и изменением бизнеса. Появляются новые риски и новые возможности, старые риски теряют свою актуальность и становятся малозначимыми для бизнеса относительно некоторых новых рисков. И все эти изменения должны постоянно вноситься в карту риска компании. Она не составляется на всю жизнь, срок ее действия - определенный период, после которого она требует корректировки и уточнения. Вне зависимости от того, на какой период приблизительно составлялась карта рисков (год, сезон и т.д.), при появлении любых новых событий, способных оказать влияние на объекты риска компании, следует немедленно принимать меры по оценке, анализу этих событий и нанесению на карту новых рисков.

В своей консалтинговой практике я работаю со многими генеральными и коммерческими директорами, руководителями отделов продаж и менеджерами. Целый ряд успешных руководителей использует в своей работе ментальные карты, или интеллект-карты (mindmap), для решения повседневных бизнес-задач: прописывания скриптов продаж, инструкций для персонала, планирования продаж и производства, анализа конкурентов, создания чек-листов, регламентов проведения планерок и совещаний, SWOT-анализа, описания бизнес-процессов, организационных структур, функциональных моделей и прочее. Обо всех этих производственных механизмах рассказывается на страницах этой книги.

Здесь вы найдете практические примеры решения бизнес-задач при использовании интеллект-карт. Внедрив и разработав эти решения под свой бизнес, вы сможете подняться на более высокую ступень организации своей коммерческой деятельности, увеличить продажи, настроить работу с персоналом, оптимизировать и регламентировать бизнес-процессы.

Книга будет полезна как людям, давно и активно использующим в своей практике интеллект-карты, так и новичкам для выведения бизнеса на качественно новый уровень.

Книга:

Опыт компаний, с которыми я сотрудничаю, показывает, что для достижения стабильного и процветающего бизнеса, независимо от его масштабов и специфики, необходимо уметь управлять рисками. Риск-менеджмент – это раздел менеджмента, который этому и посвящен. Он позволяет принимать управленческие решения, максимально исключающие неблагоприятные результаты. Сам по себе риск – это оценка вероятности возникновения фактора/обстоятельства, которые повлияют на планы компании и станут препятствием на пути к достижению намеченных целей.

Почему важно контролировать риски?

Система управления рисками стремится к минимизации потерь компании от неучтенных вовремя обстоятельств. Поэтому данный раздел должен включаться в бизнес-планы и 12-недельное планирование целей бизнеса. Риск-менеджмент выявляет сами факторы риска и причины их появления, корректирует решения и планы компании, прорабатывает защищающие от риска стратегии и ставит конечной целью – максимальное снижение влияния неблагоприятных факторов с целью достижения компанией намеченных. С его помощью бизнес может принимать более обоснованные и корректные решения, что улучшает его финансовое положение.

Управлять рисками – это значит выявлять возможные отклонения запланированных и действительных результатов, осуществлять контроль над данными несоответствиями, исключать негативные последствия, вызванные ими, и использовать их для своих выгод. Риск-менеджмент позволяет правильно выбрать вектор дальнейшего развития и гарантирует результативность плана.

Как правило, если в компании и используется система управления рисками, то довольно неграмотно. Например, риски рассматривает только отдельный отдел в компании не в разрезе всего бизнеса, а лишь в части задач, которые необходимо достичь этому конкретному отделу. Кроме того, чаще всего управления рисками осуществляется эпизодически, т. е. по необходимости, в то время как это должно осуществляться системно. Управление рисками – сложный процесс, так как требует опережающего мышления, но возможный. Следует уделить внимание команде, которая будет осуществлять оценку рисков. В ней должны быть четко распределены полномочия и ответственность. Действия должны быть слаженными, так как качество оценки рисков во многом определяется эффективностью взаимодействия в команде.

Анализ рисков следует проводить на всех уровнях принятия наиболее важных управленческих решений, что требует включить его во все бизнес-процессы. Особенно недопустимо осуществлять без учета потенциальных рисков стратегическое планирование, вести управление проектами, формировать бюджет.

Процесс управления рисками включает несколько этапов:

1. Выявление риска , оценка вероятности его возникновения, оценка степени его влияния на ваши планы. То есть из всей совокупности возможных опасностей вам необходимо управлять только теми, которые могут повлиять именно на ваш бизнес. Кроме того, риск все же подразумевает негативное влияние. Обнаружить их можно с помощью экспертного мнения, информированности о геополитической обстановке, маркетинговых исследований, анализа рынка труда и т. д.

2. Выбор методов снижения нежелательных последствий от воздействия выявленного риска. То есть вам необходимо продумать стратегию поведения, направленную на устранение потенциального риска.

3. Реализация выбранной стратегии .

Национальный стандарт по риск-менеджменту, ГОСТ Р ИСО/МЭК 31010-2011, содержит не один десяток способов оценки рисков, среди которых, в том числе, мозговой штурм.

Однако можно избежать чтения стандартизированных текстов и использовать те методы, которые доказали результативность на практике.

Перед анализом рисков я предлагаю вам упрощенный инструмент, который позволит понять, какие опасности наиболее вероятны и какие из них требуют первоочередной проработки, так как наиболее опасны.

Делать это можно, конечно, в формате ментальной карты.

1. Ядро ментальной карты – это риск-менеджмент конкретного проекта/цели.


Рис. 45. Ядро ментальной карты при оценке опасности риска – проект

2. Первый уровень сформируют все потенциальные риски, которые могут оказать негативное влияние на ваш проект. Они располагаются от ядра интеллект карты радиально по часовой стрелке.

Например, для достижения поставленной цели вам необходим высококвалифицированный персонал. Однако вы знаете, что рынок труда региона, в котором вы работаете, не располагает такими кадрами.

Или поставщики проинформировали вас, что в связи с изменениями в направленности внешней политики государства могут возникнуть сложности с поставками.

Все выявленные риски вы фиксируете на первом уровне ментальной карты.


Рис. 46. Ментальная карта при оценке опасности риска – потенциальные риски (уровень 1)

3. Выявив риски, вам необходимо их оценить по двум критериям: вероятность возникновения и степень влияния на ваши цели. Для этого достаточно трехбалльной шкалы. Например, в уровне 1 вы выявили такой риск, как нехватка кадров достаточной квалификации. Однако вы решили, что их можно привлечь из другого региона. Но в связи с расходами на их проживание вы не сможете набрать планируемое изначально количество человек. То есть риск достаточно опасен. В примере ниже вероятность его возникновения оценена в 2 балла, а степень влияния – в 3 балла.

По второму риску, задержка поставок, поставщики сообщили, что в связи с изменениями в направленности внешней политики государства могут возникнуть сложности с поставками. Однако у вас есть контракт с другими, которые являются внутренними и не зависят от внешних поставок. И объема поставок от них вам будет достаточно для проекта. Поэтому вероятность возникновения такой опасности, как задержка поставок, минимальна и оценена в 1 балл. Тем не менее, если это произойдет, то проект будет заморожен. Поэтому влияние этого риска оценено максимальным баллом – 3.

Эти критерии вероятность возникновения риска и степень его влияния на проект – и их балльное выражение образуют уровень 2 ментальной карты при оценке опасности риска.

Рис. 47. Ментальная карта при оценке опасности риска – критерии опасности риска (уровень 2)

4. В следующем шаге вам необходимы баллы двух критериев отдельно по каждому риску. И результат вынести отдельным блоком. Например, опасность риска «задержка поставок» оценена в 3 балла. При максимуме 9 баллов, это показатель ниже среднего, т. е. вероятность, но не столь очевидная. Опасность риска «недостаток кадров» оценена в 6 баллов, т. е. с высокой вероятностью. Поэтому, выбирая между двумя приведенными в примере рисками, особое внимание необходимо уделить кадрам и проработать стратегический план по ликвидации данной сложности.


Программа Mind Manager предлагает проработанный и удобный шаблон для проведения риск-менеджмента.

Заключительный шаг в построении карты - размещение рисков на карту рисков на основании рангов их воздействия и ранга вероятности. Каждый риск рабочая группа размещает в соответствующую ячейку.

Далее команда определяет границу толерантности к риску. На карте определяют те риски, которые требуют постоянного контроля. Те угрозы, которые находятся ниже границы, в настоящее время считаются приемлемыми, но это вовсе не означает, что ими вовсе не нужно управлять.

Если участники проекта обладают низким уровнем терпимости, то потребуется разработать тщательное планирование по управлению рисками. И наоборот, высокая терпимость значительно упрощает планирование рисками.

1.3.1 Управление рисками

Под управлением рисками в деятельности предприятия будем понимать совокупность аналитических, организационно-экономических, финансовых мероприятий, направленных на своевременное выявление, оценку, предупреждение, контроль событий часто случайного и непредсказуемого свойства и минимизацию последствий для предприятия. Смирнова Е. Производственный риск: сущность и управление // Управление риском, 2001, N 2.

Выделяют два уровня управления рисками.

Целью первого уровня является сохранение устойчивого развития предприятия. Второго - удержание уровня риска в приемлемых для данного предприятия границах.

Одной из основных задач системы управления рисками в организации является повышение финансовой устойчивости (т.к. основная опасность финансовых рисков заключается в неустойчивости денежных потоков во времени) и совершенствование механизмов управления.

Существует множество подходов к содержанию процесса управления риском. (Таблица 7).

Источник

1. Выявление предполагаемого риска 2. Оценка риска 3. Выбор методов управления риском 4. Применение выбранных методов 5. Оценка результатов

Лапуста М.Г., Шаршукова Л.Г. Риски в предпринимательской деятельности. - М.: ИНФА-М, 1998. С.102

1. Определение цели 2. Выяснение риска 3. Оценка риска 4. Выбор методов управления риском 5. Осуществление этих методов 6. Оценка результатов

Сердюкова И.Д. Методы анализа финансовых рисков // Бухгалтерский учет, 1996, N 6. С.54

1. Выработка цели риска 2. Определение вероятности наступления события 3. Выяснение степени и величины риска 4. Анализ окружающей обстановки 5. Выбор стратегии управления риском 6. Выбор необходимых для данной стратегии приемов управления риском и способов его минимизации 7. Осуществление целенаправленного воздействия на риск

Балабанов И.Т. Риск-менеджмент. - М.:

Финансы и Статистика, 1996. С.46

1. Идентификация (установление) риска 2. Оценка риска 3. Предотвращение (контролирование) риска 4. Финансирование риска

Смирнов В.В. Страховая защита от рисков при реализации продукции по договорам купли-продажи по базисам поставки - М.: Издательский центр "Анкил", 1997. С.50

1. Выявление и классификация основных видов риска 2. Расчет адекватной и легко интерпретируемой количественной меры риска 3. Принятие решения об уменьшении или увеличении выявленных рисков 4. Разработка и реализация процедур контроля над рисками текущих позиций

Лобанов А., Филин С., Чугунов А.

Риск-менеджмент // Риск, 1999, N 4.

Каждое предприятие заинтересовано в повышении стоимости бизнеса, что может обеспечить система риск-менеджмента. Она позволяет эффективно управлять будущими событиями, которые находятся в состоянии неопределенности, а также снижать возможность появления негативных событий, способствующих снижению денежного потока.

Каржаев А.Т. выделяет следующие этапы управления рисками инновационной деятельности: Каржаев А.Т. Инновационные риски венчурного капитала и управление ими. М.: Экономика, 2003.С. 28.

§ анализ неопределенности;

§ идентификация и классификация рисков;

§ создание реестра потенциально возможных, нежелательно возможных, нежелательных вариантов итогов;

§ анализ развития рисковых событий и количественная оценка рисков;

§ выбор показателей и математической модели общего инновационного риска венчурного капитала (проекта);

§ выработка стратегии управления инновационными рисками;

§ мониторинг инновационного процесса, венчурного цикла и принятие решений по управлению рисками, по предупреждению и ликвидации негативного воздействия рисков.

Система управления рисками представляет собой сложный механизм, состоящий из двух подсистем: управляемой подсистемы (объекта управления) и управляющей (субъекта управления).

Рис.3. Система управления рисками

Организация риск-менеджмента представляет собой систему мер, направленных на эффективное сочетание всех его элементов в единой технологии процесса управления риском. В зависимости от размера бизнеса меняется отношение к риск-менеджменту в компании. Интуитивное управление рисками обычно характерно для малого бизнеса, где должность риск-менеджера просто не предусмотрена. Ответственность за риски компании часто берет на себя генеральный директор, что не может не сказаться отрицательно на финансовых результатах. При таком подходе работники боятся обозначить возможные или реально существующие проблемы. Из-за страха перед руководством многие ситуации, а также их последствия не выявляются вовремя, а иногда и вовсе скрываются.

Рис.4. Подходы к управлению рисками в зависимости от размера бизнеса

Это свидетельствует о том, что управление рисками следует рассматривать не как единовременное действие, а как систему целенаправленных действий, которые образуют единый механизм управления рисками.

Для крупного и среднего бизнеса необходимо создать департамент/отдел по управлению рисками - специальное подразделение, которое будет отслеживать, идентифицировать и контролировать уровень рисков. Это поможет компании своевременно реагировать на изменение внешней среды и достичь успеха при выводе на рынок нового продукта.

На департамент по управлению рисками возлагаются как общая методологическая работа по разработке принципов и методов оценки рисков, так и практическая работа по устранению лимитов рисков и контроль за их соблюдением. Департамент проводит идентификацию рисков, составляет карту рисков и представляет руководству рекомендации по их минимизации. К обязанностям департамента, также, можно отнести анализ рыночной позиции, клиентской базы, контрагентов организации. Процесс управления рисками ему следует соотносить с созданием стоимости компании. Для оперативного управления рисками портфеля компании необходимо увязывать риски с ключевыми показателями деятельности предприятия.

Департамент по управлению рисками должен быть структурно независимым от финансового и операционного отделов в связи с возможностью возникновения конфликта интересов между ними, который повлияет на степень адекватности принятых управленческих решений. Исполнительный директор и совет директоров должны рассматривать систему управления рисками как важный информационный канал, от которого зависит жизнеспособность компании в целом. При отсутствии данного структурного подразделения возникает риск неадекватности информации. Успех многих компаний, грамотно управляющих рисками, объясняется тем, что в них должность старшего риск-менеджер занимает опытный профессионал. В компании необходимо ввести разделение обязанностей, то есть нельзя допускать, чтобы одни и те же сотрудники определяли стратегию рисков и следили, насколько соответствует ей деятельность компании, и в то же время инициировали бы решение о принятии рисков и управляли ими. Также в рамках департамента необходимо четко определить личные обязанности каждого сотрудника и ответственность за риск.

На практике департамент по управлению рисками руководствуется положением об отделе/департаменте управления рисками. Данный документ описывает заданные функции, а также порядок взаимодействия отдела с другими подразделениями компании.

Помимо этого, для формализации процесса по управлению рисками необходимо разработать и утвердить стандарт по управлению рисками. Он должен представлять собой методические указания по выяснению и анализу рисков, ведению их учета и подготовке отчетности по результатам работы в этом направлении. Разработка подобного стандарта на уровне предприятия должна обеспечивать такое управление рисками, при котором основным элементам структуры и деятельности фирмы гарантируются высокая устойчивость и защищенность от внутренних и внешних экономических рисков.

Разработка стандарта основывается на двух стадиях - подготовительная и основная. На подготовительной стадии антирисковый менеджер должен ознакомиться с той справочной и текущей конкретной информацией, которая позволит ему принять решения и составить стандарт. Основная стадия представляет собой собственно разработку программы по управлению рисками.

Принципы, которыми руководствуется менеджер при разработке и внедрении стандарта, в первую очередь определяются стратегией предприятия. Так, если предприятие ориентируется на обеспечение своей финансовой устойчивости, соответствующие принципы, которыми должен руководствоваться разработчик программы, будут диктовать выбор методов управления рисками, обеспечивающих эту финансовую устойчивость. Таким конкретным принципом может быть, например, принцип ориентации компании на передачу всех рисков во внешнюю среду.

Департамент по управлению рисками ежегодно составляет план по управлению рисками. Он отражает затраты на процедуры по снижению рисков, а также сами мероприятия по управлению риском. Помимо этого, в нем содержится информация об ответственности персонала за осуществление задач по управлению рисками. План по управлению рисками содержит перечень финансовых мероприятий по защите предприятия, инструкции для действий в критических ситуациях, регламенты по технике безопасности.

План по управлению рисками составляется для каждого проекта компании, что способствует более детальному рассмотрению рисков в процессе реализации проекта, и планирование мероприятий по управлению рисками будет более эффективным. Он должен включать бюджет управления рисками. Устанавливается частота выполнения комплекса действий по нейтрализации рисков в течение всего жизненного цикла проекта. Также указывается уровень допустимости рисков. В процессе планирования департамент по управлению рисками должен определить индикаторы рисков (набор параметров, характеризующий состояние рынка). Внедрение подобной системы позволит проверять и накапливать информацию о негативных явлениях. План по управлению рисками должен использоваться руководителями верхнего и среднего уровня как для стратегического управления, так и для тактического управления предприятием.

Рассмотрим роль и место службы риск-менеджмента в структуре компании. В настоящее время линейно-функциональные структуры присущи в основном мелким компаниям. Среди крупных компаний доминирует дивизиональный подход.

В основе функциональной структуры лежит создание структурных подразделений (отделов) на основе сходного опыта, подготовки и использования ресурсов. Например, отдел маркетинга, отдел управления персоналом, отдел по управлению рисками. Каждое подразделение имеет свою четко определенную задачу и обязанности. Для данной структуры характерна специализация работников, разделение труда по функциям. Следовательно, функциональный отдел отвечает только за определенный участок работы.

Главное преимущество функциональной структуры в ее простоте, как со стороны осуществления контроля, так и со стороны построения коммуникаций между руководителем и исполнителем. Подобный уровень взаимодействия снижает управленческие издержки и обеспечивает быстрые и экономичные формы принятия решений. Достоинство функциональной структуры также в приобретении работником высокого уровня профессионализма в выполнении специализированных функций и персонифицированной ответственности.

Однако эта структура имеет ряд недостатков: проявление авторитарного стиля руководства, что снижает инициативу подчиненных и приводит к перезагрузке руководителя. При увеличении численности предприятия руководители подразделений больше внимания уделяют своим функциональным обязанностям, нежели целям всей компании. По этой причине рано начинает проявляться отрицательный эффект масштаба.

Такая структура неэффективна при расширении номенклатуры выпускаемых изделий или расширении географии сбыта, поскольку нет специалистов, отвечающих за конкретный товар или рынок. Кроме того, функциональная структура не способствует динамизму и новаторству. При функциональной структуре наиболее оптимально построение службы риск-менеджмента, представленное на рис.5.

Рис.5. Построение службы риск-менеджмента при функциональной структуре управления

Дивизиональная структура предполагает наличие нескольких структурных подразделений, ориентированных на производство разных товаров, на разных потребителей или реализацию продукта в разных регионах. Отсюда различают дивизионально-продуктовую, дивизиональные структуры, ориентированные на потребителя, и дивизионально-региональную структуру.

В данной структуре важнейшую роль играют не руководители функциональных подразделений, а руководители производственных отделов, которые несут полную ответственность за результаты деятельности возглавляемого отдела. Руководители вторичных функциональных служб подчинены директору производственного подразделения. Ответственность за прибыль переносится на уровень дивизионов.

Для дивизиональной структуры характерно наличие оперативного управления на уровне производства конкретного продукта и централизованного стратегического управления на уровне верховного управления компанией. Руководитель компании жестко контролирует научно-исследовательские разработки, финансы, инвестиции.

Если компания ведет свою деятельность в нескольких регионах, то в каждом из них назначается директор, контролирующий эту деятельность и подчиняющийся генеральному директору.

Использование дивизиональных структур позволяет компании уделять конкретному продукту, потребителю или географическому региону столько же внимания, сколько уделяет небольшая специализированная компания. В результате этого можно быстрее реагировать на изменения, происходящие во внешней среде, и адаптироваться к изменяющимся условиям.

В то же время следует подчеркнуть недостатки рассматриваемого типа организационных структур. Для дивизиональных структур характерен рост иерархичности, т.е. вертикали управления. Они потребовали формирования промежуточных уровней менеджмента для координации работы отделений, группы и т.п.; противопоставление целей отделений общим целям развития компании.

В рамках данной структуры проявляется неэффективное использование ресурсов, невозможность их использовать в полной мере в связи с закреплением ресурсов за конкретным подразделением; увеличение затрат на содержание управленческого аппарата вследствие дублирования одних и тех же функций в подразделениях и соответствующего увеличения численности персонала; затруднение осуществления контроля сверху донизу, а также дублирование работ для разных подразделений.

Адаптивная организационная структура способна сравнительно легко менять свою форму в зависимости от изменяющихся условий. Отсутствие бюрократической регламентации, индивидуальная ответственность каждого работника за общие результаты деятельности, возможность творческой самореализации и повышенный интерес к работе - вот основные преимущества данной системы.

Адаптивная структура создается на период выполнения проекта или программы. В подобной структуре отсутствует разделение работ по видам труда.

Рис.6. Дивизиональная организационная структура риск-менеджмента субъекта инвестиционной деятельности

Подобная структура, однако, не лишена недостатков: требуется большое количество профессионалов, способных решать самые разнообразные задачи; сложность в определении приоритетности проектов, так как каждый руководитель проекта считает свою работу наиболее значимой для компании. В результате этого возможны конфликты между руководителем функционального подразделения и руководителем проекта. В рамках проекта возможно дублирование функций.

Таким образом, основами риск-менеджмента компании как направления управленческой деятельности признаются критерии классификации наиболее актуальных рисков для компании, их оценка на основе различных методов и ранжирования на основе карты рисков, составление плана минимизации рисков с учетом достоинств и недостатков организации управления и реализация данного плана, исходя из полномочий службы риск-менеджмента

© Copyright 2024, bigmebel-taganrog.ru - Мебель и интерьер.