Strategic risk audit (Аудит стратегических рисков)

Author: Vasily V. KudrinTheme: Audit of business strategic risk management effectiveness. Автор: Василий В. КудринТема: Аудит эффективности управления стратегическими рисками бизнеса.
Conference: “Audit of business strategy effectiveness” Конференция: “Аудит эффективности стратегии бизнеса”
Date: March 16, 2022 Дата: 16 марта 2022 года
  • Strategic risk management audit objectives, standards, guides and sources of knowledge;
  • Audit model aimed at supporting and improving business;
  • Analysis of opportunities, prospects and comparison with good practices;
  • Audit completion, improvement plans and monitoring.
  • Цели аудита управления стратегическими рисками, стандарты, руководства и источники знаний;
  • Модель аудита, направленная на поддержку и совершенствование бизнеса;
  • Анализ возможностей, перспектив и сравнение с хорошими практическими примерами;
  • Завершение аудита, планы совершенствования и мониторинг.
Link: presentation Ссылка: презентация

Necessary to conduct a risk management diagnostics (audit) or develop a strategic risk management development program? Необходимо провести диагностику (аудит) риск-менеджмента или разработать программу развития управления стратегическими рисками?

Контакты: http://kudrin.vc/intro


Кудрин Василий Владимирович

Образование: Финансовая академия (университет) при Правительстве РФ – экономист, финансы и кредит, корпоративное управление, ценные бумаги и биржевое дело. Дополнительные профессиональные квалификации: дипломированный внутренний аудитор (CIA, с 2004 г.), дипломированный специалист по самооценке контроля (CCSA, c 2004 г., дипломированный специалист по расследованию мошенничества (CFE, с 2006 г.).

Профессиональная деятельность:

  • 1996 – 2002 – Экономист, финансовый аналитик, инвестиционные компании (Группа “ОЛМА”, Компания “Базовый Элемент”)
  • 2002 – 2004 – Ведущий, главный аудитор (менеджер), ЮКОС (крупнейшая нефтяная компания России)
  • 2004 – 2008 – Старший менеджер, руководитель направления, Ernst & Young
  • 2008 – 2011 – Руководитель департаментов внутреннего контроля и аудита крупных ритейл-компаний, лидеров рынка (X5 Retail Group, Ретейл-направление АФК “Система”)
  • 2012 – н.в. – Консультационная деятельность. В настоящее время руководитель услуг (партнер) HLB Russian Group (HLB Внешаудит), направление услуг в области корпоративного управления, рисков и контроля, внутреннего аудита, противодействия мошенничеству. Работа с как с крупнейшими компаниями России, мировыми и национальными отраслевыми лидерами, так и с компаниями среднего и малого бизнеса.
  • 2018 – н.в. – в наблюдательном совете международного Альянса Lybrion, группы проектов и компаний, оказывающих услуги в области цифровых финансовых активов и инвестиций.

Василий Кудрин работает в компании АО «Эйч Эл Би Внешаудит» с 2013 года, до этого работал руководителем направления услуг отдела бизнес-рисков в компании «Большой четверки» (EY), а также менеджерских и руководящих должностях в ряде крупнейших компаний реального и финансового секторов (инвестиции, добыча, ретейл) в области управления рисками, внутреннего контроля и внутреннего аудита. Имеет большой опыт непосредственного и надзорного руководства более чем 200 проектов, включающих оценку рисков разных категорий (финансовые, операционные, комплаенс) и уровней управления (стратегический, бизнес-процессы, операции), проведенных как для внешних клиентов, так в рамках работы в компаниях реального сектора.

Опыт работы г-на Кудрина в области внутреннего аудита, корпоративного управления и внутреннего контроля по международным и общепризнанным стандартам и рекомендуемым практикам с 2002 года, г-н Кудрин участвовал в составе советов и рабочих группы ряда профессиональных общественных организаций, таких, как российский Институт внутренних аудиторов, Association of Certified Fraud Examiners (ACFE), Institute of Internal Auditors (IIA), состоит в профессиональных ассоциациях корпоративного управления (АНД, РИД), участвует в координационном совете «Дебат-клуба», занимающегося вопросами инноваций в практическом корпоративном управлении, управлении рисками, контроле и аудите.

Среди консультационных клиентов Василия Кудрина в этой области были компании, как РусГидро, Роснефть, М.Видео, X5 Retail Group, РусАл, МТС, Мечел, ГК ОрВД, ММК, Самрук Казына, Иркутскэнерго, ДТЭК, СУЭК и мн. др.

C 2018 года участвует в наблюдательном совете (совете директоров) международного Альянса цифровых активов Lybrion.

Strategic risk management (Управление стратегическими рисками)

Author: Vasily V. KudrinTheme: Business strategic risk management. Автор: Василий В. КудринТема: Управление стратегическими рисками бизнеса.
Conference: “Risk management in strategy development and implementation” Конференция: “Управление рисками при разработке и реализации стратегии”
Date: February 11, 2021 Дата: 11 февраля 2021 года
Structure: Business strategic risk management. Структура: Управление стратегическими рисками бизнеса.
  • Defining strategic risks, knowledge and standards;
  • Features and qualities of strategic risk management;
  • Map of risks and approach to manage them;
  • Management plans, monitoring and enhancement.
  • Определение стратегических рисков, знания и стандарты;
  • Характеристики и особенности управления стратегическими рисками;
  • Карта рисков и подход к управлению ими;
  • Планы управления, мониторинг и совершенствование.
Link: presentation Ссылка: презентация

Necessary to conduct a risk assessment or develop a strategic risk management development program? Необходимо провести оценку рисков или разработать программу развития управления стратегическими рисками?

Corporate trends (Корпоративные тренды)

Vasily Kudrin. Trends and prospects in corporate goernance, risk and control/complaince. || Василий Кудрин. Тренды и прогнозы в корпоративном управлении, управлении рисками и контроле/комплаенсе.
Author: Vasily V. KudrinTheme: Trends and prospects in corporate governance, risk and control/compliance. Автор: Василий В. КудринТема: Тренды и прогнозы в корпоративном управлении, управлении рисками и контроле/комплаенсе.
Conference: “December debates 2020. Paradigm shift: corporate culture, control and audit in the new reality” Конференция: “Декабрьские дебаты 2020. Смена парадигм: корпоративная культура, контроль и аудит в новой реальности”
Date: December 16, 2020 Дата: 16 декабря 2020 года
Structure: GRC (corporate governance, risk, control/compliance) trends, prospects and forecasts for 2021-2025. Структура: Тренды и прогнозы в области GRC (корпоративное управление, риски, контроль/комплаенс) на 2021-2025 гг.
  • Impact of innovation, regulatory transformation and its impact on GRC development;
  • Reasons and perspectives of GRC development digital agenda;
  • Development of distributed labor economy and the impact on GRC professions;
  • The importance of the anti-crisis role of internal audit and risk management in the current situation.
  • Влияние инноваций, регулятивная трансформация и ее воздействие на развитие GRC;
  • Причины и перспективы цифровой повестки в развитии GRC;
  • Развитие экономики распределенного труда и влияние на профессии области GRC;
  • Значение антикризисной роли внутреннего аудита и риск-менеджмента в текущей ситуации.
Link: look-up [eng] Ссылка: смотреть [рус]

Necessary to develop a transformation plan for your GRC (corporate governance, risk and control/compliance) related department? Необходимо разработать план трансформации подразделения, занятого в области GRC (корпоративное управление, риски и контроль/комплаенс)?

Digital assets and risk management (Цифровые активы и управление рисками)

Author: Vasily V. KudrinTheme: Digital financial asset risk management Автор: Василий В. КудринТема: Риски управления цифровыми финансовыми активами
Conference:  International Professional Forum “Risk Management — New Challenges”, Москва, отель «Золотое кольцо», зал «Ярославль», Смоленская ул., д. 5. Конференция:  Международный профессиональный форум “Управление рисками — новые вызовы”, Москва, отель «Золотое кольцо», зал «Ярославль», Смоленская ул., д. 5.
Date: September 30, 2020 Дата: 30 сентября 2020 года
Understanding the perspectives for development of digital financial assets (DFAs) market, risk assessment and management. Понимание перспектив развития рынка цифровых финансовых активов (ЦФА), оценка рисков и управление ими.
  • Classification of digital financial assets (DFA) and the impact of their development on risk management practices;
  • Trends and changes that carry risks in DFA market, development of legislation;
  • DFA risk assessment and management approach;
  • Compliance and fraud risks associated with DFA, methods for managing them;
  • Risk assessment and audit of digital financial asset management, recommendations.
  • Классификация цифровых финансовых активов (ЦФА) и влияние их развития на практику управления рисками;
  • Тренды и изменения, несущие риски на рынке ЦФА, развитие законодательства;
  • Подход к оценке и управлению рисками ЦФА;
  • Риски комплаенс и мошенничества, связанные с ЦФА, методы управления ими;
  • Оценка рисков и аудиа управления цифровыми финансовыми активами, рекомендации.
Link: presentation (RU) Ссылка: презентация

Do you need services in digital financial asset development, management and evaluation? Необходимы услуги в разработке, управлении и оценке цифровых финансовых активов?

Assessment of digital financial asset projects (Оценка проектов цифровых финансовых активов)

Author: Vasily V. KudrinTheme: Risk assessment of companies issuing digital financial assets Автор: Василий В. КудринТема: Оценка рисков компаний, выпускающих цифровые финансовые активы
Conference: “December debates 2019. Control of innovations and innovative control” (Financial University) Конференция: “Декабрьские дебаты 2019. Контроль инноваций и инновационный контроль” (Финансовый университет)
Date: December 3, 2019 Дата: 3 декабря 2019 года
Structure: Risk-based assessment of companies issuing digital financial assets, risk categories, perspectives of the market, recommendations for issuers. Структура: Риск-ориентированная оценка компаний, выпускающих цифровые финансовые активы, категории рисков, перспективы рынка, рекомендации для эмитентов.
  • Risk assessment methodology for companies issuing digital financial assets;
  • Categories and types of risks of issuance of digital financial assets;
  • Recommendations for issuers of digital financial assets.
  • Методология оценки рисков компаний, выпускающих цифровые финансовые активы;
  • Категории и типы рисков, связанных с выпуском цифровых финансовых активов;
  • Рекомендации для эмитентов цифровых финансовых активов.
Link: presentation Ссылка: презентация

Look for qualified evaluation of projects of companies issuing digital financial assets? | Необходимо качественно оценить проекты компаний, выпускающих цифровые финансовые активы?


Security token offering project risks (Риски проектов STO)

Author: Vasily V. KudrinTheme: Security token offering project risks and management Автор: Василий В. КудринТема: Риски проектов STO и способы управления ими
Conference: “Benefits of STO market over classic venture investments” Конференция: “Преимущества рынка STO перед классическими венчурными инвестициями”
Date: November 28, 2019 Дата: 28 ноября 2019 года
Structure: Risk assessment and management of security token offering projects (STOs), risk classification, recommendations for organizers and investors. Структура: Оценка и управление рисками проектов размещений токенов ценных бумаг (STO, security token offering), классификация рисков, рекомендации для организаторов и инвесторов.
  • Trends leading to risks on STO market;
  • STO risk assessment and management approach;
  • Holistic view on STO risks (risk categories);
  • Recommendations for investors and organizers of STO projects.
  • Тренды, несущие риски на рынке STO;
  • Подход к оценке и управлению рисками STO;
  • Целостная картина рисков STO (категории рисков);
  • Рекомендации для инвесторов и организаторов проектов STO.
Link: presentation Ссылка: презентация

Look for qualified assessment of security token offering risks? Необходимо качественно оценить риски размещения токенов ценных бумаг?

Risk assessment project organisation (Организация проекта оценки рисков)

Требуется проведение корпоративной оценки рисков? Контакты.

Theme: Organization and execution of a risk assessment project: methodology and approach, practical advice Тема: Организация и проведение проекта оценки рисков: методология и подход, практические советы
Company: Large corporation on traffic control services Компания: Крупная компания по организации транспортного трафика
Date: July 21, 2017 Дата: 21 июля 2017
Methodology, main stages of corporate risk assessment, analysis and improving of risk response. Методология, основные этапы корпоративной оценки рисков, анализ и совершенствование мер реагирования на риски.
  • Goals of risk assessment.
  • Main stages of risk assessment.
  • Key sections of project risk assessment methodology.
  • Risk assessment planning and identification.
  • Risk assessment, risk ranking and process prioritization.
  • Analysis of risk response.
  • Improving risk response.
  • Цели оценки рисков.
  • Основные этапы оценки рисков.
  • Основные разделы методологии проекта оценки рисков.
  • Планирование и идентификация оценки рисков.
  • Проведение оценки рисков, ранжирование рисков и приоритезация процессов.
  • Анализ мер реагирования на риски.
  • Совершенствование мер реагирования на риски.
Link: look-up [rus] Ссылка: смотреть [рус]

Требуется проведение корпоративной оценки рисков? Контакты.

Practical Corporate Risk Assessment (Практическая оценка рисков корпоративного уровня)

Theme: Practical Corporate Risk Assessment (brief) Тема: Краткое изложение подхода к практической оценке рисков корпоративного уровня
Company: Large corporation on traffic control services Компания: Крупная компания по организации транспортного трафика
Date: January 31, 2017 Дата: 31 января 2017
Approach and details of corporate risk assessment, types and schedule of interviews, key results. Подход и нюансы организации оценки рисков корпоративного уровня, типы и график встреч, ключевые результаты.
  • Inherent and residual risks.
  • Approach to corporate risk assessment, stages and steps.
  • Types of interviews for expert/qualitative risk assessment.
  • Development (design) and testing of practice-based methodology.
  • Key resulting materials of the project.
  • Присущие и остаточные риски.
  • Подход к оценке рисков корпоративного уровня, этапы и шаги.
  • Виды встреч (интервью) обеспечения практической экспертной/качественной оценки рисков.
  • Разработка (дизайн) и тестирование методологии, основанной на практике.
  • Ключевые результирующие материалы такого проекта.
Slideshare: look-up [rus] Slideshare: смотреть [рус]

Крауд-риск | Crowd risk

Крауд-фандинг, а особенно крауд-инвестинг (equity crowdfunding) изменит подходы к корпоративному управлению и таким инструментам-помощникам корпоративного управления, как риск-менеджмент, комплаенс и внутренний контроль. Crowdfunding, and especially crowdinvesting (equity crowdfunding) will change approach to corporate governance and such its assisting tools as risk management, compliance and internal auditing.
По сути, традиционное акционирование и фондовый рынок – это тоже крауд-фандинг, но сегодня речь о новых технологиях, активном использовании Интернета. Он доразвивался до того уровня, что теперь стать акционером, не надо долго вникать и советоваться, маяться и исследовать, заполнять лишние анкеты и открывать счета. Процесс со-инвестирования ускорился: надо просто нажать несколько кнопок, и вы участник вполне себе IPO компании с претензией обогнать Facebook, растерзать вклочья Youtube, и призвать к ответу дом Ланнистеров в придачу. In fact, traditional shareholding  and stock market are also crowd-funding examples, but today we employ new technologies, especially those based on active use of Internet. It has evolved to the stage when to acquire shareholder status you don’t need to wait for a long time to get knowledge and advices, to toil and study, fill the extra forms and open accounts. The co-investment process is accelerated: you just click a few buttons, and you are a holder of a business with IPO ambitions and plans to overtake Facebook, to break Youtube into ribbons, and bring House Lannister to justice.
Проблема в том, что даже на уровне регуляторов нет готовности в отношении защиты прав крауд-инвесторов, а деньги уже привлекаются немалые. Да, ряд государств в спешном порядке приняли определенные законы и нормы: так в США появился JOBS Act с разделом, посвященным именно крауд-фандингу. Но что можно сказать о стандартах и практике корпоративного управления? Всё не просто сыро, пусто. The problem is that even at the level of regulators there is no readiness concerning protection of the rights of crowd-investors, and money is already attracted considerable. Surely, a number of the states quickly adopted certain laws and regulations:  so in the US JOBS Act was developed, including the section devoted to crowdfunding. But what can we say on standards and practice of corporate governance? Everything isn’t simply raw – empty.
Интересно, что в странах, где хорошо развивается крауд-инвестинг, там же имеются и явные признаки и факты роста экономики, поэтому восприятие значимости корпоративного управления и особенно риск-менеджмента для большинства (ошибочно!) неочевидно. Мысль “Зачем инвестировать в управление рисками, если итак всё хорошо?” опять преобладает. В то же время, если вспомнить волновые теории, инновационные циклы асинхронны с циклами экономическими, то есть лучшие, перспективные “новинки” появляются значимо раньше, чем начинает чувствоваться рост, а в период роста уже массой идет второсорт и плагиат, который тем не менее представляется как что-то новое и перспективное. В итоге “плохие проекты” привлекают “глупые деньги”. А значит непременно наступит тот самый момент, когда “шеф, всё пропало, всё пропало“. У нас, и не только у нас, о риск-менеджменте и улучшении корпоративного управления, вспоминают когда, как правило, поздновато, но для работы над ошибками всё равно надо реагировать. In countries where public investment well develops, there are also strong indications and actuality of economy growth. Therefore perception of corporate governance seriousness, and especially risk management,  (mistakenly!) unclear for the majority. “Why to invest a thought in risk management if so everything is good?” way of thinking prevails again. At the same time, the economy wave theories indicate that innovative cycles are asynchronous with business cycles: so the most superior, perspective “know-hows” appear significantly earlier, than growth begins to be felt. And during the growth there massive plagiaristic and second-class ideas  which nevertheless is represented as something new and promising. As a result, “bad projects” appeal “silly money”. So the moment of “boss, all is lost, all is lost” will come in any case. As a rule, risk management and improvement of corporate governance become matters of concern rather late, but for correction of mistakes it is anyway necessary to react.
В России полноценного крауд-инвестинга ещё нет в силу некоторой недоразвитости. Есть крауд-фандинг для некоммерческих проектов, идейных инициатив, в обмен на подарки, через крауд-лендинг. Ну, вот Boomstarter еще делает своё “IPO” “для внутреннего использования”. Но осознание потребности в риск-менеджменте и отдельных элементах корпоративного управления уже есть. В середине этого года мне посчастливилось участвовать в одной работе, связанной с разработкой базовой методологии для старт-апов – участников крауд-фандинговой платформы. Другие проекты в отношении взаимоотношений со старт-апами пока сводятся к обычным форезик- и другим “шеф, всё пропало” запросам. In Russia there is no full-scale crowd-investing due to some underdevelopment. There is crowd-funding for non-commercial purposes, ideological initiatives, in exchange for gifts, through crowd-lending. Well, Boomstarter still does its “IPO” “for internal use.” But there is already an awareness of the need for risk management and certain elements of corporate governance. In the middle of this year, I was fortunate to participate in one work related to the development of a basic methodology for start-ups – participants in the crowd-funding platform. Other projects in relation to the relationship with the start-ups so far boiled down to the usual forensic and other retrospective (“boss, all is lost”) requests.
Просматривая списки вакансий в крауд-области, пока не нахожу там риск-менеджмента. Невнимание к этим вопросам – основа для дисбаланса между корпоративным управлением и бизнес-потребностями, и этот дисбаланс будет нарастать. В отличие от прошлого, традиционного подхода старт-апы теперь работают с публикой, а не просто с пулом соинвесторов, поэтому, несомненно, должны быть более серьезные требования к корпоративному управлению и риск-менеджменту. Looking through the job listings in the “crowd-” area, I do not find risk management there yet. Inattention to these issues is the basis for an imbalance between corporate governance and business needs, and this imbalance will increase. Unlike the past, the traditional approach, start-ups now work with the public, and not just with a pool of co-investors, so, undoubtedly, there must be more serious requirements for corporate governance and risk management.
Крауд-фандинговые платформы должны быть самым первым объектом применения регулирования и развития корпоративного управления и крауд-риск-менеджмента. При этом сами платформы должны быть заинтересованы во внедрении систем риск-менеджмента, защищая крауд-инвесторов и управляя своими репутационными рисками. Это же касается и фондов (венчурных, посевных инвестиций, инкубаторы, акселераторы и прочие “долины”), которые активно работают со старт-апами. Crowd-funding platforms should be the very first matter of the regulation and development of corporate governance and crowd-risk management. At the same time, the platforms themselves should be interested in implementing risk management systems, protecting crowds-investors and managing their reputational risks. The same applies to funds (venture capital, seed investments, incubators, accelerators and other “valleys”), which are actively working with start-ups.
Также корпоративное управление здесь может развиваться и трансформироваться через формирование дополнительных крауд-технологий: например, crowd оценка рисков (по специальному алгоритму с дискуссиями на интернет-форуме) или то же самое, но с включением экспертной работы, назначаемой в по результатам общей дискуссии. Или даже крауд-аудит. В данном случае уже формируются элементы social governance, то есть управления с использование технологий, свойственных работе социальных сетей. Also corporate governance here can evolve and transform through the formation of additional crowd technologies: for example, crowd risk assessment (according to a special algorithm with discussions on the Internet forum) or the same, but with the inclusion of expert work appointed in accordance with the results of the general discussion. Or even crowd-audit. In this case, elements of social governance are already being formed, that is, management using the technologies inherent in the work of social networks.

GRC и тренды

К Декабрьским дебатам я подготовил открывающий доклад о трендах – повод для размышлений, научных и практических. О трендах, которые, c моей точки зрения, могут повлиять на формирование или развитие разных контрольных и прочих GRC-функций в бизнесе. Тема отслеживания трендов мне знакома еще со времен деятельности в качестве на общественных началах руководителя информационного комитета в Институте внутренних аудиторов (середина 2000-х). Составление рассылок, организация форума и проведение исследований – все это предполагало знакомство с международными практиками, тенденциями и мнением разных экспертов, и даже тогда еще не блоггеров. Сегодня уже много исследований, отчетов по тенденциям в этой области. И даже слишком много говорят про кибер-риски и big data, а также то, что нишу аудиторских и финансовых профессий захватят роботы. Отношусь к некоторым отчетам и прогнозам … выборочно: есть свой багаж наблюдений и понимание тенденций. Все тренды я объединил в 8 групп, вот они. И тезисно суть доклада.

1) Возрастание регулятивных требований. Банально. Понятно. Но тем не менее это тренд на ближайшие пять лет точно. Причины: в росте волатильности и непредсказуемости, особенно для финансового сектора. А выгоды для государства очевидны – хороший инструмент регулирования без явного (точнее слишком грубого) вмешательства в бизнес-процессы. Согласен с выводами тех экспертов, которые утверждают, что в GRC за последние годы самый большой прорыв сделал буква “C”, и именно сompliance будет в тренде еще долго.

2) Устранение организационной комплексности и развитие риск-культуры. Как ни боролись с silo-подходом, но закрытие “терминов” “подразделениями” продолжается. Мышление – есть “внутренний аудит” и “внутренний контроль” – значит два подразделения, и независимых – остается и никак не способствует решению задач бизнеса. Государство в последние два года “нарекомендовало” и “указало” много подразделений, поэтому произошло некоторое разбухание бюрократии без смысла в компаниях. Есть чувство, что в ближайшие годы с этим будут активно бороться, а внедрение осознанной риск-культуры станет хорошей тенденцией.

3) Машинное обучение и искусственный интеллект. Этот тренд невозможно игнорировать. Роботы оказались не те, а спрятались в компьютерах, и вопреки Айзеку Азимову уже даже вредят, подлецы, направо и налево. Про кибер-безопасность много говорят, но “безопасникам” путь в автоматизацию, а если вы хотите другую, человеческую, роль – надо, ну, реально развиваться. Размышления “на наш век хватит” сегодня не пройдут: сейчас люди долго живут, а пенсионные фонды “пирамидальны”. Надо будет работать.

4) Gig-экономика. Это мега-тренд, и GRC здесь – выгодная ниша. Еще пока мало экспертных сетей, но уже даже в России одна есть. Спрос на проектную занятость и “мобильные команды” будет расти – не только в консалтинге, но и в качестве замены in-house. Внутренний аудит станет “еще более” внешним.

5) Риски потерь vs. возможности, операционная эффективность. Кризис/ы рождают повышенный спрос на операционную эффективность, а от риск-менеджмента давно ждут позитивного отношения к бизнесу и связки со стратегией, даже если она – как кот Шрёдингера. Многие бывшие аудиторы и контролеры уходят в excellence, и это правильно. Если в вашей компании при решении задач по сокращению издержек не рассматривают возможность привлечения экспертов в области рисков и контролей, значит вы до сих пор чего-то не поняли. Такой кадровый ресурс пропадает!

6) Смена парадигмы предприятия и финансовой инфраструктуры, crowd-технологии. Первые акционерные общества – это был тоже crowd-инвестинг, а также это были “финансовые пирамиды” или как минимум рискованные и недолгие, хоть и крупные, проекты. Сегодня технологии дают возможности ускорения в со-инвестициях. Как ни странно, спрос на GRC-экспертизу здесь имеется уже в наши дни, хоть он и недостаточно артикулируется. Даже к хипстерским старт-апам желателен риск-ориентированный подход, чтобы потом не вызывать forensic из поколения X на расследования (тоже спрос имеется, кстати).

7) Отношение к мошенничеству, игровая культура, изменение подходов к борьбе с коррупцией. Протоводействие – в форме “действия против действия” – неэффективно, ибо мошенничество и коррупция всегда на шаг впереди. Мошенничество и коррупция возникают там, где разрушаются определенные устоявшиеся процессы, и возникают другие (более простые!) модели взаимодействия, которые выбиваются из общей системы и не подвержены (официальному) контролю. Многие действия даже невозможно квалифицировать в соответствии со статьями Уголовного кодекса, при этом явное жульничество налицо. Для более эффективного обуздания данных притязаний могут активно применяться наработки в области теории игр. Также важным будет учёт репутационных рисков и рост внимания к тому, что я называю retail-жульничеством, зачастую свойственному компаниям, работающим с очень большим, массовым трафиком клиентов.

8) Риски в эпоху (техно)сингулярности. Возрастает волатильность и падает предсказуемость. “Черных лебедей” всё больше, хотя они еще и не такие чёрные. А возможно это просто оправдание для плохого риск-менеджмента. Сингулярность также черна, как космическая чёрная дыра. Для внешнего наблюдателя те, кто уже там, просто застыли у радиуса Шварцшильда, хотя те, кто уже там – уже в новой реальности, и никаких проблем не ощущают, в отличие от тех, кого сингулярность еще затягивает и плющит. Мы уже живём в эпоху той самой технологической сингулярности, которую предсказывали многие годы назад. Важная тенденция связана с большим включением макро-рисков в модели оценки нефинансовых организаций, а также переход риск-менеджмента из back-office во front- или хотя бы middle-.

Участвуйте в работе “Дебат Клуба”.

Управление рисками для развития бизнеса (Risk management for business development)

Решения в области трансформации управления рисками в эффективный инструмент, способствующий совершенствованию бизнес-процессов.

  • Контакты (методология, решения, проекты, обучение).
Theme: Risk Management for Business Improvement and Development Тема: Управление рисками для совершенствования бизнеса компании
Conference: “Risk Management. Building a System to Control Risks” Конференция: “Риск-менеджмент. Построение системы управления рисками”
Structure: Development of risk management in a tool that helps improve business processes. Структура: Развитие управления рисками в инструмент, способствующий совершенствованию бизнес-процессов.
  • Types of risk management (managers).
  • Mapping of risks to business processes.
  • Perception of risk management.
  • Typical mistakes of risk managers.
  • Upside risks examples.
  • Superpositioning of risk management.
  • Transformation to development model (based on managing risks).
  • Типы риск-менеджмента (риск-менеджера).
  • Сопоставление рисков с процессами.
  • Восприятие риск-менеджмента.
  • Распространённые ошибки риск-менеджеров.
  • Риски успускаемых возможностей
  • Суперпозиционирование риск-менеджмента.
  • Трансформация модели развития (на основе управления рисками).
Link: presentation (RU) Ссылка: презентация

Решения в области трансформации управления рисками в эффективный инструмент, способствующий совершенствованию бизнес-процессов.

  • Контакты (методология, решения, проекты, обучение).

Risk management and Audit Committee (Управление рисками и Комитет по аудиту)

Theme: Risk Assessment and Management: Audit Committee’s Overview Тема: Оценка и управление рисками: взгляд со стороны Комитета по аудиту
Conference: Corporate Directors’ Professional Society: Russian Institute of Directors Конференция: Комитет Профессионального сообщества корпоративных директоров: Российский институт директоров
Date: November 11, 2008 Дата: 11 ноября 2008
Board’s Audit Committee’s role in risk assessment and management, understanding key risks, getting assurance on risk management system effectiveness. Роль комитета по аудиту в оценке и управлении рисками, понимание ключевых рисков, получение уверенности относительно эффективности системы риск-менеджмента.
  • Topicality of the task to manage risks correctly.
  • Yin and yang in risk management.
  • Why should a supervisory board’s audit committee take part in managing risks.
  • Leading practices of risk management.
  • Актуальность задачи грамотного управления рисками.
  • Инь и ян в управлении рисками.
  • Зачем комитету по аудиту совета директоров участвовать в управлении рисками?
  • Ведущие практики управления рисками.
Link: presentation (RU) Ссылка: презентация

Корпоративное управление рисками: современный подход

Theme: Modern approach to Enterprise Risk Management. COSO Framework Тема: Корпоративное управление рисками: современный подход. Модель COSO
Seminar: Internal Audit Leadership Seminar (Institute of Internal Auditors), Almaty, Kazakhstan Семинар: Семинар для руководителей и менеджеров внутреннего аудита (Институт внутренних аудиторов), Алматы, Казахстан
Dates, duration: November 9, 2007, 4 hours Даты, продолжительность: 9 ноября 2007, 4 часа
Program: Role of enterprise risk management, COSO and other modern concepts concepts, practical application. Программа: Роль корпоративного управления рисками, COSO и другие современные концепции, практическое применение.
  • Role of enterprise risk management in corporate governance system.
  • Modern concepts of enterprise risk management.
  • Relations to internal control and internal auditing.
  • Introduction into COSO ERM. Analysis of the model’s components.
  • Role and objectives of internal auditing.
  • Роль корпоративного управления рисками в системе корпоративного управления.
  • Современные концепции корпоративного управления рисками.
  • Взаимосвязь с внутренним контролем и внутренним аудитом.
  • Введение в COSO ERM. Анализ компонентов модели.
  • Роль и цели внутреннего аудита.
Link: presentation (RU). Ссылка: презентация.

Contract risk management (Управление контрактными рисками)

Theme: Contract Risk Management, Role of Internal Audit Тема: Управление контрактными рисками, роль внутреннего аудита
Conference: Institute of Internal Auditors (Russia) – meeting Конференция: Встреча российского Института внутренних аудиторов
Structure: Contract life cycle, factors of contract riks occurrence, contract risk management, the role of internal audit function. Структура: Жизненный цикл контракта, факторы появления контрактных рисков, управление контрактными рисками, роль функции внутреннего аудита.
  • Significance of contract risk management.
  • Contract life cycle and contract risk identification.
  • Approach to contract risk management.
  • The role of internal audit.
  • Contract risk management: challenges and benefits.
  • Значимость управления контрактными рисками.
  • Жизненный цикл контракта и идентификация контрактных рисков.
  • Подход к управлению контрактными рисками.
  • Роль внутреннего аудита.
  • Управление контрактными рисками: проблемы и преимущества.
Link: look-up [rus] Ссылка: смотреть [рус]

Требуется оценить риски или выработать решение по управлению специфическими рисками?

  • Контакты (методология, решения, проекты, обучение).

Понятие внутреннего контроля и управление рисками (мастер-класс)

Theme: Internal Control and Risk Management Concept (Internal Audit Engagement Methodology: part 2) Тема: Понятие внутреннего контроля и управление рисками (Методология проекта внутреннего аудита: часть 1)
Project: CAE and Leadership Strategical Competence Проект: Развитие стратегических компетенций руководства внутреннего аудита
Dates, duration: July 5, 2007, 8 hours Даты, продолжительность: 5 июля 2007, 8 часов
Program: Effective practical approach to internal control and risk management implementation. Программа: Практика построения эффективной системы внутреннего контроля и управления рисками.
  • Definitions of internal control and risk management.
  • Conceptual frameworks for internal control and risk management integrated systems. COSO models and others.
  • Three-line defence model.
  • Practical approach to internal control system improvement.
  • Requirements of corporate governance regulation.
  • Определения внутреннего контроля и управления рисками.
  • Концептуальные модели интегрированных систем внутреннего контроля и риск менеджмента. Модели COSO и другие.
  • Модель “трёх линий защиты”.
  • Практичный подход к построению системы внутреннего контроля.
  • Требования регуляторов корпоративного управления.

Image

Риски консигнационных операций (закупки)

В помощь внутреннему аудитору: риски консигнационных операций (закупки)

Василий Кудрин, дипломированный внутренний аудитор (CIA), дипломированный специалист по самооценке контроля (CCSA)

Для начала:
(1) Конкретизируем ситуацию посредством формулирования допущений (assumptions);
(2) Смоделируем бизнес-процесс и цели процессов, его составляющих.

Поскольку риск суть то, что ограничивает возможность компании достигать поставленные цели, сформулировать риски можно только после того, как буду поняты бизнес-цели, с которыми риски ассоциируются.

I. Допущения касательно бизнес-процесса – объекта аудита

1. Консигнационные операции – это, по сути, комиссионные операции, при которых одна сторона (консигнант) поручает другой (консигнатору), распорядиться товаром со склада от своего имени и за счет консигнанта. Эти товары остаются собственностью консигнанта до момента их распоряжения, в частности производственного потребления.

2. В роли консигнатора выступает рассматриваемая Компания.

3. Компания характеризуется консервативным уровнем риск-аппетита и в частности консервативным риск-порогом для совокупности рисков, ассоциируемых с данным бизнес-процессом.

4. В качестве бизнес-процесса, напрямую связанного с консигнационными операциями, рассматривается (ограничивающийся именно связью с консигнационными схемами) процесс, который включает:
(а) закупки по консигнационным схемам,
(б) логистику закупок (логистика, связанная с работой консигнационных складов),
(в) соответствующую контрактацию,
(г) краткосрочное планирование работы по консигнационным схемам,
(д) оплату по заявкам на закупку по консигнационным схемам.

Следует иметь в виду, что сама по себе консигнационная схема в МТО (материально-техническом обеспечении) позволяет избегать некоторые виды рисков, которые могут быть присущи закупкам без использования консигнационных контрактов, например, риск значимого превышения бюджета на логистику или риск излишних запасов.

Хронологически бизнес-процесс может быть представлен следующим образом:

Закупки с использованием консигнационных схем:
П1. Организация закупок
П2. Контрактация
П3. Краткосрочное планирование
П4. Логистика
П4.1. Создание заявки на закупку
П4.2. Приемка/получение МТР
П4.3. Поставка на склады Компании:
– консигнационные,
– производственные.
Примечение: при поставке на производственные склады – наступает процесс П4.5.
П4.4. Хранение на консигнационных складах.
П4.5. Распоряжение (прим. в этот момент происходит переход права собственности)
П5. Оплата

В данном случае именно процесс «П4» является наиболее специфичным при рассмотрении консигнационных схем, а остальные процессы могут и не иметь существенной специфики и реализуются в рамках аналогичных стандартных процессов (например, заключение контракта осуществляется по стандартной схеме, но со специфическим, специально разработанным шаблоном). Тем не менее, поскольку специфика консигнационных схем влияет на совокупность (множество) рисков (risk universe), процессы П1-П3 и П5 также необходимо охватывать – включать в фокус проекта внутреннего аудита.

5. Частью процесса, несомненно, может являться EDI (электронный обмен данных) между сторонами, однако предлагаю не рассматривать его в рамках задачи, т.к. это ИТ-процесс и, соответственно, риски, ему присущие, достаточно стандарты, равно как общие и прикладные контроли.

Для понимания рисков EDI и аналогичных процессов рекомендуется использовать стандарты ISACA и, следовательно, соответствующую модель контроля. В частности, CobiT 4.0.

6. Соответствующие процессы долгосрочного планирования не рассматриваются, так же, как и не рассматриваются связанные стратегические риски.

7. Учетный процесс затрагивается только на стадиях «инициации» и «регистрации» проводок.

II. Допущения касательно структурирования рисков 

8. Риски описываются в форме WCGW («What Could Go Wrong») и ассоциируются с бизнес-целями, присущими рассматриваемому процессу (хозяйственной операции).

Этот метод позволяет формулировать риски в формате «причина – следствие», где WCGW – причина риска, а следствие – это недостижение определенной бизнес-цели.

9. Бизнес-цели делятся на три категории:
(1) операционные,
(2) в области подготовки финансовой отчетности,
(3) соответствия нормам законодательства.

10. Соответственно,

(а) риски в области подготовки финансовой отчетности описываются в категориях WCGW по отношению к так называемым «утверждениям менеджмента» (management assertions) относительно достоверности предоставляемой отчетности, а именно:

  • «Оценка стоимости и распределение сумм» (правильно ли отражены в финансовой отчетности суммы статей активов, обязательств, акционерного капитала, выручки и расходов);
  • «Полнота информации» (отражены ли в финансовой отчетности все операции и счета, которые должны быть включены в нее);
  • «Права и обязательства» (представляют ли собой активы права компании, а пассивы – обязательства компании по состоянию на данную дату);
  • «Представление и раскрытие информации» (содержится ли в финансовой отчетности надлежащая классификация и характеристика определенных компонентов финансовой отчетности, раскрыта ли вся необходимая информация по данным компонентам).

В рамках данной задачи приведены примеры только нескольких существенных рисков в области подготовки финансовой отчетности, так как методология их идентификации очень комплексна и сильно зависит от правил учета (требований учетной политики). Кроме того, структурирование этих рисков осуществляется не только в разрезе “утверждений менеджмента”, но и стадий процесса учета и формирования отчетности (“инициация“, “регистрация“, “обработка“, “формирование отчетности“).

(б) риски, подвергающие угрозе достижение целей соответствия законодательства, описываются в категориях нарушения конкретных норм законодательства о договоре комиссии и (некоторых) других норм;

(в) риски, ассоциируемые с операционными бизнес-целями (эффективность и результативность операций), рассматриваются на процессном уровне (см. “Операционные бизнес-цели” ниже) и зависят от того, как определены операционные бизнес-цели. Притом, очень важно, чтобы бизнес-цели были не только специфично определены, но и измеримы, связаны по времени, согласованы с вышестоящими целями (более высокого уровня, вплоть до стратегических), а также реалистичны для достижения.

11. Необходимо также отметить, что поскольку одной из наиболее важных концептуальных целей внедрения консигнационных операций является возможность организации поставок “точно в срок”, существенная часть операционных бизнес-целей так или иначе связана с фактором времени – своевременностью и быстротой.

III. Операционные бизнес-цели

Для решения настоящей задачи (с учетом вышеприведенных допущений) предлагаю рассматри вать следующие операционные бизнес-цели.

Бизнес-цели для процессов:

П1. Организация закупок
БЦ1.1. Своевременно идентифицируются все возможные потенциальные консигнанты.
БЦ1.2. Выбираются выгодные консигнанты, соответствующие критериям: надежность, минимальные цены, на МТР, соответствие характеристик МТР требуемым и т.п.
БЦ1.3. Обеспечены равные условия для эквивалентных потенциальных консигнантов при организации.
БЦ1.4. Решение об авторизации консигнантов принимается быстро, своевременно, непредвзято.

П2. Контрактация
БЦ2.1. Необходимые консигнационные контракты оформляются аккуратно, быстро (с минимальными затратами времени), своевременно.

Также этому процессу свойственны цели соответствия нормам законодательства РФ, в частности такую цель можно сформулировать таким образом: «Положения консигнационных контрактов соответствует нормам законодательства РФ».

П3. Краткосрочное планирование
БЦ3.1. Своевременно составляются реалистичные помесячные и понедельные планы закупок (заявок) по консигнационным схемам.
БЦ3.2. Краткосрочные планы согласуются с планами производства.

П4. Логистика

П4.1. Создание заявки на закупку
БЦ4.1.1. Заявки готовятся в случае необходимости.
БЦ4.1.2. Заявки создаются и принимаются к исполнению быстро и своевременно.

П4.2. Приемка/получение МТР
БЦ4.2.1. Принимаются качественные МТР согласно заявкам.
БЦ4.2.2. Приемка/получение осуществляется быстро и своевременно.

П4.3. Поставка (передача/транспортировка) на склады Компании
БЦ4.3.1. Поставка осуществляется своевременно (“точно в срок”) и быстро.
БЦ4.3.2. Минимизируются издержки поставки.
БЦ4.3.3. Обеспечивается сохранность МТР при такой поставке (передаче/транспортировке).

П4.4. Хранение на консигнационных складах
БЦ4.4.1. Срок хранения МТР не более 1 дня.
БЦ4.4.2. Поддерживаются необходимые условия хранения.
БЦ4.4.3. Обеспечивается сохранность МТР при хранении.

П4.5. Распоряжение
БЦ4.5.1. Расходуются только необходимые МТР.
БЦ4.5.2. Своевременное формирование налогооблагаемой базы по налогу на прибыль.

П5. Оплата
БЦ5.1.1. Оплата осуществляется только по факту распоряжения.
БЦ5.1.2. Оплата осуществляется согласно положениям контрактов.
БЦ4.5.3. Своевременное формирование налогооблагаемой базы по НДС.

Таблица рисков:

Пояснения относительно ИН (идентификационного номера) риска.
1. Первые две (три – для процесса 4) цифры соответствуют номеру операционной бизнес-цели.
2. Для рисков, относящихся к целям финансовой отчетности, цифры означают соответствие тому или иному бизнес-
процессу, в то время как сами цели стандартизированы в формате «утверждений менеджмента» (см. выше).
3. Буква в идентификационном номере риска означает принадлежность к категории бизнес-цели:
О – операционные;
Ф – относящийся к целям финансовой отчетности,
Н – нормативный.
4. Маленькая буква в рисках типа «Ф» означает принадлежность к стадии процесса подготовки отчетности:
и – «инициация»,
о – «регистрация»,
также есть стадии «обработка» и «отчетность», но они не свойственны именно для рассматриваемой ситуации и отно-
сятся непосредственно к учету и формированию отчетности.
5. Также малая латинская буква в рисках типа «Ф» означает принадлежность к «утверждению менеджмента»:
v – «Оценка стоимости и распределение сумм»;
с – «Полнота информации»;
r – «Права и обязательства»;
d – «Представление и раскрытие информации».

Процесс П1. Организация закупок по консигнационным схемам

Р1.1.1(О). Мероприятия по выявлению новых выгодных потенциальных консигнантов не эффективны.
Р1.1.2(О). Информация, необходимая для выявления новых выгодных потенциальных консигнантов, неточна, ненадежна, поступает несвоевременно.
Р1.1.3(О). Работа по стимулированию выгодных поставщиков к переходу
на консигнационные схемы не ведется или неэффективна.
Р1.2.1(О). Критерии выбора консигнантов неспецифичны, неточны, двусмысленны, что увеличивает возможность (риск) выбора невыгодных консигнантов.
Р1.3.1(О). Конфликт интересов при выборе авторизованных поставщиков, допускаемых к консигнационным схемам, в результате чего выбираются невыгодные поставщики по консигнационным схемам.
Р1.4.1(О). Решение об авторизации выбранных консигнантов затягивается
отдельными участниками процесса авторизации.
Р1.4.2(О) Авторизуются консигнанты, не прошедшие требуемые процедуры отбора.

Процесс П2. Контрактация

Р2.1.1(О). Оформление консигнационных контрактов затягивается.
Р2.1.2(О). Экспертиза консигнационных контрактов некачественна.
Р2.1.3(О). Консигнационные контракты заключаются с невыгодными поставщиками.
Р2.1.4(О). Консигнационные контракты заключаются на невыгодных условиях.
Р2.1(Н). Положения консигнационных контрактов не соответствуют нормам законодательства РФ о договоре комиссии [можно конкретизировать наиболее критичные нормы:
– …
– …
– …
или расписать риски в разрезе конкретных норм, в том числе, возможно,
в зависимости от вида закупаемого МТР
]
Р2(Ф-и-с). Информация о новом консигнанте несвоевременно вносится в соответствующие справочники, в результате чего учетная информация может быть искажена.

Процесс П3. Краткосрочное (помесячно, понедельно) планирование

Р3.1.1(О). Краткосрочное планирование формально и нереалистично.
Р3.1.2(О). Понедельное и помесячное планирование не согласуются между собой.
Р3.2.1(О). Краткосрочные планы производства нереалистичны, в результате чего возникают затруднения при их согласовании с краткосрочными планами закупок по консигнационным схемам.

Процесс П4. Логистика

Р4.1.1.1(О). При формировании заявки предпочтение отдается какому-либо консигнанту из числа равноприемлемых для конкретной ситуации.
Р4.1.2.1(О). Недостаточная квалификация сотрудников, создающих заявки на закупку по консигнационной схеме.
Р4.1.2.2(О). Отсутствие должной координации при создании и принятии заявки к исполнению.
Р4.1.1.3(О). Утечка информации из базы заявок.
Р4.2.1.1(О). Проверку качества МТР по заявкам осуществляет специалист, не обладающий требуемыми компетенциями.
Р4.2.1.2(О). При приемке МТР по заявкам отсутствуют необходимые критерии качества, или они неточны, двусмысленны.
Р4.2.2.1(О). Приемка/получение МТР затягивается в связи с отсутствием необходимых исполнителей.
Р4.2.2.2(О). Приемка/получение МТР затягивается в связи с отсутствием необходимых МТР у консигнанта.
Р4.22.3(О). Отказ консигнантов работать с Компанией из-за плохой коммуникации.
Р4.3.1.1(О). Поставка (передача/транспортировка) МТР на склады затягивается в связи с отсутствием необходимого транспорта или исполнителей.
Р4.3.2.1(О). При поставке на склады Компании приоритет отдается в пользу консигнационного склада Компании, а не производственного (при прочих равных условиях).
Р4.3.2.2(О). Нерациональное использование бюджета поставки.
Р4.3.3.1(О). Воровство/подмена МТР при поставке (передаче/транспортировке МТР на склады.
Р4.4.3.1(О). Хранение МТР, закупаемых по консигнационным схемам, не согласуется с производственными потребностями, в результате чего хранение МТР на консигнационном складе консигнатора превышает 1 день.
Р4.4.3.2(О). Условия хранения не соотносятся с требованиями, предъявляемыми к хранению закупаемых МТР.
Р4.4.3.3(О). Воровство/подмена МТР при хранении.
Р4.5.1.1(О). Подмена цели расходования МТР при отпуске в производство.
Р4.5.1.2(О). Информация о расходе несвоевременная, в результате чего может быть искажена налогооблагаемая база по налогу на прибыль (что чревато налоговыми санкциями).
Р4.5(Ф-р-с). Списание отражается несвоевременно, в результате чего операция не регистрируется в соответствующем отчетном периоде.
Р4.5(Ф-р-v). Списание отражается по ценам, не соответствующим требованиям учетной политики.
Р4.5(Ф-р-r). Списание отражается несвоевременно, в результате чего переход права собственности.
Р4.5(Н). Списание отражается несвоевременно, в результате чего нарушаются требования законодательства РФ о договоре комиссии
[можно конкретизировать наиболее критичные нормы:
– …
– …
– …
или расписать риски в разрезе конкретных норм, в том числе, возможно,
в зависимости от вида закупаемого МТР
]

Процесс П5. Оплата

Р5.1.1(О). Поступает искаженная информация о факте распоряжения (списания МТР, закупаемого по консигнационной схеме в производство).
Р5.2.1(О). Более 90% платежей осуществляется в нарушение условий шаблонных договоров, являющихся критериев при отборе консигнантов.
Р5.2.2(О). При оплате отдается предпочтение одним консигнантам перед другими (при прочих равных условиях). Конфликт интересов при оплате.
Р5.3.1(О). Информация об оплате поступает несвоевременно, в результате чего может быть искажена налогооблагаемая база по налогу НДС, что чревато налоговыми санкциями.
Р5(Ф-р-с). Оплата отражается несвоевременно, в результате чего операция
не регистрируется в соответствующем отчетном периоде.

Риск-ориентированный аудит

Институт внутренних аудиторов (Великобритания и Ирландия), август 2003
Профессиональная позиция. Источник: www.iia.org.uk. Перевод: Василий Кудрин.

Введение


Фокус работы внутреннего аудита за последние годы значительно изменился. Произошло смещение от системно-ориентированного аудита к процессно-ориентированному аудиту, и акцент в настоящее время делается на риск-ориентированный внутренний аудит.

Риск-ориентированный аудит – широко используемый, но часто не понимаемый термин. Данный документ имеет целью довести определенную точку зрения (позицию) относительно риск-ориентированного внутреннего аудита и предложить Вашему вниманию высококачественный подход его достижения.

Описание ситуации


Сегодня под внутренним аудитом понимается следующее.

«Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании. Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления.»

Риск-ориентированный внутренний аудит – подход, способствующий достижению указанных требований. Стандарты профессиональной практики внутреннего аудита и связанные с ними Практические советы уделяют особое значение внедрению риск-ориентированного подхода во внутреннем аудите.

Данный подход также соответствует общеизвестному руководству Тернбулла (Turnbull) «Внутренний контроль: Руководство для директоров по корпоративному кодексу», которое требует от руководства применения «риск-ориентированного подхода в создании надежной системы внутреннего аудита и мониторинга ее эффективности» и внедрение риск-менеджмента и системы внутреннего контроля в корпоративную культуру.

Внутренним аудиторам следует внедрять риск-ориентированный подход в соответствии с тем, что уже применяется в компании. Имеется много подходов, которые могут быть применимы внутренним аудитом в зависимости от степени надежности процессов риск-менеджмента, используемых в компании, на которые внутренний аудит может полагаться. Это позволяет аудиторам избегать дублирования процессов, уже исполняемых менеджментом, и исследовать эти процессы и результаты.

Возможно, можно сказать, что внутренние аудиторы, итак, всегда концентрировали свои усилия на наиболее рисковых областях компании. Однако, такой подход исторически нацелен на оценку рисков, сделанную собственно внутренним аудитом. Ключевое отличие риск-ориентированного внутреннего аудита в том, что фокус должен быть нацелен на то, чтобы понять и проанализировать оценку рисков, сделанную самим руководством, и чтобы сосредоточить все усилия аудиторов вокруг этого процесса.

Что же такое риск-ориентированный внутренний аудит?

Цель риск-ориентированного внутреннего аудита состоит в том, чтобы дать независимые гарантии совету директоров в том, что:

  • Процессы риск-менеджмента, которые внедрены руководством в компании, а именно все процессы риск-менеджмента на уровне всей компании, отдельных подразделений, бизнес-единиц, бизнес-процессов и т.п., – работают должным образом.
  • Данные процессы риск-менеджмента надежно спланированы.
  • Менеджмент адекватно и эффективно реагирует на принятые к управлению риски в плане их уменьшения до уровня, приемлемого для совета директоров.
  • Также внедрена система контроля, достаточно надежно смягчающая риски, которые приняты к управлению.

Риск-ориентированный внутренний аудит начинается с бизнес-целей и, далее, фокусируется на тех рисках, которые выделяются самим руководством и которые могут препятствовать достижению целей.

Роль внутреннего аудита состоит в том, чтобы определить области, которые охвачены процессами риск-менеджмента, исполняемыми самим руководством в целях сокращения рисков до уровня, приемлемого для совета директоров (риск-«аппетита»).

В то время, как основной вклад внутреннего аудита в том, чтобы дать менеджменту гарантии качества работы с рисками, осуществляемой посредством процессов корпоративного управления и внутреннего контроля, он также может консультировать менеджмент по вопросам реагирования на риски, состоящим в решениях по ограничению, передаче или допущению рисков.

Риск-ориентированный подход во внутреннем аудите приведен схематично ниже:

rbia2

Практика риск-ориентированного подхода во внутреннем аудите


Общая информация:

  • Объем риск-ориентированного аудита, включает стратегические риски и бизнес-риски.
  • Ключевая начальная точка – определение, установлены ли компанией соответствующие бизнес-цели и, далее, определение, есть ли у бизнеса адекватный процесс выявления (идентификации), оценки и управления рисками, который воздействует на достижение этих целей.
  • В устоявшейся среде риск-менеджмента внутренний аудит может быть сосредоточен на:

– аудите инфраструктуры риск-менеджмента, например: ресурсах, документации, методах, отчетности;

аудите всей системы внутреннего контроля всей организации и отдельных подразделений;

проведении отдельных аудиторских заданий, которые преимущественно посвящены специфическим рискам. Там, где набор рисков контролируется посредством обычной системы или процесса, может быть правильнее проводить совмещенный аудит этой системы или процесса.

  • В менее устоявшейся среде риск-менеджмента, там, где отдельные аудиторские задания преимущественно сфокусированы на законченных системах, процессах или бизнес-единицах, внутренний аудит включает обзор бизнес-целей и процессов риск-менеджмента в рамках каждой данной аудируемой единицы.
  • Там, где процессы риск-менеджмента адекватны и внедрены, внутренний аудит, где это возможно, полагается на представление (видение) самой компании о рисках для того, чтобы определить объем необходимой аудиторской работы.
  • Там, где на процессы риск-менеджмента нельзя положиться, внутренний аудит берет на себя оценку рисков (действуя вместе с руководством), чтобы определить точный необходимый объем работ и только после этого сфокусироваться на том, а как же руководство удостоверяется в том, что процессы риск-менеджмента работают должным образом.
  • Конечный результат каждого аудиторского задания состоит в том, чтобы подтвердить, что риски управляются на приемлемом уровне (как определено риск-«аппетитом») или в том, чтобы содействовать необходимым улучшениям или договориться о них.

Диапазон риск-менеджмента


Очень важно понимать, что не все организации находятся на одной и той же стадии внедрения риск-менеджмента. Нижеприведенная диаграмма показывает стадии завершенности управления рисками и подход внутреннего аудита, который может быть применен на каждой стадии.

rbia3

Каждая компания должна сама определить, как внедрять риск-менеджмент. Это поможет определить ее риск-«аппетит» и стадию развития риск-менеджмента. Например, не все компании будут стремиться быть полностью приспособленными к рискам, так как требуется сопоставлять затраты с предполагаемыми потенциальными выгодами. Диапазон риск-менеджмента – это прерогатива совета директоров и высшего руководства.

В дополнение к завершенности риск-менеджмента внутри компании масштаб (объем) области, к которой внутреннему аудиту нужно предпринять собственную оценку рисков, зависит от степени и скорости стратегических и организационных преобразований.

При аудите какого-либо проекта также должны быть охвачены процедуры риск-менеджмента, как покрывающие проекты в общем, так и касающиеся конкретно данного проекта.

Выводы


Риск-ориентированный аудит не препятствует использованию системно-ориентированных или процессно-ориентированных аудиторских процедур в случае необходимости. Однако, это все же подход, который сосредоточен на вопросах, имеющих отношение к компании, и на предоставлении гарантий в рамках системы риск-менеджмента, внедренного в компании. Риск-ориентированный аудит позволяет внутреннему аудиту быть непосредственно связанным со структурой риск-менеджмента, таким образом создавая синергетический эффект.