Управление рисками для развития бизнеса (Risk management for business development)

Решения в области трансформации управления рисками в эффективный инструмент, способствующий совершенствованию бизнес-процессов.

  • Контакты (методология, решения, проекты, обучение).
Theme: Risk Management for Business Improvement and Development Тема: Управление рисками для совершенствования бизнеса компании
Conference: «Risk Management. Building a System to Control Risks» Конференция: «Риск-менеджмент. Построение системы управления рисками»
Structure: Development of risk management in a tool that helps improve business processes. Структура: Развитие управления рисками в инструмент, способствующий совершенствованию бизнес-процессов.
  • Types of risk management (managers).
  • Mapping of risks to business processes.
  • Perception of risk management.
  • Typical mistakes of risk managers.
  • Upside risks examples.
  • Superpositioning of risk management.
  • Transformation to development model (based on managing risks).
  • Типы риск-менеджмента (риск-менеджера).
  • Сопоставление рисков с процессами.
  • Восприятие риск-менеджмента.
  • Распространённые ошибки риск-менеджеров.
  • Риски успускаемых возможностей
  • Суперпозиционирование риск-менеджмента.
  • Трансформация модели развития (на основе управления рисками).
Link: presentation (RU) Ссылка: презентация

Решения в области трансформации управления рисками в эффективный инструмент, способствующий совершенствованию бизнес-процессов.

  • Контакты (методология, решения, проекты, обучение).

Risk management and Audit Committee (Управление рисками и Комитет по аудиту)

Theme: Risk Assessment and Management: Audit Committee’s Overview Тема: Оценка и управление рисками: взгляд со стороны Комитета по аудиту
Conference: Corporate Directors’ Professional Society: Russian Institute of Directors Конференция: Комитет Профессионального сообщества корпоративных директоров: Российский институт директоров
Date: November 11, 2008 Дата: 11 ноября 2008
Board’s Audit Committee’s role in risk assessment and management, understanding key risks, getting assurance on risk management system effectiveness. Роль комитета по аудиту в оценке и управлении рисками, понимание ключевых рисков, получение уверенности относительно эффективности системы риск-менеджмента.
  • Topicality of the task to manage risks correctly.
  • Yin and yang in risk management.
  • Why should a supervisory board’s audit committee take part in managing risks.
  • Leading practices of risk management.
  • Актуальность задачи грамотного управления рисками.
  • Инь и ян в управлении рисками.
  • Зачем комитету по аудиту совета директоров участвовать в управлении рисками?
  • Ведущие практики управления рисками.
Link: presentation (RU) Ссылка: презентация

Корпоративное управление рисками: современный подход

Theme: Modern approach to Enterprise Risk Management. COSO Framework Тема: Корпоративное управление рисками: современный подход. Модель COSO
Seminar: Internal Audit Leadership Seminar (Institute of Internal Auditors), Almaty, Kazakhstan Семинар: Семинар для руководителей и менеджеров внутреннего аудита (Институт внутренних аудиторов), Алматы, Казахстан
Dates, duration: November 9, 2007, 4 hours Даты, продолжительность: 9 ноября 2007, 4 часа
Program: Role of enterprise risk management, COSO and other modern concepts concepts, practical application. Программа: Роль корпоративного управления рисками, COSO и другие современные концепции, практическое применение.
  • Role of enterprise risk management in corporate governance system.
  • Modern concepts of enterprise risk management.
  • Relations to internal control and internal auditing.
  • Introduction into COSO ERM. Analysis of the model’s components.
  • Role and objectives of internal auditing.
  • Роль корпоративного управления рисками в системе корпоративного управления.
  • Современные концепции корпоративного управления рисками.
  • Взаимосвязь с внутренним контролем и внутренним аудитом.
  • Введение в COSO ERM. Анализ компонентов модели.
  • Роль и цели внутреннего аудита.
Link: presentation (RU). Ссылка: презентация.

Contract risk management (Управление контрактными рисками)

Theme: Contract Risk Management, Role of Internal Audit Тема: Управление контрактными рисками, роль внутреннего аудита
Conference: Institute of Internal Auditors (Russia) — meeting Конференция: Встреча российского Института внутренних аудиторов
Structure: Contract life cycle, factors of contract riks occurrence, contract risk management, the role of internal audit function. Структура: Жизненный цикл контракта, факторы появления контрактных рисков, управление контрактными рисками, роль функции внутреннего аудита.
  • Significance of contract risk management.
  • Contract life cycle and contract risk identification.
  • Approach to contract risk management.
  • The role of internal audit.
  • Contract risk management: challenges and benefits.
  • Значимость управления контрактными рисками.
  • Жизненный цикл контракта и идентификация контрактных рисков.
  • Подход к управлению контрактными рисками.
  • Роль внутреннего аудита.
  • Управление контрактными рисками: проблемы и преимущества.
Link: look-up [rus] Ссылка: смотреть [рус]

Требуется оценить риски или выработать решение по управлению специфическими рисками?

  • Контакты (методология, решения, проекты, обучение).

Понятие внутреннего контроля и управление рисками (мастер-класс)

Theme: Internal Control and Risk Management Concept (Internal Audit Engagement Methodology: part 2) Тема: Понятие внутреннего контроля и управление рисками (Методология проекта внутреннего аудита: часть 1)
Project: CAE and Leadership Strategical Competence Проект: Развитие стратегических компетенций руководства внутреннего аудита
Dates, duration: July 5, 2007, 8 hours Даты, продолжительность: 5 июля 2007, 8 часов
Program: Effective practical approach to internal control and risk management implementation. Программа: Практика построения эффективной системы внутреннего контроля и управления рисками.
  • Definitions of internal control and risk management.
  • Conceptual frameworks for internal control and risk management integrated systems. COSO models and others.
  • Three-line defence model.
  • Practical approach to internal control system improvement.
  • Requirements of corporate governance regulation.
  • Определения внутреннего контроля и управления рисками.
  • Концептуальные модели интегрированных систем внутреннего контроля и риск менеджмента. Модели COSO и другие.
  • Модель «трёх линий защиты».
  • Практичный подход к построению системы внутреннего контроля.
  • Требования регуляторов корпоративного управления.

Изображение

Риски консигнационных операций (закупки)

В помощь внутреннему аудитору: риски консигнационных операций (закупки)

Василий Кудрин, дипломированный внутренний аудитор (CIA), дипломированный специалист по самооценке контроля (CCSA)

Для начала:
(1) Конкретизируем ситуацию посредством формулирования допущений (assumptions);
(2) Смоделируем бизнес-процесс и цели процессов, его составляющих.

Поскольку риск суть то, что ограничивает возможность компании достигать поставленные цели, сформулировать риски можно только после того, как буду поняты бизнес-цели, с которыми риски ассоциируются.

I. Допущения касательно бизнес-процесса – объекта аудита

1. Консигнационные операции – это, по сути, комиссионные операции, при которых одна сторона (консигнант) поручает другой (консигнатору), распорядиться товаром со склада от своего имени и за счет консигнанта. Эти товары остаются собственностью консигнанта до момента их распоряжения, в частности производственного потребления.

2. В роли консигнатора выступает рассматриваемая Компания.

3. Компания характеризуется консервативным уровнем риск-аппетита и в частности консервативным риск-порогом для совокупности рисков, ассоциируемых с данным бизнес-процессом.

4. В качестве бизнес-процесса, напрямую связанного с консигнационными операциями, рассматривается (ограничивающийся именно связью с консигнационными схемами) процесс, который включает:
(а) закупки по консигнационным схемам,
(б) логистику закупок (логистика, связанная с работой консигнационных складов),
(в) соответствующую контрактацию,
(г) краткосрочное планирование работы по консигнационным схемам,
(д) оплату по заявкам на закупку по консигнационным схемам.

Следует иметь в виду, что сама по себе консигнационная схема в МТО (материально-техническом обеспечении) позволяет избегать некоторые виды рисков, которые могут быть присущи закупкам без использования консигнационных контрактов, например, риск значимого превышения бюджета на логистику или риск излишних запасов.

Хронологически бизнес-процесс может быть представлен следующим образом:

Закупки с использованием консигнационных схем:
П1. Организация закупок
П2. Контрактация
П3. Краткосрочное планирование
П4. Логистика
П4.1. Создание заявки на закупку
П4.2. Приемка/получение МТР
П4.3. Поставка на склады Компании:
— консигнационные,
— производственные.
Примечение: при поставке на производственные склады – наступает процесс П4.5.
П4.4. Хранение на консигнационных складах.
П4.5. Распоряжение (прим. в этот момент происходит переход права собственности)
П5. Оплата

В данном случае именно процесс «П4» является наиболее специфичным при рассмотрении консигнационных схем, а остальные процессы могут и не иметь существенной специфики и реализуются в рамках аналогичных стандартных процессов (например, заключение контракта осуществляется по стандартной схеме, но со специфическим, специально разработанным шаблоном). Тем не менее, поскольку специфика консигнационных схем влияет на совокупность (множество) рисков (risk universe), процессы П1-П3 и П5 также необходимо охватывать – включать в фокус проекта внутреннего аудита.

5. Частью процесса, несомненно, может являться EDI (электронный обмен данных) между сторонами, однако предлагаю не рассматривать его в рамках задачи, т.к. это ИТ-процесс и, соответственно, риски, ему присущие, достаточно стандарты, равно как общие и прикладные контроли.

Для понимания рисков EDI и аналогичных процессов рекомендуется использовать стандарты ISACA и, следовательно, соответствующую модель контроля. В частности, CobiT 4.0.

6. Соответствующие процессы долгосрочного планирования не рассматриваются, так же, как и не рассматриваются связанные стратегические риски.

7. Учетный процесс затрагивается только на стадиях «инициации» и «регистрации» проводок.

II. Допущения касательно структурирования рисков 

8. Риски описываются в форме WCGW («What Could Go Wrong») и ассоциируются с бизнес-целями, присущими рассматриваемому процессу (хозяйственной операции).

Этот метод позволяет формулировать риски в формате «причина – следствие», где WCGW – причина риска, а следствие – это недостижение определенной бизнес-цели.

9. Бизнес-цели делятся на три категории:
(1) операционные,
(2) в области подготовки финансовой отчетности,
(3) соответствия нормам законодательства.

10. Соответственно,

(а) риски в области подготовки финансовой отчетности описываются в категориях WCGW по отношению к так называемым «утверждениям менеджмента» (management assertions) относительно достоверности предоставляемой отчетности, а именно:

  • «Оценка стоимости и распределение сумм» (правильно ли отражены в финансовой отчетности суммы статей активов, обязательств, акционерного капитала, выручки и расходов);
  • «Полнота информации» (отражены ли в финансовой отчетности все операции и счета, которые должны быть включены в нее);
  • «Права и обязательства» (представляют ли собой активы права компании, а пассивы — обязательства компании по состоянию на данную дату);
  • «Представление и раскрытие информации» (содержится ли в финансовой отчетности надлежащая классификация и характеристика определенных компонентов финансовой отчетности, раскрыта ли вся необходимая информация по данным компонентам).

В рамках данной задачи приведены примеры только нескольких существенных рисков в области подготовки финансовой отчетности, так как методология их идентификации очень комплексна и сильно зависит от правил учета (требований учетной политики). Кроме того, структурирование этих рисков осуществляется не только в разрезе «утверждений менеджмента», но и стадий процесса учета и формирования отчетности («инициация«, «регистрация«, «обработка«, «формирование отчетности«).

(б) риски, подвергающие угрозе достижение целей соответствия законодательства, описываются в категориях нарушения конкретных норм законодательства о договоре комиссии и (некоторых) других норм;

(в) риски, ассоциируемые с операционными бизнес-целями (эффективность и результативность операций), рассматриваются на процессном уровне (см. «Операционные бизнес-цели» ниже) и зависят от того, как определены операционные бизнес-цели. Притом, очень важно, чтобы бизнес-цели были не только специфично определены, но и измеримы, связаны по времени, согласованы с вышестоящими целями (более высокого уровня, вплоть до стратегических), а также реалистичны для достижения.

11. Необходимо также отметить, что поскольку одной из наиболее важных концептуальных целей внедрения консигнационных операций является возможность организации поставок «точно в срок», существенная часть операционных бизнес-целей так или иначе связана с фактором времени – своевременностью и быстротой.

III. Операционные бизнес-цели

Для решения настоящей задачи (с учетом вышеприведенных допущений) предлагаю рассматри вать следующие операционные бизнес-цели.

Бизнес-цели для процессов:

П1. Организация закупок
БЦ1.1. Своевременно идентифицируются все возможные потенциальные консигнанты.
БЦ1.2. Выбираются выгодные консигнанты, соответствующие критериям: надежность, минимальные цены, на МТР, соответствие характеристик МТР требуемым и т.п.
БЦ1.3. Обеспечены равные условия для эквивалентных потенциальных консигнантов при организации.
БЦ1.4. Решение об авторизации консигнантов принимается быстро, своевременно, непредвзято.

П2. Контрактация
БЦ2.1. Необходимые консигнационные контракты оформляются аккуратно, быстро (с минимальными затратами времени), своевременно.

Также этому процессу свойственны цели соответствия нормам законодательства РФ, в частности такую цель можно сформулировать таким образом: «Положения консигнационных контрактов соответствует нормам законодательства РФ».

П3. Краткосрочное планирование
БЦ3.1. Своевременно составляются реалистичные помесячные и понедельные планы закупок (заявок) по консигнационным схемам.
БЦ3.2. Краткосрочные планы согласуются с планами производства.

П4. Логистика

П4.1. Создание заявки на закупку
БЦ4.1.1. Заявки готовятся в случае необходимости.
БЦ4.1.2. Заявки создаются и принимаются к исполнению быстро и своевременно.

П4.2. Приемка/получение МТР
БЦ4.2.1. Принимаются качественные МТР согласно заявкам.
БЦ4.2.2. Приемка/получение осуществляется быстро и своевременно.

П4.3. Поставка (передача/транспортировка) на склады Компании
БЦ4.3.1. Поставка осуществляется своевременно («точно в срок») и быстро.
БЦ4.3.2. Минимизируются издержки поставки.
БЦ4.3.3. Обеспечивается сохранность МТР при такой поставке (передаче/транспортировке).

П4.4. Хранение на консигнационных складах
БЦ4.4.1. Срок хранения МТР не более 1 дня.
БЦ4.4.2. Поддерживаются необходимые условия хранения.
БЦ4.4.3. Обеспечивается сохранность МТР при хранении.

П4.5. Распоряжение
БЦ4.5.1. Расходуются только необходимые МТР.
БЦ4.5.2. Своевременное формирование налогооблагаемой базы по налогу на прибыль.

П5. Оплата
БЦ5.1.1. Оплата осуществляется только по факту распоряжения.
БЦ5.1.2. Оплата осуществляется согласно положениям контрактов.
БЦ4.5.3. Своевременное формирование налогооблагаемой базы по НДС.

Таблица рисков:

Пояснения относительно ИН (идентификационного номера) риска.
1. Первые две (три – для процесса 4) цифры соответствуют номеру операционной бизнес-цели.
2. Для рисков, относящихся к целям финансовой отчетности, цифры означают соответствие тому или иному бизнес-
процессу, в то время как сами цели стандартизированы в формате «утверждений менеджмента» (см. выше).
3. Буква в идентификационном номере риска означает принадлежность к категории бизнес-цели:
О – операционные;
Ф – относящийся к целям финансовой отчетности,
Н – нормативный.
4. Маленькая буква в рисках типа «Ф» означает принадлежность к стадии процесса подготовки отчетности:
и – «инициация»,
о – «регистрация»,
также есть стадии «обработка» и «отчетность», но они не свойственны именно для рассматриваемой ситуации и отно-
сятся непосредственно к учету и формированию отчетности.
5. Также малая латинская буква в рисках типа «Ф» означает принадлежность к «утверждению менеджмента»:
v — «Оценка стоимости и распределение сумм»;
с — «Полнота информации»;
r — «Права и обязательства»;
d — «Представление и раскрытие информации».

Процесс П1. Организация закупок по консигнационным схемам

Р1.1.1(О). Мероприятия по выявлению новых выгодных потенциальных консигнантов не эффективны.
Р1.1.2(О). Информация, необходимая для выявления новых выгодных потенциальных консигнантов, неточна, ненадежна, поступает несвоевременно.
Р1.1.3(О). Работа по стимулированию выгодных поставщиков к переходу
на консигнационные схемы не ведется или неэффективна.
Р1.2.1(О). Критерии выбора консигнантов неспецифичны, неточны, двусмысленны, что увеличивает возможность (риск) выбора невыгодных консигнантов.
Р1.3.1(О). Конфликт интересов при выборе авторизованных поставщиков, допускаемых к консигнационным схемам, в результате чего выбираются невыгодные поставщики по консигнационным схемам.
Р1.4.1(О). Решение об авторизации выбранных консигнантов затягивается
отдельными участниками процесса авторизации.
Р1.4.2(О) Авторизуются консигнанты, не прошедшие требуемые процедуры отбора.

Процесс П2. Контрактация

Р2.1.1(О). Оформление консигнационных контрактов затягивается.
Р2.1.2(О). Экспертиза консигнационных контрактов некачественна.
Р2.1.3(О). Консигнационные контракты заключаются с невыгодными поставщиками.
Р2.1.4(О). Консигнационные контракты заключаются на невыгодных условиях.
Р2.1(Н). Положения консигнационных контрактов не соответствуют нормам законодательства РФ о договоре комиссии [можно конкретизировать наиболее критичные нормы:
— …
— …
— …
или расписать риски в разрезе конкретных норм, в том числе, возможно,
в зависимости от вида закупаемого МТР
]
Р2(Ф-и-с). Информация о новом консигнанте несвоевременно вносится в соответствующие справочники, в результате чего учетная информация может быть искажена.

Процесс П3. Краткосрочное (помесячно, понедельно) планирование

Р3.1.1(О). Краткосрочное планирование формально и нереалистично.
Р3.1.2(О). Понедельное и помесячное планирование не согласуются между собой.
Р3.2.1(О). Краткосрочные планы производства нереалистичны, в результате чего возникают затруднения при их согласовании с краткосрочными планами закупок по консигнационным схемам.

Процесс П4. Логистика

Р4.1.1.1(О). При формировании заявки предпочтение отдается какому-либо консигнанту из числа равноприемлемых для конкретной ситуации.
Р4.1.2.1(О). Недостаточная квалификация сотрудников, создающих заявки на закупку по консигнационной схеме.
Р4.1.2.2(О). Отсутствие должной координации при создании и принятии заявки к исполнению.
Р4.1.1.3(О). Утечка информации из базы заявок.
Р4.2.1.1(О). Проверку качества МТР по заявкам осуществляет специалист, не обладающий требуемыми компетенциями.
Р4.2.1.2(О). При приемке МТР по заявкам отсутствуют необходимые критерии качества, или они неточны, двусмысленны.
Р4.2.2.1(О). Приемка/получение МТР затягивается в связи с отсутствием необходимых исполнителей.
Р4.2.2.2(О). Приемка/получение МТР затягивается в связи с отсутствием необходимых МТР у консигнанта.
Р4.22.3(О). Отказ консигнантов работать с Компанией из-за плохой коммуникации.
Р4.3.1.1(О). Поставка (передача/транспортировка) МТР на склады затягивается в связи с отсутствием необходимого транспорта или исполнителей.
Р4.3.2.1(О). При поставке на склады Компании приоритет отдается в пользу консигнационного склада Компании, а не производственного (при прочих равных условиях).
Р4.3.2.2(О). Нерациональное использование бюджета поставки.
Р4.3.3.1(О). Воровство/подмена МТР при поставке (передаче/транспортировке МТР на склады.
Р4.4.3.1(О). Хранение МТР, закупаемых по консигнационным схемам, не согласуется с производственными потребностями, в результате чего хранение МТР на консигнационном складе консигнатора превышает 1 день.
Р4.4.3.2(О). Условия хранения не соотносятся с требованиями, предъявляемыми к хранению закупаемых МТР.
Р4.4.3.3(О). Воровство/подмена МТР при хранении.
Р4.5.1.1(О). Подмена цели расходования МТР при отпуске в производство.
Р4.5.1.2(О). Информация о расходе несвоевременная, в результате чего может быть искажена налогооблагаемая база по налогу на прибыль (что чревато налоговыми санкциями).
Р4.5(Ф-р-с). Списание отражается несвоевременно, в результате чего операция не регистрируется в соответствующем отчетном периоде.
Р4.5(Ф-р-v). Списание отражается по ценам, не соответствующим требованиям учетной политики.
Р4.5(Ф-р-r). Списание отражается несвоевременно, в результате чего переход права собственности.
Р4.5(Н). Списание отражается несвоевременно, в результате чего нарушаются требования законодательства РФ о договоре комиссии
[можно конкретизировать наиболее критичные нормы:
— …
— …
— …
или расписать риски в разрезе конкретных норм, в том числе, возможно,
в зависимости от вида закупаемого МТР
]

Процесс П5. Оплата

Р5.1.1(О). Поступает искаженная информация о факте распоряжения (списания МТР, закупаемого по консигнационной схеме в производство).
Р5.2.1(О). Более 90% платежей осуществляется в нарушение условий шаблонных договоров, являющихся критериев при отборе консигнантов.
Р5.2.2(О). При оплате отдается предпочтение одним консигнантам перед другими (при прочих равных условиях). Конфликт интересов при оплате.
Р5.3.1(О). Информация об оплате поступает несвоевременно, в результате чего может быть искажена налогооблагаемая база по налогу НДС, что чревато налоговыми санкциями.
Р5(Ф-р-с). Оплата отражается несвоевременно, в результате чего операция
не регистрируется в соответствующем отчетном периоде.

Риск-ориентированный аудит

Институт внутренних аудиторов (Великобритания и Ирландия), август 2003
Профессиональная позиция. Источник: www.iia.org.uk. Перевод: Василий Кудрин.

Введение


Фокус работы внутреннего аудита за последние годы значительно изменился. Произошло смещение от системно-ориентированного аудита к процессно-ориентированному аудиту, и акцент в настоящее время делается на риск-ориентированный внутренний аудит.

Риск-ориентированный аудит — широко используемый, но часто не понимаемый термин. Данный документ имеет целью довести определенную точку зрения (позицию) относительно риск-ориентированного внутреннего аудита и предложить Вашему вниманию высококачественный подход его достижения.

Описание ситуации


Сегодня под внутренним аудитом понимается следующее.

«Внутренний аудит есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на создание добавленной стоимости и совершенствование хозяйственной деятельности компании. Внутренний аудит помогает компании достичь поставленные цели, используя систематизированный и последовательный подход к оценке и повышению эффективности управления рисками, контроля и системы корпоративного управления.»

Риск-ориентированный внутренний аудит – подход, способствующий достижению указанных требований. Стандарты профессиональной практики внутреннего аудита и связанные с ними Практические советы уделяют особое значение внедрению риск-ориентированного подхода во внутреннем аудите.

Данный подход также соответствует общеизвестному руководству Тернбулла (Turnbull) «Внутренний контроль: Руководство для директоров по корпоративному кодексу», которое требует от руководства применения «риск-ориентированного подхода в создании надежной системы внутреннего аудита и мониторинга ее эффективности» и внедрение риск-менеджмента и системы внутреннего контроля в корпоративную культуру.

Внутренним аудиторам следует внедрять риск-ориентированный подход в соответствии с тем, что уже применяется в компании. Имеется много подходов, которые могут быть применимы внутренним аудитом в зависимости от степени надежности процессов риск-менеджмента, используемых в компании, на которые внутренний аудит может полагаться. Это позволяет аудиторам избегать дублирования процессов, уже исполняемых менеджментом, и исследовать эти процессы и результаты.

Возможно, можно сказать, что внутренние аудиторы, итак, всегда концентрировали свои усилия на наиболее рисковых областях компании. Однако, такой подход исторически нацелен на оценку рисков, сделанную собственно внутренним аудитом. Ключевое отличие риск-ориентированного внутреннего аудита в том, что фокус должен быть нацелен на то, чтобы понять и проанализировать оценку рисков, сделанную самим руководством, и чтобы сосредоточить все усилия аудиторов вокруг этого процесса.

Что же такое риск-ориентированный внутренний аудит?

Цель риск-ориентированного внутреннего аудита состоит в том, чтобы дать независимые гарантии совету директоров в том, что:

  • Процессы риск-менеджмента, которые внедрены руководством в компании, а именно все процессы риск-менеджмента на уровне всей компании, отдельных подразделений, бизнес-единиц, бизнес-процессов и т.п., – работают должным образом.
  • Данные процессы риск-менеджмента надежно спланированы.
  • Менеджмент адекватно и эффективно реагирует на принятые к управлению риски в плане их уменьшения до уровня, приемлемого для совета директоров.
  • Также внедрена система контроля, достаточно надежно смягчающая риски, которые приняты к управлению.

Риск-ориентированный внутренний аудит начинается с бизнес-целей и, далее, фокусируется на тех рисках, которые выделяются самим руководством и которые могут препятствовать достижению целей.

Роль внутреннего аудита состоит в том, чтобы определить области, которые охвачены процессами риск-менеджмента, исполняемыми самим руководством в целях сокращения рисков до уровня, приемлемого для совета директоров (риск-«аппетита»).

В то время, как основной вклад внутреннего аудита в том, чтобы дать менеджменту гарантии качества работы с рисками, осуществляемой посредством процессов корпоративного управления и внутреннего контроля, он также может консультировать менеджмент по вопросам реагирования на риски, состоящим в решениях по ограничению, передаче или допущению рисков.

Риск-ориентированный подход во внутреннем аудите приведен схематично ниже:

rbia2

Практика риск-ориентированного подхода во внутреннем аудите


Общая информация:

  • Объем риск-ориентированного аудита, включает стратегические риски и бизнес-риски.
  • Ключевая начальная точка – определение, установлены ли компанией соответствующие бизнес-цели и, далее, определение, есть ли у бизнеса адекватный процесс выявления (идентификации), оценки и управления рисками, который воздействует на достижение этих целей.
  • В устоявшейся среде риск-менеджмента внутренний аудит может быть сосредоточен на:

— аудите инфраструктуры риск-менеджмента, например: ресурсах, документации, методах, отчетности;

аудите всей системы внутреннего контроля всей организации и отдельных подразделений;

проведении отдельных аудиторских заданий, которые преимущественно посвящены специфическим рискам. Там, где набор рисков контролируется посредством обычной системы или процесса, может быть правильнее проводить совмещенный аудит этой системы или процесса.

  • В менее устоявшейся среде риск-менеджмента, там, где отдельные аудиторские задания преимущественно сфокусированы на законченных системах, процессах или бизнес-единицах, внутренний аудит включает обзор бизнес-целей и процессов риск-менеджмента в рамках каждой данной аудируемой единицы.
  • Там, где процессы риск-менеджмента адекватны и внедрены, внутренний аудит, где это возможно, полагается на представление (видение) самой компании о рисках для того, чтобы определить объем необходимой аудиторской работы.
  • Там, где на процессы риск-менеджмента нельзя положиться, внутренний аудит берет на себя оценку рисков (действуя вместе с руководством), чтобы определить точный необходимый объем работ и только после этого сфокусироваться на том, а как же руководство удостоверяется в том, что процессы риск-менеджмента работают должным образом.
  • Конечный результат каждого аудиторского задания состоит в том, чтобы подтвердить, что риски управляются на приемлемом уровне (как определено риск-«аппетитом») или в том, чтобы содействовать необходимым улучшениям или договориться о них.

Диапазон риск-менеджмента


Очень важно понимать, что не все организации находятся на одной и той же стадии внедрения риск-менеджмента. Нижеприведенная диаграмма показывает стадии завершенности управления рисками и подход внутреннего аудита, который может быть применен на каждой стадии.

rbia3

Каждая компания должна сама определить, как внедрять риск-менеджмент. Это поможет определить ее риск-«аппетит» и стадию развития риск-менеджмента. Например, не все компании будут стремиться быть полностью приспособленными к рискам, так как требуется сопоставлять затраты с предполагаемыми потенциальными выгодами. Диапазон риск-менеджмента – это прерогатива совета директоров и высшего руководства.

В дополнение к завершенности риск-менеджмента внутри компании масштаб (объем) области, к которой внутреннему аудиту нужно предпринять собственную оценку рисков, зависит от степени и скорости стратегических и организационных преобразований.

При аудите какого-либо проекта также должны быть охвачены процедуры риск-менеджмента, как покрывающие проекты в общем, так и касающиеся конкретно данного проекта.

Выводы


Риск-ориентированный аудит не препятствует использованию системно-ориентированных или процессно-ориентированных аудиторских процедур в случае необходимости. Однако, это все же подход, который сосредоточен на вопросах, имеющих отношение к компании, и на предоставлении гарантий в рамках системы риск-менеджмента, внедренного в компании. Риск-ориентированный аудит позволяет внутреннему аудиту быть непосредственно связанным со структурой риск-менеджмента, таким образом создавая синергетический эффект.