Academy Lab

Риск-менеджмент – ключевое понятие в экзамене CIA

Понимание процесса риск — менеджмента и роли внутреннего аудита в этом процессе – это ключевая тема, тестируемая на экзамене CIA.

В действительности нужно быть готовым, что вопросы риск-менеджмента и риск-ориентированного подхода к проведению заданий по внутреннему аудиту встретятся в тестировании всех трех частей экзамена CIA. Вопросы риск-менеджмента рассматриваются в многочисленных регулирующих документах: COSO – ERM Integrating with Strategy and Performance, COSO ERM, ИСО 31000, Базель III, Руководство Тернбулла, COBIT (ISACA) и многих других.

Прежде всего, давайте вспомним основные понятия, в том виде, в котором они тестируются в экзамене:

Управление рисками подразумевает выявление, оценку, управление и контроль возможных событий или ситуаций для обеспечения разумных гарантий достижения организацией своих целей. Именно повышение вероятности достижения стратегических целей является одной из важнейших целей риск-менеджмента.

Итак, риск – это возможность наступления какого-либо события, которое может оказать влияние на достижение целей. При этом мы подразумеваем именно негативное событие. Если речь идет о благоприятной ситуации, то это будет называться «возможность». Риск – совершенно неотъемлемая часть жизни и бизнеса.

Первым этапом в процессе управления рисками является идентификация событий, (risk event), которые стоят на пути достижения целей. Это может быть сделано самыми разными способами. Например, экспертным путем – то есть беседой с ключевыми сотрудниками для выяснения их мнения о существующих рисках. Можно изучить статистику и проанализировать причины прошлых убытков компании. Одним из самых популярных методов является описание процессов и выявление рисков, возникающих на каждом этапе процесса. В результате у компании должен оказаться «на руках» реестр рисков. Причем это может быть как список укрупненных рисков (технологические, финансовые, политические, природные и пр.), который впоследствии должен быть декомпозирован, так и список «точечных» рисков (например, «риск простоя оборудования вследствие аварии на производстве»).

Риск характеризуется с двух сторон: вероятность его возникновения и воздействие (т.е. тот ущерб, который может быть нанесен компании в случае реализации риска). Оценка рисков подразумевает количественную или качественную оценку как вероятности, так и воздействия этого риска. Количественные методы оценки основываются на математических моделях (например, моделирование методом Монте-Карло, реализованный в ИТ приложении Crystal Ball) и, в основном, применяются к оценке финансовых рисков. Другие риски (экологический, политический, репутационный) оцениваются качественно, с помощью экспертных мнений.

Для документирования оценки рисков применяются разные способы: это и тепловая карта (где риски окрашены в разные цвета) или, например, карта рисков – двухмерная шкала, где риски представлены по увеличению вероятности и воздействия.

Часть рисков может управляться компанией – это значит, что своими усилиями компания может уменьшить или вероятность, или воздействие этих рисков. Например, в случае существенного риска мошенничества компания может предусмотреть дополнительные контрольные процедуры. Другие риски являются слабо управляемыми. Например, риск наступления стихийного бедствия: наводнения, землетрясения. Компания может предусмотреть план быстрого восстановления от последствий реализации таких рисков, или передать их третьей стороне, например, застраховать объект.

Классическая теория выделяет четыре способа реагирования на риски: уклонение от риска (прекращение деятельности, ведущей к риску), сокращение, перераспределение его третьим лицам (страхование) и принятие. Таким образом, оставшийся после предпринятых действий риск (остаточный риск) не должен превышать допустимого риска, установленного компанией.

Интегрированный подход подразумевает внедрение риск-менеджмента во все бизнес-процессы компании: при разработке стратегии, при инвестировании, бюджетировании и, разумеется, при проведении аудиторских проверок.

Согласно стандарту 2010, выпущенному Институтом внутренних аудиторов (ИВА), «руководитель внутреннего аудита должен составить риск ориентированный план, определяющий приоритеты внутреннего аудита в соответствии с целями организации». Таким образом, из карты рисков компании выбираются наиболее значительные риски, анализ и проверка которых лежит в основе аудиторского плана проверок и программы аудита.  В результате, под проверку попадают приоритетные процессы, в которых находятся ключевые риски.

Конечно, в реальности, возникает много вопросов с внедрением и документированием процессов риск-менеджмента в компании.

Согласно одной из самых популярных классификаций уровней организационной зрелости, CMM (Capability Maturity Model), выделяют следующие пять уровней зрелости процессов в компании:

  1. Начальный: процессы непредсказуемые, слабо контролируемые, спонтанные информационные связи, хаотичность.
  2. Повторяемый: базовые процессы уже отслеживаются, повторяются. Часто процессы появляются в ответ на определенные события.
  3. Установленный: есть определенный документированный процесс, не зависящий от отдельных личностей. Вводятся стандарты.
  4. Управляемый: процессы измеряются и контролируются, управляются на основе количественных данных, используется обратная связь.
  5. Оптимизированный: постоянное совершенствование — есть действующая процедура поиска и освоения новых и улучшенных методов и инструментов.

Уровень зрелости компании влияет и на выделение функции риск-менеджмента в отдельное подразделение в компании. Однако, отсутствие обособленного подразделения не означает, что риск-менеджмент в компании отсутствует. Часто эта функция передается другим отделам, например, финансовому отделу, казначейству, а также подразделению внутреннего аудита.

Как указано в Руководстве по применению стандарта 2120.1, выпущенным ИВА, с течением времени будет меняться степень вовлеченности аудиторов (от отсутствия какой-либо роли до управления и координации процессов управления рисками). Однако, важно отслеживать, что если руководителю внутреннего аудита поручено выполнение дополнительных функций и обязанностей вне сферы непосредственно внутреннего аудита (например, обязанностей по риск-менеджменту), то это может отрицательно повлиять на независимость и объективность (стандарт 1112).

 

Формула успеха

Основная цель риск ориентированного подхода управления бизнесом – сделать все возможное для достижения стратегических целей. Действительно, преуспеть в изменчивом мире бизнеса можно, только если компания своевременно выявляет и управляет возникающими рисками. Успех на экзамене CIA во многом зависит от знания концепции эффективного риск-менеджмента. Удачи на экзамене!

Екатерина Бурцева

Екатерина Бурцева

Менеджер EY, консультант и бизнес-тренер Академии бизнеса EY

Оставьте свой комментарий

Свежие статьи