Глава 4. Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита

Глава 4.

Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита

Основные понятия

Перед тем как углубиться в тему данной главы, необходимо познакомиться поближе с ее основными понятиями, в число которых входят:

• риск;

• фактор риска;

• владелец риска.

Риск. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни.

Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий – работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. д. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. е. негативное событие произошло, этот риск становится фактором риска для следующего негативного события (производственная ошибка). Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки – производственной ошибки-аварии.

С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками.

Фактор риска. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства (деревянный дом и скарб) сами по себе не являются причиной пожара, но образуют факторы риска этого события – они увеличивают вероятность его возникновения и усиливают негативный эффект. Выяснив различия понятий «причина риска» и «фактор риска», я предлагаю… забыть о них. Для простоты будем оперировать только понятием «фактор риска».

Владелец риска. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:

• снижение темпов реализации продукции предприятия;

• несвоевременная отгрузка продукции;

• необоснованное увеличение объемов производства.

На первый взгляд у данного риска несколько владельцев, поскольку причины указывают на разные варианты развития событий. Однако, с одной стороны, исходную формулировку риска можно уточнить путем прибавления причины риска (например, затоваривание складов готовой продукцией вследствие снижения темпов реализации продукции предприятия). Таким образом, мы получаем три риска. У них персональные владельцы более очевидны, чем у исходного риска:

• дирекция по продажам и маркетингу;

• дирекция по логистике;

• дирекция по производству.

С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов. Определим их следующим образом[4]:

• процесс «Продажи» – своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в краткосрочной перспективе;

• процесс «Управление складской логистикой» – своевременное размещение производимой продукции в складских помещениях, обеспечивающих сохранность в течение оптимального срока хранения;

• процесс «Управление производством» – своевременное производство продукции установленного ассортимента и качества в требуемых объемах.

В свете вышеуказанных целей процессов наиболее заинтересованным в управлении риском затоваривания складов готовой продукцией является владелец процесса «Управление складской логистикой». На достижение целей именно этого процесса реализация данного риска окажет максимальное влияние при условии, что предприятие располагает ограниченными складскими помещениями и его продукция чувствительна к условиям хранения. Владельцу процесса «Управление производством» указанный риск безразличен – его цель будет достигнута независимо от того, происходит затоваривание или нет. Владелец процесса «Продажи» также не особо привязан к риску затоваривания, поскольку его целью является реализация по оптимальным ценам. Если продукция в процессе хранения утратит часть свойств, но будет продана по хорошей цене (пропорционально ниже, чем стоимость качественной продукции), то владелец процесса «Продажи» выполнит поставленную перед ним задачу.

Подводя итог сказанному, еще раз остановимся на ключевых моментах. Во-первых, можно использовать два способа определения владельца риска – дробление исходного риска на более мелкие риски (при этом необходимо правильно установить полный перечень ключевых причин риска) или определение заинтересованности в управлении риском (при этом необходимо отталкиваться от целей процессов). К недостаткам первого способа можно отнести то, что в результате дробления рисков может оказаться слишком много для эффективного управления ими (может потребоваться автоматизация процесса). К недостаткам второго способа можно отнести то, что цели процессов, в отличие от причин рисков, меняются чаще. В связи с этим при каждом изменении целей необходимо пересматривать привязку рисков к имеющимся процессам. Например, используя параметры предыдущего примера, предположим, что компания стала производить продукцию, которую все равно где хранить. Параллельно перед владельцем процесса «Продажи» была поставлена цель «своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в долгосрочной перспективе», что может привести к придерживанию продукции с целью более выгодной продажи в будущем (в расчете, например, на рост цен). В этом случае владельцем риска затоваривания складов становится владелец процесса «Продажи», так как именно его цель больше всего страдает от реализации риска.

Во-вторых, необходимо устанавливать единственного владельца конкретного риска. Когда владельцев одного риска несколько, крайне сложно определить, кто в большей степени отвечает за управление этим риском.