Аннотация: Изучается методология Risk IT, представляющая целостный взгляд на управление ИТ-рисками. Кратко рассматривается процессная модель Risk IT, анализируется модель зрелости, принятая в Risk IT. Проводится сравнение модели Risk IT с моделями Val IT и COBIT, а также с подходом к управлению рисками, принятым в стандарте ISO 31000.
Концепция и основные понятия Risk IT
Методология Risk IT по структуре близка к Val IT. Основной объект управления в ней, как следует из названия, — это ИТ-риск, который определяется как бизнес-риск, связанный с применением ИТ, владением ИТ, функционированием ИТ, степенью влияния ИТ на бизнес, степенью использования ИТ в организации.
Risk IT базируется на следующих принципах (в близком к оригиналу, но слегка сокращенном изложении):
- Результативное корпоративное управление ИТ-рисками всегда связано с целями бизнеса. Это означает, что:
- ИТ-риск рассматривается как разновидность бизнес-риска, а не как отдельный риск;
- управление рисками нацелено на получение результата для бизнеса. ИТ поддерживают достижение целей бизнеса, и ИТ-риски характеризуются тем, как сильно они влияют на достижение этих целей;
- анализ ИТ-риска включает анализ зависимости бизнес-процесса от ИТ-ресурсов, таких как ИТ-персонал, приложения, инфраструктура;
- управление ИТ-рисками не тормозит бизнес, а способствует его развитию. Бизнес-риск, связанный с ИТ, рассматривается с двух точек зрения: защиты от разрушения ценности и помощи в создании ценности.
- цели бизнеса и размер риска, который готова принять организация, точно определены;
- корпоративные процессы принятия решений охватывают весь спектр последствий риска и открывающихся возможностей;
- склонность бизнес-структуры к риску отражает ее философию управления рисками и влияет на корпоративную культуру и стиль работы;
- проблемы, связанные с рисками, консолидируются в масштабах организации;
- назначены уполномоченные принимать решения, связанные с рисками.
- риск получает приоритет и рассматривается в соответствии со склонностью и толерантностью к риску;
- реализованы средства управления рисками, основывающиеся на анализе затрат и выгод 2 в оригинале — cost-benefit analysis ;
- существующие средства управления усиливаются для того, чтобы управлять многими рисками или управлять риском более эффективно.
- происходит обмен открытой, точной, своевременной и прозрачной информацией об ИТ-риске; решения принимаются на основе этой информации;
- проблемы с ИТ-рисками, принципы и методы управления рисками объединяются в масштабах организации;
- технические решения переводятся на общепонятный язык бизнеса.
- ключевые персоны, т. е. владельцы бизнеса и Совет директоров вовлечены в управление ИТ-рисками;
- назначены осознанно принявшие на себя всю ответственность владельцы рисков. Они утверждают оценки, выполняют измерения их эффективности, интегрируют деятельность по управлению рисками в корпоративную систему вознаграждения эффективной работы. Общее направление задается сверху через политики, процедуры и разумное принуждение;
- со стороны высшего руководства активно насаждается культура, связанная с осознанием рисков. Это помогает гарантировать, что все, сталкивающиеся с управлением операционными рисками , будут использовать согласованные подходы к их оценке;
- решения, связанные с рисками, принимаются уполномоченными сотрудниками, с акцентом на бизнес-аспекты решения, например размер инвестиций в ИТ, объем финансирования ИТ-проектов, основные изменения ИТ-среды, оценку рисков, мониторинг и тестирование средств управления.
- из-за динамической природы ИТ-риска управление им представляет собой итеративный, непрекращающийся и постоянно протекающий процесс. Каждое изменение сопровождается риском и/или новой возможностью, и организация готовится к этому, заранее анализируя вероятные изменения как внутри ее самой, так и вне — в требованиях регуляторов, в ИТ, в бизнесе и т. п.;
- специальное внимание уделяется согласованию в масштабах организации методов оценки рисков, ролей и ответственностей, средств, инструментов и критериев, в частности:
- идентификации ключевых процессов и связанных с ними рисков;
- пониманию влияния рисков на достижение целей;
- идентификации триггеров, сигнализирующих о необходимости обновить методологию или ее части;
Такое пространное изложение основных принципов Risk IT дает представление о его границах и позволяет оценить адекватность процессной модели Risk IT поставленным задачам.
Как выявить риски экспертными методами
4 3 Идентификация рисков компании
Процессная модель Risk IT
Процессы, входящие в модель Risk IT, разбиты на три области: корпоративное управление рисками , реакция на риски, оценка рисков. Я рассмотрю для примера корпоративное управление рисками .
Корпоративное управление рисками
Цель области: обеспечить включение практик управления ИТ-рисками в систему управления организацией с целью обеспечить получение скорректированной с учетом риска выгоды.
Метрики области: степень, до которой стратегическое использование ИТ для повышения отдачи от корпоративных ресурсов снижает общекорпоративные риски. Процент должностей, связанных с управлением критическими рисками, занятых персоналом, обученным соответствующим методам (например, стандартным методам анализа рисков , кризисному управлению, управлению проектами).
- RG1. Внедрить и поддерживать общий взгляд на риски. Цель процесса: гарантировать, что деятельность по управлению рисками соответствует объективной возможности организации нести потери, связанные с ИТ, и ее субъективной толерантности к рискам.
Ключевые активности:
- RG1.1. Выполнить корпоративную оценку ИТ-рисков.
- RG1.2. Предложить пороги толерантности к ИТ-рискам.
- RG1.3. Утвердить пороги толерантности.
- RG1.4. Согласовать политику ИТ-рисков.
- RG1.5. Развивать культуру осознания ИТ-рисков.
- RG1.6. Поддерживать результативные коммуникации, связанные с ИТ-рисками.
Ключевые активности:
- RG2.1. Установить и поддерживать персональную ответственность за управление ИТ-рисками.
- RG2.2. Координировать стратегии управления бизнес-рисками и ИТ-рисками.
- RG2.3. Адаптировать практики управления ИТ-рисками к корпоративным практикам управления рисками.
- RG2.4. Обеспечить деятельность по управлению ИТ-рисками адекватными ресурсами.
- RG 2.5 Обеспечить независимую гарантию правильности организации деятельности по управлению ИТ-рисками.
Ключевые активности:
- RG3.1. Добиться ответственного участия руководства в деятельности по анализу ИТ-рисков.
- RG3.2. Утвердить анализ ИТ-риска.
- RG3.3. Включить учет рисков в процесс принятия стратегических бизнес-решений.
- RG3.4. Принять ИТ-риск.
- RG3.5. Назначить приоритеты реакциям на риск.
Описание конкретного процесса состоит из относительно подробного описания его ключевых практик, их входов и выходов, ролевой таблицы, полностью аналогичной той, что использовалась в COBIT, описанию структуры целей и метрик области, процесса и его активностей, опять-таки очень похожей на описание COBIT, и целых двух моделей зрелости: краткой и полной. Я проиллюстрирую сказанное несколькими примерами.
В частности, активность RG3.2 описывается следующим образом.
RG3.2. Утвердить анализ ИТ-риска.
Определить, достаточно ли информации для понимания риска содержится в представленном отчете об анализе риска . Отметить ограничения отчета с точки зрения принимаемого решения. Утвердить или отвергнуть отчет.
Вход: отчет об анализе риска из активности RR1.1.
Выход 1: утвержденный отчет и описание его ограничений. Направляются в активности RG3.3, RG3.4, RG3.5.
Выход 2: описание дефектов отчета. Направляется в активность RR1.1.
Не рассматривая пока описания процессов по существу, надо сказать, что по сравнению с COBIT описание процесса в Risk IT выглядит гораздо привлекательнее. Прежде всего, вместо абстрактных целей управлений здесь, как и в Val IT, присутствует простая и стройная иерархия целей: «область — процесс — ключевая активность «. Исчезло непонятное разделение на ключевые практики и активности, существовавшее в Val IT; вместо этого появились ключевые активности, которые заменяют и те и другие (в частности, в ролевой таблице тоже присутствуют ключевые активности). Глубина и проработанность описания процесса значительно выше, чем в COBIT, где составляющие активности вообще не описывались. Входы-выходы соотнесены с ключевыми активностями, а не с процессами, что также повышает информативность и практическую ценность описания.
Что же касается содержательной стороны дела, то, как и COBIT и Val IT, Risk IT использует процессную модель только как иллюстрацию своего подхода, поэтому конкретное наполнение неизбежно будет отличаться от приведенного в ( Risk IT, 2009) описания. Не стоит забывать и о том, что Risk IT — первое (насколько мне известно) и лишь недавно появившееся методическое руководство по управлению ИТ-рисками и сейчас рано оценивать его практическую и теоретическую значимость .
Модель зрелости Risk IT частично объединила свойства моделей COBIT и Val IT. Как уже говорилось, она состоит из двух частей: краткого и полного описаний. Рассмотрим эту модель для области «Корпоративное управление рисками «, но сначала охарактеризуем подход Risk IT в целом.
Первое, что необходимо подчеркнуть, — это то, что уровни зрелости процессов теперь описываются с помощью шести одинаковых для всех процессных областей характеристик. Шаблонной модели зрелости, аналогичной той, что была в COBIT, нет. Таким образом, в Risk IT появились аналоги общих практик CMMI . Эти шесть характеристик — следующие:
- осведомленность и коммуникации;
- ответственность и полномочия;
- целеполагание и измерения;
- политики, стандарты и процедуры;
- знания и навыки;
- инструменты и средства автоматизации .
Общих целей в модели зрелости Risk IT нет, поэтому значения характеристик на уровнях демонстрируют скорее интуитивное улучшение процессов с ростом номера уровня, чем структурированную последовательность улучшений, как в CMMI . Тем не менее отказ от подхода к зрелости, принятого в COBIT, и движение в сторону общепринятых методик определения зрелости налицо. В остальном модель Risk IT аналогична модели Val IT.
Теперь становится понятно, что имелось в виду в COBIT, когда там вводились три измерения зрелости процесса (см. рис. 15.6). Это была попытка объединить в рамках единого взгляда три разные и противоречащие друг другу методики: методику COBIT, методику Val IT и методику Risk IT. Признать эту попытку удачной трудно.
Вернемся теперь к процессной области «Корпоративное управление рисками «.
Краткое описание модели зрелости — это просто словесное описание уровней для процессной области, приводить которое здесь нет смысла.
К сожалению, полное описание уровней зрелости достаточно велико, поэтому я ограничусь для целей иллюстрации описанием трех характеристик (осведомленность и коммуникации, ответственность и полномочия, целеполагание и измерения) на первых трех уровнях (от несуществующего до повторяемого включительно).
Бизнес не видит выгод от учёта точки зрения ИТ-руководства на ИТ-риски в процессе принятия решений
Отчётность связана с внешней необходимостью и связана с устранением проблем, выявленных внутренним аудитом и внешними контрагентами.
Risk IT. Заключение
Из всех трех рассмотренных методологий ISACA (COBIT, Val IT и Risk IT) последняя производит впечатление наиболее методически осмысленной и структурированной. Вместе с тем не стоит переоценивать ее практическую значимость . Это, в полном соответствии с объявленной авторами целью, не более чем методическое руководство, не дающее никаких конкретных рекомендаций и решений, процессная модель которого имеет лишь иллюстративный характер.
Все содержательные вопросы, которые возникли после изучения Val IT, остаются в силе и применительно к Risk IT. Взаимосвязь управления ИТ-рисками с управлением другими рисками очевидна. Стандарт ISO 31000, посвященный управлению рисками, прямо говорит, что » управление рисками должно быть включено во все практики и процессы организации… Управление рисками должно стать частью процессов организации, а не быть отделено от них». Более того, определение процесса управления рисками по ISO 31000 включает такую деятельность , как определение контекста процесса, позволяющее настроить такие параметры общего процесса, как природа риска и критерии риска, на специфические условия контекста. Информационные системы , информационные потоки, используемые технологии являются по ISO 31000 частью внутреннего контекста организации.
Нельзя не признать, что подход ISO 31000 методически более последователен, чем подход Risk IT. Следуя философии, которую демонстрирует Risk IT, можно было бы пытаться строить процессные модели, например для управления изменениями в ИТ, управления персоналом в ИТ и т. д., что не только нерационально, но и противоречит реальной управленческой практике, где управление подобными процессами в ИТ, несмотря на определенную специфику, является лишь частью общих процессов корпоративного управления, причем частью, полностью подчиненной общекорпоративным правилам.
Безусловно, внутренний контекст (в терминологии ISO 31000), связанный с ИТ, включает не только информационные системы , потоки и т. п. ( ISO 31000, кстати, не ограничивает состав контекста), но и более специфические объекты. Я бы назвал среди них в первую очередь процессы жизненного цикла систем и их развитость. Построение и использование профилей процессов жизненного цикла в ходе управления рисками позволило бы ответить на многие вопросы — вспомним о выборе субподрядчика, связанных с этим рисках и оценке развитости его процессов, о чем шла речь в Отчете SPICE .
Без классификации рисков, учета максимального количества параметров контекста, связанных с ИТ, выявления связей как между отдельными ИТ-рисками, так и между ИТ-рисками и другими рисками организации рекомендации Risk IT выглядят поверхностными и чересчур абстрактными. Мне кажется, что методически задачу управления ИТ-рисками нужно решать не сверху, как это делает Risk IT, а снизу, постепенно накапливая опыт и обобщая его, т. е. двигаясь от вполне конкретных рисков, связанных со специфическими ИТ-объектами, к построению общей процессной модели управления ИТ-рисками.
Краткие итоги
Изученная в этой лекции методология Risk IT является наиболее продуманной и логично изложенной из всех трех методологий ISACA (COBIT, Val IT, Risk IT). Вместе с тем проблема обоснования, упомянутая в случае Val IT, остается в силе и для Risk IT. Особенно наглядно это проблема выглядит в связи со стандартом управления рисками ISO 31000, который демонстрирует значительно более глубокий подход к управлению рисками, чем Risk IT, и которому Risk IT противоречит.
Вопросы
- В чем состоят основные концепции Risk IT?
- Как структурирована процессная модель Risk IT?
- Как организовано описание процесса в Risk IT? В чем отличия от COBIT и Val IT?
- Каков подход Risk IT к оценке развитости процессов? В чем его отличия от подходов CMM, CMMI , COBIT и Val IT?
- Какова связь Risk IT со стандартом ISO 31000?
Источник: intuit.ru
Карту рисков бизнес-процессов можно сделать практичной
В последнее время компании проявляют повышенный интерес к управлению операционными рисками, в частности рисками бизнес-процессов. В качестве инструмента для этого используется карта рисков. Как сделать так, чтобы этот «продукт» был аналитичным, кратким и понятным, востребованным и практичным, а также как поддерживать его? Взгляд риск-ориентированного внутреннего аудита на эту группу рисков представляет Анна Корбут 1 , вице-президент общества «РусРиск», член Совета директоров FERMA 2 .
Задача риск-ориентированного внутреннего аудита — конкретизировать, дополнить, помочь правильно сформулировать риски бизнес-процессов для их лучшего понимания и работы с ними. А цель — сформировать и обновлять такой формат карты рисков, чтобы она была востребованна и воспринималась пользователями с минимальными затратами времени на то, чтобы вникнуть в нее. Несмотря на то что управление рисками уже стало привычным делом, все равно в реестрах операционных рисков компаний встречается много несоответствий.
Реестры рисков из реестров различных компаний в разные годы (таблица)
Неэффективное принятие управленческих решений
Неэффективность корпоративного управления и внутреннего контроля
Анализ рынка дает недостоверные данные и не обеспечивает в полной мере стратегические и тактические потребности компании
Неправильные акценты в ранжировании компетенций
Использование современных технологий не обеспечивают в полном объеме потребности бизнеса
Нечеткость поставленных управленческих задач
Дефицит времени для анализа информации
ИТ-система не обеспечивает в полном объеме потребности бизнеса
«Высказывания», представленные в таблице, по сути, рисками не являются (отсутствует событие как таковое). Они лишь субъективные оценочные заявления, поскольку измерить степень «достаточности», «правильности», «четкости» или даже «эффективности» объективно практически невозможно.
Наконец, поставим себя на место «владельца бизнес-процесса». Что с этими «рисками» прикажете делать? Как быть с таким риском бизнес-процесса, как, например, «неэффективное управление ресурсами» или «неэффективное принятие решений»? Поскольку риск связан с событием (вероятностью его наступления и последствиями), для выявления и формулирования риска слова «эффективный»/«неэффективный» не имеют смысла. И все же их очень часто пытаются использовать именно в контексте выявления рисков бизнес-процессов.
Существенный рост интереса к управлению операционными рисками, в частности рисками бизнес-процессов в компаниях, в последнее время обусловлен несколькими факторами, работающими на актуальность данной темы:
- смена этапов в жизненном цикле многих компаний, когда эра бурного развития и роста (изменение технологий, увеличение масштабов бизнеса) привела к необходимости «подтянуть», адаптировать работу и компетенции людей и/или по-новому организовать их труд;
- изменения макроэкономической и экономической конъюнктуры способствуют поиску внутренних ресурсов для оптимизации и дальнейшего развития;
- свой вклад вносят также дальнейшее совершенствование управленческих технологий, внедрение реального внутреннего контроля, принципы соответствия требованиям (compliance), риск-ориентированный внутренний аудит и т.п.
Каждый из этих факторов может послужить отправной точкой для описания рисков бизнес-процессов. Посмотрим на эту группу рисков с позиции риск-ориентированного внутреннего аудита и покажем его подход к некоторым аспектам формирования карты рисков.
Классификация рисков помогает лучше понять их суть
В практическом плане для выделения из всего портфеля рисков организации именно операционных рисков наиболее удобной отправной точкой, на наш взгляд, была и остается классификация Соглашения Basel II 3 . Согласно ей операционный риск — это потенциальные потери организации из-за неадекватных или ошибочных внутренних процессов и/или систем, действий персонала, а также внешние события. Таким образом, в состав операционных рисков попадают:
- внешние события — они, как правило, являются предметом заботы менеджеров по страхованию, поэтому в статье эта группа рисков не рассматривается;
- риски в технологических процессах и работе оборудования;
- риски в организации и бизнес-процессах;
- риски в действиях персонала/людей.
Развитие, или изменение/адаптация бизнеса, сопровождается меняющимся бизнес-контекстом — появлением новых технологий, новых видов бизнеса, внешними «вызовами». Они — хороший повод обратиться к поиску внутренних ресурсов оптимизации: эффективности, функциональности, управляемости, удовлетворенности внутренних клиентов и т.п.
Организации приспосабливаются к изменениям, меняя стратегии, технологии, структуры, а также отношение и поведение работников. При этом работники отличаются значительно меньшей готовностью к изменениям, чем оргструктуры и бизнес-процессы, и для адаптации им требуется время (см. рис. 1). Помочь людям приспособиться к изменениям бизнес-контекста призваны бизнес-процессы и организационная структура. На то у нас и есть организация или реорганизация.
Изменения в каждой области (бизнес-контекст, бизнес-процессы и работники) происходят по своей траектории (кривой), что показано на рис. 1. И только спустя некоторое время траектории изменений таких компонентов, как организационная структура и работники, начинают сходиться для достижения желанного синергетического эффекта. Однако руководители и бизнес-спонсоры организационных трансформаций, бывает, не учитывают такой важный фактор, как время. Ведь реорганизация чаще всего не дает молниеносного эффекта на следующий день после ее проведения, тем не менее это не повод признавать ее неуспешной и немедленно затевать другую.
Следует также различать деление всех рисков на «чистые» (при реализации риска ожидается только негативный эффект) и «спекулятивные» (при реализации риска возможен и негативный, и нейтральный, и позитивный эффект). В рамках такой классификации риски бизнес-процессов будем воспринимать как «чистые». Это означает следующее: если в организации есть правила работы (структура и процессы взаимодействия), обход (манкирование) этих правил должно восприниматься как нарушение — то есть риск. Если же подобные «нарушения» позволяют работать лучше, быстрее, эффективнее, то вывод один — нужно срочно менять правила. Но такую культуру, когда «правила существуют для того, чтобы их нарушать» и «(сегодняшняя) цель оправдывает средства», мы в своих организациях формировать, конечно же, не хотим.
«Привязка рисков бизнес-процессов к месту» выводит на их владельцев
Когда в компании все бизнес-процессы классифицированы и стандартизированы, аудитор может пользоваться готовой «номенклатурой» бизнес-процессов. И с высокой степенью вероятности при таком уровне организационного развития нужен уже не аудитор, а внутренний контролер. Если же такой уровень в компании пока не достигнут, аудитор может основываться на логике типовых бизнес-процессов и систем управления.
Например, функциональные системы управления, участвующие во всех процессах организации для их взаимной координации, могут быть такими:
- планирование, учет, контроль;
- управление персоналом;
- ИТ-обеспечение;
- организационное развитие и т.п.
В отсутствие структурированной «номенклатуры» бизнес-процессов можно отталкиваться от таких основных функциональных направлений, как:
- основная производственная деятельность;
- обеспечение материально-техническими ресурсами;
- управление финансовыми ресурсами;
- продвижение, продажи и т.п.
Такой подход дает возможность сгруппировать риски по критерию «адреса» — где возникает, а также найти ответственного «владельца рис-ка». А можно использовать также схему цепочки создания стоимости — основных и вспомогательных видов деятельности. При этом логику такой цепочки, на чем бы она не базировалась, целесообразно согласовать внутри организации.
Риски выявляют по их последствиям
При выявлении рисков бизнес-процессов целесообразно основываться на том, что риск как событие представляет собой отклонение от цели или «недостижение» цели.
Цели бизнес-процессов, как правило, не отличаются разнообразием, описаны в стандартах и включают следующее:
- создание стоимости — процесс должен быть экономически эффективен с точки зрения анализа издержек и выгоды;
- сохранение стоимости — процесс направлен на минимизацию издержек, избежание дополнительных издержек (расходы, потери, воровство);
- информационное обеспечение управления — процесс содержит либо формирует обмен информацией в организации (от базовой оперативной информации для принятия решений до формирования финансовой отчетности для (внешних) заинтересованных пользователей);
- управление/ответственность — разграничение полномочий, принятие решений, декомпозиция решений, выполнение;
- соблюдение требований регуляторных норм и законодательства (англоязычный термин «compliance», который переводится как «соответствие»);
- обеспечение безопасности труда и производства.
При формулировании цели бизнес-процесса настоятельно рекомендуется избегать любимого всеми слова «эффективный» и его производных, в данном случае оно весьма абстрактно и поэтому чаще всего — бесполезно. Соответственно, чтобы правильно сформулировать (выделить) риски, имеет смысл разработать типологию их последствий в привязке к целям, например «возникновение неплановых расходов», «непризнание налоговыми органами правильности исчисления базы налогообложения, доначисление налога», «риск несчастного случая на производстве» и т.п. Такой подход позволит группировать (укрупнять риски) по критерию «цель бизнес-процесса, на которую влияет риск» и критерию «типовые последствия».
Поиск причин рисков ведет к выявлению их факторов
Привязка к функциональным направлениям и системам управления позволит выявить и «типовые» причины возникновения рисков — они же факторы риска. Очень важно видеть здесь водораздел между риском и фактором риска: фактор риска (реальность) представляет собой совокупность уже имеющихся обстоятельств и/или явлений, обуславливающих возникновение риска (возможности).
Для целей риск-ориентированного внутреннего аудита поиск причин — не менее важная составляющая работы, чем выявление рисков. Ведь именно недостатки систем управления и организации бизнес-процессов находятся в фокусе интереса внутреннего аудитора. При этом правильное выявление причин — половина успеха дела при формировании и выполнении рекомендаций.
С точки зрения цепочки создания стоимости риски бизнес-процессов могут быть такими:
- «несоздание» стоимости — отсутствие экономической выгоды/маржинальности;
- «несохранение» стоимости — необоснованные издержки;
- искажение информации, отсутствие/несвоевременная информация;
- нарушение принципов управления и законодательства.
Здесь также целесообразно разработать типологию недостатков в привязке к задачам систем управления и целям бизнес-процессов. Например, для подсистемы «организационное развитие» выявленные недостатки (факторы риска) могут быть следующими (включая, но не ограничиваясь):
- отсутствует формально назначенное ответственное лицо/подразделение за результат бизнес-процесса;
- некорректное разграничение/отсутствует разграничение полномочий в рамках бизнес-процесса, размытие ответственности;
- отсутствует регламентация (дизайн) бизнес-процесса;
- отсутствуют контрольные процедуры в бизнес-процессе;
- бизнес-процесс, включая контрольные процедуры, не выполняется и т.п.
Приведенные факторы, в свою очередь, создают такие типовые риски, как, например:
- противоправные либо халатные действия работников в отношении компании (попустительство/мошенничество/взяточничество);
- возникновение незапланированных прямых операционных расходов/дополнительные финансовые издержки;
- наложение на организацию административных штрафов;
- возникновение просроченной дебиторской задолженности/несвоевременное поступление выручки и т.п.
Управление рисками и их оценка основаны на аналитике
Приведенная последовательность работы с рисками позволяет дополнить и конкретизировать широко используемую внутренними аудиторами форму карты рисков бизнес-процессов типовыми признаками:
- «адреса» рисков (подсистемы управления и бизнес-процессы);
- факторы (причины возникновения рисков);
- последствия (события) рисков.
По итогам проводимых аудитов — сформировать консолидированную таблицу из всех карт рисков бизнес-процессов с вышеприведенными типовыми признаками, приведенными на рис. 2. Такая таблица должна обновляться путем исключения карт по итогам прошлых проверок (например, более полутора лет или, альтернативно, по критерию исполнения плана корректирующих мероприятий по конкретной проверке) и добавления новых карт рисков по итогам «свежих» проверок.
При использовании методики контрольных списков и маркеров в таблице с помощью фильтров и группировок можно формировать портфель (пул) рисков для каждого фактора и наоборот — пул факторов для каждого риска и прочую аналитику.
Можно также сделать суммарную оценку риска. Например, в рамках аудиторских проверок разных бизнес-процессов выявлен один и тот же риск «пересмотр налоговыми органами налогооблагаемой базы и доначисление налога». Если речь идет о различных случаях, налогах, суммах, вероятностях — их агрегирование дает совокупный «налоговый» риск, который при этом можно разложить по процессам, причинам его возникновения.
Такой подход позволяет не только формировать аналитику, но и, что важно, обновлять ее со временем, и по мере поступления итогов от новых аудиторских проектов проводить мониторинг в динамике. Аналитика должна отражать изменения, на основе которых можно выявлять тренды, например, со временем суммарная оценка «налогового» риска идет вниз, а суммарная оценка риска «потери данных в учетных системах» движется, возможно, в ином тренде.
Управление рисками бизнес-процессов сродни уборке в доме и всегда «альфа» и «омега» внутренней жизни компании (за исключением разве что законодательных рисков и обес-печения безопасности). При этом необходимо помнить, что любой бизнес переживает циклы в своем развитии. Если компания агрессивно растет и/или находится в благоприятной экономической конъюнктуре, руководство скорее «примет» риски бизнес-процессов, нежели станет отвлекаться на «уборку», излишнюю бюрократизацию и т.п.
Регламентация бизнес-процессов (безусловно, включая контроль и контрольные процедуры) — это область деятельности, в которой рациональное чувство меры является самым верным помощником. Увлечение же созданием корпоративной библиотеки регламентов и политик со многими тысячами страниц текста, не должно становиться самоцелью. Регламентация — средство. Любая компания — живой организм, и бизнес-процессы (и контроль) могут меняться, «вырастая из одежек» регламентов.
А в качестве повода для размышления приведу экспертное мнение о том, что в компании достаточно двух, но хорошо написанных регламентов — Положения о договорной работе и Положения о разграничении полномочий.
Интегрировать риск-менеджмент в ключевые бизнес-процессы
Подводя итоги, охарактеризуем риски бизнес-процессов как:
- внутренние риски организации;
- контролируемые риски организации;
- чистые риски (не должны содержать потенциальной возможности получить «прибыль»/«возможность»).
Такие риски попадают в группу «операционных» рисков, поскольку:
- отличаются от рисков, связанных с человеческим фактором или «технологическим» риском;
- находятся во взаимозависимости и сильном взаимовлиянии.
При определении рисков бизнес-процессов следует выявлять конкретное событие и иметь возможность оценить его последствия. В таком случае оценка рисков возможна, в том числе через статистику «событий». А одним из методов управления рисками бизнес-процессов может стать повышение уровня «социального капитала» в организации и повышение внимания к важности человеческого ресурса.
Вместе с тем карта рисков бизнес-процессов и подсистем управления, равно как и риск-ориентированный внутренний аудит, не может охватить все риски организации (например, связанные с внешними факторами, а также стратегические риски). Сегодня вполне достаточно комбинировать риск-ориентированные внутренний аудит, бюджетный процесс, а также стратегическое и проектное управление в организации, что вполне соответствует логике интеграции риск-менеджмента в ключевые бизнес-процессы.
1 Лучший риск-менеджер 2013 (www.rrms.ru).
2 Federation of European Risk Management Assosiation.
Источник: www.eg-online.ru
Оценка и управление рисками
Современный бизнес-план как средство для запуска успешного бизнеса должен включать еще один элемент – риск. А оценка и управление рисками – неотъемлемая часть ведения бизнеса.
Для начала задайте себе вопрос: “Будет ли бизнес развивать свой потенциал без надлежащего анализа, оценки и управления бизнес-рисками?” На мой взгляд, ответ – нет.
Оценка и управление риском