Skip to content

Instantly share code, notes, and snippets.

/Аудит рисков в схемах и таблицах.md

Created September 8, 2017 11:22
Show Gist options
  • Save anonymous/e49418ddc3a7b7eea7dab28d5e408683 to your computer and use it in GitHub Desktop.
Save anonymous/e49418ddc3a7b7eea7dab28d5e408683 to your computer and use it in GitHub Desktop.
Download ZIP
Аудит рисков в схемах и таблицах
Raw
Аудит рисков в схемах и таблицах.md

Аудит рисков в схемах и таблицах



УПРАВЛЕНИЕ РИСКАМИ ПРЕДПРИЯТИЙ ХИМИЧЕСКОЙ ПРОМЫШЛЕННОСТИ
Риск-ориентированный подход к проведению проектов внутреннего аудита
Риск-ориентированный подход к проведению проектов внутреннего аудита

Перед тем как углубиться в тему данной главы, необходимо познакомиться поближе с ее основными понятиями, в число которых входят:. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни. Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий — работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки — производственной ошибки-аварии. Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий что будет, если ничего не предпринимать. Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства деревянный дом и скарб сами по себе не являются причиной пожара, но образуют факторы риска этого события — они увеличивают вероятность его возникновения и усиливают негативный эффект. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:. На первый взгляд у данного риска несколько владельцев, поскольку причины указывают на разные варианты развития событий. Однако, с одной стороны, исходную формулировку риска можно уточнить путем прибавления причины риска например, затоваривание складов готовой продукцией вследствие снижения темпов реализации продукции предприятия. Таким образом, мы получаем три риска. У них персональные владельцы более очевидны, чем у исходного риска:. С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов. Определим их следующим образом 1: На достижение целей именно этого процесса реализация данного риска окажет максимальное влияние при условии, что предприятие располагает ограниченными складскими помещениями и его продукция чувствительна к условиям хранения. Подводя итог сказанному, еще раз остановимся на ключевых моментах. Во-первых , можно использовать два способа определения владельца риска — дробление исходного риска на более мелкие риски при этом необходимо правильно установить полный перечень ключевых причин риска или определение заинтересованности в управлении риском при этом необходимо отталкиваться от целей процессов. К недостаткам первого способа можно отнести то, что в результате дробления рисков может оказаться слишком много для эффективного управления ими может потребоваться автоматизация процесса. К недостаткам второго способа можно отнести то, что цели процессов, в отличие от причин рисков, меняются чаще. В связи с этим при каждом изменении целей необходимо пересматривать привязку рисков к имеющимся процессам. Например, используя параметры предыдущего примера, предположим, что компания стала производить продукцию, которую все равно где хранить. Во-вторых , необходимо устанавливать единственного владельца конкретного риска. Когда владельцев одного риска несколько, крайне сложно определить, кто в большей степени отвечает за управление этим риском. Каждый риск обладает рядом специфичных свойств, которые влияют на выбор способа управления им. С практической точки зрения имеет смысл обратить внимание на следующие четыре свойства риска, а именно:. Риск представляет собой событие, которое может произойти, а может и не произойти. С помощью определения вероятности риска мы пытаемся оценить шансы на то, что конкретное событие произойдет в течение рассматриваемого периода времени. Сразу отмечу, что последнее обстоятельство довольно часто упускается при оценке рисков. Такой оценке не хватает как минимум указания на временной интервал, к которому данная вероятность применима. В продолжение темы использования процентной оценки вероятности стоит отметить еще несколько нюансов. Указание величины вероятности в процентах в большинстве случаев говорит о том, что оценка проводилась экспертным методом. При использовании данного метода необходимо убедиться в том, что восприятие экспертом конкретной оценки соответствует ее восприятию окружающими начиная с того, о чем говорит эксперт — об исходном или остаточном риске. Однако он может иметь в виду только те случаи, в которых виноваты люди по причине неправильного исполнения трудовых обязанностей, а окружающие в отсутствие пояснений могут посчитать, что речь идет о риске в целом. Окружающие же могут подумать, что это означает одну аварию каждые 10 месяцев. В сухом остатке у нас остается тот факт, что бездумное использование процентной оценки вероятности может приводить к существенным искажениям восприятия реальности. В определенной мере недостатки предыдущего метода устраняются указанием количества возможных фактов реализации риска в течение определенного периода например, конкретный риск может реализоваться как минимум один раз в год. Однако данный метод оценки вероятности также подвержен искажениям восприятия. Например, эксперт говорит, что вероятность риска неоплаты дебиторской задолженности составляет 10 раз в год. При этом он может основываться на данных прошлых периодов и не учитывать факторы, влияющие на оплату дебиторской задолженности в будущем. Так, если продажи компании должны существенно вырасти в следующем году например, в конце прошлого года открылось несколько новых филиалов , то оценка эксперта занижает вероятность риска, делая его менее существенным. Все это может склонить к выбору математических методов оценки вероятности риска, таких как формула Бернулли, локальная теорема Лапласа, формула Пуассона, а также специальных ИТ-приложений например, Crystal Ball, использующее моделирование методом Монте-Карло. Однако сфера применения данных методов ограниченна. Например, при использовании формулы Бернулли для вычисления вероятности риска для ряда сопоставимых ситуаций необходимо знать точную величину вероятности такого риска для одной ситуации. Многие риски, хотя и могут показаться сравнительно простыми, нередко связаны с довольно сложными цепочками событий. Также не стоит забывать про любопытный парадокс — сложные методы довольно часто приводят к таким же выводам, что и простые. Особенно это касается таких неопределенных явлений, как риски. При обеспечении достаточной теоретической подготовки экспертов в области рискменеджмента или хотя бы в области определения и оценки рисков можно добиться относительно качественной и полной оценки существенных рисков. Мы вряд ли вообще обращали внимание на риски, если бы они не обладали данным свойством. Однако все риски, которые заслуживают внимания, обладают определенной силой воздействия. Факт реализации конкретного риска определенным образом воздействует на деятельность компании владельца риска. Это воздействие имеет негативный характер и принимает различные формы, которые можно разделить на две основные группы — формы, обладающие качественными характеристиками потеря репутации, ухудшение отношений, утрата доверия, снижение привлекательности и т. В принципе реализация любого риска приводит к ухудшению финансового и имущественного состояния предприятия, т. Однако с точки зрения управления рисками имеет смысл использовать более детальную дифференциацию последствий реализации рисков, в первую очередь потому, что скорость наступления негативного эффекта различна для разных рисков. Например, если произошла авария на производстве, компания тут же теряет часть своего имущества и потеряет еще какую-то часть спустя определенное время расходы на восстановление, возможно уплата штрафов, социальные выплаты и т. А если, например, резкое снижение качества продукции компании повлекло снижение ее репутации как качественного производителя, то это приведет к потере денег только через определенное время, как минимум не сразу. С практической точки зрения наиболее полезной является оценка силы воздействия, сочетающая стоимостную оценку потерь и оценку скорости наступления таких потерь интегрированная оценка. Поэтому все качественные оценки и количественные тоже в идеале следует приводить к интегрированной оценке. Любая компания может в той или иной степени влиять на вероятность и силу воздействия своих рисков. Это влияние зависит от степени управляемости конкретного риска. Риски можно разделить на две основные группы — риски, вероятность и сила воздействия которых может быть в какой-то мере изменена усилиями компании управляемые риски , и риски, вероятность и сила воздействия которых остаются практически неизменными независимо от попыток их изменить неуправляемые риски. Классическим примером рисков последней группы являются риски форс-мажорных обстоятельств , особенно связанных со стихийными бедствиями землетрясения, наводнения, штормы, торнадо и т. Единственное, что можно сделать в случае реализации неуправляемого риска, — это попытаться избежать части негативного эффекта. Это достигается, во-первых, за счет прямой защиты от предполагаемого негативного эффекта например, строительство сейсмоустойчивых домов в сейсмоопасной зоне , во-вторых, за счет использования скорости наступления негативного эффекта например, план эвакуации при пожаре. Однако это лишь способ подстроиться под обстоятельства. Изначальная вероятность и сила воздействия неуправляемых рисков остаются неизменными. Как уже говорилось, у большинства рисков двойственная природа, они являются одновременно и рисками, и факторами риска для других рисков. В среде рисков широко распространен эффект домино. Многие риски образуют цепочки рисков, структуру которых чаще всего невозможно предугадать. Наличие многообразных взаимосвязей приближает систему рисков любого предприятия к детерминированно-хаотическим системам. В рамках таких систем возможна реализация эффекта бабочки 3. Не исключено, что изначальной причиной многих крупных негативных событий явилась реализация мелких и на первый взгляд незначительных рисков. Последствия реализации этих цепочек рисков загубили бы не одно предприятие, если бы не теория вероятности и естественное прерывание цепочек рисков вследствие воздействия сторонних факторов которое тем вероятнее, чем длиннее цепочка и медленнее реализация эффекта домино. Любой, даже самый мелкий и незначительный, бизнес-процесс всегда взаимосвязан с рядом рисков. В случае реализации этих рисков цель такого бизнес-процесса достигается частично либо не достигается вовсе. Другими словами, на выходе из процесса вы не получите ничего либо получите не то, что нужно. Именно эта взаимосвязь позволяет конвертировать риски в план или программу внутреннего аудита. Внутренний аудит занимается анализом бизнес-процессов и систем контроля бизнес-процессов. С технической точки зрения невозможно затеять проект по аудиту какого-либо риска, поскольку, по сути, риск — это событие, причем во многих случаях такое, которое может и не про изойти. Событие само по себе является не процессом, а результатом определенных процессов. Поэтому при использовании риск-ориентированного подхода аудитору необходимо сначала установить взаимосвязь между рисками и процессами, а затем, в зависимости от выбранного подхода, приступить к формированию плана или программы аудита. Деятельность любого предприятия подвержена влиянию множества факторов риска. Одни факторы риска способны спровоцировать реализацию конкретного риска самостоятельно, другие — только в комбинации с другими факторами риска. Факторы риска оказывают влияние на эффективность функционирования процессов предприятия. Система процессов всегда имеет одну цель — выполнение поставленных задач. Это должно обеспечить достижение ключевой цели любого коммерческого предприятия — увеличения своей стоимости. В этом и заключается суть риск-ориентированного подхода к внутреннему аудиту — понять, что в первую очередь мешает предприятию достичь цели, и найти наилучший способ нивелирования негативного воздействия. Аудитор должен четко уяснить одну важную взаимосвязь. Эффективность использования любого из данных методов растет с повышением квалификации и опыта внутреннего аудитора. Например, продвинутые аудиторы могут не заниматься проведением детальных оценок процессов с использованием факторов риска, а сразу оперировать как отдельными рисками, так и цепочками рисков различной сложности, располагая только отрывочной информацией об объекте аудита, даже если они прежде его не посещали. При использовании данного метода основная задача заключается в формировании рейтинга рискованности процессов и выборе наиболее рискованных процессов для проведения проектов внутреннего аудита. Этот метод имеет одно существенное достоинство — его результаты могут быть наглядными, доступными для восприятия неподготовленными гражданами и относительно легкодоказуемыми. Наиболее рискованным процессом считается тот, на достижение цели которого влияет максимальное количество факторов риска максимально негативным образом. Чтобы получить рейтинг рискованности, каждый выбранный для анализа процесс оценивается с точки зрения наличия и существенности определенного перечня факторов риска. Такой перечень формируется произвольно, единственного правильного варианта просто не существует, поскольку каждая компания имеет свою специфику разумеется, какие-то факторы являются общими для большинства компаний. Единственный критерий отбора — это прямое или опосредованное препятствование достижению процессами или большей части анализируемых процессов их целей. Рассматривается влияние шести факторов риска на достижение целей процессов. Использованные для целей оценки факторы риска по большей части выбраны не совсем удачно, а именно:. В качестве примера приведу небольшой перечень факторов риска далеко не исчерпывающий , которые можно применять в большинстве случаев для целей составления рейтинга рискованности процессов:. Мы разобрали основные моменты представленного для примера фрагмента оценочной таблицы. Как я уже говорил, шкала оценок может быть какой угодно. Хотелось бы, однако, обрисовать ситуацию вокруг данной оценочной таблицы в целом. Данная таблица была использована для составления рейтинга рискованности процессов нового объекта аудита, на котором команда внутренних аудиторов прежде не бывала. В попытке обеспечить максимальное качество таблицы было принято решение заполнить ее при активном участии владельцев процессов объекта аудита. Как показала дальнейшая работа, и не только в рамках того проекта, такой подход носит неоднозначный характер с уклоном в сторону вранья. Некоторые владельцы процессов действительно пытались объективно оценить происходящее в их епархии. Правда, со временем выяснилось, что некоторые факторы риска они просто не поняли о чем говорилось выше. Однако чаще владельцы процессов стремились приукрасить картину, что и выяснилось в ходе последовавшего проекта аудита. Данный пример является одним из многих свидетельств того, что владельцы процессов являются не самыми лучшими соавторами рейтинга рискованности собственных процессов. Команда внутренних аудиторов должна стремиться использовать как можно более объективные, но в то же время оперативные все происходит на этапе планирования проекта, который часто весьма ограничен во времени источники информации. Упрощенный метод предполагает следующую последовательность действий: Оценка воздействия выбранных факторов риска на степень достижения цели процессов позволяет сформировать рейтинг рискованности процессов. При использовании продвинутого метода за точку отсчета берется перечень рисков предприятия с оценкой как минимум их силы воздействия и вероятности, или, как его называют в специализированной литературе, карта рисков. Таким образом, формируется следующая цепочка действий: На первый взгляд все просто, однако в условиях российской действительности появляется ряд следующих нюансов. Так или иначе, большинство компаний в России не формируют карту рисков на регулярной основе хотя бы искусства ради, не говоря уже о ее практическом применении. Однозначного объяснения этой ситуации сложно найти. Возможно, все упирается в уровень профессионального развития большинства российских управленцев, полного изъянов; возможно, все поглощены поиском источников личного обогащения; возможно, виноваты разработчики карт рисков, неспособные создать жизнеспособный и практически значимый инструмент управления. Как говорится, всего понемногу. Во-вторых , отчасти как следствие из предыдущего нюанса, многие карты рисков , мягко говоря, вызывают сомнения в профессиональной пригодности авторов. Один из примеров мы разберем немного дальше. В-третьих , многие карты рисков не заточены для конвертации в план или программу аудита. В таких случаях может потребоваться адаптация материала см. В-четвертых , если компания не формирует карту рисков , то ПВА придется сделать это самостоятельно. Довольно часто первые карты страдают изъянами. Прежде всего, основным источником информации о рисках на первых порах выступает менеджмент. В силу множества причин непонимание происходящего, стремление скрыть недостатки, недоверие к команде внутренних аудиторов и т. По мере накопления информации в ходе проектов ПВА начинает лучше ориентироваться в деталях рисков компании. Затем, составление карты рисков требует затрат ресурсов, в первую очередь времени. В этой ситуации ПВА важно соблюсти баланс между необходимостью получить максимально объективное представление о рисках компании и необходимостью приступить к осуществлению проектов. И наконец, методика формирования карты и ее использования для выбора объектов аудита должна быть в той или иной степени согласована с менеджментом. Это не означает, что ПВА должно спрашивать разрешения на использование методики. Однако оно должно провести разъяснительную работу, максимально учесть мнения и пожелания менеджмента, обеспечить понимание происходящего окружающими. Только в этом случае можно вовлечь менеджмент в добросовестную работу по выявлению и оценке рисков, а также нивелировать разногласия в восприятии результатов оценки рисков. Перед тем как двинуться дальше, имеет смысл рассмотреть процесс выявления и оценки рисков, а также процесс формирования карты рисков. Выявление и оценка рисков. Существует несколько базовых способов, позволяющих с той или иной степенью эффективности идентифицировать риски и оценить их параметры табл. Разумеется, проставленные оценки имеют условный характер и являются усредненным вариантом при прочих равных. Вариации конкретных обстоятельств способствуют перестановкам в данной таблице. Перечисленные способы имеют свои плюсы и минусы табл. Отдельного разговора заслуживает вопрос формулирования сути риска. Здесь прослеживаются два основных подхода не считая неправильных:. В дополнение к информации, приведенной в табл. Укрупненными рисками нельзя управлять, так как, по сути, они состоят из нескольких цепочек факторов риска. Поэтому карта укрупненных рисков более всего подходит для презентации и представления общего расклада по рискам, так сказать, по диагонали. Для целей как управления, так и конвертации в программу аудита укрупненные риски нуждаются в декомпозиции. Она должна проводиться как минимум до тех пор, пока укрупненный риск, условно говоря, не будет разбит на несколько рисков, у каждого из которых будет один владелец. Предположим, что он в результате декомпозиции был разбит на два риска: На данном этапе у обоих рисков все еще может быть несколько владельцев. Возьмем для дальнейшего анализа риск 1. Его можно разбить как минимум на два риска: На этом этапе минимальное требование по декомпозиции в отношении риска 1 выполняется — владельцем риска 3 является дирекция по производству нарушение в процессе эксплуатации оборудования , а владельцем риска 4 — служба главного технолога 4 ошибка при расчете техпроцесса. Приведенный пример демонстрирует важный момент. Таким образом, каждый риск можно разбить на определенное число более мелких рисков. Количество и суть таких рисков будет соответствовать количеству и сути факторов риска исходного риска. Например, если риск реализуется в результате последовательной реализации цепочки из пяти факторов риска, то его можно разбить на пять последовательных рисков. При этом каждый последующий риск в цепочке будет менее существенным, чем предыдущий риск. Таким образом, любой риск, который необходимо подвергнуть декомпозиции, является риском уровня 1, или риском первого уровня. Основная цель данного процесса заключается в получении на выходе перечня рисков, расположенных в порядке убывания существенности. Перечень может сопровождаться построением графика, на котором риски располагаются в соответствии с их вероятностью и силой воздействия. Классическим является вариант графика с зеленым белым , желтым серым и красным черным секторами рис. В зеленом белом секторе располагаются риски, вероятность которых относительно низка, а сила воздействия минимальна. В красном черном секторе располагаются риски с максимальной вероятностью и максимальной силой воздействия. Между зеленым белым и красным черным секторами располагается желтый серый сектор, в котором находятся три группы рисков, а именно:. Логично предположить, что ПВА в первую очередь должны интересовать риски, расположенные в красном черном секторе. Это действительно так, однако довольно часто в этот сектор попадают риски, кото-рыми трудно управлять, а именно:. С точки зрения внутреннего аудита риски, которыми трудно управлять, не представляют особого интереса как объект конвертирования в план или программу аудита. Все, что нужно сделать, — это сформировать план мероприятий по минимизации их существенности по возможности снизить вероятность и силу воздействия , а также план действий на случай реализации данных рисков. Последнее необходимо для того, чтобы максимально воспользоваться динамикой нарастания негативных последствий риска попросту, план того, что можно сделать, пока последствия реализации риска не достигли максимального эффекта. Во-вторых, крупные риски при конвертации могут привести к формированию громоздкой и сложной для понимания программы аудита. Также не исключено, что с первого раза не удастся выявить все существенные факторы риска и установить правильные причинно-следственные связи. Поэтому наилучшей стратегией работы с крупными рисками является их разбиение декомпозиция на более мелкие риски, которые более подходят для конвертирования в программы аудита. Конвертирование рисков в программу аудита. В классическом варианте выбор рисков для конвертирования осуществляется на основании анализа карты рисков компании. Варианты выбора могут быть самыми разнообразными. Понятно, что есть определенное тяготение к выбору наиболее существенных рисков. Однако могут быть выбраны и менее существенные риски, например, потому, что их быстрее и проще устранить. Определение приоритетного процесса владелец данного процесса является одновременно владельцем выбранного риска. Применение этого способа предполагает, что исходный риск либо является точечным, либо представляет собой результат декомпозиции более крупного взаимосвязанного риска. Важно, чтобы в исходной карте, во-первых, каждый риск определялся как точечный, либо укрупненный, во-вторых, для точечных рисков указывались владельцы, в-третьих, право провести декомпозицию и определить владельцев риска предоставлялось ПВА. Чаще всего имеет смысл согласовывать результаты декомпозиции и определения владельцев рисков с такими владельцами. Это повышает позитивное отношение к работе ПВА. Определение кластера приоритетных процессов владелец риска не может быть определен на этапе конвертации. Правильность определения приоритетных процессов зависит от осведомленности компании о существенных нюансах конкретного риска. Это может показаться странным, но многие компании имеют слабое представление о ключевых факторах как минимум части своих рисков. К тому же такое знание весьма неоднородно внутри компании — всегда есть кто-то, кто более полно представляет ситуацию, чем остальные. Как результат в большинстве случаев карты состоят из укрупненных рисков, не говоря уже про отсутствие причинно-следственной связи в наименовании или описании риска. Оптимальной была бы полная декомпозиция, однако она либо требует слишком много времени особенно при необходимости согласовывать результаты , либо невозможна по ряду причин например, владелец процесса не согласен с привязкой конкретного риска к своему процессу , включая фундаментальную причину, указанную выше. В такой ситуации у ПВА нет другого выхода, кроме привязки конкретного риска к кластеру процессов вместо одного процесса. Таким образом, использование способа 2 порой может быть вынужденной мерой. С технической точки зрения основные сложности при конвертации возникают в трех наиболее типичных ситуациях. Карта сформирована с использованием укрупненных рисков. При работе с такого рода рисками необходимо учитывать ряд нюансов. Степень, так сказать, укрупненности рисков во многих случаях неравнозначна. Возьмем для примера два риска: Оба риска являются укрупненными, т. В случае с риском кассовых разрывов разбивка даст от силы три-четыре риска второго уровня нарушение графика оплаты дебиторской задолженности, отказ в выдаче кредита, возникновение срочных платежей и шесть—восемь рисков третьего уровня. При разбивке риска недостаточного качества получается не менее пяти-шести рисков второго уровня нарушение требований техпроцессов, ошибка при исполнении техпроцесса, снижение качества исходных компонентов, использование устаревшего оборудования, недостаточное количество сотрудников, обслуживающих техпроцесс и 10—12 рисков третьего уровня. Если разбить любой укрупненный риск на риски более низкого уровня, то существенность таких рисков будет неравнозначна. Другими словами, один или несколько факторов риска более остальных влияют на существенность вышестоящего риска. Основным следствием данной ситуации является то, что разные укрупненные риски будут конвертироваться в разные по трудоемкости программы аудита. При этом чем меньше возможностей для декомпозиции, тем сложнее сопоставить риски по трудоемкости программ аудита, созданных на их основе. Однако неравнозначность рисков дает возможность пренебречь некоторыми из них и за счет этого минимизировать трудоемкость программы аудита. При разбивке нескольких укрупненных рисков возрастает вероятность того, что некоторые факторы риска будут общими. Например, такой фактор риска, как использование устаревшего оборудования, может провоцировать как риск недостаточного качества, так и риск аварий. Данное обстоятельство указывает на то, что вся совокупность рисков компании имеет трехмерную структуру с линейными и нелинейными взаимосвязями. При проведении декомпозиции и особенно при представлении результатов декомпозиции имеет смысл максимально использовать графическое представление информации. Хорошим подспорьем может служить такой инструмент, как диаграмма Ишикавы рис. Как видно из приведенного примера, диаграмма Ишикавы позволяет как минимум отобразить риски четырех уровней включая исходный риск. Карта сформирована с использованием рисков без причинно-следственной связи. Все укрупненные риски являются рисками без причинно-следственной связи, однако не все риски без причинно-следственной связи являются укрупненными. Основной задачей при работе с такими рисками является установление причинно-следственной связи. Риски без такой связи просто непригодны как для формирования подхода к управлению ими, так и для конвертирования в программу аудита. Наиболее простой способ установления причинно-следственной связи заключается в проведении дополнительных интервью с автором риска лицом, сформулировавшим риск. Как вариант, ПВА также может предложить свой вариант декомпозиции риска в качестве базового варианта для обсуждения. Карта сформирована с использованием рисков, формулировка которых не отражает их суть. Отчасти забавная ситуация, которая, однако, периодически встречается на практике. Попросту говоря, вы читаете наименование риска и думаете об одном, а автор данного риска подразумевал совсем другое. Ключевая задача в такой ситуации состоит в уточнении формулировки риска. Пример приведен в табл. Пример уточнения формулировки риска в зависимости от его сути. Как видно из приведенной таблицы, алгоритм изменения формулировки риска начинается с определения процесса и цели процесса, на который риск предположительно оказывает влияние. Определение процесса необходимо для того, чтобы определить цель процесса. Зная цель процесса, можно определить риски, реализация которых негативно отразится на достижении цели процесса. Итак, мы получили на выходе два варианта риска — риск пропуска встречи вследствие опоздания на поезд управляемый риск и риск пропуска встречи из-за неблагоприятных погодных условий, препятствующих движению поезда неуправляемый риск. Возможно, оба этих риска актуальны. Таким образом, уточняя формулировку, можно получить на выходе более одного риска, т. Обратите внимание также на правильность формулировок обоих рисков — в них обозначена причинно-следственная связь. В завершение раздела, посвященного процессу конвертирования, рассмотрим практический пример использования способа 2 кластеры процессов на одном из крупных производственных предприятий. На этапе формирования годового плана проектов внутреннего аудита выполнялась процедура идентификации и оценки рисков основной метод — опрос экспертов. В результате была сформирована карта рисков. Она получилась не очень удобной для формирования программ аудита, так как практически полностью состояла из укрупненных рисков. Поскольку на данную процедуру ушло немало времени процедура проводилась в компании впервые , было принято решение использовать укрупненные риски. Из карты рисков выбрали три самых существенных риска. Одним из них был риск невыполнения плана производства. При проведении первого аудита на этапе планирования на одном из предприятий компании для этого риска сформировали кластер соответствующих процессов рис. Кластер был получен на основании интервью с владельцами ключевых процессов необходимые согласования были проведены. Пример позиционирования риска в кластере процессов Кликните мышкой по изображений для его увеличения. Пробежимся по структуре схемы. Черным маркером выделены те процессы, риски которых оказывают наиболее существенное влияние на реализацию риска невыполнения плана производства, а именно:. Таким образом, план аудита предусматривал аудит пяти процессов процессы, отмеченные серым маркером, и неотмеченные процессы в тематику аудита не попали вследствие ограниченности ресурсов ПВА и незначительного совокупного влияния на реализацию основного риска. ЦОСАДУ расшифровывается как центральная оперативная система автоматизированного диспетчерского управления, а АСУТП — автоматизированная система управления технологическим процессом. По результатам аудита был разработан план мероприятий, направленный, в том числе, на минимизацию как изначально определенных, так и выявленных в процессе аудита рисков. Возможно, ряд внутренних аудиторов со скепсисом воспримут идею и технологию риск-ориентированного подхода. Это усложняет задачу ПВА по внедрению риск-ориентированного подхода, но потенциальный эффект от внедрения с лихвой покроет все трудозатраты. Основные преимущества использования риск-ориентированного подхода заключаются в следующем:. Данные преимущества усиливаются при переходе от упрощенного подхода к продвинутому риск-ориентированному подходу к аудиту. Однако даже упрощенный подход дает намного более впечатляющие результаты, чем подходы, не основанные на анализе и оценке рисков. В данном случае цели процессов нам нужны только для демонстрации подходов к определению владельцев рисков. Поэтому практически вся терминология является переводной. И именно поэтому существуют вариации перевода тех или иных терминов. Однако с точки зрения русского языка прямой перевод выглядит немного коряво. Термин введен Эдвардом Нортоном Лоренцем. Главная страница Библиотека управления Форум Каталог консалтинговых компаний Войти в личный кабинет Поиск компаний Семинары Новости и пресс-релизы Конференции Программы и видеокурсы Маркетинговые исследования Бизнес-планы Тендеры, закупки, торги. Финансовый анализ Менеджмент Маркетинг Бизнес-планирование Инвестиции и инвесторы Оценка Консалтинг Налоговое планирование и контроль Информационные технологии в управлении Программное обеспечение и корпоративные системы Компании, организации и их деятельность Антикризисные материалы Управленческий учет и аудит Полные архивы журналов Карта сайта. Metrika ; yaCounter


Anyway перевод с английского
Как в домашних условиях быстро очистить кожу
Свойства структуры организации
Как вернуть чувства жены к мужу
Графики кривых в полярных координатах
Пион селебрити описание
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment