- Политические события. Например, война, может вынудить свернуть продажи.
- Общественное мнение. Например, потребители могут отказаться от приобретения брэнда американской компании в следствие негативного отношения к текущей политике США в данном государстве.
Состояние экономики и финансов. Например, угроза резкой девальвации валюты [2, c. 123].
- Явления природы - также являются источниками риска. Молния может привести к пожару здания. Дождь может протечь через крышу и залить сервер. Снегопад может завалить въезд на склад.
Цели, подверженные риску
Риск определяется его через цели организации. Следовательно, можно классифицировать риски по тому, каким целям они угрожают. Кроме целей, которое организация устанавливает перед собой, важно принять во внимание обязанности, накладываемые на организацию государством и инвесторами.
1. Надёжность и интегрированность информации. Разве это цель, а не средство для принятия обоснованных управленческих решений? Организация обязана предоставлять информацию различным заинтересованным лицам (инвесторами, государством, дебиторами) для принятия решений в отношении организации. Примером такого рода информации является квартальный отчёт о прибыли и убытках. Предприятие ответственно за надёжность и непротиворечивость этой информация. Для получения надёжных периодических обобщённых данных необходимо, чтобы текущая информация, генерируемая на всех рабочих местах, была надежной и не противоречила друг другу. Примером риска для этого типа целей является случайное или преднамеренное искажение информации вследствие неоправданно-широкого доступа к информационной системам организации.
2. Исполнение внутренних политик, планов, процедур, а также внешних законов и норм. Очевидно, что соблюдение государственных законов является обязанностью организации. Сверх того организация может установить свои внутренние нормы, например, код делового поведения или политика в отношении работающих матерей, предусматривающая определённые льготы, не установленные трудовым законодательством. Установив свои внутренние нормы, предприятие тем самым обязуется исполнять их. Сюда же можно отнести законодательные и внутренние требования к безопасности производства. Примером риска для этого типа целей является нарушение налогового законодательства в результате неправильного оформления счетов к оплате.
3. Защита активов. Инвесторы предоставляют организации свои активы для использования в целях получения прибыли (или других целей в случае неприбыльных организаций). Организация, со своей стороны, обязано защищать эти активы. Примером риска для этого типа целей являются убытки на рынке ценных бумаг вследствие несбалансированных инвестиций.
4. Экономичное и эффективное использование ресурсов. С точки зрения классической теории рыночного капитализма, это является единственной целью капиталистического предприятия. Примером риска для этого типа целей является уничтожение готовой продукции вследствие ошибочного прогнозирования объёма продаж. Другой пример: дополнительный персонал на заводах, корректирующий ошибки мастер-данных с центральной базе данных.
5. И, наконец, наиболее очевидный тип целей, стоящих перед организацией. Достижение целей, установленных для текущей деятельности и специальных программ. Какие примеры такого рода целей вы можете привести из своей практики? Задания по продажам и производству. Обеспечение качества продукции и услуг. Внедрение нового программного обеспечения. Примером риска для этого типа целей является увеличение количества претензий от клиентов вследствие принятия заказов на товар, не имеющийся в наличии.
Измерение риска
Общепринято измерять риск вероятностью угрозы и степенью негативного влияния последствий: риск = последствия * вероятность.
Допустим, что все работники завода, работающие с компьютерной программой по бухучёту, имеют системный ID и пароль, позволяющий производить критические действия в системе, к примеру, создавать в системе заказ на закупку. Последствия неавторизованных закупок, могут нанести серьёзный ущерб экономичному и эффективному использованию ресурсов.
Предположим, далее, что только работники отдела закупок были обучены созданию системного заказа на закупку, остальные же работники, хотя и имеют доступ теоретически, но практически никогда им не пользуются. Уровень их компьютерной грамотности недостаточен, чтобы разобраться в этом самостоятельно. В этой ситуации последствия серьёзны, но вероятность угрозы не столь велика. Соответственно, суммарный риск имеет среднее значение (квадрант 1).
Если же мы не можем быть столь уверены в компьютерной безграмотности пользователей, вероятность угрозы возрастает. И наконец, если в числе этих работников есть продвинутые пользователи, хорошо знающие бизнес процесс, мы попадаем в область высокой вероятности в серьёзными последствиями. Суммарный риск максимален (квадрант 2). Вернитесь опять к своим записям и сравните, как близки вы были к методу измерения риска, предлагаемого этой моделью.
Модель контроля
Определение контроля. Существуют различные определения контроля. Воспользуемся определением, данным Институтом Внутренних аудиторов (США). "Контролем является всякое действие, предпринятое органом управления для повышения вероятности того, что установленные цели будут достигнуты."
Контроль, как и риск, определяется через цели организации. И если риск представляет угрозу этим целям, то контроль предназначен смягчить эту угрозу.
Элементы контроля:
1. Контрольная среда. Она включает так называемые "опоры контроля": "тон на верху" и "способность организации". Для обеспечения правильного "тона на верху", руководство должно служить образцом корпоративной культуры, подчёркивать важность эффективного организационного контроля, поощрять деятельность по усовершенствованию систем контроля. Необходимый уровень "способности организации" достигается посредством обучения персонала. Работник, не способный понять смысла элементов процесса, в котором он участвует, является слабой гарантией контроля в современных сложных организациях. Контрольная среда включает и другие "почвообразующие" элементы, например, принципы организации, систему вознаграждения, процесс согласования стратегии всех подразделений организации и прочее. Контрольная среда является элементом №1, поскольку она является условием жизнеспособности всех остальных элементов.
2. Оценка риска. Поскольку контроль устанавливается для смягчения риска, эффективная система контроля знания текущей "карты рисков". Оценка риска в разных областях проводится с разной степенью формальности. Отдел внутреннего аудита проводит ежегодную переоценку риска т.н. "универсума аудита", который является списком аудируемых областей. Обычно "универсум аудита" охватывает широкий спектр процессов, существующих в организации. Но он не является всеохватывающим, т.е. в организации существуют риски, не "схваченные" "универсумом аудита". Например, процесс подготовки отчётов о финансовых результатах обычно наличествует в универсуме. А процесс анализа финансовых результатов и их прогнозирования - нет. Причиной этого является сложность аудита нерутинных процессов.
3. Действия контроля. Инструменты "прямого" контроля, которые составляют основу традиционных подходов к контролю и находят отражение в 9-ти "действиях контроля".
1.Ответственность ясно определена и понята.
2.Доступ (физический и системный) контролируется.
3.Адекватный надзор.
4.Транзакции авторизуются.
5.Транзакции записываются.
6.Политики, процедуры, обязанности документируются.
7.Адекватное обучение.
8.Адекватное разделение обязанностей.
9.Учтённые активы сравниваются с имеющимися в наличии.
Эти действия контроля достаточно ясны из их названий. Приведём пример последствий неэффективной авторизации транзакций. Менеджер, не имеющий полномочий продавать оборудование, поручил инженеру найти потенциальных покупателей на вышедшую из эксплуатации производственную линию. Чрезвычайно дорогая линия была продана за половину её рыночной стоимости.
4. Информация и коммуникация. Ещё один "мягкий" элемент контроля. Приведём пример. Руководитель торгового отдела, решил усилить контроль за отгрузками консигнационных товаров, хранящихся на сладе регионального дистрибутора, введением дополнительного элемента контроля. Региональный торговый представитель компании должен письменно авторизовывать каждую отгрузку ("транзакции авторизуются"). Через некоторое время в налоговый отдел организации случайно попала копия такого документа. Специалист по налогам потребовал немедленно отменить эту процедуру, поскольку законодательство требовало в данном случае существенного усложнения процесса расчёта налога с продаж. Несоблюдение же законодательства могло привести к существенным штрафам. Правильно организованная коммуникация между торговым и юридическим отделами могла бы предотвратить этот риск с самого начала.
5. Мониторинг. Эта группа включает в себя различные виды надзора высших уровней управления за работой низших. Сюда относится и различные виды аудита, включая аудит качества, техники безопасности, внутренний аудит. Мониторинг часто предполагает сравнение текущих результатов с ожидаемыми. Поэтому, нормативы относятся к этой группе элементов контроля. Например, нормативы соответствия результатов инвентаризации данным складского учёта, норматив времени для "закрытия" бухгалтерских книг.
Остаточный риск
Рассмотрим вопрос измерения контроля. Исследователи предлагают измерять уровень контроля через уровень риска. Общепринятой формулой является присущий риск - контроль = остаточный риск. Уровень остаточного риска сравнивается с оптимальным уровнем. Уровень остаточного риска выше оптимального является неприемлемым. Уровень остаточного риска ниже оптимального соответствуют избыточному контролю. Суждения об оптимальности уровня остаточного риска субъективны. На основании результатов оценки уровня остаточного риска ответственное лицо может решить либо скорректировать цели, либо изменить (усилить или ослабить) систему контроля, либо продолжать слепо двигаться вперёд.