Меню

Разработка эффективной системы контроля снижения рисков

|

Поскольку меры по снижению рисков относятся, как правило, к средствам выявляющего контроля, при их разработке важно обеспечить максимальную эффективность. В статье собраны ключевые понятия по проектированию, документированию, внедрению, тестированию и мониторингу эффективных средств контроля для снижения рисков. Помимо этого автор приводит примеры, наглядно демонстрирующие использование функций анализа и корректировки рисков в SAP BusinessObjects Access Control в процессе документирования и мониторинга этих средств контроля.

Ключевое понятие
Средства снижения рисков обычно относятся к средствам выявляющего контроля, разработанным для своевременного выявления злоупотребления риском разделения полномочий (SoD) и его снижения до возникновения значительных убытков или противоречий в финансовой отчетности.

Современная экономика характеризуется наличием ограничений по ресурсам и, как следствие, многофункциональностью доступных ресурсов. Во многих компаниях недостаточно персонала, чтобы обеспечить надлежащее разделение полномочий (SoD) для доступа к системе. Несмотря на то, что предпочтительно полное устранение рисков SoD (что является предупредительной мерой), многим компаниям приходится прибегать к средствам снижения рисков с целью их смягчения (т.е. к средствам выявляющего контроля).

Примечание.

С точки зрения эффективности контроля, предупредительные меры всегда предпочтительнее выявляющих средств. Оптимальным средством устранения риска при любых условиях является устранение самой возможности выполнения одним пользователем двух противоречивых действий, особенно это справедливо для рисков SoD. Для получения подробной информации см. предыдущие статьи автора “Start Your Segregation of Duties Risk Mitigation Smart — at the Single Role Level” ("Оптимальный переход к разделению полномочий по корректировке рисков на уровне отдельной роли") и “Audit-Ready Your Segregation of Duties Remediation Process with User Remediation in RAR” ("Подготовка к аудиту процесса разделения полномочий посредством корректировки пользователей при анализе и корректировке рисков"). Как отмечено в этих статьях, снижение риска должно быть последним действием для риска SoD, поскольку обычно подразумевает предупредительные меры (например, анализ отчета), которые дают менеджменту лишь возможность выявления риска после его реализации.

Оформите подписку sappro и получите полный доступ к материалам SAPPRO

У вас уже есть подписка?

Войти

Обсуждения Количество комментариев1

Комментарий от  

Михаил Савкин

  |  13 декабря 2011, 05:48

В настоящее время все больше предприятий начинают внедрять у себя процедуры по управлению рисками (процедуры риск-менеджмента), в то же время полагая, что данные процедуры являются не более, чем новомодным введением, пришедшим к нам с запада, но имеющим низкое влияние на реальную ситуацию в российских компании. В рамках данного обзора я хотел бы сделать небольшой исторический экскурс в теорию риск-менеджмента и описать реальные причины внедрения данных процедур на предприятии.

Риск-менеджмент (управление рисками) — процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией.

Теория риск-менеджмента основывается на трех базовых понятиях: полезности, регрессии и диверсификации.

  • В 1738 году швейцарский математик Даниил Бернулли дополнил теорию вероятностей методом полезности или привлекательности того или иного исхода событий.
  • В конце XIX века английский исследователь Ф. Гальтон предложил считать регрессию или возврат к среднему значению универсальной статистической закономерностью.
  • В 1952 году аспирант Чикагского университета Гарри Марковиц в статье «Диверсификация вложений» («Portfolio Selection») математически обосновал стратегию диверсификации инвестиционного портфеля.

Цели и задачи риск менеджмента:

  • Избежание катастрофических потерь
  • Избежание главных неожиданностей или ошибок
  • Идентифицировать и понять факторы и события, которые могут влиять на достижение стратегических, деловых и проектных задач
  • Помогает получить альтернативное мышление о проектных действиях (новая перспектива)
  • Повышение конкурентоспособности хозяйствующих субъектов с помощью защиты от реализации чистых рисков
  • Гарантируемая возможность роста в бизнесе
  • Понимание разных видов риска
  • Анализы, предпринятые в риске-менеджменте, помогают определить проектные приоритеты
  • Риск-менеджмент предоставляет такое строение как — «где мы и как мы должны запланировать, чтобы достигнуть того, где мы хотим быть»

Как мы можем справиться с рисками?

  • Избежание рисков
  • Изменение рисков
  • Смягчение рисков
  • Принятие рисков

Базовыми методами риск-менеджмента являются отказ от риска, снижение/ смягчение, передача/изменение и принятие.

Наиболее часто применяемым инструментом риск-менеджмента является страхование. Страхование предполагает передачу ответственности за возмещение предполагаемого ущерба сторонней организации (страховой компании). Примерами других инструментов могут быть отказ от чрезмерно рисковой деятельности (метод отказа), профилактика или диверсификация (метод снижения /смягчения), аутсорсинг затратных рисковых функций (метод передачи/ изменение), формирование резервов или запасов (метод принятия).

Этапы риск-менеджмента

Процесс управления рисками является двухэтапным процессом:

Этап 1 - Анализ риска

  • Идентификация риска
  • Оценка риска
  • Определение риска (влияние на проект)

Этап 2 - Управление риском

  • Планирование риска
  • Контроль риска
  • Мониторинг риска

На первом этапе происходит выявление риска с сопутствующей оценкой вероятности его реализации и масштаба последствий; осуществляется разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;

На втором этапе выбираются методы и инструменты управления выявленным риском; производится непосредственное управление риском; оцениваются достигнутые результаты и корректируется риск-стратегия.

Ключевым этапом риск-менеджмента считается этап выбора методов и инструментов управления риском.

Единицы/меры измерения риска

Риск можно измерять по двум основным показателям:

  • величина прогнозируемого ущерба;
  • вероятность наступления неблагоприятного события.

На основе этих двух величин можно рассчитать интегральный показатель риска, который будет равен произведению величины прогнозируемого ущерба на вероятность наступления неблагоприятного события:

Риск = Ущерб × Вероятность.

Одним из ярких примеров применения положений риск-менеджмента в реальной экономике является требования по исполнению положения Sarbanes-Oxley (SOX).

Sarbanes-Oxley (SOX) Act of 2002 известный как Закон Сарбейнса-Оксли – законодательный акт, который определяет требования к финансовому менеджменту в корпорациях, ценные бумаги которых котируются на фондовой бирже США.

Sarbanes-Oxley Act от 2002 года был принят после ряда корпоративных скандалов (прежде всего дело Enron, WorldCom) и направлен на защиту прав инвесторов. С июля 2005 года закон Sarbanes-Oxley (SOX) применяется ко всем (в том числе и неамериканским) компаниям, чьи акции представлены на американском фондовом рынке. Сегодня соответствие Sarbanes-Oxley стало общемировой практикой бизнеса и многие компании добровольно приняли требования SOX для повышения инвестиционной привлекательности и возможности ведения бизнеса на международном рынке.

Sarbanes-Oxley (SOX)- это новый способ, позволяющий предупреждать риски. Он налагает ряд серьезных требований к процедурам внутреннего контроля, организации бизнес-процессов, в т.ч. к ведению управленческого учета и бюджетирования. SOX относится к законодательству, направленному на регламентацию работы финансовых служб, прозрачность банковских операций и независимость контролеров. Исполнение требований по SoD является одним из базовых положений SOX.

Особого внимания заслуживает следующее положение закона Sarbanes-Oxley (SOX):

Раздел 404

Этот раздел требует от всех АО (открытых акционерных обществ) включать «внутренние» отчеты в свою ежегодную отчетность. Подобная система утверждает ответственность руководства за выполнение процедур внутреннего контроля. Правила также включают в себя оценку эффективности процедур внутреннего контроля со стороны руководства компании. В то же время, подразделения, осуществляющие внутренний контроль, должны включать в ежегодный отчет компании собственную оценку работы руководства в соответствии с принятыми стандартами.

Данный раздел является самым сложным в применении, так как большинство АО управляли своими финансовыми потоками без использования детальной отчетности. Компании должны вводить системы внутреннего контроля, оценивать их уязвимость, определять пути проверки их эффективности.

История SOX

30 июля 2002 г. Президент Буш подписал Закон Сарбанеса-Оксли (англ. Sarbanes-Oxley Act), который представляет собой одно из самых значительных событий по изменению федерального законодательства США по ценным бумагам за последние 60 лет. Значительно ужесточает требования к финансовой отчётности и к процессу её подготовки — результат многочисленных корпоративных скандалов, связанных с недобросовестными менеджерами крупных корпораций.

В соответствии с Законом, для публичных компаний:

  • создается новый режим контроля и регулирования финансовой деятельности;
  • происходят существенные изменения в области управления и требований к раскрытию информации.

Закон, получивший название от имен создателй — сенатора Пола Сарбанеса (демократическая партия, шт. Мэрилэнд) и члена палаты представителей Майкла Оксли (республиканская партия, шт. Огайо) — состоит из 11 разделов. Рассматриваются вопросы независимости аудиторов, корпоративной ответственности, полной финансовой прозрачности, конфликта интересов, корпоративной финансовой отчетности и др.

Разделы Sarbanes-Oxley Act (SOX) (Закона Сарбейнса-Оксли)

Раздел I. Совет по контролю за аудитом и отчетностью публичных компаний

Раздел II. Независимость аудитора

Раздел III. Ответственность компаний

Раздел IV. Дополнительные требования к раскрытию финансовой информации

Раздел V. Конфликт интересов аналитиков

Раздел VI. Ресурсы и полномочия Комиссии по ценным бумагам и биржам

Раздел VII. Исследования и отчеты

Раздел VIII. Уголовная ответственность за мошенничество

Раздел IX. Ужесточение наказаний за преступления должностных лиц

Раздел X. Налоговые декларации компаний

Раздел XI. Корпоративное мошенничество и ответственность

Как видно из приведенных мной выше примеров, разработка эффективной системы контроля снижения рисков на предприятии является реальным требованием экономики и хорошим стимулом, обеспечивающим повышение эффективности деятельности любого коммерческого предприятия.