Разработка эффективной системы контроля снижения рисков
Поскольку меры по снижению рисков относятся, как правило, к средствам выявляющего контроля, при их разработке важно обеспечить максимальную эффективность. В статье собраны ключевые понятия по проектированию, документированию, внедрению, тестированию и мониторингу эффективных средств контроля для снижения рисков. Помимо этого автор приводит примеры, наглядно демонстрирующие использование функций анализа и корректировки рисков в SAP BusinessObjects Access Control в процессе документирования и мониторинга этих средств контроля.
| Ключевое понятие |
| Средства снижения рисков обычно относятся к средствам выявляющего контроля, разработанным для своевременного выявления злоупотребления риском разделения полномочий (SoD) и его снижения до возникновения значительных убытков или противоречий в финансовой отчетности. |
Современная экономика характеризуется наличием ограничений по ресурсам и, как следствие, многофункциональностью доступных ресурсов. Во многих компаниях недостаточно персонала, чтобы обеспечить надлежащее разделение полномочий (SoD) для доступа к системе. Несмотря на то, что предпочтительно полное устранение рисков SoD (что является предупредительной мерой), многим компаниям приходится прибегать к средствам снижения рисков с целью их смягчения (т.е. к средствам выявляющего контроля).
| Примечание. |
|
С точки зрения эффективности контроля, предупредительные меры всегда предпочтительнее выявляющих средств. Оптимальным средством устранения риска при любых условиях является устранение самой возможности выполнения одним пользователем двух противоречивых действий, особенно это справедливо для рисков SoD. Для получения подробной информации см. предыдущие статьи автора “Start Your Segregation of Duties Risk Mitigation Smart — at the Single Role Level” ("Оптимальный переход к разделению полномочий по корректировке рисков на уровне отдельной роли") и “Audit-Ready Your Segregation of Duties Remediation Process with User Remediation in RAR” ("Подготовка к аудиту процесса разделения полномочий посредством корректировки пользователей при анализе и корректировке рисков"). Как отмечено в этих статьях, снижение риска должно быть последним действием для риска SoD, поскольку обычно подразумевает предупредительные меры (например, анализ отчета), которые дают менеджменту лишь возможность выявления риска после его реализации. |
Оформите подписку sappro и получите полный доступ к материалам SAPPRO
Оформить подпискуУ вас уже есть подписка?
Войти
Обсуждения
1
Комментарий от
Михаил Савкин
| 13 декабря 2011, 05:48
В настоящее время все больше предприятий начинают внедрять у себя процедуры по управлению рисками (процедуры риск-менеджмента), в то же время полагая, что данные процедуры являются не более, чем новомодным введением, пришедшим к нам с запада, но имеющим низкое влияние на реальную ситуацию в российских компании. В рамках данного обзора я хотел бы сделать небольшой исторический экскурс в теорию риск-менеджмента и описать реальные причины внедрения данных процедур на предприятии.
Риск-менеджмент (управление рисками) — процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией.
Теория риск-менеджмента основывается на трех базовых понятиях: полезности, регрессии и диверсификации.
Цели и задачи риск менеджмента:
Как мы можем справиться с рисками?
Базовыми методами риск-менеджмента являются отказ от риска, снижение/ смягчение, передача/изменение и принятие.
Наиболее часто применяемым инструментом риск-менеджмента является страхование. Страхование предполагает передачу ответственности за возмещение предполагаемого ущерба сторонней организации (страховой компании). Примерами других инструментов могут быть отказ от чрезмерно рисковой деятельности (метод отказа), профилактика или диверсификация (метод снижения /смягчения), аутсорсинг затратных рисковых функций (метод передачи/ изменение), формирование резервов или запасов (метод принятия).
Этапы риск-менеджмента
Процесс управления рисками является двухэтапным процессом:
Этап 1 - Анализ риска
Этап 2 - Управление риском
На первом этапе происходит выявление риска с сопутствующей оценкой вероятности его реализации и масштаба последствий; осуществляется разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
На втором этапе выбираются методы и инструменты управления выявленным риском; производится непосредственное управление риском; оцениваются достигнутые результаты и корректируется риск-стратегия.
Ключевым этапом риск-менеджмента считается этап выбора методов и инструментов управления риском.
Единицы/меры измерения риска
Риск можно измерять по двум основным показателям:
На основе этих двух величин можно рассчитать интегральный показатель риска, который будет равен произведению величины прогнозируемого ущерба на вероятность наступления неблагоприятного события:
Риск = Ущерб × Вероятность.
Одним из ярких примеров применения положений риск-менеджмента в реальной экономике является требования по исполнению положения Sarbanes-Oxley (SOX).
Sarbanes-Oxley (SOX) Act of 2002 известный как Закон Сарбейнса-Оксли – законодательный акт, который определяет требования к финансовому менеджменту в корпорациях, ценные бумаги которых котируются на фондовой бирже США.
Sarbanes-Oxley Act от 2002 года был принят после ряда корпоративных скандалов (прежде всего дело Enron, WorldCom) и направлен на защиту прав инвесторов. С июля 2005 года закон Sarbanes-Oxley (SOX) применяется ко всем (в том числе и неамериканским) компаниям, чьи акции представлены на американском фондовом рынке. Сегодня соответствие Sarbanes-Oxley стало общемировой практикой бизнеса и многие компании добровольно приняли требования SOX для повышения инвестиционной привлекательности и возможности ведения бизнеса на международном рынке.
Sarbanes-Oxley (SOX)- это новый способ, позволяющий предупреждать риски. Он налагает ряд серьезных требований к процедурам внутреннего контроля, организации бизнес-процессов, в т.ч. к ведению управленческого учета и бюджетирования. SOX относится к законодательству, направленному на регламентацию работы финансовых служб, прозрачность банковских операций и независимость контролеров. Исполнение требований по SoD является одним из базовых положений SOX.
Особого внимания заслуживает следующее положение закона Sarbanes-Oxley (SOX):
Данный раздел является самым сложным в применении, так как большинство АО управляли своими финансовыми потоками без использования детальной отчетности. Компании должны вводить системы внутреннего контроля, оценивать их уязвимость, определять пути проверки их эффективности.
История SOX
30 июля 2002 г. Президент Буш подписал Закон Сарбанеса-Оксли (англ. Sarbanes-Oxley Act), который представляет собой одно из самых значительных событий по изменению федерального законодательства США по ценным бумагам за последние 60 лет. Значительно ужесточает требования к финансовой отчётности и к процессу её подготовки — результат многочисленных корпоративных скандалов, связанных с недобросовестными менеджерами крупных корпораций.
В соответствии с Законом, для публичных компаний:
Закон, получивший название от имен создателй — сенатора Пола Сарбанеса (демократическая партия, шт. Мэрилэнд) и члена палаты представителей Майкла Оксли (республиканская партия, шт. Огайо) — состоит из 11 разделов. Рассматриваются вопросы независимости аудиторов, корпоративной ответственности, полной финансовой прозрачности, конфликта интересов, корпоративной финансовой отчетности и др.
Разделы Sarbanes-Oxley Act (SOX) (Закона Сарбейнса-Оксли)
Как видно из приведенных мной выше примеров, разработка эффективной системы контроля снижения рисков на предприятии является реальным требованием экономики и хорошим стимулом, обеспечивающим повышение эффективности деятельности любого коммерческого предприятия.