Один из популярных комиксов изображает босса, который просит
помощницу провести оценку риск-менеджмента компании. Помощница проводит
исследование и отчитывается, говоря: «Наши риск-менеджеры неплохо
выглядят».
К сожалению, эта сценка четко отражает проблемы, возникающие
при оценке рисков компании внутренними аудиторами. Зачастую ни менеджмент, ни
аудиторы не знают, с чего начать. Так же, как и в случае с помощницей, их
трепыхания в разные стороны выявляют только то, что явно бросается в глаза, а
настоящие риски остаются в тени.
Оценка организационных рисков компании –
ключевой инструмент в управлении, и важно использовать его правильным образом.
Выбор верных методов оценки критичен для всего остального. Успешные группы
проверяющих обычно используют один из трех основных подходов – база данных,
алгоритм или матрицу. Понимание сильных и слабых сторон каждого метода
необходимо для определения того, какая из техник будет наиболее ценной для
организации.
База данных
Составление базы данных рисков – популярный метод оценки
организационного риска. От интервью с каждой рабочей группой, до каталогизации
основных продуктов и процессов с выпиской специфических для каждого
подразделения рисков. В ходе поисков общих для всех групп рисков системы
риск-менеджмента генерируют при помощи данной базы данных необходимые отчеты. То
же самое происходит в случае анализа нескольких групп, работающих по смежной
тематике.
Данный подход используют многие аудиторские фирмы, которые
называют это «составлением профиля риска» и включают в качестве отдельного
компонента в системы управления предприятием. Этот процесс также предпочитают
риск-менеджеры из страховой отрасли, которые используют базы данных для
сортировки и получения информации по физическим и финансовым активам и группам
активов. Конечным результатом является каталог активов и связанные с ними
основные риски.
Более прогрессивные риск-менеджеры включают потенциальную
упущенную выгоду для каждого из видов активов. Например, стоимость
производственного предприятия может быть равна стоимости замены оборудования,
либо включать в эту сумму упущенную прибыль от невыпущенной
продукции.
Одним из решений, выполненных по данной схеме, была
применяемая в основном в банковской отрасли идея создания базы данных, куда
записывались бы все случаи потерь. Защитники такой системы утверждают, что
подобная база данных позволяет в кратчайшие сроки выявить риски и управлять ими.
С другой стороны, базы данных по потерям содержат информацию лишь о прошедших
событиях, и обычно не содержат ничего, кроме данных о потерях, что делает их
неважным инструментом для оценки рисков в том случае, когда необходима
дополнительная информация, или данные о таких деталях, как репутация организации
или человеческие ресурсы.
Все решения на основе баз данных требуют как
больших объемов информации, так и не меньших затрат времени – серьезная проблема
при первоначальном контакте с консультантом. Кроме того, на поддержку баз данных
также требуется значительное время, так как они очень быстро устаревают в
постоянно меняющейся бизнес-среде.
Одним из недостатков такой системы
является тот факт, что огромная масса данных может оказаться слишком большой для
того, чтобы принять адекватное решение, хотя в то же время обилие информации
позволяет детализировать бизнес-процессы и повышать тем самым точность
управления мелкими подразделениями компании. Некоторые программные продукты
помогают подытожить эти детализированные данные, и вывести общую подверженность
данных видов активов рискам. Проверяющим, правда, следует следить за тем, чтобы
такое ПО использовало надежные и точные средства анализа рисков, а не делало
вид, что оно что-то анализирует. Если добавить в качестве ограничителя на запись
в базу данных значимость рисков, то это также может помочь аудиторам и
менеджменту не увязнуть в деталях. С другой стороны, возникает вопрос о том,
какие риски на самом деле значимы, и простого ответа на него не найти даже
самому хорошему проверяющему.
Алгоритм
Алгоритм, как последовательность шагов, обычно использует для
получения результата логику и математику. Если алгоритм решает одну проблему, он
может быть применен также в аналогичных ситуациях.
Алгоритмы в деле
оценки риска обычно подразумевают приложение уравнения к каждой из структур
организации с целью расчета уровня риска. Эти уравнения строятся как с учетом факторов риска, так и с
учетом измеренных уровней риска в отношении каждого фактора. Факторы риска –
наблюдаемые и могущие быть измеренными индикаторы наличия риска. Например,
«время, прошедшее с последней проверки» - один из основных факторов риска,
отражающих устаревание систем контроля со временем.
Выбирая несколько
основных факторов и измеряя риск в каждом структурном подразделении организации,
можно создать рисковую модель, которая объединяет и сортирует по важности риски
в каждом отделе компании. Опыт показывает, что модель лучше работает при
использовании от четырех до семи факторов. Некоторые модели используют веса для
различения относительной важности той или иной группы факторов; другие – считают
веса равными.
Успешные алгоритмы используют как статичные, так и
динамичные факторы риска. Статичные факторы являются устойчивыми на протяжении
некоторого периода времени и представляют собой, например, запасы ресурсов или
прибыль. Таким образом, статичные факторы не являют напрямую индикаторами риска.
Динамичные факторы риска олицетворяют собой нестабильные по времени
условия, и поэтому требуют постоянного наблюдения. Различия в действии, объеме,
скорости в таких вещах как число продаж, время, требуемое клиенту для дозвона
через call-центр, число доставок товара в день – типичные динамично меняющиеся
факторы. Анализ рисков, использующий динамичные факторы риска, ищет источники и
причины риска, извлекая их из неопределенности, волатильности, сложности или
опасной природы рассматриваемых бизнес-процессов или подразделений компании.
Динамичный фактор риска означает существование источника риска определенного
типа в определенной деятельности в определенный момент времени. Чтобы обнаружить
общую направленность в риске, динамичные факторы за определенный период времени
должны быть измерены и проанализированы.
В использовании алгоритмов
выявления и оценки рисков есть много достоинств. Модели рисков предлагают
золотую середину между детальной информацией, собираемой при помощи баз данных и
стратегическим процессом рассматриваемой ниже матричной методики. В отличие от
подхода, использующего базы данных, модели рисков особенно эффективны в период
роста и изменения организации. Если алгоритм создан, а его результаты
перепроверены, формулу можно применить как к новым бизнес-процессам, так и
существующим. Предположения, на которых основаны оценки уровня рисков, также
поддаются внятному анализу и могут быть легко объяснены, так как базируются на
математических зависимостях. При этом процедура сбора данных не займет много
времени и ресурсов компании, как, впрочем, и поддержка. Алгоритмизованные модели
рисков зачастую могут работать с электронными таблицами, что намного легче
освоить сотрудникам, привыкшим к сложностям разнообразных продуктов, работающих
с базами данных.
Конечно, подбор модели рисков путем алгоритмизации
бизнес-процессов может столкнуться с определенными сложностями. Во-первых, для
построения такой системы всей команде разработчиков необходимы обширные деловые
знания, и не всегда такими знаниями обладают, например, господа из службы
внутреннего контроля.
Кроме того, факторы риска, на которых строятся
подобные системы, часто базируются на списке, разработанном еще в начале
восьмидесятых. Использование устаревших факторов может привести к тому, что
система пропустит действительно значительные риски, и виноваты в этом будут
только разработчики.
Матрица
Сотрудники, занимающиеся стратегическим планированием, и высший
менеджмент обычно отдают предпочтение изображению матрицы, во-первых – из-за
того, что матрица имеет дело с решениями на самом высшем уровне, а во-вторых,
потому что она позволяет наблюдать графическое изображение ситуации. Матрица
изображает подразделения организации по оси абсцисс, и некоторое количество
рисков по оси ординат. Число рисков обычно колеблется от 12 до 16, хотя известны
и упрощенные модели, учитывающие, к примеру, всего 4 риска. Команда проверяющих
осуществляет оценку каждого бизнес-подразделения компании по каждому из видов
рисков, а результаты отображает в соответствующей клетке матрицы: зеленый цвет –
для низкого уровня риска, желтый – для среднего, красный – для высокого и белый
– для «неприменимо».
Каждое подразделение может создать собственную
матрицу с теми же рисками, и применить их к рабочим группам подразделения. Эти
оценки могут быть объединены с общим отчетом, чтобы создать как можно более
полную матрицу рисков организации.
Одним из достоинств матричного
подхода является его простота, гибкость и быстрота применения. Кроме того, ее
легко представить в трех измерениях, если каждую из клеток раскрыть при помощи
полученного более подробного отчета из подразделения. И, хотя прокомментировать
полученное изображение может оказаться сложнее, чем в других случаях,
графическое отображение рисков оказывает огромное влияние на восприятие.
Например, скопления красных клеток говорят сами за себя.
Как и в случае
алгоритмического подхода, матрица требует от команды оценщиков огромных знаний о
бизнесе. В дополнение к этому, обслуживание матрицы может оказаться
нетривиальной задачей, так как переоценку следует производить при каждом важном
изменении. Отслеживание возможных изменений в подразделениях гарантирует
оценщикам различного рода сложности, обратно пропорциональные уровню развития
систем по обеспечению управленческой информацией и отчетами. В результате,
матрица не может отобразить динамику рискового профиля с той же легкостью, как
это делает база данных.
Какой подход использовать?
Ни один из вышеописанных трех методов не может быть назван
стандартным или предпочтительным для профессионалов в области оценки рисков.
Каждый из подходов имеет свои «за» и «против», причем достоинства и недостатки
завися от использования информации, собранной оценщиками и от уровня сложности,
с которой готова столкнуться организация.
Внедрение и поддержка оценки
риска с помощью баз данных наиболее сложная задача, ее лучше всего использовать
для получения детальных рекомендаций для менеджмента. Подход, связанный с
алгоритмизацией, больше всего пригодится в операционном управлении, его легче
всего поддерживать и сравнительно нетрудно внедрить. Напротив, подход,
использующий матрицу, проще всего внедрить, но нелегко поддерживать. Метод
построения матрицы хорош для стратегического менеджмента.
Менеджмент и
отдел внутреннего контроля должны внимательно рассмотреть все аргументы и
возможности этих подходов, оценить наличествующие организационные ресурсы перед
выбором необходимого подхода. Успешный и информативный анализ рисков зависит в
первую очередь от осторожности риск-менеджеров.