Как лучше оценить риск в Вашей организации

Один из популярных комиксов изображает босса, который просит помощницу провести оценку риск-менеджмента компании. Помощница проводит исследование и отчитывается, говоря: «Наши риск-менеджеры неплохо выглядят».

К сожалению, эта сценка четко отражает проблемы, возникающие при оценке рисков компании внутренними аудиторами. Зачастую ни менеджмент, ни аудиторы не знают, с чего начать. Так же, как и в случае с помощницей, их трепыхания в разные стороны выявляют только то, что явно бросается в глаза, а настоящие риски остаются в тени.

Оценка организационных рисков компании – ключевой инструмент в управлении, и важно использовать его правильным образом. Выбор верных методов оценки критичен для всего остального. Успешные группы проверяющих обычно используют один из трех основных подходов – база данных, алгоритм или матрицу. Понимание сильных и слабых сторон каждого метода необходимо для определения того, какая из техник будет наиболее ценной для организации.




База данных
Составление базы данных рисков – популярный метод оценки организационного риска. От интервью с каждой рабочей группой, до каталогизации основных продуктов и процессов с выпиской специфических для каждого подразделения рисков. В ходе поисков общих для всех групп рисков системы риск-менеджмента генерируют при помощи данной базы данных необходимые отчеты. То же самое происходит в случае анализа нескольких групп, работающих по смежной тематике.

Данный подход используют многие аудиторские фирмы, которые называют это «составлением профиля риска» и включают в качестве отдельного компонента в системы управления предприятием. Этот процесс также предпочитают риск-менеджеры из страховой отрасли, которые используют базы данных для сортировки и получения информации по физическим и финансовым активам и группам активов. Конечным результатом является каталог активов и связанные с ними основные риски.

Более прогрессивные риск-менеджеры включают потенциальную упущенную выгоду для каждого из видов активов. Например, стоимость производственного предприятия может быть равна стоимости замены оборудования, либо включать в эту сумму упущенную прибыль от невыпущенной продукции.

Одним из решений, выполненных по данной схеме, была применяемая в основном в банковской отрасли идея создания базы данных, куда записывались бы все случаи потерь. Защитники такой системы утверждают, что подобная база данных позволяет в кратчайшие сроки выявить риски и управлять ими. С другой стороны, базы данных по потерям содержат информацию лишь о прошедших событиях, и обычно не содержат ничего, кроме данных о потерях, что делает их неважным инструментом для оценки рисков в том случае, когда необходима дополнительная информация, или данные о таких деталях, как репутация организации или человеческие ресурсы.

Все решения на основе баз данных требуют как больших объемов информации, так и не меньших затрат времени – серьезная проблема при первоначальном контакте с консультантом. Кроме того, на поддержку баз данных также требуется значительное время, так как они очень быстро устаревают в постоянно меняющейся бизнес-среде.

Одним из недостатков такой системы является тот факт, что огромная масса данных может оказаться слишком большой для того, чтобы принять адекватное решение, хотя в то же время обилие информации позволяет детализировать бизнес-процессы и повышать тем самым точность управления мелкими подразделениями компании. Некоторые программные продукты помогают подытожить эти детализированные данные, и вывести общую подверженность данных видов активов рискам. Проверяющим, правда, следует следить за тем, чтобы такое ПО использовало надежные и точные средства анализа рисков, а не делало вид, что оно что-то анализирует. Если добавить в качестве ограничителя на запись в базу данных значимость рисков, то это также может помочь аудиторам и менеджменту не увязнуть в деталях. С другой стороны, возникает вопрос о том, какие риски на самом деле значимы, и простого ответа на него не найти даже самому хорошему проверяющему.




Алгоритм
Алгоритм, как последовательность шагов, обычно использует для получения результата логику и математику. Если алгоритм решает одну проблему, он может быть применен также в аналогичных ситуациях.

Алгоритмы в деле оценки риска обычно подразумевают приложение уравнения к каждой из структур организации с целью расчета уровня риска. Эти уравнения строятся как с учетом факторов риска, так и с учетом измеренных уровней риска в отношении каждого фактора. Факторы риска – наблюдаемые и могущие быть измеренными индикаторы наличия риска. Например, «время, прошедшее с последней проверки» - один из основных факторов риска, отражающих устаревание систем контроля со временем.

Выбирая несколько основных факторов и измеряя риск в каждом структурном подразделении организации, можно создать рисковую модель, которая объединяет и сортирует по важности риски в каждом отделе компании. Опыт показывает, что модель лучше работает при использовании от четырех до семи факторов. Некоторые модели используют веса для различения относительной важности той или иной группы факторов; другие – считают веса равными.

Успешные алгоритмы используют как статичные, так и динамичные факторы риска. Статичные факторы являются устойчивыми на протяжении некоторого периода времени и представляют собой, например, запасы ресурсов или прибыль. Таким образом, статичные факторы не являют напрямую индикаторами риска.

Динамичные факторы риска олицетворяют собой нестабильные по времени условия, и поэтому требуют постоянного наблюдения. Различия в действии, объеме, скорости в таких вещах как число продаж, время, требуемое клиенту для дозвона через call-центр, число доставок товара в день – типичные динамично меняющиеся факторы. Анализ рисков, использующий динамичные факторы риска, ищет источники и причины риска, извлекая их из неопределенности, волатильности, сложности или опасной природы рассматриваемых бизнес-процессов или подразделений компании. Динамичный фактор риска означает существование источника риска определенного типа в определенной деятельности в определенный момент времени. Чтобы обнаружить общую направленность в риске, динамичные факторы за определенный период времени должны быть измерены и проанализированы.

В использовании алгоритмов выявления и оценки рисков есть много достоинств. Модели рисков предлагают золотую середину между детальной информацией, собираемой при помощи баз данных и стратегическим процессом рассматриваемой ниже матричной методики. В отличие от подхода, использующего базы данных, модели рисков особенно эффективны в период роста и изменения организации. Если алгоритм создан, а его результаты перепроверены, формулу можно применить как к новым бизнес-процессам, так и существующим. Предположения, на которых основаны оценки уровня рисков, также поддаются внятному анализу и могут быть легко объяснены, так как базируются на математических зависимостях. При этом процедура сбора данных не займет много времени и ресурсов компании, как, впрочем, и поддержка. Алгоритмизованные модели рисков зачастую могут работать с электронными таблицами, что намного легче освоить сотрудникам, привыкшим к сложностям разнообразных продуктов, работающих с базами данных.

Конечно, подбор модели рисков путем алгоритмизации бизнес-процессов может столкнуться с определенными сложностями. Во-первых, для построения такой системы всей команде разработчиков необходимы обширные деловые знания, и не всегда такими знаниями обладают, например, господа из службы внутреннего контроля.

Кроме того, факторы риска, на которых строятся подобные системы, часто базируются на списке, разработанном еще в начале восьмидесятых. Использование устаревших факторов может привести к тому, что система пропустит действительно значительные риски, и виноваты в этом будут только разработчики.




Матрица
Сотрудники, занимающиеся стратегическим планированием, и высший менеджмент обычно отдают предпочтение изображению матрицы, во-первых – из-за того, что матрица имеет дело с решениями на самом высшем уровне, а во-вторых, потому что она позволяет наблюдать графическое изображение ситуации. Матрица изображает подразделения организации по оси абсцисс, и некоторое количество рисков по оси ординат. Число рисков обычно колеблется от 12 до 16, хотя известны и упрощенные модели, учитывающие, к примеру, всего 4 риска. Команда проверяющих осуществляет оценку каждого бизнес-подразделения компании по каждому из видов рисков, а результаты отображает в соответствующей клетке матрицы: зеленый цвет – для низкого уровня риска, желтый – для среднего, красный – для высокого и белый – для «неприменимо».

Каждое подразделение может создать собственную матрицу с теми же рисками, и применить их к рабочим группам подразделения. Эти оценки могут быть объединены с общим отчетом, чтобы создать как можно более полную матрицу рисков организации.

Одним из достоинств матричного подхода является его простота, гибкость и быстрота применения. Кроме того, ее легко представить в трех измерениях, если каждую из клеток раскрыть при помощи полученного более подробного отчета из подразделения. И, хотя прокомментировать полученное изображение может оказаться сложнее, чем в других случаях, графическое отображение рисков оказывает огромное влияние на восприятие. Например, скопления красных клеток говорят сами за себя.

Как и в случае алгоритмического подхода, матрица требует от команды оценщиков огромных знаний о бизнесе. В дополнение к этому, обслуживание матрицы может оказаться нетривиальной задачей, так как переоценку следует производить при каждом важном изменении. Отслеживание возможных изменений в подразделениях гарантирует оценщикам различного рода сложности, обратно пропорциональные уровню развития систем по обеспечению управленческой информацией и отчетами. В результате, матрица не может отобразить динамику рискового профиля с той же легкостью, как это делает база данных.




Какой подход использовать?
Ни один из вышеописанных трех методов не может быть назван стандартным или предпочтительным для профессионалов в области оценки рисков. Каждый из подходов имеет свои «за» и «против», причем достоинства и недостатки завися от использования информации, собранной оценщиками и от уровня сложности, с которой готова столкнуться организация.

Внедрение и поддержка оценки риска с помощью баз данных наиболее сложная задача, ее лучше всего использовать для получения детальных рекомендаций для менеджмента. Подход, связанный с алгоритмизацией, больше всего пригодится в операционном управлении, его легче всего поддерживать и сравнительно нетрудно внедрить. Напротив, подход, использующий матрицу, проще всего внедрить, но нелегко поддерживать. Метод построения матрицы хорош для стратегического менеджмента.

Менеджмент и отдел внутреннего контроля должны внимательно рассмотреть все аргументы и возможности этих подходов, оценить наличествующие организационные ресурсы перед выбором необходимого подхода. Успешный и информативный анализ рисков зависит в первую очередь от осторожности риск-менеджеров.
Источник: http://www.oskord.ru