Порядок разработки и тестирования ключевых индикаторов риска |
Международный профессиональный стандарт внутреннего аудита 1130.А3 (МПСВА 1130.А3) говорит о том, что «подразделение внутреннего аудита может выполнять задания по предоставлению гарантий в тех областях, где ранее выполнялись консультационные задания, при том условии, что характер консультационного задания не повлияет на объективность, а при выделении трудовых ресурсов для выполнения задания предусматривается обеспечение личной объективности».
Ключевые индикаторы риска (далее — КИР) — это количественные показатели источников факторов (или признаков) риска. Основными целями КИР являются своевременное реагирование на возникновение угроз, выбор превентивных действий, направленных на предотвращение наступления опасных событий, и обеспечение гарантий достижения поставленных целей, а также упрощение и совершенствование механизмов принятия решений в отношении риска.
Исходя из определения и целей КИР становится очевидным, что система данных показателей может дать внутреннему аудиту как минимум базу для сравнения текущей ситуации в деятельности компании с ожидаемым уровнем, то есть набор критериев.
Как признают большинство профессионалов, «вооружение» менеджмента эффективным и прозрачным инструментом самостоятельного мониторинга рисков позволяет внутренним аудиторам в перспективе сократить цикл проверок, в большей степени полагаясь на эффективность первой и второй линии защиты (но, конечно же, не игнорируя необходимости периодической оценки их надежности). В свою очередь, это способствует снижению степени отвлечения менеджмента от своих непосредственных обязанностей и связанного с этим негативного восприятия внутреннего аудита. Внутренним аудиторам же дается возможность сконцентрироваться на наиболее актуальных и менее рутинных задачах.
Для предоставления гарантий необходимо наличие предмета, в отношении которого данные гарантии предоставляются. Соответственно, если система КИР не создана, то нечего проверять и гарантировать. Систему необходимо создать. В данном случае внутреннему аудиту следует проявить инициативу и предложить руководству свою помощь, которая может заключаться в таких направлениях, как:
§ разработка методологии КИР;
§ обучение ответственных подразделений компании (владельцев рисков) основам управления рисками;
§ проведение риск-сессий с целью установления показателей КИР и их значений.
Все вышеуказанные виды работ могут быть отнесены к консультационной деятельности по совершенствованию процессов управления рисками в организации, что полностью соответствует миссии внутреннего аудита. Кроме того, активная поддержка менеджмента во внедрении инструмента, позволяющего своевременно реагировать на угрозы бизнесу, может способствовать укреплению авторитета внутреннего аудита в глазах как менеджмента, так и совета директоров (правления).
В случае, если внутренний аудит привлекается для разработки системы КИР, то есть выступает в роли консультанта, следует действовать по следующему алгоритму:
1. Выделение ключевых рисков (критические, существенные). Используем для этого карты или реестры рисков с установленной оценкой. Как правило, стремление покрыть все риски (вне зависимости от их существенности) индикаторами приводит к нерациональному отвлечению ресурсов как аудита, так и менеджмента.
2. Выделение ключевых факторов рисков и методов их мониторинга. Именно ключевых, а не любых гипотетических. Данных показателей не должно быть слишком много.
3. Определение потенциальных КИР, методов и частоты их расчета. Использование КИР зачастую происходит менеджментом неосознанно. В случае если это так, внутреннему аудитору следует зафиксировать, а также оценить эффективность и достаточность используемой практики. Не исключено, что в этом случае дополнительных мероприятий менеджменту внедрять не придется.
4. Определение источников данных о значениях КИР. Источники должны отвечать основным требованиям надежности и достаточности, которые предъявляются и к аудиторским доказательствам.
5. Определение пороговых значений КИР и согласование КИР с владельцами риска. При этом следует помнить, что менеджмент может быть склонен к искусственному завышению порогов по причине нежелания излишнего привлечения внимания к своей деятельности и страха нарушения каких-либо показателей.
6. Утверждение КИР (на уровне высшего менеджмента). Это важный этап, поскольку система показателей должна быть сбалансирована, а ряд показателей может конфликтовать друг с другом.
7. Автоматизация КИР. Данный этап является опциональным. Однако автоматизация утвержденных на предыдущем этапе показателей может позволить решить следующие задачи:
§ максимально снизить цикл обработки данных для расчета показателей КИР и обеспечить наиболее оперативную реакцию на изменение риск-факторов;
§ проводить анализ КИР не только с заданной частотой, но и в любой момент времени;
§ обеспечить целостность (надежность) данных при расчете показателей КИР.
По итогам разработки должна сформироваться база данных. Рассмотрим пример по 5 рискам разных категорий.
№ |
Критический риск |
КИР |
Описание расчета КИР |
Источник данных |
Частота измерения |
Ед. измерения |
Порог 1 |
Порог 2 |
1 |
Риск утечки конфиденциальной информации |
Количество писем, отправленных по корпоративной электронной почте и содержащих признаки конфиденциальной информации |
Количество указанных писем за период |
DLP-системы (data leak protection), внедренные в компании |
Еженедельно |
ед. |
5 |
10 |
2 |
Валютный риск |
Степень колебания валютных курсов за период |
(Средний курс валюты за период / Курс валюты, заложенный в финансовую модель) · 100 % |
Учетные системы |
Ежегодно |
% |
80 |
120 |
3 |
Риск коррупции и мошенничества |
Доля новых контрагентов, по которым были оговорки отдела экономической безопасности, в общем количестве заключенных договоров |
(Количество новых контрагентов с оговорками / Количество новых контрагентов) · 100 % |
База данных договоров |
1 раз в полгода |
% |
90 |
75 |
4 |
Риск снижения спроса на продукцию |
Динамика количества претензий (негативных отзывов) от клиентов по содержанию продукции |
(Количество признанных претензий в текущем периоде / Количество признанных претензий в предыдущем периоде) · 100 % |
База данных по претензиям |
Ежегодно |
% |
120 |
150 |
5 |
Риск применения международных санкций |
Расширение санкционного списка в отношении компании и аффилированных с ней физических и юридических лиц |
Факт добавления в санкционные списки лиц, аффилированных с компанией |
Новостные сайты |
Ежегодно |
да/нет |
1 |
1 |
ПОРЯДОК ТЕСТИРОВАНИЯ
Что необходимо проверить при предоставлении гарантий? Разделим проверку на две части: тестирование дизайна системы и проверка эксплуатации системы:
А) для тестирования дизайна необходимо провести проверку всех основных ее элементов:
№ |
Направления |
Потенциальные проблемы для выявления |
1 |
Степень покрытия КИР критических рисков |
Ситуация по существенному количеству рисков критического уровня не отслеживается с помощью КИР |
Избыточное внимание уделяется КИР по рискам с низкой оценкой (необоснованное отвлечение менеджмента и замедление операционных процессов) |
||
Дублирующие друг друга КИР (необоснованное отвлечение менеджмента и замедление операционных процессов) |
||
2 |
Методы расчета КИР |
Используемые источники данных для расчета КИР не являются надежными (введение в заблуждение менеджмента о реальной ситуации в отношении оценки факторов риска) |
Фактор риска, тестируемый с помощью КИР, не является основным для данного риска (отвлечение ресурсов системы без требуемого результата) |
||
Используемые показатели свидетельствуют об уже реализовавшихся рисках, а не о приближающихся. То есть в лучшем случае помогают менеджменту отреагировать на последствия риска, но не предотвратить его |
||
3 |
Периодичность расчета КИР |
Избыточная периодичность. Необоснованные трудозатраты на формирование и обработку отчетов по КИР. Необходимо принимать во внимание такой фактор, как периодичность изменения данных источника. Например, если демографические данные собираются ежегодно, то бессмысленно составлять отчеты по КИР, связанные с данными факторами, на более частой основе |
Недостаточная периодичность. Как результат — несвоевременное реагирование на возникающие угрозы |
||
4 |
Пороговые значения (здесь следует проследить известные аудитору реализовавшиеся риски за проверяемый период, риски по соответствующим им КИР) |
Значения занижены (большое количество ложноположительных сигналов, как результат — неэффективное отвлечение руководства на реагирование) |
Значения завышены (большое количество ложноотрицательных сигналов, как результат — отсутствие адекватного реагирования на потенциальные угрозы) |
Б) при аудите функционирования системы следует протестировать КИР, разделив их на 3 категории:
№ |
Направления |
Потенциальные проблемы для выявления |
1 |
«Зеленая зона» (значение за проверяемый период — ниже Порога 1) — допустимая зона, |
Необоснованное занижение показателей КИР, которое может произойти как в результате ошибки информационных систем, так и человеческого фактора, в том числе и умысла ответственного за риск менеджера |
при которой уровень риска приемлем, и никаких дополнительных действий не требуется |
||
2 |
«Желтая зона» (значение — между Порогом 1 и 2) — зона повышенного внимания, требующая проверки принятия надлежащих мер реагирования |
Информация несвоевременно доведена (не доведена) до уполномоченного органа принятия решений |
Принятое решение не направлено на снижение уровня показателя КИР |
||
Принятое решение негативно влияет на уровни иных рисков |
||
3 |
«Красная зона» (значение — выше Порога 2) — зона немедленного реагирования |
Информация не доведена в установленные сроки до высшего руководства и не взята под его контроль |
Информация не доведена в установленные сроки до сведения внутреннего аудита для организации внеплановой проверки по анализу причин ситуации |
||
План мер по снижению показателей КИР не внедрен |
||
План мер по снижению показателей КИР не дал ожидаемого результата (целевой уровень снижения не достигнут) |
В заключение отметим, что в условиях сокращения компаниями любых расходов, не имеющих очевидной отдачи, внутренний аудит должен как никогда доказывать свою необходимость для бизнеса. Возможно, участие в разработке и последующий анализ системы КИР окажется как раз одним из тех направлений, которые способны заинтересовать заказчиков.
<...>
Войдите в систему или зарегистрируйтесь