Про управление рисками достаточно подробно написано в соответствующих учебниках, стандартах и методологиях, нет смысла пересказывать то же самое еще раз. Но на днях коллега, беседуя по вопросам рисков, поделился одним изящным решением, придуманным недавно в ходе мозгового штурма и был удивлен, когда узнал, что в моей библиотеке практик это решение присутствует уже несколько лет. Поэтому хотелось бы поделиться некоторым набором практических подходов, которые, возможно, помогут другим хотя бы сэкономить время.

Однако, прежде чем рассказывать что‑либо о рисках, надо все таки обратиться к основам и определиться с терминами. Нужно сразу оговориться, что на практике иногда используют двойственную природу риска, говоря, что кроме опасностей он несет и возможности, но в данном случае мы будем рассматривать только негативную сторону рисков.

В дискуссиях и спорах, для обоснования своей точки зрения при разработке стратегий, планировании бюджета и особенно при прохождении проверок и аудитов, участники часто используют термины «высоко‑рисковый», «риск‑ориентированный», «аппетит к риску». Но если спросить, что каждый из них под этим понимает, может выясниться, что понимание у всех разное.

Обычно используют определение из методик COSO (The Committee of Sponsoring Organizations) или стандартов ГОСТ серии 31 000 в виде: «Риск это следствие влияния неопределенности на достижение поставленных целей» либо более коротко, как в стандартах ГОСТ 27 000 или ГОСТ 51897: «Влияние неопределенности на достижение целей». Это определение полезно тем, что привязывает риск к бизнес‑цели и дает возможность отсечь то, что не относится к достижению целей бизнеса. Но, к сожалению, в таком определении отсутствуют четко измеряемые показатели. Поэтому, обычно, рядом с таким определением есть уточнение или примечание, как в том же стандарте 31000, где говорится, что понятие риска связано с размером потенциального ущерба и вероятностью его наступления. Таким образом у нас появляются два параметра, которые можно измерять.

По размеру ущерба часто имеются хотя бы интуитивные понятия, обычно связанные со стоимостью активов, находящихся под конкретным риском. Ниже мы еще вернемся к этой части риска и увидим, что вопрос несколько сложнее. Но чаще всего считается, что вероятность, определить более сложно, чем размер ущерба.

При разговоре о расчете вероятности, как правило ссылаются на исторический опыт реализации рисков либо на статистику. Между тем, вероятность тоже можно декомпозировать на более измеримые параметры. В качестве очевидного примера можно использовать прием из собеседования кандидатов на позиции, связанные с управлением рисками, когда задается такой вопрос: «В поле стоит сарай. От чего зависит вероятность, что он будет ограблен?». И в ходе дальнейшего обсуждения обычно приходят к следующему:

1. Вероятность зависит от того, что находится в сарае (золото или сено). А точнее от того, что знает о содержимом сарая потенциальный преступник

2. Вероятность зависит от того, насколько хорошо защищен сарай (ветхая дверь или забор из колючей проволоки с пулеметными вышками)

Таким образом, мы получаем два измеряемых параметра: наличие или отсутствие угрозы, и наличие защиты или, наоборот, уязвимости.

Чтобы одинаково понимать термин «угрозы», снова обратимся к стандартам:

• ГОСТ 22300: Потенциальная причина нежелательного инцидента, который может привести к причинению вреда людям, системе или организации, окружающей среде или сообществу

• ГОСТ 27000: Потенциальная причина нежелательного инцидента, который может нанести вред системе или организации

• ГОСТ 31010: Потенциальный источник опасности, вреда или другого нежелательного результата

Можно далее декомпозировать угрозу на наличие у потенциального источника (в случае с сараем — преступника) мотива к ограблению, возможности осуществить преступление и средств для его осуществления. Но, поскольку мы заранее ничего не знаем о преступнике, целесообразно предполагать, что все перечисленное у него есть, причем в достаточном количестве. Нужно только отметить, что на возможности преступника также влияет наличие или отсутствие уязвимости в защите нашего «сарая». Для ряда категорий рисков угрозами могут быть нестабильность финансового рынка, политические решения и так далее. А защитой от уязвимости будут финансовые резервы, связи во властных кругах и тому подобное. В случае с рисками непрерывности бизнеса вероятность таких событий, как террористический акт или массовое отключение электричества еще более сложны в расчетах, но предварительные меры по реагированию и восстановлению ресурсов и процессов также работают на снижение уровня риска в целом.

В методике управления рисками FAIR (Factor Analysis of Information Risk) предлагается схожий подход к декомпозиции риска, но угроза разбирается иначе. В этой методике оценку риска предлагается разделить на частоту возникновения негативного события (та же вероятностm) и размер потери. При этом потери далее разделяются на первичные (возникшие при наступлении события) и вторичные (затраты, возникающие в ходе устранения последствий). Вторичные потери оцениваются по частоте их возникновения и собственно размеру. Это важная часть риска и подробнее мы вернемся к ней ниже, после того, как разберемся с вероятностью.

Вероятность же, как мы отметили ранее, также разделяется на частоту возникновения угрозы (то есть параметр рассматривается в динамике) и уязвимость. Частота угрозы далее делится на частоту контакта (угрозы с активом) и вероятность реализации угрозы, а уязвимость делится на мощность угрозы и силу сопротивления ей. Далее указываются параметры этих трех составляющих:

• частота контакта определятся как случайная, регулярная или целенаправленная;

• вероятность реализации определяется ценностью актива с точки зрения злоумышленника, степенью усилий и риском (уже для злоумышленника, что он понесет ущерб или наказание);

• мощность угрозы определяется навыками злоумышленника (знаниями и опытом) и его ресурсами (временем и средствами).

Сила сопротивления, очевидно, может определяться так же, как мощность угрозы, только уже со стороны защиты.

Теперь вернемся к оценке ущерба по той же методике FAIR. Здесь указывается шесть видов или форм потерь:

• Потеря продуктивности — сокращение способности производить ценность (товары, услуги, прибыль);

• Расходы на реагирование — затраты, возникающие в ходе события реализации риска;

• Расходы на замену — капитальные расходы на замену утраченного или поврежденного актива;

• Штрафы и другие судебные \ юридические \ контрактные расходы;

• Потеря конкурентного преимущества, включая утрату интеллектуальной собственности;

• Ущерб репутации.

Необходимо учесть, что каждую из этих областей не получится обозначить одной цифрой или качественной оценкой, пока не выполнить дальнейшее погружение в каждую из них. Скажем, если сумму средств, непосредственно похищенных со счетов в ходе инцидента можно посчитать сразу, то быстро оценить последствия утраченных учетных данных привилегированных пользователей, данных платежных инструментов или персональных данных клиентов может быть затруднительно. Или, если не были предприняты мероприятия по обеспечению непрерывности бизнеса (в частности не был выполнен анализ воздействия на бизнес), то не всегда очевидно, во сколько обойдется прерывание того или иного производственного процесса. Так же не всегда в ущерб включаются расходы на расследование инцидента (для которого может потребоваться привлечение внешних ресурсов) и расходы на усиление мер противодействия повторной реализации этого же риска. Дополнительно следует обратить внимание, что если инцидент затронет не одно только ваше предприятие, а будет носить массовый характер, то товары и услуги для снижения ущерба от инцидента в моменте могут пользоваться высоким спросом и, соответственно, их стоимость может существенно повыситься.

Следующий важный вопрос, который возникает при управлении рисками, это вопрос о форме оценки риска — качественной или количественной. Качественная оценка риска это отнесение его к одной из категорий, например, низкий-средний-высокий. Количественная оценка риска это выражение его в виде конкретного числа (стоимости), определяемого на основе принятого расчета. Чаще всего предполагается, что на ранней стадии развития система управления рисками оперируется качественной оценкой, но по мере развития переходит к количественной. Но на практике нужно понять для каких целей производится такая оценка.

Качественная оценка, отображаемая обычно в виде светофора — красный, желтый или зеленый (высокий, средний, низкий) уровень риска — направлена на понимание куда должны быть приложены основные усилия и внимание при обработке риска. Здесь необходимо обратить внимание на определенный психологический трюк. Если для оценки использовать только три показателя - низкий-средний-высокий, то можно обнаружить, что при оценке, особенно первоначальной, практически все риски — среднего уровня. Это связано с тем, что руководители подразделений или блоков (которые обычно и являются владельцами рисков, о чем чуть ниже) подсознательно избегают отнесения своих рисков к самой высокой (красной) категории, предполагая, что такой вариант будет демонстрировать их определенную «недоработку» в управлении рисками. Поэтому они будут настаивать на том, чтобы отнести свои риски к зеленой, в крайнем случае, к желтой зоне. (Интересно что если будет производится анализ воздействия на бизнес в рамках управления рисками непрерывности бизнеса, то картина будет другой. Большая часть руководителей на первой стадии будет стремиться отнести свои процессы к наиболее критическим, хотя позже, столкнувшись со списком мероприятий для критических процессов, может поменять свое решение). Но если же мы расширим количество категорий от трех до четырех (низкий-средний-высокий-критический) или даже пяти (низкий-средний-высокий-критический-катастрофический) с палитрой зеленый-желтый-оранжевый-красный-бордовый, то отнесение риска к категории «высокий» будет более безболезненным и общая картина будет более реалистичной. В другой популярной методике оценки риска CIS RAM (Center for Internet Security Risk Assessment Method) используют категории: незначительный, допустимый, недопустимый, высокий, катастрофический. Можно придумать и собственные удобные наименования.

Количественная оценка используется для более точных оценок уровня аппетита к риску (а также риск-толерантности и общего объема риска), оценке затрат на снижение риска, уровень принятия риска должностным лицом и других измеряемых параметров. Но тут есть ряд аспектов, требующих более внимательного изучения. Предполагается, что если количественный расчет риска проведен по утвержденной методике на основе сложной математической формулы, то он достоверен. Однако это не совсем так. Возьмем стандарт управления рисками ГОСТ 31010, который называется «Методы оценки риска» и предлагает несколько десятков методов оценки риска. Если внимательно ознакомиться с деталями каждого подхода, то можно увидеть, что даже научно звучащие методы в качестве входных данных для расчета используют субъективные оценки, интерпретации либо предварительно сформулированные модели, также опирающиеся на экспертные оценки. Некоторые модели выдают результаты в виде определенных вероятностных распределений, которые также нуждаются в дополнительной экспертной интерпретации. Это не означает, что эти методы плохие, но нужно точно понимать, кто и как делал экспертные оценки, высказывал субъективное мнение и интерпретировал результаты. Чтобы не получилось, что топ-менеджмент принимал решения на основе презентации, подготовленной бизнес-аналитиком на испытательном сроке. Учитывая, что существенной составляющей оценки риска будет размер потенциального ущерба, а мы выше уже увидели то множество составляющих, на которые декомпозируется ущерб, можно предположить, что не каждый финансовый директор сможет достоверно количественно оценить ущерб от реализации риска.

Видимо, допустимым решением будет комбинация качественного и количественного подхода, когда большая часть рисков оценивается качественно, а для отдельных групп рисков или важных единичных рисков используется количественная оценка, формируемая авторизованными экспертами. Другим вариантом может быть соотнесение качественных категорий с количественными показателями. Например, средний (желтый) риск будет означать ущерб от 10 до 20 млн. рублей с вероятностью реализации — ежегодно. В упомянутой выше методике CIS RAM приводится пример категорирования вероятности на основе процента ожидания наступления события в год:

• 0% — событие не предполагается

• менее 1% — событие предполагается, но не ожидается

• от 1 до 20% — событие ожидается, но оно не обычное

• от 20 до 50% — событие обычное

• более 50% событие может произойти немедленно

Один из практических подходов к управлению рисками используется в информационной безопасности, когда для управления рисками используется модель угроз, то есть из всех факторов риска используют тот, который проще определить. А для наиболее критических рисков используют еще более упрощенный вариант — список недопустимых событий. В таком формате гораздо удобнее выработать меры предотвращающие таких событий либо противодействовать обозначенным угрозам. Еще один, заслуживающий внимания подход используется в управлении рисками непрерывности бизнеса, где критичность бизнес-процесса определяется с точки зрения времени, в течение которого он может не функционировать, не нанося при этом значимого ущерба предприятию (частично это упоминалось выше, в оценке ущерба по FAIR).

Следует также понимать, что риск это понятие динамическое. В практике всевозможных проверок, аудитов, исследований нередко встречаются ситуации, когда на вопрос «Какие основные риски есть в вашем подразделении?» следует ответ «У нас рисков нет, у нас все в порядке!». Тогда приходится выравнивать понимание в области рисков и пояснять, что риски всегда есть, а «все в порядке» у вас по причине того что: либо риски невысоки и ими пренебрегают, либо они снижены для приемлемого уровня и не оказывают влияния на деятельность подразделения. Ну и самый плохой вариант, что риски просто не идентифицированы и события их реализации просто пока не наступили.

Для ведения подобных дискуссий нужно пояснить, что риски присущи любым процессам, потому, что по самому определению риска, процессы оперируют определенными ценностями и при этом в ходе выполнения процесса возникают неопределенности, которые влияют на эти ценности, в том числе, и негативным образом. Чаще всего, идентифицировать риск можно в той точке процесса, где происходит принятие решения либо выполнение условия при котором процесс далее идет в одну или другую сторону, влияя при этом на ценность, генерируемую или управляемую процессом. Вот такой риск, соответствующий самой природе процесса, называется «присущим» риском (англоязычный термин — inherent).

Понятно, что в реальном мире практически все процессы изначально проектируются с учетом возможных негативных влияний, ошибок, сбоев, злоумышленных вмешательств и в чистом виде присущий риск можно найти только в принципиально новом процессе, который еще не наработал негативного опыта. Скажем, до массовых случаев телефонного мошенничества большинству людей не приходило в голову, что из службы безопасности банка могут позвонить, чтобы украсть деньги. Соответственно, никаких дополнительных мер, управляющих риском мошеннического звонка, кроме здравого смысла самого клиента банка, не было.

Но в большинстве случаев мы рассматриваем риски, которые уже подверглись некоторой обработке для снижения вероятности их негативной реализации. Такие риски, которые уже обработаны в сторону снижения, называются «остаточными» рисками (англоязычный термин —residual). А те механизмы и процедуры, которые в ходе процесса, обрабатывали риск, управляя им, называются «внутренними контролями» (internal controls или просто controls). Таким образом, для упрощения понимания, мы можем определить, что присущий риск это риск до применения контроля, а остаточный риск это после применения контроля.

Тут необходимо упомянуть еще одно понятие - «вторичный риск». Вторичный риск это риск, возникающий по причине применения контроля. Примером связи этих понятий может быть ситуация, когда присущий риск проникновения злоумышленника в информационную сеть организации обрабатывается контролем в виде межсетевого экрана (firewall), в результате чего, остаточный риск считается допустимым. Однако тут возникает вторичный риск уже в процессах настройки, обновления, мониторинга, администрирования межсетевого экрана. Этого риска у нас не было изначально, но если не идентифицировать его и не начать управлять этим новым, вторичным риском, может оказаться, что остаточный риск проникновения в сеть будет практически равен присущему.

Говоря о присущих и остаточных рисках, нужно обратить внимание на формат презентации рисков высокому руководству. Чаще всего, вне зависимости от качественной или количественной оценки риска, на слайдах использую пресловутую «тепловую карту», а именно — отображение уровня рисков в цветовой гамме светофора (красный-желтый зеленый). И нередко, особенно на первых презентациях системы управления рисками, у руководства возникают одни и те же вопросы:

— Почему так много красного? Вы вообще работаете или что делаете? Такой уровень риска неприемлем!

— Ого как много зеленого! Видимо все отлично? Зачем нам тогда такие расходы на снижение рисков?

Чтобы избежать подобных ситуаций важно с первых же слайдов ввести понятия присущих и остаточных рисков и далее постоянно напоминать, какой именно риск вы сейчас показываете. Или, как вариант, для каждого риска или категории риска указывать обе оценки — в присущем (исходном) виде и в текущем (остаточном на момент презентации). Способ отображения усложняется, зато повышается понимание актуальности текущего состояния рисков.

Есть еще один параметр или фактор риска, который не всегда указывается в типовом списке, но который довольно важен для понимания актуальности данного риска. Это - сценарий реализации риска, иначе говоря более или менее детальное описание событий и действий, которые приведут к реализации риска. У сотрудника риск-подразделения в процессе очередной идентификации рисков либо у аудитора при анализе бизнес-процесса или контроля, может возникнуть понимание наличия риска, который ранее был не идентифицирован. Прежде чем вносить его в корпоративный реестр рисков или вырабатывать рекомендацию по его устранению, следует описать сценарий его реализации. Далее нужно проговорить этот сценарий с потенциальным владельцем этого риска или с владельцем процесса, в котором предполагается наличие этого риска. Нередко бывает, что в ходе такой дискуссии выясняется, что изначальные предположения о размере риска или даже о его наличии были слишком теоретическими, а в фактическом контексте такого риска не существует либо вероятность его реализации делает его нецелесообразным для дальнейшей обработки. Реже бывает, что при этом обсуждении, владелец риска или процесса приходит к пониманию наличия у него не только этого риска, но и целой группы рисков, реализуемых по описанному или сходному сценарию, что позволяет их оперативно идентифицировать. По этой причине при проработке сценария следует особенно уделить внимание на описание наиболее реалистичного (вероятного) варианта развития событий и пояснения масштабов негативного воздействия.

При таких дискуссиях следует помнить, что у владельцев рисков могут встречаться необъективные крайности в оценке рисков: экстремальное преувеличение или приуменьшение размера рисков, о которых мы говорили чуть выше. Чаще владелец стремится приуменьшить уровень рисков, которыми он владеет, так как он понимает, что высокие риски потребуют от него дополнительных мероприятий, возможно, дополнительных бюджетов на обработку и если владелец сфокусирован на других ключевых показателях эффективности своей работы, то он не горит желанием организовывать напрямую не связанные с этим процессы управления рисками. Реже встречается стремление увеличивать уровень рисков для повышения корпоративного авторитета либо именно для дополнительных бюджетов. Поэтому в ходе таких дискуссий для сценариев необходимо использовать конкретные и объективные понятия и формулировки, особенно для последствий, избегая конструкций типа «приведет к нарушению регламента», «негативно отразится на клиентах», «будет разглашена конфиденциальная информация».

По мере развития системы управления рисками неизбежно возникают понятия «владения риском» и «принятия риска», с этими понятия нужно внимательно поработать.

Очевидно, что в ходе выполнения бизнес-процессов регулярно возникают риски и первое лицо не может владеть всеми рисками организации. Предполагается, что владение рисками будет делегировано соответствующим руководителям подразделений или направлений. Такой руководитель, становясь владельцем риска и, таким образом, начиная нести за него ответственность, задает разумный вопрос: «Означает ли владение риском, в том числе, материальную ответственность за ущерб в случае его реализации?». Понятно, что неправильный положительный ответ на такой вопрос может парализовать работу бизнес-процессов, так как владелец риска просто не захочет генерировать события, которые могут привести к реализации риска с любым уровнем вероятности, отличным от нулевого.

Поэтому очень важно явно декларировать, что в обязанности владельца риска входит создание условий для обработки риска, с тем, что его остаточный уровень попадал в допустимые значения. Иначе говоря, все идентифицированные, проанализированные и оцененные риски в его области компетенции либо обрабатываются соответствующим контролями, либо имеется конкретный план мероприятий, по внедрению таких контролей в разумный период. Есть еще вариант, что часть рисков может быть принята без того, что их остаточный уровень находится в приемлемой зоне, но об этом немного ниже.

Таким образом, материальную или иную ответственность владелец риска понесет только если в ходе проверки или, в наихудшем случае, после реализации риска, выяснится, что владелец не предпринял необходимых усилий для управления данным риском. А необходимые усилия предполагают ряд мероприятий, например, расчет и защиту бюджета на те самые контрольные механизмы и процедуры, обрабатывающие риск. При этом, отдельного внимания требуют риски цепочек поставок, когда владелец риска узнаёт, что отношения с поставщиком придется стоить уже не по схеме «купил и забыл», теперь придется выстаивать схему процессов контроля, в том числе системы управления рисками поставщика, чтобы инцидент поставщика не стал инцидентом реализации риска нашего владельца.

После того, как владелец риска свыкнется со своей новой ролью, иногда случается другая крайность. В рутине производственных дел владелец начинает с легкостью принимать риски, экономя время на необходимых мероприятиях по их управлению. На заседании Комитета по проектам или Правления, при возникновении вопроса о появлении сложно-управляемого риска, владелец процессов в чьей области возникает этот риск заявляет, что принимает его, это вносится в протокол, остальные облегченно вздыхают и обсуждение идет дальше. В этом случае участники заседания предполагают, что владелец предпримет необходимые усилия для управления риском, а сам владелец считает, что текущих контролей достаточно, чтобы справится с новым риском. Понятно, что подобный подход может привести к существенным негативным событиям.

Чтобы избежать возможных неприятностей в будущем, процесс принятия риска необходимо чуть более формализовать. Для начала, нужно определить, что принятие риска должно происходить либо на заседании отдельного органа (например, Комитета по рискам), либо отдельным вопросом для другом уполномоченном органе (скажем, Правлении). Соответственно, для осознанного принятия риска нужна некоторая подготовка. Нужно определить и далее обсудить следующее:

• Описание сценария реализации риска. При последующем обсуждении компетентные участники заседания могут внести такие изменения и дополнения в сценарий, что принятие риска окажется невозможным.

• Описание последствий реализации риска в числовом или ином, доступном для оценки виде.

• Описание текущих контролей, которые могут содействовать снижению уровня риска (так называемых «компенсирующих контролей», которые изначально не предназначены для данного риска либо не снижают данный риск напрямую, но могут снижать вероятность других событий, влияющих на данный риск). Обсуждение контролей с их владельцами (которые не всегда связаны с владельцем риска, например, могут не подчиняться ему непостредственно) может выявить, что контроли работают не так, как это представляет себе владелец риска и не способны снижать его риск, либо могли бы его снижать, но их мощность недостаточна для обработки нового риска.

• Описание индикаторов реализации риска (ключевых индикаторов риска), то есть те признаки, по которым можно понять на каком этапе реализации находится данный риск либо прямо сигнализирующих о высоко‑вероятном наступлении события риска.

• Срок следующей оценки риска, то есть дата, когда в следующий раз владелец риска доложит о текущем состоянии этого риска, с тем чтобы продолжить его принятие либо выработать иное решение.

Понятно, что такое принятие риска должно быть зафиксировано, например в общем реестре рисков или в иной форме, необходимо осуществлять мониторинг его индикаторов и повторно рассмотреть его в установленный срок. Важно также отслеживать, чтобы владелец риска, принимая риски, не превысил установленный для него лимит в рамках общего корпоративного риск-аппетита. При таком подходе к принятию риска становится очевидным, что руководители разного уровня должны иметь различные лимиты для принятия рисков. Тот руководитель, который сможет привлечь больше ресурсов для работы компенсирующих контролей, мониторинга индикаторов и экстренного реагирования в случае реализации риска, имеет право принимать бОльшие размеры рисков.

Чтобы иметь более полное представление об управлении рисками, нужно понимать, что система управления рисками неразрывно связана с системой внутренних контролей и поддерживается регулярными проверками и тестированием. Эта схема обычно отражается в виде трех линий защиты (контроли — риски — аудит) по упомянутой ранее методике COSO. Поэтому надо добавить несколько слов и об этих направлениях — внутренних контролях и аудите. Первой линией защиты являются те, кто собственно управляет внутренними контролями для обработки рисков (то есть сотрудники предприятия в рамках операционной деятельности или руководители при выработке решений). Второй линией является собственно Служба риска, обеспечивающая методологическую поддержку и проработку инструментов по управлению рисками, отчетность в области рисков. Третья линия — это внутренний аудит, производящий оценку системы управления рисками и ее развития.

Участники первой линии не всегда осознают эту свою роль в картине рисков и контролей. Они выполняют требования должностных инструкций, регламентов или просто следуют сложившимся практикам, не представляя, что на самом деле являются существенной или даже основной частью контроля в системе управления рисками. Проблемы при внедрении системы управления рисками порой возникают от того, что бывает сложно или даже невозможно оценить это серое облако традиционно сложившихся контролей, а значить невозможно и понять насколько эффективно они обрабатывают риски и каковы же таким образом остаточные риски. Здесь важно не допустить двух крайностей, которые порой случаются при построении системы управления рисками.

Первая это использование избыточно высокоуровневого подхода, когда руководитель по рискам выбирает 5-7-10 рисков очень общего уровня типа «риск негативного изменения рыночной обстановки», «риск кибер-атак» или «риск нарушения работы поставщика» и остается на этом уровне, не погружаясь в детали. Контроли на местах как-то выполняются, аудит вырабатывает какие-то рекомендации, инциденты риск событий как-то документируются, а значит все в порядке. Но такой уровень хорош детализации рисков хорош для презентаций Правлению или Совету директоров, но реально управлять рисками на таком уровне не получится.

Вторая крайность, это когда Служба риска отправляется в поход за полной идентификацией и документированием всех рисков предприятия. Происходит углубленное чтение регламентов, массовые интервью с сотрудниками, возможно даже привлечение внешних консультантов и дело заканчивается сложно-читаемой Excel-таблицей на десятки столбцов и сотни или даже тысячи строк. При этом нередко бывает, что на момент завершения работ эта таблица уже устарела. Поскольку такая работа занимает месяцы, если не годы, а промежуточный результат невозможен по причине отсутствия общей картины, иногда работа завершается увольнением руководителя по рискам.

Более правильным подходом будет разумное распределение работ между всеми упомянутыми тремя линиями, когда владельцы контролей \ рисков правильно их документируют, аудиторы оценивают наличие рисков и эффективность контролей, а рисковики агрегируют информацию от этих источников, производят оценки и периодически фокусируют владельцев и аудиторов в тех областях, которые требуют отдельного внимания. Понятно, что такая схема не появится моментально, но опыт показывает, что если хотя бы одна из трех линий заинтересована в таком подходе, то этого можно достичь.

Выше было упомянуто слово «документирование», что обычно вызывает отторжение у большинства сотрудников и руководителей, так как предполагает написание скучных регламентов, которые никто не читает. Однако в данном случае без минимального фиксации параметров контроля не обойтись, но сделать это следует наиболее комфортным образом, не напрягая сотрудников чрезмерно. Например, оформить документирование контроля в виде простой электронной таблицы в базе данных. Важно лишь зафиксировать ряд важных параметров, а именно указать:

• что делает контроль, то есть как именно он работает;

• кто выполняет контроль либо несет ответственность за него, если контроль автоматизирован;

• когда контроль выполняется, с какой периодичностью либо при выполнении каких условий;

• какие следы оставляет контроль при выполнении.

Возможно, что такое описание уже существует в каком-нибудь регламенте или инструкции, но нужно убедиться, что в там явно указаны все эти параметры.

Значимость такого документирования становится понятна при разборе следующего примера аудиторской проверки. В ходе беседы с финансовым отделом был выявлен такой контроль: «Каждое платежное поручение отправляется на оплату только после того, как его подпишут Главный бухгалтер и Финансовый контролер». При дальнейшем изучении вопроса выясняется, что описания того, как выполняется контроль нет, потому что «все и так знают». Однако одни опрошенные сотрудники считают, что подпись физически ставится на бланк с платежкой (причем некоторые уточняют, что нужна еще и печать), а другие считают что подпись осуществляется в автоматизированной системе нажатием кнопки «Подписать», причем пару сотрудников признались, что иногда сами нажимают эту кнопку за Главбуха. При твердом утверждении, что выполняют контроль Главный бухгалтер и финансовый контролер, уточняющие вопросы выявляют, что в отсутствие Главбуха подписывает его заместитель, а финансовый контролер уже давно делегировал эту роль двум другим сотрудникам.

Условие «каждое платежное поручение» уточняется тем, что для поручений на сумму до 5000 рублей достаточно подписи только Главного бухгалтера, а для сумм свыше 5 млн. рублей нужна еще виза Генерального директора. Архив платежных поручений хранится 10 лет в электронном виде, но формат предусматривает хранение только платежной информации, данные о подписях не сохраняются. Можно ли считать что контроль работает эффективно, а риск финансового мошенничества снижен до приемлемого уровня?

Таким образом, даже минимальное документирование может навести порядок в управлении внутренними контролями, в том числе повысит прозрачность для самих владельцев контролей. После первоначальных усилий по документированию имеющихся контролей, останется только поддерживать их в актуальном состоянии, корректируя описание при фактическом изменении и добавляя описания новых контролей, если они появятся при развитии бизнес-процессов.

Внутренний аудит внесет свой вклад, анализируя в ходе проверок актуальность идентифицированных и проанализированных рисков, и оценивая эффективность контрольных механизмов и процедур. Оценка эффективности обычно проводится в разрезе анализа проектирования контроля (соответствует ли конструкция контроля цели обработки данного риска?) и работы контроля (выполняется ли контроль так, как это было запланировано?). Таким образом, аудит либо подтвердит, что система управления рисками и контролями функционирует в соответствии со своими целями и задачами, либо выработает рекомендации по ее совершенствованию. Необходимо только учитывать, что типовой цикл аудита занимает иногда, особенно при небольшом размере подразделения аудита и невысокой степени автоматизации проверок, от месяцев до годов. Поэтому для контролей, связанных с высокими рисками, целесообразно создание отдельного подразделения или выделение направления для более частых проверок.

Разделы отчета аудита по выявленным недостаткам в риск-ориентированной проверке процесса или подразделения можно структурировать, например, таким образом:

• Наблюдение — описание контекста в котором выявлен или оценивается риск

• Риск — описание присущего риска в рамках описанного контекста

• Уровень риска — аудиторская оценка присущего риска

• Ссылка на идентификатор \ название \ описание риска в корпоративном реестре

• Контроль — предложение по созданию или совершенствованию контроля

• Остаточный риск — оценка уровня риска при внедрении описанного выше контроля.

Необходимо отметить, что в работе с рекомендациями аудита существуют определенные тонкости. В обычной акционерной корпоративной структуре внутренний аудит функционально не подчиняется никому внутри организации, он подчинен внешнему Совету директоров (напрямую или через Комитет по аудиту при Совете директоров). Таким образом, повлиять на выработку аудитом рекомендаций никто в организации не может. Это правильно, потому что задачей внутреннего аудита как раз и является выработка независимой оценки работы организации для получения акционером объективной оценки. К сожалению, аудиторы порой злоупотребляют своим авторитетом, считая, что их рекомендации должны быть исполнены неукоснительно.

Было бы хорошо, если бы все аудиторы были высококвалифицированными экспертами с огромным багажом знаний и многолетним практическим опытом во всех тех областях, которые они проверяют, однако, на практике это не всегда так. В наилучшем случае аудитор действительно глубоко разбирается в вопросе и сможет дать действительно полезную рекомендацию, но в большинстве вариантов аудитор сошлется на регламент, стандарт или лучшую практику и будет аргументировать необходимость применения рекомендации именно в таком варианте. Понятно, что в реальной жизни прямое применение стандартов и лучших практик работает не всегда и попытки их внедрения могут не снизить риск, а увеличить его или породить новые риски. Адаптация же стандарта или лучшей практики к реальному контексту может потребовать существенного изменения сути рекомендации или вообще поставить ее целесообразность под вопрос, на что не все аудиторы готовы согласиться.

Известны случаи, когда выполнение рекомендаций аудита вместо пользы наносили ущерб организации. Еще больше случаев, когда при выполнении рекомендаций расходуются необоснованно большие ресурсы (несоразмерные с риском, который должен закрываться рекомендацией) либо рекомендация выполняется формально, не принося реального снижения риска.

В процессе работы с отчетом аудита, содержащим рекомендации, обычно имеется способ их обжалования, когда владельцы процессов, к которым даны рекомендации, могут аргументировано возразить против них, но на практике снятие рекомендаций при получении возражений носит единичные случаи, если вообще допускается. Чаще представители акционера предполагают, что подразделение, в чьих процессах найден недостаток, требующий исправления, своим возражением просто пытается уклониться от выполнения рекомендаций и возражения снимаются.

Оценку качества аудиторского отчета, в том числе рекомендаций, должен проводить руководитель проверки, но практика показывает, что у него обычно не хватает времени погрузится во все детали каждой рекомендации. Ведь для этого он должен был бы поднять все собранные свидетельства, перечитать протоколы интервью, освежить знания о тех же стандартах и практиках, но даже если предположить, что он все это сделает, в материалах могут быть не отражены нюансы, которые аудитор, сформировавший рекомендацию мог пропустить или не понять в ходе проверки. Если же материалы обеспечивают все полноту информации, у руководителя проверки может не быть необходимых специальных знаний, чтобы на экспертном уровне принять решение по корректности рекомендации. Ну и наконец не всякий руководитель проверки решится занять сторону проверяемого, выступив против своей команды.

Теоретически, оценку адекватности рекомендаций аудита также должен осуществлять Комитет по аудиту при Совете директоров. Но обычно это довольно высокопоставленные люди и они, во-первых не погружены полностью в особенности контекста работы организации (специфику бизнес-процессов, работы информационных систем, особенностей бухгалтерского учета), а во-вторых у них тоже может не хватать знаний для оценки качества конкретной технической рекомендации. В таких обстоятельствах может помочь дополнительный промежуточный этап, в виде расширенной обратной связи от проверяемого с объективной ее оценкой, например, с помощью привлечения, Комитета по рискам самой организации. Типовой процесс работы с рекомендациями в этом случае может выглядеть так:

1. Выработанные аудитом рекомендации обсуждаются с владельцами рисков или процессов, к которым эти рекомендации даны. На этом этапе могут быть приняты следующие решения: владелец соглашается с данной рекомендаций (возможно уточняются сроки или другие параметры рекомендации); аудиторы соглашаются с тем, что рекомендация неправильна и снимают ее или существенно изменяют (это обычно, как раз выясняется при обсуждении сценариев реализации риска к снижению которого дана рекомендация); владелец и аудитор остаются при своих мнениях, не придя к согласию.

2. Рекомендации по которым возникли разногласия, выносятся на Комитет по риску организации (возможно, на расширенное его заседания, где будут присутствовать руководители всех затрагиваемых рекомендациями подразделений предприятия). Здесь спорные рекомендации обсуждаются еще раз: аудиторы и владельцы рисков \ процессов приводят свои аргументы за и против, остальные участники активно их обсуждают. Порой встречаются ситуации, когда другие подразделения организации, не являющиеся владельцами рисков или процессов, встают на сторону аудиторов, так как выясняется, что выполнение данной рекомендации поможет этим подразделениям в работе или снизит риски в их области компетенции. Иногда свой вклад внесут технические подразделения или финансовый блок, которые пояснят, что выполнение рекомендаций потребует такого ресурса оборудования или финансовых средств, что аудитор сам будет не готов к тому, чтобы его рекомендация выступила аргументом при утверждении бюджета на том же Совете директоров. После завершения такого представительного обсуждения, обычно не остается спорных рекомендаций, которые нужно эскалировать, но вариант дальнейшего вынесения дискуссии на Комитет по аудиту при совете директоров также возможен.

3. В такой схеме Комитет по аудиту имеет уже не просто возражение проверяемого подразделения к рекомендации аудитора, к чему, как ранее было сказано, обычно относятся пренебрежительно, теперь он имеет решение Комитета по рискам. В этом случае для окончательного решения имеется всесторонне аргументированная позиция организации и Комитет по аудиту может принять более обоснованное решение по сохранению, уточнению или снятию рекомендации, выработанной аудитом. Но, как было отмечено, ситуации с вынесением споров на уровень Совета директоров бывают крайне редки и обычно, Комитет по аудиту может просто ознакомится со статистикой или, при необходимости, с деталями одобрения или отклонения рекомендаций по аудиту.

При таком подходе, совершенствование системы управления рисками с участием внутреннего аудита будет происходить более эффективно.

Для тех, кто все же захочет более подробно документировать риски и связанные и ними контроли, предлагается такая таблица:

Для документирования принятия риска можно использовать вот такую форму:

Существующие предотвращающие / компенсирующие контроли для снижения (устранения) негативного воздействия.

Параметры реализации риска, после использования мер.

Подтверждение принятия риска (подписи)

Подтверждение владельцев контролей о способности к снижению риска (подписи)

Дата следующего пересмотра риска:

Принятие риска подтверждено на заседании