Автор: Валерий Серков, CIA, CFE, директор службы внутреннего контроля и аудита, член Ассоциации «Институт внутренних аудиторов»[1]
Определение и роль системы ключевых индикаторов рисков: для компании в целом и для внутреннего аудита в частности
Ключевые индикаторы риска (далее – КИР) – это количественные показатели источников факторов (или признаков) риска. Именно такое определение дано в Рекомендациях по стандартизации Р50.1.090-2014 «Менеджмент риска. Ключевые индикаторы риска» (Приказ Федерального агентства по техническому регулированию и метрологии от 8.10.2014 № 1276-ст).
Основными целями КИР являются своевременное реагирование на возникновение угроз, выбор превентивных действий, направленных на предотвращение наступления опасных событий, и обеспечение гарантий достижения поставленных целей, а также упрощение и совершенствование механизмов принятия решений в отношении риска.
Исходя из определения и целей КИР становится очевидным, что система данных показателей может дать внутреннему аудиту как минимум базу для сравнения текущей ситуации в деятельности компании с ожидаемым уровнем, то есть набор критериев.
Кроме того, «вооружение» менеджмента эффективным и прозрачным инструментом самостоятельного мониторинга рисков позволяет внутренним аудиторам в перспективе сократить цикл проверок, в большей степени полагаясь на эффективность первой и второй линии защиты (но, конечно же, не игнорируя необходимости периодической оценки их надежности). В свою очередь, это способствует снижению степени отвлечения менеджмента от своих непосредственных обязанностей и связанного с этим негативного восприятия внутреннего аудита. Внутренним аудиторам же дается возможность сконцентрироваться на наиболее актуальных и менее рутинных задачах.
КИР как объект внутреннего аудита: в части предоставления гарантий и консультаций. Возможные конфликты и пути их решения
Казалось бы, разработка КИР и мониторинг их показателей – прерогатива менеджмента или, в крайнем случае, второй линии [защиты] в лице подразделения по управлению рисками. Но существует как минимум два аргумента в поддержку активного вовлечения внутреннего аудита в вопросы КИР в компании:
- Для российской практики управление рисками как самостоятельная дисциплина – явление относительно новое. И наиболее компетентным подразделением в области методологии управления рисками зачастую оказывается именно внутренний аудит (при его наличии, конечно).
- С учетом неуклонной тенденции к развитию консалтинговой составляющей внутреннего аудита происходит проникновение третьей линии [защиты] в область второй.
Для предоставления гарантий необходимо наличие предмета, в отношении которого данные гарантии предоставляются. Соответственно, если система КИР не создана, то нечего проверять и гарантировать. Систему необходимо создать. В данном случае внутреннему аудиту следует проявить инициативу и предложить руководству свою помощь, которая может заключаться в таких направлениях как:
а. разработка методологии КИР,
б. обучение ответственных подразделений компании (владельцев рисков) основам управления рисками,
в. проведение риск-сессий с целью установления показателей КИР и их значений.
Все вышеуказанные виды работ могут быть отнесены к консультационной деятельности по совершенствованию процессов управления рисками в организации, что полностью соответствует миссии внутреннего аудита. Кроме того, активная поддержка менеджмента во внедрении инструмента, позволяющего своевременно реагировать на угрозы бизнесу, может способствовать укреплению авторитета внутреннего аудита в глазах как менеджмента, так и членов совета директоров.
Разумеется, возникает вопрос о потенциальном конфликте с предоставлением в будущем внутренними аудиторами гарантий в отношении системы КИР как части системы управления рисками[2].
По этим типичным для внутреннего аудита рискам можно предложить следующие варианты решений:
а. Передача тестирования КИР на аутсорсинг внешней компании.
б. Ротация внутренних аудиторов, участвующих в разработке системы КИР. Например, переход аудитора-разработчика в подразделение по управлению рисками. Для данного специалиста этот вариант является способом дальнейшего развития карьеры в компании. Для внутреннего аудита – это способ поддержать должный уровень объективности и при этом «наладить связи» со второй линией защиты (подразделением по управлению рисками).
При этом, если внутренний аудит был задействован только в разработке системы КИР, он, конечно, не может объективно выражать мнение о дизайне этой системы. Однако проведение периодических проверок исполнения менеджментом разработанной самими аудиторами (или совместно с ними) системы не будет нарушать принципа объективности внутреннего аудита.
Порядок разработки КИР
В случае если внутренний аудит привлекается для разработки системы КИР, то есть выступает в роли консультанта, следует действовать по следующему алгоритму:
- Выделение ключевых рисков (критические, существенные). Используем для этого карты или реестры рисков с установленной оценкой. Как правило, стремление покрыть все риски (вне зависимости от их существенности) индикаторами приводит к нерациональному отвлечению ресурсов как аудита, так и менеджмента.
- Выделение ключевых факторов рисков и методов их мониторинга. Именно ключевых, а не любых гипотетических. Данных показателей не должно быть слишком много.
- Определение потенциальных КИР, методов и частоты их расчета. Использование КИР зачастую происходит менеджментом неосознанно. В случае если это так, внутреннему аудитору следует зафиксировать, а также оценить эффективность и достаточность используемой практики. Не исключено, что в этом случае дополнительных мероприятий менеджменту внедрять не придется.
- Определение источников данных о значениях КИР. Источники должны отвечать основным требованиям надежности и достаточности, которые предъявляются и к аудиторским доказательствам.
- Определение пороговых значений КИР и согласование КИР с владельцами риска. При этом следует помнить, что менеджмент может быть склонен к искусственному завышению порогов по причине нежелания излишнего привлечения внимания к своей деятельности и страха нарушения каких-либо показателей.
- Утверждение КИР (на уровне высшего менеджмента). Это важный этап, поскольку система показателей должна быть сбалансирована, а ряд показателей может конфликтовать друг с другом.
- Автоматизация КИР. Данный этап является опциональным. Однако автоматизация утвержденных на предыдущем этапе показателей может позволить решить следующие задачи:
- максимально снизить цикл обработки данных для расчета показателей КИР и обеспечить наиболее оперативную реакцию на изменение риск-факторов;
- проводить анализ КИР не только с заданной частотой, но и в любой момент времени;
- обеспечить целостность (надежность) данных при расчете показателей КИР.
По итогам разработки должна сформироваться база данных. Рассмотрим пример по пяти рискам разных категорий.
|
№ |
Критический риск |
КИР |
Описание расчета КИР |
Источник данных |
Частота измерения |
Ед. измере-ния |
Порог 1 |
Порог 2 |
|
1 |
Риск утечки конфиденци-альной информации |
Количество писем, отправленных по корпоративной электронной почте и содержащих признаки конфиденциальной информации |
Количество указанных писем за период |
DLP-системы (data leak protection), внедренные в компании |
Еженедельно |
ед. |
5 |
10 |
|
2 |
Валютный риск |
Степень колебания валютных курсов за период |
(Средний курс валюты за период / Курс валюты, заложенный в финансовую модель) * 100% |
Учетные системы |
Ежегодно |
% |
80 |
120 |
|
3 |
Риск коррупции и мошенничества |
Доля новых контрагентов, по которым были оговорки отдела экономической безопасности, в общем количестве заключенных договоров |
(Количество новых контрагентов с оговорками / Количество новых контрагентов) * 100% |
База данных договоров |
1 раз в полгода |
% |
90 |
75 |
|
4 |
Риск снижения спроса на продукцию |
Динамика количества претензий (негативных отзывов) от клиентов по содержанию продукции |
(Количество признанных претензий в текущем периоде / Количество признанных претензий в предыдущем периоде) *100% |
База данных по претензиям |
Ежегодно |
% |
120% |
150% |
|
5 |
Риск применения международных санкций |
Расширение санкционного списка в отношении компании и аффилированных с ней физических и юридических лиц |
Факт добавления в санкционные списки лиц, аффилированных с компанией |
Новостные сайты |
Ежегодно |
да\нет |
1 |
1 |
Порядок тестирования
Что необходимо проверить при предоставлении гарантий? Разделим проверку на две части: тестирование дизайна системы и проверка эксплуатации системы:
А) для тестирования дизайна необходимо провести проверку всех основных ее элементов:
|
|
Направления |
Потенциальные проблемы для выявления |
|
1 |
Степень покрытия КИР критических рисков |
Ситуация по существенному количеству рисков критического уровня не отслеживается с помощью КИР |
|
Избыточное внимание уделяется КИР по рискам с низкой оценкой (необоснованное отвлечение менеджмента и замедление операционных процессов) |
||
|
Дублирующие друг друга КИР (необоснованное отвлечение менеджмента и замедление операционных процессов) |
||
|
2 |
Методы расчета КИР |
Используемые источники данных для расчета КИР не являются надежными (введение в заблуждение менеджмента о реальной ситуации в отношении оценки факторов риска) |
|
Фактор риска, тестируемый с помощью КИР, не является основным для данного риска (отвлечение ресурсов системы без требуемого результата) |
||
|
Используемые показатели свидетельствуют об уже реализовавшихся рисках, а не о приближающихся. То есть в лучшем случае помогают менеджменту отреагировать на последствия риска, но не предотвратить его |
||
|
3 |
Периодичность расчета КИР |
Избыточная периодичность. Необоснованные трудозатраты на формирование и обработку отчетов по КИР. Необходимо принимать во внимание такой фактор как периодичность изменения данных источника. Например, если демографические данные собираются ежегодно, то бессмысленно составлять отчеты по КИР, связанные с данными факторами, на более частой основе |
|
Недостаточная периодичность. Как результат – несвоевременное реагирование на возникающие угрозы |
||
|
4 |
Пороговые значения (здесь следует проследить известные аудитору реализовавшиеся риски за проверяемый период, риски по соответствующим им КИР) |
Значения занижены (большое количество ложноположительных сигналов, как результат – неэффективное отвлечение руководства на реагирование) |
|
Значения завышены (большое количество ложноотрицательных сигналов, как результат – отсутствие адекватного реагирования на потенциальные угрозы) |
Б) при аудите функционирования системы следует протестировать КИР, разделив их на 3 категории[3]:
|
|
Направления |
Потенциальные проблемы для выявления |
|
1 |
«Зеленая зона» (значение за проверяемый период – ниже Порога 1) - допустимая зона, при которой уровень риска приемлем, и никаких дополнительных действий не требуется. |
Необоснованное занижение показателей КИР, которое может произойти как в результате ошибки информационных систем, так и человеческого фактора, в том числе и умысла ответственного за риск менеджера |
|
2 |
«Желтая зона» (значение – между Порогом 1 и 2) – зона повышенного внимания, требующая проверки принятия надлежащих мер реагирования. |
Информация несвоевременно доведена (не доведена) до уполномоченного органа принятия решений |
|
Принятое решение не направлено на снижение уровня показателя КИР |
||
|
Принятое решение негативно влияет на уровни иных рисков |
||
|
3 |
«Красная зона» (значение – выше Порога 2) – зона немедленного реагирования. |
Информация не доведена в установленные сроки до высшего руководства и не взята под его контроль |
|
Информация не доведена в установленные сроки до сведения внутреннего аудита для организации внеплановой проверки по анализу причин ситуации |
||
|
План мер по снижению показателей КИР не внедрен |
||
|
План мер по снижению показателей КИР не дал ожидаемого результата (целевой уровень снижения не достигнут) |
В заключение хотелось бы сказать, что в условиях сокращения компаниями любых расходов, не имеющих очевидной отдачи, внутренний аудит должен как никогда доказывать свою необходимость для бизнеса. Возможно, участие в разработке и последующий анализ системы КИР окажется как раз одним из тех направлений, которые способны заинтересовать заказчиков.
[1] Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru
[2] Стандарт 1130.А3 говорит о том, что «Подразделение внутреннего аудита может выполнять задания по предоставлению гарантий в тех областях, где ранее выполнялись консультационные задания, при том условии, что характер консультационного задания не повлияет на объективность, а при выделении трудовых ресурсов для выполнения задания предусматривается обеспечение личной объективности» (Международные профессиональные стандарты внутреннего аудита, МПСВА, https://www.iia-ru.ru/inner_auditor/professional/)
[3] Категорий может быть две, если пороговые значения 1 и 2 равны (как в примере 5). В этом случае нет промежуточной «желтой зоны», и при «включении» сигнала индикатора требуется немедленное реагирование. Такая ситуация возможна по рискам с нулевой толерантностью