Ключевые индикаторы рисков: практическое использование внутренними аудиторами

Управление рисками

Автор:
Источник: Ассоциация “Институт внутренних аудиторов”
Опубликовано: 25 августа 2021

Автор: Валерий Серков, CIA, CFE, директор службы внутреннего контроля и аудита, член Ассоциации «Институт внутренних аудиторов»[1]

Определение и роль системы ключевых индикаторов рисков: для компании в целом и для внутреннего аудита в частности

Ключевые индикаторы риска (далее – КИР) – это количественные показатели источников факторов (или признаков) риска. Именно такое определение дано в Рекомендациях по стандартизации Р50.1.090-2014 «Менеджмент риска. Ключевые индикаторы риска» (Приказ Федерального агентства по техническому регулированию и метрологии от 8.10.2014 № 1276-ст).

Основными целями КИР являются своевременное реагирование на возникновение угроз, выбор превентивных действий, направленных на предотвращение наступления опасных событий, и обеспечение гарантий достижения поставленных целей, а также упрощение и совершенствование механизмов принятия решений в отношении риска.

Исходя из определения и целей КИР становится очевидным, что система данных показателей может дать внутреннему аудиту как минимум базу для сравнения текущей ситуации в деятельности компании с ожидаемым уровнем, то есть набор критериев.

Кроме того, «вооружение» менеджмента эффективным и прозрачным инструментом самостоятельного мониторинга рисков позволяет внутренним аудиторам в перспективе сократить цикл проверок, в большей степени полагаясь на эффективность первой и второй линии защиты (но, конечно же, не игнорируя необходимости периодической оценки их надежности). В свою очередь, это способствует снижению степени отвлечения менеджмента от своих непосредственных обязанностей и связанного с этим негативного восприятия внутреннего аудита. Внутренним аудиторам же дается возможность сконцентрироваться на наиболее актуальных и менее рутинных задачах.

КИР как объект внутреннего аудита: в части предоставления гарантий и консультаций. Возможные конфликты и пути их решения

Казалось бы, разработка КИР и мониторинг их показателей – прерогатива менеджмента или, в крайнем случае, второй линии [защиты] в лице подразделения по управлению рисками. Но существует как минимум два аргумента в поддержку активного вовлечения внутреннего аудита в вопросы КИР в компании:

  1. Для российской практики управление рисками как самостоятельная дисциплина – явление относительно новое. И наиболее компетентным подразделением в области методологии управления рисками зачастую оказывается именно внутренний аудит (при его наличии, конечно).
  2. С учетом неуклонной тенденции к развитию консалтинговой составляющей внутреннего аудита происходит проникновение третьей линии [защиты] в область второй.

Для предоставления гарантий необходимо наличие предмета, в отношении которого данные гарантии предоставляются. Соответственно, если система КИР не создана, то нечего проверять и гарантировать. Систему необходимо создать. В данном случае внутреннему аудиту следует проявить инициативу и предложить руководству свою помощь, которая может заключаться в таких направлениях как:

а. разработка методологии КИР,

б. обучение ответственных подразделений компании (владельцев рисков) основам управления рисками,

в. проведение риск-сессий с целью установления показателей КИР и их значений.

Все вышеуказанные виды работ могут быть отнесены к консультационной деятельности по совершенствованию процессов управления рисками в организации, что полностью соответствует миссии внутреннего аудита. Кроме того, активная поддержка менеджмента во внедрении инструмента, позволяющего своевременно реагировать на угрозы бизнесу, может способствовать укреплению авторитета внутреннего аудита в глазах как менеджмента, так и членов совета директоров.

Разумеется, возникает вопрос о потенциальном конфликте с предоставлением в будущем внутренними аудиторами гарантий в отношении системы КИР как части системы управления рисками[2].

По этим типичным для внутреннего аудита рискам можно предложить следующие варианты решений:

а. Передача тестирования КИР на аутсорсинг внешней компании.

б. Ротация внутренних аудиторов, участвующих в разработке системы КИР. Например, переход аудитора-разработчика в подразделение по управлению рисками. Для данного специалиста этот вариант является способом дальнейшего развития карьеры в компании. Для внутреннего аудита – это способ поддержать должный уровень объективности и при этом «наладить связи» со второй линией защиты (подразделением по управлению рисками).

При этом, если внутренний аудит был задействован только в разработке системы КИР, он, конечно, не может объективно выражать мнение о дизайне этой системы. Однако проведение периодических проверок исполнения менеджментом разработанной самими аудиторами (или совместно с ними) системы не будет нарушать принципа объективности внутреннего аудита.

Порядок разработки КИР

В случае если внутренний аудит привлекается для разработки системы КИР, то есть выступает в роли консультанта, следует действовать по следующему алгоритму:

  1. Выделение ключевых рисков (критические, существенные). Используем для этого карты или реестры рисков с установленной оценкой. Как правило, стремление покрыть все риски (вне зависимости от их существенности) индикаторами приводит к нерациональному отвлечению ресурсов как аудита, так и менеджмента.
  2. Выделение ключевых факторов рисков и методов их мониторинга. Именно ключевых, а не любых гипотетических. Данных показателей не должно быть слишком много.
  3. Определение потенциальных КИР, методов и частоты их расчета. Использование КИР зачастую происходит менеджментом неосознанно. В случае если это так, внутреннему аудитору следует зафиксировать, а также оценить эффективность и достаточность используемой практики. Не исключено, что в этом случае дополнительных мероприятий менеджменту внедрять не придется.
  4. Определение источников данных о значениях КИР. Источники должны отвечать основным требованиям надежности и достаточности, которые предъявляются и к аудиторским доказательствам.
  5. Определение пороговых значений КИР и согласование КИР с владельцами риска. При этом следует помнить, что менеджмент может быть склонен к искусственному завышению порогов по причине нежелания излишнего привлечения внимания к своей деятельности и страха нарушения каких-либо показателей.
  6. Утверждение КИР (на уровне высшего менеджмента). Это важный этап, поскольку система показателей должна быть сбалансирована, а ряд показателей может конфликтовать друг с другом.
  7. Автоматизация КИР. Данный этап является опциональным. Однако автоматизация утвержденных на предыдущем этапе показателей может позволить решить следующие задачи:

  • максимально снизить цикл обработки данных для расчета показателей КИР и обеспечить наиболее оперативную реакцию на изменение риск-факторов;
  • проводить анализ КИР не только с заданной частотой, но и в любой момент времени;
  • обеспечить целостность (надежность) данных при расчете показателей КИР.

По итогам разработки должна сформироваться база данных. Рассмотрим пример по пяти рискам разных категорий.

Критический риск

КИР

Описание расчета КИР

Источник данных

Частота измерения

Ед. измере-ния

Порог 1

Порог 2

1

Риск утечки конфиденци-альной информации

Количество писем, отправленных по корпоративной электронной почте и содержащих признаки конфиденциальной информации

Количество указанных писем за период

DLP-системы (data leak protection), внедренные в компании

Еженедельно

ед.

5

10

2

Валютный риск

Степень колебания валютных курсов за период

(Средний курс валюты за период / Курс валюты, заложенный в финансовую модель) * 100%

Учетные системы

Ежегодно

%

80

120

3

Риск коррупции и мошенничества

Доля новых контрагентов, по которым были оговорки отдела экономической безопасности, в общем количестве заключенных договоров

(Количество новых контрагентов с оговорками / Количество новых контрагентов) * 100%

База данных договоров

1 раз в полгода

%

90

75

4

Риск снижения спроса на продукцию

Динамика количества претензий (негативных отзывов) от клиентов по содержанию продукции

(Количество признанных претензий в текущем периоде / Количество признанных претензий в предыдущем периоде) *100%

База данных по претензиям

Ежегодно

%

120%

150%

5

Риск применения международных санкций

Расширение санкционного списка в отношении компании и аффилированных с ней физических и юридических лиц

Факт добавления в санкционные списки лиц, аффилированных с компанией

Новостные сайты

Ежегодно

да\нет

1

1

Порядок тестирования

Что необходимо проверить при предоставлении гарантий? Разделим проверку на две части: тестирование дизайна системы и проверка эксплуатации системы:

А) для тестирования дизайна необходимо провести проверку всех основных ее элементов:

 

Направления

Потенциальные проблемы для выявления

1

Степень покрытия КИР критических рисков

Ситуация по существенному количеству рисков критического уровня не отслеживается с помощью КИР

Избыточное внимание уделяется КИР по рискам с низкой оценкой (необоснованное отвлечение менеджмента и замедление операционных процессов)

Дублирующие друг друга КИР (необоснованное отвлечение менеджмента и замедление операционных процессов)

2

Методы расчета КИР

Используемые источники данных для расчета КИР не являются надежными (введение в заблуждение менеджмента о реальной ситуации в отношении оценки факторов риска)

Фактор риска, тестируемый с помощью КИР, не является основным для данного риска (отвлечение ресурсов системы без требуемого результата)

Используемые показатели свидетельствуют об уже реализовавшихся рисках, а не о приближающихся. То есть в лучшем случае помогают менеджменту отреагировать на последствия риска, но не предотвратить его

3

Периодичность расчета КИР

Избыточная периодичность. Необоснованные трудозатраты на формирование и обработку отчетов по КИР. Необходимо принимать во внимание такой фактор как периодичность изменения данных источника. Например, если демографические данные собираются ежегодно, то бессмысленно составлять отчеты по КИР, связанные с данными факторами, на более частой основе

Недостаточная периодичность. Как результат – несвоевременное реагирование на возникающие угрозы

4

Пороговые значения (здесь следует проследить известные аудитору реализовавшиеся риски за проверяемый период, риски по соответствующим им КИР)

Значения занижены (большое количество ложноположительных сигналов, как результат – неэффективное отвлечение руководства на реагирование)

Значения завышены (большое количество ложноотрицательных сигналов, как результат – отсутствие адекватного реагирования на потенциальные угрозы)

   Б) при аудите функционирования системы следует протестировать КИР, разделив их на 3 категории[3]:

 

Направления

Потенциальные проблемы для выявления

1

«Зеленая зона» (значение за проверяемый период – ниже Порога 1) - допустимая зона, при которой уровень риска приемлем, и никаких дополнительных действий не требуется.

Необоснованное занижение показателей КИР, которое может произойти как в результате ошибки информационных систем, так и человеческого фактора, в том числе и умысла ответственного за риск менеджера  

2

«Желтая зона» (значение – между Порогом 1 и 2) – зона повышенного внимания, требующая проверки принятия надлежащих мер реагирования.

Информация несвоевременно доведена (не доведена) до уполномоченного органа принятия решений

Принятое решение не направлено на снижение уровня показателя КИР

Принятое решение негативно влияет на уровни иных рисков

3

«Красная зона» (значение – выше Порога 2) – зона немедленного реагирования.

Информация не доведена в установленные сроки до высшего руководства и не взята под его контроль

Информация не доведена в установленные сроки до сведения внутреннего аудита для организации внеплановой проверки по анализу причин ситуации

План мер по снижению показателей КИР не внедрен

План мер по снижению показателей КИР не дал ожидаемого результата (целевой уровень снижения не достигнут)

В заключение хотелось бы сказать, что в условиях сокращения компаниями любых расходов, не имеющих очевидной отдачи, внутренний аудит должен как никогда доказывать свою необходимость для бизнеса. Возможно, участие в разработке и последующий анализ системы КИР окажется как раз одним из тех направлений, которые способны заинтересовать заказчиков.



[1] Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru

[2] Стандарт 1130.А3 говорит о том, что «Подразделение внутреннего аудита может выполнять задания по предоставлению гарантий в тех областях, где ранее выполнялись консультационные задания, при том условии, что характер консультационного задания не повлияет на объективность, а при выделении трудовых ресурсов для выполнения задания предусматривается обеспечение личной объективности» (Международные профессиональные стандарты внутреннего аудита, МПСВА, https://www.iia-ru.ru/inner_auditor/professional/)

[3] Категорий может быть две, если пороговые значения 1 и 2 равны (как в примере 5). В этом случае нет промежуточной «желтой зоны», и при «включении» сигнала индикатора требуется немедленное реагирование. Такая ситуация возможна по рискам с нулевой толерантностью

Автор:

Теги: Институт внутренних аудиторов  индикаторы риска  внутренние аудиторы  ключевые индикаторы риска  КИР  внутренний аудит  ИВА  управление рисками  ключевые факторы риска  критический риск