Если Вам кажется, что у Вас все под контролем, Вы просто еще не набрали скорость Марио Андретти, участник гонок «Формула 1»
Пока гром не грянет, мужик не перекрестится, – эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно построив систему внутреннего контроля, применяя методологию американского законодательства SOX (Sarbanes-Oxley Act) к существующим бизнес-процессам компании.
Что такое операционный риск
Операционный риск, можно определить, как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.
Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьёзных в части ущерба рисков, с последующим изменением существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск всё-таки реализовался.
По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение – управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.
Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации, и значит вероятности реализации операционных рисков могут быть снижены за счет устранения причин, их порождающих. Операционные риски в основном являются неоправданными потерями, и в случае их обнаружения и устранения компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.
Формализация операционных рисков
Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике, некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер, для исключения его в будущем.
Тут можно привести известный афоризм, что грабли бывают двух видов, первые чему-то учат и вторые – мои любимые. Именно поэтому в рамках управления операционными рисками помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, в которую заносить случаи реализации рисков в компании, а также понесенный ущерб для того, чтобы специальными мероприятиями снизить вероятность их реализации в будущем.
Первым шагом является создание реестра операционных рисков, который будет наполняться экспертами из подразделений или внутренними аудиторами, а после того, как ключевые риски будут собраны, можно начать накапливать статистику по случаям их реализации, чтобы определиться с первоочередными мероприятиями по их предотвращению.
Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.
Оценка операционных рисков
Учитывая, что количество операционных рисков для крупной компании может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков с которыми придется бороться в первую очередь.
Управление всеми найденными операционными рисками экономически невыгодно для компании, поскольку для рисков с небольшим ущербом и низкой вероятностью реализации проще смириться с убытками, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является «отсечение» тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.
Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков актуальных для компании.
После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать» – риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия «страховать», особенно часто эту стратегию используют для маловероятных рисков с серьёзным ущербом. Третья стратегия называется «избегать», когда компания начинает отказаться от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения и ущерба, и вероятности. Четвертая стратегия называется «предотвращать», и требует построения контрольных процедур для минимизации высоковероятных рисков со средним или малым ущербом.
Построение системы внутреннего контроля
Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.
Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков предприняты. При этом для проверки работоспособности контрольной процедуры, должно быть также создано свидетельство контроля — документальное подтверждение факта ее исполнения.
Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события, однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам со списком уволенных за определенный период.
Для создания контрольной процедуры в бизнес-процессе, нужно ответить на следующие вопросы:
- Когда и как часто выполняются процедуры контроля?
- Кто выполняет контрольную процедуру?
- Что необходимо выполнить в процедуре контроля?
- Как понять, что процедура контроля выполнена правильно?
- Как процедура контроля документирована?
- Какие свидетельства выполнения процедуры контроля существуют?
- Где расположены контрольные точки в бизнес-процессах?
При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, Log-файл информационной системы – все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.
При этом нужно учитывать, что ручной контроль требует серьёзных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в Log-файлах информационных систем, тем эффективнее, и главное дешевле, система внутреннего контроля.
Тестирование эффективности системы внутреннего контроля
Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов: сначала устанавливается наличие регламента, где определяется порядок и правила выполнения данного бизнес-процесса и соответствующих контрольных процедур, далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения, а уже по результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.
Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании, при этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру, таким образом периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.
В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен, при этом достаточно сложно отследить эффективность выполнения контрольных процедур «на ручном уровне», поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.
Почему нужно равняться на методологию SOX?
Анализируя разные подходы к построению систем внутреннего контроля, стало понятно, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчётностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.
При этом, вся система помимо внутренних тестов, дополнительно проверяется внешним аудитором, который выборочно проверяет не только проведенную оценку операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность проводимого внутреннего тестирования системы.
И хотя внедрение такого объёма контрольных процедур и тестов часто слишком дорого для большинства бизнес-процессов компании, в тех процессах, над которыми нужно установить максимальный контроль можно использовать методологию SOX в полном объеме.
А. Коптелов, опубликовано на E-xecutive