Риски их выявление и учет в обосновании стратегий фирмы

       Чтобы техника была действительно полезной, эти портфельные подходы должны поддерживаться другой матрицей, на которой показана каждая бизнес-единица на одной оси и технология или стержневая компетенция на другой. Таким образом, можно видеть, что является общим, а что нет.  

       1.3. Западный опыт в области управления риском

       Каждый  человек так или иначе использует контроль в своей работе и жизни. Но не каждый делает это сознательно. Наша беседа будет посвящена тому как научится компетентно подходить  к вопросам организационного контроля. Теория организационного контроля проста, в ней нет трюков и сложных мест. Это очевидные вещи, продиктованные здравым смыслом. Мы лишь представим их в организованном виде

       Рассматриваемые здесь модели риска и контроля были разработаны The Committee of Sponsoring Organizations of the Treadway Commission (COSO) в США. Конец 80-х был тяжёлым для США. Крах сотен финансовых институтов принёс миллиардные убытки инвесторам, дебиторам и правительству. The Treadway Commission была создана присяжными бухгалтерами, внутренними аудиторами, финансовыми менеджерами и двумя другими группами для изучения ситуации. Среди прочего, комиссия рекомендовала спонсирующим организациям разработать интегрированное руководство по внутреннему контролю. Для реализации этой рекомендации был создан COSO комитет. Модели риска и контроля, предложенные COSO, послужили основой для ряда других моделей риска и контроля, разработанных в других странах организациями, аналогичными COSO, и различными консультационными фирмами.

       Попробуйте  самостоятельно ответить на вопросы "что такое контроль?" и "какие типы контроля бывают"? Что первое пришло вам нам на ум? Инспекции, процедуры, подписи, файлы... Как правило, не более того. Модели, которые мы рассмотрим, инструментальны. Используя эти модели, вы сможете более широко и системно смотреть на вопросы контроля в своей ежедневной практике, замечать то, что прежде ускользало от вашего внимания в этой связи.

       Зачастую  мы говорим о контроле ради контроля. Контроль не самоцель. Он связан с рисками  и целями организации. Грамотное обсуждение вопросов контроля требует постоянного видения этой перспективы. Поэтому, мы начнём разговор о контроле с разговора о риске.

       1. Модель Риска

       Попробуйте  ответить на такие вопросы. Что такое  риск? Какие типы рисков существуют? Как измерить риск? Потратьте несколько минут и запишите свои ответы. Модель риска предлагает ответы на эти вопросы.

       1.1. Определение риска

       The Economist Intelligence Unit в своём исследовании  определяет риск как "угрозу  того, что некое событие или  действие негативно повлияет на способность организации успешно достичь своих целей или реализовать свои стратегии". Заметим, что в соответствии с этим определением, говорить о риске можно только в контексте специфических целей. 
Теперь посмотрим, как можно классифицировать риски. Можно классифицировать риски по их источникам.

       1.2. Источники риска

       Начнём  с внутренних источников риска.

       Работники. Человек самое высокоразвитое существо и поэтому самое непредсказуемое. Человеку свойственно ошибаться, недоделывать, задерживаться, халатно относится к работе. Люди периодически врут и воруют, мошенничают самыми разными способами. Человек может заболеть и не выйти на работу.

       Оборудование  может дать сбой или выйти из строя. С меньшей вероятностью чем человек, но все же.

       Неверно поставленные цели. Например, нереалистичный план продаж может привести к отгрузкам некредитоспособным клиентам. Задача увеличить долю рынка любой ценой может привести к серьёзным убыткам.

       Теперь  обратимся к внешним источникам риска. Некоторые из них персонифицированы. 
Конкуренты представляют постоянную угрозу потери бизнеса. 
Поставщики могут недопоставить или затребовать неоправданно высокую цену или слишком жёсткие условия контракта. Они могут давать взятки работникам вашей организации для получения выгодных заказов. 
Клиенты могут не оплатить товары в срок или вовсе не оплатить. Могут не исполнять условия контракта.

       Другие  внешние источники риска не персонифицируются. 
Законодательство (налоговое, экологическое, трудовое и пр.). Например, таможенные правила, несоблюдение которых грозит штрафами для предприятия-нарушителя.

       Политические  события. Например, война, может вынудить свернуть продажи.

       Общественное  мнение. Например, потребители могут  отказаться от приобретения брэнда американской компании в следствие негативного отношения к текущей политике США в данном государстве. 
Состояние экономики и финансов. Например, угроза резкой девальвации валюты [2, c. 123].

       И наконец, природные факторы.

       Явления природы - также являются источниками  риска. Молния может привести к пожару здания. Дождь может протечь через крышу и залить сервер. Снегопад может завалить въезд на склад.

       Взгляните теперь на типы рисков, которые вы записали перед началом обсуждения этой классификации  рисков. Многие ли из источников риска  попали в ваш список? Теперь посмотрим на риск с другой стороны.

       1.3. Цели, подверженные риску

       Вспомним  как мы определяли риск. Мы определяли его через цели организации. Следовательно, мы можем классифицировать риски  по тому, каким целям они угрожают. Заметим, что кроме целей, которое организация устанавливает перед собой, мы должны принять во внимание обязанности, накладываемые на организацию государством и инвесторами.

       1. Надёжность и интегрированность  информации. Разве это цель, а  не средство для принятия обоснованных управленческих решений? В данном случае мы говорим о другом. Организация обязана предоставлять информацию различным заинтересованным лицам (инвесторами, государством, дебиторами) для принятия решений в отношении организации. Примером такого рода информации является квартальный отчёт о прибыли и убытках. Предприятие ответственно за надёжность и непротиворечивость этой информация. Отметим, что для получения надёжных периодических обобщённых данных необходимо, чтобы текущая информация, генерируемая на всех рабочих местах, была надежной и не противоречила друг другу. Примером риска для этого типа целей является случайное или преднамеренное искажение информации вследствие неоправданно-широкого доступа к информационной системам организации.

       2. Исполнение внутренних политик, планов, процедур, а также внешних законов и норм. Очевидно, что соблюдение государственных законов является обязанностью организации. Сверх того организация может установить свои внутренние нормы, например, код делового поведения или политика в отношении работающих матерей, предусматривающая определённые льготы, не установленные трудовым законодательством. Установив свои внутренние нормы, предприятие тем самым обязуется исполнять их. Сюда же можно отнести законодательные и внутренние требования к безопасности производства. Примером риска для этого типа целей является нарушение налогового законодательства в результате неправильного оформления счетов к оплате.

       3. Защита активов. Опять, как  и с первой группой целей:  разве это цель, а не средство для получения прибыли?... И опять мы в данном случае говорим об обязательствах перед внешними для организации лицами. Инвесторы предоставляют организации свои активы для использования в целях получения прибыли (или других целей в случае неприбыльных организаций). Организация, со своей стороны, обязано защищать эти активы. Примером риска для этого типа целей являются убытки на рынке ценных бумаг вследствие несбалансированных инвестиций.

       4. Экономичное и эффективное использование  ресурсов. С точки зрения классической теории рыночного капитализма, это является единственной целью капиталистического предприятия. Примером риска для этого типа целей является уничтожение готовой продукции вследствие ошибочного прогнозирования объёма продаж. Другой пример: дополнительный персонал на заводах, корректирующий ошибки мастер-данных с центральной базе данных.

       5. И, наконец, наиболее очевидный тип целей, стоящих перед организацией. Достижение целей, установленных для текущей деятельности и специальных программ. Какие примеры такого рода целей вы можете привести из своей практики? Задания по продажам и производству. Обеспечение качества продукции и услуг. Внедрение нового программного обеспечения. Примером риска для этого типа целей является увеличение количества претензий от клиентов вследствие принятия заказов на товар, не имеющийся в наличии.

       Взгляните ещё раз на те типы рисков, что  вы указали в начале нашего разговора. Какие типы рисков по этой, второй, классификации  попали туда? А какие не попали? Используя  эту модель риска, вы могли бы существенно удлинить свой первоначальный список. Не правда ли?

       1.4 Измерение риска

       Общепринято измерять риск вероятностью угрозы и  степенью негативного влияния последствий: риск = последствия * вероятность.

       Допустим, что все работники завода, работающие с компьютерной программой по бухучёту, имеют системный ID и пароль, позволяющий производить критические действия в системе, к примеру, создавать в системе заказ на закупку. Последствия неавторизованных закупок, могут нанести серьёзный ущерб экономичному и эффективному использованию ресурсов. 
Предположим, далее, что только работники отдела закупок были обучены созданию системного заказа на закупку, остальные же работники, хотя и имеют доступ теоретически, но практически никогда им не пользуются. Уровень их компьютерной грамотности недостаточен, чтобы разобраться в этом самостоятельно. В этой ситуации последствия серьёзны, но вероятность угрозы не столь велика. Соответственно, суммарный риск имеет среднее значение (квадрант 1).

       Если  же мы не можем быть столь уверены в компьютерной безграмотности пользователей, вероятность угрозы возрастает. И наконец, если в числе этих работников есть продвинутые пользователи, хорошо знающие бизнес процесс, мы попадаем в область высокой вероятности в серьёзными последствиями. Суммарный риск максимален (квадрант 2). Вернитесь опять к своим записям и сравните, как близки вы были к методу измерения риска, предлагаемого этой моделью. На этом мы закончим рассмотрение модели риска и перейдём к модели контроля

       2. Модель контроля

       Попробуйте  ответить на такие вопросы. Что такое  контроль? Какие существуют типы контроля? Как измерить уровень контроля?

       2.1. Определение контроля

       Существуют  различные определения контроля. Воспользуемся определением, данным Институтом Внутренних аудиторов (США). "Контролем является всякое действие, предпринятое органом управления для повышения вероятности того, что установленные цели будут достигнуты." 
Как видите, контроль, как и риск, определяется через цели организации. И если риск представляет угрозу этим целям, то контроль предназначен смягчить эту угрозу. Мы определяем контроль как всякое действие, что позволяет нам не ограничивать рассмотрение традиционными методами контроля

       2.2. Элементы контроля

       1. Контрольная среда. Она включает  так называемые "опоры контроля": "тон на верху" и "способность организации". Для обеспечения правильного "тона на верху", руководство должно служить образцом корпоративной культуры, подчёркивать важность эффективного организационного контроля, поощрять деятельность по усовершенствованию систем контроля. Необходимый уровень "способности организации" достигается посредством обучения персонала. Работник, не способный понять смысла элементов процесса, в котором он участвует, является слабой гарантией контроля в современных сложных организациях. Контрольная среда включает и другие "почвообразующие" элементы, например, принципы организации, систему вознаграждения, процесс согласования стратегии всех подразделений организации и прочее. Контрольная среда является элементом №1, поскольку она является условием жизнеспособности всех остальных элементов.

       2. Оценка риска. Поскольку контроль  устанавливается для смягчения  риска, эффективная система контроля  знания текущей "карты рисков". Оценка риска в разных областях  проводится с разной степенью формальности. Отдел внутреннего аудита проводит ежегодную переоценку риска т.н. "универсума аудита", который является списком аудируемых областей. Обычно "универсум аудита" охватывает широкий спектр процессов, существующих в организации. Но он не является всеохватывающим, т.е. в организации существуют риски, не "схваченные" "универсумом аудита". Например, процесс подготовки отчётов о финансовых результатах обычно наличествует в универсуме. А процесс анализа финансовых результатов и их прогнозирования - нет. Причиной этого является сложность аудита нерутинных процессов.