Ключевые индикаторы риска (КИР) играют значительную роль в процессе управления. КИР используются для отслеживания и прогнозирования различных опасных событий. Их нацеленность на будущее существенно отличает их от ключевых показателей эффективности, которые, главным образом, направлены на анализ фактов. Разработка и внедрение КИР в систему менеджмента риска позволяет контролировать результативность процессов анализа и предотвращения риска. КИР позволяют осуществлять контроль значений так часто, как это необходимо.
Не существует универсального КИР, помогающего оценить одновременно все виды риска, все направления деятельности и т.д. Зачастую они специфичны для видов деятельности или процессов. Кроме того, важна чувствительность выбранных КИР к определенному виду риска.
4.1 Повышение эффективности контрольных процедур с помощью КИР
Для повышения эффективности контрольных процедур с помощью КИР необходимо:
- выбрать ключевые индикаторы для каждого значимого риска;
- определить интервалы значений КИР, соответствующие приемлемому риску, высокому риску и т.п.;
- документировать проведение мониторинга КИР и предоставления соответствующей отчетности руководству.
4.2 Объект превентивного контроля при проведении внутреннего аудита в области менеджмента риска
Система внутреннего аудита в области менеджмента риска позволяет дать оценку защищенности организации, акцентировать внимание высшего руководства на ключевых вопросах, оптимизировать и (или) скорректировать план мероприятий по минимизации риска, содействовать своевременному выявлению и повышению результативности менеджмента риска, улучшению взаимодействия отделов, ответственных за контроль и менеджмент риска и т.д. Акцентируя внимание в проверках на ключевых риске и эффективности управления ими, внутренний аудит ориентируется также на предотвращение опасных событий, минимизацию возможных убытков, повышение эффективности процессов. Документы системы менеджмента риска, являясь объектом проверок внутреннего аудита, обеспечивают дополнительный превентивный контроль.
Внутренний аудит сосредоточен на тех областях, которые содействуют привнесению ценностей в организацию.
Содействие развитию и эффективному функционированию системы менеджмента риска является одной из ключевых задач внутреннего аудита.
Поэтому внутренний аудит необходимо осуществлять в комплексе с менеджментом риска и выстраивать на его базе, что позволит своевременно выявлять и анализировать проблемы, формировать рациональный план проверки и эффективно распределять ресурсы, выявлять в ходе проверки случайную ошибку исполнителя или случаи мошенничества, определять нарушения при выполнении процедур. Интеграция процессов внутреннего аудита и системы менеджмента риска обеспечивает превентивный контроль и предотвращение наступления опасных событий, влияющих на достижение целей организации.
В качестве объектов внутреннего аудита необходимо рассматривать также не только финансовые документы, но и бизнес-процессы, и бизнес-среду, и связанные с ними риски. Эффективность проведения внутреннего аудита в значительной степени зависит от существующей информации, базы, способов ее оценки, которые наиболее полно отвечают целям аудита.
Основная роль внутреннего аудита в области менеджмента риска заключается в предоставлении собственнику и совету директоров выводов и заключений по эффективности деятельности системы менеджмента риска, управления бизнес-риском, возможностей для улучшения событий, способных повлиять на цели организации, а также содействие эффективному развитию системы менеджмента риска.
Выбранные источники информации, соответствующие критериям и целям аудита, деятельность и процессы, которые подвергаются аудиту, обеспечивают информацией, являющейся предпосылкой для объективных заключений по результатам аудита.
В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:
- реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска;
- карту риска, которая отражает динамику изменения состояния защищенности организации во времени;
- панель риска, содержащая информацию о ключевых индикаторах риска и динамики их изменения во времени;
- отчеты о выполнении планов обработки риска;
- аналитическое заключение о защищенности организации - детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба.
Анализируя документы системы менеджмента риска, внутренний аудит акцентирует внимание на ключевом риске, опасных зонах, областях с наибольшим риском, что обеспечивает приоритезацию действий, увеличение охвата проверок и минимизацию трудовых затрат.
При этом система внутреннего аудита в области менеджмента риска позволит собственникам получить объективный взгляд на деятельность организации, а также понять, какие необходимо предпринять действия для повышения эффективности ее работы с учетом требований международных стандартов и лучшей международной и отечественной практики в области внутреннего аудита и менеджмента риска.
4.3 Определение предпочтительного риска
Предпочтительный риск:
- является стратегическим фактором и связан с достижением целей организации;
- является неотъемлемой частью корпоративного управления;
- определяет отношение организации к риску;