Риск: «безумство храбрых» или трезвый расчет?

Экспертным мнением на тему автоматизации управления рисками в рамках статьи «Риск: «безумство храбрых» или трезвый расчет?» с читателями CIO делится Владимир Норенко, руководитель направления внедрения систем эффективности и контроля департамента решений Microsoft компании GMCS.

На первый взгляд, для того чтобы управлять рисками, автоматизированная система не требуется. Внутренний аудит содействует менеджменту, выявляя риски в ходе проверок и осуществляя мониторинг уровня рисков. Казалось бы, что еще нужно? Однако владельцы бизнес-процессов не всегда методологически подкованы, а внутренний аудитор не может знать все нюансы бизнес-процесса лучше его владельца. В результате риск реализуется, а его причины зачастую выявляются только пост-фактум.

Ценность автоматизации в том, что она обеспечивает каталогизацию рисков, позволяет реализовать единую методологию управления рисками, дает возможность убедиться, что бизнес-процессы работают эффективно в рамках всей компании. Кроме того, система обеспечивает прозрачность управления рисками, контроль результатов и получение информации для анализа уже свершившихся рисков. На сегодняшний день внедрение системы управления рисками можно рассматривать как один из приоритетов: в условиях экономической нестабильности недостатки в организации бизнес-процессов, влиянием которых компании ранее зачастую пренебрегали, становятся более значимыми. В этом случае грамотное управление рисками может приносить компании значительные результаты, выражающиеся в конкретных финансовых показателях.

На практике существует два подхода к автоматизации управления рисками: либо используется специализированный модуль в рамках ERP-системы, либо внедряется отдельная система. В рамках проектов для крупных заказчиков, когда речь идет о конгломерате компаний с разной ИТ-инфраструктурой, говорить об использовании собственных информационных систем для управления рисками не приходится. Поэтому распределенным структурам можно порекомендовать внедрять самостоятельную систему управления рисками. Такой подход оправдан и потому, что система позволяет, во-первых, централизованно контролировать наличие рисков, а во-вторых, легче тиражировать изменения в бизнес-процессах на структурные подразделения.

В сравнении с внедрением модуля в рамках ERP-системы, внедрение отдельной системы управления рисками – существенно меньший по срокам реализации и количеству вовлеченных людей проект, дающий при этом ощутимый эффект для бизнеса.

Стандартный проект по внедрению системы управления рисками начинается с классификации бизнес-процессов, затем определяются цели, разрабатывается методология оценки рисков. На основании методологии формируется карта рисков и контрольных процедур, которые затем импортируются в систему. С помощью инструментов коммуникации обеспечивается взаимодействие субъектов управления рисками – владельцев бизнес-процессов, риск-менеджеров, ответственных за исполнение контрольных процедур сотрудников. Система позволяет организовать необходимый документооборот в соответствии с принятой в компании методикой управления рисками. Наконец, система обеспечивает мониторинг регулярной работы и хода выполнения планов по реагированию на риски.

В качестве основы системы управления рисками могут выступать различные программные продукты. К примеру, нашей компанией реализован ряд проектов по автоматизации управления рисками и внутреннему контролю для холдингов на базе решения MOSASO (Microsoft Office Solution Accelerator for Sarbanes-Oxley), в котором помимо рисков финансовой отчетности в рамках закона Sarbanes-Oxley учитываются риски, контрольные процедуры, результаты аудиторских проверок по любым бизнес-процессам. Преимуществом использования MOSASO является возможность подключения к системе любого количества пользователей, так как нет необходимости в закупке лицензий.

MOSASO представляет собой централизованное web-приложение, которое может быть интегрировано с различными системами. В частности, интеграция MOSASO с системой моделирования бизнес-процессов Casewise Corporate Modeler Suite позволила специалистам GMCS добиться того, чтобы сведения об изменениях в схемах организации бизнес-процессов заказчика из системы моделирования автоматически переносились в MOSASO, где обеспечивается протоколирование исполнения контрольных и мониторинговых процедур.

Одним из вариантов направлений интеграции, позволяющих обеспечить непрерывность процессов контроля и мониторинга исполнения контрольных процедур в системе управления рисками, является интеграция с НR-системой. Благодаря этому в случае увольнения ответственного за какой-либо бизнес-процесс сотрудника в системе назначается новый ответственный, получающий уведомление об этом по электронной почте. Интеграция с Active Directory и почтовыми системами также является стандартной рекомендацией.

В целом на сегодняшний день мы отмечаем рост интереса к теме автоматизации управления рисками. Однако эффективность системы управления рисками проявляется в полном объеме только в случае, когда у каждого сотрудника есть четкое понимание своей роли в выстроенной схеме управления рисками.