Автоматизация управления рисками и внутреннего контроля: подходы, методология, особенности

В современных условиях роль рисков в деятельности компании становится все более значимой.

Пренебречь влиянием рисков – значит поставить под удар эффективность бизнес-процессов, что может непосредственно отразиться на финансовых показателях. Превратить риски из «хаоса» в упорядоченную и управляемую систему позволяет автоматизация. Данная статья призвана помочь сформировать целостное представление о том, как грамотно выстроить автоматизированную систему управления рисками и внутреннего контроля в компании, чтобы ее работа была эффективной и приносила реальную отдачу бизнесу.

В своей деятельности каждый человек управляет рисками, зачастую даже не догадываясь, что это так называется. Простейший пример: мы страхуем автомобиль, чтобы разделить убытки со страховой компанией в случае реализации рисков ущерба, угона. Говоря языком риск-менеджера, мы снижаем существенность последствий, т.е. сумму возможных потерь. Таким образом, мы непрерывно осуществляем деятельность, направленную на минимизацию двух составляющих оценки риска: вероятности и существенности. Аналогично этому практически в любом бизнес-процессе реализуются определенные шаги, называемые контрольными процедурами, которые призваны минимизировать вероятность и существенность рисков, свойственных бизнес-процессу.

Как определить, какими рисками необходимо управлять, а какими можно пренебречь? Как правило, риски, у которых вероятность или существенность малы, не требуют специального контроля. Риски, потери от реализации которых мы готовы принять ради достижения какой-либо цели, также не требуют специальных мер. Другими словами, существует некая граница, в пределах которой риски принимаются, а выше которой ими уже необходимо управлять.

В повседневной жизни оценка вероятности и существенности риска происходит на основе имеющегося опыта, после чего принимается решение о том, стоит или не стоит этим риском управлять и каким образом это делать. Как в таком случае осуществляется управление рисками на предприятии? Предъявление определенных требований к уровню квалификации сотрудников, разработка регламентов процессов и должностных инструкций позволяют обеспечить единый подход к реализации бизнес-процессов с выполнением процедур, направленных на минимизацию рисков. Происходит ли при этом управление рисками? Да. Эффективно ли это? Чтобы ответить на этот вопрос, необходимо оценить потери от реализации рисков. Что для этого нужно? Прежде чем приступить к оценке, необходимо определить, что оценивается (какие исходные риски имеются) и как (какими метриками). Из этого следует вывод о необходимости разработки методологии управления рисками на предприятии.

Разработка методологии управления рисками

В рамках разработки методологии управления рисками определяются понятия системы управления рисками, осуществляется классификация рисков, формируется методика оценки. На основе методологии и перечня бизнес-процессов компании формируется карта рисков, которая в дальнейшем будет служить стартовой точкой для начала работы автоматизированной системы управления рисками. Все это необходимо для получения объективной оценки того, насколько эффективно происходит управление рисками. Поэтому карта рисков бизнес-процессов помимо просто перечня и классификации рисков должна включать в себя оценки рисков (вероятности, существенности, общее оценки) до и после применения существующих контрольных процедур, а также список самих контрольных процедур. За всеми процессами, рисками, контрольными процедурами должны быть закреплены ответственные владельцы процессов, контрольных процедур, а также риск-менеджеры, главной задачей которых является методологическая помощь.

Построение автоматизированной системы управления рисками и внутреннего контроля.

Внедрение автоматизированной системы управления рисками и внутреннего контроля в компании позволяет обеспечить:

• реализацию единой методологии управления рисками в рамках всей компании. При построении системы учитывается специфика модели управления рисками на предприятии, при этом единая методология используется для всех бизнес-процессов;
• каталогизацию рисков. Использование средств автоматизации позволяет сформировать целостное представление не только о текущем состоянии системы управления рисками, но и получить данные за прошлые периоды;
• прозрачность управления рисками. Важным результатом внедрения системы является передача карты рисков от риск-менеджеров владельцам процессов для дальнейшего контроля и развития, ведь никто не знает бизнес-процесс и его риски лучше его владельца;
• мониторинг исполнения контрольных процедур. В регламентах прописаны контрольные процедуры. Но данных о том, где и как эти процедуры исполняются, какова оценка их эффективности на местах, нет. Система позволяет протоколировать исполнение и самооценку эффективности контрольных процедур, что удобно для получения on-line состояния системы внутреннего контроля в компании;
• облегчение управления изменениями бизнес-процессов. Поскольку все данные в системе персонифицированы (данные в систему вносятся непосредственно владельцами контрольных процедур), то в случае, если регламенты не соответствуют действительности, система позволяет оперативно получить обратную связь от сотрудников, ответственных за протоколирование исполнения ошибочных контролей;
• контроль результатов и получение информации для анализа уже свершившихся рисков. Оценка рисков с учетом применения контрольных процедур является экспертной. Данные по случаям реализации рисков позволяют получить более достоверную информацию;
• возможность проведения «удаленного аудита». Наличие в системе подтверждений контрольных процедур позволяет проводить аудит их исполнения без выезда в удаленные филиалы;
• данные для внутреннего аудита. Система позволяет получить как текущие, так и исторические данные по состоянию системы управления рисками и внутреннего контроля в компании, что упрощает проведение проверок внутренними аудиторами. Наличие в системе результатов проверок, соотнесенных с конкретными процессами, рисками и контролями, возможность мониторинга выполнения мероприятий по результатам аудита, помогает владельцам процессов и риск-менеджерам в их деятельности.

Есть два варианта развертывания автоматизированной системы управления рисками: либо внедряется специализированный модуль в составе крупной информационной системы управления предприятием, либо внедряется отдельная система. В первом случае сроки проекта определяются сроками внедрения самой ERP-системы, но в результате компания получает интегрированное решение. Во втором случае зависимости от того, какая ERP-система используется на предприятии, нет, но, как правило, требуются дополнительные работы по интеграции. Именно поэтому компаниям с холдинговой структурой, многочисленные подразделения которых имеют собственную ИТ-инфраструктуру и различные ERP-системы, можно рекомендовать внедрять самостоятельную систему управления рисками.

На сегодняшний день для целей управления рисками рынок предлагает множество ИТ-решений. К примеру, система MOSASO (Microsoft Office Solution Accelerator for Sarbanes-Oxley) предоставляет широкие возможности по управлению рисками и системой внутреннего контроля. В частности, кроме рисков финансовой отчетности, в рамках закона Sarbanes-Oxley в этой системе могут учитываться риски контрольные процедуры, результаты аудиторских проверок по любым бизнес-процессам (производственным, управленческим и т.д.). Но главное преимущество использования MOSASO заключается в возможности подключения к системе неограниченного количества пользователей, поскольку нет необходимости в закупке пользовательских лицензий, за исключением лицензий на серверное программное обеспечение. В этом отношении по сравнению с другими системами MOSASO значительно выигрывает. В свою очередь, удобный и интуитивно понятный интерфейс этого решения позволяет новым сотрудникам быстро включиться в выстроенную в компании систему управления рисками и начать в ней полноценно работать. Кроме того, MOSASO легко интегрируется с другими используемыми в компании информационными системами.

В частности, у GMCS есть опыт реализации проектов по автоматизации управления рисками и внутреннего контроля в компаниях с холдинговой структурой. Консультанты GMCS участвовали в создании единого автоматизированного комплекса системы внутреннего контроля (ЕАК СВК) в ОАО «Ростелеком». В результате нескольких проектов были построены система формирования регламентов бизнес-процессов на базе Casewise Corporate Modeler Suite, система протоколирования исполнения и мониторинга контрольных процедур на базе MOSASO, проведена интеграция этих систем как между собой, так и с системой управления персоналом. На сегодняшний день пользователями ЕАК являются свыше 6000 сотрудников компании-заказчика, включая ее топ-менеджмент. Внедрение MOSASO в качестве системы управления рисками и внутреннего контроля у другого нашего заказчика позволило сформировать единую базу данных рисков, организовать коммуникации и документооборот по управлению рисками, осуществлять мониторинг регулярной работы и хода выполнения планов по реагированию на риски и формировать отчеты по управлению рисками для менеджмента.

Возможность интеграции автоматизированной системы управления рисками с другими системами

Автоматизированная система управления рисками и внутреннего контроля прежде всего должна интегрироваться с системой моделирования бизнес-процессов. Такая интеграция позволяет автоматически переносить сведения об изменениях в схемах организации бизнес-процессов в автоматизированную систему управления рисками, отвечающую за протоколирование исполнения контрольных и мониторинговых процедур. Однако интеграция с системой моделирования не является обязательной, так как бизнес-процессы могут вестись традиционно в виде регламентов, а каталог процессов, рисков и контролей – непосредственно в автоматизированной системе управления рисками.

Обеспечить непрерывность процессов контроля и мониторинга исполнения контрольных процедур позволяет интеграция системы управления рисками с системой управления персоналом компании. В результате такой интеграции в случае, к примеру, увольнения или ухода в отпуск сотрудника, ответственного за конкретный процесс, в системе управления рисками назначается новый ответственный, получающий уведомление об этом по e-mail.

Формула успеха

Успех проекта внедрения автоматизированной системы управления рисками и внутреннего контроля, как и любого другого ИТ-проекта, во многом зависит от выбора партнера по проекту. Опыт реализации аналогичных проектов у консалтинговой компании, экспертиза работы с конкретным решением, на основе которого будет строиться система, предоставление последующей технической поддержки – это те критерии, на которые следует обратить внимание при определении исполнителя проекта.

Как показывает практика, основная сложность, с которой приходится сталкиваться при решении задач внедрения системы управления рисками и внутреннего контроля, заключается в трудности переосмысления сотрудниками своей деятельности с точки зрения рисков и их реализации. Поэтому очень важно объяснить всем участникам процесса необходимость в организации системы управления рисками для компании, их роль в этой системе. В этой связи следует проводить обучающие семинары для сотрудников при непосредственном участии специалистов подразделения управления рисками компании.

В свою очередь сроки выполнения проекта в значительной степени зависят от проработки методологии, так как согласование регламентов и контрольных процедур с владельцами бизнес-процессов может отнять гораздо больше времени, чем формирование модели управления рисками, ее пилотное тестирование и последующее тиражирование. Как бы то ни было, в отличие от ERP-проекта внедрение автоматизированной системы управления рисками и внутреннего контроля является гораздо меньшим по срокам реализации и ресурсным затратам проектом, дающим ощутимый эффект для бизнеса.