Коллеги, привет! Был вот на конференции по управлению рисками во Франкфурте. Так вот там возникла интересная дискуссия на тему: Если в компании существует оценка рисков для целей управления рисками, должна ли служба внутреннего аудита пользоваться ей?
Плюсы: - экономия ресурсов (исключение дублирования усилий)
Минусы: - риск неверного распределения ресурсов внутреннего аудита (если менеджмент ошибается/искажает в оценке рисков)
Прошу высказываться, кто как думает?
Контроль и определение направления - синонимы. Питер Друкер.
Пользователь
Сообщений: Регистрация: 17.01.2017
0
31.03.2008 09:25:15
В соответствии с определением ВА ИВА внутренний аудит совершенствует процессы риск-менеджмента, как впрочем и другие бизнес - процессы. Совершенствует он их методом оценки эффективности и достаточности данных процессов и выдачей рекомендаций. Соответственно, в данном случае риск-менеджмент - это инструмент контроля менеджмента, который подлежит оценке со стороны ВА. Думаю, что оценка производится двумя способами: тестами контроля и тестами по существу. Есть еще такая услуга, как восстановление (учета, отчетности и т.п.), так вот, если в Обществе РМ признается неээфективным и недостаточным, РМ может быть восстановлен, желательно без конфликта интересов для ВА, есть метод дублирования, когда с чистого листа аудитор сам подготавливает карту рисков, потом сверяет ее с имеющейся, однако это действительно может быть трудоемко, эффективнее на мой взгляд применять тесты аудитора. Соответственно вывод -применять имеющийся риск-менеджмент для его оценки, а при его отсутствии -восстанавливать. Так же считаю, что если внутренний аудитор восстановил риск-менеджмент предприятия (как впрочем любой другой бизнес-процесс), оценивать он уже его объективно не может, как минимум это должен делать другой внутренний аудитор.
Если у аудитора есть обоснованная уверенность что система риск-менеджмента обеспечивает достоверную оценку рисков - то он может ей пользоваться, если нет - не может:), в любом случае по каким то из списка рисков аудитор может опираться на оценку менеджментом, по каким-то на собственное мнение. Есть еще один момент - при отсутствии формальной и алгоритмизированной методологии оценки риска ( ну например как оценка кредитного риска банком) вряд ли кто-то может точнее оценить риск чем менеджер, в зоне ответственности которого риск находится, соответственно еще неизвестно, чья оценка будет точнее - аудитора или менеджера.
Пользователь
Сообщений: Регистрация: 17.01.2017
0
31.03.2008 21:12:02
Цитата
Если у аудитора есть обоснованная уверенность что система риск-менеджмента обеспечивает достоверную оценку рисков - то он может ей пользоваться, если нет - не может:)
Отлично, с этим согласен. Хороший аргумент и поворот дискуссии.
Цитата
Есть еще один момент - при отсутствии формальной и алгоритмизированной методологии оценки риска ( ну например как оценка кредитного риска банком) вряд ли кто-то может точнее оценить риск чем менеджер, в зоне ответственности которого риск находится, соответственно еще неизвестно, чья оценка будет точнее - аудитора или менеджера
А вот тут, как раз, и несогласен. При качественной оценке рисков считаю, что наиболее важным и критическим является подход к выбору экспертов. Эксперт-владелец процесса - не лучший вариант. По крайней мере в одиночку. В моей практике владельцы процесса почти всегда дают иную оценку риска по сравнению со своими потребителями (например закупщик и производственник в отношении рисков выбора поставщика) и поставщиками (тот же пример в отношении рисков определения потребностив закупках). Плюс когда нет культуры риск-менеджмента, основной тенденцией является усреднение (например, тяготение к оценке 3:3 по пятибальной шкале). Если тяжело найти другого эксперта, тогда необходимо использовать иные способы оценки (количественный, метод аналога и пр.). Полагаться на мнение только владельца процесса - заведомо заложить в план аудитов риск манипуляции (и никакая независимость не поможет).
Контроль и определение направления - синонимы. Питер Друкер.
Гость
0
01.04.2008 00:35:26
Цитата
А вот тут, как раз, и несогласен. При качественной оценке рисков считаю, что наиболее важным и критическим является подход к выбору экспертов. Эксперт-владелец процесса - не лучший вариант. По крайней мере в одиночку. В моей практике владельцы процесса почти всегда дают иную оценку риска по сравнению со своими потребителями (например закупщик и производственник в отношении рисков выбора поставщика) и поставщиками (тот же пример в отношении рисков определения потребностив закупках). Плюс когда нет культуры риск-менеджмента, основной тенденцией является усреднение (например, тяготение к оценке 3:3 по пятибальной шкале).
Влад привет!! Я уверен, если будет ответственность эксперта- владельца процесса за гипотетические оценки рисков , то оценка будет максимально достоверной ... в противном случае все оценки данные как экспертам, так и владельцем процессов будут отражать те или иные амбиции /проще говоря покажут понты/ манагеров Усреднение, на мой взгляд, не ввыход, когда риски находятся в красных секторах /супер высокие /, т.к. никому легче не будет если компания попадет на бабло /при реализации рисков /, а ответственности за высказанное экспертное мнение никто нести не будет ...
Цитата
Если тяжело найти другого эксперта, тогда необходимо использовать иные способы оценки (количественный, метод аналога и пр.). Полагаться на мнение только владельца процесса - заведомо заложить в план аудитов риск манипуляции (и никакая независимость не поможет).
Все одно пальцем в небо ....в надежде, что пройдет время все получат свои бонусы и все забудется
P.S. Ответственность как и планы работы и достигаемые показатели неплохо бы застолбить в KPI ..... /как вариант/ ...
P.P.S. Мальчишки и девченки общайтесь за чашкой водки или за бутылкой чая с менеджментом ..... живите их процессами ..... и будет Вам плодотворное сотрудничество и уместный консенсус в оценках рисков всетаки ВА обеспечивающий процесс ......
Пользователь
Сообщений: Регистрация: 17.01.2017
0
01.04.2008 09:19:08
Все риски внутреннему аудитору за весь менеджмент объективно оценить никак не возможно. Максимально эффективен он может быть только при аудиторской выборке репрезентативно представляющей всю генеральную совокупность рисков.
С ув. Андрей
Карфаген должен быть разрушен!
Пользователь
Сообщений: Регистрация: 17.01.2017
0
01.04.2008 09:57:10
Владислав, привет! Мы не найдём ответа, а с ним и единственно правильного решения, не определив, с какими рисками имеет дело внутренний аудитор. Часто сваливаются в кучу риски, которые должны идентифицироваться и управляться специалистами (кредитные, ценовые, валютные, да мало ли, проектные, например, или инвестиционные) и риски, допустим, стратегические или риски, которые мы можем идентифицировать в бизнес-процессах для дизайна контроля. Если исходить из моих наблюдений, то получается следующая ситуация. Сидят специалисты, например, в подразделении коммерции и "разруливают" рыночные риски, определяют VAR (value at risk) и очень этим горды. Это - их дожностная обязанность. Про существование каких-либо других рисков они и знать не знают. Самое смешное - их оценка квалификации внутренних аудиторов: "да эти внутренние аудиторы даже не знают, как риск посчитать!" И мнение руководителей внутреннего аудита: "Да эти...понятия не имеют, что такое риск!". Сам был свидетелем. В одной уважаемой продвинутой компании. Поэтому, мне кажется, что область внутреннего аудита - это стратегические риски (high level) для определения карты рисков и составления годового плана аудита. Это должно быть сделано в тесном контакте с менеджментом (не с рядовыми исполнителями, а с топами). И риски в бизнес-процессах, то есть связанные с действиями. Не то, как посчитан, правильно ли определен, риск, а считает ли кто-то, по какой методике, кто проверяет и т.д. Может быть, несколько сумбурно, зато оперативно.
Пользователь
Сообщений: Регистрация: 17.01.2017
0
01.04.2008 11:37:40
Для ясности вопроса, что использовать, а что нет в работе ВА над РМ, предлагаю подумать в чем заключается тест контроля и тест по существу системы риск- менеджмента, что здесь гарантии, консультации и фасилитация? И как при оценке и совершенствовании РМ в Обществе соблюсти независимость и объективность.
С ув. Андрей P.S. Привет Влад, извини сразу не поздоровался.
Карфаген должен быть разрушен!
Администратор
Сообщений: Регистрация: 17.01.2017
0
01.04.2008 16:20:51
Если мы говорим, что в компании существует оценка рисков для целей управления рисками (так звучит вопрос в теме дискуссии) , то, надо понимать, это вещь не формальная, а реальная. То есть риски оцениваются и, что важно, с какой-то периодичностью переоцениваются. Как уже говорили коллеги, ВА совершенствует процессы риск менеджмента путем оценки их эффективности и достаточности, при чем с выдачей рекомендаций. Мне кажется, "подключение" службы ВА к процессу оценки менеджментом рисков, с выдачей своих рекомендаций, высказыванием своего мнения, больше отвечает целям ВА в повышении эффективности деятельности организации, чем самостоятельная оценка рисков службой внутреннего аудита. Оценка рисков менеджментом есть ничто иное, как "предвидение последствий принимаемых менеджером решений". Задача ВА способствовать , чтобы менеджмент этому ( "предвидению последствий принимаемых им решений") быстрее выучился. Наверное лучше менеджмент научить самостоятельно "ловить рыбу" , чем все время "кормить его выловленной тобой", имеется в виду оценивать риски за него. И здесь "плюс" останется "плюсом", а "минус" ... превратится в "плюс".
Пользователь
Сообщений: Регистрация: 17.01.2017
0
01.04.2008 19:25:43
Наверное да.
Только редко встречаешь желающих самостоятельно ... (далее по тексту). А в принудительном порядке заставлять менеджмент оценивать и переоценивать риски - очень длинный и неблагодарный путь... Появляются как из чертового сундучка консалтеры (никого не хочу обидеть) и лепят под копирку шаблон системы управления рисками, пригодный "практически для всех. Честно-честно!..." Эффект - менеджмент набрался несколько умных слов для тусовок...
Любое дело становится искусством, если используются приемы и методы, непостижимые для большинства.
