Институт внутренних аудиторов

Мне кажется имеет смысл использовать диктофон только в двух случаях:
- при интервью на котором знакомишься с процессом, чтоб не пропустить ничего важного;
- с проблемными аудируемыми единицами, которые уже не раз отказывались от своих слов;

В обоиз случаях нужно согласовывать использование микрофона с оппонентами.

За 4 года работы, при правильном подходе, негатива не встретил.

Уважаемые коллеги,

Подскажите пожалуйста, какую методологию Вы использовали при аудитах риска завышения арендной ставки (территория - Москва и МО)? Какие источники информации использовали?
Насколько реально выявить этот риск и оценить?


Буду благодарен за Ваши советы!

Risk Universe, или по нашему реестр рисков (где-то матрица рисков) появляется в процессе риск-менеджмента, если таковой существует на предприятии. Т.е. сначала идет выявление рисков, затем их классификация и оценка, определение стратегий реагирования, оценка существующих контролей и остаточный риск.

Доброго времени суток!<br><br>Уважаемые коллеги,<br><br>Прошу Вас поделиться опытом по созданию ERM у вас в компании. А именно:<br>Как замотивировать менеджмент показывать свои риски?  Российский менеджмент в этом отношении придерживается, мягко говоря, консервативных позиций в отличии от западного.<br><br>Буду весь признателен за советы!<br>

Большое спасибо коллеги за высказанные мнения!<br>Для себя я сделал вывод, что в условия российской реальности, нужно пытаться сохранить баланс между открытостью и доступностью "вселенной рисков". Это позволит избежать потери ценности самого процесса управления рисками и излишней доступности реестра рисков. По принципу "need to know and need to do"<br><br>Еще раз благодарю вас за ответы!

В том, что кто-нибудь может воспользоваться информацией о рисках в корыстных целях.

Уважаемые коллеги,<br><br>Очень прошу отозваться на мой вопрос и ответить о доступности Risk Universe внутри организации. Можно очень коротко!<br>Ваше мнение очень важно для меня!<br><br>Заранее благодарю Вас за участие!

Полностью согласен с коллегами,<br><br>Самая лучшая литература тут для составления - ITIL, Cobit 4.1 (DS8) и ISO 27001.<br>СВА может проводить периодические аудиты данного процесса.<br><br>Универсального регламента нет, каждый подстраивается под имеющиеся ресурсы и реалии. Можно лишь вкратце перечислить что должно быть:<br>Определение события, попадающего под классификацию инцидента, порядок регистрации, классификации, приоритезации, обработки, оповещения, эскалации, мониторинга и закрытия инцидентов.  Ответственных лиц, максимальные сроки, KPI процесса и контроль KPI. Измерение удовлетворенности пользователей решением инцидентов. Если для регистрации инцидентов используется телефонная система, то можно добавить в регламент время реагирования, регистрации инцидентов, время ответа оператора. <br><br>Кстати, если вы являетесь аудитором, вам лучше самостоятельно не разрабатывать данный регламент, чтоб не нарушить принцип объективности при последующих аудитах. Можно также порекомендовать ИТ использовать вышеуказанную литературу для разработки.

Могу также порекомендовать прослушать курс "Information Risk Management" MIS Training Institute, если по работе придется с этим часто сталкиваться.  

Добрый день max77r,<br><br>Мне кажется в этом случае надо воспользоваться методом приоритезации, когда вероятность и влияние оцениваются по 3..5 бальной шкале.<br>Присущим риском является риск, свойственный какому-либо процессу. Например - процесс "обеспечение сохранности и целостности данных". Один из присущих рисков тут будет "потеря информации" (кража информации). Производим первоначальную оценку данного риска по 5-бальной шкале вероятность-влияние. Например, получили 12 (влияние 3, вероятность 4). Это оценка риска при отсутствии или неэффективном контроле. Затем оцениваем существующий контроль на эффективность. Если контроль снижает вероятность или влияние риска, но уменьшаем соответствующий сомножитель и получаем остаточный риск. Например, существует контроль, предотвращающий похищение информации. Влияние он не снижает, зато снижает вероятность. Например до 2. В итоге остаточный риск будет равняться 6. Если данный уровень соответствует риск-аппетиту компании, можно оставить его и периодически мониторить эффективность контроля, если нет, нужно затратить определенное количество средств и усилий для снижения вероятности до 1. Главное не забывать что контроль должен быть экономически эффективным - т.е. затраты на него не должны превосходить полученной выгоды.<br>