Оценка рисков на уровне отчетности

Опубликовано автором

Оценка рисков на уровне отчетности

В рамках выполнения оценки рисков существенного искажения отчетности выполняются аудиторские процедуры и заполняются рабочие документы:

1. Ключевые элементы понимания деятельности организации и ее окружения

В документе Ключевые элементы понимания деятельности организации и ее окружения рассчитывается неотъемлемый риск на уровне отчетности. В поле «Оценка влияние фактора на неотъемлемый риск» пользователь выбирает одно из значений влияния фактора на неотъемлемый риск: Максимальный, Высокий, Средний, Низкий, Минимальный, Не оказывает. Каждому значению соответствует определенное расчетной значение, которые может быть настроено пользователем самостоятельно.

Поскольку каждый фактор и группа факторов по-разному оказывает влияние на неотъемлемый риск, в документе Ключевые элементы понимания деятельности организации и ее окружения по каждому фактору и группе факторов может быть настроена Важность фактора / группы факторов (вес фактора). При расчете неотъемлемого риска учитывается вес данных факторов.

Ключевые элементы понимания деятельности организации и ее окружения

По результатам выбора оценки влияния фактора не неотъемлемый риск (Максимальный, Высокий, Средний, Низкий, Минимальный, Не оказывает) необходимо пересчитать рассчитанный риск. В панели Формулы редактора документов нажмите на кнопку Пересчет.

Пересчет формул в табличном файле

Группы факторов, которые участвуют в расчете неотъемлемого риска в программе IT Audit, приведены в п. 11 МСА 315 «Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения».

Выявленные при заполнении документа риски существенного искажения вносятся в общий список рисков (Карта рисков) по разделу «Аудит бухгалтерской отчетности».

2. Рассмотрение системы внутреннего контроля

Рассмотрение системы внутреннего контроля производится в рабочих документах:

  • Изучение контрольной среды аудируемого лица (п. 14 МСА 315)
  • Изучение системы оценки рисков аудируемым лицом (п. 15, 16, 17 МСА 315)
  • Изучение информационной системы, связанной с финансовой отчетностью (п. 18, 19 МСА 315)
  • Изучение контрольных действий аудируемого лица (п. 20, 21 МСА 315)
  • Изучение мониторинга средств контроля аудируемого лица (п. 22, 23, 24 МСА 315)

Разделы аудита в программе IT Audit

По результатам рассмотрения системы внутреннего контроля производится расчет риска средств контроля.

Данные документы расположены в разделе Аудит системы внутреннего контроля аудируемого лица. По результатам заполнения данных документов аудитор оценивает риск средств контроля (производится качественная оценка)

Выявленные при заполнении документа риски существенного искажения вносятся в общий список рисков (Карта рисков) по разделу «Аудит бухгалтерской отчетности» с использованием перекрестных ссылок.

3. Расчет риска необнаружения

Риск необнаружения может быть рассчитан или, в зависимости от подхода аудиторской компании, задан при расчете аудиторского риска. На риск необнаружения могут влиять следующие факторы (приведены примеры факторов):

  • Время, выделенное на проведение проверки,
  • Предоставление клиентом электронной базы бухгалтерского учета
  • Наличие оперативного контроля за ходом проведения аудита

4. Оценка риска существенного искажения и аудиторского риска на уровне отчетности

На вкладку Оценка риска существенного искажения и аудиторского риска на уровне отчетности переносятся результирующие данные из рабочих других вкладок данного файла. В панели Формулы редактора документов нажмите на кнопку Пересчет.

Оценка риска существенного искажения и аудиторского риска на уровне отчетности

  • Ключевые элементы понимания деятельности организации и ее окружения (рассчитывается неотъемлемый риск)
  • Рассмотрение системы внутреннего контроля (оценивается риск средств контроля)
  • Расчет риска необнаружения

Пересчет формул в табличном файле

5. Пересмотр оценки риска существенного искажения отчетности

При необходимости может быть заполнен рабочий документ «Пересмотр оценки риска существенного искажения отчетности».

Пересмотр оценки РСИ отчетности

При создании документа программа автоматически заполняет переменные (наименование клиента, наименование проекта, руководитель задания, логотип аудиторской компании и т.д.), выделенные серым цветом

Содержание значимых изменений и причину данных изменений пользователь вносит самостоятельно в режиме редатикрования файла документа. При необходимости документ изменяется в текстовом редакторе.

Рабочие документы по рискам автоматически заполняется переменными

При создании рабочего документа программа автоматически заполняет переменные (наименование клиента, наименование проекта, руководитель задания, логотип аудиторской компании и т.д.), выделенные серым цветом

В столбце «Содержание ответа» выбирается необходимый вариант или вносится собственный. При необходимости документ изменяется в текстовом редакторе.

Порядок заполнения документа переменными приведен на странице Справки:

Оценка выявленных рисков

Документирование выявленных рисков и их оценка производится в модуле Риски программы IT Audit:

  • на уровне отчетности и на уровне предпосылок (п. 5 МСА 315)
  • по видам операций (п. 25, п. 26, А122 МСА 315)
  • по бизнес-процессам (бизнес-риски) (п. 11, п. А21, п. А37, А40 МСА 315)

Источник

Модуль анализа риск факторов

7 МИН

Как оценить риски предприятия

Ошибки в расчётах и планировании, изменения ситуации на рынке и в законодательстве создают риски для бизнеса. Объясняем, как их оценить и предотвратить.

Виды деловых рисков

Обычно под «деловым риском» подразумевают одно или несколько событий, негативно воздействующих на деятельность предприятия или её аспекты.

С точки зрения предсказуемости риски делят на систематические и несистематические. Несистематические риски возникают в отдельно взятой компании, их можно спрогнозировать и оценить своими силами. Систематические риски угрожают рынку в целом или отдельным сферам бизнеса. Предсказать их возникновение и оценить последствия могут только эксперты.

Виды систематических рисков:

  • Политические — изменение политической ситуации в стране и мире.
  • Природные риски. К ним относятся экологические катастрофы или стихийные бедствия.
  • Юридические — сюда входит как несовершенство существующих законов, так и риск появления новых, способных создать дополнительные проблемы для бизнеса.
  • Экономические — изменения в налоговой системе, санкции против государства, потери из-за нестабильности курсов валют и т. п.

Пример юридического риска

Из-за поправок в Жилищном кодексе с 1 октября 2019 года хостелы и гостиницы могут располагаться только в нежилых зданиях или в помещениях многоквартирных домов, имеющих статус нежилого фонда и соответствующих ряду дополнительных требований. Теперь предприниматели, хостел или гостиница которых находятся в жилом доме, должны перевести помещение в статус нежилого фонда, переехать в другое или закрыть бизнес.

Виды несистематических рисков

1

Производственные

Могут быть связаны не только с производственными процессами, но и с управленческими, с невыполнением плана продаж или с сокращением объёмов производства.

2

Финансовые

Возникают из-за недополучения прибыли от проекта, неликвидности продукции и т. п.

3

Рыночные

Появляются из-за нестабильности ситуации на рынке, ценовой политики организации и появления новых конкурентов в нише.

Последствия несистематических рисков реально минимизировать грамотным менеджментом.

Пример производственного риска

Вы открываете завод по производству шлакоблоков. Можно выбрать:

а) уже готовое помещение и заказать для производственной линии оборудование у производителя с монтажом и настройкой;

б) место для строительства завода с нуля, заказать разное оборудование у нескольких поставщиков и установить его собственными силами.

В случае «б» несистематические риски намного выше: вы можете обсчитаться и нарушить нормы при строительстве, а оборудование — сломаться или потерять эффективность из-за неправильной установки, а то и вовсе оказаться несовместимым.

Методы оценки рисков

Способы оценки рисков на предприятии делят на количественные и качественные.

Использование количественных методик потребует специальных программ или помощи аналитиков. К ним относятся методы проверки устойчивости и метод имитационного моделирования, он же метод Монте-Карло. А для расчётов применяются статистические приложения, например SAS, — с модулями постобработки BASE, STAT и их аналогами.

Качественная оценка рисков

Качественными методами оценить риски можно и самостоятельно. В основе этой группы — сбор предполагаемых рисков компании, их описание и оценка без использования сложных формул и программ.

Метод экспертных оценок

К оценке и анализу рисков на предприятии привлекают независимого эксперта. Он изучает составленный руководителем или собственником список рисков или предлагает свой.

Метод рейтинговых оценок

Основан на самостоятельном или экспертном ранжировании уже имеющегося списка рисков по вероятности их возникновения или опасности последствий. Результат метода — заполненная таблица с рейтингом рисков.

Контрольные списки источников рисков

Метод базируется на разборе рисков, с которыми столкнулись в предыдущих проектах. Произошедшие инциденты, факторы рисков и убытки анализируются и вносятся в общую таблицу. Если заполнять такую таблицу по итогам каждого реализованного проекта, по ней можно будет проверять возможные риски будущих.

Метод аналогий

Разновидность контроля списков источников риска. Отличается тем, что предыдущий опыт не только исследуют, но выявляют с его помощью закономерности между процессами в разных проектах.

Главное

1

Есть систематические и несистематические риски. Первые касаются отрасли или рынка в целом, их нельзя предотвратить силами компании. Несистематические риски можно самостоятельно оценить и минимизировать.

1

Чтобы систематические риски не застали врасплох, следите за новостями своей отрасли, за политической и экономической ситуацией в стране. Или читайте отчёты и прогнозы экспертов, которым доверяете.

1

Не забывайте, что законодательство тоже может меняться. О важных нововведениях пишут все деловые издания.

1

Учитывайте несистематические риски: производственные, финансовые и рыночные. Проверяйте поставщиков и других контрагентов через госреестры. При закупках оценивайте фактическое качество товара, при производстве собственной продукции учитывайте отзывы потребителей и успехи конкурентов.

1

Для оценки рисков используйте количественные и качественные методы. С количественными, например методом Монте-Карло, помогут программы и специалисты-аналитики.

Источник

Модуль анализа риск факторов

Главная картинка статьи №21

Виды анализа рисков

Доброго времени суток, Уважаемые коллеги!

Предыдущую статью мы посвятили активности идентификации рисков.

Сегодня мы хотим поговорить про виды анализов рисков и обосновать необходимость их применения при определенных условиях.

Рассматриваемая тема будет особо актуальна для тех коллег, кто уже столкнулся с практикой отечественных предприятий (а вернее её отсутствием), которая демонстрирует, что только относительно небольшая часть из них выполняют анализ и последующее обоснование того, как управлять риском в процессе внедрения новых проектов или сопровождения текущей деятельности.

Введение

На сегодняшней день множественная типизация рисков, вызванная неоднородностью самого этого понятия, и природы его возникновения, привела к появлению и существованию большого числа способов по их анализу и дальнейшим методам по работе с ними, на разных этапах жизненного цикла, начиная с момента появления возможности возникновения до конечного/промежуточноконечного состояния.

Различные по своим причинам/характеристикам/ и т.д. риски имеют строгоопределенные или рекомендованные тактики и стратегии по их обработке. Каждая их таких видов активностей должна содержать в себе один или несколько подходов, любой из которых основан на четком алгоритме. Такие подходы к исследованию явных, скрытых или потнециальных причин рисков принято называть видами анализа рисков.

Анализ рисков. Идентификации ИТ активов

Введем понятие анализа рисков:

Анализ рисков — процедуры выявления факторов рисков и оценки их значимости на конкретное событие, группу событий, систему.

По сути, анализ рисков – это анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение поставленных целей.

Анализ рисков, в сфере информационных технологий, состоит из оценки риска, по определенным метрикам, методы работы с рисками, такие, как снижение риска, его игнорирование, уменьшения связанных с ним неблагоприятных последствий и т.д.

Анализ рисков в области ИТ, связан, прежде всего, с созданием/развитием/ вводом в эксплуатацию/ выводом из эксплуатации/сопровождением и т.д. информационных систем (ИС), технологий и любых других ИТ активов, сопровождающих домен информационных технологий конкретного предприятия.

Читайте также:  Как узнать параметры Wi Fi скорость канал и т д в macOS за один клик

ИТ Активы – это все артефакты, имеющие определенную ценность для организации, использующей их в своей деятельности. Активы могут быть выражены как в конкретном стоимостном значении, так и не иметь четко определенной ценности, в актуальный момент времени.

Все ИТ активы, прямо или косвенно участвуют в формировании дохода предприятия или создании конечного продукта/сервиса, от реализации которого зависит успех организации (сотрудники, техника, уникальные процессы, сервера и т.д.).

От правильного учета и управления ИТ активами, зависит степень подверженности того или иного процесса, использующего данные активы, рисковому влиянию. Особо важные и критичные активы должны быть идентифицированы, оценены и задокументированы, в соответствии со спецификой бизнеса, в котором проводится анализ рисков (минимально достаточным документом является реестр активов по аналогии с уже рассмотренным реестром рисков).

При идентификации ИТ активов необходимо учитывать их комплексность и возможную взаимосвязанность с другими видами активов. Установление подобных связей позволит добиться прозрачности процессов и ресурсов, которые их используют. Это, в свою очередь, окажет влияние как на оптимизацию и повышение качества процедур классификации и идентификации рисков, рассмотренных нами ранее, так и на активности, связанные с последующими стадиями процесса анализа и управления рисками, такими, как качественный и количественный анализы рисков, создание комплексной системы по работе с рисками и т.д.

Каждый актив должен иметь владельца, в обязанности которого должно входить управление и контроль за подотчетный ему актив. Это позволит предварить и избежать появления возможных коллизий, связанных с нерегламентированным, неправомерным, низкоэффективным использованием актива, при условии осведомленности и квалифицированности его «хозяина».

Конечно, при идентификации активов необходимо помнить цели, преследуемые процессом анализа и управления рисками, чтобы не «впасть в крайности» и не отклониться от поставленных задач. В процессе идентификации, у неопытного специалиста, может появиться соблазн включить и описать, как можно больше активов. Необходимо помнить о том, что над каждым описанным активом надо провести довольно скрупулезную работу по его описанию и вести дальнейшее поддержание созданной документации в актуальном состоянии.

После того, как активы выявлены, наступает этап выявления и оценки рисков, влияющих на определенный актив.

Оценка информационных рисков

Оценка информационных рисков – процедура ранжирования приоритета конкретных условий и факторов, которые могут стать причиной нарушения целостности системы.

При оценивании рисков, влияющих на определенные активы, учитываются многие факторы: ценность актива, значимость угроз, эффективность имеющихся и планируемых ресурсов актива. Факторы зависят от конкретной ситуации, вида актива и риска.

В свете изучаемого материала стоит сразу привести альтернативное определение понятия оценки:

Оценка информационных рисков — это определение количественным и/или качественным способом величины (степени) рисков. Количественные и качественные виды анализов будут рассмотрены нами далее.

Стоит сделать небольшое лирическое отступление и провести экскурс в актуальное состояние дел, связанных с активностью анализа риска в целом, и его оценки, в частности, в РФ. То, что современные технологии анализа рисков, мягко говоря, в России используются сравнительно редко, было показано нами ранее. Одна из основных причин такого положения состоит в том, что в руководящих документах, на большинстве законодательных уровней, как в государственном масштабе, так и на уровне частного предпринимательства, не рассматриваются аспекты рисков, их допустимый уровень и то, что на наш взгляд самое главное, ответственность за принятие определенного уровня рисков.

Риск, при первичном выявлении, это во многом интуитивное понятие, которое каждый подсознательно или осознанно учитывает, принимая то или иное решение. То, что о рисках не говорят, это не значит, что их нет. Риски появляются, вместе с появлением активов и соответственно, появляется ответственность, которая должна быть четко и однозначно персонифицирована. Только при таком подходе можно говорить о том, что система по анализу и управлению рисками будет приносить результаты. Принимать и игнорировать правильно только те риски, которые идентифицированы, исследованы и оценены, как не критичные, для конкретного случая или системы.

Оценка риска должна обеспечить понимание возможного масштаба проблем, событий и принятие решений о том, каким образом надо обрабатывать тот или иной риск.

Оценка может быть выполнена с различной степени детализации, используя один или несколько методов. Форма оценки и её результат должны быть совместимы с критериями риска для определенной ситуации и применяемого метода, который должен удовлетворять таким условиям, как:

  • Тип организации;
  • Окружение потенциально «ущербной» ситуации;
  • Форма результатов должна повышать осведомленность о виде риска и его периодичности;
  • Верификация причин, процесса и результатов;

Так же, при выборе способа оценки риска необходимо учитывать такие характеристики окружения риска, свойственного определенному активу, как:

  • Цели организации;
  • Цели исследования риска;
  • Ответственность возможных вариантов решения;
  • Тип риска и его характеристики;
  • Последствия от риска, в случае его реализации;

При оценке риска следующие факторы влияют на полноту и качество получаемых результатах о риске:

  • Степень качества и полноты используемых экспертиз;
  • Доступность однозначной и непротиворечивой информации о риске, и его окружении;
  • Необходимость в периодичном обновлении данных о риске;
  • Временные и ресурсные ограничения на процедуру оценки рисков;

Необходимо помнить о том, что такая характеристика, как неопределенность, может быть неотъемлема от целей организации, для которой проводится оценка риска. Данные, на основе которых проводится оценка, не всегда могут обеспечить достоверность процедуры прогнозирования. В целях совершенствования качества активностей по работе с рисками, и однозначном понимании полученных результатов, стэйкхолдеры (лица принимающие решения) и исполнители процессов по анализу и управлению рисками должны поддерживать постоянный контакт и взаимное информирование друг друга данными, необходимыми для сопровождения «рисковой» составляющей.

Задача оценки конкретного риска может быть довольно сложной, в зависимости от параметров, сопровождающих актив, который подвержен риску. К примеру, в сложных информационных системах оценка риска, как инкапсулированной составляющей, будет некорректна. Каждая часть информационной системы не существует сама по себе, а связана с другими компонентами и частями. Это приводит к тому, что один компонент, подверженный риску, ставит «под угрозу» связанные с ним элементы и связи, по которым осуществляется взаимодействие между ними, а так же все компоненты, являющиеся потребителями результатов процессов, в деятельности которых задействован рисковый элемент.

Методы оценки рисков имеют множественную классификацию для обеспечения понимания их преимуществ и недостатков. Мы перечислим методы, приведенные в ГОСТ Р ИСО/МЭК 31010-2011. При желании наши уважаемые коллеги могут более подробно с ними познакомиться, изучив упомянутый стандарт:

  • Мозговой штурм;
  • Структурированные или частично структурированные интервью;
  • Метод Делфи;
  • Контрольные листы;
  • Предварительный анализ опасностей;
  • Исследование опасности и работоспособности;
  • Анализ опасности и критических контрольных точек;
  • Оценка токсикологического риска;
  • Структурированный анализ сценариев методом «что, если?» (SWIFT);
  • Анализ сценариев;
  • Анализ воздействия на бизнес;
  • Анализ первопричин;
  • Анализ видов и последствий отказов (FMEA);
  • Анализ дерева неисправностей;
  • Анализ дерева событий;
  • Анализ причин и последствий;
  • Причинно-следственный анализ;
  • Анализ уровней защиты;
  • Анализ дерева решений;
  • Анализ влияния человеческого фактора;
  • Анализ «галстук-бабочка»;
  • Техническое обслуживание, направленное на обеспечение надежности;
  • Анализ скрытых дефектов;
  • Марковский анализ;
  • Моделирование методом Монте-Карло;
  • Байесовский анализ и сети Байеса;
  • Кривые FN;
  • Индексы риска;
  • Матрица последствий и вероятностей;
  • Анализ эффективности затрат;
  • Мультикритериальный анализ решения;

Часть из этих методов является более универсальными, другая менее и применимы только для конкретных, узкоспециализированных отраслей (К примеру метод — «Оценка токсикологического риска»), но не перечислить мы их не могли Наиболее применимые для использования на практике в ИТ, мы рассмотрели в прошлой статье.

Подводя итоги процесса оценки риска, мы приведем примерное содержание работ по оценке рисков и их последовательность, которая наиболее полно и оптимально отражает процедуру выполняемых работ, по нашему мнению:

  1. Сбор данных и сведений;
  2. Формирование цели и задач;
  3. Идентификация ИТ активов;
  4. Составление реестра ИТ активов, значимых для данной ситуации;
  5. Документирование и синтез полученной информации;
  6. Обоснование и выбор метода по оценке рисков;
  7. Предварительная оценка рисков и масштаба возможных проблем;
  8. Выбор наиболее значимых рисков и дальнейший их анализ;
  9. Выводы по проведенной работе для руководства. Резюме;
  10. Планирование дальнейших работ;

Важнейшей частью работы является резюме рисков, которое необходимо представить руководству, принимающему «жизненноважные решения» по управлению и анализу рисками. На этом этапе работ, в доступной и наглядной форме должны быть описаны самые опасные для конкретной деятельности риски и ИТ активы, которые их «порождают». Дополнительное внимание руководства можно акцентировать на этом документе, приведя в нем возможную величину среднегодового ущерба, перечислив уязвимости, которые будут способствовать появлению заданных рисков.

На этом оценка рисков не заканчивается. Высокоуровневая оценка, расставившая приоритеты, выявившая и обосновавшая группы рисков, которые имеют наибольшее значение для организации, может быть достаточной для организаций, с относительно низкой степенью зависимости от информационных технологий, для остальных же потребуется более низкоуровненая оценка.

Обработка информационных рисков

Оценка информационных рисков дает ответы на вопросы, связанные с информационными активами, направлением защиты от рисков, которым подвержены данные активы и то, от чего именно следует защищаться. После этого успех поставленных целей будет зависеть от того, какая стратегия защиты будет выбрана. Для того, чтобы наиболее оптимально выбрать стратегию защиты риск должен быть «разложен» на качественную и количественную составляющие.

Целью обработки рисков является выявление метрик, с помощью которых становится возможным уменьшить до приемлемого для организации уровня или устранить возможный ущерб.

Итогом процесса обработки риска должно стать решение о том, до какой степени детализации и дальнейших действий над ним, необходимо будет подвергнуть тот или иной риск. Данное решение должно быть принято ответственными исполнителями, в зависимости от имеющейся у них информации, и в дальнейшим пройти согласование с лицами, принимающими решение.

Виды анализа информационных рисков. Обзор

Каждый риск, в зависимости от изученности и степени влияния на анализируемую активность, должен подвергнуться определенному типу исследования. Чем с более сложным, комплексным и малоизученным риском сталкивается организация, тем более подробно он должен быть изучен и исследован.

На текущий момент, наиболее популярным и экономически оправданным является следующая классификация анализов рисков по типам работы над ними:

  • качественный;
  • количественный.

Качественный и количественный анализы являются взаимно дополняющими видами анализа, представляя собой последовательные этапы единого и самодостаточного процесса работы над рисками.

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту или процессу. При качественном анализе рисков определяются, описываются причины и факторы, влияющий на уровень данного вида риска и его влияние на деятельность в целом. Кроме того, желательно описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить дальнейшие варианты по работе над выявленными рисками. Стоимостная оценка может быть представлена виде абсолютной шкалы, так как цель качественного анализа рисков заключается в верхнеуровневом выявлении рисков.

Читайте также:  Статьи анализ прибыли и рентабельности предприятия

Данный тип анализа, как правило, проводится на стадии разработки бизнес-плана, а предварительное исследование рисков позволяет сформировать базисную информацию для начала работы над рисками. К дополнительным, но также весьма значимым, результатам качественного анализа следует отнести определение пограничных значений возможного изменения всех факторов (переменных) проекта, проверяемых на риск.

Количественный анализ рисков предполагает численное определение величин реализации отдельных рисков, выявленных в результате качественного анализа рисков. Методы количественного анализа рисков основаны на строгих математических алгоритмах (метод Монте-Карло), теории вероятности, математической статистике, теории исследований операций и т.д., которые реализуют и поддерживают определение числовых метрик, описывающих возможный потенциальный и явный ущерб от осуществления риска.

Для того, чтобы количественный анализ рисков был выполнен наиболее эффективно и смог достигнуть результатов своего выполнения необходимы два условия:

  • наличие проведенного базисного расчета проекта и его последовательностей;
  • проведение полноценного качественного анализа.

Таким образом, уместно будет отметить, что количественный анализ рисков выполняется только при условии выполненного качественного анализа рисков. Этот вид анализа является более дорогим и требовательным к исходным данным, по сравнению с качественным, что делает его менее доступным для широкой аудитории специалистов. Количественный анализ рисков целесообразен для выполнения только в крупных компаниях, заинтересованным в «зрелых» и качественных результатах деятельности по работе с рисками.

Выводы

Сегодняшняя статья стала введение в активность анализа рисков, послужив «мостом» между процессом оценки рисков и рассмотрением видов анализа рисков, проводить которые оправданно, в зависимости от целей процесса управления и анализа рисков, которые преследует организация, выполняющая данную активность.

Выбор конкретного метода анализа рисков, по нашему мнению, зависит от следующих факторов, влияющих на качество выполняемой деятельности:

  • Полнота и подробность информационной базы исследуемой области;
  • Требований к конечным результатам (показателям);
  • Уровень квалификации персонала;
  • Финансирование;
  • и т.д.

Для небольших проектов можно, а в некоторых случаях даже нужно, ограничиться простыми методами анализа рисков, которые оправданны окружением и видом процесса\проекта, для которого осуществляется анализ рисков. В случаях, для которых необходим более тщательный анализ рисков простыми методами будет не ограничиться, и следует привлечь более сложные методики.

Методы анализа рисков следует применять комплексно, используя наиболее простые из них на стадии предварительной оценки (качественный анализ), а сложные и требующие дополнительной информации — при окончательном обосновании выбранного пути проекта или процесса (количественный анализ).

В следующий раз мы посвятим большее количество времени и вашего внимания рассмотрению качественного анализа рисков, сосредоточив Ваше внимание на конкретных методиках и описанию активностей, способствующих данному анализу рисков.

Источник

Рискообразующие факторы: характеристика и влияние на риски.

Валерий Романов, Александр Бутуханов
Ульяновский Государственный Университет.
e-mail:valstorm@mail.ru
Статья опубликована в сборнике:
«Моделирование и Анализ Безопасности, Риска
и Качества в Сложных Системах, СПб. — НПО «Омега», 2001.»

Уровень риска зависит от множества факторов, как связанных с деятельностью компании, так и не зависящих от нее. Рискоообразующие факторы воздействуют на конкретные риски как избирательно, так и способны оказывать комплексное влияние на целые группы рисков. Наличие рискообразующих факторов интегрального воздействия требует разработки методологии комплексного исследования рисков.

Исследование риска, рискообразующие факторы, комплексный подход к исследованию рисков, классификация факторов риска.

Понятие рискообразующих факторов

Любая деятельность в условиях неопределенности характеризуется соответствующими этой деятельности видами рисков. Существующие риски разнообразны и могут быть разделены на множество категорий. Многогранность понятия риска обусловлена разнообразием факторов, характеризующих как особенности конкретного вида деятельности, так и специфические черты неопределенности, в условиях которой эта деятельность осуществляется. Такие факторы принято называть рискоообразующими, понимая под ними сущность процессов или явлений, способствующих возникновению того или иного вида риска и определяющих его характер.

На данном этапе исследований, посвященных проблеме управления рисками, внимание в основном уделяется формированию групп рискообразующих факторов, оказывающих воздействие на конкретные виды рисков. Причем основные усилия исследователей направлены на уточнение списка рискообразующих факторов для конкретных видов риска, а также на разработку методик оценки влияния этих факторов на динамику соответствующих рисков. В основном авторы рекомендуют при анализе факторов выявлять те из них, которые воздействуют на «конкретный вид риска»[1, с.60].

Количество учитываемых рискообразующих факторов достаточно велико. Как следствие, их классификация несоизмеримо сложнее классификации рисков. Так, разработчики системы управления рисками «Mark To Future» компании Algorithmics приводят таблицу, демонстрирующую соотношение отдельных групп рисков и воздействующих на них факторов. Согласно этой таблице, рыночные риски являются производными от 50 до 1000 факторов риска, на кредитные риски оказывают воздействие от 50 до 200 рискообразующих факторов, 20 – 500 факторов риска влияют на риски управления активами компании.

Отдельной проблемой является недостаточная активность российской экономической теории и практики по разработке рекомендаций для анализа отдельных видов рисков и их внедрению в деятельность экономических служб компаний и предприятий. К примеру, практически не исследованы климатические риски и факторы, воздействующие на них. В то же время, по исследованиям американских специалистов, в США климатические риски оказывают ощутимое воздействие на производство продукции стоимостью до одного триллиона долларов (из семи триллионов, составляющих ежегодный валовой продукт США).

Основные принципы классификации рискообразующих факторов

Исходя из определения риска, все рискообразующие факторы можно разделить на 2 группы:
· внутренние факторы, возникающие в процессе деятельности предприятия;
· внешние факторы, существующие вне компании.

К внутренним факторам следует отнести все те действия, процессы и предметы, причиной которых является деятельность компании, как в сфере управления, так и в сфере обращения и производства (основная, вспомогательная и обеспечивающая деятельность). В группу внутренних факторов обычно включают планомерность, целенаправленность и научный подход в деятельности руководства и соответствующих служб компании по разработке эффективной стратегии развития предприятия, оценочные характеристики надежности функционирования технической системы в компании, уровень образования персонала и пр.

К категории внешних факторов риска относят политические, научно-технические, социально-экономические и экологические факторы (следует отметить, что указанная трактовка факторов носит макроэкономический характер). Характерными внешними рискообразующими факторами являются торги на валютных биржах, поведение конкурентов, развитие НТП и пр.

Кроме того, представляется возможным классифицировать факторы риска по степени влияния компании на воздействие этих факторов. С этой точки зрения рискообразующие факторы можно условно подразделить на:
· объективные факторы — факторы, на которые предприятие, компания не может оказывать воздействие;
· субъективные факторы — факторы, регулируемые компанией.

Рискообразующие факторы и комплексный подход к исследованию рисков

Анализ направлений теоретических исследований в области эффективного управления рисками позволяет сделать вывод о том, что в этих исследованиях уделяется недостаточное внимание ряду проблем, недооценка которых при практическом использовании результатов теоретических исследований может привести к неполной или некорректной оценке влияния тех или иных рискообразующих факторов на соответствующие виды рисков.

Первая проблема заключается в том, что не акцентируется факт наличия целого ряда рискообразующих факторов, оказывающих воздействие, причем иногда взаимоисключающее, на динамику сразу нескольких видов рисков. Так, инфляция существенно влияет на валютные, кредитные и процентные риски в сфере вложений в ценные бумаги. Ухудшение политической ситуации, в свою очередь, ведет к повышению инвестиционных, политических, страновых рисков. Представляется целесообразным ввести понятие так называемых нейтивных (от англ. native – присущий) рискообразующих факторов, воздействующих только на конкретный вид риска, и интегральных (обобщенных) рискообразующих факторов, оказывающих влияние на риски сразу нескольких видов. Причем наличие в группе рискообразующих факторов для конкретного вида риска хотя бы одного интегрального фактора должно являться основанием для обязательного комплексного анализа всех связанных с ним видов рисков. Так, неточно определенный размер обеспечения кредита (один из факторов кредитных рисков) ведет к возникновению риска ликвидности и операционного риска, поскольку использование обеспечения «требует наличия комплексной информационной системы и значительных возможностей для внутреннего контроля»[10].

Вторая проблема состоит в представлении рискообразующих факторов только в качестве факторов прямого воздействия на конкретные виды рисков. Из поля зрения исследователей выпадает возможность диалектического перехода самого риска в категорию рискообразующего фактора, что требует разработки представления о рискообразующих факторах как о факторах прямого, так и опосредованного воздействия. Например, такой недостаток проявляется при попытках анализа рыночного и кредитного рисков без учета их взаимовлияния — «общая практика по-прежнему рассматривает рыночный и кредитный риски отдельно… что ведет к неполному отражению риска»[6, c.63]. В связи с этим представляется целесообразным ввести понятие так называемых рискообразующих факторов первого и второго уровня, соответствующих факторам прямого и опосредованного воздействия, а также провести исследования по систематизации рискообразующих факторов второго уровня и рисков, на которые эти факторы воздействуют.

>В экономической литературе приводятся два базовых подхода к исследованию рисков, подтверждающие наличие описанных выше проблем.

В первом случае прослеживается достаточно сильная тенденция к селективному анализу рисков с рассмотрением воздействия на них всех факторов. Однако при этом комплексное воздействие интегральных рискообразующих факторов на целые группы рисков игнорируется, что в значительной степени понижает эффективность формируемых рекомендаций по оптимизации исследуемых рисков.

Приверженцы второго подхода пытаются выявлять интегральные рискообразующие факторы для конкретных видов рисков, однако не просчитывают обобщенное воздействие таких факторов на группы ассоциируемых с ними рисков.

Назрела настоятельная необходимость внедрения комплексного подхода к исследованию рисков, в основе которого должна лежать идея «рассматривать… риски интегрировано, а не по отдельности, как было ранее»[8].

Интегральные рискообразующие факторы

Большинство рискообразующих факторов являются нейтивными, т.е. присущими конкретным рискам и не воздействующими на риски других видов. Примером нейтивного фактора является возможное понижение цен на золото, которое оказывает воздействие лишь на рыночные риски и никак не воздействует на организационные и технико-производственные риски.

В то же время существует ряд рискообразующих факторов, одновременно воздействующих на риски нескольких видов, или так называемые интегральные (обобщенные) факторы риска. Примером такого интегрального рискообразующего фактора является повышение цен на энергоносители, которое оказывает воздействие на рыночные риски, а также влияет на организационные (возможные сбои системы производства) и на кредитные риски (возможное повышение себестоимости продукции ведет к невозможности возврата кредита). Также к интегральным рискообразующим факторам необходимо относить динамику курса российского рубля. В случае повышения курса банк, имеющий активы в валюте, понесет убытки, что является следствием рыночного риска. Одновременно банк будет подвержен кредитным рискам, в случае, если он выдал или получил кредит в иностранной валюте.

В свою очередь, интегральные (обобщенные) факторы риска по уровню воздействия можно подразделить на интегральные рискообразующие факторы микроэкономического и макроэкономического уровня.

Читайте также:  Япония и Корея путь к новым отношениям

К числу интегральных рискообразующих факторов микроэкономического уровня, воздействующих на деятельность любого экономического субъекта (предприятие, банк, страховая компания и пр.), предлагается относить:
· недобросовестность или профессиональные ошибки партнеров (третьих сторон);
· недобросовестность или профессиональные ошибки сотрудников компании;
· ошибки программного обеспечения;
· противоправные действия сотрудников компании и третьих лиц (хищения, подлоги и т.д.);
· ошибки технологического процесса;
· уровень менеджмента.

К числу интегральных рискообразующих факторов макроэкономического уровня, предлагается относить:
· изменение курса рубля по отношению к ведущим мировым валютам;
· уровень инфляции;
· изменение ставки рефинансирования ЦБ РФ, LIBOR, MIBOR и пр.;
· изменение цен на энергоносители;
· изменение ставок налогообложения;
· изменение климатических условий.

Резюмируя вышесказанное, следует отметить, что на конкретный риск может оказывать воздействие значительное количество рискообразующих факторов. Одни из них являются нейтивными (уникальными) факторами этого риска, другие – интегральными, которые воздействуют одновременно и на другие риски.

Сильна тенденция к рассмотрению интегральных факторов рисков без учета их воздействия на другие риски. С другой стороны, ряд исследователей не вполне обоснованно пытается перенести воздействие нейтивных рискообразующих факторов конкретных рисков на целые группы рисков. Кроме того, практически не рассматривается возможность диалектического перехода самого риска в категорию рискообразующего фактора.

Комплексный подход к исследованию рисков, т.е. учет воздействия на риски как рискообразующих факторов первого уровня (нейтивных и интегральных), так и факторов второго уровня, позволит повысить эффективность управления рисками.

Список использованной литературы

1. Грабовой П.Г., Петрова С.Н., Полтавцев С.И., Романова К.Г., Хрусталев Б.Б., Яровенко С.М. Риски в современном бизнесе. М.:Аланс, 1994, 200 с.
2. Гранатуров В.М. Экономический риск: сущность, методы измерения, пути снижения. — М: Дело и Сервис, 1999. 112 с.
3. Рэдхэд К., Хьюс С. Управление финансовыми рисками. — М.: Инфра-М, 1996. 228 с.
4. Ceske R. Operational Risk: Current Issues and Best Practices. — NetRisk, Garp. July 28, 1999.
5. CorporateMetrics Technical Document. — RiskMetrics Group. April 1999.
6. Dembo Ron S., Aziz Andrew R., Rosen D., Zerbs M. Mark To Future. A Framework for Measuring Risk and Reward. — Algorithmics Publications. May 2000.
7. Greg M. Gupton, Christopher C. Finger, Mickey Bhatia. CreditMetrics – Technical Document. — J.P. Morgan & Co. Incorporated. April 2 1997.
8. H. Felix Kloman. Integrated Risk Assesment. Current Views Of Risk Management.

9. Levine M., Hoffman D. Enriching the universe of operational risk data getting started on risk profiling. Operational Risk, London, Infroma Business Publishing 2000 pp. 25-40
10. Overview: Credit risk.

Источник



Как провести анализ рисков бизнеса?

Каждый бизнес встречается с рисками, которые иногда приводят к серьезным потерям. Все предусмотреть нельзя, но большинство угроз реально спрогнозировать и подготовить способы решения. Мы узнали у предпринимателей, как анализ рисков помогает остаться на плаву.

Содержание статьи

Что такое анализ рисков бизнеса

Если говорить просто, то это план действий для кризисных моментов. Риски прописывают на этапе запуска в бизнес-плане или инвестиционном проекте. На основе анализа рассчитывают финансовую модель, потому что угрозы влияют на окупаемость.

Риски учитывают и в работающем бизнесе. Например, предприниматель открыл ларек с шаурмой в марте 2020 года, а уже в апреле произошел локдаун. Кухню не подготовили к работе на доставку, посетителей принимать нельзя, и бизнес встал. По идее даже такую ситуацию нужно предвидеть, чтобы избежать проблем.

Аналитик компании 3DAnalytics Денис Загребиль считает, что в пандемию обострились регуляторные риски:

В риск-анализе прописывают 4 основных параметра:

  • Вероятность. Возникновение пандемии спрогнозировать маловероятно, а вот штрафы контролирующих органов в общепите случаются не так уж и редко.
  • Степень воздействия. Здесь прогнозируют потери бизнеса от возникновения рисков. МЧС может оштрафовать, а Роспотребнадзор закрыть точку до устранения недоработок. Нужно посчитать, сколько денег теряет компания в этом случае.
  • Ответственный. Этот человек предотвращает риски или минимизирует последствия.
  • Бюджет. Риски — это всегда затраты, и лучше продумать заранее, как компенсировать потери.

Какие риски бывают в бизнесе

У каждого бизнеса свой круг рисков, поэтому лучше открывать дело в сфере, в которой разбираетесь. Так проще определить круг потенциальных угроз. Но обычно выделяют 6 типов рисков.

Внутренние

Эти угрозы появляются от действий руководства или сотрудников. Например, компания дала таргетированную рекламу в соцсетях. Клиенты начали задавать вопросы в личных сообщениях, а менеджер односложно отвечает, не выводит на диалог, не задает вопросы. В итоге реклама привела потенциальных покупателей, но по вине сотрудника продажи не состоялись.

Производственные

На производстве происходит брак из-за человеческого фактора или некачественного сырья. Или завод встал из-за аварии на подстанции, а оборудование вышло из строя.

Финансовые

Это все, что связано с деньгами. Например, компания отправила продукты в розничные магазины, а те не расплатились в срок. Или предприниматель потратил деньги поставщиков на покупку машины, а у него не осталось средств, чтобы расплатиться по обязательствам.

Страховые

Есть случаи, которые можно заранее предусмотреть и застраховать: пожар или воровство оборудования. Бизнес несет затраты на страховку, но если риски произойдут, то предприниматели получат компенсацию.

Коммерческие

Эти угрозы влияют на реализацию товаров или услуг. Например, магазин одежды столкнулся с тем, что клиенты предпочитают покупать в интернете. Или веб-студия не находит клиентов, потому что конкуренты делают сайты дешевле.

Внешние

На эти условия предприниматель не может повлиять: изменения в законодательстве, пандемия или нововведения в налоговой системе. На последнем стоит остановиться чуть подробнее. В 2021 году предприниматели столкнулись с тем, что государство отменило режим ЕНВД, а взамен предложило измененный патент. Но, как правило, патент в регионах обходится дороже, чем «вмененка». И это несмотря на то что власти разрешили уменьшать стоимость на сумму страховых взносов.

В ФНС стали строже следить за предпринимателями и обоснованностью сделок. С 2021 года налоговики изменили алгоритмы проверки 6-НДФЛ, чтобы видеть предпринимателей, которые платят меньше средней зарплаты по отрасли. То есть если сотрудники получают небольшую официальную зарплату, то ФНС может прислать требование с просьбой указать причины.

Основатель «Школы Профессионального Владельца бизнеса» Оксана Дажун считает, что предприниматели должны обращать пристальное внимание на налоговые риски:

  • Сформулировать проблему — то, что может быть эффективно.
  • Сформулировать риск — то, что может случиться, если ничего не делать.
  • Сформулировать цель — до какого состояния мы хотим и можем снизить риск.
  • Сформулировать мероприятия по управлению рисками — что мы будем делать.
  • Назначить ответственного за каждый риск.
  • Установить конечные и контрольные сроки воздействия на риск.
  • Коллегиально установить вероятность наступления риска по 10-балльной шкале.
  • Коллегиально установить глубину последствий риска по 10-балльной шкале.
  • Определить степень риска и категорию реагирования.
  • Внести мероприятия в общий стратегический план мероприятий, индивидуальные СМАРТ-задачи»

Денис Загребиль считает, что риски у каждого бизнеса разные, но некоторые встречаются чаще:

Как оценивать риски в бизнесе?

Для этого нужно погрузиться в бизнес-процессы и понять слабые места. Учебники по бизнесу выделяют 5 основных методов проведения риск-анализа.

Качественная оценка

Это таблица, где риски распределяют по степени возникновения:

  • Высокий;
  • Средний;
  • Низкий.

После этого прописывают, как компания реагирует на каждый из рисков. Например, предприниматели заранее знали про отмену ЕНВД. Соответственно, за год до этого продумывали действия для бизнеса: выбор системы налогообложения, сокращение издержек, смена торговых точек.

Руководитель компании «Понимай Франчайзинг» Олег Шатилов проводит качественную оценку перед каждым запуском франшизы:

Метод аналогий

Это сравнение рисков на базе реализованных проектов такой же тематики. Пилорама запускает производство пеллетов, а коммерческий директор работал на таком заводе в прошлом. Он расскажет, с какими рисками столкнется пилорама и как их избежать. Для этого метода пригодятся сторонние эксперты, которые запускали такие проекты и знают подводные камни.

Коммерческий директор предприятия «Люкшудьинский леспромхоз» Александр Труфанов считает, что общение с конкурентами помогает понять будущие проблемы:

Контрольные списки источников рисков

Когда компания развивается, она накапливает опыт ошибок и проблем. Руководители заранее знают, с чем столкнутся на определенных этапах масштабирования. Например, пиццерия продает франшизу в разные города, и контрольный список поможет заранее понять опасности. Составляйте чек-лист проблем, который пополняется с каждым новым проектом.

Метод рейтинговых оценок

Это способ, когда ставят рискам оценки по пятибалльной или десятибалльной системе. Если государство собирается ужесточить наказание в области налогов, то риску ставят оценку 5. Значит, в ближайшее время придется вместе с бухгалтером оптимизировать налоги и учет, чтобы не привлекать внимание ФНС. Если у производства 3 постоянных поставщика и 2 в запасе, то угроза остановки не грозит. Этому риску ставят оценку 1 и не принимают срочных решений.

Метод экспертных оценок

Для этого метода привлекают сторонних экспертов: аналитиков, юристов, технологов. Выбор зависит от направления бизнеса. Каждый эксперт делает анализ рисков бизнеса по своей деятельности и определяет влияние на развитие проекта.

Если говорить про малый бизнес, то не всегда предприниматели проводят риск-анализ по методикам. Часто это происходит по наитию и на основе опыта. Денис Загребиль считает, что этот подход не совсем верен:

А эксперт по франчайзингу Евгений Талдыкин считает, что с риск-анализом справится руководитель и сотрудники:

Как запустить процесс анализа бизнес-рисков

Определить риски для бизнеса не так сложно. Не стоит бояться научных названий и думать, что без специалистов не обойтись. Конечно, в некоторых случаях нужны эксперты, но основную работу проводят руководители и сотрудники компании.

  • Определите внутренние риски. У бизнеса есть цели и задачи. Выясните, что мешает выполнению плана на каждом этапе.
  • Сделайте базу рисков компании. Пропишите информацию про все риски, которые угрожают развитию. Распределите их по уровню опасности.
  • Назначьте ответственных. Руководитель не сможет контролировать все опасности. Поэтому делегируйте задачи сотрудникам, они на своем участке будут следить, чтобы риски не нанесли урон бизнесу.
  • Решите, как управлять рисками. Ответственные должны знать, на что обращать внимание при работе с рисками: как уменьшить опасность и что делать при возникновении.
  • Обновляйте базу рисков. Бизнес постоянно развивается и появляются новые опасности. Поэтому регулярно обновляйте базу данных, чтобы была полная картина опасностей и способов решений.

Пример таблицы для контроля бизнес-рисков

Оксана Дажун считает, что эффективный анализ рисков бизнеса прежде всего зависит от руководителя:

Анализ рисков бизнеса помогает предпринимателям подготовиться к возникновению проблем. Если подходить к этому системно, то у бизнеса появится защита от неожиданных потерь.

Источник