№10(21)(2013)

Усвідомлюючи загальні недоліки системи, внутрішні аудитори можуть допомогти своїй організації найбільше відповідати очікуванням власників та керівництва і, відповідно, забезпечити досягнення бізнес-цілей.

Чому впровадження та реалізація управління ризиками часто не задовольняють очікування керівництва? І чому вище керівництво відчуває, що його інвестиції в системи управління ризиками не забезпечують очікуваної винагороди та прибутку? Багато факторів, що приховуються в різних галузях організації та її системах, є цьому причиною. Проте найчастіше проблема зводиться до низки загальних дисфункцій.

Зокрема, десятьма ключовими підходами регулярно нехтують в організаціях у різних галузях і регіонах, а також у великих і малих бізнесах. Успішне застосування заходів у цих галузях може сприяти більш ефективній здатності організації до розгляду питання невизначеного майбутнього, поліпшити процес прийняття рішень, а також підвищити надійність періодичного прогнозування. Відповідно, ці заходи покращать здатність організації робити прогнози, в результаті чого зміцниться впевненість відповідального керівництва. Розуміння наріжних каменів, а також рекомендації до вирішення таких проблем можуть забезпечити внутрішнім аудиторам міцне підґрунтя для надання допомоги в поліпшенні управління ризиками в їхній організації.

ЗАДАВАЙТЕ КЛЮЧОВІ ПИТАННЯ

Спостереження
Зазвичай обговорення питань управління ризиками не розвивається у відповідь на питання: «Як ми можемо покращити управління ризиком, або як краще задовольняти очікування власників та виконавчого керівництва?». Насправді часто питання об’єктивного сприйняття зовнішнього клієнта взагалі не потрап­ляє до кола уваги. Питання на кшталт «Наскільки корисними будуть такі конкретні заходи контролю для наших зовнішніх клієнтів?» не задаються, хоча клієнти є ключовими зацікавленими сторонами і очікується, що організація створюватиме і зберігатиме для них вартість.

Рекомендація
Залишення питань «під контролем» є відносною концепцією в непередбачуваному світі. Не існує безризикових організацій або менеджерів, які не роблять помилок. Презентуючи стратегії та плани, вище керівництво повинно усвідомлювати, що майбутнє є апріорі невизначеним і що його нескінченні можливості є складними для того, щоб хто-небудь міг передбачити його з великою точністю. Замість підтримки ілюзії, що майбутнє можна повністю зрозуміти або що воно знаходиться під контролем, вище керівництво має виявляти мужність і чесність, надаючи нову інформацію, побудовану на останніх прогнозах, основним зацікавленим сторонам.

БУДУЙТЕ НАЛЕЖНУ КУЛЬТУРУ

Спостереження
Організацією управляє владна людина, яка має мало інтересу або толерантності до висновків інших. Коли відбуваються негативні події, перша реакція керівника – відшукати винних, а не намагатися навчитися на помилках. Відповідно, менеджери і рядові співробітники вважають за краще не розголошувати проблемні питання якомога довше, створюючи культуру, коли набуття досвіду на помилках не цінується і самозбереження є основним способом поведінки. Крім того, Рада директорів надає нечітку інформацію щодо їхніх очікувань стосовно прийнятного ризику.

Рекомендація
Культура організації виграє від чіткого розуміння того, що очікується від керівників і рядових співробітників. Необхідно пояснити, що являє собою прийнятна поведінка, а що ні, встановивши діапазон припустимих відхилень від заявлених цілей (тобто ризик толерантності). Рада директорів повинна ініціювати відкриті обговорення рівня внутрішнього контролю, для того щоб реалізувати очікування зацікавлених сторін. При цьому вище керівництво має підтримувати навчання, беручи до уваги помилки, яких компанія припускається, а не «розривати на шматки» винних. Насамперед вище керівництво має подавати приклад – необхідну умову ефективного управління ризиками.

ВИСВІТЛЮЙТЕ ОБОВ’ЯЗКИ ТА РОЛІ

Спостереження
Вище керівництво нечітко визначило відповідальність за досягнення бізнес-цілей, зокрема тих, що пов’язані з виконанням комплаенс-вимог. Невпевненість існує відносно того, хто відповідає за розробку політик і процедур, що застосовуються у всій організації. Вище керівництво більше покладається на докладні політики та процеду­ри, ніж на досвідчених людей із здоровим глуздом, а лінійні менеджери ототожнюють «мати під контролем» з виконанням розширених керівництв та протоколів, встановлених службами центральної підтримки, навіть якщо ці процедури не дають бажаних результатів. Більше того – бізнес-менеджери несуть відповідальність за свої результати тільки певною мірою. Їхні керівники рідко переймаються простим, ключовим питанням: «Наскільки ви можете бути впевнені, що ті узгоджені цілі, яких ви збираєтесь досягти, не принесуть вам неприємних сюрпризів у наступному періоді?».

Рекомендація
Організація виграє від створення структурованого процесу управління своїми статутами, протоколами, інструкціями та іншими ключовими політиками і процедурними документами. Вище керівництво має уникати надання багатьом окремим внутрішнім регуляторам і службам спеціалізованого персоналу права незалежно видавати «правила внутрішнього розпорядку» без спільної координації і послідовності в їхніх підходах. Вони також повинні чітко визначати, що вирішується на корпоративному рівні (наприклад, централізовані закупівлі), на противагу тому, що залишено на розсуд локального керівництва. Крім того, вище керівництво повинно організувати «перевірку реального стану речей» від бізнес-менеджерів при розробці та впровадженні нових правил організації, намагаючись запобігати розповсюдженню «правил надлишкової повноти». Ефективна політика управління нівелює розходження, збіги і невідповідності в організації правил внутрішнього розпорядку і є ефективною основою управління бізнесом. Вона дає змогу внутрішнім аудиторам використовувати цю основу як прозоре посилання, згідно з яким необхідно виконувати перевірки.

ВИКОРИСТОВУЙТЕ НАЛЕЖНІ СИСТЕМИ ВИНАГОРОДЖЕННЯ

Спостереження
Бізнес-менеджери знаходяться під надмірним тиском через досягнення цілей, які є нереальними. Крім того, вище керівництво сприяє прийняттю надмірних ризиків, винагороджуючи це увагою, бонусами, кар’єрним просуванням та іншими формами компенсації.

Рекомендація
Політики адекватного винагородження необхідні для спрямування поведінки людей у потрібному напрямку. Вище керівництво має бути прикладом і повинно прий­мати тільки такі компенсаційні пакети для себе, які узгоджуються з довгостроковими інтересами організації. Це дасть можливість заохочувати менеджерів та інших співробітників приймати поставлені цілі та діяти для їх досягнення.

ФОКУСУЙТЕСЯ НА БІЗНЕС-ЦІЛЯХ

Спостереження
Діяльність організації з управління ризиком не пов’язана зі стратегічним порядком денним Ради директорів, яка зазвичай включає в себе очікування Ради директорів відносно зростання, ефективності, інновації, стандартизації і стабільності. До того ж, існує плутанина щодо того, як організація забезпечить вартість для кожного окремого сегменту зацікавлених сторін і що бізнес-цілі недостатньо відповідають принципу «SMART» (конкретні, вимірювальні, досяжні, актуальні та вчасні), щоб оцінити фактичний прогрес у досягненні цілей. Вище керівництво має низький рівень мотивації для вирішення цієї ситуації, оскільки неправильно сформульовані цілі ускладнюють притягнення до відповідальності за результати діяльності.

Рекомендація
Основною метою управління ризиками, внутрішнього контролю, внутрішнього аудиту, а також діяльності інших допоміжних служб є сприяння реалізації цілей організації. Вище керівництво повинно підкреслювати, що ці цілі спрямовані на створення і збереження вартості для ключових зацікавлених сторін. Останні, зреш­тою, мають найважливіше значення для продовження існування організації.

ВИЗНАЙТЕ ОБМЕЖЕННЯ ОЦІНКИ РИЗИКУ

Спостереження
Програма управління ризиками орієнтована на визначення, категоризацію та зважування всіх видів і типів ризиків, але не на активне управління невизначеністю, пов’язаною з досягненням бізнес-цілей. У зв’язку з широким використанням профілів ризику, переліку топ-10 ризиків та інших інструментів категорії ризику стають «кінцевим результатом» замість «засобів». Крім того, вище керівництво вважає або робить вигляд, що на рівні організації кількісне вимірювання ризику є обґрунтованим, не беручи до уваги той факт, що побудова всеохоплюючої моделі ризику неможлива. Насправді важко визначити кореляцію між багатьма факторами ризику, часто не вистачає суттєвих даних, а бази даних щодо втрат мають обмежене застосування, щоб спрогнозувати майбутнє, і ефективність заходів контролю, що використовувалися у минулому, не дає гарантії в майбутньому.

Рекомендація
З оцінки ризику випливають прості висновки щодо майбутнього. Цьому аналізу значною мірою надають забарвлення такі фактори, як особисті уподобання, знання, останній досвід, а також риси характеру тих, хто його здійснює. Крім того, оцінка ризику не повинна бути односторонньою. Для того щоб визначити, наскільки організація готова впоратися із завданнями в майбутньому, такий аналіз має включати питання, які б могли сприяти реалізації бізнес-мети (можливостей) на додаток до тих, які потенційно ускладнюють досягнення цілей (ризики). Вище керівництво має комплексно ставитися до управління ризиками (робота з подіями, які могли статися) і управління інцидентами (робота з подіями, які відбулися). Вони повинні задати питання: «Наскільки добре навчена наша організація з погляду опрацювання серйозних інцидентів, якщо вони відбудуться?» і «Наскільки добре організований наш цикл безперервної діяльності?». Вони також повинні переконати бізнес-менеджерів у необхідності комплексного підходу до завчасного реагування як на ризики, так і на інциденти, для того щоб підтримувати основу контролю бізнесу придатною для його цілей.

ЗАОХОЧУЙТЕ БІЗНЕС-МЕНЕДЖЕРІВ СКОРИСТАТИСЯ ДОСВІДОМ ФРОНТ-РОБІТНИКІВ ТА ЗНАННЯМИ РИЗИК-МЕНЕДЖЕРІВ І ВНУТРІШНІХ АУДИТОРІВ

Спостереження
Системи управління ризиками, в основному, включають служби підтримки, такі, як: управління ризиками, внутрішній контроль, якість управління, охорона здоров’я і безпека, інформаційна безпека, забезпечення отримання доходів і внутрішній аудит. Керівники середньої ланки, яким доводиться урівноважувати ризики і винагороди при прийнятті бізнес-рішень, явно не беруть участі в цьому процесі. У найкращому випадку, очікується, що керівники проектів включатимуть окремий розділ ризику у свої плани проекту. Проте частіше за все цей розділ містить тільки очевидні, загальні ризики. Служби підтримки, як правило, зосереджені на впровадженні та налаштуванні відповідності заходів, а також вони, здається, незначно переймаються щоденною боротьбою бізнес-менеджерів, що обслуговують своїх вимогливих клієнтів. Ці служби, як правило, класифікують світ на «лінії оборони». Отже, вони говорять іншою мовою, ніж їхні колеги, які спілкуються з клієнтом та зайняті «атакуванням ринку» і «завоюванням його частки».

Рекомендація
Аналіз ризиків має забезпечувати більш врівноважений погляд на майбутнє, ніж той, якому надають перевагу бізнес-менеджери – іншими словами, він повинен передбачати можливості. Менеджери вищої ланки повинні не давати змогу службам підтримки розглядати зниження ризиків як найбільш важливу стратегію. Вони мають пояснювати, що є альтернативи «обнесенню бізнес-процесів огорожею» з багатьма профілактичними заходами і кращі способи усунення ризиків, ніж просто збільшення контролів.
Керівники середньої ланки не повинні мати відчуття, ніби зобов’язання щодо управління ризиками – це думка, що з’явилася занадто пізно, або що воно являє собою просто відволікання їх від «реальної роботи». Рада директорів має організувати мозковий штурм перед початком реалізації стратегій, планів і проектів, для того щоб встановити, чи є існуюча система контролю бізнесу досить надійною для досягнення організацією поставлених цілей. Рада директорів повинна також просити вище керівництво пояснити ступінь, у якому досягнення цілей організації (в контексті якості, часу і грошей) є невизначеним, що є основним питанням для зацікавлених сторін. Водночас вище керівництво має заохочувати бізнес-менеджерів скористатися знаннями ризик-менеджерів та внутрішніх аудиторів. Ці експерти широкого профілю повинні мати своє місце за столом, коли планується придбання іншої компанії, розробляються нові продукти або освоюються нові ринки. Пошук нових можливостей для бізнесу має супроводжуватися серйозною дискусією про ризики, пов’язані з часто перебільшеними перспективними оцінками результатів, що обіцяються.

ВИМАГАЙТЕ ІСНУВАННЯ ЦІЛІСНОЇ УПРАВЛІНСЬКОЇ ІНФОРМАЦІЇ

Спостереження
Вище керівництво отримує окремі періодичні звіти з різних служб підтримки щодо рівня продуктивності діяльності, наявного ризику, інцидентів і тенденцій. Проте цілісний звіт, який забезпечував би загальне уявлення щодо поточного та очікуваного рівнів ефективності контролю організації, не формується в кон­тексті установи, країни, каналу обслуговування, місця розташування тощо. Отже, вищому керівництву залишається отримувати чітке розуміння реальної ситуації з багатьох окремих звітів, які іноді суперечать один одному.

Рекомендація
Вище керівництво повинно вимагати єдиних цілісних звітів, тим самим очікуючи від численних служб спільної роботи для надання цієї інформації. Метою такого підходу має стати створення спільної точки зору щодо того, наскільки були досягнуті бізнес-цілі в попередньому періоді та наскільки бізнес-цілі будуть досягнуті в наступному періоді. Вище керівництво повинно наполягати на тому, щоб ті, хто надають інформацію, використовували сучасні інструменти та методи аналізу доступних бізнес-даних. Вони мають стежити за ефективністю системи контро­лю, яка ґрунтується, насамперед, не на перевірці виборки, а на aналізі великих обсягів операцій. Вони повинні застосовувати постійний моніторинг рухів транзакцій для виявлення порушень і негативних тенденцій та своєчасного розроблення надійних контролів бізнесу, спрямованих на зниження невизначеності при прийнятті управлінських рішень.

ПЕРЕКОНАЙТЕСЯ, ЩО ПРАВИЛА РЕАЛІСТИЧНІ
ДЛЯ ВПРОВАДЖЕННЯ

Спостереження
В організації багато хитромудрих правил, розроблених фахівцями, здатними видати найбільш технічно-передові політики та процедури (наприклад, у галузі інформаційної безпеки). Однак ці правила занадто складні для того, щоб лінійні менеджери могли трансформувати їх і включити до своєї щоденної діяльності, що ускладнює їх реалізацію. Крім того, існують значні недоліки, розкриті аудитом, пов’язані з необхідними контролями; важливі результати аудиту не сприймаються серйозно, і залишається без покарання те, що менеджери не виконують належним чином плани поліпшення.

Рекомендація
Керівники організації повинні наполягати на впровадженні чітких правил внут­рішньої роботи організації, які можуть бути реально виконані на практиці. Рівень їхньої деталізації залежить від таких факторів, як філософія управління, розвиток бізнес-процесів, галузева практика, очікування з боку регуляторів, а також реєстраційні вимоги. Вище керівництво повинно організувати підтримку зайнятих лінійних менеджерів при тлумаченні корпоративних політик мовою конкретних заходів у їхніх бізнес-процесах. Якщо вони хочуть, щоб правила сприймалися серйозно, то також повинні показувати, що їх порушення має наслідки.

БУДУЙТЕ РОБОТУ ВНУТРІШНЬОГО АУДИТУ ВІДПОВІДНО 
ДО БІЗНЕСУ

Спостереження
Зазвичай оцінка ризику, підготовлена як частина річного плану аудиту, не відповідає аналізу ризиків, що був здійснений всіма службами організації з метою управління бізнесом. Внутрішній аудит має сумніви щодо здатності інших служб підтримки колективно розробляти і впроваджувати належні внутрішні контролі. Не бажаючи втратити об’єктивність, внутрішні аудитори утримуються від висловлення думки щодо структури системи контролю. При виконанні своїх перевірок вони надають перевагу використанню власних норм і кращих, на їхню думку, практик замість погоджених систем контролю бізнесу – на великий подив і невдоволення їхніх клієнтів та колег з інших служб підтримки.

Рекомендація
Керівник внутрішнього аудиту повинен чітко розуміти той внесок, який за його або її очікуванням робить внутрішній аудит для реалізації цілей організації. Вище керівництво має залучати внутрішній аудит як довіреного консультанта для надання допомоги у встановленні правил внутрішньої роботи організації. Чим більш розвинутими стають правила, тим ефективніше внутрішній аудит може надати незалежне підтвердження достовірності інформації. Внутрішні аудитори повинні показати, що вони розуміють, які ризики при правильному управлінні дають їхній організації значну конкурентну перевагу. Вони повин­ні з радістю сприймати труднощі активного опрацювання інформації про те, як їхня організація отримує довіру, повагу та фінансову підтримку ключових зацікавлених сторін.