Почему возникла данная страничка?

К сожалению, непонятки по темам, которым посвящен данный сайт, начинаются уже с определений. Первоначально я задумывал данную страничку примерно следующим образом: сначала дать «правильные» определения, потом привести несколько «неправильных» (со ссылками и авторами), и объяснить, почему «неправильные» определения неправильны. Но знакомство с энторнетом показало, что он заполнен «неправильными» определениями чуть менее, чем полностью. И, к сожалению, всех авторов особого, как говорил М.С. Горбачёв, мЫшления, прославить затруднительно. Наберите в яндексе «управление рисками», «внутренний контроль» (особенно) или «внутренний аудит», посмотрите хотя бы первых страничек пять – все станет понятно. Естественно, много ссылок на рефераты (и кто-то же это сдает!), но есть и публикации людей, которым должно, на мой взгляд, быть стыдно такие измышления в интернете выкладывать (хотя бы из-за регалий).

Чтобы никого не обижать, я отказался от идеи бесполезных ссылок, а решил, помимо публикации «правильных» определений, сделать таблички с типовыми заблуждениями и их опровержениями.

Для владельцев бизнеса рекомендую сразу переходить к разделам о типовых заблуждениях:

про управление рисками;

про внутренний контроль;

про внутренний аудит.

Что такое риск? Что такое управление рисками?

С определением риска и риск-менеджмента сложностей значительно меньше, чем с определением внутреннего контроля и внутреннего аудита.

Определения из разных стандартов.

На русском в области управления рисками есть 4 известных мне стандарта. Определения из них разумны, можно пользоваться любым. Определения, которые можно найти в интернете, в целом безобидны, откровенная ересь видна сразу, можно повеселиться. Хотя пассажи типа «риск-менеджмент» и «менеджмент риска» на одной странице веселят – см., например, здесь (вообще, преинтереснейший сайт. На сайте выскакивает предупреждение при попытке копирования. Сами нагло стащили мой текст для одной бизнес-школы, причем почему-то не стали перепечатывать все, а оборвали в том месте, где начинается интересно).

Стандарт COSO ERM.

Как такого определения риска нет, есть раздел «События – риски и возможности». Оригинальный абзац в переводе Института внутренних аудиторов РФ:

Влияние событий может быть положительным, отрицательным или смешанным. События, влияние которых является отрицательным, представляют собой риски, которые мешают созданию или ведут к снижению стоимости. События, влияние которых является положительным, могут компенсировать отрицательное влияние рисков, а также могут положительно влиять на достижение результата. Возможность – это вероятность возникновения события, которое окажет положительное воздействие в процессе достижения поставленных целей и будет способствовать созданию или сохранению стоимости. <…>

А вот определение управления рисками очень хорошее, мне нравится то, что прямо упомянут риск-аппетит:

Управление рисками организации – процесс, осуществляемый Советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации.

ГОСТ Р51897-2002. Менеджмент риска. Термины и определения.

Риск – сочетание вероятности события и его последствий.

Менеджмент риска – скоординированные действия по руководству и управлению организацией в отношении риска.

Стандарт ISO31000. Риск-менеджмент, принципы и руководства.

Риск – влияние неопределенности на цели.

Риск-менеджмент – скоординированные действия для того, чтобы направлять и контролировать организацию в отношении рисков.

Стандарт FERMA.

Риск – комбинация вероятности события и его последствий.

Риск-менеджмент – центральная часть стратегического управления организацией. Это процесс, следуя которому, организация системно анализирует риски каждого вида деятельности с целью максимальной эффективности каждого шага и, соответственно, всей деятельности организации в целом.

Мне больше всего нравится стандарт FERMA, именно определение из него я буду использовать.

Типовые заблуждения об управлении рисками.

Заблуждение

Опровержение

Управление рисками применимо только для банков, финансовых и страховых компаний

Риск-менеджмент может (а в крупном бизнесе – должен) быть внедрен в любом бизнесе. Просто в перечисленных компаниях без него совсем тяжело.

Риск – понятие финансовое. Есть ограниченное количество рисков: процентный, валютный, рыночный, …

При нормальной постановке системы управления рисками формулировку риска Вы выбираете сами. Приведенные риски касаются только финансовых рисков (FERMA). А в соответствии со стандартом еще есть стратегические риски, операционные риски и риски опасностей.

Риск – это то, что можно застраховать.

Большинство рисков застраховать нельзя, ими нужно управлять на уровне организации.

Применение риск-менеджмента возможно только при понимании высшей математики.

Для топ-менеджера высшую математику знать не нужно. Стратегические риски являются самыми важными, оценить их с помощью разного рода математического моделирования невозможно. Для банков – да, полезно понимать всякие VaR. Но работу всей математики очень хорошо показывают кризисы.

Риск-менеджмент – это веселые картинки, его полезность сомнительна.

К сожалению, управление рисками действительно часто ограничивается веселыми картинками (картами рисков). Проблема в том, что именно на этапе этих картинок заканчивается относительно простая часть (анализ рисков) и начинается сложная (системная работа по управлению рисками). Понятное дело, что заниматься этим в рамках бытовой текучки не хочется, да и консультанты после картинок заканчивают работу. Именно поэтому риск-менеджмент часто неэффективен. При этом есть примеры, которые показывают эффективность именно стратегического риск-менеджмента.

Риск-менеджмент позволяет снизить только незначительные риски, со значимыми рисками работать практически невозможно, проблемы будут повторяться.

Такое мнение возникает потому, что проще управлять операционными рисками, чем стратегическими. Менеджмент в подавляющем этим и занимается. В принципе полезно, но основная полезность риск-менеджмента – в изменении стратегии, подходов к управлению, то есть в принятии решений для управления рисками (покупка /продажа активов, развитие каких-либо сегментов с отказом от других, изменение системы управления и т.п.).

Что такое внутренний контроль?

Определение внутреннего контроля.

Единственное определение, которое издано солидной организацией – это определение из стандарта COSO IC IF. Оно единственно верное (потому что правильное), рекомендую пользоваться именно им.

Внутренний контроль – процесс, осуществляемый Советом директоров, руководством и другим персоналом организации, направленный на получение разумной уверенности в том, что будут достигнуты цели по: 

  • экономичности и эффективности операций (effectiveness and efficiency of operations);

  • достоверности отчетности;

  • соответствию требованиям (compliance).

Типовые заблуждения о внутреннем контроле.

Заблуждение

Опровержение

Внутренний контроль = (≈) внутренний аудит.

Нет, нет и нет. Внутренний контроль – это процесс для достижения определенных целей (перечислены в определении). Внутренний аудит подтверждает эффективность внутреннего контроля.

Внутренний контроль (на практике) осуществляется внутренними аудиторами.

Внутренние аудиторы только подтверждают эффективность внутреннего контроля (а также управления рисками и корпоративного управления). Постановка внутреннего контроля – задача менеджмента (хотя квалифицированный внутренний аудитор может и должен помочь, при этом не теряя независимости).

Внутренний контроль – это что-то близкое к службе безопасности (пропускной режим, экономическая безопасность и т.п.).

Служба безопасности, естественно, исполняет функции внутреннего контроля. Однако она является только «одним из» элементов полноценной СВК.

Внутренний контроль – прерогатива финансовых организаций (банки, страховые компании и т.п.).

Наличие подразделения внутреннего контроля – одно из законодательных требований к данным организациям, причем существуют подзаконные расширенные требования. Для «обычного» бизнеса такое требование предусмотрено ФЗ «О бухгалтерском учете», но ответственности за его отсутствие нет. Это не значит, что внутренний контроль не нужен (см. последнюю строку в этой таблице).

Внутренний контроль – это корректность правильности формирования отчетности.

Посмотрите на определение, это только одна из целей. Не менее важная – эффективность и экономичность операций.

Внутренний контроль осложняет и затрудняет деятельность организации.

Система внутреннего контроля должна соответствовать масштабу бизнеса. Да, в маленьком бизнесе большую часть договоров может подписывать непосредственно владелец либо наемный генеральный директор, и дополнительные регламенты не нужны. Но в большом бизнесе (с выручкой, условно, в $1 млрд.) это глупо, нужно распределение полномочий, в этом случае контроль оправдан, потому что цена ошибки велика.

Кроме того, встречаются случаи, когда система внутреннего контроля избыточна и неэффективна: несмотря на количество согласований и драйв заводоуправления, система внутреннего контроля дает сбои. В этом случае этот сайт – для Вас: нормальный внутренний контроль «спрямляет» процессы.

Внутренний контроль не нужен, потому что ответственность за его отсутствие законодательно не определена.

Ответственность за отсутствие системы бюджетирования тоже законодательно не определена, но это не значит, что планировать деятельность не нужно.

Также и с внутренним контролем. Да, законодательной ответственности нет (а если и будет — то явно не для частных предприятий). Но это не значит, что он не нужен.

Что такое внутренний аудит?

Определение внутреннего аудита.

С определением внутреннего аудита все еще проще. Есть Институт внутренних аудиторов России, который поддерживает перевод международных профессиональных стандартов внутреннего аудита. Именно определением, которое дает ИВА, и нужно пользоваться.

Внутренний аудит – деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

Да, есть другие определения. Не привожу из-за странностей.

Типовые заблуждения о внутреннем аудите.

Заблуждение

Опровержение

Внутренний аудит = (≈) внутренний контроль.

См. типовые заблуждения о внутреннем контроле.

Внутренний аудит = (≈) внешний аудит, только выполняется сотрудниками организации.

Это разные вещи. Да, реально на многих предприятиях внутренний аудит занимается дублированием работы внешнего, либо же пишет методологию учета.

Но в идеале внутренний аудит должен оценить и, при необходимости, порекомендовать починить систему внутреннего контроля над подготовкой отчетности, а также выборочно тестировать ее эффективность. А внешний аудит подтверждает достоверность подготовленной отчетности (при этом, естественно, изучая систему внутреннего контроля в процессе подготовки отчетности).

При этом целей внутреннего аудита значительно больше, чем работа с отчетностью в каком бы ни было виде.

Внутренний аудит – часть бухгалтерии.

Внутренний аудит не должен подчиняться главному бухгалтеру, финансовому директору и, не поверите, генеральному директору. В противном случае внутренний аудитор не будет независимым, что противоречит идее внутреннего аудита.

Внутренний аудит – это что-то связанное с инвентаризацией и проверками первичных документов.

Выборочные инвентаризации и проверка первичных документов – очень малая часть работы внутреннего аудита.

Внутренний аудит – это из Систем Менеджмента Качества

В системе менеджмента качества тоже есть внутренние аудиторы. Деятельность может пересекаться. Однако внутренние аудиторы СМК и внутренние аудиторы из Института внутренних аудиторов – разные профессии.

Внутренним аудитом могут заниматься только люди с аттестатом внешнего аудитора.

Нет. Если Вы считаете по-другому, то задумайтесь о том, может ли аттестат внешнего аудитора помочь в определении достижимости стратегии компании.

Внутренний аудит в том виде, в котором здесь написано – это какой-то высший орган с неограниченными полномочиями.

Неверно. Во-первых, внутренний аудит подчиняется совету директоров / владельцу, этакая параллельная менеджменту структура. Во-вторых, есть стандарты внутреннего аудита, каждый член ИВА подписывает кодекс этики и т.п.

Внутренний аудит – это контроль контроля. Тогда над внутренним аудитором тоже нужен контроль. И т.д. Процесс не остановить, контроль будет бесконечным, поэтому и начинать не нужно.

Внутренний аудит фактически обеспечивает независимый поток информации для лиц, принимающих решения. Если Вам нужно три потока – конечно, можно их ввести. Однако, как правило, двух потоков информации, один из которых от менеджмента, а другой – от внутреннего аудита, вполне достаточно.

А если формально отвечать на вопрос – стандарты внутреннего аудита предусматривают регулярное проведение внешней оценки.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.