2015-07-14
1890
Отдел внутреннего аудита и надзора (ОВАН) разработал Методику оценки рисков, основывающуюся на консультациях и руководстве Института внутренних аудиторов (IIA), а также на общепринятых передовых практиках, применимых в данной сфере. Основная цель Методики оценки рисков состоит в повышении объективности и транспарентности, а также в создании прочной основы для подготовки Оценки потребностей в области аудита (ОПА) и Годового плана работы в области аудита.
Основные определения рисков и оценки рисков, позволяющие улучшить понимание процесса оценки рисков, осуществляемого ОВАН:
Определения в области оценки рисков
Риск - неопределенное событие в будущем, способное оказать отрицательное влияние на достижение целей и задач организации.
Вероятность риска- возможность того, что риск будет иметь место. Факторы, которые следует учитывать при определении вероятности риска: источник угрозы, возможности источника, характер уязвимости, а также наличие и эффективность действующих методов контроля. Вероятность может быть представлена как высокая, средняя и низкая.
|
|
|
•Высокая: ожидается, что событие произойдет в большинстве случаев
•Средняя: есть вероятность, что событие произойдет во многих случаях
•Низкая: возможно, событие произойдет в какой-то момент
Воздействие риска
Потенциальное воздействие, которое риск в случае своего возникновения способен оказать на организацию. Следует отметить, что не все угрозы окажут одинаковое воздействие, поскольку степень значимости каждой из систем внутри организации различна. Степень воздействия также может быть разделена на три категории: высокая, средняя и низкая.
•Высокая: серьезное воздействие на оперативные функции, репутацию или статус финансирования
•Средняя: значительное воздействие на оперативные функции, репутацию или статус финансирования
•Низкая: менее значительное воздействие на оперативные функции, репутацию или статус финансирования
Сочетание вероятности и воздействия сообщает нам значение каждого фактора риска.
Рис.1.
Процесс оценки рисков
Процесс выявления и анализа неотъемлемых и остаточных рисков, стоящих на пути достижения целей и задач организации.
Компоненты модели риска
Изложенные ниже критерии измерения, используемые в оценке рисков, были разработаны на основе профессионального консультативного руководства, опубликованного ИВА и Ассоциацией аудиторской проверки и контроля информационных систем (ISACA).
Основные параметры оценки рисков:
Существенность: Учитывает финансовую стоимость, созданную/потраченную подразделением/организацией, подлежащей аудиторской проверке, и присваивает численное значение от 1 до 5 в следующем порядке.
|
|
|
•Доход/расход (000)
•18 000 000 шв.фр. - 5
•> 6 000 000 – 18 000 000 шв.фр. - 3, 4
•=> 6 000 000 шв.фр. - 1,2
Характер деятельности: Предмет аудиторской проверки оценивается по степени существенности, и ему присваивается значение от 1 до 5 в зависимости от того, представляет он собой основную деятельность или деловое подразделение.
•Основная деятельность 4, 5
•Деловое подразделение 2, 3
•Локальная система 1
Резервные схемы: Области, являющиеся предметом аудита, помечаются цифрами от 1 до 5, исходя из наличия каких-либо альтернативных схем, например, планов обеспечения непрерывности работы или восстановления информации после аварий, ручных процедур, резервных генераторов и т.п.
Масштаб изменений, внесенных в систему или процесс: Области, подлежащие проверке, помечаются цифрами в зависимости от степени внесенных изменений.
•Масштабное переоснащение 4, 5
•Умеренное переоснащение 2, 3
•Незначительное переоснащение 1
Период, прошедший с момента последней аудиторской проверки: Ранжирование от 1 до 5 основывалось на периоде, прошедшем с момента проведения последнего внутреннего аудита. Как видно, большинству областей, являющихся предметом аудита, присвоена пометка 5, так как внутренний аудит не проводился в них ни разу либо носил очень ограниченный характер.
Степень сложности области, которая является предметом аудита: Помечается цифрами от 1 до 5 на основе критерия вероятности того, что ошибки и факты растрат останутся невыявленными в связи с высокой степенью сложности среды.
Некоторые факторы, влияющие на степень сложности, включают в себя:
•Степень автоматизации,
•Сложные вычисления,
•Взаимосвязанная деятельность,
•Количество продукции или услуг,
•Зависимость от третьей стороны,
•Время обработки,
•Применимое законодательство и правила, и т.д.
Другие факторы могут включать в себя:
•Деликатность области/подразделения по отношению к исполнительному руководству,
•Обеспокоенность руководства
•Архивная информация по нарушениям и т.д.
•Прочее (деликатность области, обеспокоенность высшего руководства, архивные данные, случаи мошенничества и нарушений и т.д.)
Факторы коммерческого риска 1 и значение их взвешенной оценки
Основные факторы риска, применимые практически ко всем организациям, и присваиваемые им пометки, могут быть кратко изложены следующим образом.
•Финансовый риск 5
•Стратегические риски 4
•Оперативные риски 3
•Риски несоблюдения нормативно-правовых требований 2
Как показано выше, финансовому риску присвоена наивысшая оценка – 5, поскольку его наличие оказывает значительное влияние на финансовую жизнеспособность организации. Далее на втором месте помещены риски, способные поставить под угрозу принятую стратегию, цели и задачи организации, которым присвоено значение 4. Оперативные риски, являющиеся частью повседневной деловой деятельности, помечены цифрой 3, и, наконец, риску несоблюдения нормативно-правовых требований присвоено значение 2.
Следует отметить, что ранжирование факторов риска следует подвергать пересмотру на предмет соответствия потенциальной вероятности и степени воздействия каждой из группы рисков по отдельности и в сочетании с действиями руководства, что особенно влияет на ранжирование ключевых критериев оценки рисков.
