Ситуации, связанные с полной неопределенностью, будем рассматривать с помощью теории игр. Всякая теоретико-игровая модель отражает, кто и как конфликтует, а также, кто и в какой форме заинтересован в том или ином исходе конфликта. действующие в конфликте стороны назовем игроками, а их решения – стратегиями. Содержание математической теории игр состоит, во-первых , в установлении принципов оптимального поведения игроков в играх, во-вторых , в доказательстве существования ситуаций, которые складываются в результате применения этих принципов, в-третьих , в разработке методов фактического нахождения таких ситуаций. Игрой называется следующая формально задаваемая система множеств:

1) множество участвующих в конфликте действующих начал, или коалиций действия ;

2) семейство множеств стратегий каждой из коалиций действия;

3) множество ситуаций;

4) множество заинтересованных начал, или коалиций интересов ;

5) семейства отношений, выражающих предпочтения между ситуациями для коалиций интересов.

Понятие риска предполагает наличие рискующего, т.е. Лица, Принимающего Решения (ЛПР).

Игры с одной коалицией действия называются нестратегическими . Важным классом таких игр являются игры с природой , применяемые для анализа экономических ситуаций, при которых риск связан с совокупностью неопределенных факторов окружающей среды. Термин «природа» характеризует некую объективную действительность, которую не следует понимать буквально.

Игры с двумя или более коалициями действий называются стратегическими .

В играх создание модели должно начинаться с построения матрицы игры, т.е. платежной матрицы, или матрицы выигрышей. Отличительная особенность игры с природой состоит в том, что в ней сознательно действует только один из участников (игрок 1). Игрок 2 (природа) не действует, а выступает как партнер по игре, не имеющий конкретной цели и случайным образом выбирающий очередные «ходы».

Допустим, рассматривается вопрос о проведении финан­совой операции в условиях неопределенности. При этом у игрока 1 (ЛПР) есть возможных решений (ситуаций) i = 1,2,...,т, а реальная ситуация неопределенна, или «природа» может принимать одно из возможных состояний j = 1,2,..., n . Пусть известно, что если ЛПР примет i- e решение, а ситуация примет j- ый вариант состояния, то будет получен доход . Матрица Q = называется матрицей последствий (возможных решений, выигрышей).

Матрицу игры с природой можно задавать и в виде т.н. матрицы рисков или матрицы упущенных возможностей. Величина риска – это размер платы за отсутствие информации о состоянии среды. Матрица рисков строится на основе матрицы выигрышей. Оценим размеры риска в данной схеме.

Пусть принимается i- е решение. Очевидно, если бы было известно, что реальное состояние среды будет j -е, то ЛПР принял бы решение, дающее доход q j = . Однако, i- е решение принимается в условиях неопределенности. Значит, ЛПР рискует получить не q j , а только q ij . Таким образом, существует реальная возможность недополучить доход, и этому неблагоприятному исходу можно сопоставить риск r ij , размер которого целесообразно оценить как разность

На основе оценки уровня риска можно выделить приоритетные факторы риска по отношению к другим, неликвидированным источникам опасности. Это имеет критически важное значение при принятии обоснованных решений о выделении ограниченных ресурсов для контроля или устранения тех опасных факторов, которые представляют наибольший риск для организации.Установление приоритетов рисков предпола-гает наличие рациональной основы, позволяющей сравни-вать и устанавливать приоритет одного фактора риска по отношению к другим. Для определения приемлемости или неприемлемости риска, необхо-димы соответствующие критерии или стандарты. Путем соизмере-ния вероятности неблагоприят-ного результата с потенциальной степенью тяжести этого результата можно классифици-ровать факторы риска в рамках матрицы оценки риска. В справочной литературе можно найти большое количество различных вариантов матрицы оценки риска.

В данном варианте матрицы оценки риска:

a) серьезность риска классифицируется как катастрофическая, опасная, значительная, незначительная или ничтожная с описанием каждой категории, в котором указывается потенциальная тяжесть последствий. Можно использовать другие определения, отражающие характер анализируемой деятельности;

b) вероятность (или возможность) наступления события также классифицируется с использованием 5 различных уровней качественных характеристик и с описанием каждой степени вероятности события.

c) степени могут присваиваться в виде цифр, соответствующих относительной значимости каждого уровня тяжести последствий и вероятности. После этого путем умножения величины тяжести на величину вероятности можно получить комбинированную оценку риска,

позволяющую сравнивать факторы риска.

30.Содержание и назначение диапазонов оценок риска.

После использования матрицы риска для присвоения степеней различным факторам риска можно разделить цифровые значения на диапазоны, что дает возможность классифицировать риски как приемлемые, нежелательные или неприемлемые.

Приемлемый означает, что никаких дальнейших действий не требуется (за исключением случаев, когда уровень риска можно дополнительно снизить с малыми затратами или усилиями).

Нежелательный (или допустимый) означает, что связанные с этим риском лица готовы смириться с ним в целях получения определенных выгод при условии, что предпринимаются все меры по его уменьшению.

Неприемлемый означает, что осуществление операций в текущих условиях должно быть прекращено до тех пор, пока риск не будет снижен по крайней

мере до допустимого уровня.

31.Основные пути и стратегии уменьшения риска.

Абсолютной безопасности не существует. Риск необходимо снижать до “наименьшего практически возможного уровня” (НПВУ). Это означает, что риск должен быть соразмерен факторам времени, затрат и трудностей в принятии мер по уменьшению или устранению данного риска. В тех случаях, когда оценка риска была отнесена к категории нежелательного или неприемлемого, должны быть приняты корректирующие меры, причем чем выше уровень риска, тем выше срочность таких мер.

Уровень риска может быть снижен путем уменьшения степени тяжести потенциальных последствий, снижения вероятности наступления опасности или уменьшения масштабов подверженности этому риску. Существует целый ряд стратегий, предназначенных для уменьшения риска. Избежание риска.

Рискованные задачи, практика, операции или деятельность избегаются в связи с тем, что риск превышает выгоды. Уменьшение ущерба.

Принимаются меры по снижению частоты небезопасных событий или уменьшению масштаба последствий. Изолирование риска (разделение или дублирование).

Принимаются меры к тому, чтобы локализовать последствия риска или обеспечить резервирование для защиты от факторов риска, т. е. уменьшить степень серьезности риска, (например, подключение резервных подсистем для снижения вероятности отказа всей системы).

Настольная книга по внутреннему аудиту. Риски и бизнес-процессы Крышкин Олег

Формирование матриц рисков и контрольных процедур

Ключевой целью формирования матрицы является соотнесение рисков, влияющих на деятельность объекта аудита, с системой внутреннего контроля бизнес-процессов этого объекта. В результате выявляются провалы в системе внутреннего контроля объекта аудита. Они возникают тогда, когда система внутреннего контроля упускает из виду конкретные риски. В таком случае возможны три ситуации:

1. В системе внутреннего контроля отсутствуют контрольные процедуры, направленные на оптимальное нивелирование параметров конкретного риска, например, выбор поставщика без проведения тендера приводит во многих ситуациях к выбору неоптимального поставщика.

2. Контроль воздействует на риск, однако оптимального нивелирования не достигается, например, процедура тендера вроде есть, но пул участников формируется дирекцией по закупкам, при этом база поставщиков не ведется. В этом случае также довольно часто выбирается неоптимальный поставщик.

3. Контроль способен оптимально нивелировать параметры риска, однако в силу различных причин этого не происходит, например, процедура тендера идеальна по своей структуре и содержанию. Однако для ее ускорения могут форсироваться те или иные этапы (например, сокращаться сроки приема коммерческих предложений без извещения всех потенциальных поставщиков), что в конечном итоге приводит к выбору неоптимального поставщика.

На этапе планирования матрица составляется для того, чтобы получить общую картину по управлению ключевыми рисками процесса. Кроме того, наличие матрицы позволяет оптимально распределять ресурсы и выстраивать правильную последовательность приоритетов.

В базовом варианте матрицы имеется четыре раздела – «Процесс», «Риск», «Цель контроля» и «Контроль». Информация из одного раздела увязывается с информацией из других трех разделов. По этой причине наиболее распространенным форматом матрицы рисков и контрольных процедур является таблица. Рассмотрим кратко содержание каждого раздела.

1. Раздел «Процесс». Здесь указывается процесс, который в остальных трех разделах анализируется на предмет рисков и контрольных процедур. В зависимости от детализации матрицы вместо процесса может указываться подпроцесс или даже этап подпроцесса.

2. Раздел «Риск». Здесь указывается риск, который негативно влияет на достижение целей рассматриваемого процесса. По каждому из процессов (подпроцессов, этапов подпроцесса), включенных в матрицу, может быть более одного риска. Максимальное количество рисков не ограничено. Однако при формировании перечня рисков не стоит увлекаться количеством ради количества. Необходимо придерживаться практического подхода и указывать только те риски, которые действительно могут встретиться в реальности, исходя из данных предварительного анализа процесса.

3. Раздел «Цель контроля». Существуют различные подходы к заполнению данного раздела. Во-первых, можно привести расширенную формулировку цели контроля (см. пример в табл. 10). С одной стороны, она может способствовать более точному пониманию того, каким должен быть контроль. Например, в нашем случае указывается конкретное действие, которое должно произойти в результате выполнения контрольной процедуры, – прерывание процесса «Формирование потребности в материалах для закупки». С другой стороны, существенным минусом расширенной формулировки является утрата унификации и универсальности. При использовании расширенной формулировки необходимо иметь детальное представление о структуре и содержании процесса, например, в одном случае целью контроля может быть прерывание процесса, а в другом – уведомление о возникшей ситуации для принятия точечного решения. Так или иначе, в большинстве случаев на этапе планирования не предполагается, что команда внутренних аудиторов обладает таким детальным представлением. Кроме того, как бы странно это ни звучало, но нередко выбор расширенной формулировки – это дело вкуса, а вкус – понятие субъективное, например, разные люди могут по-разному понимать слово «прервать» (например, запретить или потребовать дополнительного согласования). Также разные люди склонны использовать разную лексику для обозначения одних и тех же явлений и действий. Все эти факторы могут вносить дополнительный сумбур в понимание информации, изложенной в матрице рисков и контрольных процедур. В то же время в качестве целей контроля можно использовать определенную терминологию. Один из ее вариантов представлен в главе 3. В ней описываются семь ключевых целей контроля. Если использовать предлагаемую терминологию, то цель контроля будет иметь иную формулировку (см. табл. 11). Она обозначается не каким-либо действием, а некой качественной характеристикой, которую контрольная процедура должна достичь. Таким образом, обеспечивается унификация и отсутствие привязки к конкретному содержанию контрольной процедуры, которое неизвестно на этапе планирования проекта. Кроме того, использование унифицированных целей контроля позволяет быстрее и правильнее оценить, насколько конкретная контрольная процедура достигает цели.

Таблица 10. Пример расширенной формулировки цели контроля

4. Раздел «Контроль». В большинстве случаев суть контроля заключается в осуществлении того или иного действия, которое направлено на достижение цели контроля. Отсюда широко используется термин «контрольная процедура», который лишний раз подчеркивает направленность контроля на создание активности. Разумеется, на этапе планирования формулировки многих контрольных процедур могут выглядеть обобщенно. Необходимо иметь в виду, что крайне важно уточнять содержание и структуру контрольных процедур в процессе работы по проекту – детализация процесса и контрольных процедур процесса должны быть сопоставимыми. Кроме того, раздел «Контроль» можно разбить на два подраздела. В первом указывается оптимальный контроль (исходя из предполагаемого содержания и структуры процесса), а во втором – фактический контроль (исходя из имеющегося на этапе планирования представления о фактическом содержании и структуре процесса). Если есть подозрение отсутствия контроля на том или ином этапе подпроцесса, информация по фактическому контролю не заносится. Такие случаи подлежат уточнению по мере выполнения проекта.

Таким образом, на этапе планирования матрица рисков и контрольных процедур в базовом варианте представляет собой таблицу, состоящую из четырех разделов. В ряде случаев раздел «Контроль» может быть разбит на два подраздела. В дальнейшем, в процессе выполнения проекта внутреннего аудита матрица уточняется и обрастает новыми графами. Более подробно мы рассмотрим этот процесс в разделе «Документирование работы внутреннего аудита» главы 9.