что включает контроль антиселекции рисков
Антиселекция
Антиселекция
– противодействие андеррайтера целенаправленному отбору страхователем предпочтительных ему страховщиков, с которыми могли бы осуществиться задуманные этим страхователем мошеннические схемы.
Некоторые клиенты, отвечая на вопросы анкеты, склонны утаивать информацию, которая, по их мнению, может привести к удорожанию страховки или к отказу в ней. Более того, многие специально стремятся заключить договор страхования, зная о наличии неблагоприятных факторов, увеличивающих страховые риски по сравнению с рисками лиц стандартной селективной группы, не ставя об этом в известность страховщика.
Простейшим сигналом антиселекции является более высокая по сравнению с обычной в таких случаях страховая сумма. Получив завышенный запрос по страховой сумме, андеррайтер обязан провести независимое исследование с целью выяснения причин такого запроса. Рекомендуемые направления разработки:
— оценка стабильности финансового положения заявителя,
— особенности характера, и даже
— состояние здоровья.
Целью этих вопросов является оценка искренности клиента и его склонности к мошенничеству.
Так, например, владелец небольшого, но стабильного предприятия гораздо более предпочтителен для страховой компании, нежели бизнесмен, чье дело находится на грани краха.
Пристального внимания андеррайтера заслуживают случаи, когда трудовая деятельность характеризуется нестабильным доходом или когда работа выполняется на дому.
Безусловным сигналом опасности для андеррайтера являются признаки нечистоплотности в бизнесе, неэтичности, сомнительных связей, преступных действий, пристрастие к азартным играм, к алкоголю, наркотическим веществам и т.п.
Антиселекция присутствует во всех видах страхования, но наиболее просто ее можно распознать в страховании здоровья. При страховании рисков здоровья антиселекция имеет следующие признаки:
— клиент имеет основания считать, что его ожидает какой-то период нетрудоспособности
— клиент подозревает, что у него уже есть какое-либо расстройство здоровья и намерен использовать страховую компанию для его выявления или лечения.
В обоих случаях инициативное желание приобрести полис представляет собой осознанное желание обмануть страховую компанию.
Простейшим решением здесь является предложение клиенту временной франшизы – периода освобождения страховщика от любых выплат.
Управление рисками проекта
Повсеместная конкуренция, сокращение производственного цикла, увеличение производственной гибкости — все это сеет неопределенность при контроле проектов и повышает необходимость мышления, направленного на оценку рисков. Необходимо предупреждать опасности, тщательнее планировать свои действия и анализировать текущую деятельность, чтобы понять, какие риски могут преследовать и какие возможности можно раскрыть, если от них избавиться. Таким образом, риск-менеджмент становится важной частью принятия управленческих решений.
Конечно, можно рискнуть и жить без лишнего планирования и прогнозирования. Но тогда есть вероятность, что не только проект не будет правильно реализован: вся деятельность компании будет под угрозой. Такой поворот вряд ли устроит адекватного руководителя или владельца бизнеса.
Планирование управления рисками
Управление рисками — это деятельность, сопровождающая все этапы проекта. Работа не должна вестись от случая к случаю, она должна быть хорошо спланирована. Управление рисками требует множества ресурсов.
Планирование управления рисками подразумевает поиск работающих подходов к процессу. Оно помогает:
План состоит из нескольких элементов:
Идентификация рисков
Этот процесс связан с выявлением рисков, которые могут испортить проект или оказать на него необратимое воздействие. Повторять выявление рисков нужно на всех этапах проекта — ведь на протяжении его существования могут возникать разные новые сложности.
Идентификационные данные могут браться из различных источников. Например, это может быть база знаний, которая есть практически в каждой организации. В ней могут содержаться данные об аналогичных проектах, которые были в компании. На основании этой информации можно сделать вывод о вероятных рисках в новых проектах.
Еще один источник информации — научные работы, маркетинговая аналитика и другие данные, находящиеся в свободном доступе. Если проект не уникален, то можно равняться на опыт других аналогичных работ, созданных другими компаниями. Обычно они рассказывают о своем пути в формате кейсов. Там содержатся подробные данные о цели работы, связанных с ней трудностях и способах их преодоления.
Все проекты строятся на гипотезах и предположениях. Обычно все неточные данные указываются с пометкой. Другие же, считающиеся достоверными, принимаются как данность. Риски могут возникнуть из-за неверно обозначенных допущений, поэтому на них нужно обращать внимание и детально анализировать каждую неточность.
Сбор информации выполняется способами, которые требуют разного времени на подготовку:
Методы оценки рисков и инструменты управления рисками
Теоретические аспекты управления риском говорят, что методов оценки множество и каждый из них работает с использованием своих инструментов. Такими инструментами могут быть организационные, технические и другие действия, позволяющие обеспечить безопасность и безошибочность проекта. Количество инструментов никак не регулируется, их можно быть крайне много.
Классификация ведется по разным признакам: управленческим методам, сферам деятельности, выгодам, производственным фазам и т.д.
В соответствии с другой классификацией воздействие на риски состоит из нескольких этапов:
Этапы управления рисками
Мониторинг и контроль
Этот этап мы решили вынести в отдельный пункт, так как он по важности стоит не на последнем месте. При каждом новом проекте будут возникать свои риски, поэтому контроль должен быть регулярным. Важно быстро корректировать выбранную стратегию и подстраиваться под ситуацию — не всегда выбранный в начале путь оказывается эффективным. Для этого нужен мониторинг.
Каждый этап управления рисками связан с другими ступенями в единую цепь. Поэтому нельзя обращать внимание на один и не замечать другой. Ситуацию нужно анализировать и контролировать со всех сторон, тщательно углубляясь в детали и рассматривая их с точки зрения деятельности компании в целом.
В мире нет проектов, которые бы шли так, как их запланировали создатели на пути прописывания в документах. Возникают моменты, которые не были предусмотрены и под которые нужно подстраиваться здесь и сейчас. И не всегда эти моменты имеют положительный оттенок, чаще всего они связаны с серьезными рисками как в рамках реализации проекта, так и в деятельности всей компании. Это серьезный стресс для тех, кто работает. Поэтому надо быть готовым к таким проблемам и уметь их правильно решать.
Управление рисками проекта помогает подумать и определить угрозы заранее, понять как их избежать и продолжать работать в изменяющихся условиях. Предотвратить последствия проще, чем разбираться с измененной ими реальностью. Поэтому стоит как можно больше ресурсов выделять на управление рисками проекта и не лениться проводить исследования для выявления вероятных проблем.
Что включает контроль антиселекции рисков
Риск и контроль (модель COSO)
Раздел: Управление рисками
Руслан Гиниятов, CIA
Эта статья адресована российским управленцам, заинтересованным в использовании западного опыта в области корпоративного управления и организационного (т.н. «внутреннего») контроля.
Каждый человек так или иначе использует контроль в своей работе и жизни. Но не каждый делает это сознательно. Наша беседа будет посвящена тому как научится компетентно подходить к вопросам организационного контроля. Теория организационного контроля проста, в ней нет трюков и сложных мест. Это очевидные вещи, продиктованные здравым смыслом. Мы лишь представим их в организованном виде.
Рассматриваемые здесь модели риска и контроля были разработаны The Committee of Sponsoring Organizations of the Treadway Commission (COSO) в США. Конец 80-х был тяжёлым для США. Крах сотен финансовых институтов принёс миллиардные убытки инвесторам, дебиторам и правительству. The Treadway Commission была создана присяжными бухгалтерами, внутренними аудиторами, финансовыми менеджерами и двумя другими группами для изучения ситуации. Среди прочего, комиссия рекомендовала спонсирующим организациям разработать интегрированное руководство по внутреннему контролю. Для реализации этой рекомендации был создан COSO комитет. Модели риска и контроля, предложенные COSO, послужили основой для ряда других моделей риска и контроля, разработанных в других странах организациями, аналогичными COSO, и различными консультационными фирмами.
Попробуйте самостоятельно ответить на вопросы «что такое контроль?» и «какие типы контроля бывают»? Что первое пришло вам нам на ум? Инспекции, процедуры, подписи, файлы. Как правило, не более того. Модели, которые мы рассмотрим, инструментальны. Используя эти модели, вы сможете более широко и системно смотреть на вопросы контроля в своей ежедневной практике, замечать то, что прежде ускользало от вашего внимания в этой связи.
Зачастую мы говорим о контроле ради контроля. Контроль не самоцель. Он связан с рисками и целями организации. Грамотное обсуждение вопросов контроля требует постоянного видения этой перспективы. Поэтому, мы начнём разговор о контроле с разговора о риске.
1. Модель Риска
Попробуйте ответить на такие вопросы. Что такое риск? Какие типы рисков существуют? Как измерить риск? Потратьте несколько минут и запишите свои ответы. Модель риска предлагает ответы на эти вопросы.
1.1. Определение риска
The Economist Intelligence Unit в своём исследовании определяет риск как «угрозу того, что некое событие или действие негативно повлияет на способность организации успешно достичь своих целей или реализовать свои стратегии». Заметим, что в соответствии с этим определением, говорить о риске можно только в контексте специфических целей.
Теперь посмотрим, как можно классифицировать риски. Можно классифицировать риски по их источникам.
1.2. Источники риска
Начнём с внутренних источников риска.
Теперь обратимся к внешним источникам риска. Некоторые из них персонифицированы.
Другие внешние источники риска не персонифицируются.
И наконец, природные факторы.
Взгляните теперь на типы рисков, которые вы записали перед началом обсуждения этой классификации рисков. Многие ли из источников риска попали в ваш список? Теперь посмотрим на риск с другой стороны.
1.3. Цели, подверженные риску
Вспомним как мы определяли риск.
Мы определяли его через цели организации. Следовательно, мы можем классифицировать риски по тому, каким целям они угрожают. Заметим, что кроме целей, которое организация устанавливает перед собой, мы должны принять во внимание обязанности, накладываемые на организацию государством и инвесторами.
1. Надёжность и интегрированность информации. Разве это цель, а не средство для принятия обоснованных управленческих решений? В данном случае мы говорим о другом. Организация обязана предоставлять информацию различным заинтересованным лицам (инвесторами, государством, дебиторами) для принятия решений в отношении организации. Примером такого рода информации является квартальный отчёт о прибыли и убытках. Предприятие ответственно за надёжность и непротиворечивость этой информация. Отметим, что для получения надёжных периодических обобщённых данных необходимо, чтобы текущая информация, генерируемая на всех рабочих местах, была надежной и не противоречила друг другу. Примером риска для этого типа целей является случайное или преднамеренное искажение информации вследствие неоправданно-широкого доступа к информационной системам организации.
2. Исполнение внутренних политик, планов, процедур, а также внешних законов и норм. Очевидно, что соблюдение государственных законов является обязанностью организации. Сверх того организация может установить свои внутренние нормы, например, код делового поведения или политика в отношении работающих матерей, предусматривающая определённые льготы, не установленные трудовым законодательством. Установив свои внутренние нормы, предприятие тем самым обязуется исполнять их. Сюда же можно отнести законодательные и внутренние требования к безопасности производства. Примером риска для этого типа целей является нарушение налогового законодательства в результате неправильного оформления счетов к оплате.
3. Защита активов. Опять, как и с первой группой целей: разве это цель, а не средство для получения прибыли. И опять мы в данном случае говорим об обязательствах перед внешними для организации лицами. Инвесторы предоставляют организации свои активы для использования в целях получения прибыли (или других целей в случае неприбыльных организаций). Организация, со своей стороны, обязано защищать эти активы. Примером риска для этого типа целей являются убытки на рынке ценных бумаг вследствие несбалансированных инвестиций.
4. Экономичное и эффективное использование ресурсов. С точки зрения классической теории рыночного капитализма, это является единственной целью капиталистического предприятия. Примером риска для этого типа целей является уничтожение готовой продукции вследствие ошибочного прогнозирования объёма продаж. Другой пример: дополнительный персонал на заводах, корректирующий ошибки мастер-данных с центральной базе данных.
5. И наконец, наиболее очевидный тип целей, стоящих перед организацией. Достижение целей, установленных для текущей деятельности и специальных программ. Какие примеры такого рода целей вы можете привести из своей практики? Задания по продажам и производству. Обеспечение качества продукции и услуг. Внедрение нового программного обеспечения. Примером риска для этого типа целей является увеличение количества претензий от клиентов вследствие принятия заказов на товар, не имеющийся в наличии.
Взгляните ещё раз на те типы рисков, что вы указали в начале нашего разговора. Какие типы рисков по этой, второй, классификации попали туда? А какие не попали? Используя эту модель риска, вы могли бы существенно удлинить свой первоначальный список. Не правда ли?
1.4 Измерение риска
Общепринято измерять риск вероятностью угрозы и степенью негативного влияния последствий: риск = последствия * вероятность.
| Последствия | 1 Средний риск | 2 Высокий риск |
| 3 Низкий риск | 4 Средний риск | |
| Вероятность | ||
Допустим, что все работники завода, работающие с компьютерной программой по бухучёту, имеют системный ID и пароль, позволяющий производить критические действия в системе, к примеру, создавать в системе заказ на закупку. Последствия неавторизованных закупок, могут нанести серьёзный ущерб экономичному и эффективному использованию ресурсов.
Предположим, далее, что только работники отдела закупок были обучены созданию системного заказа на закупку, остальные же работники, хотя и имеют доступ теоретически, но практически никогда им не пользуются. Уровень их компьютерной грамотности недостаточен, чтобы разобраться в этом самостоятельно. В этой ситуации последствия серьёзны, но вероятность угрозы не столь велика. Соответственно, суммарный риск имеет среднее значение (квадрант 1).
Если же мы не можем быть столь уверены в компьютерной безграмотности пользователей, вероятность угрозы возрастает. И наконец, если в числе этих работников есть продвинутые пользователи, хорошо знающие бизнес процесс, мы попадаем в область высокой вероятности в серьёзными последствиями. Суммарный риск максимален (квадрант 2). Вернитесь опять к своим записям и сравните, как близки вы были к методу измерения риска, предлагаемого этой моделью.
На этом мы закончим рассмотрение модели риска и перейдём к модели контроля.
2. Модель контроля
Попробуйте ответить на такие вопросы. Что такое контроль? Какие существуют типы контроля? Как измерить уровень контроля?
2.1. Определение контроля
Существуют различные определения контроля. Воспользуемся определением, данным Институтом Внутренних аудиторов (США). «Контролем является всякое действие, предпринятое органом управления для повышения вероятности того, что установленные цели будут достигнуты.»
Как видите, контроль, как и риск, определяется через цели организации. И если риск представляет угрозу этим целям, то контроль предназначен смягчить эту угрозу. Мы определяем контроль как всякое действие, что позволяет нам не ограничивать рассмотрение традиционными методами контроля.
2.2. Элементы контроля
1. Контрольная среда. Она включает так называемые «опоры контроля»: «тон на верху» и «способность организации». Для обеспечения правильного «тона на верху», руководство должно служить образцом корпоративной культуры, подчёркивать важность эффективного организационного контроля, поощрять деятельность по усовершенствованию систем контроля. Необходимый уровень «способности организации» достигается посредством обучения персонала. Работник, не способный понять смысла элементов процесса, в котором он участвует, является слабой гарантией контроля в современных сложных организациях. Контрольная среда включает и другие «почвообразующие» элементы, например, принципы организации, систему вознаграждения, процесс согласования стратегии всех подразделений организации и прочее. Контрольная среда является элементом №1, поскольку она является условием жизнеспособности всех остальных элементов.
2. Оценка риска. Поскольку контроль устанавливается для смягчения риска, эффективная система контроля знания текущей «карты рисков». Оценка риска в разных областях проводится с разной степенью формальности. Отдел внутреннего аудита проводит ежегодную переоценку риска т.н. «универсума аудита», который является списком аудируемых областей. Обычно «универсум аудита» охватывает широкий спектр процессов, существующих в организации. Но он не является всеохватывающим, т.е. в организации существуют риски, не «схваченные» «универсумом аудита».
Например, процесс подготовки отчётов о финансовых результатах обычно наличествует в универсуме. А процесс анализа финансовых результатов и их прогнозирования – нет. Причиной этого является сложность аудита нерутинных процессов.
3. Действия контроля. Наконец мы подошли к тем самым инструментам «прямого» контроля, которые составляли основу традиционных подходов к контролю и нашли отражение в 9-ти «действиях контроля».
4. Информация и коммуникация. Ещё один «мягкий» элемент контроля. Приведём пример. Руководитель торгового отдела, решил усилить контроль за отгрузками консигнационных товаров, хранящихся на сладе регионального дистрибутора, введением дополнительного элемента контроля. Региональный торговый представитель компании должен письменно авторизовывать каждую отгрузку («транзакции авторизуются»). Через некоторое время в налоговый отдел организации случайно попала копия такого документа. Специалист по налогам потребовал немедленно отменить эту процедуру, поскольку законодательство требовало в данном случае существенного усложнения процесса расчёта налога с продаж. Несоблюдение же законодательства могло привести к существенным штрафам. Правильно организованная коммуникация между торговым и юридическим отделами могла бы предотвратить этот риск с самого начала.
5. Мониторинг. Эта группа включает в себя различные виды надзора высших уровней управления за работой низших. Сюда относится и различные виды аудита, включая аудит качества, техники безопасности, внутренний аудит. Мониторинг часто предполагает сравнение текущих результатов с ожидаемыми. Поэтому, нормативы относятся к этой группе элементов контроля. Например, нормативы соответствия результатов инвентаризации данным складского учёта, норматив времени для «закрытия» бухгалтерских книг.
Взгляните на список типов контроля, предложенный вами в начале. Какие элементы контроля вошли в него, а какие не вошли?
2.3. Остаточный риск
Перейдём к вопросу измерения контроля.
После нашего предыдущего обсуждения для вас не должно быть сюрпризом, что я предлагаю вам измерять уровень контроля через уровень риска. Общепринятой формулой является присущий риск – контроль = остаточный риск. Уровень остаточного риска сравнивается с оптимальным уровнем. Уровень остаточного риска выше оптимального является неприемлемым. Уровень остаточного риска ниже оптимального соответствуют избыточному контролю.
Суждения об оптимальности уровня остаточного риска субъективны. На основании результатов оценки уровня остаточного риска ответственное лицо может решить либо скорректировать цели, либо изменить (усилить или ослабить) систему контроля, либо продолжать слепо двигаться вперёд.
3. Итоги
Итак, кратко суммируем итоги. Контроль является ответственностью отдела внутреннего аудита. Контроль не имеет ничего общего с целями бизнеса. Контроль необходим тогда, когда нет взаимного доверия. Согласны? Если нет, то мы не зря потратили время.
Управление рисками проекта
Причиной возникновения рисков являются неопределенности, существующие в каждом проекте. Риски могут быть “известные” — те, которые определены, оценены, для которых возможно планирование. Риски “неизвестные” — те, которые не идентифицированы и не могут быть спрогнозированы. Хотя специфические риски и условия их возникновения не определены, менеджеры проекта знают, исходя из прошлого опыта, что большую часть рисков можно предвидеть.
Реализуя проекты, имеющие высокую степень неопределенности в таких элементах, как цели и технологии их достижения многие компании уделяют внимание разработке и применению корпоративных методов управления рисками. Данные методы учитывают как специфику проектов, так и корпоративных методов управления.
Американский Институт управления проектами (PMI), разрабатывающий и публикующий стандарты в области управления проектами, значительно переработал разделы, регламентирующие процедуры управления рисками. В новой версии PMBOK (принятие которого ожидается в 2000 году) описаны шесть процедур управления рисками. В данной статье мы предлагаем краткий обзор процедур управления рисками (без комментариев).
Управление рисками — это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий.
Процесс управления рисками проекта обычно включает выполнение следующих процедур:
Все эти процедуры взаимодействуют друг с другом, а также с другими процедурами. Каждая процедура выполняется, по крайней мере, один раз в каждом проекте. Несмотря на то, что процедуры, представленные здесь, рассматриваются как дискретные элементы с четко определенными характеристиками, на практике они могут частично совпадать и взаимодействовать.
Планирование управления рисками
Планирование управления рисками — процесс принятия решений по применению и планированию управления рисками для конкретного проекта. Этот процесс может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации риска, временной интервал для анализа ситуации. Важно спланировать управление рисками, адекватное как уровню и типу риска, так и важности проекта для организации.
Идентификация рисков
Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков. Идентификация рисков не будет эффективной, если она не будет проводиться регулярно на протяжении реализации проекта.
Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.
Идентификация рисков — итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков. Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.
Качественная оценка рисков
Качественная оценка рисков — процесс представления качественного анализа идентификации рисков и определения рисков, требующих быстрого реагирования. Такая оценка рисков определяет степень важности риска и выбирает способ реагирования. Доступность сопровождающей информации помогает легче расставить приоритеты для разных категорий рисков.
Качественная оценка рисков это оценка условий возникновения рисков и определение их воздействия на проект стандартными методами и средствами. Использование этих средств помогает частично избежать неопределенности, которые часто встречаются в проекте. В течение жизненного цикла проекта должна происходить постоянная переоценка рисков.
Количественная оценка рисков
Количественная оценка рисков определяет вероятность возникновения рисков и влияние последствий рисков на проект, что помогает группе управления проектами верно принимать решения и избегать неопределенностей.
Количественная оценка рисков позволяет определять:
Количественная оценка рисков часто сопровождает качественную оценку и также требует процесс идентификации рисков. Количественная и количественная оценка рисков могут использоваться по отдельности или вместе, в зависимости от располагаемого времени и бюджета, необходимости в количественной или качественной оценке рисков.
Планирование реагирования на риски
Планирование реагирования на риски — это разработка методов и технологий снижения отрицательного воздействия рисков на проект.
Берет на себя ответственность за эффективность защиты проекта от воздействия на него рисков. Планирование включает в себя идентификацию и распределение каждого риска по категориям. Эффективность разработки реагирования прямо определит, будут ли последствия воздействие риска на проект положительными или отрицательными.
Стратегия планирования реагирования должна соответствовать типам рисков, рентабельности ресурсов и временным параметрам. Вопросы, обсуждаемые во время встреч, должны быть адекватны задачам на каждой стадии проекта, и согласованы со всеми членами группы по управлению проектом. Обычно требуются несколько вариантов стратегий реагирования на риски.
Мониторинг и контроль
Мониторинг и контроль следят за идентификацией рисков, определяют остаточные риски, обеспечивают выполнение плана рисков и оценивают его эффективность с учетом понижения риска. Показатели рисков, связанные с осуществлением условий выполнения плана фиксируются. Мониторинг и контроль сопровождает процесс внедрения проекта в жизнь.
Качественный контроль выполнения проекта предоставляет информацию, помогающую принимать эффективные решения для предотвращения возникновения рисков. Для предоставления полной информации о выполнении проекта необходимо взаимодействие между всеми менеджерами проекта.
Целью мониторинга и контроля является выяснить, было ли:
Контроль может повлечь за собой выбор альтернативных стратегий, принятие корректив, перепланировку проекта для достижения базового плана. Между менеджерами проекта и группой риска должно быть постоянное взаимодействие, должны фиксироваться все изменения и явления. Отчеты по выполнению проекта должны формироваться регулярно.