Карта рисков и контрольных процедур: Руководство для финдиректора и аудитора
Управление рисками в компании — это не формальная процедура для аудиторов, а ключевой элемент устойчивой бизнес-стратегии. Однако во многих компаниях этот процесс сводится к составлению документа, который год пылится на полке. Проблема в том, что риски часто идентифицируют, но не связывают с конкретными, работающими механизмами защиты.
Настоящий реестр рисков и контрольных процедур — это живой инструмент, «приборная панель» для финансового директора и руководства. Он не просто показывает, что может пойти не так, но и что мы делаем, чтобы этого не допустить, и кто за это отвечает.
Эта статья — пошаговое руководство по созданию именно такой, работающей карты рисков. Мы пройдем весь путь: от определения «аппетита к риску» до разработки контрольных процедур и их автоматизации. Эта методология свяжет воедино задачи стратегического финансового директора (защита активов и стратегии) и главного бухгалтера/аудитора (обеспечение достоверности и законности операций).
1. Базовые понятия: Карта, Матрица и Контроль
Прежде чем перейти к практике, давайте синхронизируем терминологию. Часто эти понятия путают, что мешает выстроить систему.
Что такое Карта Рисков?
Карта рисков (или реестр рисков) — это комплексный документ, обычно в виде таблицы, который содержит полный перечень идентифицированных рисков компании. Это база данных, которая отвечает на вопросы:
- Какой риск? (Наименование)
- Где он находится? (Категория: финансы, операции, стратегия…)
- Кому он принадлежит? (Владелец риска)
- Насколько он серьезен? (Оценка)
- Что мы с ним делаем? (Контрольная процедура и план мероприятий)
Что такое Матрица Рисков?
Матрица рисков (или «тепловая карта») — это визуальный инструмент оценки, который обычно является частью карты рисков. Это та самая известная таблица, где по одной оси отложена вероятность (частота) возникновения риска, а по другой — влияние (ущерб).
Именно матрица оценки риска (как ее часто ищут) с ее цветовыми зонами (красной, желтой, зеленой) позволяет руководству мгновенно сфокусироваться на самом важном, не вчитываясь в сотни строк реестра.
Что такое Контрольная Процедура?
Это — недостающий элемент в большинстве формальных «карт рисков».
Контрольная процедура — это конкретное, регулярное действие, выполняемое сотрудником или системой, цель которого — снизить вероятность или влияние идентифицированного риска.
Золотое правило:
Риск без контрольной процедуры — это «бомба с часовым механизмом».
Контрольная процедура без привязки к риску — это бюрократия и пустая трата ресурсов.
2. Шаг 0: Определение «Риск-Аппетита»
Нельзя управлять рисками, не решив, какой их уровень для вас приемлем. Риск-аппетит — это тот уровень риска, который компания готова принять на себя в погоне за достижением своих стратегических целей.
- Высокий риск-аппетит (напр., венчурный стартап) означает готовность нести убытки ради быстрого роста.
- Низкий риск-аппетит (напр., банк или предприятие ЖКХ) означает, что приоритетом является стабильность и сохранность, а не сверхприбыль.
Определение риск-аппетита — задача высшего руководства. Без этого карта рисков для финансового директора становится бессмысленной. Как вы решите, нужно ли тратить 1 млн рублей на новую систему безопасности (контроль), если вы не знаете, является ли для вас риск потери 5 млн рублей (влияние) приемлемым или катастрофическим?
3. Шаг 1: Идентификация рисков на предприятии
Первый практический шаг — составить полный список угроз. Не пытайтесь сделать это в одиночку из кабинета.
Методы идентификации:
- Мозговые штурмы: Сессии с руководителями ключевых подразделений (финансы, продажи, производство, IT, юристы).
- Анализ документов: Изучите прошлые аудиторские заключения, страховые случаи, претензии клиентов, протоколы советов директоров.
- Анализ бизнес-процессов: Пройдите «путь клиента» или «путь продукта» и на каждом этапе задавайте вопрос: «Что здесь может пойти не так?».
- PEST/SWOT-анализ: Оцените внешние факторы (политические, экономические, социальные, технологические).
Категоризация рисков:
Чтобы не утонуть в хаосе, разбейте риски на группы. Классическая структура:
- Финансовые риски: Кассовые разрывы, невозврат дебиторской задолженности, валютные колебания, ошибки в налоговом учете.
- Операционные риски: Сбой оборудования, ошибки персонала, проблемы с логистикой, сбои в IT-системах, мошенничество.
- Стратегические риски: Появление нового конкурента, изменение потребительского спроса, потеря репутации.
- Комплаенс-риски (Правовые): Нарушение законодательства (налогового, трудового, экологического), штрафы регуляторов, проигрыш в судах.
Отдельный случай: Матрица рисков проекта
Для управления конкретными проектами (например, стройка или запуск нового ПО) используется своя матрица рисков проекта. Она похожа на корпоративную, но более детализирована, сфокусирована на триаде «сроки-бюджет-качество» и имеет конечный срок жизни, равный сроку проекта.
4. Шаг 2: Оценка рисков и построение матрицы
Теперь, когда у нас есть список рисков, их нужно оценить. Мы будем использовать два критерия: Вероятность и Влияние.
1. Шкала оценки:
Определите шкалу. Для начала достаточно простой 3-балльной системы (Низкая, Средняя, Высокая), но для более точной оценки рекомендуется 5-балльная.
- Шкала Вероятности (Как часто?)
- 1 (Почти невозможно): Не случалось, нет предпосылок.
- 3 (Возможно): Случалось 1-2 раза в компании или у конкурентов.
- 5 (Очень вероятно): Происходит регулярно, почти гарантированно в течение года.
- Шкала Влияния (Насколько больно?)
- 1 (Незначительное): Небольшие фин. потери, решается в рабочем порядке.
- 3 (Умеренное): Существенные фин. потери, срыв локальных задач, требует вмешательства руководства.
- 5 (Катастрофическое): Остановка бизнеса, огромные фин. потери, потеря репутации, угроза банкротства.
2. Расчет уровня риска:
Уровень риска (Приоритет) = Вероятность × Влияние
3. Визуализация (Матрица рисков):
Теперь заполняем нашу «тепловую карту».
| Влияние (1) Незначительное |
Влияние (3) Умеренное |
Влияние (5) Катастрофическое |
|
|---|---|---|---|
| Вероятность (5) Очень вероятно |
5 (Зеленый) | 15 (Желтый) | 25 (Красный) |
| Вероятность (3) Возможно |
3 (Зеленый) | 9 (Желтый) | 15 (Желтый) |
| Вероятность (1) Почти невозможно |
1 (Зеленый) | 3 (Зеленый) | 5 (Зеленый) |
- Красная зона (16-25): Недопустимые риски. Требуют немедленного вмешательства и разработки контрольных процедур.
- Желтая зона (6-15): Умеренные риски. Требуют мониторинга и, по возможности, снижения.
- Зеленая зона (1-5): Приемлемые риски. Принимаем как есть, мониторим.
Это и есть оценка рисков и внутренний контроль в действии: мы выделили то, на что нужно тратить ресурсы (контроль), а на что — нет.
5. Шаг 3: Разработка контрольных процедур (Ключевой этап)
Мы подошли к самому важному. Для каждого риска из «красной» и «желтой» зоны мы должны разработать или описать существующие контрольные процедуры.
Виды контрольных процедур в аудите и управлении:
- Предупреждающие (Preventive): Самые ценные. Они не дают риску произойти.
- Пример: Разделение полномочий (один сотрудник создает платеж, другой — утверждает).
- Пример: Автоматическая проверка лимита по договору в 1С перед созданием заказа.
- Обнаруживающие (Detective): Они не предотвращают риск, но помогают быстро его обнаружить, пока ущерб минимален.
- Пример: Ежемесячная сверка с контрагентами (помогает найти расхождения).
- Пример: Внезапная инвентаризация склада.
- Корректирующие (Corrective): Направлены на устранение последствий уже свершившегося риска.
- Пример: Процедура восстановления данных из резервной копии.
Как описать риск и контрольную процедуру?
Описание должно быть четким, чтобы его мог понять и выполнить любой сотрудник (или проверить аудитор).
Плохое описание контроля: «Мы контролируем дебиторку».
Хорошее описание контроля: «Еженедельно, по пятницам до 16:00, финансовый контролер формирует отчет «Анализ сроков долга» из 1С, выявляет все просрочки свыше 30 дней и передает список юристу для начала претензионной работы. Отчет визируется финансовым директором».
6. Шаг 4: Сборка воедино: Шаблон карты рисков (Excel)
Теперь объединим все в единый документ. Это и есть наш реестр рисков и контрольных процедур. Он гораздо детальнее, чем простая матрица.
Вот пример карты рисков компании в виде таблицы. Вы можете использовать это как шаблон карты рисков в Excel.
Скачайте готовый шаблон
Мы подготовили этот реестр в виде удобного Excel-файла. Вы можете скачать его и сразу адаптировать для своей компании.
Скачать шаблон (.xlsx)Пример заполнения реестра (фрагмент)
| Категория | Риск | Владелец | Оценка до контроля (Inherent Risk) | Существующая контрольная процедура | Тип контроля | Оценка после контроля (Residual Risk) | План мероприятий | ||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Влияние | Вер-ть | Уровень | Влияние | Вер-ть | Уровень | ||||||
| Финансы | Кассовый разрыв из-за несогласованных платежей | Фин. директор | 5 (Катастр.) | 3 (Возможно) | 15 | 1. Внедрен платежный календарь (ПK). 2. Все платежи свыше 100 тыс. руб. требуют двойного утверждения (Фин. контролер + Фин. директор). |
1. Обнаружив. 2. Предупрежд. |
3 (Умерен.) | 1 (Редко) | 3 | Мониторинг. |
| Операции | Ошибка в налоговой декларации (НДС) из-за ручного ввода данных | Глав. бухгалтер | 3 (Умерен.) | 3 (Возможно) | 9 | 1. Декларация формируется автоматически в 1С. 2. Перекрестная проверка (сверка книги покупок/продаж) вторым бухгалтером перед отправкой. |
1. Автоматич. 2. Обнаружив. |
3 (Умерен.) | 1 (Редко) | 3 | Внедрить доп. сверку с контрагентами через ЭДО до закрытия периода. |
| IT | Утечка базы данных клиентов из-за действий сотрудника | IT-директор | 5 (Катастр.) | 2 (Редко) | 10 | Доступ к CRM имеет ограниченный круг лиц. | Предупрежд. | 5 (Катастр.) | 2 (Редко) | 10 | Риск не снижен! 1. Внедрить DLP-систему. 2. Ввести режим коммерческой тайны. |
Важные столбцы в этом шаблоне:
- Владелец риска: Конкретный ФИО или должность. Кто занимается управлением рисками компании? Не «отдел рисков», а владельцы — те, кто управляет процессом, где риск живет.
- Оценка «до» (Inherent): Это «врожденный» риск, если бы у нас не было никаких контролей.
- Оценка «после» (Residual): Это «остаточный» риск, который остается после применения нашего контроля.
- План мероприятий: Если остаточный риск все еще слишком высок (как в примере с IT), мы прописываем, что еще нужно сделать, чтобы снизить его до приемлемого (зеленого) уровня.
7. Жизнь после создания: Мониторинг и автоматизация
Карта рисков — не монолит. Она должна «дышать» вместе с бизнесом.
1. Мониторинг и актуализация:
- Ежеквартально: Владельцы рисков должны пересматривать свои риски (особенно «желтые» и «красные») и эффективность контрольных процедур.
- Ежегодно: Проводится полная сессия по пересмотру карты. Появились новые риски? Изменилась экономическая ситуация? (Например, санкции или новый закон).
- Карта рисков для аудита: Внутренний аудит использует эту карту как основу годового плана проверок. Если у компании нет собственной службы внутреннего аудита, эти задачи может закрыть инициативный аудит – внешняя независимая проверка, в рамках которой мы фокусируемся на зонах с высоким риском и тестировании ключевых контрольных процедур.
2. Автоматизация карты рисков:
Пока у вас 30-50 рисков, Excel — идеальный инструмент. Когда их сотни, а компания крупная, ручное управление становится невозможным. На помощь приходят GRC-системы (Governance, Risk, Compliance). Они позволяют:
- Вести единый реестр рисков и контролей.
- Автоматически рассылать владельцам напоминания об оценке.
- Собирать данные о срабатывании рисков (инциденты).
- Строить динамические «тепловые карты» для руководства.
Вывод
Правильно построенная карта рисков и контрольных процедур превращается из формальной «отписки» в мощный управленческий инструмент. Она позволяет финансовому директору и руководству принимать обоснованные решения: куда инвестировать, от какой деятельности отказаться, где усилить контроль, а где — ослабить, высвободив ресурсы.
Она строит мост между стратегией (Чего мы хотим достичь?) и контролем (Что нам может помешать и как мы защитимся?). Внедрение такой системы — это прямой путь к повышению прозрачности, управляемости и, в конечном счете, стоимости вашего бизнеса.
Частые вопросы
Чем отличается карта рисков от матрицы рисков?
Карта (реестр) рисков — это комплексный табличный документ с полным перечнем угроз, их владельцев и планом мероприятий. А матрица рисков — это визуальный инструмент оценки (так называемая «тепловая карта»), в которой риски распределяются по осям вероятности и степени влияния.
Какие бывают контрольные процедуры?
Контрольные процедуры делятся на три основных вида: предупреждающие (не позволяют риску произойти), обнаруживающие (помогают выявить уже случившуюся проблему) и корректирующие (устраняют последствия сработавшего риска).
С чего начать составление карты рисков в компании?
Первый шаг — определение «риск-аппетита» совместно с руководством. Затем следует идентификация рисков с использованием мозговых штурмов среди ключевых подразделений, а также анализ бизнес-процессов на наличие уязвимых мест.
Смотрите также
Если карта рисков уже собрана, но непонятно, работают ли контрольные процедуры на практике, используйте её как основу для инициативного аудита компании. Мы строим программу проверки вокруг зон с высоким остаточным риском: смотрим учет, документы, налоговые участки, полномочия, платежи и реальные контрольные действия, а затем показываем, где остаются «слепые зоны» и какие контроли не работают так, как задумано.
«Аллент-Аудит» — финансовый аудит и консалтинг с опытом более 30 лет.
Входим в топ-50 крупнейших аудиторских компаний России. Профессиональные аттестаты, поддержка бизнеса любого масштаба.
Проверить карту рисков независимым аудитом
Оставьте заявку, если нужно проверить, какие риски реально закрыты контролями, а где система учета и управления остается уязвимой.
Обсудить проверкуВажно: Данная статья подготовлена экспертами для владельцев бизнеса, финансовых директоров и главных бухгалтеров. Материал носит информационно-аналитический характер и не заменяет индивидуальную консультацию.
Следите за обновлениями
Анонсы статей, кейсы, недельные и месячные дайджесты законов.
Подписаться на канал →