Category: Risk management

Тренинг: Использование технологий больших данных (Big Data) и интеллидженс во внутреннем аудите

Тренинг: Использование технологий больших данных (Big Data) и интеллидженс во внутреннем аудите

2 дня, корпоративный формат (август-сентябрь). Место проведения: определяется заказчиком

Почему: Великая технологическая революция интернета вещей (IoT) приводит к радикальному изменению принципов и правил внутреннего контроля. Каким станет внутренний аудит и внутренний контроль в ближайшие пять лет? Как освоить новые технологии и новый уровень эффективности внутреннего контроля?

Зачем: Чтобы изменить своё понимание внутреннего контроля и внутреннего аудита, увидеть новые пути и способы повышения эффективности бизнеса.

Для кого: Для тех аудиторов и контролёров, кто видит изменения в технологической среде и понимает, что все они требуют от нас знать и уметь нечто, что ещё не написано в стандартах внутреннего аудита и книгах по внутреннему контролю.

В результате: знания теории и практики внутреннего контроля в современной технологической среде. Повышения эффективности процессов: разработки контрольных процедур, оценки рисков системы внутреннего контроля, проведения внутренних расследований.

В программе:

– Интеллидженс и технологии обработки больших данных в системе внутреннего контроля

– Особенности контрольных процедур и их оценки в эпоху технологий интернета вещей.

– Большие данные: основы технологии и использования во внутреннем аудите

– Новые принципы и правила внутреннего контроля с использованием средств Big Data и интеллидженс.

Чего точно не будет:

– рассказа про кубик COSO и три линии обороны и прочих общеизвестных теорий.

Дополнительно:

Для участников тренинга будет проведены два предварительных вебинара по теме тренинга – для предварительной подготовки участников и повышения эффективности восприятия материала непосредственно на тренинге.

Кто проводит: Ассоциация “Объединение сертифицированных специалистов по расследованию хищений” в сотрудничестве с MS Business Security Consulting Oy. Участники получают 12 часов CPE международного образца (ACFE).

Лектор и автор курса: Сергей Мартынов, CFE, CIA, CISA, Ms. Criminal Justice, профессиональный бухгалтер.

Контакты по всем вопросам: e-mail: martynovsa@mac.com

Advertisements
Как я провёл лето

Как я провёл лето

План сочинения.

Место действия: окрестности Москвы, Хельсинки, Брюсселя или ваш собственный офис (учебный центр). По цене, что самое интересное, разницы нет. За границей даже дешевле. Приглашения на визу напишем. Если слушателей больше 15, то выгоднее корпоративный тренинг.

Даты проведения: с 20 июля по 3 сентября. Да, пора отпусков – но это же хорошо. Как пиво по утрам. Не только вредно, но и полезно. Трудно отрываться для обучения, когда надо год или квартал закрывать, командировки, отчёты, советы директоров, комитеты по аудиту. Готовь летом сани, что называется.

   О чём это:

“Выстраиваем систему знаний: внутренний аудит и контроль в безопасности бизнеса”

Ну, это вообще-то не только для внутренних аудиторов, но и для всех, кто занимается контролем – СЭБ, КРУ, риск-менеджеры, комплайенс и так далее. Очень хорошо для начинающих – кто в профессии один-два года. Пока связки в мозгу не срослись неправильно.

Факт: на внутренних аудиторов не учат нигде. Причины обсуждать здесь не будем, лучше попробуем решить проблему. Стандарты внутреннего аудита, конечно, хороши, но в доме надо иметь и мясные закуски. То есть что жить надо правильно, в стандартах написано, а как жить правильно – об этом мы и поговорим.

Без учебников и стандартов, без лишней формалистики: что такое система внутреннего контроля, что такое контрольная процедура, что такое хорошая контрольная процедура, критерии оценки устойчивости контрольных процедур к намеренному нарушению и хищениям, секреты оптимизации контрольных процедур, оценка рисков не формально, расследования, профессиональное проведение интервью, интеллидженс в бизнесе, корпоративная культура – её создание и аудит, психология менеджмента, планирование и организация работы ВА, разработка методик и так далее. Абсолютно уникальный курс на 4 дня, в него собрал всё, что нажито непомерным трудом за более чем 15 лет работы во внутреннем аудите и нужно знать контролёру и аудитору для жизни.

До связи: martynovsa@mac.com

Искренне Ваш,  MS Business Security Consulting Oy

Про оценку рисков: легким движением руки…

Про оценку рисков: легким движением руки…

Оценка рисков – это не более чем попытка предсказать будущее или выявить скрытый факт на основании использования ранее накопленного опыта. Как и во все времена, на предсказаниях кормилось и кормится куча всяких шарлатанов. Вещай, что хочешь (точнее, что хотят от тебя услышать) – а там, глядишь – или шах, или ишак сдохнет. Не сдохнет – так объясним им популярно, что Луна в третьем доме неудачно сложилась с девиацией VAR в неэвклидовом пространстве. В общем, бизнес прибыльный и непыльный.

Но всё же. Давайте попробуем рассмотреть проблему оценки рисков без всякой черной магии. Как говорил господин артист, фокусы будут непременно с разоблачениями.

Можно выделить несколько уровней осознания накопленного опыта  и применения в целях предсказания того, что будет.

Уровень 0. Метод одинокого эксперта, не отягощенного знаниями. Почесал в затылке, и оценил риск зелененьким, желтеньким или красненьким. Почему – никто не знает. Его экспертное суждение, понимаете ли. Называется “метод семафора”. По точности оценки риска это примерно то же, что метод блондинки, оценивающей вероятность встретить тигра на улице как 50/50 – то ли встречу, то ли нет. Замечательно то, что оценка риска может меняться радикально с приходом нового эксперта. Используется при подготовке отчетов для совета директоров и всяких регуляторов. Не вздумайте повторять этот трюк в домашних условиях и реальной жизни.

Уровень 1. Мы периодически наблюдаем некоторое явление, например, то, что при наступлении весны снег тает. Или при переходе улице в неположенном месте человек попадает под машину. Из этого мы делаем индуктивный вывод о том, что в  следующий раз, когда наступит весна, снег в конце концов растает. Мы предсказываем, что в будущем весной снег растает.

Другой пример: Мы наблюдаем, что машины “Мерседес” угоняют чаще, чем автомобиль “Москвич”. Исходя из общего количества автомашин определённо марки и количества угнанных из них мы делаем вывод, что вероятность угона нашей машины “Москвич” – такая-то.

Особенность метода: нас не интересуют причины, по которым снег тает или угоняемость конкретной марки выше или ниже. Мы не анализируем причины – мы просто отмечаем частоту явления и пытаемся использовать статистику для оценки величины риска того, что в следующий раз это явление наступит или не наступит.

Точность метода хорошая, одна беда – применяться статистика может только к случайным событиям, то есть очень однотипным, и имеющим значительное число повторений. Рассчитывать риск пожара на АЗС таким методом не рекомендуется – все заправки разные по оснащению, расположению, обученности персонала и т.д. А вот в страховании и кредитовании статистика применяется. Правда, не всегда грамотно (см. уровень 2)

Уровень 2. Нередко мы натыкаемся на ограничения использования методики оценки риска уровня 1. Они связаны прежде всего с тем, что частота и другие характеристики изучаемого явления могут со временем изменяться. Мерседес, понимаешь, в этом году перестал пользоваться популярностью у угонщиков. И вся наша история наблюдений и статистика на её основе,  приводит нас к ошибкам. Особенно это правильно в отношении курса акций на фондовом рынке. Попытки статистически предсказать поведение рынка привели к краху многие крупные компании, а кое-кто утверждает, что они вообще спровоцировали последний финансовый кризис 2008 года.

Что делать в этом случае? Переходим к поиску конкретных причин явления, которое нас интересует. Пытаемся найти причины (факторы), непосредственно вызывающие изменение частоты явления (величины риска), и рассчитывать риск, основываясь на значении этих определяющих риск факторов. Имея достаточно большое количество наблюдений, мы можем попытаться посчитать корреляцию (зависимость) между риском и его предполагаемым фактором. Или использовать другие математические модели, отражающие зависимость изучаемого явления от изменений факторов. При этом одна из возможных ошибок аналитика – увидеть связь между явлениями там, где её нет только на основе корреляции. Например, все, кто ел огурцы, умерли. Корреляция между фактом смерти, и фактом поедания огурцов – 1,0. Но это не говорит о том, что огурец – смертельно ядовитый овощ.  Не смейтесь, аналитики часто выводят зависимости на основе корреляции. И потчуют ими, как огурцами, почтеннейшую публику.

Уровень 3. Но иногда мы и при применении этого метода наталкиваемся на ограничения. Например, когда у событие случается настолько редко в сопоставимых условиях, что у нас просто нет достаточного количества наблюдений для расчёта корреляции и величины риска методами математической статистики и теории вероятности. Тот же пожар на АЗС не настолько частое явление, чтобы применять статистику.

Но мы и здесь не сдаемся! Если у нас есть большое количество действующих факторов риска, то надо их выявить, определить – хотя бы приблизительно силу влияния каждого из них на конечное событие, и подсчитать их совместную силу воздействия, и понять, произойдёт ли событие риска.

И тогда мы выдвигаем две версии (рванёт-не рванёт), производим сбор и анализ информации о действующих факторах, оцениваем их соответствие каждой из гипотез и выбираем ту из них, которая в наибольшей степени подтверждается имеющимися фактами. Потом говорим, что с определенной степенью риска рванёт. Или нет. Да это, в конце концов, и не важно.

А важно то, что вы, наверное, и не заметили, как легким движением руки я превратил оценку рисков в типичный цикл интеллидженс. Конечно, и гипотез может быть не две, а побольше, и методы оценки действующих факторов используются свои. Но когда меня спрашивают, как я оцениваю риски – отвечаю, что оценка рисков – это не более чем интеллидженс.

ЗЫ

Еще почитать о рисках:

1. https://www.linkedin.com/pulse/%D0%B4%D0%B0-%D1%87%D1%82%D0%BE-%D0%B2%D1%8B-%D0%B7%D0%BD%D0%B0%D0%B5%D1%82%D0%B5-%D0%BE-%D1%80%D0%B8%D1%81%D0%BA%D0%B5-sergey-martynov?trk=mp-author-card

2. https://www.linkedin.com/pulse/%D1%82%D0%B0%D0%BD%D1%86%D1%8B-%D1%81-%D0%B1%D1%83%D0%B1%D0%BD%D0%BE%D0%BC-%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0-%D0%B2-%D1%86%D0%B5%D0%BD%D0%BA%D0%B5-%D1%80%D0%B8%D1%81%D0%BA%D0%BE%D0%B2-sergey-martynov?trk=mp-author-card

3. https://www.linkedin.com/pulse/%D1%80%D0%B8%D1%81%D0%BA%D0%B8-%D0%BA%D0%BE%D1%82%D0%BE%D1%80%D1%8B%D0%B5-%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D1%8F%D1%8E%D1%82-%D0%BB%D1%8E%D0%B4%D1%8C%D0%BC%D0%B8-sergey-martynov?trk=mp-author-card

4. https://www.linkedin.com/pulse/erm-%D0%BD%D0%B0-%D0%BE%D1%82%D0%B4%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE-%D0%B2%D0%B7%D1%8F%D1%82%D0%BE%D0%B9-%D0%BB%D0%B5%D1%81%D1%82%D0%BD%D0%B8%D1%87%D0%BD%D0%BE%D0%B9-%D0%BA%D0%BB%D0%B5%D1%82%D0%BA%D0%B5-sergey-martynov?trk=mp-author-card

-Надо, Федя, надо!

-Надо, Федя, надо!

В кризис нужно экономить на всём, кроме здоровья и образования. Ровно то же самое верно и для бизнеса. Важно сохранить здоровье бизнеса, а для этого недостаточно выпить волшебную пилюлю. Просто потому, что таких пилюль не бывает, что бы ни рассказывали продавцы всяких чудодейственных программных систем (пилюль счастья). Не бывает такого: нажал кнопку – и счастье. Безопасность бизнеса, как и своё собственное здоровье, невозможно купить ни за какие деньги.

Придется, увы, правильно питаться, делать зарядку и вообще много ещё чего ужасно скучного. И своими собственными ручками. Попробую рассказать о том, что нашему типичному пациенту – то бишь клиенту придётся делать в 2016 году.

  1. Придется пройти диспансеризацию, сдать анализы и получить диагноз своей системы безопасности бизнеса (или того, что ей условно можно назвать). Узнать, что что надо лечить в первую очередь и как. Ну понятно, больше гулять на свежем воздухе и перестать кушать жирное и сладкое одновременно, да ещё на ночь залить всё пивасиком. Кому же такое понравится? Врачи уроды, кругом враги…
  2. Подумать о разработка и внедрении системы противодействия хищениям в компании. Это как зашиться от алкоголизма. Так было хорошо – и на тебе. И как бы придется бороться с этими самыми, хищениями. «Студент, а может, не надо? Надо, Федя, надо». Российские компании пропивают (теряют от хищений) в среднем 30% от общей суммы затрат на производство. Хочешь быть конкурентоспособным? Тогда придется.
  3. Займемся напряжением интеллекта (или того, что есть) из последних сил. То есть будем внедрять интеллидженс для раннего выявления хищений и даже не фактов, а рисков хищений. Выявить риск и принять меры не после того, как украдено всё, а немного раньше – бесценно. То есть будем разрабатывать и внедрять систему оценки рисков хищений.
  4. Придется заняться как следует корпоративной физкультурой. Подход “один попугай сдохнет – другого купим” в наше время очень дорогой. Толковых попугаев на рынке не осталось, да и когда ещё он научится кричать “Попка-дурак” правильно? Лучше со своими попугаями и тараканами в их головах поработать. Оно как-то дешевле, чем потом протезы покупать. Будем разрабатывать реальную программу формирования корпоративной культуры и проводить аудит КК.
  5. Система риск менеджмента. Надо либо заниматься этим реально, либо сэкономить и не жить – разогнать всех риск менеджеров. Конечно, и без этого типа прожить можно. Но в период кризиса – недолго. Зато ни о чём таком не думая.
  6. Ну и поучить персонал – люди, они ведь принесут намного больше пользы, если их немного подучить. За те же деньги.

Ну вот как-то так, с наступающим! Кризисом!

Герой нашего времени

Герой нашего времени

    Он торговал вразнос вареными джинсами на рынке – и повезло, не убили в бандитских разборках.

За взятки и откаты “приватизировал” предприятия и целые отрасли – и опять повезло, не посадили.

Заказывал конкурентов – всё осталось шито-крыто.

Самому пару раз повезло, когда конкуренты взорвали его машину.

А скольким таким же не повезло? Которые делали то же самое и давно уже сгнили на кладбище? Они были не менее и не более умные, чем наш герой. Они делали все то же самое, но только мина, заложенная конкурентом или партнером по бизнесу в его машину, сработала.

И вот уже наш герой-везунчик окружен толпой прихлебателей и подхалимов, которые с утра до вечера льют в уши “Какой же вы гений, Иван Иванович”. И герой начинает верить в свою исключительность, что любой риск для него нипочём – да просто потому что он – гений.

А потом в один прекрасный день оказывается, что кредит возвращать нечем, потому что случился кризис, или власть захотела отнять бизнес – и раскопала прежние преступления, или что-то ещё пошло не так, как виделось в красивых героических снах. Ё-мобиль не ловится, не растёт кокос.

Когда у вас нет ничего, кроме производства вареных джинсов или палёной водки на съемной квартире, вам терять нечего – любой риск оправдан. Но по мере того, как бизнес растёт, и начинает стоить миллионы и миллиарды, пора начинать думать не о собственной гениальности, а о грамотном управлении рисками.

Этого как раз не происходит. В текучке текущих дел и суете героических подвигов герою некогда заняться самообразованием, и складывается ситуация, которую я называю “Бизнес перерос своего владельца“. А дальше происходит то, что происходит, когда мальчишка, только что научившийся рулить “кукурузником”, вдруг внезапно обнаруживает, что это уже не кукурузник, а Боинг. “Эге-гей, здорово – кричит он – я самый крутой – сделал из дохлого кукурузника Боинг! Сейчас полетаем! Скорее пишите про меня книжки, чтобы все брали пример – что я ем на завтрак, что я думаю по поводу оленей-тюленей-баб-чего угодно. Я – образец для подражания, красавчик!”

И как-то все забывают, что 99,9% таких красавчиков – в лучшем случае разорились, а в худшем уже никого не беспокоят. И никто не спрашивает их, что они ели и в каком ресторане.

Мораль: Чтобы управлять рисками, нужно изучать истории не тех, кто добился успеха, а тех, кто сошел с лыжни…

А что наш герой? Да ничего особенного, пока полетает, просто его время ещё не пришло, когда толпа будет обсуждать – да как же он мог сделать такую глупость и разориться?

Оценка риска

Событие риска – результат совокупности большого числа известных и, что более важно, неизвестных факторов. К тому же сила влияния этих факторов на событие риска и друг на друга неизвестны. Поэтому оценка риска, хотя бы приблизительно, возможна в двух случаях:
1) у нас есть статистика, мы к тому же предполагаем, что зависимость не меняется во времени – тогда используем статистику; но такие случаи, когда можно использовать статистику, уникальны;
2) у нас есть набор факторов (откуда-то мы его взяли); сила действия каждого фактора (откуда-то мы это тоже взяли) и алгоритм вычисления итоговой оценки риска (мы его тоже туда-то взяли) – тогда мы можем вычислить итоговую оценку риска в неких условных единицах.
Вот, собственно и все возможности. Я бы еще отдельно отметил, что выявление и оценка рисков – это процесс не использования неких математических моделей, а извлечения информации из людей и её анализа.