Põhjalik riskihinnang on siseauditi üksuse tööle oluliseks sisendiks, sest riskide hindamisega selgitatakse välja need valdkonnad ja teemad, mis on kriitilisemad ja võetakse seetõttu auditi tööplaani esmajärjekorras.
Riskide hindamise eesmärk on tuvastada, analüüsida ja hinnata potentsiaalseid riske, mis võivad mõjutada oluliselt ettevõtte toimimist ja eesmärkide saavutamist.
Õigesti läbi viidud riskide hindamine võimaldab kasutada ettevõtte ressursse kõige tõhusamalt, sest nii hoitakse fookust teemadel/valdkondadel, kus riskid on kõige suuremad ja kahju seega samuti kõige suurem riski realiseerumisel.
Käsitleme selles artiklis riskihinnangu samm-sammulist läbiviimist koos praktiliste näidetega. Artiklist leiad ka soovitusi AI rakenduste kasutamiseks ning vaatame, kas ja kuidas erineb riskide hindamine era- ja avaliku sektori organisatsioonis.
Riskide hindamise sammud
- Riskide tuvastamine
- Kaasa erinevad huvipooled: kogu sisendit ettevõtte osakondadelt, juhtkonnalt ja välistelt ekspertidelt, et tagada terviklik riskide loetelu. Näiteks võib IT-osakond tuvastada küberohte, samas kui finantsosakond võib esitada finantsriske.
- Kasuta ajaloolisi andmeid ja analüüse: vaata läbi varasemad auditid, aruanded ja intsidendid, et tuvastada korduvaid ja uusi riske.
- Vii läbi intervjuud ja tee vajaliku küsitlused: vestle võtmeisikute ja töötajatega, et tuvastada riske, mis võivad esile tulla mitteformaalses suhtluses.
- Riskide analüüs ja hindamine
- Hinda riskide tõenäosust ja mõju: kasuta kvantitatiivseid või kvalitatiivseid meetodeid riskide tõenäosuse ja mõju hindamiseks. Näiteks võib finantsriskide hindamiseks kasutada kvantitatiivset hinnangut, samas kui mainekahju riski puhul saab kasutada kvalitatiivset hinnangut.
- Tõenäosuse ja mõju hindamise maatriks: loo riskide hindamise maatriks, mis kaardistab riskid nende tõenäosuse ja mõju järgi. Kõrge tõenäosusega ja suure mõjuga riskid asetuvad maatriksis kõrge prioriteediga alale.
- Riskide prioriteetide määramine
- Määra riski prioriteet ja riskitaluvus: analüüsi, kui palju riske organisatsioon on valmis taluma, ja võrdle seda hinnatud riskidega, et määrata prioriteedid.
- Kaasa juhtkond prioriteetide määramisse: aruta juhtkonnaga riskide prioriteetsust ja ressursi jaotust nende riskide haldamiseks.
Praktilised näited
- Küberohutuse riskid:
- Tuvastamine: IT-osakond teatab andmete lekkimise ohtudest, mis on põhjustatud vananenud tarkvarast ja ebapiisavatest turvameetmetest.
- Analüüs ja hindamine: Kasutage küberriskide hindamise tööriistu, nagu näiteks NIST küberjulgeoleku raamistik, et määrata andmelekkimise tõenäosus ja potentsiaalne mõju.
- Prioriteetide määramine: risk hinnatakse kõrgeks ja paigutatakse maatriksis kõrge prioriteediga ossa, kuna andmete leke võib põhjustada suurt finants- ja mainekahju.
- Tarnijariskid:
- Tuvastamine: hankeosakond tuvastab riskid, mis on seotud kriitiliste tarnijate ebastabiilsuse või tarnete viivitustega.
- Analüüs ja hindamine: hinda tarnijariskide tõenäosust ja mõju, kasutades tarnijate hindamise meetodeid, mis võivad sisaldada finantsseisundi analüüsi ja tarnete ajalugu.
- Prioriteetide määramine: tarnijariskid hinnatakse mõõdukaks, kuid vajadus kriitiliste tarnete tagamiseks paigutab need riskid prioriteetse hulka.
- Juriidilised riskid:
- Tuvastamine: juriidiline osakond tuvastab riskid, mis on seotud lepinguliste kohustuste mittetäitmise ja õiguslike vaidlustega.
- Analüüs ja hindamine: kasuta õiguslike riskide hindamise tööriistu ja konsultatsioone, et määrata võimalik raha- ja mainekahju.
- Prioriteetide määramine: juriidilised riskid hinnatakse kõrgeks, eriti lepinguliste kohustuste puhul, mis võivad viia suurte rahaliste nõueteni.
AI rakendused riskide hindamiseks ja analüüsimiseks
1. Riskide tuvastamine ja analüüs
- AI-põhised andmekaevetööriistad: rakendused nagu IBM Watson ja SAS Risk Management kasutavad andmekaevet ja masinõpet, et tuvastada mustreid ja riske suurtes andmehulkades.
- Loodusliku keele töötlemine (NLP): NLP tööriistad, nagu Google Cloud Natural Language, saavad analüüsida tekstipõhiseid allikaid, näiteks lepinguid ja aruandeid, et tuvastada võimalikke riske.
2. Riskide tõenäosuse ja mõju hindamine
- Stsenaariumi simulatsioonid: tarkvarad nagu @RISK ja Monte Carlo simulatsioonid saavad modelleerida ja simuleerida erinevaid stsenaariume riskide tõenäosuse ja mõju kvantifitseerimiseks.
- Masinõppemudelid: masinõppe algoritmid saavad analüüsida ajaloolisi andmeid ja ennustada riskide tulevasi tõenäosusi ja mõjusid, kohandades pidevalt prognoose uute andmete põhjal.
3. Riskide prioriteetide määramine
- Riskikaartide koostamise tööriistad: tarkvarad nagu RiskWatch ja RSA Archer võimaldavad luua dünaamilisi riskikaarte ja maatrikseid, mis visualiseerivad riskide prioriteete ja aitavad juhtkonnal otsuseid langetada.
- Automatiseeritud aruandlus: AI-põhiste aruandlustööriistadega saab koostada ja jaotada riskianalüüsi aruandeid, hõlbustades juhtkonna kaasamist ja informeeritud otsuste langetamist.
Riskide hindamine era- ja avalikus sektoris
Eraettevõtted keskenduvad enam finantsriskidele, tururiskidele ja konkurentsiohtudele. Nad kasutavad paindlikumaid riskihinnangumudeleid ja peavad kiiremini kohanema riskimaastiku muutustega. Ettevõtte peamine eesmärk on kaitsta kasumlikkust ja aktsionäride huve.
Avalik sektor keskendub rohkem vastavuse ja regulatiivsete riskide, poliitiliste riskide ja avaliku maine riskide haldamisele. Avaliku sektori organisatsioonid peavad järgima rangemaid eeskirju ja standardeid ning neil võib olla vähem paindlikkust riskihinnangute tegemisel. Peamine eesmärk on tagada avalike ressursside efektiivne ja seaduslik kasutamine.
Kokkuvõte
Riskide põhjalik hindamine on kriitiline osa siseauditi üksuse töös, sest nii seatakse fookus kõige kriitilisematele valdkondadele ja riskidele. Kaasaegsed AI tööriistad ja meetodid, nagu andmekaevandus, NLP ja simulatsioonid teevad riskide tuvastamise ja hindamise täpsemaks ja sellest on kokkuvõttes rohkem kasu. Erinevused era- ja avaliku sektori organisatsioonide riskide hindamises kajastavad nende eesmärke ja regulatiivseid nõudeid, mõjutades lähenemist riskide haldamisele.
Läbimõeldud riskide hindamine võimaldab organisatsioonil riske ennetada ja maandada, olla valmis ohtudeks ning planeerida vajalikke ressursse. Investeerimine kaasaegsetesse tööriistadesse ja meetoditesse on kriitiline samm tõhusate ja väärtust loovateks audititeks.
Viide: Institute of Internal Auditors. (2024). Guide to Effective Risk-Based Auditing. The IIA.