К 2004 г. электронная коммерция превратилась в относительно небольшой, но быстрорастущий сектор мировой экономики. Согласно данным Государственного Департамента США по торговле, в третьем квартале 2004г. на долю электронной коммерции пришлось 1,9% всех продаж потребительских товаров и услуг в стране. В Европе этот показатель даже немного выше - по данным аналитиков он составляет около 2%. По России статистика отсутствует, но как было озвучено на конференции "Электронная коммерция и торговля-2004", общий оборот электронных сделок (корпоративных и потребительских) в нашей стране в 2004 г. превысил отметку в $600 млн[1]. Дальнейший рост числа компаний, внедряющих информационные технологии или полностью работающих в сфере электронной коммерции обусловлен тем, что при ведении бизнеса в электронной среде значительно снижаются транзакционные издержки.
При определении возможности и необходимости внедрения элементов электронной торговли в деятельность предприятия или организации следует учитывать так же, что ей, как и любой другой сфере человеческой деятельности, присущи риски, которые могут привести к ощутимым убыткам. Управление рисками и их оценка в системе корпоративного контроля - это система организационно-экономических мероприятий, направленных на своевременное выявление и оценку потенциальных рисков, предупреждение или минимизацию последствий случайных и трудно предсказуемых событий, которые могут привести к нарушению нормального функционирования или даже ликвидации предприятий и организаций[2]. Применительно к электронной коммерции это означает определение рисков, их ранжирование и принятие решения о распределении ответственности за контроль над рисками:
- Воздействие компьютерных вирусов.
- Перехват данных.
- Неправильная идентификация пользователей
- Несанкционированное проникновение в защищенные сети.
Как правило, в процессе функционирования отдела внутреннего аудита выявляется не один риск, а достаточно широкая совокупность рисков. Это означает, что стратегия развития внутреннего контроля, ориентированного на риск, должна обеспечивать единую систему эффективных мер по преодолению негативных последствий каждого элемента указанной совокупности, т.е. комплексно управлять всей совокупностью, или портфелем рисков.
Данное требование приводит к тому, что внутренний аудит исследует риски на двух уровнях:
- анализ рисков по отдельности, что создает условия для понимания аудитором особенностей той или иной рисковой ситуации либо специфики неблагоприятных последствий ее реализации. Подобный анализ дает возможность выбрать наиболее подходящие инструменты управления для каждого конкретного риска;
- изучение рискового портфеля в целом, что позволяет установить общее влияние рисков на рассматриваемую фирму. Подобное комплексное представление о совокупности рисков называется профилем риска, а его документальное выражение - паспортом риска. Это обеспечивает единую точку зрения службы внутреннего аудита на риски фирмы, а значит и определение особенностей ее политики по построению адекватной системы внутреннего контроля.
Очевидно, система внутреннего аудита, ориентированного на управление риском должна опираться на оба этих уровня и сочетать в себе инструменты и методы, характерные для каждого из них. Несоблюдение этого условия приведет к потере адекватности проводимой политики и, как следствие, к уменьшению финансовой устойчивости фирмы.
Изучение портфеля рисков в целом означает, что в исследование рисковой ситуации наряду с источниками неопределенности, связанными с поведением отдельных рисков, включается еще одна структурная характеристика риска - степень взаимосвязи между рисками. В большинстве случаев полная информация о нем отсутствует (например, известно, что риски в портфеле коррелированны, но не ясно, каким образом или какова природа взаимосвязи). Поэтому данный аспект также может быть мощным источником неопределенности, в которой имеет место система управления риском. Для преодоления этой неопределенности служба внутреннего аудита использует инструментарий информатизации компании, а именно:
- эффективная организация информационных потоков, позволяющая комплексно решать проблемы наиболее подходящему для этого менеджеру;
- обеспечение информационной безопасности принимаемых решений (включая отсутствие утечек информации, своевременность принятия решений, преодоление административных барьеров и т.д.);
- всесторонний учет различных ограничений для принятия решений (прежде всего, ресурсных и временных) для портфеля рисков в целом позволяет более эффективно управлять ресурсами.
Сочетание этих методов с учетом специфики конкретных рисков на уровне их индивидуального анализа делает систему внутреннего аудита, ориентированного на управление риском в условиях информатизации более адекватной и гибкой.
Для компаний любой формы собственности и принадлежности к любому сектору экономики[3] имеет смысл исследовать риски, связанные с доступом к информационно-коммуникационным технологиям для исключения структурной характеристики риска «опасность» в сети Интернет.
Учет специфики деятельности коммерческой организации в условиях информатизации позволит внутреннему аудитору установить приоритет ранжирования профильных рисков, требующий рассмотрения в первую очередь тех из них, которые оказывают на деятельность организации наибольшее воздействие. Взаимосвязь между стратегией развития фирмы и системой управления риском[4] проявляется не только в том, что первая определяет вторую, но и в наличии обратной связи, а именно: выбор того или иного варианта управления риском может потребовать некоторой корректировки указанной стратегии или предварительного учета определенных рисков при ее создании. Это объясняется наличием специфического влияния риска при ведении бизнеса в электронной среде на такие цели фирмы, как:
- продолжение операций. Событие, возникшее в результате реализации рисковой ситуации, может быть настолько неблагоприятным, что приведет к прекращению операций фирмы (например, в связи с ее банкротством). Очевидно, что в подобной ситуации цели и миссия фирмы не могут быть реализованы, поэтому стратегия развития фирмы должна учитывать возможность возникновения подобных обстоятельств. В данном аспекте наиболее вероятен риск, связанный с использованием объектов интеллектуальной собственности: нарушение чужих авторских и патентных прав, плагиат - "пиратское" - использование объектов интеллектуальной собственности, принадлежащих страхователю, утеря прав на объекты интеллектуальной собственности.
- стабильность операций и/или денежных потоков. Финансовый риск, порождаемый деятельностью в сфере е-коммерции: перерывы в бизнес-процессах из-за атак хакеров или ошибок в программах, в том числе вызванных нелояльностью программистов и иные непредвиденные расходы; риск утраты и повреждения оборудования, посредством которого осуществляется деятельность на рынке е-коммерции; риск, связанный с хранением и доставкой товаров, являющихся объектами онлайновой торговли.
- прибыльность операций. Хотя для достижения определенных целей фирма может позволить себе относительно короткие периоды убыточной работы, прибыльность операций является необходимым условием ее функционирования в долгосрочной перспективе, поэтому риск, связанный с финансовой информацией, используемой в сфере электронной коммерции (повреждение, искажение, хищение, блокирование доступа) явялется очень актуальным.
- деловая репутация. Риск нарушения обязательств партнерами (например, компаниями, осуществляющими доставку товаров -- объектов онлайновой торговли)
Проведенный анализ показывает тесную взаимосвязь между стратегией развития фирмы, с одной стороны, и рисками и системой аудита и контроля, с другой стороны, в условиях развития электронной коммерции как важнейшего направления деятельности любой компании при формировании конкурентного преимущества на рынке. Наличие такой взаимосвязи свидетельствует, во-первых, о важности учета и внутреннего аудита рисков и осуществления мер по управлению ими и, во-вторых, о том, что управление риском является важной составной частью общего менеджмента компаний.
[1] http://www.technet.ru/index.php?r=12&article=2105
[2] Оценка риска и внутренний контроль. Характеристика и учет среды компьютерной и информационной систем: Правило (стандарт) аудиторской деятельности //Аудитор.- 2000.-№12 .- С.51-55. - (Стандарты аудиторской деятельности).
[3] См. Gramling, A. A., Stone D. N. Audit firm industry expertise: A review and synthesis of the archival literature //Journal of Accounting Literature. -2001. -№20. - PP. 1-29.
[4] См. Hermanson, Heather M., An Analysis of The Demand For Reporting On Internal Control //Accounting Horizons. 08887993. -Sep. -2000. -Vol. 14. -Issue 3. Database: Business Source Premier.