Управление рисками организации. Интегрированная модель ("Риск-менеджмент", N 5-6, май-июнь 2007 г.)

Управление рисками организации.
Интегрированная модель

Редакция продолжает публикацию стандартов риск-менеджмента. В этом номере предлагаем вниманию читателей первую часть документа, подготовленного комитетом спонсорских организаций комиссии тредвея, известного как coso. Русская версия подготовлена компанией делойт совместно с институтом внутренних аудиторов.

Определение

Основной целью настоящего документа является желание помочь руководителям коммерческих предприятий и других организаций лучше управлять рисками в ходе достижения целей организации. Однако термин "управление рисками организации" интерпретируется руководителями по-разному, а большое число толкований и значений мешают формированию его единого понимания. В связи с этим важной задачей является интегрировать различные концепции управления рисками в единый отчет, устанавливающий общепринятое определение процесса управления рисками, описывающий его основные компоненты и понятия. Данный документ учитывает множество различных точек зрения и является основой для оценки и оптимизации управления рисками отдельными организациями, а также может использоваться регулирующими органами в их работе и в процессе обучения в образовательных учреждениях.

Неопределенность и стоимость

Основополагающей предпосылкой управления рисками организации является то, что каждая организация, включая как коммерческие предприятия, так и некоммерческие и государственные организации, действует с целью увеличения своей стоимости для сторон, заинтересованных в ее деятельности. Все организации сталкиваются с неопределенностью, и задачей руководства является определение того, с какой степенью неопределенности организация готова смириться, стремясь к увеличению стоимости для заинтересованных сторон. Неопределенность, с одной стороны, таит в себе риск, а с другой - открывает широкие возможности. Неопределенность, таким образом, может привести как к снижению, так и к увеличению стоимости. Управление рисками предоставляет руководству основу для эффективного принятия решений в условиях неопределенности, а также управления связанными с ней рисками и возможностями, что увеличивает потенциал организации в повышении своей стоимости. Организации работают в условиях действия таких факторов, как глобализация, развитие технологий, постоянные реструктуризации, изменяющиеся рынки, конкуренция и нововведения в регулировании, которые ведут к появлению неопределенности. Неопределенность возникает в связи с невозможностью точно идентифицировать вероятность возникновения событий и их результат.

Неопределенность также существует и возникает в связи с осуществляемым организацией выбором определенных вариантов стратегического развития. Например, организация может иметь стратегию развития, предусматривающую выход на рынки другой страны. Данная стратегия, с одной стороны, сопряжена с рисками, а с другой стороны, предоставляет возможности, связанные со стабильностью политической обстановки в стране, источников ресурсов, рынков, инфраструктуры, рабочей силы и уровня издержек.

Стоимость организации создается, сохраняется или уменьшается в зависимости от решений, принимаемых руководством по всем направлениям деятельности, от определения стратегии до оперативного управления. Создание стоимости происходит в результате размещения ресурсов, к которым относятся персонал, капитал, технологии и торговая марка, таким образом, чтобы полученные выгоды были больше, чем затраты, понесенные на задействованные ресурсы. Организация сохраняет стоимость за счет обеспечения качества продукции и услуг, эффективного использования производственных мощностей и удовлетворенности клиентов. Уменьшение стоимости происходит в случаях, когда эти цели не достигаются из-за плохого стратегического планирования или неудовлетворительной реализации выработанной стратегии. Решения должны приниматься с учетом существующих рисков и возможностей, то есть руководство должно анализировать информацию о внутреннем и внешнем окружении, эффективно размещать ресурсы и вносить коррективы в деятельность организации с учетом меняющихся обстоятельств. Рост стоимости будет максимальным, если руководство определяет стратегию и цели таким образом, чтобы обеспечить оптимальный баланс между ростом компании, ее прибыльностью и рисками, эффективно и производительно использует ресурсы, необходимые для достижения целей организации. Управление рисками организации включает в себя: "Достижение оптимального соотношения между риск-аппетитом и стратегией развития. Руководство оценивает риск-аппетит сначала на этапе оценки стратегических альтернатив, затем на этапе постановки целей, отвечающих выбранной стратегии, и при разработке механизмов управления соответствующими рисками. Например, фармацевтическая компания имеет низкий риск-аппетит по отношению к стоимости своего бренда. Соответственно, с целью защиты своего бренда она использует подробно регламентированные процедуры, направленные на обеспечение безопасности своих продуктов, и регулярно инвестирует значительные ресурсы в фундаментальные исследования и разработку новых продуктов для повышения стоимости бренда.

Совершенствование процесса принятия решений по реагированию на возникающие риски. Процесс управления рисками в организации определяет, какой способ реагирования на риск в организации предпочтителен - уклонение от риска, сокращение риска, перераспределение риска или принятие риска. Например, руководство компании, использующей собственные автомобили компании для доставки своих товаров, признает риски, связанные с процессом доставки, включая стоимость ремонта транспортных средств и возмещения убытков, связанных с причинением личного вреда в случае аварии. Возможные варианты реагирования на риск могут быть следующими: сокращение риска за счет эффективного найма и обучения персонала, уклонение от риска посредством передачи функции доставки третьей стороне, перераспределение риска за счет страховки или принятие риска в полном объеме. Процесс управления рисками в организации должен включать методологию и процедуру принятия таких решений.

Снижение числа непредвиденных событий и убытков в хозяйственной деятельности. Организации выигрывают при увеличении способности определять события и принимать соответствующие меры, сокращая число таких событий и связанных с ними затрат и убытков. Например, производственная компания отслеживает частоту поломок оборудования и отклонение их числа от средних значений. Компания анализирует влияние таких поломок, используя различные критерии, включая время, затраченное на ремонт оборудования, неспособность удовлетворить требования клиентов, поддержание безопасных условий труда для сотрудников, стоимость внепланового ремонта по сравнению с запланированной стоимостью, и исходя из этого составляет графики техобслуживания.

Управление всей совокупностью рисков в хозяйственной деятельности. Каждая организация сталкивается с большим количеством рисков, влияющих на разные составляющие организации. Руководство должно управлять не только отдельными рисками, но и принимать во внимание их взаимосвязанное воздействие. Например, банк сталкивается с разнообразными рисками, связанными с трейдинговой деятельностью, которые охватывают различные его подразделения. Для целей управления рисками руководство разработало информационную систему, которая помогает анализировать данные о сделках и ситуации на рынке, полученные из других внутренних систем, которые вместе с внешней информацией дают общую картину рисков, связанных с трейдинговой деятельностью. Информационная система позволяет анализировать данные по департаментам, клиентам или контрагентам, трейдерам и отдельным сделкам и количественно оценить фактический риск по отношению к установленному уровню риска для каждой категории. Система позволяет банку свести воедино ранее разобщенные данные для более эффективного управления рисками и использовать как совокупную информацию, так и информацию в разрезе каждой категории.

Использование интегрированных методов управления рисками. Бизнес-процессы связаны с большим количеством внутренних рисков. Система управления рисками организации позволяет найти интегрированные решения по управлению комплексом рисков в совокупности. Например, оптовая компания несет риски, связанные с излишком или недостаточностью запасов, неустойчивостью поставок и чрезмерно высокими закупочными ценами. Руководство определило и оценило риски с учетом стратегии и целей компании, а также альтернативных методов управления, и разработало комплексную систему контроля запасов. Система интегрирована с аналогичными системами поставщиков, позволяя осуществлять обмен данными об объемах продаж и запасов, организовать стратегическое партнерство, избегать отсутствия необходимых товаров на складе и чрезмерных издержек хранения товаров, заключать более длительные контракты на поставку и оптимизировать процесс ценообразования. Поставщики принимают на себя ответственность за пополнение запасов, что обеспечивает дополнительное снижение издержек.

Использование возможностей. Принимая во внимание все события, а не только вероятные риски, руководство способно выявлять события, представляющие собой потенциальные возможности, и активно их использовать. Например, компания по производству пищевых продуктов оценила возможные события, способные повлиять на достижение цели компании, заключающейся в устойчивом росте доходов. При этом руководство определило, что среди основных потребителей продукции компании наблюдается рост интереса к качеству потребляемых ими продуктов, и их предпочтения в соответствии с этим изменяются, что предвещает будущий спад спроса на текущую продукцию компании. При определении возможной стратегии реагирования на этот риск, руководство использовало существующие возможности для разработки новых продуктов, что позволило ей не только сохранить поступления от продаж продукции своим клиентам, но и увеличить доходы за счет расширения клиентской базы.

Рациональное использование капитала. Более полная информация о рисках позволяет руководству более эффективно оценивать общие потребности в капитале и оптимизировать его распределение и использование. Например, новое законодательство вводит более строгие нормативы достаточности капитала для финансовых компаний, требующие от их руководства более точного расчета уровней кредитного и операционного риска и связанных с ними потребностей в капитале, при несоблюдении которых увеличивается норматив обязательного капитала. Финансовая компания оценила риск этого нововведения как соотношение между стоимостью разработки новых IT-систем и расходами, связанными с привлечением дополнительного капитала; после анализа было принято обоснованное решение. На основе существующего легко модифицируемого программного обеспечения предприятие разработало систему, позволяющую производить более точные вычисления и не привлекать дополнительный капитал. Данные возможности, открываемые процессом управления рисками организации, помогают руководству в достижении целевых производственных показателей и показателей рентабельности, а также в предотвращении нерационального использования ресурсов. Процесс управления рисками помогает обеспечить эффективность процесса подготовки финансовой отчетности и соблюдение законодательных и нормативных актов, снизить вероятность нанесения ущерба репутации компании и влияние других неблагоприятных последствий. Таким образом, процесс управления рисками помогает руководству достигать своих целей и при этом не допускать просчетов и неожиданностей.

События - риски и возможности

Событие - это происшествие или случай, имеющее внутренний или внешний источник по отношению к организации и оказывающий влияние на достижение поставленных целей. Влияние событий может быть положительным, отрицательным или смешанным. События, отрицательно влияющие на деятельность организации, представляют собой риски. Следовательно, риск - это вероятность возникновения события, которое окажет отрицательное воздействие на достижение поставленных целей. События, оказывающие отрицательное влияние на деятельность организации, препятствуют увеличению ее стоимости или же ведут к ее снижению. Примерами таких событий могут быть поломки оборудования, пожары или потери по ссудам. События, оказывающие негативное воздействие, могут возникнуть во внешне благоприятных условиях. Например, в ситуации, когда уровень спроса на продукт превышает производственные возможности предприятия, предприятие не может удовлетворить спрос всех покупателей, что означает потерю постоянных клиентов и снижение объема заказов в будущем. События, влияние которых является положительным, могут компенсировать отрицательное влияние других событий, а могут положительно влиять на достижение целей. Возможность - это вероятность возникновения события, которое окажет положительное воздействие на достижение поставленных организацией целей. Возможности способствуют созданию и сохранению стоимости. Руководство рассматривает появляющиеся возможности в рамках процессов определения стратегии и постановки целей, формируя планы их оптимального использования.

Управление рисками организации -определение

Управление рисками организации направлено на управление рисками и возможностями, существенно влияющими на создание или сохранение стоимости. Управление рисками организации - это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации. Данное определение отражает важные фундаментальные концепции. Управление рисками организации:

представляет собой непрерывный процесс, охватывающий всю организацию;

осуществляется сотрудниками на всех уровнях организации;

используется при разработке и формировании стратегии;

применяется во всей организации, на каждом ее уровне и в каждом подразделении, и включает анализ портфеля рисков на уровне организации;

нацелено на определение событий, способных оказать влияние на организацию и управление рисками таким образом, чтобы они не превышали риск-аппетита организации;

дает руководству и совету директоров организации разумную гарантию достижения целей;

обеспечивает достижение целей по одной или нескольким отдельным, но пересекающимся категориям - это средство достижения цели, а не самоцель. Данное определение имеет намеренно широкое содержание. Оно охватывает основополагающие концепции управления рисками предприятий и организаций, предоставляя основу для управления рисками не только в различных типах этих организаций, но и в разных отраслях и секторах экономики. Данное определение фокусируется непосредственно на достижении целей, установленных в конкретной организации, и является основой для определения эффективности процесса управления рисками. Упомянутые выше базовые концепции обсуждаются в последующих параграфах.

Процесс

Управление рисками - это не статичный процесс, а непрерывная и повторяющаяся последовательность взаимосвязанных мероприятий, затрагивающих различные части организации. Эти мероприятия являются всеобъемлющими и отражают методы управления, используемые руководством. Сущность процесса управления рисками отличается от представления некоторых наблюдателей, которые рассматривают его как некое дополнение к деятельности организации. Это не значит, однако, что эффективное управление рисками организации не требует дополнительных усилий. Например, при оценке кредитного и валютного риска дополнительные трудозатраты могут потребоваться для построения экономико-математических моделей и проведения необходимого анализа и расчетов. Однако эти механизмы управления рисками тесно связаны с операционной деятельностью и затрагивают основы деятельности организации. Управление рисками наиболее эффективно, когда эти механизмы встроены в инфраструктуру организации и являются ее составной частью. За счет этого организация может непосредственно расширять свои возможности для реализации своей стратегии и достижения своих целей. Механизмы управления рисками, встроенные в процессы организации, имеют существенные преимущества с точки зрения экономии затрат, особенно в условиях высокой конкуренции, в которых ведут свою деятельность многие компании. Разработка и внедрение новых процедур помимо уже существующих увеличивают издержки. Организация может избежать внедрения дополнительных процедур и увеличения издержек за счет акцентирования внимания на уже существующих операциях и на повышении их вклада в эффективное управление рисками, а также на интеграции процесса управления рисками и основной производственной деятельности. Кроме того, практика встраивания механизмов управления рисками в бизнес-процессы организации позволяет руководству выявить новые возможности для роста бизнеса.

Осуществляется людьми

Управление рисками организации осуществляется советом директоров, руководством и другими сотрудниками организации. Оно определяется тем, что делают и говорят люди, работающие в организации. Именно люди определяют миссию, стратегию и цели организации и устанавливают механизмы управления рисками. Аналогично управление рисками организации влияет на действия ее сотрудников. Концепция управления рисками организации предполагает, что люди не всегда правильно понимают и передают информацию, а результаты их действий не всегда одинаковы. При этом каждый сотрудник обладает уникальным опытом и техническими навыками и имеет свои собственные потребности и личные приоритеты. Перечисленные факторы и процесс управление рисками в организации оказывают друг на друга взаимное влияние. Каждый сотрудник рассматривает деятельность организации под особым углом, что влияет на то, каким образом он распознает риск, оценивает и реагирует на него. Управление рисками организации определяет механизмы, которые необходимы для того, чтобы сотрудники могли рассматривать риски в контексте целей, стоящих перед организацией. Сотрудники должны знать свои обязанности и границы своих полномочий. Соответственно должна существовать четкая и тесная взаимосвязь между обязанностями сотрудников и способом их исполнения, а также стратегией и целями организации. В число лиц, принадлежащих к организации, входят как члены совета директоров и руководящего состава, так и прочий персонал. Хотя директора в основном исполняют надзорную функцию, они также осуществляют общее руководство, утверждают стратегию, конкретные действия и процедуры. В этом качестве совет директоров является важным элементом управления рисками в организации.

Разрабатывается при формировании стратегии

Организация определяет свою миссию или видение и затем устанавливает стратегические цели, которые являются целями высокого уровня и способствуют реализации миссии или видения. Для достижения установленных таким образом стратегических целей организация разрабатывает стратегию. Она также устанавливает вытекающие из стратегии цели более низкого уровня, относящиеся к подразделениям, департаментам и процессам.

Управление рисками применяется при разработке стратегии, в рамках которой руководство оценивает риски, сопряженные с альтернативными вариантами стратегии. Например, один из вариантов может предусматривать приобретение других компаний с целью увеличения доли рынка.

Другим вариантом может быть снижение издержек привлечения ресурсов для повышения рентабельности. Каждая из этих стратегий связана с рядом рисков. Если руководство избирает первую стратегию, то компании, возможно, придется осваивать новые незнакомые рынки. Также существует риск того, что конкуренты захватят часть уже занятых компанией рынков. В конце концов, компания может оказаться просто не готова к эффективной реализации выбранной стратегии. Риски при реализации второй альтернативы включают необходимость использования новых технологий, выбор новых поставщиков или же формирование новых партнерств с уже существующими контрагентами. На этом уровне применяются методы управления рисками, направленные на то, чтобы помочь руководству в оценке и выборе стратегии и соответствующих целей организации.

Затрагивается вся деятельность организации

При осуществлении управления рисками организация должна учитывать все виды деятельности. Управление рисками организации затрагивает деятельность организации на всех уровнях: от деятельности на уровне организации, такой как стратегическое планирование и размещение ресурсов, до деятельности на уровне подразделений (например, маркетинг и работа с кадрами) и на уровне отдельных бизнес-процессов (таких как производство и оценка кредитоспособности новых клиентов). Методы управления рисками также применяются при выполнении специальных и новых проектов, которые могут еще не иметь четко определенного места в иерархии или организационной структуре организации.

Управление рисками требует от организации анализа портфеля рисков на уровне всей организации. Например, руководитель подразделения, департамента, процесса или сотрудник, ответственный за какую-либо иную деятельность, может производить оценку только общего риска деятельности на соответствующем его позиции уровне. Оценка может быть количественной или качественной. Имея общую картину рисков на каждом уровне организации, высшее руководство в состоянии определить, соответствует ли общий портфель рисков организации ее риск-аппетиту.

Руководство оценивает взаимосвязанные риски с интегрированной точки зрения на уровне организации в целом. Риски отдельных подразделений могут соответствовать допустимым уровням риска, установленным для этих подразделений, но в совокупности могут превышать риск-аппетит организации в целом. Или наоборот, события могут представлять риск для одного подразделения, который следовало бы признать неприемлемым, если бы не уравновешивающее влияние другого подразделения. Взаимосвязанные риски подлежат выявлению и управлению с тем, чтобы совокупный риск соответствовал риск-аппетиту организации.

Риск-аппетит

Риск-аппетит -это степень риска, который организация в целом считает для себя допустимым в процессе создания стоимости. Он является отражением философии управления рисками и, в свою очередь, влияет на корпоративную культуру и стиль деятельности организации. Многие организации оценивают риск-аппетит в качественном выражении - как высокий, средний или низкий, в то время как другие используют количественные измерители, отражающие и уравновешивающие цели в отношении роста, доходности и риска. Так, компания со сравнительно высоким риск-аппетитом может помещать значительную часть своего капитала в сопряженные с высоким риском проекты, такие как инвестиции на развивающихся рынках. А компания со сравнительно низким риск-аппетитом, напротив, может попытаться ограничить краткосрочный риск больших потерь капитала путем инвестиций только в зрелые, стабильные рынки.

Риск-аппетит непосредственно связан со стратегией организации. Он учитывается при разработке стратегии, поскольку разные варианты стратегии подвергают организацию различным уровням риска. Управление рисками помогает руководству выбрать стратегию, которая уравновешивает предполагаемую величину создаваемой стоимости с риск-аппетитом. Риск-аппетит является важнейшим фактором, учитываемым при размещении ресурсов. Руководство размещает ресурсы между подразделениями и проектами с учетом риск-аппетита организации и планом подразделения по обеспечению желаемого уровня доходности инвестиций. Руководство учитывает риск-аппетит при формировании организационной и кадровой структуры, а также при организации бизнес-процессов и построении инфраструктуры с целью эффективного управления и мониторинга рисков. Допустимые уровни риска связаны с целями организации. Допустимый риск представляет собой приемлемый уровень отклонения от поставленной цели, поэтому его лучше всего измерять в тех же единицах, что и соответствующую цель. При определении допустимого риска руководство должно учитывать относительную значимость соответствующих целей и одновременно обеспечить соответствие допустимого риска уровню риск-аппетита организации. Деятельность в рамках допустимого риска предоставляет руководству уверенность в том, что организация не превысит уровень риск-аппетита, что, в свою очередь, предоставляет относительную гарантию достижения поставленных целей.

Разумная гарантия

Грамотное построение и внедрение процесса управления рисками организации может дать руководству и совету директоров разумную гарантию достижения целей организации. При этом формулировка "разумная гарантия" отражает тот факт, что неопределенность и риск относятся к будущему, которое никто не может предсказать точно.

"Разумная гарантия" не означает, что управление рисками организации может не достигать поставленных перед организацией целей. Обеспечить именно разумную гарантию позволяет множество факторов, действующих как по отдельности, так и в совокупности. Кумулятивный эффект мероприятий по управлению риском, отвечающих множеству целей, равно как и универсальный характер средств внутреннего контроля снижают риск того, что организация может не достигнуть поставленных целей. Кроме того, на достижение целей деятельности организации направлена обычная повседневная деятельность и функции сотрудников на различных уровнях организации. В большинстве организаций, отличающихся высоким качеством управления, регулярно проводится оценка степени достижения стратегических и операционных целей, стабильно обеспечивается соблюдение требований законодательства и на постоянной основе организована подготовка достоверной отчетности. Однако не подлежащее контролю событие, ошибка или упущение при составлении отчетности все равно могут возникнуть. Иными словами, даже эффективный процесс управления рисками может дать сбой. Разумная гарантия отнюдь не является абсолютной.

Достижение целей

В контексте принятой миссии руководство определяет стратегические цели, выбирает стратегию и устанавливает вытекающие из нее цели для различных уровней организации, строго соответствующие стратегии и увязанные с ней.

Хотя многие цели применимы только к конкретным организациям, некоторые из них являются достаточно общими. Примеры целей, общих для большинства организаций, включают создание и поддержание положительной репутации в деловых кругах и среди потребителей, представление достоверной отчетности заинтересованным сторонам, соблюдение законодательства и нормативных актов.

Данный документ выделяет четыре категории целей организаций:

стратегические - цели высокого уровня, соотнесенные с миссией организации;

операционные - цели, относящиеся к обеспечению экономичного и производительного использования ресурсов организации;

цели в области подготовки отчетности -цели, относящиеся к обеспечению достоверности отчетности организации;

цели в области соблюдения законодательства - цели, относящиеся к соблюдению организацией применимых законодательных и нормативных актов.

Данная классификация целей позволяет сконцентрироваться на отдельных аспектах управления рисками организации. Представленные выше категории целей, независимые друг от друга, но в некоторой степени пересекающиеся (отдельно взятая цель может попадать более чем в одну категорию), соответствуют различным задачам организации и могут входить в сферу прямых обязанностей руководителей различных уровней. Данная классификация также позволяет проводить различие между ожидаемыми результатами по разным категориям целей.

Некоторые организации используют еще одну категорию целей - "обеспечение сохранности ресурсов", иногда называемую "обеспечение сохранности активов". Эти цели в целом относятся к предотвращению утраты активов или ресурсов организации в результате кражи, растраты, неэффективного использования или просто в результате неграмотных управленческих решений, например продажи продукции по слишком низкой цене, неспособности удержать ключевых сотрудников или предотвратить нарушение условий патентов, а также в результате возникновения непредвиденных обязательств. Эти цели относятся, как правило, к операционным целям, хотя некоторые аспекты сохранения ресурсов могут относиться к другим категориям. Если сохранение ресурсов связано с соблюдением законодательных или нормативных требований, то и цели следует относить к категории целей, связанной с соблюдением законодательства. При подготовке внешней отчетности часто применяется более узкое определение обеспечения сохранности активов, включающее предотвращение или своевременное обнаружение фактов несанкционированного приобретения, использования или реализации активов организации, которые могут оказать существенное влияние на финансовую отчетность. Процесс управления рисками организации должен предоставлять разумную гарантию достижения целей, относящихся к обеспечению достоверности отчетности и соблюдению законодательства и нормативных актов. Достижение целей по данным категориям находится в пределах контроля организации и зависит от того, насколько эффективно в организации осуществляется соответствующая деятельность. Однако достижение стратегических целей, таких как захват определенной доли рынка, или операционных целей, таких как успешный выпуск на рынок новой группы продуктов, не всегда находится под контролем организации. Управление рисками организации не может предотвратить неверные оценки или решения или внешние события, не позволяющие компании достичь определенных операционных целей. Однако процесс управления рисками увеличивает вероятность того, что руководство примет более правильное решение. Именно в отношении таких целей процесс управления рисками может предоставить разумную гарантию того, что как руководство, так и выполняющий функцию надзора совет директоров, будут своевременно информированы о степени продвижения организации к достижению ее целей.

Компоненты процесса управления рисками организации

Процесс управления рисками организации состоит из восьми взаимосвязанных компонентов. Их содержание определяется способом управления, используемым руководством, поэтому эти компоненты являются составной частью процесса управления. К этим компонентам относятся:

Внутренняя среда. Руководство определяет философию в отношении риска и риск-аппетит организации. Внутренняя среда определяет то, каким образом вопросы риска и контроля рассматриваются и учитываются сотрудниками организации. Основу любой компании составляют ее сотрудники - их индивидуальные характеристики, такие как честность, этические ценности и компетентность, а также среда, в которой они работают.

Постановка целей. Цели должны быть определены до того, как руководство выявит события, потенциально влияющие на достижение целей. Процесс управления рисками обеспечивает разумную гарантию того, что руководство компании имеет правильно организованный процесс выбора и формулировки целей, и что цели устанавливаются таким образом, чтобы соответствовать миссии организации и учесть уровень ее риск-аппетита.

Определение событий. События, которые могут оказать какое-либо влияние на организацию, должны определяться заранее. Определение событий заключается в выявлении потенциальных событий, имеющих внутренний или внешний источник по отношению к организации и оказывающих влияние на достижение поставленных организацией целей. Это подразумевает выделение среди этих событий рисков, возможностей и событий, имеющих смешанное влияние. Существующие возможности будут учитываться руководством в процессе формирования стратегии и постановки целей.

Оценка рисков. Выявленные риски анализируются с целью определения действий, которые следует предпринять. При этом могут быть затронуты цели, связанные с теми или иными рисками. Риски оцениваются с точки зрения присущего и остаточного риска с учетом вероятности их возникновения и степени влияния.

Реагирование на риски. Персонал организации определяет и оценивает возможные виды реагирования на риски, включая возможность уклонения от риска, принятия его, сокращения или перераспределения риска. А руководство выбирает конкретные мероприятия, которые позволяют привести выявленный риск в соответствие с допустимым уровнем данного риска и с уровнем риск-аппетита организации.

Средства контроля. Разработаны и функционируют политики и процедуры, обеспечивающие разумную гарантию эффективного исполнения выбранных действий по реагированию на риск.

Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Информация требуется на всех уровнях организации для выявления, оценки и снижения рисков. Также осуществляется эффективный обмен информацией в рамках организации в более широком смысле: по вертикали сверху вниз и снизу вверх, а также по горизонтали. Сотрудники получают четкую информацию в отношении своих функций и обязанностей.

Мониторинг. Весь процесс управления рисками организации периодически проверяется и по необходимости корректируется. Соответственно, он динамичен и может изменяться в соответствии с требованиями обстоятельств. Мониторинг осуществляется в ходе непрерывной контролирующей деятельности руководства, путем отдельных проверок процесса управления рисками организации или же на основе сочетания этих двух видов деятельности. Управление рисками организации является динамическим процессом. Например, оценка рисков определяет процесс реагирования на риск, который, в свою очередь, может повлиять на выбор средств контроля, а также привести к пересмотру потребности в информации и коммуникациях или деятельности организации в области мониторинга. Таким образом, управление рисками организации не является линейным процессом, в котором один компонент оказывает влияние только на следующий. Управление рисками - это многонаправленный циклический процесс, в котором почти все компоненты потенциально могут и, как правило, воздействуют друг на друга. Во всех организациях управление рисками происходит по-разному, и это естественно. Компании и их возможности и потребности в области управления рисками значительно различаются в зависимости от отрасли и размера компании, а также от философии и культуры управления. Таким образом, хотя организации и стремятся установить и эффективно использовать все компоненты процесса управления рисками, внедрение этого процесса на практике - включая используемые инструменты, методы, распределение функций и обязанностей - зачастую может существенно различаться от компании к компании.

Взаимосвязь между целями организации и компонентами процесса
управления рисками

Существует прямая взаимосвязь между целями, или тем, чего организация стремится достичь, и компонентами процесса управления рисками организации, представляющими собой действия, необходимые для их достижения. Данная взаимосвязь представлена в виде трехмерной матрицы, имеющей форму куба (см. рисунок). Четыре категории целей - стратегические, операционные, цели в области подготовки отчетности и соблюдения законодательства - представлены на верхней грани куба. Восемь компонентов процесса управления рисками представлены горизонтальными рядами. Организация и ее подразделения представлены вертикальными рядами. Каждый компонент процесса управления рисками, представленный горизонтальными рядами, пересекает куб насквозь и относится ко всем четырем категориям целей. Например, финансовые и нефинансовые данные, поступающие из внутренних и внешних источников, которые являются частью компонента "Информация и коммуникации", используются при разработке стратегии для эффективного управления деятельностью, подготовки отчетности, а также для целей соблюдения применимых требований законодательства.

Подобным образом, если рассматривать категории целей, то все восемь компонентов процесса управления рисками соотносятся с каждой из них.

Например, для достижения такой цели, как эффективное управление деятельностью, должны учитываться все восемь компонентов. Управление рисками осуществляется в масштабе всей организации или любого из ее подразделений. Данная взаимосвязь представлена третьей гранью куба, которая отражает дочерние предприятия, подразделения и другие бизнес-единицы. Например, правая крайняя ячейка верхнего ряда куба отражает внутреннюю среду, которая направлена на достижение цели соблюдения законодательства в конкретном дочернем предприятии. Следует отметить, что четыре категории целей относятся ко всей организации, а не к отдельной ее части или подразделению. Соответственно, при рассмотрении категории целей, относящихся, например, к подготовке отчетности, требуется большой объем информации о деятельности всей организации. В этом случае следует сосредоточить внимание на второй колонке справа - целях, относящихся к отчетности, - а не на категории операционных целей.

Эффективность

Поскольку управление рисками организации - это процесс, то и показатель его эффективности характеризует состояние управления в определенный момент времени. Оценка эффективности процесса управления рисками в организации является предметом субъективного суждения, формирующегося в результате оценки наличия и эффективного функционирования восьми компонентов управления рисками. Таким образом, компоненты также служат критериям эффективности процесса управления рисками. Чтобы компоненты присутствовали и эффективно функционировали, должны отсутствовать значительные недостатки, а риск должен быть сведен к пределам, не выходящим за рамки риск-аппетита данной организации. Если процесс управления рисками организации считается эффективным по каждой из четырех категорий целей, то совет директоров и руководство имеют разумную гарантию того, что:

они обладают информацией о том, насколько стратегические цели организации достигаются;

они обладают информацией о том, насколько операционные цели организации достигаются;

отчетность организации является достоверной;

применяемое законодательство и нормативные акты соблюдаются.

Для того чтобы процесс управления рисками организации мог считаться эффективным, должны присутствовать и эффективно функционировать все восемь компонентов с учетом принципов, изложенных в последующих главах; между компонентами может возникать взаимное влияние.

Поскольку методы процесса управления рисками организации могут служить разным целям, то методы, применяемые в управлении одним компонентом, могут служить достижению цели для метода, используемого в управлении другим компонентом. Кроме того, методы управления риском могут отличаться по степени влияния на конкретный риск таким образом, что взаимодополняющие методы управления риском и средства контроля, которые по отдельности имеют ограниченное воздействие на риск, в совокупности могут давать положительный результат.

Описанная концепция применима ко всем организациям вне зависимости от размера. Хотя некоторые организации малого и среднего размера могут использовать компоненты иначе, чем крупные организации, они, тем не менее, также способны эффективно управлять рисками. В небольших организациях методология управления для каждого компонента обычно менее формализована и менее жестко структурирована, чем в крупных компаниях, но основные концепции должны применяться повсеместно. Управление рисками обычно рассматривается для всей организации в целом, что предусматривает его применение, прежде всего, в основных бизнес-единицах организации. Однако при некоторых обстоятельствах эффективность управления рисками должна оцениваться для отдельной бизнес-единицы. Следовательно, чтобы говорить об эффективной организации управления рисками в конкретном подразделении, в нем должны присутствовать и эффективно функционировать все восемь компонентов процесса управления рисками. Например, так как наличие совета директоров с присущим ему стилем управления является частью внутренней среды организации, то управление рисками в конкретной бизнес-единице можно считать эффективным, если данное подразделение имеет эффективно функционирующий совет директоров или другой аналогичный орган. При этом возможен вариант, когда совет директоров организации осуществляет непосредственный надзор за деятельностью рассматриваемого подразделения. Также, поскольку компонент "Реагирование на риск" предполагает рассмотрение всего портфеля рисков организации, то для того чтобы признать процесс управления рисками эффективным, необходимо рассмотреть весь портфель рисков в отношении данного подразделения.

Внутренний контроль как составная часть процесса управления рисками

Процесс внутреннего контроля является составной частью процесса управления рисками организации. Документ "Концептуальные основы управления рисками организаций" включает положения о процессе внутреннего контроля, тем самым предоставляя руководству более полную концепцию и инструмент для управления. Процесс внутреннего контроля определяется и описывается в документе "Концептуальные основы внутреннего контроля". Поскольку этот отчет прошел проверку временем и является основой для существующих методов, нормативных актов и законодательства, он сохраняется в качестве основы, определяющей процесс внутреннего контроля. Отдельные части текста документа "Концептуальные основы внутреннего контроля" воспроизводятся в данном документе, полный же текст включается в него посредством ссылки.

Взаимосвязь между управлением рисками организации и внутренним контролем рассматривается в Приложении В (в следующих публикациях).

Управление рисками и управление организацией

Поскольку управление рисками является частью управления организацией, компоненты процесса управления рисками обсуждаются в контексте действий руководства по управлению бизнесом. Однако не все действия руководства являются частью процесса управления рисками организации. Многие суждения, используемые при принятии управленческих решений и осуществлении связанных с этим действий, хотя и являются частью процесса управления организацией, к процессу управлению рисками не относятся. Например:

Важнейшим компонентом управления рисками организации является постановка целей, но конкретные цели, устанавливаемые руководством, не являются частью процесса управления рисками.

Реагирование на риск на основе соответствующей оценки рисков является компонентом процесса управления рисками организации, однако конкретные, выбранные организацией способы реагирования на риск и связанное с этим распределение ресурсов составной частью управления рисками не являются.

Разработка и применение средств контроля, обеспечивающих эффективный выбор руководством способа реагирования на риск, является частью процесса управления рисками, но конкретные средства контроля таковыми не являются.

В целом, управление рисками включает в себя те элементы управленческого процесса, которые позволяют руководству принимать информационно обоснованные решения с учетом риска, но конкретные решения, выбранные из спектра возможных альтернатив, не являются факторами, определяющими эффективность управления рисками. Поскольку выбор конкретных целей, способов реагирования на риск и средств контроля является продуктом управленческих решений, то эти решения должны обеспечивать как снижение риска до приемлемого уровня, определяемого риск-аппетитом, так и разумную гарантию достижения целей организации.

Продолжение текста стандарта в следующем номере

"Риск-менеджмент", N 5-6, май-июнь 2007 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Управление рисками организации. Интегрированная модель ("Риск-менеджмент", N 5-6, май-июнь 2007 г.)