Эффект синергии (С. Мартынов, И. Миронов, "Риск-менеджмент", N 9-10, сентябрь-октябрь 2007 г.)

Эффект синергии

Стоит ли объединять усилия двух ключевых подразделений, занимающихся управлением рисками

Правильно оценивать риски и управлять без взаимодействия внутреннего аудита и риск-менеджмента крайне сложно. Однако слаженная работа этих подразделений возможна лишь при четком распределении между ними полномочий и функциональных обязанностей. Только в этом случае можно будет рассчитывать на синергетическии эффект от объединения усилий двух служб в области управления рисками.

Для того чтобы правильно поставить задачи подразделениям внутреннего аудита и риск-менеджмента, необходимо определить особенности функционирования каждого из них. Риск-менеджер выявляет риски, принимает решения о разработке мер по их минимизации на всех уровнях управления - от дочернего предприятия до генерального директора, - а также контролирует исполнение этих мер. Кроме того, для постоянного мониторинга угроз риск-менеджер ведет карту (регистр) рисков компании, что позволяет свести воедино и оценить угрозы на стратегическом и операционном уровнях.

Две большие разницы

Внутренний аудитор проводит независимую оценку системы внутреннего контроля и системы управления рисками в областях соответствия внешним регуляциям. Также он определяет достоверность отчетности для внешних потребителей, эффективность бизнес-процессов и реализации стратегии. Для такого анализа аудитору приходится оценивать риски, выявленные в ходе проведения внутренних проверок, определять толерантность к угрозам, а также оценивать эффективность контрольных процедур и принимаемых мер по снижению уровня опасности.

Получается, что общая задача и риск-менеджмента, и внутреннего аудита - это оценка рисков. Вместе с тем необходимо учесть, что каждое из этих подразделений использует различные подходы к такому анализу. Риск-менеджер оценивает риск без рассмотрения вызвавших его причин. Основная работа специалиста направлена скорее на то, чтобы минимизировать вероятность реализации риска. Внутренний аудитор, напротив, в большей степени заинтересован в выявлении причин, приведших к возникновению риска. Этот специалист оценивает риски, связанные с неэффективностью контрольных процедур. Перечислим еще несколько отличий между внутренним аудитом и риск-менеджментом.

Риск-менеджер имеет право принимать решение о воздействии на риск, а внутренний аудитор такого права не имеет.

Владелец процесса и основной потребитель информации от службы риск-менеджмента -это исполнительное руководство компании, а внутренний аудит является инструментом совета директоров.

Риск-менеджер ответственен за создание системы управления рисками в компании, а внутренний аудитор - за ее оценку.

Общее дело

Внутренний аудитор также является одним из получателей информации от службы риск-менеджмента, основным источником которой служит карта рисков. В регистре особый интерес для внутреннего аудитора представляют сведения о подразделениях, где содержатся наиболее существенные риски. Также специалисту важны данные о динамике изменений этих рисков за отчетный период. Такая информация используется при планировании внутренних аудиторских проверок.

В свою очередь, внутренний аудит поставляет информацию о вновь выявленных рисках, требующих принятия мер по их снижению. Риск-менеджмент получает от внутреннего аудита независимую оценку величины остаточных рисков, что позволяет ему оценить эффективность контрольных процедур. Внутренний аудитор производит оценку рисков при принятии управленческих решений и высказывает свое мнение в совещательной форме о мерах по управлению угрозами. При этом он не участвует в голосовании по принятию управленческих решений и не несет за них ответственности.

Благодаря внутреннему аудиту риск-менеджмент получает независимую оценку исполнения собственных процессов, в числе которых принятие решений о воздействии на риски, взаимодействие между менеджерами разных уровней при управлении угрозами, ведение карты рисков.

Помимо этого, внутренний аудит предоставляет риск-менеджменту консультации по вопросам повышения эффективности управления рисками и системы внутреннего контроля, а также оценивает адекватность уровней толерантности к рискам.

Таким образом, формируется непрерывный процесс постоянных улучшений, который обеспечивается эффективным взаимодействием систем риск-менеджмента и внутреннего аудита. Внутренний аудит позволяет сократить расходы риск-менеджмента на определение опасностей и их мониторинг благодаря предоставлению информации о вновь выявленных угрозах и оценке эффективности мероприятий по управлению ими.

Риск-менеджмент, со своей стороны, передает на внутренний аудит общую карту рисков, которая используется этим контрольным органом для проведения внутренних проверок. Это позволяет уменьшить трудоемкость, а также расходы денежных и временных ресурсов внутреннего аудита. В итоге снижение затрат приводит к увеличению эффективности работы по управлению рисками.

Риск-менеджмент, как часть общего менеджмента компании, интегрированного в процесс планирования и управления ее деятельностью, не уступает, а, вероятно, и превосходит аудит по своему объему и значению.

Детективная функция

Управление рисками выполняет преимущественно превентивную функцию, в то время как аудиторская деятельность носит в основном детективный характер. Может сложиться ложное впечатление, что функции внутреннего аудита и риск-менеджмента схожи и тесно связаны. В действительности между ними есть огромная разница. Главное отличие состоит в том, что внутренний аудит не зависит от менеджмента предприятия, тогда как риск-менеджмент является частью операционного бизнеса, отвечающего за выполнение стратегических и тактических целей компании. Внутренний аудит анализирует прежде всего меры по контролю над рисками, идентифицированными менеджментом. К основным функциональным обязанностям внутреннего аудитора я отнес бы оценку адекватности установленного контроля. Кроме того, внутренний аудит предоставляет независимые и объективные консультации, цель которых -совершенствование деятельности организации.

Главное - причина

Для риск-менеджера еще более важным, чем снижение уровня риска, является определение угроз, влияющих на достижение поставленных целей, - стратегических, тактических, операционных.

Определяя особенности и цели функционирования служб внутреннего контроля и риск-менеджмента, следует помнить о том, что не столько риск-менеджер, сколько владельцы рисков (обычно это руководители структурных подразделений, в ведении которых выполнение поставленных целей в рамках контролируемого бизнес-процесса) отвечают за идентификацию и управление угрозами, а также за контроль исполнения процедур.

Отмечу также, что для внутреннего аудита оценка рисков может и не зависеть от принятия решений по управлению ими, тогда как менеджмент и риск-менеджер оценивают риск и управляют им.

На мой взгляд, общей у риск-менеджмента и внутреннего аудита является цель - путем постоянного сокращения угроз содействовать достижению организацией поставленных задач.

С. Мартынов,

руководитель службы внутреннего контроля

и аудита компании "СУЭК"

И. Миронов,

риск-менеджер компании "ТрансМарк" и Калужской пивоваренной

компании, дочерних предприятий SABMiller pic.

"Риск-менеджмент", N 9-10, сентябрь-октябрь 2007 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.