Стандарты COSO ("Риск-менеджмент", N 1-2, январь-февраль 2008 г.)

Стандарты COSO

Редакция продолжает публикацию стандартов риск-менеджмента. В этом номере предлагаем вниманию читателей заключительную пятую часть документа, подготовленного комитетом спонсорских организаций Тредвея, известного как COSO. Русская версия подготовлена компанией "Делойт" совместно с Институтом внутренних аудиторов*(1).

Функционирование процесса управления рисками в организации

По мнению некоторых наблюдателей, процесс управления рисками организации, включающий систему внутреннего контроля, дает гарантию успешной деятельности организации, то есть достижения целей на постоянной основе. Данное мнение является ошибочным. При рассмотрении ограничений процесса управления рисками организации необходимо учитывать три фактора:

- во-первых, риски относятся к будущему, которое по умолчанию является неопределенным;

- во-вторых, управление рисками организации (даже эффективное управление рисками) осуществляется на различных уровнях и в отношении различных целей. В отношении стратегических и операционных целей управление рисками может помочь в обеспечении своевременного информирования руководства и совета директоров, выполняющих функцию надзора, о том, насколько организация продвинулась в достижении этих целей. Но риск-менеджмент не может предоставить даже достаточного уровня уверенности в том, что сами по себе цели будут достигнуты;

- в-третьих, управление рисками не может дать абсолютной гарантии в отношении любых категорий целей.

Первое ограничение отражает тот факт, что никто не может с точностью предсказать будущее. Второе касается признания того, что некоторые события находятся просто за пределами контроля со стороны руководства. Третье имеет отношение к реальности того, что ни один процесс не будет всегда функционировать задуманным образом. Достаточный уровень уверенности, или "разумная гарантия", не означает, что управление рисками организации часто не достигает поставленных перед ним целей. Предоставить разумную гарантию позволяет множество факторов, действующих как по отдельности, так и в совокупности. Кумулятивный эффект мероприятий по управлению рисками, направленных на решение множества задач, равно как и универсальный характер средств внутреннего контроля, снижают риск стратегических неудач организации. Кроме того, на достижение целей компании направлена обычная повседневная деятельность и функции сотрудников на различных уровнях. В большинстве корпораций, отличающихся высоким качеством управления, регулярно проводится оценка степени достижения стратегических и тактических целей, стабильно обеспечивается соблюдение требований законодательства и на постоянной основе организована подготовка достоверной отчетности. Но неподдающиеся контролю событие, ошибка или неточность при составлении отчетности, все равно могут быть допущены. Иными словами, даже эффективная система управления рисками может дать сбой. Разумная гарантия не является абсолютной гарантией.

Субъективность суждения

Эффективность управления рисками компании ограничена субъективными возможностями принятия решений. Решения должны приниматься на основе мнения, имеющегося на соответствующий момент, исходя из доступной информации и необходимости обеспечить функционирование организации. По окончании процесса может быть обнаружено, что некоторые решения привели к результатам, далеким от желаемых, и, возможно, требуют пересмотра.

Хорошо спроектированная система управления рисками может дать сбой. Персонал может неправильно истолковать инструкции. Может быть вынесено неверное решение на основе неверного суждения. Могут возникнуть ошибки по причине небрежности, рассеянности или усталости. Сотрудник бухгалтерии, ответственный за отслеживание расхождений в учете, может забыть проверить определенные операции или провести расследование недостаточно подробно, чтобы сделать необходимые корректировки. Временный персонал, выполняющий контрольные функции в период отпусков или больничных постоянных работников, может оказаться неспособным выполнить их правильно. Изменения в систему могут быть внесены до обучения персонала методам реагирования на признаки некорректного функционирования.

Сговор

Сговор двух или более лиц может привести к сбоям системы управления рисками. Лица, действующие совместно с целью совершения правонарушения и сокрытия своего действия, часто способны изменить финансовые данные или другую управленческую информацию таким образом, что это не будет обнаружено системой управления рисками организации. Например, может возникнуть сговор между работником, выполняющим важную контрольную функцию, и заказчиком, поставщиком или другим работником. Коммерческие или производственные руководители нескольких уровней могут действовать согласованно, обходя контрольные процедуры, чтобы представить в отчетности результаты, соответствующие бюджетам или схемам стимулирования.

Затраты и выгоды

Как обсуждалось в главе "Оценка риска"*(2), ограничения по использованию ресурсов существуют всегда, и менеджеры должны учитывать относительные затраты и выгоды, связанные с принятыми решениями, в том числе относящимися к деятельности по реагированию на риск.

Определяя, должно ли предприниматься конкретное действие или устанавливаться конкретное средство контроля, наряду с соответствующими затратами следует учитывать риск и потенциальные последствия отсутствия данного действия или средства для организации. Например, введение сложных процедур контроля над уровнем запасов сырья может не окупиться, если стоимость сырья, используемого в процессе производства, низка, материалы не подвержены порче, существуют доступные источники поставок и достаточно места для хранения. Затраты и выгоды внедрения средств определения событий и оценки рисков и соответствующих им способов реагирования и средств контроля рассчитываются с различной степенью точности в зависимости от характеристик предприятия. Задача заключается в том, чтобы найти оптимальное соотношение. Установка избыточного контроля, как и выделение ценных ограниченных ресурсов для управления незначительными рисками, являются слишком затратными и непродуктивными решениями. При размещении заказа клиент не будет мириться с чрезмерно сложными или длительными процедурами согласования. Банк, заставляющий кредитоспособных потенциальных заемщиков преодолевать немыслимые препятствия, не сможет выдать достаточное число ссуд. С другой стороны, недостаток контроля представляет собой неразумный риск и увеличивает вероятность возникновения безнадежной задолженности. В условиях высокой конкуренции необходимо обеспечить надлежащий баланс между затратами и выгодами. Поэтому несмотря на сложность сравнения затрат и выгод, деятельность организаций в этом направлении не должна прерываться.

Пренебрежение процедурами со стороны руководства

Процесс управления рисками может быть эффективен лишь настолько, насколько эффективны действия людей, ответственных за его функционирование. Даже в эффективно управляемой и контролируемой компании, характеризующейся высоким уровнем честности и информированности о рисках и контроле, имеющей альтернативные каналы коммуникации и активный и информированный совет директоров, а также установившийся процесс корпоративного управления, менеджер все же способен пренебречь требованиями управления рисками. Ни одна система управления или контроля не является безупречной, и лица, имеющие криминальные намерения, могут пытаться нарушить правила. В то же время эффективное управление рисками улучшит способность организации предотвращать и обнаруживать случаи пренебрежения контрольными процедурами.

Термин "пренебрежение процедурами со стороны руководства" используется для обозначения неприменения установленной политики или процедур в незаконных целях - личной выгоды, или неадекватно завышенного представления финансового положения фирмы, или для создания видимости соблюдения законов. Менеджер подразделения или член высшего руководства может пренебречь процедурами управления рисками по многим причинам: чтобы увеличить показатели выручки для сокрытия непредвиденного снижения доли на рынке; для завышения прибыли в соответствии с завышенным бюджетом; для повышения рыночной стоимости предприятия перед публичным размещением акций или продажей компании; для выполнения прогнозов по объему продаж или прибыли с тем, чтобы увеличить премиальные выплаты, привязанные к показателям деятельности, или стоимость опционов на акции; для сокрытия нарушений в соглашениях об обязательствах или для сокрытия несоблюдения законодательных требований. Пренебрежение процедурами включает предоставление намеренно искаженной информации банку, юрисконсультам, аудиторам и поставщикам, а также намеренное выставление фальшивых документов, например заказов на закупку или счета за приобретенный товар.

Пренебрежение процедурами управления рисками со стороны руководства не следует путать с вмешательством руководства в процесс управления рисками, которое представляет собой отход руководства от предписанной политики или процедур в законных целях. Вмешательство руководства необходимо для разрешения единичных и нестандартных ситуаций или операций, которые в другой обстановке могут быть обработаны неподходящим образом. Предусмотреть возможность вмешательства руководства необходимо, поскольку ни один процесс не может быть разработан с учетом всех возможных рисков и обстоятельств. Действия руководства по вмешательству в процесс управления рисками, как правило, являются открытыми и обычно документируются или иным образом раскрываются соответствующему персоналу. Действия по пренебрежению контрольными процедурами обычно не документируются и не выявляются с целью их сокрытия.

Что следует делать

Действия, которые могут быть предприняты в результате изучения данного отчета, зависят от должности и функций соответствующих сторон.

- Совет директоров. Члены совета директоров должны по мере необходимости обсуждать с высшим руководством состояние системы управления рисками в организации и осуществлять соответствующий надзор. Совет директоров также должен создать условия, при которых механизмы управления рисками организации обеспечивают оценку наиболее значимых рисков в привязке к стратегии и к целям компании, включая оценку того, какие действия предпринимает руководство и каким образом оно участвует в мониторинге процесса управления рисками. Совет директоров должен стремиться к получению информации от внутренних и внешних аудиторов и прочих сторон.

- Высшее руководство. Настоящее исследование предполагает, что высшее руководство должно оценивать состояние процесса управления рисками в организации.

Используя данную концептуальную базу, генеральный директор совместно с ключевыми операционными и финансовыми руководителями может акцентировать внимание на решении наиболее актуальных вопросов. В качестве одного из возможных вариантов действий можно назвать организацию генеральным директором совещания с участием руководителей подразделений и ключевого функционального персонала для обсуждения первоначальной оценки возможностей и эффективности процесса управления рисками. Независимо от способа проведения первоначальной оценки ее результат должен помочь определить наличие потребности в более подробной экспертизе и то, каким образом экспертиза должна быть проведена. Также должно обеспечиваться наличие непрерывных процессов мониторинга. Время, ушедшее на оценку процесса управления рисками организации, - затрата, способная принести большую отдачу в будущем.

- Прочий персонал организации. Менеджеры и прочий персонал должны проанализировать, каким образом они выполняют свои обязанности по управлению рисками в свете данной концепции, и обсудить с вышестоящими сотрудниками свои идеи по совершенствованию процесса управления рисками организации. Внутренние аудиторы должны проанализировать, насколько глубоко они рассматривают процесс управления рисками организации.

- Регулирующие органы. В требованиях, предъявляемых к управлению рисками в организациях, существует значительный разброс и с точки зрения целей, которые должны достигаться, и в трактовке понятия "разумная гарантия" и в его применении. Данная концептуальная база может способствовать формированию общего подхода к процессу управления рисками, включая его возможности и ограничения. Регулирующие органы могут обращаться к ней при разработке правил или рекомендаций или при изучении деятельности подконтрольных им организаций.

- Профессиональные объединения. Профессиональные организации, занимающиеся в частности разработкой правил, а также устанавливающие рекомендации по вопросам финансового управления, аудита и прочим соответствующим темам, должны рассмотреть свои стандарты и рекомендации в свете данной концепции. Насколько будет устранена разница в терминологии и концепциях, настолько выиграют все задействованные стороны.

- Образовательные учреждения. Данный документ может стать предметом академических исследований и анализа с целью определения возможностей будущего совершенствования. Если допустить, что данный отчет будет принят в качестве общей базы для понимания, его концепции и условия должны найти место в университетских программах обучения. Мы считаем, что принятие данного отчета предоставляет ряд преимуществ. Имея такой фундамент для достижения взаимопонимания, все стороны получат возможность говорить на одном языке и взаимодействовать более эффективно. Руководители будут способны оценивать процесс управления рисками своих компаний на основе единого стандарта, укрепляя его и направляя свои предприятия к достижению намеченных целей. Будущие исследования могут вестись с использованием базовых установленных принципов. Законодательные и регулирующие органы смогут улучшить свое понимание процесса управления рисками, в том числе его преимущества и ограничения. При использовании всеми сторонами единого подхода к управлению рисками организаций общие преимущества будут реализованы.

Приложения

А. Цели и методология

Осенью 2001 года Комитет спонсорских организаций Комиссии Тредвея (COSO) инициировал проведение исследования, призванного помочь организациям в построении процесса управления рисками. Несмотря на обилие литературы по данной теме, COSO пришел к выводу о необходимости проведения исследования и разработки данного документа и методов его применения. Для проведения проекта была привлечена компания PricewaterhouseCoopers, по результатам проекта был подготовлен данный отчет "Управление рисками организаций. Концептуальные основы". Данная концепция дает определение риска и процесса управления рисками и предоставляет основополагающие определения, категории целей, компоненты и принципы для построения полномасштабной системы управления рисками организации. Она задает направление для деятельности компаний и прочих организаций, определяющее, каким образом можно усовершенствовать процесс управления рисками, поясняя это практическими примерами и помогая реализовать требования COSO в реальных условиях. Данный документ также имеет цель предоставить организациям основу для оценки эффективности существующих у них процессов управления рисками и описание возможных мер повышения их эффективности. Документ "Методы применения" является прямым продолжением "Концептуальных основ". Он предоставляет практические иллюстрации способов управления рисками, которые могут применяться компаниями и другими организациями на различных уровнях - предприятия, направления бизнеса, отдельные процессы или функции, а также в качестве дополнительного средства для повышения эффективности системы контроля или при ее модификации.

В связи с разнообразием потребностей пользователей были опрошены руководители корпораций всевозможного масштаба как публичных, так и частных компаний, работающих в различных индустриях, а также руководители правительственных организаций. Среди опрошенных руководителей были генеральные директора, финансовые директора, директора по рискам, контролеры, внутренние аудиторы, представители законодательных, регулирующих органов, юристы, внешние аудиторы, консультанты, ученые и другие специалисты. В процессе реализации данного проекта рабочая группа получала советы и консультации от Консультационного совета при Правлении COSO. Консультационный совет, состоящий из высших финансовых руководителей, внутренних и внешних аудиторов и представителей академических кругов, периодически встречался с рабочей группой и членами Правления COSO для изучения планов проекта, хода выполнения проекта и предварительных вариантов отчета и решения текущих вопросов. На важных стадиях проекта Консультационный совет и проектная группа обменивались информацией с Правлением COSO.

При проведении данного исследования была применена методология, позволившая создать отчет, отвечающий заданным целям. Проект состоял из пяти этапов.

I. Оценка

Рабочая группа оценила текущее состояние моделей управления рисками посредством изучения литературы, проведения опросов и семинаров, чтобы получить соответствующую информацию по всему спектру моделей управления рисками. Данный этап включал анализ информации, сравнение и сопоставление теоретических и практических философий и методик управления рисками, ознакомление с потребностями пользователей и выявление критических вопросов и проблем.

II. Концептуальная разработка

Команда создала рабочий вариант "Концептуальных основ управления рисками" и предварительный набор инструментов в качестве основы для разработки методов применения. Используя специально адаптированные методы получения исходных данных, проектная команда протестировала свои концептуальные разработки с привлечением ключевых групп пользователей и заинтересованных сторон и на основе полученных результатов доработала концептуальную модель.

III. Разработка и проектирование

Взяв за основу доработанную концептуальную модель, группа создала документ, включающий определения, категории целей, компоненты, принципы, инфраструктуру и описание системы управления, а также предоставила комментарии по вышеупомянутым вопросам. Данный этап также включал определение подхода к разработке методов применения. Предложенные документы были изучены ключевыми группами пользователей и заинтересованных сторон, внесших замечания и предложения по совершенствованию предварительного проекта.

IV. Подготовка к представлению общественности

На данном этапе команда улучшила концептуальные основы и методы их применения, а также проанализировала их с руководителями нескольких компаний, которые предоставили суждения, касающиеся ценности и пользы данных документов.

V. Окончательная доработка

Данный этап охватил публичное распространение "Концептуальных основ" и получение комментариев общественности в течение 90-дневного периода, а также испытания на практике положений отчета в выбранных компаниях. После получения комментариев рабочая группа изучила, проанализировала их и выявила необходимые изменения. Команда доработала отчет и представила окончательные варианты Консультационному совету COSO и Правлению COSO для обзора и приемки. В рамках данного процесса рабочая группа тщательно учла всю полученную информацию, в том числе другие, уже существующие документы. Безусловно, в ходе отдельных этапов и между ними высказывалось множество разных и иногда противоречивых мнений по фундаментальным вопросам. Проектная команда при надзоре со стороны Консультационного совета и Правления COSO тщательно изучала достоинства представляемых позиций как по отдельности, так и в контексте соответствующих вопросов, принимая те из них, которые способствовали разработке последовательной, логичной и адекватной системы положений. Консультационный совет и Правление COSO полностью поддержали и утвердили документ, разработанный в результате этого процесса.

Б. Обзор основных принципов

Ниже приведены основные принципы, лежащие в основе восьми компонентов процесса управления рисками организации. Данное приложение не ставит целью детально или полностью описать принципы, изложенные в настоящем документе, и не представляет полный перечень таких принципов.

Внутренняя среда

Философия управления рисками

- Философия управления рисками организации представляет собой общие мнения и отношения, характеризующие то, каким образом организация учитывает риски в своей деятельности.

- Она отражает ценности организации, оказывая влияние на корпоративную культуру и стиль ведения деятельности.

- Она влияет на то, каким образом применяются компоненты процесса управления рисками, включая определение событий, виды принимаемых рисков и управление рисками.

- Она детально разработана, понимается и принимается персоналом организации.

- Она отражается в политике компании, устном и письменном общении и учитывается при принятии решений.

- Руководство подкрепляет философию не только словами, но и практическими ежедневными действиями.

Риск-аппетит

- Риск-аппетит отражает философию управления рисками и, в свою очередь, влияет на корпоративную культуру и стиль деятельности организации.

- Он учитывается при разработке стратегии, которая разрабатывается с учетом риск-аппетита организации.

Совет директоров

- Совет директоров является активным органом управления и обладает в необходимом объеме управленческими, техническими и иными знаниями, а также целевой установкой, необходимой для выполнения своих надзорных функций.

- Он готов критически оценивать и проверять деятельность руководства, представлять альтернативные точки зрения и реагировать на нарушения.

- Как правило, большинство членов совета директоров являются независимыми сторонними директорами.

- Он обеспечивает надзор за управлением рисками организации, осознает готовность организации к принятию риска и исходя из этого принимает решения.

Честность и этические ценности

- Стандарты поведения, установленные в организации, отражают уровень честности и соблюдение этических ценностей.

- Этические ценности не только декларируются, но также сопровождаются явными указаниями того, что является правильным, а что неправильным.

- Принципы честности и этические ценности доводятся до сведения сотрудников с помощью формализованного кодекса корпоративной этики.

- Существуют удобные для сотрудников способы передачи информации менеджменту, которыми они могут безбоязненно пользоваться

- В отношении работников, нарушающих кодекс корпоративной этики, применяются наказания, существуют механизмы, поощряющие работников сообщать о подозреваемых нарушениях, а также предпринимаются дисциплинарные меры против работников, не сообщающих о нарушениях, о которых им известно.

- Принципы честности и этические ценности доносятся до работников на основе действий руководства и подаваемых им примеров.

Важность компетентности

- Компетентность сотрудников организации отражает знания и навыки, необходимые для выполнения порученных им задач.

- Руководство сопоставляет уровень компетентности работников и затрат на них.

Организационная структура

- Организационная структура определяет ключевые сферы ответственности и подотчетности.

- Она устанавливает отношения подотчетности.

- Она разрабатывается с учетом размера и характера деятельности организации.

- Она позволяет осуществлять эффективное управление рисками организации.

Наделение полномочиями и ответственностью

Наделение полномочиями и ответственностью - это деятельность, в результате которой определяются пределы полномочий, в рамках которых разрешается и приветствуется инициатива руководства и работников по решению текущих вопросов; устанавливаются лимиты полномочий.

Кроме того, наделение полномочиями предусматривает определение отношений подотчетности и порядка согласования решений.

Политика описывает надлежащую практику ведения деятельности, знания и опыт, требующиеся от ключевого персонала, и соответствующие ресурсы.

Сотрудники знают, каким образом их деятельность взаимосвязана и какой вклад они вносят в достижение общих целей.

Стандарты в области кадровых ресурсов

Стандарты касаются приема на работу, позиционирования, обучения, оценки, помощи, продвижения по службе, вознаграждения и мер воздействия, указывают на ожидания организации относительно уровня честности сотрудников, соблюдения ими этических правил и уровня их компетентности.

Меры дисциплинарного воздействия указывают на то, что нарушения правил поведения недопустимы.

Постановка целей

Стратегические цели

Стратегические цели организации устанавливают задачи высокого уровня, соотнесенные с миссией/видением развития организации.

Они отражают стратегический выбор руководства относительно того, каким образом организация будет приносить прибыль своим акционерам.

Руководство определяет риски, связанные с выбором стратегии, и рассматривает их последствия.

Тактические цели

Тактические цели поддерживают выбранную стратегию и соотносятся с ней, охватывая всю деятельность организации.

Цели каждого уровня привязаны к более конкретным целям, установленным последовательно на каждом уровне организации.

Цели являются понятными и измеримыми.

Они соотносятся с риск-аппетитом организации.

Отбор целей

Руководство определяет порядок поддержания соответствия стратегических целей миссии организации и обеспечивает соответствие стратегических и тактических целей риск-аппетиту организации.

Риск-аппетит

Риск-аппетит организации является отправной точкой при определении стратегии.

Он определяет распределение ресурсов.

Он является базой для определения структуры организации, распределения кадровых ресурсов, организации бизнес-процессов и инфраструктуры.

Допустимый уровень риска

Допустимые уровни риска поддаются измерению, предпочтительно в тех же единицах, что и соответствующие цели.

Они соотносятся с уровнем риск-аппетита.

Определение событий

Руководство определяет потенциальные события, влияющие на внедрение стратегии или достижение целей, имеющие положительное, отрицательное или смешанное воздействие.

Даже события, имеющие относительно низкую вероятность возникновения, рассматриваются, если их влияние на достижение важной цели велико.

Факторы влияния

Руководство осознает важность понимания внешних и внутренних факторов и того, какого рода события могут произойти в результате действия этих факторов.

Возможные события определяются как на уровне организации, так и на уровне направлений деятельности.

Методы определения событий

Способы определения возможных событий предполагают анализ как прошлого, так и будущего.

Руководство выбирает способы, отвечающие задуманному подходу к управлению рисками и обеспечивает внедрение необходимых средств обнаружения событий.

Определение событий происходит активно, формируя основу для оценки рисков и реагирования на риски.

Взаимозависимость

Руководство понимает, каким образом события связаны между собой.

Разграничение рисков и возможностей

События, влияние которых будет отрицательным, представляют собой риски, которые руководство оценивает и на которые оно реагирует.

События, представляющие благоприятные возможности, учитываются руководством в процессе формирования стратегии и постановки целей.

Оценка рисков

При оценке рисков руководство учитывает влияние ожидаемых и непредвиденных событий.

Присущий и остаточный риск

Руководство оценивает присущий риск.

После разработки средств реагирования на риск руководство учитывает остаточный риск.

Оценка вероятности и влияния событий

Потенциальные события оцениваются с двух точек зрения - их вероятности и степени влияния.

При оценке степени влияния руководство обычно использует те же или аналогичные единицы измерения, что и для оценки целей.

Период времени для оценки рисков должен соответствовать периоду, с которым связаны стратегия и цели.

Методы оценки

Руководство использует сочетание качественных и количественных методов.

Применяемые методы позволяют получить комплексную оценку риска.

Связь между событиями

В случае наличия корреляции между событиями или объединения и взаимодействия событий руководство оценивает их в совокупности.

Реагирование на риски

При реагировании на риски руководство делает выбор между четырьмя вариантами поведения: уклонением от риска, сокращением риска, перераспределением риска и принятием риска.

Оценка возможных способов реагирования

Оценка способов реагирования проводится с целью приведения остаточного риска в соответствие с допустимым для организации уровнем.

При оценке способов реагирования на риски руководство учитывает их воздействие на вероятность возникновения нежелательного события и его влияние.

Руководство рассматривает затраты в сравнении с преимуществами, а также новыми благоприятными возможностями.

Выбор способа реагирования

Выбранный руководством способ реагирования имеет целью привести предполагаемую вероятность возникновения неблагоприятного события и его влияние к допустимому уровню.

Руководство учитывает дополнительные риски, которые могут возникнуть в результате реагирования на риск.

Целостный подход

Руководство рассматривает весь портфель рисков организации.

Руководство определяет, соответствует ли профиль остаточного риска общему риск-аппетиту организации.

Средства контроля

Интеграция с деятельностью по реагированию на риск

Руководство определяет средства контроля, необходимые для обеспечения соответствующего и своевременного реагирования на риск.

Выбор или обзор средств контроля включает учет их значимости и достаточности в качестве способа реагирования на риск и достижения соответствующих целей.

При выборе средств контроля руководство учитывает их взаимосвязь.

Виды средств контроля

Руководство выбирает из множества видов средств контроля, которые включают превентивные, поисковые, ручные, компьютерные и средства контроля со стороны руководства.

Политика и процедуры

Политика реализуется вдумчиво, внимательно и последовательно.

Процедуры применяются при тщательном постоянном анализе условий, в отношении которых установлена политика.

Обстоятельства, выявленные в результате проведения процедуры, расследуются и предпринимаются надлежащие корректирующие действия.

Контроль за информационными системами

Внедрены надлежащие средства общего и прикладного контроля.

Информация и ее распространение

Информация

Соответствующая информация получается из внутренних и внешних источников.

Организация фиксирует и использует прошлые и текущие данные для поддержания эффективного управления рисками.

Информационная инфраструктура трансформирует первичные данные в релевантную информацию, которая оказывает содействие персоналу в выполнении обязанностей по управлению рисками и прочих обязанностей; информация предоставляется в сроки, в которые она является актуальной, и в форме, обеспечивающей возможность принятия мер, включая необходимость определять, оценивать риски и реагировать на них.

Исходные данные и информация являются надежными и предоставляются своевременно в нужном месте для обеспечения эффективного принятия решений.

Скорость движения информации соответствует темпам изменений во внутренней и внешней обстановке.

Информационные системы изменяются в соответствии с новыми целями.

Коммуникации

Руководство распространяет конкретную и целенаправленную информацию, касающуюся ожиданий в отношении поведения и обязанностей персонала, включающую четкое заявление о философии управления рисками организации и о подходе к ее реализации и четкое распределение полномочий.

Распространение информации о процессах и процедурах соответствует желаемой корпоративной культуре и способствует ее формированию.

Все сотрудники получают четкие указания от высшего руководства о важности управления рисками.

Персонал знает, каким образом его деятельность связана с деятельностью других лиц, что позволяет ему определять проблемы, выявлять их причины и предпринимать действия по их устранению.

Персонал знает, какое поведение является приемлемым и неприемлемым.

Существуют открытые каналы коммуникации и желание слушать, а персонал уверен, что начальство действительно хочет знать о проблемах и будет эффективно их решать.

Существуют каналы коммуникации за рамками обычных отношений подотчетности, и персоналу известно об отсутствии санкций за предоставление важной для руководства информации.

Существует открытый канал коммуникации между высшим руководством и советом директоров, и вся надлежащая информация сообщается своевременно.

Существуют открытые внешние каналы коммуникации, через которые важные сведения могут предоставляться покупателями и поставщиками.

Организация сообщает важную информацию регулирующим органам, финансовым аналитикам и прочим внешним сторонам.

Мониторинг

Руководство определяет на основе текущего мониторинга или проведения периодических проверок или сочетания этих видов деятельности, продолжают ли системы управления рисками организации функционировать эффективно.

Текущий мониторинг

Деятельность по мониторингу встроена в обычную операционную деятельность организации.

Он выполняется в реальном времени и обеспечивает своевременное реагирование на изменение обстоятельств.

Дополнительные проверки

Дополнительные проверки направлены непосредственно на определение эффективности управления рисками организации и дают возможность оценить эффективность процедур текущего мониторинга.

Проверяющий тщательно изучает каждую рассматриваемую процедуру и каждый компонент управления рисками организации.

Проверяющий анализирует построение системы управления рисками организации и сравнивает результаты проведенных тестов с установленными руководством стандартами с целью определить, дает ли процесс управления рисками достаточную уверенность в достижении организацией поставленных целей.

Доведение информации о недостатках до сведения руководства

Недостатки, сообщения о которых поступают из внутренних и внешних источников, тщательно анализируются на предмет их последствий для процесса управления рисками, предпринимаются соответствующие действия по их устранению.

Все недостатки, влияющие на способности организации развивать и реализовывать свою стратегию и достигать поставленных целей, доводятся до сведения лиц, которые уполномочены предпринимать необходимые меры.

В отношении сообщенных недостатков проводятся расследования и принимаются необходимые меры, а также оцениваются потенциально неправильные процедуры, лежащие в основе соответствующих операций или событий.

Устанавливается порядок определения информации, необходимой на конкретном уровне для эффективного принятия решений.

Функции и обязанности

Совет директоров

Совет директоров знает, в какой степени руководство смогло реализовать эффективное управление рисками в организации.

Он получает информацию о риск-аппетите организации и его соответствии установленным лимитам.

Он оценивает общую картину рисков организации и сравнивает ее с риск-аппетитом.

Он оценивает наиболее существенные риски организации и адекватность ответных мер, принимаемых руководством.

Руководство

Генеральный директор несет полную ответственность за управление рисками.

Он обеспечивает наличие надлежащей внутренней среды и всех компонентов процесса управления рисками организации.

Высшие менеджеры, отвечающие за организационные подразделения, несут обязанности по управлению рисками, относящимися к достижению целей их подразделений.

Они руководят процессом управления рисками и обеспечением соответствия этого процесса допустимым уровням риска.

Каждый руководитель отвечает перед вышестоящим начальством за свою часть процесса управления рисками организации, при этом генеральный директор отвечает непосредственно перед советом директоров.

Прочий персонал организации

Вопросы управления рисками прямо или косвенно отражаются в должностной инструкции каждого сотрудника.

Персонал понимает потребность в сопротивлении попыткам вышестоящих сотрудников вовлечь его в неправомерные действия, а также имеются каналы, отличные от обычных каналов подотчетности, позволяющие работникам сообщать о таких ситуациях.

Функции и обязанности всех сотрудников по управлению рисками должны быть четко прописаны и эффективно доведены до их сведения.

Стороны, взаимодействующие с организацией

Существуют механизмы получения соответствующей информации от сторон, взаимодействующих с организацией, и принятия надлежащих мер.

Необходимые меры включают не только устранение сообщенной проблемы, но также расследование причины проблемы и ее решение.

В отношении видов деятельности, переданных для выполнения третьим сторонам, руководство внедряет программу мониторинга.

Руководство учитывает наблюдения и сведения финансовых аналитиков, рейтинговых агентств и СМИ, которые могут помочь в укреплении системы управления рисками организации.

В. Взаимосвязь между концепциями по управлению рисками организаций и
внутреннему контролю

В 1992 году Комитет спонсорских организаций Комиссии Тредвея (COSO) выпустил стандарт "Внутренний контроль. Концептуальные основы", определяющий понятие системы внутреннего контроля и предоставляющий инструменты оценки, которые предприятия и прочие организации могут использовать для оценки своих систем внутреннего контроля. Этот документ определяет и описывает пять взаимосвязанных компонентов, необходимых для обеспечения эффективного внутреннего контроля.

Концепция внутреннего контроля COSO определяет внутренний контроль как процесс, осуществляемый советом директоров, менеджментом и другим персоналом организации, направленный на обеспечение разумной гарантии достижения целей по следующим категориям:

эффективность деятельности;

достоверность финансовой отчетности;

соблюдение соответствующих законодательных и нормативных актов.

В данном приложении описывается взаимосвязь между концепциями внутреннего контроля и управления рисками организаций.

Более широкое понятие, чем внутренний контроль

Система внутреннего контроля является составной частью процесса управления рисками организации. Управление рисками организации - процесс более обширный, чем внутренний контроль; он включает и развивает систему внутреннего контроля, трансформируя ее в более эффективную форму, больше ориентированную на риск. Концептуальные основы внутреннего контроля остаются в силе для организаций, которые рассматривают внутренний контроль отдельно.

Категории целей

В "Концептуальных основах внутреннего контроля" оговариваются три категории целей - операционные, цели в области финансовой отчетности и цели в области соблюдения законодательных требований. Цели, связанные с подготовкой отчетности, в модели COSO по внутреннему контролю определяются как цели, относящиеся к обеспечению достоверности публикуемой финансовой отчетности. В рамках "Концептуальных основ управления рисками" данная категория существенно расширена и охватывает все отчеты, составляемые организацией, предоставляемые как внешним, так и внутренним пользователям. Сюда включены отчеты, используемые руководством и выпускаемые для внешних сторон, а также отчетность, предоставляемая в регулирующие органы, и отчеты для других заинтересованных сторон. Помимо финансовой отчетности, охватываются не только финансовая информация в более широком смысле, но и нефинансовые данные.

"Концептуальные основы управления рисками организации" определяют еще одну категорию целей, в частности стратегические цели, которые действуют на более высоком уровне, чем другие цели. Стратегические цели вытекают из миссии или видения развития предприятия, и все операционные цели, цели в области подготовки отчетности и соблюдения законодательства должны соответствовать стратегическим целям. Управление рисками организации происходит при постановке стратегии, а также при проведении работы по достижению целей в трех других категориях. "Концептуальные основы управления рисками организации" вводят концепции риск-аппетита и допустимого уровня риска. Риск-аппетит - это степень риска, который организация считает для себя приемлемым в процессе достижения своих целей. Он выступает в качестве ориентира при разработке стратегии и постановке соответствующих целей. Допустимый риск - это приемлемый уровень отклонения от желаемых показателей при достижении целей. При определении допустимого уровня риска руководство должно учитывать относительную важность соответствующих целей и уровень риск-аппетита. Деятельность в пределах допустимого риска предоставляет руководству более высокую степень уверенности в том, что организация не превышает установленный уровень риск-аппетита, что, в свою очередь, предоставляет более высокую степень уверенности в достижении организацией своих целей.

Целостный подход

Еще одной концепцией, не рассматриваемой в "Концептуальных основах внутреннего контроля", является целостный подход к определению рисков. Помимо учета рисков при обсуждении достижения целей организации на индивидуальной основе, необходимо разбирать общий портфель рисков.

Компоненты процесса управления рисками

Акцентируя внимание на важности рисков, концепция по управлению рисками организации вместо компонента оценки рисков, предусмотренного в отчете COSO по внутреннему контролю, содержит четыре отдельных компонента: постановку целей (что является обязательной предпосылкой внутреннего контроля), определение событий, оценку риска и реагирование на риск.

Внутренняя среда

При обсуждении компонента внутренней среды модель COSO по управлению рисками организаций вводит понятие философии управления рисками организации, представляющее собой, прежде всего, набор общих мнений и отношений, характеризующих то, каким образом организация учитывает риски, а также отражающее ее ценности и оказывающее влияние на корпоративную культуру и стиль деятельности организации. Как описывается выше, данный документ вводит понятие риск-аппетита, на основании которого устанавливаются более конкретные допустимые уровни риска. В связи с особой важностью роли совета директоров и его состава документ "Концептуальные основы управления рисками организаций" расширяет содержание документа по внутреннему контролю, который требует наличия критической массы независимых директоров, то есть, как правило, по меньшей мере двух независимых директоров, указывая, что для эффективного управления рисками совет директоров должен состоять как минимум из большинства независимых сторонних директоров.

Определение событий

Концептуальные основы управления рисками организаций и внутреннего контроля признают, что риски существуют на каждом уровне организации и возникают в результате действия множества внутренних и внешних факторов. Оба документа рассматривают выявление рисков в контексте их потенциального влияния на достижение целей. Модель COSO по управлению рисками организаций вводит понятие потенциального события, которое определяется как случай или происшествие, возникающее в результате действия внутренних или внешних факторов, и которое может оказать влияние на реализацию стратегии или достижение целей организации. События, имеющие положительное влияние, представляют собой возможности, а отрицательное - риски. Управление рисками организации включает определение событий с использованием сочетания методов, которые учитывают как прошлые, так и появляющиеся тенденции и порождающие их события.

Оценка рисков

Оба отчета требуют оценки рисков с точки зрения вероятности и потенциального влияния, при этом документ по управлению рисками предполагает проведение более пристальной оценки рисков. Риски рассматриваются с точки зрения присущего и остаточного риска, преимущественно выраженного в тех же единицах измерения, что установлены для целей, к которым относятся соответствующие риски. Временные сроки оценки рисков должны соответствовать срокам, на которые рассчитаны стратегия и цели организации. "Концептуальные основы управления рисками" также привлекают внимание к взаимосвязанным рискам, описывая, как одно событие может создать множественные риски. Как отмечалось, процесс управления рисками предприятия обеспечивает возможность рассмотрения полного портфеля рисков организации для руководства. Менеджеры, отвечающие за деятельность подразделений, отдельные функции, бизнес-процессы или другие виды деятельности, разрабатывают комплексную оценку рисков для соответствующей области, а руководство рассматривает весь портфель рисков организации.

Реагирование на риски

"Концептуальные основы управления рисками организации" определяют четыре вида реагирования на риск: уклонение, сокращение, перераспределение и принятие риска. В рамках процесса управления рисками руководство выбирает возможные способы реагирования на риск из вышеперечисленных и анализирует их на предмет достижения уровня остаточного риска, соответствующего риск-аппетиту организации, и допустимого уровня риска. Рассмотрев способы реагирования на риск на индивидуальной и групповой основе, руководство учитывает совокупный эффект реагирования на риски по всей организации.

Средства контроля

Оба отчета, выпущенные COSO, представляют средства контроля как меры, обеспечивающие реагирование на риск со стороны руководства. В "Концептуальных основах управления рисками" прямо указывается на то, что в некоторых случаях само применение средств контроля является реагированием на риск.

Информация и коммуникации

Концепция по управлению рисками более подробно рассматривает компонент информации и коммуникаций, входящий в систему внутреннего контроля, при этом особое внимание уделяется рассмотрению данных, полученных на основе прошлых, настоящих и потенциальных будущих событий. Данные прошлого позволяют организации отслеживать фактические показатели по сравнению с целями, планами и ожиданиями и предоставляют сведения о показателях деятельности организации в прошлом при различных условиях. Текущие данные предоставляют важную дополнительную информацию, а изучение данных по потенциальным будущим событиям и соответствующих факторов дополняет анализ информации. Информационная инфраструктура обеспечивает сбор и отражение данных в такие сроки и с такой степенью детализации, какие требуются организации для выявления, оценки и реагирования на риск без превышения пределов допустимого риска.

Обсуждение альтернативных каналов коммуникации за рамками обычных отношений подотчетности, начатое COSO при разработке "Концептуальных основ внутреннего контроля", продолжается в "Концептуальных основах управления рисками организаций", в которых указывается, что такой канал совершенно необходим для эффективного управления рисками.

Функции и обязанности

В обоих документах рассматриваются функции и обязанности разных сторон, которые являются частью системы внутреннего контроля или предоставляют важную информацию в рамках процесса внутреннего контроля или управления рисками организации. В "Концептуальных основах по управлению рисками организаций" описываются функции и обязанности директоров по управлению рисками и роль совета директоров.

"Риск-менеджмент", N 1-2, январь-февраль 2008 г.

-------------------------------------------------------------------------

*(1) См. начало в N 5-6 2007

*(2) См. N 7-8 2007

Вы можете открыть актуальную версию документа прямо сейчас.

Открыть документ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Стандарты COSO ("Риск-менеджмент", N 1-2, январь-февраль 2008 г.)