Глава 2. Организация управления рисками и внутреннего контроля. Информационное письмо Банка России от 01.10.2020 N ИН-06-28/143 "О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах"

Глава 2. Организация управления рисками и внутреннего контроля

2.1. Компоненты управления рисками и внутреннего контроля

Согласно концепции ¹² Комитета спонсорских организаций Комиссии Трэдвэя COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.) к компонентам управления рисками относятся:

- корпоративное управление и культура;

- стратегия и постановка целей;

- эффективность деятельности;

- анализ и пересмотр;

- информация, коммуникация и отчетность.

Корпоративное управление и культура ¹³

Корпоративное управление и культура может рассматриваться в качестве основы управления рисками, где исходным этапом является формирование культуры управления рисками (риск-ориентированной культуры), отражающей основные ценности Общества, желаемое поведение в отношении управления рисками и важность понимания риска. Органы управления Общества призваны формировать поведенческую среду, демонстрировать приверженность основным ценностям Общества, подходам к управлению рисками при принятии решений, осуществлять надзорные функции за управлением рисками.

Стратегия и постановка целей ¹⁴

При определении стратегии и постановке целей деятельности Общества совету директоров рекомендуется учитывать внешние и внутренние факторы, которые могут повлечь за собой риски, а риск-аппетит совету директоров рекомендуется устанавливать во взаимосвязи со стратегией Общества и отдельными направлениями (проектами) Общества.

Эффективность деятельности ¹⁵

Обществу рекомендуется выявлять, оценивать и проводить анализ рисков, которые могут повлиять на способность Общества реализовать свою стратегию и достичь поставленных целей. Для этого в Обществе рекомендуется проводить анализ портфеля и профилей рисков, приоритизировать риски по уровню их возможного влияния (существенности) с учетом установленного риск-аппетита, и на основе проведенной работы осуществлять выбор стратегии/метода управления риском.

Анализ и пересмотр ¹⁶

Обществу рекомендуется проводить анализ практики управления рисками, с тем чтобы оценить, насколько она способствует реализации стратегии Общества и достижению поставленных целей, а также для определения направлений совершенствования управления рисками и внутреннего контроля.

Информация, коммуникация и отчетность ¹⁷

Для результативного управления рисками Обществу рекомендуется получать информацию как из внешних, так и из внутренних источников, в том числе настолько, насколько это возможно, использовать ресурсы своих информационных систем для организации, обеспечения, осуществления управления рисками. На основе полученной информации рекомендуется осуществлять подготовку отчетности о рисках, культуре и эффективности деятельности Общества и вынесение ее на рассмотрение и утверждение советом директоров, а также доведение ее до всех заинтересованных сторон. Полученную информацию также рекомендуется использовать для прогнозирования ситуаций, которые могут помешать реализации стратегии и достижению целей Общества.

Надлежащее функционирование каждого из компонентов управления рисками способствует повышению устойчивости организации, а именно, помогает выявлять не только факторы риска, но и изменения (возможности), которые могут оказать влияние на результаты деятельности организации, и определять необходимость внесения изменений в стратегию.

Согласно концепции ¹⁸ Комитета спонсорских организаций Комиссии Трэдвэя COSO "Внутренний контроль. Интегрированная модель" (2013 г.) к компонентам внутреннего контроля относятся:

- контрольная среда;

- оценка рисков;

- контрольные процедуры (средства контроля);

- информация и коммуникации;

- мониторинг (процедуры мониторинга).

Контрольная среда

Контрольная среда - совокупность стандартов, процессов и действий исполнительных органов, направленных на установление и поддержание эффективного функционирования внутреннего контроля в Обществе, а также понимание его важности на всех уровнях управления для достижения поставленных целей. Формирование контрольной среды предопределено корпоративной культурой в Обществе и стилем принятия решений органами управления Общества. Наиболее эффективной является контрольная среда, при которой органы управления подчеркивают важность внутреннего контроля, а работники понимают значение внутреннего контроля и готовы участвовать в нем.

Оценка рисков

В основе эффективного внутреннего контроля лежит риск-ориентированный подход, который подразумевает концентрацию усилий и инициатив по построению и совершенствованию внутреннего контроля, в первую очередь, в областях деятельности Общества, которые характеризуются наиболее высоким уровнем рисков. Для этого Обществу рекомендуется выявлять, оценивать и анализировать риски, которые могут повлиять на деятельности Общества и достижение поставленных целей.

Контрольные процедуры (средства контроля)

Обществу рекомендуется выбирать, разрабатывать и применять контрольные процедуры, направленные на снижение рисков, препятствующих достижению его целей. Контрольные процедуры являются одним из основных видов воздействия на риск и представляют собой мероприятия, действия работников Общества и (или) операции информационных систем, осуществляемые на различных уровнях организационной структуры Общества и направленные на уменьшение вероятности реализации риска и (или) минимизацию величины риска как угрозы.

Информация и коммуникации

Обществу рекомендуется внедрять эффективные средства обмена информацией и информационные технологии, которые позволяют создать условия для эффективной реализации управленческих функций, дают возможность органам управления и работникам принимать своевременные и обоснованные решения, выполнять свои должностные обязанности, в том числе в области управления рисками и внутреннего контроля. Обществу рекомендуется обеспечивать создание эффективных каналов обмена информацией, включая вертикальное и горизонтальное взаимодействие между участниками системы управления рисками и внутреннего контроля, а также взаимодействие с внешними заинтересованными сторонами.

Мониторинг (процедуры мониторинга)

Обществу рекомендуется осуществлять мониторинг (как постоянный/текущий, так и периодический либо комбинированный) средств контроля с тем, чтобы удостовериться в их наличии в Обществе и надлежащем функционировании.

Таким образом, внутренний контроль позволяет Обществу фокусироваться на достижении поставленных целей, соблюдая при этом требования законодательства Российской Федерации и внутренних документов, а интеграция с управлением рисками обеспечивает реализацию риск-ориентированного подхода при принятии управленческих решений на всех уровнях управления.

В случае формирования в Обществе обособленных (отдельно функционирующих, в том числе исторически сложившихся) системы внутреннего контроля и системы управления рисками совету директоров Общества рекомендуется рассмотреть целесообразность интеграции систем в целях формирования единой СУРиВК с учетом масштаба, вида и специфики деятельности Общества, оценки надежности и эффективности управления рисками и внутреннего контроля, фактов превышения риск-аппетита, инцидентов управления рисками, рекомендаций внутреннего и (или) внешнего аудитора Общества.

2.2. Организация системы управления рисками и внутреннего контроля

Организация управления рисками и внутреннего контроля зависит от масштаба, вида и специфики деятельности Общества, а также от реализуемой модели корпоративного управления.

Созданию эффективной СУРиВК независимо от масштаба, вида и специфики деятельности Общества способствует следование следующим рекомендациям:

- интеграция со стратегией, миссией и целями Общества,

- определение роли каждого из органов управления и подразделений Общества в области управления рисками и внутреннего контроля;

- информированный и вовлеченный в деятельность Общества совет директоров;

- четкое определение ролей и функций комитетов совета директоров в области управления рисками и внутреннего контроля;

- привлечение квалифицированных ¹⁹ руководителей, ответственных за организацию и осуществление управления рисками и внутренний контроль;

- понимание каждым работником Общества в рамках функционального направления деятельности рисков (включая как угрозы, так и возможности), обязанностей и ответственности в области управления рисками и внутреннего контроля, вовлечение в процесс управления рисками и внутренний контроль;

- использование единой терминологии для обеспечения единого понимания всех аспектов управления рисками и внутреннего контроля в масштабах деятельности Общества;

- честное и объективное раскрытие информации о реализовавшихся рисках;

- доведение до сведения всех органов управления Общества информации по вопросам управления рисками и внутреннего контроля;

- повышение квалификации, уровня знаний у работников Общества в области управления рисками и внутреннего контроля;

- наличие отдельных каналов коммуникации для передачи информации о нарушениях в области управления рисками и внутреннего контроля;

- совершенствование подходов к организации и осуществлению управления рисками и внутреннего контроля с учетом изменений внешней и внутренней среды;

- обеспечение независимости внутреннего аудита.

Общие принципы и подходы к организации управления рисками и внутреннего контроля, цели и задачи СУРиВК рекомендуется определить в положении (политике) Общества в области управления рисками и внутреннего контроля ²⁰ (далее - политика в области управления рисками и внутреннего контроля).

Политику в области управления рисками и внутреннего контроля целесообразно рассматривать в качестве основы для разработки внутренних методологических и организационно-распорядительных документов, регламентирующих организацию и осуществление управления рисками и внутреннего контроля (как на уровне Общества в целом, так и на уровне отдельных функциональных направлений деятельности, а также подконтрольных обществ). В политике в области управления рисками и внутреннего контроля рекомендуется определить:

- применяемые подходы и методы управления рисками, в том числе к идентификации, классификации, оценке, приоритизации рисков, определению критериев существенности;

- порядок взаимодействия органов управления и работников Общества, сроки выполнения отдельных процедур в области управления рисками и внутреннего контроля;

- состав и порядок формирования отчетности в области управления рисками и внутреннего контроля;

- порядок проведения оценки эффективности управления рисками и внутреннего контроля;

- порядок определения риск-аппетита;

- при необходимости - подходы к управлению рисками, а также организации внутреннего контроля по отдельным бизнес-процессам, подразделениям, проектам, программам и т.п.;

- подходы к коммуникации и доведению информации до исполнительных органов и совета директоров Общества.

2.3. Ограничения системы управления рисками и внутреннего контроля

Следует иметь в виду, что СУРиВК способна обеспечить разумную (не абсолютную) уверенность в достижении целей Общества, в связи с определенными ограничениями функционирования. Разумная уверенность при этом не подразумевает, что в СУРиВК будут происходить масштабные и (или) существенные сбои, а уровень подверженности ограничениям зависит в том числе от уровня развития СУРиВК в Обществе. Тем не менее в силу неотъемлемого характера ряда ограничений СУРиВК не может предоставить гарантии того, что, например, неподконтрольные события, ошибки или внештатные инциденты никогда не возникнут.

Несмотря на объективный характер ограничений СУРиВК, при разработке мероприятий по воздействию на риски Обществу рекомендуется минимизировать вероятность реализации и влияние рисков до приемлемого уровня. Кроме того, наличие таких ограничений не снимает ответственности за неэффективность организации управления рисками с лиц, ответственных в Обществе за организацию СУРиВК, в рамках их полномочий.

К ограничениям СУРиВК могут быть отнесены:

- особенности организации корпоративного управления в Обществе.

СУРиВК является одним из элементов корпоративного управления. При этом ряд вопросов корпоративного управления выходит за рамки СУРиВК, но оказывает непосредственное влияние на ее функционирование. Неэффективные процессы разработки стратегии и (или) постановки целей, неэффективная работа совета директоров и (или) исполнительных органов ограничивают возможности СУРиВК;

- субъективность суждения.

Решения в отношении рисков принимаются на основе человеческого суждения, с учетом временных ограничений, на основе имеющейся в распоряжении информации, подверженной искажению со стороны работников и в условиях внутреннего и внешнего давления (сроков, требований, высоких ключевых показателей эффективности);

- внешние события.

СУРиВК не способна обеспечить разумную уверенность в достижении целей, когда внешние события могут оказать значительное воздействие на достижение целей и это воздействие не может быть уменьшено до приемлемого уровня. В этих ситуациях СУРиВК может лишь обеспечить разумную уверенность в том, что Общество осведомлено о прогрессе или отсутствии такового в достижении таких целей;

- сбои СУРиВК.

Сбои могут быть вызваны различными факторами, в том числе неверным толкованием участниками СУРиВК внутренних документов, законодательства Российской Федерации, требований регулирующих органов, условий договоров; ошибками работников, в том числе по причине небрежности, недостаточной компетентности; невозможностью полного устранения риска несовершенства процессов, технологий, моделей;

- сознательное нарушение (обход) СУРиВК.

Участники СУРиВК могут совершать преднамеренные действия (в том числе в результате сговора) с целью сокрытия (искажения) данных о рисках и мероприятиях по воздействию на риски, нарушения выполнения мероприятий по воздействию на риски, невыполнения мероприятий по воздействию на риски (в том числе контрольных процедур) и (или) совершения неправомерных действий;

- отсутствие персональной ответственности исполнительных органов и (или) работников Общества (помимо гражданской, административной, уголовной) за реализацию существенных проектов, осуществляемых Обществом.

2.4. Участники системы управления рисками и внутреннего контроля

Управление рисками и внутренний контроль осуществляются на всех уровнях организации и подразумевают вовлечение всех органов управления и работников Общества (участники СУРиВК), роли и функции которых разграничены и в то же время дополняют друг друга ²¹. Обязанности и ответственность за принятие и реализацию (выполнение) решений в области управления рисками и внутреннего контроля между участниками СУРиВК рекомендуется распределить таким образом, чтобы было исключено дублирование функций, обеспечены согласованность и эффективность реализуемых мер по управлению рисками.

Рекомендуется во внутренних документах Общества определить ²² зоны ответственности, полномочия органов управления Общества, функции и зоны ответственности структурных подразделений в области управления рисками и внутреннего контроля, требования к компетенции руководителей и работников Общества в области управления рисками и внутреннего контроля в рамках функционального направления деятельности, ответственность участников СУРиВК за выявление, оценку, учет рисков при принятии решений, порядок доступа участников СУРиВК к документам, информационным ресурсам и иной информации о деятельности Общества, а также порядок взаимодействия всех участников СУРиВК. Компетенцию и полномочия совета директоров и исполнительных органов в области управления рисками и внутреннего контроля рекомендуется определить в уставе Общества.

Совет директоров

К компетенции совета директоров в области управления рисками и внутреннего контроля рекомендуется отнести следующие вопросы:

- определение принципов и подходов к организации в Обществе управления рисками и внутреннего контроля, в том числе утверждение внутренних документов Общества, определяющих политику в области управления рисками и внутреннего контроля;

- утверждение и пересмотр риск-аппетита;

- рассмотрение и одобрение стратегии Общества с учетом рисков Общества;

- рассмотрение и мониторинг наиболее существенных рисков, которым подвержено Общество;

- определение ключевых показателей эффективности исполнительных органов, руководителей структурных подразделений, ключевых работников Общества с учетом результатов оценки эффективности управления рисками и внутреннего контроля;

- рассмотрение отчетов исполнительных органов Общества о функционировании СУРиВК;

- организация проведения не реже одного раза в год оценки надежности и эффективности управления рисками и внутреннего контроля;

- рассмотрение не реже одного раза в год материалов и результатов оценки внутренним аудитом надежности и эффективности управления рисками и внутреннего контроля;

- рассмотрение заключения внешней оценки эффективности управления рисками и внутреннего контроля;

- вопросы в области внутреннего аудита ²³.

В целях содействия эффективному выполнению функций совета директоров в области управления рисками и внутреннего контроля в зависимости от масштаба и характера деятельности Общества из числа членов совета директоров может быть сформирован комитет по рискам, а в случае отсутствия такого комитета его функции может выполнять комитет по аудиту.

Порядок формирования комитета по рискам рекомендуется отразить в положении ²⁴ о комитете по рискам и иных внутренних документах Общества, определяющих состав и порядок деятельности комитетов совета директоров.

Количественный состав и квалификационные требования к членам комитета по рискам целесообразно определять в зависимости от масштаба, вида и специфики деятельности, бизнес-целей и профиля рисков Общества, а также в соответствии с рекомендациями Кодекса корпоративного управления ²⁵.

В случае необходимости Общество может на временной основе привлекать к работе комитета по рискам экспертов и консультантов без права голоса при принятии решений по вопросам компетенции комитета.

К задачам комитета по рискам в области управления рисками и внутреннего контроля рекомендуется отнести следующие вопросы:

- предварительное рассмотрение до утверждения советом директоров проекта политики в области управления рисками и внутреннего контроля Общества, а также вносимых последующих изменений в указанный документ;

- совместные с комитетом по аудиту рассмотрение и подготовка заключения в отношении риск-аппетита и его показателей до их представления на утверждение совету директоров;

- анализ перечня и характера существенных рисков, а также их влияния на достижение целей Общества;

- рассмотрение мер реагирования на риски;

- проведение регулярных встреч с исполнительными органами Общества для обсуждения эффективности контрольных процедур, рассмотрения существенных недостатков внутреннего контроля и планов по их устранению, выявления существенных рисков и их индикаторов, осуществления анализа мероприятий по управлению существенными рисками;

- контроль за надежностью и эффективностью управления рисками и внутреннего контроля, в том числе в части установления процедур по выявлению, оценке, управлению и мониторингу рисков;

- инициирование (по мере необходимости, при изменении процедур и (или) применимых регуляторных требований) оценки надежности и эффективности управления рисками и внутреннего контроля;

- рассмотрение отчетов исполнительных органов о функционировании СУРиВК, заключений и материалов проверок внутреннего аудита по вопросам, связанным с управлением рисками и внутренним контролем, материалов и результатов оценки внутренним аудитом надежности и эффективности управления рисками и внутреннего контроля, заключения по итогам внешней оценки эффективности управления рисками и внутреннего контроля, подготовка предложений по совершенствованию организации управления рисками и внутреннего контроля;

- анализ результатов выполнения разработанных исполнительными органами мероприятий по совершенствованию управления рисками и внутреннего контроля;

- оценка необходимости пересмотра политики в области управления рисками и внутреннего контроля.

Исполнительные органы

К компетенции исполнительных органов Общества в области управления рисками и внутреннего контроля рекомендуется отнести следующие вопросы:

- организация, поддержание и развитие эффективной СУРиВК, выполнение решений совета директоров в области организации управления рисками и внутреннего контроля;

- утверждение методологии по управлению рисками и внутреннему контролю;

- распределение полномочий, обязанностей и ответственности между находящимися в их ведении и (или) курируемыми руководителями структурных подразделений Общества в области управления рисками и внутреннего контроля;

- рассмотрение отчетов руководителей, ответственных за организацию и осуществление управления рисками и внутреннего контроля, о функционировании СУРиВК;

- рассмотрение и утверждение реестра рисков ²⁶ и планов мероприятий по управлению рисками;

- инициирование оценки эффективности управления рисками и внутреннего контроля;

- рассмотрение и утверждение программы развития СУРиВК.

В целях организации, поддержания и развития СУРиВК в Обществе могут быть сформированы коллегиальные органы по управлению рисками (комитеты, комиссии, рабочие группы, состоящие из представителей исполнительных органов и работников структурных подразделений Общества). Такие коллегиальные органы могут формироваться для целей принятия решений по отдельным типам рисков либо выполнять совещательную функцию. В случае если к компетенции таких коллегиальных органов относится принятие решений по воздействию на риски (включая выбор методов и мероприятий по воздействию на риск), ответственность за принятие таких решений, а также обязательность их выполнения и ответственность за выполнение принятых решений рекомендуется определить во внутренних документах Общества.

Иные ключевые участники СУРиВК

Работники и руководители бизнес-подразделений - владельцев рисков, непосредственно выполняющие бизнес-процессы и управляющие связанными с ними рисками, то есть те, кто выявляет, идентифицирует, оценивает риски, реализует меры по снижению рисков, обеспечивает соответствие применяемых мер целям и задачам организации, внедряет и выполняет контрольные процедуры - интегрирует управление рисками и внутренний контроль в процессы реализации стратегических и тактических целей и несет ответственность за обеспечение эффективной реализации контрольных процедур и управление рисками на постоянной основе.

Работники и руководители структурных подразделений, осуществляющие поддержку работников и руководителей бизнес-подразделений - владельцев рисков путем координации взаимодействия, обучения, информирования и разъяснения методологии, подготовки и формирования отчетности в области управления рисками и внутреннего контроля, а также отслеживающие эффективность внедрения и осуществления управления рисками и внутреннего контроля работниками и руководителями бизнес-подразделений - владельцев рисков путем проведения проверок и (или) мониторинга их действий. К таким подразделениям, например, относятся подразделения по управлению рисками и внутреннему контролю ²⁷, комплаенс-контролю ²⁸, охране труда и промышленной безопасности. Структуру, функционал, наименования, подчиненность подразделений рекомендуется определять с учетом применимых к Обществу требований законодательства Российской Федерации, масштаба, вида и специфики деятельности Общества, организационной структуры Общества, а также рекомендуется принимать во внимание оценку надежности и эффективности управления рисками и внутреннего контроля, факты превышения риск-аппетита, инциденты управления рисками, рекомендации внутреннего и (или) внешнего аудитора Общества. При этом место подразделения (подразделений), координирующего деятельность Общества в рамках СУРиВК и обеспечивающего ее функционирование, в организационной структуре Общества рекомендуется определить таким образом, чтобы оно было структурно разграничено (включая полномочия и обязанности) от деятельности подразделений, осуществляющих управление рисками в рамках своей операционной деятельности.

Работники, осуществляющие внутренний аудит, - обеспечивающие независимую и объективную оценку надежности и эффективности управления рисками и внутреннего контроля, оказывающие содействие исполнительным органам Общества и работникам Общества, вовлеченным в управление рисками и внутренний контроль, в разработке и мониторинге исполнения процедур и мероприятий по совершенствованию управления рисками и внутреннего контроля. Вопросы организации внутреннего аудита в Обществе рассмотрены в главе 3 настоящих Рекомендаций.

2.5. Риск-культура и контрольная среда

Риск-культура отражает основные ценности, поведение и модель принятия решений всеми органами управления и работниками Общества. Риск-культура включает в себя желаемое поведение по отношению к риску, а также все элементы контрольной среды Общества, такие как стиль руководства, корпоративная культура, этические ценности, организационная структура, подотчетность и ответственность руководителей направлений, структурных подразделений, компетентность и развитие работников, открытая коммуникация и т.д. Риск-культура влияет на решения линейных руководителей и работников, даже если они сознательно не принимают во внимание риски, присущие их ежедневной деятельности.

Формирование риск-культуры, разделяемой всеми работниками Общества, является основополагающим фактором при обеспечении эффективного управления рисками с целью реализации стратегии и достижения бизнес-целей Общества.

Совет директоров и исполнительные органы Общества призваны подавать личный пример в разделении ценностей, поведенческой модели принятия решений, демонстрации и поддержании надлежащих практик управления рисками, то есть формировать поведенческую среду с учетом ожиданий заинтересованных лиц ²⁹, социальных и этических норм и правил поведения.

Совет директоров и исполнительные органы призваны определять желаемую риск-культуру Общества в целом, а ценности Общества, в свою очередь, обуславливают ожидаемое поведение при принятии повседневных решений для целей соответствия ожиданиям заинтересованных лиц.

Для формирования риск-культуры рекомендуется развивать и повышать компетенцию работников (обучение, управление стрессом и давлением), совершенствовать систему мотивации (вознаграждение эффективной деятельности), обеспечивать условия и поддерживать взаимодействие участников (открытая коммуникация).

Кроме того, Обществу рекомендуется на регулярной основе повышать уровень информированности всех участников СУРиВК относительно реализуемой Обществом политики в области управления рисками и внутреннего контроля, что позволит всем органам управления и работникам Общества на всех уровнях четко понимать роль и значение данной системы для деятельности Общества, их непосредственную роль и функции в ней. Недостаточная информированность работников о рисках может увеличить вероятность нарушений в процессах, контроле, системах и риск утечки и (или) утери конфиденциальной информации. Для повышения уровня информированности и внедрения благоприятной риск-культуры в организации рекомендуется обращать внимание на модели поведения, демонстрируемые как советом директоров, так и исполнительными органами Общества.

Уровень зрелости риск-культуры определяется общностью целей, ценностей, этических норм и терминологии; их единообразным пониманием и применением; ориентированностью на обучение; своевременной, открытой и честной коммуникацией; признанием ценности эффективного управления рисками; индивидуальной и коллективной ответственностью.

2.6. Риск-аппетит

Обществу целесообразно применять риск-аппетит для:

- установления запретов и разрешений по величине риска, связанных с достижением бизнес-целей;

- единого понимания приемлемых рисков на всех уровнях управления Обществом;

- достижения стратегических и операционных целей за счет контроля риска в пределах допустимых границ.

Риск-аппетит (приемлемый уровень риска) отражает общекорпоративный подход к определению приемлемости рисков для Общества. После утверждения риск-аппетита все управленческие решения, включая формирование финансового плана и бюджета, рекомендуется принимать с учетом установленного риск-аппетита. Для учета риск-аппетита на разных уровнях принятия решений в Обществе рекомендуется определить подход к его каскадированию по уровням организационной структуры Общества, а также определить показатели - измеримые и контролируемые метрики отклонения от целей бизнеса:

- толерантность к риску (допустимый уровень риска) - отклонение от конкретной цели, которое Общество и заинтересованные стороны готовы принять в рамках воздействия неподконтрольных Обществу обстоятельств;

- лимиты на риск - пороговые значения рисков, связанные с конкретными показателями (например, ключевыми индикаторами риска).

Заявления о риск-аппетите целесообразно формулировать исходя из целей Общества, в том числе на очередной период бизнес-планирования, среднесрочную или долгосрочную перспективу.

Риск-аппетит может быть выражен качественно и (или) на основе количественных показателей. Качественное выражение риск-аппетита подразумевает, что риск-аппетит не имеет четких количественных показателей, то есть представляет собой общее заявление о том, что допустимо ³⁰, приемлемо или неприемлемо ³¹ для Общества в процессе реализации своей миссии и достижения поставленных целей.

Помимо качественного выражения риск-аппетита Обществу также рекомендуется разрабатывать количественные показатели с учетом стратегии, бизнес-целей, анализа прошлых и текущих целевых показателей. Количественные показатели ³² риск-аппетита могут быть выражены посредством целевого показателя, диапазона значений, верхнего или нижнего предела.

При выборе параметров для определения риск-аппетита целесообразно рассмотреть возможность использования:

- стратегических параметров, таких как новые продукты, которые следует или не следует разрабатывать, показатели стратегических проектов и капитальных инвестиций;

- финансовых параметров, таких как выручка, доходность активов, доходность капитала, целевой рейтинг кредитоспособности и целевое соотношение заемного и собственного капитала;

- операционных параметров, таких как объем производства, реализация продукции, размер издержек, экологические требования, целевые показатели безопасности, качества и взаимодействия с клиентами.

Ограничения и допущения риск-аппетита

При применении концепции риск-аппетита Обществу рекомендуется учитывать ее ограничения и допущения, такие как:

- соответствие риск-аппетита ключевым стратегическим целям Общества и наличие связи с ними;

- формулирование риск-аппетита посредством обозначения четких и понятных ориентиров для принятия решений, но не подробных инструкций к действию. Риск-аппетит целесообразно сформулировать таким образом, чтобы не оставалось сомнений и исключалась двусмысленность толкования:

- изменяемость риск-аппетита - рекомендуется пересматривать риск-аппетит на регулярной основе (как минимум ежегодно) для оценки его соответствия текущей ситуации с учетом изменений внешней и внутренней среды, готовности Общества принимать риск за прошедшее время, пересмотра стратегии, бизнес-планов, ключевых показателей деятельности Общества.

- каскадирование риск-аппетита на все уровни принятия решений.

2.7. Интеграция управления рисками и внутреннего контроля в деятельность Общества

Управление рисками и внутренний контроль не являются обособленными функциями и (или) деятельностью, отделенной от основной деятельности и бизнес-процессов Общества. Интегрированные в деятельность Общества управление рисками и внутренний контроль предопределяют возможность и эффективность реализации стратегии и достижения бизнес-целей Общества, повышают эффективность процесса принятия решений, проектной и операционной деятельности Общества.

К ключевым направлениям интеграции управления рисками и внутреннего контроля в деятельность Общества можно отнести:

Стратегическое планирование

В ходе разработки (актуализации) стратегии Обществу рекомендуется выявлять риски, присущие сценарию ее реализации, и оценивать их влияние на достижение поставленных целей, а также включать в стратегию мероприятия по воздействию на такие риски.

Разработка нескольких альтернативных сценариев либо отдельных стратегий подразумевает выявление и оценку потенциальных рисков для каждого рассматриваемого сценария (стратегии). Выявленные риски в совокупности формируют профиль риска для каждого варианта; то есть разные сценарии (стратегии) обладают разными профилями риска. Обществу рекомендуется учитывать профили риска при выборе наилучшего сценария (стратегии) среди альтернативных.

Обществу рекомендуется разработать порядок мониторинга для всех существенных стратегических рисков и проанализировать необходимость непрерывного мониторинга данных рисков, в том числе с помощью ключевых индикаторов риска.

Бизнес-планирование и бюджетирование

В рамках формирования бюджетов подразделениям Общества рекомендуется выявлять и оценивать риски, оказывающие непосредственное влияние на целевые показатели и на достижение целей Общества, а также проводить оценку средств, необходимых для реализации мероприятий по воздействию на риски.

Расходы на мероприятия по воздействию на риски и потенциальные потери от реализации рисков рекомендуется учитывать одновременно с потенциальным эффектом от реализации мероприятий при составлении как бюджетов отдельных подразделений, так и консолидированного бюджета (финансового плана) Общества. В случае изменения оценки рисков или выявления новых рисков подразделениям рекомендуется проводить анализ влияния данных рисков на действующий бюджет.

Принятие управленческих решений

При организации управления рисками и внутреннего контроля рекомендуется предусмотреть способы интеграции управления рисками и внутреннего контроля в процесс принятия управленческих решений как на организационном, так и на операционном уровне управления Общества:

- на организационном уровне - путем анализа и реагирования на риски, влияющие на достижение целей Общества, исходя из установленного уровня риск-аппетита при принятии управленческих решений органами управления;

- на операционном уровне - путем анализа и реагирования на риски, влияющие на достижение целей отдельных бизнес-процессов, подразделений, проектов, исходя из показателей, определяемых на основе риск-аппетита, при принятии управленческих решений в рамках деятельности руководителей структурных подразделений.

Инвестиционное планирование и проектное управление

В рамках управления проектами Обществу также рекомендуется определять риск-аппетит по отношению к портфелю проектов и допустимый уровень риска по отношению к отдельным существенным ³³ проектам, а также осуществлять управление проектными рисками на всех стадиях реализации проекта. При этом Обществу рекомендуется осуществлять контроль как напрямую за конкретными рисками и мероприятиями по воздействию на них, так и косвенно с помощью экономических показателей реализации проекта.

В случае наличия портфеля проектов Обществу рекомендуется учитывать влияние и взаимосвязь различных рисков на экономические показатели портфеля в целом для создания сбалансированного портфеля проектов путем использования инструментов портфельного анализа, оценки, моделирования и оптимизации.

Система мотивации персонала

Программы мотивации предназначены для стимулирования работников и руководителей Общества к совершению действий, направленных на достижение его бизнес-целей. Основной задачей риск-ориентированной системы мотивации является формирование как у работников, так и у руководителей подразделений, исполнительных органов персональной ответственности и понимания, в рамках которых они при принятии каких-либо решений или совершении действий оценивают последствия таких решений (действий) с точки зрения рисков, которым они могут подвергнуть Общество, и мотивированы поступать в соответствии с риск-культурой Общества и установленным риск-аппетитом для достижения поставленных бизнес-целей.

Для этого достижение бизнес-целей (в том числе долгосрочных) рекомендуется соответствующим образом балансировать через включение в систему ключевых показателей эффективности показателей, связанных с управлением рисками. К ним могут относиться отдельные показатели риск-аппетита, а также отдельные ключевые индикаторы риска. Кроме того, в систему ключевых показателей эффективности могут быть включены метрики выполнения мероприятий по воздействию на риск и их эффективности, а для более объективного анализа рекомендуется также учитывать наличие ресурсов, выделенных на выполнение данных мероприятий.

Операционная деятельность

В рамках деятельности отдельных бизнес-процессов и подразделений Обществу рекомендуется на регулярной основе выявлять и оценивать риски рутинных операций и транзакций с целью определения и внедрения оптимального набора контрольных процедур, направленных на минимизацию наиболее существенных рисков, то есть обеспечить эффективную работу внутреннего контроля (риск-ориентированный контроль).

2.8. Организация управления рисками и внутреннего контроля в холдингах

Для обеспечения методологического единообразия и гармонизации используемых подходов целесообразно распространить реализуемые принципы и подходы к организации и осуществлению управления рисками и внутреннего контроля Общества на подконтрольные ему общества в той части, в которой это возможно, исходя из принципов корпоративного управления. Для учета рисков подконтрольных обществ рекомендуется определить подход к формированию портфеля и профилей рисков в холдинге. В связи с этим Обществу рекомендуется:

- рассматривать риски подконтрольных обществ как отдельные риски с учетом корректировки оценки их влияния относительно шкалы или пороговых значений, используемых в Обществе;

- рассматривать риски подконтрольных обществ как причины возникновения (риск-факторы) рисков Общества и соответствующим образом учитывать (то есть агрегировать) их при оценке рисков Общества:

- использовать комбинированный подход, то есть учитывать типовые риски подконтрольных обществ в составе соответствующих им рисков Общества и включать "уникальные" риски подконтрольных обществ в перечень рисков Общества.

2.9. Оценка эффективности управления рисками и внутреннего контроля

Совету директоров Общества рекомендуется предпринимать необходимые меры для того, чтобы убедиться, что действующая в Обществе СУРиВК соответствует определенным советом директоров принципам и подходам к организации управления рисками и внутреннего контроля, надежно и эффективно функционирует ³⁴. В связи с этим совету директоров рекомендуется не реже одного раза в год рассматривать вопросы организации, функционирования, эффективности управления рисками и внутреннего контроля ³⁵.

В целях поддержания надежности и обеспечения эффективности управления рисками и внутреннего контроля Обществу рекомендуется проводить оценку управления рисками и внутреннего контроля, форму и периодичность проведения такой оценки рекомендуется определить в политике в области управления рисками и внутреннего контроля.

При оценке эффективности управления рисками и внутреннего контроля рекомендуется учитывать уровень развития СУРиВК и корпоративного управления, масштабы, виды и специфику деятельности Общества, специфику организационной структуры и организации бизнес-процессов, применимые законодательные требования, соотношение итоговых результатов деятельности Общества с целями Общества.

Внутренняя оценка эффективности управления рисками и внутреннего контроля

Внутренняя оценка эффективности управления рисками и внутреннего контроля осуществляется с целью подтверждения организации и осуществления управления рисками и внутреннего контроля в соответствии с требованиями регулирующих органов, внутренних документов в области управления рисками и внутреннего контроля, определения полноты, достаточности и актуальности указанных документов и формирования предложений по развитию СУРиВК.

Внутренняя оценка эффективности управления рисками и внутреннего контроля может быть проведена в следующем объеме:

- комплексная оценка СУРиВК в Обществе;

- оценка отдельных компонентов управления рисками и внутреннего контроля либо их комбинации;

- в Обществе и подконтрольных ему обществах - оценка с целью формирования вывода о надежности и эффективности управления рисками и внутреннего контроля в холдинге.

Внутренняя оценка управления рисками и внутреннего контроля может быть проведена:

- внутренним аудитором Общества;

- посредством проведения самооценки подразделением (подразделениями), ответственным за организацию управления рисками и внутреннего контроля, а также структурными подразделениями Общества в рамках функциональной деятельности.

В случае если в Обществе определен подход к оценке развития СУРиВК (модель зрелости), по результатам проведения внутренней оценки СУРиВК может быть определен уровень развития (зрелости) СУРиВК. Помимо оценки уровня зрелости также рекомендуется делать вывод об эффективности функционирования и существующих ограничениях СУРиВК. Несмотря на то что Общество не всегда может достигать поставленные цели или осуществлять деятельность в рамках риск-аппетита, случаи невыполнения целей Общества и (или) превышения риск-аппетита целесообразно рассматривать в приоритетном порядке при проведении оценки и формировании вывода об эффективности управления рисками и внутреннего контроля.

Рекомендуется не реже одного раза в год представлять на рассмотрение исполнительным органам и совету директоров Общества результаты внутренней оценки управления рисками и внутреннего контроля. По итогам оценки рекомендуется сформировать план мероприятий по устранению недостатков, корректирующих мер, направленных на обеспечение надежности, эффективности и совершенствование как отдельных компонентов управления рисками и внутреннего контроля, так и СУРиВК в целом и осуществлять последующий контроль его выполнения.

Результаты оценки управления рисками и внутреннего контроля также рекомендуется учитывать при определении ключевых показателей эффективности руководителей структурных подразделений Общества, ключевых работников Общества.

Внешняя оценка эффективности управления рисками и внутреннего контроля

Внешняя оценка эффективности управления рисками и внутреннего контроля проводится внешним экспертом ³⁶ с целью получения независимого мнения о состоянии СУРиВК, эффективности управления рисками и внутреннего контроля в процессе реализации Обществом целей деятельности. Периодичность проведения внешней оценки рекомендуется определить в политике в области управления рисками и внутреннего контроля.

Выбор внешнего эксперта для проведения внешней оценки эффективности управления рисками и внутреннего контроля рекомендуется осуществлять в соответствии с требованиями законодательства Российской Федерации и внутренними процедурами Общества по выбору поставщиков услуг, принимая во внимание следующие критерии:

- наличие профессиональной компетенции в области проведения оценки эффективности управления рисками и внутреннего контроля;

- наличие у эксперта достаточного количества специалистов в области управления рисками и внутреннего контроля, обладающих профильными компетенциями, национальными и (или) международными сертификатами;

- достаточный и недавний по времени практический опыт работы в области управления рисками и внутреннего контроля у эксперта (руководителя проектной команды);

- отсутствие у эксперта потенциального или фактического конфликта интересов, способного оказать влияние на объективность эксперта, включая:

- аффилированность с Обществом и (или) его подконтрольными обществами, в том числе работниками, членами исполнительных органов, совета директоров;

- заинтересованность эксперта в результатах деятельности Общества.

В случае если на деятельность Общества оказывают существенное влияние отдельные риски, целесообразно предусмотреть возможность привлечения внешних экспертов для проведения оценки управления подобными рисками, в том числе согласно регуляторным требованиям и (или) требованиям законодательства Российской Федерации по проведению оценки и проверок отдельных видов деятельности, отдельных рисков и отдельных мероприятий по воздействию на риски и сертификации отдельных видов деятельности.

Результаты проведения внешней оценки рекомендуется представлять исполнительным органам и совету директоров Общества отдельно от результатов внутренней оценки.

Результаты внешней оценки рекомендуется учитывать при определении ключевых показателей эффективности исполнительных органов Общества, руководителя (руководителей), ответственного (ответственных) за организацию управления рисками и (или) внутреннего контроля, и выработки корректирующих мер, направленных на обеспечение надежности, эффективности и совершенствование управления как отдельных компонентов управления рисками и внутреннего контроля, так и СУРиВК в целом.