Управление рисками, аудит и внутренний контроль

В ряде компаний создается комитет по управлению рискамипри Правлении компании. Комитет подотчетен Правлению и действует в рамках полномочий, предоставленных ему Правлением. Решения комитета, принятые в пределах его компетенции, носят рекомендательный характер для Правления. Комитет по рискам при Правлении может выполнять следующие функции:

1. Помощь в выявлении существенных рисков посредством:

– вынесения на обсуждение любых существенных рисков, выявленных в течение прошлых периодов оценки;

– принятия во внимание любых внутренних или внешних обстоятельств, которые могут увеличить риск или вызвать новые риски.

2. Управление работами по периодической оценке рисков посредством:

– выявления участников процесса оценки рисков;

– обеспечения проведения оценки рисков, по крайней мере, один раз в год или при возникновении существенных изменений внешних или внутренних факторов;

– анализа результатов оценки рисков для выявления областей высокого риска, существенных концентраций связанных рисков и любых отклонений в результатах, которые могут потребовать дальнейшего изучения или анализа;

– подготовки отчетов по результатам оценки рисков для комитета по аудиту совета директоров.

3. Анализ, определение приоритетных областей и утверждение стратегий по смягчению рисков посредством:

– анализа отчетов по управлению рисками и определения областей, требующих стратегий по смягчению рисков;

– оказания необходимой помощи в разработке мер или планов мероприятий для снижения неприемлемого риска;

– анализа и/или разработки вариантов по смягчению рисков для контроля существенных рисков;

– утверждения тех проектов, которые необходимы для внедрения планов мероприятий по снижению рисков.

4. Мониторинг реализации мер по снижению рисков посредством:

– получения отчетов и осуществление последующих запросов в отношении реализации плана мероприятий по снижению рисков;

– предоставления рекомендаций для модификации и адаптации процесса управления рисками для обеспечения соблюдения требований совета директоров и руководства.

В ряде компаний (как правило, крупных) создается департамент по управлению рисками. Департамент по управлению рисками может осуществлять следующие функции:

– организация работы подразделения по управлению рисками;

– ежегодное формирование плана работы системы управления рисками;

– контроль за исполнением структурными подразделениями компании внутренних документов по управлению рисками;

– контроль за процессом выявления рисков/организация процесса выявления рисков компании (идентификация рисков и формирование реестра, в т. ч. выявление и регистрация новых рисков);

– формирование предложений по назначению владельцев рисков;

– контроль за ежегодным обновлением реестра рисков и карты рисков;

– формирование предложений для комитета по аудиту (рискам) в отношении величины приемлемого уровня риск-аппетита;

– контроль за осуществлением оценки выявленных рисков/осуществление процесса оценки рисков при участии экспертов компании.

Кроме того, существует также практика назначения так называемых риск-лидеров. Риск-лидер выступает в качестве координатора деятельности по управлению рисками внутри каждого подразделения компании, определенного в качестве участника процесса оценки рисков. Риск-лидеры не обязательно должны быть руководителями своих подразделений, обычно они назначаются из числа руководителей данных подразделений. Риск-лидеры должны обладать глубоким пониманием деятельности подразделений, процессов и персонала, уметь организовывать проекты и управлять ими. Если риск-лидер не является руководителем подразделения, он (она) назначается и получает полную поддержку от руководителя соответствующего подразделения.

Риск-лидеры выполняют или делегируют и управляют следующими видами деятельности:

– координация с руководством подразделения;

– поддержка деятельности комитета по управлению рисками;

– выявление и анализ рисков подразделения;

– составление отчетов по выявленным рискам внутри подразделения;

– активное участие в разработке стратегий, планов, мер и пр. по смягчению рисков;

– мониторинг и составление отчета для комитета по управлению рисками о прогрессе стратегий, планов, мер и пр. по смягчению рисков.

3. Элементы системы управления рисками

Эффективное управление рисками в компании необходимо не для того, чтобы успокоить акционеров или инвесторов, а прежде всего для повышения вероятности достижения целей организации. Из каких же элементов («кирпичиков») состоит эффективная система управления рисками?

Прежде всего, контрольная среда: это общая атмосфера и настрой в организации в отношении внутреннего контроля. Что думают сотрудники организации о важности контроля? Попробуйте спросить у ваших сотрудников, считают ли они необходимым и полезным наличие службы внутреннего аудита и необходимые регулярные проверки или считают эту деятельность «неизбежным злом», отнимающим время? Считают ли они честность и прозрачность необходимым условием деятельности или им ближе подход «не пойман – не вор»?

Контрольная среда является фундаментом для всей системы внутреннего контроля и управления рисками. Факторами, влияющими на качество контрольной среды, являются этические принципы, компетентность, честность сотрудников, этика и стиль управления руководства, распределение полномочий и ответственности, а также внимание и значимость, которую высшее руководство и совет директоров придают вопросам контроля. Что может сделать совет директоров для формирования эффективной контрольной среды?

– Сформировать правильную культуру, задающую «тон сверху» в отношении внутреннего контроля и управления рисками. Пока сами члены совета директоров и высший менеджмент не будут следовать установленным принципам, правилам и процедурам, вряд ли возможно убедить в необходимости этого рядовых сотрудников.

– Убедиться в том, что принципы и правила четко сформулированы и понятны сотрудникам компании. Для этого совет директоров может инициировать опрос сотрудников, создание или пересмотр внутренних документов компании: регламентов, процедур, кодекса этики компании.

– Утвердить прозрачную организационную структуру и распределение полномочий и ответственности в компании.

Вторым элементом является четкий процесс определения целей компании. В этой связи совет директоров должен задаться вопросами:

– Насколько четко определены видение, миссия, приоритетные цели компании?

– Донесены ли цели должным образом до сотрудников?

– Ясны ли цели и задачи сотрудникам компании?

Третий элемент – оценка рисков – предполагает выявление и анализ событий, способных повлиять на достижение целей компании. Это необходимо для выработки адекватной реакции на риск. Эффективная оценка рисков предполагает, что руководство компании и совет директоров:

– Проводят выявление, оценку внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение компанией поставленных целей. Оценка обычно проводится по шкале «значимость» (обычно оценивается размер потенциального ущерба в деньгах) и «вероятность» (в баллах, категориях или процентах). (См. Пример шкалы рисков в Приложении 2).

– Устанавливают приемлемые уровни риска (аппетит к риску), который может (должна) принимать на себя компания и ее подразделения для достижения поставленных целей (с учетом стратегии, мнения акционеров).

– Разрабатывают необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками.

Обычно на данном этапе составляется реестр рисков, в котором риски классифицируются по группам (например, по источникам риска). Как выглядит сегодня типичная карта рисков организации? С какими группами рисков сталкиваются советы директоров крупнейших компаний?