Куперс

Авторы: Михаил Токун, Наталья Садова, члены Ассоциации «Институт внутренних аудиторов»

Читайте предыдущие статьи цикла «Введение во внутренний аудит»:

1. Понятие внутреннего аудита и различие между внешним и внутренним аудитом

2. Внутренний аудит: риски и контроли

3. Виды внутреннего аудита

Повышению результативности любого бизнеса способствует надежные и эффективные системы внутреннего контроля и управления рисками. Ответственность за бесперебойное функционирование этих систем несет руководство компании, которое призвано внедрить интегрированную систему управления рисками и внутреннего контроля с учетом отраслевой специфики.

При построении интегрированной системы, помимо отраслевой принадлежности, необходимо учитывать размер организации, нормативно-правовую среду, в которой она осуществляет деятельность, корпоративную культуру и ряд других факторов.

В 2013 году международный Институт внутренних аудиторов (The IIA) разработал модель Трех линий защиты. Данная модель координирует процессы управления рисками и внутреннего контроля за счет четкого определения и разграничения соответствующих функций и обязанностей.

Модель «Трех линий защиты»

Первая линия защиты

Структурные подразделения формируют первую линию защиты с помощью механизмов контроля, отвечающих за внедрение элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения являются владельцами рисков и несут ответственность за выявление, управление, снижение уровня рисков, анализ и формирование отчетности по ключевым рискам. Руководители структурных подразделений обязаны разработать, внедрить и обеспечить функционирование контрольных процедур в курируемых бизнес-процессах.

Вторая линия защиты

Подразделения, отвечающие за управление рисками в компании, разрабатывают и внедряют методологический подход к управлению рисками, определяют стандарты и координируют действия компании в области управления рисками, включая соответствующие процессы, технологии и культуру. В компетенцию этих подразделений не должна входить ответственность за своевременное выявление и оценку рисков, т.к. этим занимаются подразделения первой линии защиты.

Во вторую линию обычно входят подразделения, ответственные за управление рисками, систему внутреннего контроля, безопасность, комплаенс, юридическое сопровождение и т.п. Они обеспечивают непрерывный мониторинг процесса разработки и функционирования контрольных процедур, относящихся к первой линии защиты, консультируют по вопросам управления рисками, проводят обучение сотрудников компании.

Сопоставление 1-й и 2-й линий защиты:

Третья линия защиты

Совет директоров оценивает и утверждает уровень рисков компании с учетом стратегических целей и задач в области управления рисками. Комитеты по аудиту, по управлению рисками и др. помогают совету директоров осуществлять контроль над эффективностью системы управления рисками организации.

Служба внутреннего аудита проводит независимую оценку качества действующих процессов управления рисками, выявляет нарушения, даёт предложения по совершенствованию системы управления рисками. Совет директоров принимает это заключение как руководство к действию. Под надзором комитета по аудиту служба внутреннего аудита проводит мониторинг функций первой и второй линий защиты, а также осуществляет контроль выполнения корректирующих мероприятий по совершенствованию системы управления рисками.

Необходимо четко определить функции и обязанности лиц, принимающих участие в процессах управления рисками и внутреннего контроля, обеспечив эффективное взаимодействие и обмен информацией между ними, а также подготовку соответствующей отчетности.

Внутренний аудит может использовать в своей деятельности результаты работы других субъектов системы внутреннего контроля, которые осуществляют мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.

С целью четкого разделения зон ответственности в организации создается Карта гарантий.

Карта гарантий – документ, который отражает покрытие рисков и бизнес-процессов контрольными функциями компании, а также позволяет более эффективно координировать работу структурных подразделений, осуществляющих контрольную функцию на различных уровнях.

Карта гарантий может включать следующую информацию:

• перечень бизнес-процессов компании;

• перечень рисков компании;

• владельцы риска (ответственные за управление рисками организации);

• субъекты системы внутреннего контроля, осуществляющие мониторинг/оценку в отношении каждого из рисков.

При разработке Карты гарантий используются внутренние документы компании, а именно: классификатор рисков и процессов, карта рисков и другие документы, определяющие взаимодействие субъектов системы внутреннего контроля, осуществляющих мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности.

В России опубликована концепция COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (COSO ERM) 2017 года на русском языке. Ее перевод и издание стали возможными благодаря совместным усилиям Института внутренних аудиторов и компании Deloitte, СНГ. 18 сентября в офисе компании Deloitte состоялась презентация, на которой присутствовали представители Центрального Банка РФ, Минэкономразвития России, Московской биржи, а также руководители по внутреннему аудиту и управлению рисками крупнейших компании России.

В 2004 г. совет директоров COSO впервые опубликовал документ «Управление рисками организаций. Интегрированная модель», и за последнее десятилетие он получил широкое признание среди профессионалов. Постоянное изменение сложности рисков, появление новых, а также повышение уровня осведомленности и контроля со стороны советов директоров и высшего исполнительного руководства в области управления рисками организации сделали необходимым его регулярное переиздание. Обновленная концепция COSO «Управление рисками организации: интеграция со стратегией и эффективностью деятельности» направлена на повышение взаимосвязи между риском, стратегией и стоимостью компании. Она рассматривает управление рисками с точки зрения его роли в принятии управленческих решений, которые в конечном итоге влияют на реализацию стратегии и эффективность деятельности организации в целом.

Первая часть обновленной публикации содержит обзор текущих и развивающихся концепций и областей применения управления рисками организации. Вторая часть, Концептуальные основы, включает пять взаимосвязанных компонентов, которые учитывают различные точки зрения и операционные структуры и способствуют улучшению стратегии и процесса принятия решений. Все эти компоненты взаимосвязаны с миссией, видением и основными ценностями организации. Три из них – стратегия и постановка целей, эффективность деятельности, анализ и пересмотр – представляют собой общие процессы, которые происходят во всей организации. Два других – «корпоративное управление и культура», «информация, коммуникация и отчетность» – представляют собой вспомогательные аспекты управления рисками организации.

В своем выступлении на презентации обновленной концепции Алексей Сонин, директор Института внутренних аудиторов, подчеркнул важность риск-менеджмента в деятельности внутреннего аудита: «В 2004 году была переведена на русский язык первая концепция «COSO: Управление рисками». И сейчас мы рады представить обновленное издание COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» 2017 года на русском языке. Несомненно, это важнейшее профессиональное событие, ведь риск-менеджмент не является обособленным видом деятельности – это неотъемлемая часть управления в целом. Как связаны управление рисками и внутренний аудит? Во-первых, внутренний аудит не должен оставлять вне своего охвата такую область как управление рисками, только на основании того, что в компании, например, нет системы управления рисками как таковой. В конце концов, в определении внутреннего аудита говорится об управлении рисками как о процессе.

Во-вторых, когда внутренние аудиторы делают аудит управления рисками, они оценивают не деятельность подразделения по управлению рисками или риск-менеджера (CRO), а то, как организация управляет своими рисками.

В-третьих, что бы ни являлось объектом аудита, какой бы внутренний аудит вы ни делали – аудит бизнес-процесса, функционального подразделения, структурного подразделения, проекта или программы – прежде всего, надо задать вопрос, а какие здесь есть риски, которые могут повлиять на выполнение стратегии компании? И идти от этих рисков к дизайну и тестированию контролей.

В-четвертых, нужно помнить, что управление рисками — это не о том, как избежать неприятностей, а о том, как эффективно достичь целей или результатов. А для того, чтобы чего-то достичь, надо идти на риск. Идти на риск – это нормально. Но организациям следует просчитывать, что достижение такой-то цели сопряжено с такими-то рисками, а достижение немного другой цели или, иными словами, некоторое отклонение от первоначальной цели, связано с такими-то рисками».

«За прошедшие десятилетия российский бизнес прошел большой путь — от полного игнорирования рисков до внедрения риск-ориентированного управления, — отметил директор Департамента по управлению рисками компании «Делойт», СНГ Сергей Кудряшов. — По нашим данным, сегодня многие российские компании анализируют риски и считают, что управление рисками создает дополнительную стоимость, способствует операционной устойчивости, а в ближайшем будущем даст толчок внедрению новых технологий и реализации новых бизнес-возможностей».

Это подтвердил и Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса, Группа «Московская Биржа», отметив, что для инфраструктуры финансового рынка очень важно следовать ведущим международным стандартам в области управления рисками, поскольку это дает возможность избежать негативного влияния на финансовый рынок и повысить его привлекательность для инвесторов. Следование стандартам также улучшает прозрачность системы управления компании в глазах ее акционеров и инвесторов. Московская Биржа надеется, что вслед за ней и другие участники рынка будут стремиться улучшить свои системы управления рисками в соответствии с международными стандартами, поскольку инфраструктура финансового рынка является ориентиром для других участников.

Нет сомнений в том, что и в будущем организациям придется по-прежнему сталкиваться с изменчивостью, сложностью и неоднозначностью мира, поэтому управление рисками будет играть важную роль в процветании компаний. Независимо от вида и размера организации, стратегии должны оставаться соответствующими ее задаче. И всем организациям необходимо проявлять качества, которые способствуют эффективному реагированию на изменения, включая быстрое принятие решений, способность сплоченно реагировать и способность адаптироваться, чтобы при необходимости быстро сделать разворот и изменить позицию, сохранив при этом высокий уровень доверия заинтересованных сторон.

Авторы COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» видят несколько тенденций в будущем, которые повлияют на управление рисками организации. Четыре из них выражаются в следующем:

• Решение проблем, связанных с быстрым ростом объемов данных. По мере увеличения объема доступных данных и скорости анализа новых данных управление рисками организации должно будет адаптироваться к этим явлениям. Данные будут поступать как из внутренних, так и из внешних источников, и структурироваться по-иному. Инструменты углубленной аналитики и визуализации данных будут развиваться и станут очень полезными для понимания рисков и их влияния – как положительного, так и отрицательного.
• Максимальное использование искусственного интеллекта и автоматизации. Многие считают, что мы вступили в эпоху автоматизированных процессов и искусственного интеллекта. Независимо от личных убеждений важно, чтобы в рамках практики управления рисками организации учитывалось влияние существующих и будущих технологий и максимально использовались их возможности. Взаимосвязи, тенденции и закономерности, которые ранее нельзя было распознать, теперь могут быть выявлены и стать богатым источником информации, чрезвычайно важной для управления рисками.
• Управление затратами на риск-менеджмент. Руководство компаний часто выражает озабоченность относительно затрат на управление рисками, соблюдение требований и контрольные мероприятия в сравнении с получаемой пользой. По мере развития практики управления рисками организации станет важным, чтобы мероприятия, охватывающие риски, соблюдение требований, контроль и даже корпоративное управление, были эффективно скоординированы для того, чтобы они приносили максимальную выгоду для организации. Это может представлять собой одну из лучших возможностей для переосмысления важности управления рисками для организации.
• Создание более сильных организаций. По мере освоения организациями навыков интеграции управления рисками организации со стратегией и эффективностью деятельности им представится возможность повысить свою устойчивость. Зная риски, которые окажут наибольшее влияние на организацию, организации могут использовать управление рисками для внедрения возможностей, которые позволят им действовать на опережение. Это откроет новые возможности.

Итак, управление рисками организации должно будет измениться и адаптироваться к грядущим условиям для того, чтобы постоянно приносить выгоды, изложенные в Концептуальных основах. При правильной постановке дела выгоды, получаемые от управления рисками организации, значительно перевесят затраты и дадут организациям уверенность в их способности управлять будущим.