CC BY
385
АУДИТ, РИСКИ, ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ
УДК 35.077
Современные тенденции управления рисками и роль внутреннего аудита в структуре корпоративного управления
В статье рассматриваются основные предпосылки, этапы и направления развития систем управления рисками в современных условиях. Изложены факторы, влияющие на эффективность функции риск-менеджмента. Показано особое значение роли внутреннего аудита и Совета директоров в структуре корпоративного управления рисками.
Ключевые слова: риск-менеджмент, системы управления рисками, карты рисков, внутренний аудит, структура корпоративного управления.
Современные условия хозяйствования и экономическая ситуация, обусловленные финансовым кризисом и наступившим за ним экономическим спадом, природными и техногенными катастрофами и преодолением их негативных последствий, провалами крупных проектов и громкими банкротствами, характеризуются достаточно высоким уровнем неопределенности и рисков в ведении бизнеса. Особенно это касается предприятий корпоративного типа, устойчивое развитие которых напрямую зависит от способности на выгодных условиях привлекать капитал и умения эффективно использовать имеющиеся ресурсы.
Экспертные оценки макроэкономических рисков на ближайшую перспективу указывают на то, что по мере продолжения европейского долгового кризиса риски России усугубляются. Сокращение промышленного производства в странах дальнего зарубежья влечет падение спроса на энергоносители и снижение экспорта. Только за первый квартал 2012 года по сравнению с аналогичным периодом прошлого года закупки российского газа странами ЕС снились на 11,5 процентов. К рискам, безусловно, относится снижение мировых цен на нефть.
Характерным показателем нестабильности является то, что при росте экономики в первом квартале 2012 года чистый отток капитала, по данным Банка России, составил более 42 миллиардов долларов США. Это нонсенс, поскольку в растущую экономику деньги должны притекать. А если деньги из нее
© Лаврова Т.В., 2012
Т.В. Лаврова
«бегут», это означает рост рисков. По прогнозным оценкам, за 2012 год общая сумма оттока капитала составила более 60 миллиардов долларов США.
С другой стороны, закономерностью нашего времени стало нарастание темпа изменений в экономике. Ускорение разработок и внедрения инноваций обусловливает кардинальное преобразование многих хозяйственных структур, побуждая их к принятию вызовов экономических перемен и укреплению позиций в конкурентном окружении. Под натиском рисковых факторов, ослабляющих иммунитет отечественных производственных предприятий по отношению к многочисленным дестабилизирующим факторам, компании обращаются к поиску новых методов и средств управления.
Вложение огромных средств для реализации проектов по повышению эффективности бизнеса не всегда является стопроцентной гарантией достижения положительных результатов. Вместе с тем роль управления рисками в процессе управления компанией приобретает одно из первостепенных значений. И в этой связи известное высказывание древнегреческого историка Геродота о том, что «великие дела обычно обрамлены великим риском», находит подтверждение и в наши дни.
На современном этапе теория риска получила широкое распространение относительно недавно и изначально основывалась на теории вероятности. С середины прошлого столетия понятие риска вошло в научные и финансовые круги. В последнее время используется более емкое понятие риск-менеджмента как системы оценки, анализа, управления рисками и социально-рисковыми отношениями, возникающими в процессе деятельности организации.
Отсутствие эффективной структуры управления рисками, как части системы принятия решений, приводит к печальным последствиям, что наглядно показывают банкротства таких крупнейших компаний, как Enron или Global Crossing, WorldCom и Adelphia Communications в области телекоммуникаций. Именно поэтому в начале ХХ! века регулирующие органы разных стран разработали ряд законов и положений, обязательных для участников рынка ценных бумаг. Среди них — закон Сарбейнса-Оксли (США, 2002 год, Sarbanes-Oxley Act), требования ФСФР (Россия, 2003 год), стандарт ERM COSO (США, 2004 год), стандарт FERMA (Евросоюз, 2004 год). Во многих странах и на международном уровне стали появляться организации, занимающиеся исследованием рисков — FERMA, RIMS, IFRIMA, PRMIA, GARP и др.
Тем не менее, риск-менеджмент стал наиболее востребованным там, где идет обращение больших денежных масс и где они являются основными активами — среди банков, страховых компаний, инвестиционных фондов и т. д. Принятие на вооружение риск-менеджмента финансовыми институтами объясняется двумя основными причинами. С одной стороны, финансовые риски поддаются не только качественной, но и количественной оценке, что позволяет реализовать математические методы моделирования и вероятностного анализа для управления ими. С другой стороны, наличие требований регулирующих органов. Например, Базельский комитет по банковскому надзору
предписывает банкам измерять риски для определения достаточности капитала кредитной организации. В результате управление рисками в финансовой сфере развито гораздо лучше, чем в других отраслях экономики.
В промышленном секторе ситуация с пониманием природы риск-менеджмента в целом остается неоднозначной. Чаще всего риск-менеджментом интересуются топ-менеджеры, отвечающие за финансы. Это связано с их ответственностью перед компанией за основные финансовые показатели — валовую прибыль, стоимость акций, снижение затрат, сроки окупаемости инвестиций и т. д. Часто управленческие решения по управлению выявленными рисками сводятся только к их страхованию. В результате, использование только одного инструмента из огромного арсенала средств риск-менеджмента создает только имитацию участия. Кроме того, односторонний взгляд на риск-менеджмент, отсутствие целостной картины негативно влияет на оценку руководством компании его значимости.
Также среди топ-менеджеров некоторых компаний наблюдается неоднозначное и неточное понимание сути риск-менеджмента, несмотря на достаточно широкие возможности получения информации, включая участие в тематических конференциях и форумах. Зачастую руководителей интересуют задачи и решения, носящие характер антикризисного управления, то есть событий пост-фактум, тогда как риск-менеджмент призван выявлять возможные риски, управлять ими и предупреждать их, а не заниматься их последствиями. Он должен отражать состояние операционных процессов и стать звеном, защищающим имущественные и финансовые интересы акционеров компании.
В России первыми компаниями, начавшими внедрять отдельные элементы риск-менеджмента, были компании топливно-энергетического комплекса (ТЭК), что обусловлено их близостью к западным технологиям. Однако, системного подхода долгое время не наблюдалось. Например, ОАО «Газпром» только в 2005 году провело открытый конкурс с целью отбора организаций, оказывающих консультационные услуги по разработке и внедрению корпоративных систем управления рисками.
Бизнес-процессы в нефинансовом секторе достаточно сложны и характеризуются большим разнообразием составляющих элементов и связей между ними. Поэтому базой для анализа являются не только производственные технологические цепочки, но и связанные с ними финансовые потоки, а также и исследование статистики сбоев и катастроф. По сравнению с финансовым в производственном секторе системы управления рисками разнообразнее и сложнее. Здесь в большей степени заметно влияние ГОСТов, инструкций и стандартов, поэтому собственникам «огневые риски» проще застраховать, а финансирование необходимых мероприятий по управлению рисками происходит часто по остаточному принципу и зачастую в соответствии с обязательными надзорными требованиями.
Как правило, желание видеть в своей команде риск-менеджеров свойственно прогрессивно мыслящим лидерам, стремящимся к созданию и ру-
ководству надежного долговременного бизнеса. Понимая, что создание и развитие системы управления рисками — это дорогостоящий процесс, они готовы идти на такие затраты, осознавая эффект от применения инструментария и механизмов риск-менеджмента.
На отсутствие мотивации высшего руководства, как самой большой проблемы развития риск-менеджмента, указывают многие аналитики. Так, по-мнению президента Русского общества управления рисками (Рус-Риск), являющегося членом Федерации европейских ассоциаций риск-менеджмента (FERMA — Federation of European Risk Management Association) Виктора Верещагина, одной из главных задач текущего времени является «воспитание культуры ведения бизнеса с использованием во всех сферах теории и практики риск-менеджмента» [8].
Определенно, в вопросах внедрения, «приживаемости» риск-менеджмента в компаниях, особенно закрытых акционерных обществах, все зависит от воли генерального директора. Осознание важности этого направления деятельности должно стать краеугольным камнем риск-ориентированного управления бизнесом.
Направления развития систем управления рисками, рассмотрение и распространение передовых практик и сдерживающих факторов привлекают пристальное внимание топ-менеджеров крупных компаний во всем мире. Существует огромное количество публикаций, проводимых конференций и форумов по управлению рисками. Их география достаточно широка: США, Великобритания, Австралия, Евросоюз, страны Азии. Вопросы текущего состояния и перспектив развития риск-менеджмента в России обсуждаются и на мероприятиях, проводимых в нашей стране. Примером может служить прошедшая в июне 2012 года в Москве IV международная ежегодная конференция «Корпоративные системы риск-менеджмента 2012», организованная порталом CFO-Russia и Клубом финансовых директоров.
Значительный вклад в развитие риск-менеджмента, создание и актуализацию стандартов и директив (ISO 31000, Bazel II, Solvency II и др.) вносит FERMA (Federation of European Risk Management Association), Федерации европейских ассоциаций риск-менеджмента. Образованная в 1974 году, когда теория риска еще не вышла за рамки научных и финансовых кругов, эта Ассоциация объединяет в настоящее время 22 национальные ассоциации из 20 стран Европы и 4200 индивидуальных риск-менеджеров. В FERMA, в числе прочих, входят ассоциации из Великобритании, Франции, Германии, Италии, Испании. В этом году присоединились Мальта, Словения, Люксембург. РусРиск вошел в FERMA в 2004 году.
Нельзя не отметить, что кризисные события 2008—2009 годов заставили многих по-новому взглянуть на организацию риск-менеджмента. По мнению директора по внутреннему аудиту The Blackstone Group Брюса Каплей-на, недавний финансовый промышленный крах и последующие произошедшие изменения оставляют много вопросов — почему это случилось? Можно ли было этого избежать? Возможно ли, что это произойдет снова? Почему
при раскручивании банками США цепочек неподкрепленных кредитов не было понимания того, что эти процессы ведут к ускоренному росту рисков. И, вероятно, никто из риск-менеджмента банков не сообщил Совету директоров об возрастающей опасности, исходящей от деформированно-изменен-ной бизнес-модели, как ничего не замечали и члены инвестиционных комитетов, покупая ценные бумаги. Механизм своевременного информирования менеджмента компании и акционеров о возможности негативного развития событий не сработал. При этом все пострадавшие не считали, что перед крахом у них в организации была слабая функция управления рисками.
Так что же пошло не так как надо в этих финансовых фирмах, позволив им понести такие огромные потери? Чтобы понять, что же было упущено в организации риск-менеджмента, важно сначала ответить на вопрос о том, какие условия должны быть соблюдены для успешного функционирования риск-менеджмента.
Как показывает мировая практика, необходимым условием формирования эффективной функции управления рисками является заинтересованность управлять этой функцией (в том числе со стороны совета директоров), структура управления организации и структура самой службы по управлению рисками.
Важность понимания необходимости данной функции для руководства компании не должна недооцениваться. Если высшее руководство компании или Совет директоров не проявит к ней интерес, то функция управления рисками не станет приоритетной и поэтому, вероятнее всего, потерпит неудачу. У Lehman Brothers была сильная функция риск-менеджмента, но его Комитет по рискам Совета директоров собирался только дважды в год, а опыт членов Совета директоров по руководству такими, как Lehman Brothers компаниями, был незначительным. И Lehman Brothers не является единственным примером этого, а скорее представляет типичное явление.
Вопросы построения эффективной структуры управления компании являются очень широкой темой, поэтому в данном контексте ограничимся следующими тремя аспектами: разграничением функций управления, существующих в организации; персоналом, их выполняющим; взаимодействием функций друг с другом. Все они составляют основу для формирования функции управления рисками. Говоря о функциях управления, имеем в виду функции организации, которые концентрируются на рисках, идентифицируют риски и смягчают их последствия.
Функции управления в зависимости от размера организации, ее зрелости и уровня культуры могут быть формализованными или неформализованными, в различной степени сцециализированными и централизованными. Без правильной комбинации невозможно эффективное достижение целей развития организации. С одной стороны, может существовать риск нехватки централизованного управления и дисциплины, а с другой сто-
роны — риск слишком жесткой централизации, оба подхода могут увеличить потенциал как избежания, так и появления новых рисков. Банковский сектор скорее выбирает очень твердый подход, что является одной из вероятных причин того, что риски не были идентифицированы и смягчены до наступления финансового кризиса.
Говоря об аспектах функции управления в узком или широком смысле, уместно привести пример функции внутреннего аудита. Так, если в узком смысле можно говорить только о внутреннем аудите и комплаенсе, то в широком смысле под ней следует рассматривать вопросы соответствия требованиям законодательства, информационной безопасности, соответствия американскому закону Sarbanes-Oxley 2002 года, противодействия мошенничеству, контроля поставщиков.
И хотя не все организации нуждаются во всех аспектах, более широкое их принятие в общем случае лучше, поскольку у каждой области есть свой определенный предмет и методы исследования. Самым низким показателем является полный неинтерес к управлению ею.
Говоря о степени координации между функциями, следует отметить, что скоординированный подход начинается с досконального знания обязанностей друг друга и области деятельности каждого, а также уважения роли друг друга. Исходя из этого, легко распределить обязанности, границы деятельности, пути и формы взаимного обмена информацией.
Для успешного управления рисками необходимы единые подходы, «общий язык». Все структурные подразделения должны иметь единый поход к оценке рисков. Иначе одни могут определить риск как «высокий», в то время как другие считать его «средним» или «низким». Непонимание среди подразделений будет препятствовать эффективности управления рисками.
Функция управления рисками должна аккумулировать информацию из всех подразделений организации. Если риски собраны в службе управления рисками, внутренние аудиторы могут начинать проверять «горячие точки» и новые появляющиеся риски. Это составляет основу функции управления рисками.
Говоря о построении службы управления рисками, следует отметить, что в мировой практике встречаются различные способы построения и модели структур служб управления рисками (рисунок 1). Некоторые организации централизуют и объединяют под общим руководителем функции управления рисками и комплаенса (как правило, в банках), другие имеют отдельную вертикаль по управлению рисками, третьи — децентрализуют с различными вариантами подчинения.
В первых двух моделях, если во главе вертикали стоит не руководитель службы внутреннего аудита (CAE), может возникнуть проблема независимости, поскольку руководитель службы внутреннего аудита будет осуществлять проверки и, возможно, подвергать критике деятельность своего начальника. Можно также утверждать, что CAE не должен концентрировать у себя все функции, поскольку некоторые из них относятся к опера-
ционной деятельности и выходят за рамки его компетенции. Кроме того, и такие области, как безопасность информационных систем и соответствие законодательству должны быть подвергнуты внутреннему аудиту, а CAE не может объективно проверять самого себя.
У децентрализованной модели также есть свои слабые стороны. Она может работать только в организациях, у которых есть зрелая культура и развитые бизнес-единицы, которые являются взаимооткрытыми и совместимыми друг с другом. В качестве плюса эта модель позволяет специализироваться в конкретной области. Например, комплаенс может подчиняться главе юридической службы, поскольку этот руководитель лучше всего понимает проблемы соответствия законодательству и может лучше поддерживать это направление с правовой точки зрения.
Функция управления рисками должна быть независимой и поэтому может проводиться службой внутреннего аудита или возглавляться руководителем, который непосредственно подчиняется руководителю по оперативной деятельности (СОО) и функционально Комитету по аудиту и рискам Совета директоров. Если риск-менеджмент не независим, поднимаемые проблемы могут быть не услышаны Советом директоров. Если обратиться к компаниям, которые оказались в сложном положении во время текущего кризиса, можно увидеть, что риск-менеджмент функционирует, подчиняясь функционально исполнительному руководству (правлению компании), что является недостатком в структуре корпоративного управления.
Дизайн системы управления рисками в организации может принимать множество форм и будет выглядеть по-другому с течением времени. Тем не менее, дизайн структуры очень важен для успеха программы, и поэтому перед стартом этой работы должно быть проведено тщательное рассмотрение многих факторов.
Неформальное Внутренний Идентификация
обсуждение аудит и доклад и мониторинг ключевых
среди о рисках рисков в организации
менеджмента на основе устойчивого процесса
оценки рисков
Риск управляется только
путем концентрации капитала,рассчитанной в соответствии с моделью «Стоимость под Риском»
Обсуждение в комитете по оценке рисков
Более всесторонняя программа оценки рисков, охватывающая все управленческие функции
Риск считается надлежащим образом смягченным, если соблюдены определенные показатели
Программы управления рисками предприятия могут варьироваться от формальных и количественно просчитанных программ до неформальных обсуждений среди менеджмента
Рисунок 1. Спектр программ управления рисками компании.
Выбор «наиболее благоприятной модели» является ключевым для установления эффективной функции. Организации не должны погрузиться в эту модель с ожиданием неизменного пребывания в ней; скорее о ней нужно думать как о процессе, который только начинается с началом практики управления рисками.
Рассматривая количественные аспекты выбора ключевых индикаторов риска, следует отметить, что организация, использующая более чем 2 000 регулярно проверяемых ключевых индикаторов риска (КМ), с большой степенью вероятности пропускает риски, которые появляются в результате оперативной деятельности, в ходе обсуждений с руководством компании и Советом директоров. Поэтому основополагающим и здесь должно стать понимание целей и стратегических задач развития организации.
Наконец, при выстраивании функции управления рисками необходимо учитывать события, которые происходят как во внешней окружающей среде (в отрасли, стране, экономическом сообществе и т. п.), так в пределах самой организации. Как только каждое событие наступает, риск-менеджеры должны оценивать, существуют ли те же самые риски в организации, и если предпринимаются какие-то шаги, то достаточны ли они для уменьшения риска.
Система управления рисками является прекрасным инструментом, который наряду с внутренним аудитом обеспечивает информацией о рисках руководство и объективно доносит суть проблемы о возникновении рисков до Совета директоров. Система управления рисками также является хорошим дополнением к решению задач, стоящих перед внутренним аудитом, способствуя правильному выбору целей при планировании деятельности по внутреннему аудиту и обеспечивая таким образом проведение проверок в высокорисковых сферах деятельности компании (рисунок 2).
Рисунок 2. Пирамида рисков предприятия.
Нельзя не отметить, что часто разрабатываемые в компаниях нормативные документы, карты рисков не используются при принятии бизнес-решений. Это свидетельствует о том, что риск-менеджмент и операционная деятельность компании существуют независимо друг от друга, периодически соприкасаясь только в каких-то отдельных областях.
К сожалению, это не только проблема риск-менеджмента, но и показатель отношения руководства большинства компаний к этой управленческой функции. Возможно, сигналы и были внутри компаний, но оказались не услышанными топ-менеджментом, что говорит о недостатках существующей системы управления. По мнению Косарева, сейчас «мы находимся в ситуации апреля-мая 2008 года — но не в том смысле, что рынки и прибыль растут, как в тот период. Сходство в том, что мы наблюдаем развитие негативных тенденций и имеем те самые несколько месяцев, чтобы успеть подготовиться, и которых нам будет не хватать, когда (и если) «вторая волна» дойдет до России» [5].
Именно сегодня риск-менеджеры должны активизировать свою деятельность разработкой упреждающих мер — провести стресс-тестирование бюджета как текущего, так и следующего года, провести ревизию задолженности и запасов, подготовить несколько вариантов действий на случай негативного развития ситуации. Но главной задачей по-прежнему остается трансформация восприятия руководством и акционерами как рисков, так и риск-менеждмента, как «функции, несущей непосредственную добавленную ценность для бизнеса» [5].
Соответственно, на данном этапе своего развития риск-менеджмент должен стать новой философией менеджмента, опирающейся на концептуально целостный подход к бизнесу. Основным инструментом риск-менеджера должно являться понимание причинно-следственных связей. В литературе иногда риск-менеджера сравнивают с врачом, поскольку он, как никто другой, отвечает за здоровье компании. Проводя эту аналогию, компанию следует воспринимать как единый целостный организм, где все процессы и структуры взаимосвязаны и взаимозависимы.
К сожалению, в России пока не проводилось серьезного рейтингового исследования по надежности промышленных предприятий с точки зрения риск-менеджмента, видимо в виду отсутствия критериев оценки. Хотя в финансовом секторе такой рейтинг, можно сказать, проводится уже постоянно — в различных изданиях периодически публикуются сведения о финансовых характеристиках и надежности банков, страховых компаний, компаний управляющих инвестициями.
В последнее время, учитывая заинтересованность акционеров, большинство российских компаний создали отдельные службы по управлению рисками, что существенно повысило статус управления рисками в глазах руководства и Совета директоров. Однако, передача ответственности за управление отдельной функциональной службе может привести к отрыву от
этого процесса других бизнес-подразделений по причине сложения с себя полномочий и, как следствие, потере контроля за некоторыми рисками.
В марте 2011 года Рпее«а1егЬои8еСоорег8 (РшС) были опубликованы результаты опроса «Управление рисками — ответственность каждого», где более 60 руководителей и специалистов по управлению рисками крупнейших компаний мира поделились своим опытом по организации деятельности таким образом, чтобы выявление бизнес-рисков и управление ими стало частью повседневной работы каждого сотрудника.
Результаты этого исследования характеризуют современные тенденции и направления развития риск-ориентированного управления.
В этой связи интерес представляет управление рисками в виде «линий защиты» — трехуровневой модели взаимодействия в системе управления рисками (таблица 1) [7]. Несмотря на то, что эта модель широко используется среди компаний финансового сектора, она важна для воспитания культуры управления рисками и в компаниях «реального сектора» — энергетических, сырьевых, предприятиях обрабатывающей промышленности.
Таблица 1
Трехуровневая модель «линий защиты»
Структура корпоративного управления
1-я линия защиты 2-я линия защиты 3-я линия защиты
Бизнес Заинтересованность, ответственность и обязанности в области управления рисками Функции по управлению рисками Способствовать, координировать, поддерживать, обучать Проверка и контроль Независимая оценка результатов
Правление Управление рисками Совет директоров
Бизнес-подразделения Комитет по управлению рисками Служба внутреннего аудита
Согласно модели «трех линий защиты» руководство и структурные подразделения формируют первую линию защиты посредством механизмов контроля, призванных обеспечить интеграцию элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения, являясь владельцами рисков, несут ответственность за выявление, анализ, управление, снижение уровня рисков и формирование отчетности по ключевым рискам.
Как показал вышеупомянутый опрос, около 42 процентов сотрудников неохотно принимают на себя ответственность за управление рисками и медленно реагируют на запросы подразделения по управлению рисками. При этом, в таких компаниях роли и обязанности сотрудников в рамках системы управления рисками либо не документированы, либо закреплены в политике или регламенте по управлению рисками, о существовании которых многие сотрудники даже не подозревают. Как показывает практи-
ка, в крупных российских организациях указанные роли и обязанности в рамках системы управления рисками редко бывают прописаны в должностных инструкциях. Но, несмотря на это, уровень вовлеченности сотрудников в процесс управления рисками существенно повысился [10].
Вторая линия защиты создается подразделениями по управлению рисками, которые разъясняют корпоративную концепцию риска и определяют стандарты в области управления рисками, включая соответствующие процессы, технологии и культуру. Эти авторитетные, независимые, централизованные подразделения отслеживают деятельность других структурных подразделений в границах системы управления рисками и анализируют получаемую от них информацию о рисках. Функции типичного подразделения по управлению рисками включают консультирование, координирование, поддержку и обучение сотрудников компании в области управления рисками. Практика показывает, что ответственность за своевременное выявление, оценку рисков и управление ими не должны входить в компетенцию данного подразделения, поскольку в данном случае система управления рисками не будет функционировать эффективно.
Наконец, третья линия защиты организации включает внутренних аудиторов и Совет директоров. Служба внутреннего аудита дает независимое заключение о том, что компания управляет риском должным образом и ее система управления рисками является эффективной. Совет директоров принимает это заключение как руководство к действию и выделяет службе внутреннего аудита необходимые ресурсы. Под надзором комитета по аудиту служба внутреннего аудита проводит оценку ресурсов управления рисками, проверку процедур корпоративного управления, оценивает показатели эффективности корпоративного управления и тестирует процедуры эскалации проблем.
Совет директоров, являясь «законодателем» в процессе управления рисками, оценивает и утверждает уровень рисков, на которые готова пойти организация, с учетом стратегических целей и задач в области управления рисками («аппетит к риску»). Комитеты по аудиту, по управлению рисками и по вознаграждениям помогают Совету директоров осуществлять всесторонний контроль над эффективностью системы управления рисками организации.
Важным фактором жизнедеятельности модели «трех линий защиты» и получения конструктивных решений является обеспечение взаимодействия между всеми звеньями модели — внутренними аудиторами, подразделением по управлению рисками, руководством и Советом директоров, при наличии четких разграничений в обязанностях сотрудников службы внутреннего аудита и сотрудников подразделения по управлению рисками.
По данным РшС сорок процентов респондентов отметили, что за последний год внедрение системы управления рисками способствовало укреплению корпоративного имиджа их компаний. По мнению еще трети участников, эта система помогает повышать эффективность и прозрачность отчетности для акционеров. Оба эти момента указывают на неося-
заемые выгоды от внедрения системы управления рисками, что, безусловно, также несет в себе определенные выгоды для компании.
Однако, в первую очередь, от внедрения системы управления рисками ждут именно осязаемых результатов, связанных с реальным сокращением неопределенности, предотвращением убытков и сокращением затрат. Поэтому руководители таких организаций должны понимать, что получение выгод, измеряемых в денежном эквиваленте, должно быть заявлено и четко сформулировано в качестве цели внедрения системы управления рисками [10].
Говоря о современных тенденциях управления рисками необходимо упомянуть еще об одном событии — мастер-классе по риск-менеджменту Герта Крайвэгена «Управление рисками: переход на новый уровень», состоявшегося 29 октября 2012 года в Москве и организованного Лабораторией по финансовой инженерии и риск-менеджменту НИУ ВШЭ.
Герт Крайвэген (ЮАР) — один из авторитетнейших мировых риск — менеджеров с 30-летним опытом. Он является директором по рискам «Tsogo Sun Group», основателем и первым президентом Ассоциации по управлению рисками и страхованию Южной Африки (SARIMA), членом Совета директоров Международной Федерации ассоциаций риск-менеджмента (IFRIMA).
Следует сказать, что ЮАР известна среди мирового сообщества риск-менеждмента высоким уровнем культуры управления рисками. Ее практики и теории в сфере управления рисками учитывают факторы влияния, собранные по всему миру. Они открыты новому опыту, который есть в США, в Европе, в Азии, в Австралии. «Мы берем самое лучшее, что у них есть, и добавляем свое», — подчеркнул Герт Крайвэген.
На мастер-классе The Governance of Risk он рассмотрел отличия традиционного управления рисками от управления рисками на более высоком уровне, в основе которого лежит профессиональный кодекс, получивший название King III. Это наиболее признаваемый на сегодняшний день кодекс корпоративного управления, основывающийся на кодексе King I 1994 года и King II 2002 года.
Обычный риск-менеджмент состоит из трех или четырех шагов. Governance of Risk (управление рисками на более высоком уровне) состоит из десяти шагов, включая Management:
1. За риск отвечает Совет директоров, что должно быть закреплено в уставе компании.
2. Совет директоров определяет уровень допустимости риска.
3. Обязательства по управлению рисками должен взять на себя Совет директоров, создавая для этих целей специальный комитет по управлению рисками. Когда это невозможно, обязанность и ответственность возлагается на комитет по аудиту.
4. Совет директоров должен делегировать руководство и ответственность по разработке, внедрению и отслеживанию планов по управлению риском путем назначения, например, вице-президента по рискам CRO (Œief Risk Officer).
5. Совет должен гарантировать, что оценка рисков осуществляется постоянно, на длительной основе. Процесс должен быть нацелен на достижение стратегических бизнес-целей, на разные источники получения доходов для бизнеса, на критические взаимозависимости между бизнес-процессами. Это фактор, который часто упускают из внимания. В первую очередь, регулярно следует рассматривать ключевые риски с учетом таких факторов, как накапливающийся риск и концентрация рисков.
6. Предвидеть непредвиденные риски. Хотя звучит это невероятно, но практика показывает, что это возможно.
7. Совет директоров должен обеспечить адекватное реагирование на риск по четырем направлениям: работа с рисками, перевод рисков, прекращение рисков, допущение рисков.
8. Обеспечение постоянного отслеживания рисков руководством.
9. Совет директоров должен получать определенные гарантии по поводу эффективности процессов управления рисками. Этим целям служат подразделения внутреннего аудита.
10. Всеохватывающее, своевременное, надежное, точное и приемлемое раскрытие рисков тем, кто несет эти риски [6].
Следуя данным принципам и неукоснительно соблюдая их в комплексе, компания обеспечит построение действенной системы управления рисками.
Таким образом, как мы видим, и модель «трех линий защиты» и принципы Governance of Risk рассматривают внутренний аудит как неотъемлемое звено системы управления рисками.
В 2012 году компанией PricewaterhouseCoopers проведено очередное (восьмое) Исследование современного состояния профессии внутреннего аудитора, в котором приняли участие 1 530 руководителей, представляющих 16 отраслей и 64 страны. Основное внимание было уделено роли внутреннего аудита в возрастающем значении управления рисками. В отличие от предыдущих исследований, в число респондентов, наряду с 870 руководителями внутреннего аудита, вошли 660 представителей других служб, комитетов по аудиту и Советов директоров.
В сегодняшних условиях постоянно меняющейся картины рисков внутренний аудит не может ограничиваться простым реагированием на происходящие события. Внутренний аудит должен научиться мыслить стратегически, «поднимаясь на другой этаж офисного здания» ближе к Совету директоров. Структуры внутреннего аудита доказали свое право сидеть за одним столом с членами Совета директоров и участвовать в принятии решений — от аудита к аудиту [3].
Результаты опросов показали, что по мере появления новых рисков, компании в числе пяти наиболее важных для них рисков называют: мошенничество и нарушение норм деловой этики, риски при совершении сделок слияния и поглощения, риски реализации крупных программ, риски, связанные с выпуском новой продукции и непрерывность деятельности.
Говоря о «подъеме на новый этаж — ближе к Совету директоров» следует понимать, что «этаж» — это стандарт внутреннего аудита. Изменение рисков при одновременном росте ожиданий от внутреннего аудита ведет к необходимости подъема на новый «этаж», то есть переходу на новый уровень работы, сопряженный с предоставлением уверенности в отношении большего числа важнейших рисков, четким донесением новых идей и соображений до руководства при полном соответствии ожиданиям заинтересованных сторон.
Опыт работы с различными функциями внутреннего аудита указывает на важность восьми основных признаков эффективной работы внутреннего аудита, независимо от объема или размера компании (рисунок 1) [3].
Новый «этаж» значимости для эффективной функции внутреннего аудита
Новая картина рисков
Искать ориентиры на новой картине рисков
• Думать и действовать стратегически
• Перестроить процесс распределения ресурсов
• Эффективно использовать вторую линию защиты
Находить новые идеи и делиться ими с бизнесом
• Иметь четкое представление об особенностях деятельности компании
• Готовить рекомендации и делиться передовым опытом •Эффективно использовать знания и опыт специалистов
Доносить свои идеи и соображения до руководства компании
• Завоевать доверие в ходе непрерывною диалога
• Упростить отчетность, сделав ее более удобной для пользователей
• Свести все факты в единое целое
Восемь основных признаков
Акцент на критических рисках и Согласование ценностного
проблемных вопросах предложения с ожиданиями
заинтересованных сторон
Сопоставление модели подбора и удержания высококвалифицирован ных сотрудников и ценностного предложения
Привлечение заинтересованных сторон и управление взаимоотношениями с заинтересованными сторонами
Развитие культуры, ориентированной на обслуживание клиентов
Оказание экономически эффективных услуг
Эффективное использование технологий
Содействие повышению качества и инновациям
Фундамент
Рисунок 3. Факторы, обеспечивающие переход внутреннего аудита на новый уровень работы
Озвученные в отчете двухлетней давности «Максимизация возможностей внутреннего аудита» (Maximizing Internal Audit) эти признаки проверены временем. По итогам опроса 2012 года респонденты подтвердили, что они не только сохранили свою значимость и актуальность, но и стали неотъемлемой частью эффективной работы служб внутреннего аудита.
Остановимся кратко на этих признаках, поскольку они будут интересны с практической точки зрения:
1. акцент на критических рисках и проблемных вопросах;
2. согласование ценностного предложения с ожиданиями заинтересованных сторон;
3. сопоставление модели подбора и удержания высококвалифицированных сотрудников и ценностного предложения;
4. привлечение заинтересованных сторон и управление взаимоотношениями с заинтересованными сторонами;
5. развитие культуры, ориентированной на обслуживание клиентов;
6. оказание экономически эффективных услуг;
7. эффективное использование технологий;
8. содействие повышению качества и инновациям.
Эти принципы являются своеобразным фундаментом, без построения которого невозможно развитие функций внутреннего аудита.
Что же должен предпринять внутренний аудит, чтобы подняться на более высокий уровень? Результаты исследований показывают, что для этого требуется решение трех задач:
— искать ориентиры на «новой картине рисков»;
— находить новые идеи и делиться ими с бизнесом;
— уметь доносить свои идеи и соображения до руководства компании.
В целях решения первой задачи внутреннему аудиту необходимо выполнять следующие функции:
— думать и действовать стратегически. Внутреннему аудиту необходимо иметь четкое представление о стратегии и планах компании, а также о связанных с этим рисках;
— эффективно использовать результаты работы подразделений по управлению рисками или, так называемую, вторую линию защиты, которая упоминалась при рассмотрении трехуровневой модели взаимодействия в системе управления рисками. Внутренний аудит вносит вклад в работу по управлению рисками, координирует свою деятельность с соответствующими службами, предлагает свои идеи по вопросам управления рисками;
— перестроить процесс распределения ресурсов. Постоянно появляются новые стратегические цели, новые риски, а первоначально прогнозируемые — могут оказаться менее важными, поэтому внутреннему аудиту необходимо проявлять гибкость в работе, быстро перестраиваться для решения задач текущего момента.
На этапе решения второй задачи необходимо:
— иметь четкое представление об особенностях деятельности организации. Для этого внутренние аудиторы обязаны детально разбираться в бизнесе со знанием специфики отдельных бизнес-процессов компании;
— эффективно использовать специалистов. Внутренний аудит должен обеспечивать требуемую широту и глубину опыта и знаний, необходимых для адекватного рассмотрения важнейших рисков;
— готовить рекомендации и делиться передовым опытом. Роль внутреннего аудита заключается не только в простом выполнении плана по аудиту, но и оказании консультационных услуг относительно улучшения систем контроля и генерирования новых идей;
Современные тенденции управления рисками и роль внутреннего аудита... Третья задача предполагает выполнение функций:
— завоевать доверие в ходе непрерывного диалога. Значительное внимание уделяется личному общению с заинтересованными сторонами, в том числе с членами комитета по аудиту. В ходе таких встреч высказывается точка зрения по вопросам управления критическими рисками;
— упростить отчетность, сделав ее более понятной для пользователя. Отчетность по результатам деятельности внутреннего аудита содержит информацию, представленную в краткой и четкой форме, в привязке к лежащим в ее основе бизнес-рискам.
— свести все факты в единое целое. Функция внутреннего аудита определяет общие проблемы и тенденции, актуальные для организации в целом, что позволяет компании устранить обнаруженные пробелы [3].
Компании, которым не удалось наладить процесс управления рисками, сталкиваются с разными их видами, часто неся при этом значительные финансовые потери. Колебания денежных потоков и курсов акций подрывают деловую репутацию бизнеса в глазах инвесторов, клиентов и сотрудников.
Стремясь защитить себя и свои акции от нестабильности, компании иногда переходят на бизнес-модели, предполагающие минимум риска. Озвучивая эту тенденцию, Вильям Дональдсон — глава Комиссии по ценным бумагам и биржам США сказал, что при этом, к сожалению, американские компании «утрачивают страсть к риску» [2]. Действительно, не рискуя, нельзя получить доход. Поэтому оптимальна та модель бизнеса, при которой компании защищают себя от непредвиденных рисков и получают конкурентные преимущества, принимая больший объем рисков на более безопасных условиях.
Поскольку с помощью риск-менеджмента компании пытаются достигнуть различных целей, то и системы управления рисками в каждом случае уникальны.
Современная ситуации меняет стереотипы в подходах к управлению рисками, трансформируя внутренний аудит из скромной контрольно-ревизионной функции в важный инструмент прогнозно-аналитической деятельности.
Ломая старые шаблоны мышления, все большее количество руководителей оценивают внутренний аудит как необходимое звено оптимальной стратегии развития. При этом сам аудит неуклонно двигается вперед, отбрасывая неэффективные методы и обеспечивая потенциал развития компании.
Литература
1. Баринов М. Риск-менеджмент: средство борьбы с неопределенностью. // ФК-Новости. 2007.
2. Бюлер К., Притч Г. Обуздание риска. // Вестник МеЮшеу. 2003. №4.
3. Выстраиваем систему внутреннего аудита. На каком вы «этаже»? Исследование современного состояния профессии внутреннего аудитора 2012. Рг1ееша1егИои8еСоорег8. 2012. http://pwc.com/eonsulting/
4. Иванов О.Б. Формирование системы внутреннего контроля, аудита и управления рисками в компании на основе внутрикорпоративных стандартов. // ЭТАП: Экономическая теория, Анализ, Практика. 2012, № 2.
5. Косарев А. Важно понимать, сколько конкретно стоит риск. 2012. http:// www.cfo-russia.ru/stati/index.php?article=5366
6. Крайвэген Г. Управление рисками: переход на новый уровень. http:// www.e-c-m.ru/magazine/74/eau_74_179.htm
7. Кто отвечает за управление рисками? Распределение обязанностей в рамках системы по управлению рисками. PricewaterhouseCoopers. Март
2011. http://pwc.com/consulting/
8. Лисицина Я. Держать риски под контролем. // Эффективное антикризисное управление. 2012. № 3
9. Миронов И. Эффективность риск-менеджмента: формула «40 на 60». 2010.
10. Нисенбойм Л. Каждый думает о рисках. // Консультант. 2011. № 13.
11. Поваляева О.Н. Специфика развития системы риск-менеджмента в современных коммерческих структурах. // Вестник научно-технического развития. 2010. № 11.
12. Cap lain B. Risk management: Why it failed, How to fix it.
References
1. Barinov М. Risk management: antiweapon for uncertainty. // FK News. 2007.
2. Buler К, Pritch Г. Curbing risk. // McKinsey Newsletter. 2003. №4.
3. Constructing a system of internal audit. What floor are you on? Study of the modern condition of an internal auditor office, 2012.. PricewaterhouseCoopers.
2012. http://pwc.com/consulting /
4. Ivanov O.B. Formation of the system of internal control, audit and risk management in the company, based on the internal corporate standards.// STAGE: Economic theory, Analysis, Practice. 2012, №2.
5. Caplain B. Risk management: Why it failed, How to fix it.
6. Kosarev А. The importance of understanding of how much the risk is worth. 2012. http: //www.cfo -russia. ru/stati/index.php?article=53 6 6
7. Kryweigen G. Risk management: transition to a new level. http://www.e-c-m.ru/magazine/74/eau_74_179.htm
8. Who is responsible for risk management? Distribution of duties within the frames of the risk management system. PricewaterhouseCoopers. March 2011. http://pwc.com/consulting/
9. Lisitcina Y. Controlling the risk. // Efficient contingency management. 2012. №3
10. Mirnov I. Risk management efficiency: formula 40 by 60. 2010.
11. Nisenboim L. Everyone thinks about risk. // Consultant. 2011. №13.
12. Povalyaeva O.N. Development specifics of the risk management system within modern commercial structures. // Scientific and technical development newsletter. 2010. №11.
