ISSN 2311-9381 (Online) Аудиторская деятельность
ISSN 2073-5081 (Print)
МЕЖДУНАРОДНЫЕ МОДЕЛИ УПРАВЛЕНИЯ РИСКАМИ: ВОЗМОЖНОСТИ ПРИМЕНЕНИЯ И РЕЗУЛЬТАТЫ
Гавриил Александрович АГАРКОВа, Денис Аркадьевич БЕССОНОВЬ,
Виолетта Сергеевна СУХИХе% Алёна Рашидовна ХАНОВАЙ, Лариса Владимировна ЮРЬЕВАе
а доктор экономических наук, профессор кафедры государственных и муниципальных финансов Высшей школы экономики и менеджмента, Уральский федеральный университет имени первого Президента России Б.Н. Ельцина, Екатеринбург, Российская Федерация [email protected]
ь кандидат экономических наук, начальник отдела ревизии, аудита и методического обеспечения, Уральский федеральный университет имени первого Президента России Б.Н. Ельцина, Екатеринбург, Российская Федерация [email protected]
с аспирантка кафедры учета, анализа и аудита,
Уральский федеральный университет имени первого Президента России Б.Н. Ельцина,
Екатеринбург, Российская Федерация
а ведущий бухгалтер-ревизор отдела ревизии, аудита и методического обеспечения, Уральский федеральный университет имени первого Президента России Б.Н. Ельцина, Екатеринбург, Российская Федерация [email protected]
e доктор экономических наук, профессор кафедры учета, анализа и аудита, Уральский федеральный университет имени первого Президента России Б.Н. Ельцина, Екатеринбург, Российская Федерация [email protected]
• Ответственный автор
История статьи:
Принята 04.12.2015 Принята в доработанном виде 14.04.2016 Одобрена 17.05.2016
УДК 338.2
JEL: D81, G32, Н83, М42, М48
Ключевые слова: риск-менеджмент, риск, внутренний аудит
Аннотация
Тема. Построение эффективной системы управления рисками в организации на основе признанных международных подходов - это возможность избежать возникновения негативного события или сгладить эффект от его наступления. Поэтому необходимо проанализировать существующий международный опыт для его адаптации и применения отечественными экономическими субъектами. Цели. Проанализировать международные модели управления рисками и выявить возможности их применения экономическими субъектами Российской Федерации. Методология. Методом сравнительного анализа изучены две международные модели управления рисками - COSO и FERMA.
Результаты. Выявлены варианты классификации рисков. Построена модель процесса риск-менеджмента в организации на основе классификации рисков в модели FERMA. Предложены специализированные понятия в области риск-менеджмента на основе объединения понятийного аппарата моделей COSO и FERMA. Разработана модель процесса управления рисками, применимая любым экономическим субъектом. Классификации рисков визуализированы для более удобного восприятия. Представлены форма для описания рисков, разработанная на основе модели FERMA, и карта рисков, позволяющая наглядно представить распределение рисков по отношению к уровню толерантности. Выводы и значимость. Управление рисками в организации не дублирует существующие системы управления, а является их дополнением, в частности -системы внутреннего аудита. Представленные в работе данные и модели могут быть использованы экономическими субъектами при построении системы управления рисками. Эффективный риск-менеджмент способствует снижению воздействия на деятельность организации рисков, что позволяет развиваться более планомерно и избегать возникновения негативных событий.
© Издательский дом ФИНАНСЫ и КРЕДИТ, 2015
При составлении бухгалтерской финансовой отчетности экономическому субъекту необходимо оценить собственные риски. Согласно информации Министерства финансов Российской Федерации № ПЗ-9/2012 «О раскрытии информации о рисках хозяйственной деятельности организации в годовой бухгалтерской отчетности»1 для формирования полного представления о финансовом положении организации и ее финансовых результатах в пояснениях к бухгалтерской (финансовой) отчетности описываются существенные риски хозяйственной деятельности, которым подвержена организация.
При раскрытии данной информации целесообразно учитывать требования Международных стандартов финансовой отчетности (МФСО) (IFRS) 7 «Финансовые инструменты: раскрытие информации», введенного в действие для применения на территории Российской Федерации приказом Минфина России от 25.11.2011 № 160н.
Стоит отметить, что внешнему аудитору в процессе планирования проверки требуется оценить систему внутреннего контроля аудируемого лица.
Одним из основных элементов внутреннего контроля является также оценка рисков аудируемым лицом - процесс выявления и по возможности устранения рисков хозяйственной деятельности, а также их предполагаемых последствий. Эти положения регламентированы федеральным стандартом аудиторской деятельности № 82.
В настоящее время в мире широко распространены две концептуальные модели управления рисками - COSO [1] и FERMA3.
1 Информация Минфина России № ПЗ-9/2012
«О раскрытии информации о рисках хозяйственной деятельности организации в годовой бухгалтерской отчетности» // Бухгалтерский учет. 2012. № 11.
2 Постановление Правительства РФ от 23.09.2002 № 696 (ред. от 22.12.2011) «Об утверждении федеральных правил (стандартов) аудиторской деятельности» // «Собрание законодательства РФ». 2002. № 39.
3 Стандарты управления рисками. URL: https://clck.ru/9x5wr
Обе предлагают видение идеальной системы риск-менеджмента, то есть задают некоторые эталоны для организаций, внедряющих систему управления рисками. Данные модели имеют немного различающиеся представления безупречного управления рисками.
Модель COSO была разработана специалистами компании PricewaterhouseCoopers, то есть аудиторами и для аудиторов [1]. Основной акцент в ней сделан на повышение достоверности отчетности предприятий. Положения модели являются обязательными для публичных компаний США.
Модель FERMA была разработана в свое время несколькими узкоспециализированными организациями (преимущественно из Европы), занимающимися вопросами риск-менеджмента, что определило удобство восприятия данной модели большинством пользователей4.
В этой модели более четко представлен процесс постановки системы риск-менеджмента и даны более конкретные рекомендации. Понятийный аппарат заимствован из стандарта Международной организации по стандартизации ISO 31000: 20 095, что также способствовало более широкому распространению данной модели. Положения документа носят рекомендательный характер.
По мнению некоторых исследователей, «стандарт FERMA - это набор лучших практик, он прост в применении, позволяет организациям оценивать самих себя, что объясняет использование его многими компаниями в качестве основы собственных систем управления рисками»6.
4 Стандарты управления рисками.
URL: http://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-russian-version.pdf
5 ISO 31000: 2009 Risk management Principles and guidelines. URL: http://www.pqm-online.com/assets/files/standards/iso_31000-2009(r).pdf
6 Подчуфаров А.Ю., Брундасова С.Ю., Самоцкая О.И. Эволюция и актуальность управления рисками
в российской экономике // Электронные информационные системы. 2015. № 2. С. 85-92.
Для упрощения восприятия информации в данной статье за основу взята модель FERMA, в которую были интегрированы некоторые положения аналога COSO.
Условием успешного внедрения в организации системы риск-менеджмента является понимание сути этого процесса его сотрудниками. Без осознания того, что нужно сделать и получить на выходе, при отсутствии четко определенной специализированной терминологии невозможно достичь успеха в любом процессе, в том числе и в риск-менеджменте.
Как отмечает А.П. Шихвердиев, «специалистам необходимо знать, как принимать взвешенные решения в сфере управления рисками, с тем чтобы обеспечить единый подход к анализу всех ситуаций и принятию соответствующих решений в рамках всей организации» [2].
Далее приведены базовые специализированные понятия. Учитывая, что данная терминология заимствована из иностранных языков, предложена их интерпретация для более легкого восприятия работниками экономического субъекта.
Риск - отрицательное влияние неопределенности на цели. Такая формулировка в оригинале7 включает в себя как отрицательное воздействие, так и положительное. Но учитывая, что в русском языке термин «риск» означает «возможность опасности, неудачи»8, то есть носит негативный характер, мы осознанно ограничили понятие только негативным контекстом.
В качестве альтернативного определения понятия может быть следующее: «Риск - это следствие события или группы взаимосвязанных событий, характеризующихся вероятностью наступления и/или тем, что принимаемые решения не обеспечат достижения
7 Russian translation of Risk management - Vocabulary ISO GUIDE 73: 2009 by the Russian Risk Management Society (RusRisk). URL: https://clck.ru/9x5xr
8 Ожегов С.И. Словарь русского языка.
URL: http://dic .academic. ru/dic .nsf/ogegova/208358
поставленных целей. В этом определении объединены две точки зрения на риск:
• первая основана на научных и технических оценках (вероятность наступления события, или так называемый теоретический риск);
• вторая зависит от человеческого восприятия риска (так называемый эффективный (субъективный) риск, оцениваемый как возможное отклонение от цели)» [3].
Но надо иметь в виду, что «риск - это сложное явление, которое имеет множество противоположных реальных основ, что обусловливает возможность существования нескольких определений понятий риска с разных точек зрения» [7].
Влияние - это отклонение от того, что ожидается. При этом влияние производится под действием событий. То есть событие, возникшее в результате неопределенности, которое оказывает негативное влияние на цели, - это и есть риск.
Неопределенность - это состояние, которое заключается в недостаточности информации (даже частичной), понимания или знания относительно события, его последствий или возможности.
Риск-менеджмент (управление рисками) -скоординированные действия по управлению учреждением с учетом рисков.
Специалисты утверждают: «Управление рисками - непрерывная последовательность взаимосвязанных мероприятий, осуществляемых советом директоров, менеджерами и другими сотрудниками, которые начинаются при разработке стратегии и затрагивают всю деятельность организации» [1].
Необходимо обратить внимание на то, что риск-менеджмент - это не просто управление рисками, а управление экономическим субъектом с учетом риска - говоря другими словами, с учетом того, что на цели деятельности учреждения постоянно оказывают воздействия неблагоприятные события, уровень воздействия которых нужно
стремиться снизить для достижения запланированных целей.
Неправильное понимание этой формулировки (в случае снижения рисков без движения к запланированным целям) может свести на нет все начинания, связанные с внедрением системы риск-менеджмента.
Толерантность к риску - уровень риска, который готова нести (принять на себя) организация для достижения своих целей.
Фактор риска - элемент или событие (в том числе и негативное, то есть риск), который способен о привести к наступлению негативного события (риска), отличного от фактора риска, если фактором также является негативное событие.
Справедливо указывает И.И. Можанова: «В настоящее время любое предприятие работает в рисковой среде, формируемой сотнями факторов» [5].
Вероятность риска - это мера возможности наступления события, выраженная числом между 0 и 1, где 0 - это невозможность, а 1 - достоверность. При этом вероятность риска может быть оценена и в другом диапазоне.
Ущерб от риска - это мера результата возникновения риска. Ущерб может быть реальным (уменьшение имущества) или потенциальным (уменьшение ожидаемых положительных приростов имущества или доходов), а также выражен в виде искажения бухгалтерской отчетности, что может привести к принятию неверных решений пользователями отчетности.
Терминология, на которой построена модель FERMA, на самом деле более разнообразна. Но в данном случае произведена попытка объединить понятийный аппарат обеих моделей, чтобы максимально упростить восприятие изложенной информации.
Модель процесса риск-менеджмента в организации на основе широко признанных международных подходов можно представить определенным образом (рис. 1).
Модель дает представление о том, как должна
действовать система риск-менеджмента в
любой организации, а именно:
1) необходимо определить цели экономического субъекта, например путем анализа уставных документов, стратегии организации, положений о подразделениях. Важно отметить, что цели призваны быть измеряемыми, то есть должна быть возможность определить, достигла ли организация цели и движется ли она к ее достижению. В группировку целей по сравнению с моделью COSO [1] были внесены следующие изменения - цели подготовки отчетности и цели соблюдения законодательства отнесены к операционным, поскольку это функции отдельных подразделений. В силу важности данные цели особо акцентированы;
2) составляется перечень событий, которые могут оказать негативное воздействие на достижение указанных целей (перечень рисков). Наиболее полный список можно получить на основе классификации угроз по каким-либо признакам;
3) определяется оценка каждого риска для сравнения их между собой;
4) проводятся описание и систематизация рисков для удобства принятия решения о способах реагирования на них;
5) проходят выработка мероприятий по управлению рисками и практическая их реализация;
6) организуется система мониторинга рисков для определения таких параметров риск-менеджмента, как эффективность (наличие положительного эффекта от данного процесса), своевременность и дееспособность системы;
7) разрабатывается система внутреннего контроля за риск-менеджментом;
8) проводятся периодические проверки риск-менеджмента на предмет его соответствия требованиям стандартов или процедур.
Каждый из этапов процесса риск-менеджмента будет рассмотрен более подробно.
Определение целей организации является отправной точкой системы риск-менеджмента. Поэтому от того, насколько полно цели компании будут выделены на данном этапе, зависит полнота контроля над системой риск-менеджмента.
На этом этапе также проходит первое соприкосновение риск-менеджмента фирмы и действующей системы управления путем получения информации от последней. В дальнейшем на этапе принятия решения по вариантам управления рисками идет воздействие со стороны риск-менеджмента на процессы действующей системы управления, то есть полноценное встраивание системы риск-менеджмента в действующие процессы экономического субъекта.
На этапе оценки рисков составляется полное описание рисков, то есть событий, которые могут оказать негативное воздействие на цели предприятия. В первую очередь данный этап включает в себя процесс классификации рисков.
Полнота идентифицированных рисков экономического субъекта определяется широтой классификационных признаков. Но в то же время желательно, чтобы данная группировка была довольно компактной и понятной для лиц, которые будут вовлечены в управление рисками.
Для этого далее приведены варианты классификации, которые довольно удачно сочетают в себе обе указанные черты: охватывают все функциональные элементы системы управления с разделением факторов риска на внутренние и внешние, но вместе с тем не носят избыточного характера.
I. По отношению к факторам риска9.
1. Внутренние, то есть возникающие из факторов, которые в значительной степени
9 Стандарты управления рисками. URL: http://www.ferma.eu/app/uploads/201171 Ш^к-management-standard-russian-version.pdf
подконтрольны организации. Перечень таких факторов определяется на этапе описания рисков.
2. Внешние, то есть возникающие из факторов, которые в значительной степени не подконтрольны организации. Среди таковых факторов принято выделять социальные, политические, экономические, технологические, правовые и природные.
При этом необходимо отметить, что внутренние риски предприятие может снизить весьма существенно (в некоторых случаях практически до нуля), в то время как вероятность внешних угроз никогда не будет нулевой.
II. По отношению к бизнес-процессам управления организацией [1, 3].
1. Стратегические. К таковым относятся риски, которые могут оказать негативное воздействие на достижение стратегических целей организации. К ним, в частности, принято относить:
1) инвестиционные риски, в результате которых организация может не реализовать стратегически важные инвестиционные проекты;
2) риски усиления позиций конкурентов, в результате чего экономический субъект может потерять (или недополучить) клиентов в будущем;
3) риски изменения предпочтений потребителей, в результате чего часть клиентов в будущем может перейти к конкурентам;
4) риски отраслевых изменений, в результате которых предприятие в будущем может не успеть или будет не в силах адаптироваться к ним;
5) риски достаточности капитала, в результате которых предприятие может столкнуться в будущем с нехваткой капитала (собственного или заемного);
6) политические риски, в результате которых может измениться размер прибыли или
убытка вследствие государственной политики;
7) риски изменения законодательства, в результате которых может произойти значительное увеличение объема обязательств (снижение прав) организации без соответствующего увеличения объема прав (снижения обязательств) соответственно;
8) риски утраты репутации и имиджа, в результате которых предприятие может потерять (или недополучить) клиентов в будущем (неверные действия и (или) некорректное поведение руководства, участие в слабо контролируемых альянсах и партнерствах, неконкурентное поведение компании на рынке и др.)10;
9) экологический риск (техногенные риски, природные катаклизмы), «риск, связанный с изменениями в окружающей среде, которые вызваны последствиями чрезвычайных ситуаций природного, техногенного и антропогенного характера» [6];
10) риски потери (нехватки) ключевых высококвалифицированных специалистов, в результате чего экономический субъект может столкнуться со снижением эффективности работы сотрудников;
11) риски ухудшения здоровья персонала, в результате которых также может снизиться эффективность работы коллектива. «Этот вид рисков является наиболее опасным, так как реализация этих рисков повлечет значительное снижение конкурентоспособности. Их, как правило, нельзя переложить на третьих лиц; они трудно поддаются выявлению и систематизации, а также довольно проблематично количественно оценить ожидаемый ущерб и описать сами риски»11.
10 Беляева И.Ю., Козлова Н.П. Репутационные риски компании // Экономические системы. 2014. № 3.
С. 28-33.
11 Латыпова Э.А. Управление стратегическими рисками грузового порта в рамках комплексной системы управления рисками // Перспективы развития информационных технологий. 2012. № 10. С. 82-88.
2. Операционные. К данным рискам принято относить риски, которые могут сорвать достижение операционных целей отдельными подразделениями экономического субъекта в результате, как правило, неэффективного использования ресурсов, а также плохой их сохранности.
Как отмечают ученые, «большинство операционных рисков (но не все) отличаются от прочих видов рисков тем, что источник их лежит внутри самой организации и, следовательно, риск может быть снижен за счет устранения порождающих его причин» [7].
Данные риски принято разделять по принципу разделения этапов бизнес-процессов внутри организации:
1) финансовые риски (риски изменения процентной ставки, курсов валют, опасность потери ликвидности, кредитные риски) возникают в подразделениях, ответственных за управление финансами организации;
2) риски в управлении знаниями и информацией (угроза взлома базы данных о сотрудниках, риск несанкционированного использования коммерческой тайны, в том числе сведений, которые потенциально могут быть отнесены к коммерческой тайне) возникают в подразделениях, отвечающих за управление знаниями и информацией;
3) риски в кадровой политике (ненадлежащая система мотивирования сотрудников, риск наступления конфронтации между работодателем и работниками) возникают в подразделениях, ответственных за работу с кадрами;
4) риски в управлении закупками товаров (работ, услуг), необходимых для работы предприятия (угроза задержки поставок (выполнения, оказания) требуемых товаров (работ, услуг), риски поставки (выполнения, оказания) требуемых товаров (работ, услуг) ненадлежащего качества или поставки по завышенным ценам), возникают в подразделениях, несущих ответственность за организацию закупок;
5) риски изменения восприятия организации обществом возникают в подразделениях, ответственных за организацию связей с общественностью;
6) риски потери имущества возникают во всех подразделениях, а особенно - в занимающихся хранением товарно-материальных ценностей;
7) риски некачественного выполнения работ, оказания услуг, реализации некачественной продукции или товаров возникают в подразделениях, которые занимаются выполнением работ, оказанием услуг или производством продукции (реализацией товаров);
8) риски маркетинговой политики (неверного ценообразования, ошибочного выбора рынков сбыта) представляют собой событие или действие, связанное с производственно-сбытовой деятельностью предприятия, наступление или реализация которого отражается на функционировании предприятия и приводит к отклонению его финансовых результатов от плановых или прогнозных [13];
9) технико-технологические риски (риски выхода из строя зданий, сооружений и оборудования) возникают в подразделениях, отвечающих за поддержание в рабочем и безопасном состоянии зданий, сооружений и оборудования;
10) риски составления недостоверной отчетности возникают в подразделениях, ответственных за формирование отчетности;
11) риски нарушения требований законов возникают в подразделениях, которые отвечают за правовое обеспечение работы организации, а также в большинстве структур, если особенности их работы регламентируются некими нормативными документами (например, ГОСТами, техническими регламентами, инструкциями, законами).
Операционные риски отражают отраслевую
специфику организации, поэтому проявление
индивидуальных особенностей экономического
субъекта возможно именно в отношении данного вида рисков [9].
Для более удобного восприятия предложенных классификаций рисков в модели FERMA12 предложена наиболее удачная визуализация (рис. 2).
Следующий элемент оценки рисков - это процесс идентификации, который представляет собой процесс определения событий, способных потенциально оказать негативное воздействие на деятельность организации.
Для максимально широкого охвата данных событий необходимо разработать методический подход. В данной статье идентификация рисков проведена на основе ранее предложенной классификации. Для этого могут быть использованы следующие методы, рекомендованные в модели FERMA13:
1) составление вопросников (анкет). Экспертам из состава должностных лиц предлагается выбрать из приведенного перечня рисков те, с которыми они сталкиваются, или предложить свой вариант, и оценить величину воздействия этих угроз;
2) исследование бизнес-процессов с выявлением внутренних и внешних факторов и их влияния на предприятие. Этот метод подходит для составления перечня рисков, который затем предлагается для рассмотрения экспертам;
3) анализ чрезвычайных событий также может быть использован для составления перечня рисков;
4) метод спонтанного определения (выявления) возможных рисков (метод «мозгового штурма») тоже может быть использован для составления названного перечня.
Таким образом, идентификация рисков может проводиться в два этапа: подготовка перечня возможных в компании рисков и получение
12 Стандарты управления рисками.
URL: http://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-russian-versioapdf
13 Там же.
подтверждений экспертов в отношении этого списка или предложение ими своего варианта. Необходимо отметить, что данный подход позволяет повысить уверенность в том, что выявлено подавляющее количество основных рисков.
Следующий элемент изучаемого этапа -описание рисков. Основная цель -представление возможных угроз в определенном формате для возможности их дальнейшего сравнительного анализа, чтобы выделить наиболее значимые.
За основу описания рисков может быть взят формат модели FERMA14, который в данной статье для более удобного восприятия рисков адаптирован с учетом изменений, внесенных в международные модели управления риском (табл. 1).
Далее наступает этап измерения рисков. В мировой практике принята комбинация вероятности наступления негативного события и величины возможного ущерба, обычно в диапазоне от нуля до единицы.
Измерение риска может быть:
• количественным (при определении вероятности и ущерба используются числовые значения, полученные в результате применения математических методов и моделей);
• качественным (для оценки используются нечисловые значения, полученные, как правило, от экспертов в предметной области);
• смешанным (для оценки используются как числовые, так и нечисловые значения).
Количественные методы анализа чаще всего являются более затратными (обычно на порядок), так как требуют сбора большого объема статистической информации и использования специализированного
программного обеспечения. За время, потраченное на получение количественных
14 Стандарты управления рисками. URL: http://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-russian-versioapdf
оценок риска, последний вполне может реализоваться, то есть негативное событие может наступить до момента получения его оценки.
Согласно данным и итогам исследования15, проведенного группой компаний Marsh & McLennan (одним из признанных мировых маяков в области консалтинга по вопросам управления рисками), в настоящее время в практике управления рисками на предприятиях и в организациях, зарегистрированных в РФ, безусловно превалирует качественная оценка рисков. По мнению исследователей, это связано с тем, что компании испытывают дефицит методов количественной оценки рисков.
Также следует обратить внимание на то, что не всегда имеется достаточный объем статистических данных, на основании которых можно получить количественные оценки с низким уровнем дисперсии (то есть разброса).
В практике риск-менеджмента примерно для 50% рисков просто невозможно получить количественные оценки, то есть необходимость данной оценки для принятия управленческих решений не является критически важной.
Что касается качественных методов оценки риска, необходимо отметить, что важным условием получения приемлемых результатов является высокая квалификация эксперта в предметной области. Этого можно достичь путем привлечения в качестве знатоков ключевых руководителей предприятия.
После того, как все риски измерены, необходимо выделить наиболее значимые из них, которые нужно снижать в первую очередь. Для этого сначала нужно сравнить оценки между собой, а затем определить уровень толерантности к риску.
Следующий этап, требующий особого внимания, - отчет о рисках. Принято выделять внутренние и внешние отчеты. Внутренние
15 Отчет по результатам исследования Марш Риск Консалтинг по России и СНГ. При поддержке Русского общества управления рисками. Апрель - август 2008 г. URL: https://clck.ru/9x63M
отчеты о рисках предназначены для использования на разных уровнях управления организацией:
• учредители и совет директоров (наблюдательный совет). На этом уровне в отчете должны быть описаны наиболее значимые риски экономического субъекта, а также представлены мероприятия по их снижению. Отчет должны готовить топ-менеджеры;
• топ-менеджмент, профсоюзы работников организации. На этом уровне в отчете должны быть описаны все риски организации и представлены мероприятия по их снижению в таком объеме, чтобы представители данных органов управления могли публично изложить информацию о системе риск-менеджмента. Отчет должны готовить подразделения (должностные лица), ответственные за риск-менеджмент;
• структурные подразделения. На этом уровне в отчете должны быть отражены риски, за которые отвечает подразделение, способы управления ими и механизм мониторинга. Кроме того, целесообразно отразить возможные действия подразделения, которые оказывают влияние на риски других подразделений. Отчет должно готовить структурное подразделение по согласованию с отделом (должностным лицом), ответственным за риск-менеджмент;
• сотрудники. На этом уровне отдельные отчеты не составляются. Важно понимание каждым сотрудником своего вклада в процесс управления риском. Такое осознание достигается путем разработки подразделением (должностным лицом), ответственным за риск-менеджмент, системы управления риском и ознакомления с ее положениями всех сотрудников организации.
Внешний отчет целесообразно включить в пояснения к годовой бухгалтерской финансовой отчетности для возможности ознакомления с системой риск-менеджмента предприятия любых заинтересованных лиц. В состав данного документа целесообразно
включать информацию из отчета, подготовленного для учредителя и совета директоров.
Следующий этап - мероприятия по управлению рисками. Приведем цитату: «Внутренний аудит осуществляет проверку и оценку системы управления рисками в рамках своей текущей деятельности или по специальному запросу руководителей, ответственных за конкретные направления работы» [6].
Любой финансово-хозяйственной деятельности свойственна неопределенность, которая сочетает в себе отрицательные последствия (риск) и положительные (возможности). Поэтому процесс управления предприятием в условиях риска - это поиск приемлемого компромисса между ожидаемыми расходами на управление рисками и снижением величины возможного ущерба от рисков или увеличением дополнительных выгод следующими способами:
1) уклонением от риска (избежанием его). На практике это выражается в отказе от деятельности, влекущей возникновение данного риска;
2) сокращением риска. Суть этой технологии заключается в следующем:
• страхование риска (передача его страховым компаниям за вознаграждение);
• диверсификация риска (снижение вероятности наступления негативного события, например путем увеличения количества поставщиков);
• локализация риска (снижение величины ожидаемого ущерба от наступления негативного события, например путем установления максимального лимита сумм задолженности по работе с каждым контрагентом);
• компенсация риска (например, путем увеличения дополнительных возможностей организации при осуществлении рискового вида деятельности);
3) перераспределение риска, то есть передача его на аутсорсинг (другим организациям);
4) принятие риска, то есть отсутствие всяких действий по его снижению.
Далее предлагаются несколько вариантов управления рисками (рис. 3)16.
Процесс управления рисками должен включать в себя три стадии17:
1) включение функций риск-менеджмента в организационную структуру организации, то есть решение вопроса о том, кто и за что отвечает в процессе управления рисками;
2) разработка стратегии управления рисками (подходы к идентификации, оценке риска, способам реагирования на него и др.), то есть описание основных способов реализации каждого из этапов риск-менеджмента (см. рис. 1);
3) описание функций управления рисками для конкретных должностных лиц.
И на всех стадиях полезно помнить рекомендацию: «В конкретных случаях выбор средств снижения риска зависит от возможностей его предсказания» [11].
Вопросы управления рисками должны найти свое отражение в стратегии организации, программах обучения сотрудников, положениях о подразделениях и должностных инструкциях, чтобы процесс управления рисками пронизывал весь экономический субъект. В противном случае маловероятен значимый эффект от внедрения системы риск-менеджмента.
Следующий этап - мониторинг рисков. Он является источником информации для контроля за процессом риск-менеджмента. Именно на основе данных, полученных от системы мониторинга, принимаются решения в системе внутреннего контроля.
16 Практический подход к построению комплексной системы управления рисками в крупной компании. URL: http://kriss78.narod. ru/proj ect2/RB S_Nikiforov.pdf
17 A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000.
URL: http://urlid.ru/ais6
Как указывает А.П. Шмидт, «в рамках мониторинга проводится выявление и оценивание факторов риска во взаимосвязи всех функций и действий в процессе управления предприятием» [12].
Таким образом, основным требованием к системе мониторинга рисков является отражение таких параметров процесса управления рисками, как эффективность и своевременность, то есть способность системы в нужный момент предупреждать возможные потери меньшими текущими затратами.
Косвенно об эффективности и своевременности процесса риск-менеджмента может свидетельствовать выполнение в полном объеме и в установленный срок всеми участниками системы своих обязанностей.
Одним из ключевых моментов модели процесса риск-менеджмента является система контроля, которая должна включать в себя внутренний и внешний контроль.
Задачами внутреннего контроля являются:
1) описание и организация системы управления рисками по всем этапам, отраженным на рис. 1, и доведение ее положений до всех сотрудников организации;
2) постоянный анализ полученных результатов мониторинга системы риск-менеджмента;
3) внесение корректировок в процесс управления рисками по результатам мониторинга;
4) подготовка отчетов для различных пользователей;
5) периодическое (как правило, один раз в год) проведение:
• выявления новых целей, которые ставит перед собой предприятие (целесообразно организовать процесс согласования с лицом, которое отвечает за систему риск-менеджмента, любые изменения в должностных инструкциях, организационной структуре и функциях подразделений);
• оценки новых угроз, с которыми сталкивается предприятие;
• разработки способов управления новыми рисками;
6) участие в разработке плана бюджета на следующие периоды в части затрат на управление рисками;
7) участие в формировании страховых корпоративных программ;
8) анализ любых новых проектов на предмет наличия рисков, за управление которыми пока не установлены ответственные лица.
Стоит отметить, что правила, процедуры, способы внутреннего контроля должны соответствовать рискам и меняться в интересах повышения его качества [13].
Целью внешнего контроля является получение уверенности в том, что система риск-менеджмента (включая внутренний контроль) построена и функционирует в соответствии с требованиями стандартов (правил, политики).
Управление рисками является самостоятельным блоком в общей системе управления компанией18. Риск-менеджмент не дублирует существующих систем, а является их дополнением.
Управление системой риск-менеджмента (включая внутренний контроль) реализуется, как правило, отделом либо должностным лицом (риск-менеджером) в зависимости от сложности процесса. Причем риск-менеджер
(или специализированное подразделение) лишь организует систему управления рисками, а отвечают за управление рисками руководители отдельных структур, поскольку никто не разбирается лучше, чем они, в нюансах деятельности подразделения.
Место отдела, занимающегося управлением рисками, и особенности его построения во многом зависят от специфики деятельности организации [14].
Таким образом, результатом проведенного анализа стали интерпретации понятий в области риск-менеджмента на основе объединения понятийного аппарата моделей COSO и FERMA.
Разработана модель процесса управления рисками, применимая любым экономическим субъектом. Представленные классификации рисков визуализированы в определенную модель для более удобного восприятия.
Представлены форма описания рисков на основе модели FERMA и карта рисков, позволяющая наглядно показать распределение рисков по отношению к уровню толерантности.
Приведенные в статье данные и модели могут быть использованы экономическими субъектами для построения системы управления рисками.
Эффективный риск-менеджмент способствует снижению воздействия на работу организации различных угроз, что позволяет развиваться более планомерно и избегать возникновения негативных событий.
18 Практический подход к построению комплексной системы управления рисками в крупной компании. URL: http ://kriss78.narod.ru/proj ect2/RB S_Nikiforov.pdf
Таблица 1
Варианты описания риска в карточке риска
Критерий риска Словесное описание
Отношение к классификационным признакам Внешний или внутренний. Стратегический или операционный. Риск искажения определенной статьи отчетности
Цели деятельности, с которыми связан риск Стратегические. Операционные, в том числе: - достоверность отчетности; - полнота соблюдения законодательства
Подразделение (должностное лицо), которое сталкивается с риском Согласно организационно-штатной структуре
Функции подразделения (должностного лица), подверженные риску Согласно положениям о подразделениях (должностным инструкциям или другим документам)
Заинтересованные лица Конкретные должностные лица или их группа согласно организационно-штатной структуре и их ожидания
Факторы (причины) риска Описание предпосылок для возникновения рисков
Оценка риска (вероятность наступления и степень ущерба) Произведение вероятности (допустимые значения: 1 - низкий уровень, 2 - средний, 3 - высокий) и степени ущерба (допустимые значения - аналогичные)
Приемлемость риска Приемлем (если не выше уровня толерантности) или не приемлем (если выше этого уровня)
Существующие механизмы управления риском Словесное описание
Рекомендации по работе с риском (уклонение, сокращение, перераспределение, принятие) Выбор одного из вариантов
Порядок реализации рекомендаций по управлению Описание предлагаемых этапов действий
Дата составления (изменения) карточки Дата составления или внесения изменений в формате «дата, месяц, год»
Рисунок 1
Модель процесса риск-менеджмента в организации
2'
ё а
- I
о мн Ё & §5?
a m « 5
о
<и
I
а а
r о 1*8 а &
<D
а
Рисунок 2
Модернизированная классификация рисков по модели FERMA
Рисунок 3
Способы управления рисками
Список литературы
1. Стейнберг РМ., Мартене Ф.Д., Эверсон М.И., Ноттингэм Л.И. Комитет спонсорских организаций Комиссии Тредвея (COSO). Управление рисками организаций. Интегрированная модель. Краткое изложение. Концептуальные основы. Сентябрь 2004. URL: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Russian.pdf.
2. Шихвердиев А.П. Внутренний контроль и управление рисками в системе корпоративного управления // Корпоративное управление и инновационное развитие экономики Севера: Вестник Научно-исследовательского центра корпоративного права, управления и венчурного инвестирования Сыктывкарского государственного университета. 2012. № 2. С. 13.
3. Азарская М.А. Оценка рисков хозяйственной деятельности в ходе аудита // Аудиторские ведомости. 2015. № 9. С. 3-14.
4. Шапкин А.С., Шапкин В.А. Экономические и финансовые риски: оценка, управление, портфель инвестиций. М.: Дашков и К, 2013. 544 с.
5. Можанова И.И. Особенности комплексного подхода к управлению рисками промышленного предприятия // Школа университетской науки: парадигма развития. 2010. № 1-2. С. 92-98.
6. Гинко В.И., Тараров А.Г. Система экологического мониторинга в управлении экологическим риском // Современные проблемы науки и образования. 2015. № 3. С. 328. URL: http://science-education.ru/ru/article/view?id=18878.
7. Насонова А.А., Агаркова Н.А. Перспективы управления операционным риском в рамках корпоративного управления банком // Сибирская финансовая школа. 2006. № 1. С. 49-53.
8. Бадалова А.Г., Чурзина О.А. Основные проблемы управления маркетинговыми рисками машиностроительных предприятий // Вестник МГТУ «Станкин». 2009. № 2. С. 89-92.
9. Шевцова Ю.В. Методические подходы и практические приемы операционного риск-менеджмента в телекоммуникационных компаниях // Вестник СибГУТИ. 2009. № 1. С. 52-66.
10. Иванов О.Б., Лаврова Т.В. Роль внутреннего аудита в обеспечении эффективного функционирования системы управления рисками компании // Аудиторские ведомости. 2014. № 10. С. 61-72.
11. Емельянова О.Ю. Особенности в подходах к управлению рисками в предпринимательской деятельности // Вестник Челябинского государственного университета. 2009. № 1. С.136-140.
12. Шмидт А.П. Мониторинг рисков нефтетранспортного предприятия // Известия высших учебных заведений. Социология. Экономика. Политика. 2012. № 1. С. 19-22.
13. Кулинина Г.В. Внутренний контроль в системе управления компанией // Транспортное дело России. 2014. № 5. С. 177-179.
14. Бгашев М.В. Образ риск-менеджера в корпорациях России // Известия Саратовского университета. Новая серия. Серия: Экономика. Управление. Право. 2013. Т. 13. № 1-1. С. 84-90.
ISSN 2311-9381 (Online) Audit Activity
ISSN 2073-5081 (Print)
INTERNATIONAL MODELS OF RISK MANAGEMENT: A POTENTIAL FOR USE AND THE RESULTS
Gavriil A. AGARKOVa, Denis A. BESSONOVb, Violetta S. SUKHIKHc% Alena R. KHANOVAd, Larisa V. YUR'EVAe
a Ural Federal University named after the First President of Russia B.N. Yeltsin, Yekaterinburg, Sverdlovsk Oblast,
Russian Federation
b Ural Federal University named after the First President of Russia B.N. Yeltsin, Yekaterinburg, Sverdlovsk Oblast,
Russian Federation
c Ural Federal University named after the First President of Russia B.N. Yeltsin, Yekaterinburg, Sverdlovsk Oblast,
Russian Federation
d Ural Federal University named after the First President of Russia B.N. Yeltsin, Yekaterinburg, Sverdlovsk Oblast,
Russian Federation
e Ural Federal University named after the First President of Russia B.N. Yeltsin, Yekaterinburg, Sverdlovsk Oblast,
Russian Federation
• Corresponding author
Article history:
Received 4 December 2015 Received in revised form 14 April 2016 Accepted 17 May 2016
JEL classification: D81, G32, H83, M42, M48
Keywords: risk management, risk, internal audit
Abstract
Importance The negative event can be avoided and its effect can be cushioned, if the effective corporate system for risk management is built on the basis of generally accepted international principles. Therefore, it is necessary to analyze the existing global practices for their adaptation and application in Russia.
Objectives The research analyzes global risk management models and identifies how legal entities of the Russian Federation can apply them.
Methods Using a comparative analysis, we examined two international models of risk management, i.e. those of COSO and FERMA.
Results We identified classes of risks and built the risk management model on the basis of the FERMA risk classification model. The article proposes special concepts of risk management by combining the conceptual framework of the COSO and FERMA models. We devised a risk management model that any legal entity can use. Classes of risks are visualized for more convenience. The article also presents a FERMA model-based form to describe risks, and the map of risks that allows illustrating how the risk concentrate by the tolerance level.
Conclusions and Relevance Corporate risk management does not duplicate the existing management systems, but rather supplements them. Entities can use the data and model presented in the article to build the risk management system. The effective risk management helps to restrain risks and their impact in corporate operations, thus streamlining the development and avoiding negative events.
© Publishing house FINANCE and CREDIT, 2015
References
1. Steinberg R.M., Martene F.J., Everson M.I., Nottingham L.I. Upravlenie riskami organizatsii. Integrirovannaya model' [Enterprise Risk Management - Integrated Framework]. COSO, 2004. Available at: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Russian.pdf.
2. Shikhverdiev A.P. [Internal control and risk management in corporate governance]. Korporativnoe upravlenie i innovatsionnoe razvitie ekonomiki Severa: Vestnik Nauchno-issledovatel'skogo
tsentra korporativnogo prava, upravleniya i venchurnogo investirovaniya Syktyvkarskogo gosudarstvennogo universiteta = Corporate Governance and Innovation Development of Economy of the North. Vestnik of Research Center of Corporate Law, Management and Venture Capital Investment of Syktyvkar State University, 2012, no. 2, p. 13. (In Russ.)
3. Azarskaya M.A. [Business risk assessment as part of auditing]. Auditorskie vedomosti = Audit Journal, 2015, no. 9, pp. 3-14. (In Russ.)
4. Shapkin A.S., Shapkin V.A. Ekonomicheskie i finansovye riski: otsenka, upravlenie, portfel' investitsii [Economic and financial risks: assessment, management, investment portfolio]. Moscow, Dashkov i K Publ., 2013, 544 p.
5. Mozhanova I.I. [Specifics of the comprehensive approach to the industrial enterprise's risk management]. Shkola universitetskoi nauki: paradigma razvitiya = School of University Science: the Paradigm of Development, 2010, no. 1-2, pp. 92-98. (In Russ.)
6. Ginko V.I., Tararov A.G. [The environmental monitoring system as part of the environmental risk management]. Sovremennye problemy nauki i obrazovaniya, 2015, no. 3, p. 328. (In Russ.) Available at: http://science-education.ru/ru/article/view?id=18878.
7. Nasonova A.A., Agarkova N.A. [Prospects for operational risk management within the bank's corporate governance]. Sibirskaya finansovaya shkola = Siberian Financial School, 2006, no. 1, pp. 49-53. (In Russ.)
8. Badalova A.G., Churzina O.A. [Key issues of marketing risk management in machine building enterprises]. VestnikMGTUStankin = Vestnik of MSTUStankin, 2009, no. 2, pp. 89-92. (In Russ.)
9. Shevtsova Yu.V. [Methodological approaches and practices for operational risk management in telecommunications companies]. VestnikSibGUTI, 2009, no. 1, pp. 52-66. (In Russ.)
10.Ivanov O.B., Lavrova T.V. [The role of internal audit in ensuring the effective operation of the corporate risk management system]. Auditorskie vedomosti = Audit Journal, 2014, no. 10, pp. 61-72. (In Russ.)
11. Emel'yanova O.Yu. [Specifics of risk management approaches in business]. Vestnik Chelyabinskogo gosudarstvennogo universiteta = Bulletin of Chelyabinsk State University, 2009, no. 1, pp. 136-140. (In Russ.)
12. Shmidt A.P. [Monitoring of the oil transportation company's risks]. Izvestiya vysshikh uchebnykh zavedenii. Sotsiologiya. Ekonomika. Politika = News from Higher Educational Institutions. Sociology. Economics. Politics, 2012, no. 1, pp. 19-22. (In Russ.)
13.Kulinina G.V. [Internal control in the corporate governance system]. Transportnoe delo Rossii = Transport Business of Russia, 2014, no. 5, pp. 177-179. (In Russ.)
14.Bgashev M.V. [A risk manager portrait in the Russian corporations]. Izvestiya Saratovskogo universiteta. Novaya seriya. Seriya: Ekonomika. Upravlenie. Pravo = Izvestiya of Saratov University. New Series. Series: Economics. Management, 2013, vol. 13, no. 1-1, pp. 84-90. (In Russ.)