Управление рисками организации: методический аспект Текст научной статьи по специальности «Экономика и бизнес»

ISSN 2311-9381 (Online) Управленческий учет

ISSN 2073-5081 (Print)

УПРАВЛЕНИЕ РИСКАМИ ОРГАНИЗАЦИИ: МЕТОДИЧЕСКИЙ АСПЕКТ Татьяна Юрьевна СЕРЕБРЯКОВА

доктор экономических наук, профессор, заведующая кафедрой бухгалтерского учета, Чебоксарский кооперативный институт (филиал) Российского университета кооперации, Чебоксары, Российская Федерация tserebryakova@rucoop.ru

История статьи:

Принята 07.11.2016 Принята в доработанном виде 01.12.2016 Одобрена 07.12.2016 Доступна онлайн 15.03.2017

УДК 330.131.7 JEL: М19

Ключевые слова: риски, процессы, стандарты, учет, анализ, контроль

Аннотация

Тема. Оценка особенностей имеющихся концепций риск-менеджмента и его связей и порядка взаимодействия с внутренним контролем является актуальной темой для исследования ввиду особого внимания к внутреннему контролю и рискам со стороны регламентирующих органов, определяющих требования к финансовой отчетности и отчетности об устойчивом развитии. Цели. Выработка подходов к организации работы с рисками, определение места риск-менеджмента в системе управления и контроля.

Методология. В статье использовались общенаучные методы познания: системный подход, логическое обобщение, анализ, синтез и гипотеза.

Результаты. Оценка имеющихся методик риск-менеджмента и внутреннего контроля (COSO, FERMA, ISO и др.) показала, что модели внутреннего контроля и риск-менеджмента COSO, сосредоточенные на процессных риск-менеджменте и контроле, описывают их наиболее последовательно. В то же время, в них не вполне учтена первичность внутреннего контроля по отношению к рискам. В документах имеются противоречия по вопросу приоритетности рисков и контроля, что делает возможной дискуссию. Исследование позволило сделать вывод о первичности внутреннего контроля над рисками, как процесса, являющегося неотъемлемой составляющей частью управления. Этот вывод сделан в том числе на основе понимания сути работы с рисками как прогнозной, упреждающей, что исключает возможность контроля в его обычном понимании, в связи с чем контрольные процедуры при риск-менеджменте подменяются аналитическими. Понимание этого позволило выдвинуть идею о принадлежности риск-менеджмента только лишь контрольному процессу, внутри которого он и существует.

Выводы. Вывод о нецелесообразности рассмотрения риск-менеджмента в качестве самостоятельной системы управления позволяет рассматривать риски внутри каждого процесса управления на уровне руководителя процесса. Соединение воедино всех знаний о риске может быть поручено отделам внутреннего контроля, аналитическому (поскольку риски можно контролировать с помощью анализа), а также внутреннего аудита, цель которого, согласно стандартам, состоит в контроле за эффективностью риск-менеджмента.

© Издательский дом ФИНАНСЫ и КРЕДИТ, 2016

Риски, их выявление, учет, методы ограничения -данная тема в последнее десятилетие стала весьма актуальной для практического менеджмента, и, соответственно, для теоретиков. В научных изданиях теоретические аспекты учета и оценки рисков изучены не вполне достаточно. Некоторыми исследователями высказывается идея государственного регулирования риск-

менеджмента [1].

Признавая, что риск-менеджмент дорог для повсеместного внедрения, некоторыми

специалистами выдвигается проблема

недоступности управления рисками в малых и средних организациях, указывается ее актуальность [2, 3]. Значительное количество публикаций в области управления рисками касается методик риск-менеджмента в банковской и финансовой сферах, что вполне понятно, поскольку эти отрасли являются общественно значимыми и достаточно публичными, в связи с чем гарантии стабильности через ограничение

рисков здесь особенно важны. Этот сектор по указанным причинам наиболее регламентирован в части учета, оценки и анализа различных рисков [2, 4]. В целом, многими исследователями признается, что управление рисками должно регулироваться на государственном уровне даже не в связи с публичностью некоторых отраслей экономики. Это особенно важно в связи с концепцией об устойчивом развитии.

Концепция риск-менеджмента, очевидно, может быть связана с положениями методологии Глобальной инициативы по нефинансовой отчетности (GRI - The Global Reporting Initiative) через оценку достижения целей организации на базе интеграции учета, контроля и отчетности [5, 6]. С другой стороны, можно согласиться с мнением, что обязательность использования стандартов нефинансовой отчетности является одним из показателей развития процессов управления рисками в разных странах [1]. В связи с этим, представляется полезной идея внедрения

элементов риск-менеджмента в сферу финансового бюджетного контроля, финансового государственного контроля, что вполне соответствует современным подходам к контролю и использованию методик ограничения рисков в его системе [7, 8].

Большое количество публикаций связано с апробациями различных методик исследования вероятности событий, анализа рисков, в том числе затрагивающие аппарат категорий. Среди них хочется выделить работы, в которых обосновывается определение рисков, как вероятности негативных событий для достижения целей организации, приводится классификация, предлагаются способы встраивания риск-менеджмента в бизнес-процессы, выделения процессов и подпроцессов [9, 10, 11, 12, 13, 14, 15]. Определенное место в исследованиях рисков занимает проблема отражения рисков в учетных системах. Как правило, предметом изучения специалистов является возможность отражения в бухгалтерском учете количественной составляющей рисков [16, 17, 18].

Исследование рисков, очевидно, вполне уместно связать с контролем, поскольку именно концепции контроля конца XX в. поставили в качестве приоритетной задачу привязки контрольных мероприятий к наиболее рискованным зонам деятельности менеджмента. Именно тогда, в 1992 г., появилась широко используемая методика, известная как «Внутренний контроль. Интегрированная модель», разработанная Комитетом организаций-спонсоров Комиссии Тредвея (COSO)1. Как раз в этой модели в качестве одного из элементов был определен «риск-менеджмент». В развитие этого пункта в 2004 г. появился другой документ Комитета организаций-спонсоров Комиссии Тредвея - «Управление рисками организаций. Интегрированная модель» (COSO ERM)2. Примерно тогда же, в 2002 г., появились «Стандарты управления рисками», сформулированные Федерацией европейских ассоциаций риск-менеджеров (FERMA)3.

Риск-менеджмент специалистами Комитета Трэдвея изначально был определен как часть

1 Internal Control - Integrated Framework. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), New York, AICPA, 1992. URL: http://www.coso.org/IC.htm

2 Управление рисками организации. Интегрированная модель. (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission (COSO). URL: http://www. coso. org/documents/coso_erm_executivesummary_rus sian.pdf

3 Стандарты управления рисками. Федерация европейских ассоциаций риск-менеджеров. URL:

http://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-russian-version.pdf

(элемент) системы внутреннего контроля (СВК). Необходимо отметить, что в 2013 г. документ «Внутренний контроль. Интегрированная модель» претерпел обновление, суть которого, как признают сами разработчики, сводится к улучшениям и уточнениям, направленным на облегчение восприятия и применения. Для этого изменены основные принципы, определяющие каждый компонент системы внутреннего контроля (СВК), более подробно изложены основы внутреннего контроля подготовки различного вида отчетности, а также учтены дополнительные факторы внешней и внутренней экономической среды, произошедшие в мире с 1992 г.

В обновленном документе «Внутренний контроль. Интегрированная модель» говорится о концепции «Управление рисками организации. И н т е г р и р о в а н н а я м о д е л ь » к а к о взаимодополняющей, имеющей пересекающиеся области с интегрированной моделью внутреннего контроля.

Взаимосвязь интегрированной модели управления рисками с интегрированной моделью внутреннего контроля выражается в том, что при похожести всех элементов обеих моделей (и риск-менеджмента, и СВК) различия затрагивают элемент СВК под названием «Риск-менеджмент». В модели управления рисками он разбит на четыре компонента, вошедшие в систему управления рисками как самостоятельные4 (рис. 1).

Согласно комментариям разработчиков документа «Управление рисками организаций. Интегрированная модель» внутренний контроль является частью системы управления рисками, что вполне логично. Управления без внутреннего контроля не существует. И если исходить из того, что управление рисками - это концептуальная управленческая модель, то все встает на свои места. Действительно, внутри процесса управления рисками присутствует внутренний контроль, являющийся частью процесса. Если же рассматривать обе концепции в совокупности, то это - довольно спорное утверждение, учитывая, что риск-менеджмент сам по себе является элементом системы внутреннего контроля и одновременно процессом, нуждающимся в контроле со стороны управленцев более высокого уровня или службы внутреннего контроля. Рассмотрим более подробно имеющиеся подходы к идентификации и управлению рисками.

4 Управление рисками организации. Интегрированная модель. (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission (COSO). URL: http://www.coso.org/documents/coso_erm_executivesummary_rus sian.pdf

При изучении рисков нельзя обойти вниманием и другие концептуальные документы (помимо стандартов FERMA и COSO), разработанные м е жд у нар о д н ы м и и р о с с ий с ки м и профессиональными организациями, а именно:

• Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент - принципы и руководство», 20095;

• ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», 20106;

• Международные профессиональные стандарты

7

внутреннего аудита ;

• Информация Министерства финансов РФ ПЗ-9/2012 «О раскрытии информации о рисках хозяйственной деятельности организаций в годовой финансовой отчетности»8;

• Указание Банка России от 15.04.2015 № 3624-У «Требования к организации процедур

9

управления отдельными видами рисков» .

Как видим, имеется достаточное количество методических документов в области управления рисками. Каждый из них, как минимум, содержит определение рисков, классификацию, набор элементов и методику работы с ними. Определения рисков в целом совпадают, что отражает табл. 1.

Риски возникают и рассматриваются не сами по себе. Они - следствие различных событий, происходящих или предполагаемых, в связи с осуществлением экономической деятельности организаций. В теории рисков, как и в менеджменте, принято оперировать термином «цели организации». Деятельность всегда связана с достижением поставленных целей.

5 Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент - принципы и руководство». URL: http://www.pqm-online.com/assets/files/lib/std/iso_31000-2009(r).pdf

6 ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство». URL: http://docs.cntd.ru/document/gost-r-iso-31000-2010

7 Международные профессиональные стандарты внутреннего аудита. URL: http://www.iia-ru.ru/files/documents_open/Standards%20rus%202015%20IIA %2012082015.pdf

8 Информация Министерства финансов РФ ПЗ-9/2012 «О раскрытии информации о рисках хозяйственной деятельности организаций в годовой финансовой отчетности». URL: http://www.consultant.ru/cons/cgi/online.cgi? req=doc&base=LAW&n=135436&fld=134&dst=1000000001,0&r nd=0.8023301337235467#0

9 Указание Банка России от 15.04.2015 № 3624-У «Требования к организации процедур управления отдельными видами рисков». URL:

http://www.consultant.ru/document/cons_doc_LAW_180268/

Экономическая деятельность организации в этом контексте направлена на достижение определенных экономических целей (показателей). Естественно, такие цели разбиваются на множество подцелей, задач, направлений, по уровням управления и т.п., что, в конечном итоге, и определит конкретные действия менеджмента по их достижению.

В ходе реализации планов по достижению целей управление постоянно сталкивается не только с самими событиями, но, главным образом, с их последствиями. Определение рисков не вполне достаточно рассматривать в отрыве от того, как стандарты классифицируют последствия событий при определении риска. Точки зрения представлены в табл. 2.

Обе таблицы (1 и 2) показывают практическую идентичность взглядов о том, что риски возникают как в связи с положительными, так и в связи с отрицательными событиями. И только концепция COSO их рассматривает исключительно как отклик на события с негативными последствиями. При этом события с позитивными воздействиями на организацию учитываются для нивелирования рисков. Очевидно, именно эти различия сказались на определении риска, который, согласно COSO, рассматривается только с позиций отрицательных последствий многочисленных событий. Данная точка зрения, по нашему мнению, соответствует смыслу слова «риск». Положительные последствия событий, по нашему мнению, могут рассматриваться в риск-менеджменте не как риск, а как возможные направления нивелирования риска.

Интересно в связи с этими наблюдениями проследить наполнение моделей управления рисками различными компонентами. Обобщение этих данных представлено в табл. 3.

Обращает на себя внимание то обстоятельство, что ИСО и, соответственно, ГОСТ на его основе, выстраивают управление рисками в виде набора и последовательности определенных действий, направленных на организацию управленческих действий (не процессов). Видится, что это характеризует подход сверху, с позиций общего управления. Непосредственно процессный риск-менеджмент содержится в одном из этапов этой модели, названном «Разработка системы риск-менеджмента» (табл. 3), в то время, как все остальные концепции содержат набор процессов, описывающих, каким образом управлять рисками, что отражает взгляд на управление изнутри. По мнению автора этой статьи, в первом случае элементы выстроены для целей внешнего (надпроцессного) управления и контроля, а во

втором случае - для внутрипроцессного (встроенного) управления и контроля [19].

Следует оговориться, что ИСО и ГОСТ-Р, описывая элемент под номером 2. «Разработка системы риск-менеджмента» (для ГОСТа - «Схема инфраструктуры риск-менеджмента») (табл. 3), включает следующие внутрипроцессные элементы риск-менеджмента, которые в большей или меньшей степени детализации повторяют COSO и FERMA:

• понимание организации и контекста, в котором она функционирует;

• установление политики риск-менеджмента;

• отчетность;

• интеграция в процессы организации;

• ресурсы;

• установление внутренней коммуникации и механизма отчетности;

• установление внешней коммуникации и механизма отчетности.

При этом принципиальное отличие, на наш взгляд, заключается в том, что такой элемент, как мониторинг, характерный для всех концепций, в ИСО и ГОСТе вынесен за пределы внутрипроцессного управления и поставлен, по сути, над процессом управления рисками. Является ли это логичным? Для понимания этого следует вспомнить, что имеется в виду под мониторингом. Если постоянная идентификация, оценка и анализ выявленных рисков и субрисков в целях их корректировки и оценки угроз, то он должен быть внутри риск-менеджмента, если мониторинг рассматривать как способ контроля за эффективностью риск-менеджмента, то это -надпроцессный элемент и он должен быть отнесен к управлению в целом.

В ГОСТ-Р 31000:2010 именно такое значение и придается мониторингу: «Чтобы гарантировать, что риск-менеджмент является эффективным и продолжает поддерживать деятельность организации, организация периодически должна:

• оценивать качество риск-менеджмента с по мощ ь ю инд икато р о в , котор ы е пересматриваются для сохранения актуальности;

• сравнивать продвижение с планом по менеджменту риска и определять отклонения от него;

• пересматривать инфраструктуру, политику и план менеджмента риска для обеспечения их

адекватности в рамках внутреннего и внешнего

контекста организации;

• оценивать эффективность инфраструктуры риск-

менеджмента» 10.

Однако, и в FERMA, где мониторинг показан элементом процессного управления, ему придается подобное значение - контроль за эффективностью управления рисками: «Эффективность управления рисками зависит от способов (методов) контроля и своевременного оповещения обо всех изменениях в программе управления рисками организации»11. И только модель COSO вполне последовательно для процессного управления под мониторингом понимает: «Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок»12.

Мониторинг, как метод контроля, как раз заключается в периодическом контроле за изменениями определенных показателей с целью выявления негативных данных для последующего применения к ним других контрольных процедур. Другими словами, мониторинг - это разновидность наблюдения. Все последующие действия, которые указаны в ИСО и FERMA, представляют уже не мониторинг, а аналитические процедуры, которые предлагаются к использованию в качестве контрольных [20].

Как видим, с научно-методической точки зрения из всех только концепция COSO имеет наиболее последовательный и логичный вид.

Под риск-менеджментом понимаются, согласно отечественному ГОСТу-Р 31000-2010,

скоординированные действия по управлению организацией с учетом риска. Кроме того, в нем сказано, что «инфраструктура менеджмента риска встроена во всю стратегическую и операционную политику и практику организации». Процесс менеджмента риска (risk management process) -это систематическое применение политики, процедур и практики менеджмента к деятельности по обмену информацией, консультированию, установлению ситуации

10 ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство». URL: http://docs.cntd.ru/document/gost-r-iso-31000-2010

11 Стандарты управления рисками. Федерация европейских ассоциаций риск-менеджеров. URL:

http://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-russian-version. pdf

12 Управление рисками организации. Интегрированная модель. (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission (COSO). URL: http://www.coso.org/documents/coso_ERM_ExecutiveSummary_ Russian.pdf

(контекста) и идентификации, анализу, оцениванию, воздействию на риск, мониторингу и пересмотру риска. «Риск-менеджмент способствует очевидному достижению целей и улучшению показателей»13. Аналогичные положения содержатся и в отечественном ГОСТ-Р 31000-2010.

В отличие от указанных документов, в COSO под управлением рисками понимается нечто иное: «...это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации»14.

Приведенные определения и цели моделей ИСО и COSO еще раз иллюстрируют различный подход к управлению рисками. Европейская модель FERMA определяет риск-менеджмент в качестве процесса, следуя которому организация системно анализирует риски деятельности с целью максимальной эффективности каждого шага и всей деятельности в целом. При этом целью риск-менеджмента объявляется достижение максимально большой стоимости организации, что можно рассматривать как развитие естественной цели любой коммерческой организации - получение максимально возможной прибыли. По нашему мнению, FERMA, по сути, повторяет характеристику COSO, но из этого определения следует более четкое указание на то, что работа с рисками осуществляется одновременно с управлением. Это очень верная деталь в определении, которая, впрочем, никак не отражается в построении концепции FERMA.

Таким образом, из имеющихся методик работы с рисками, предпочтение следует отдать модели COSO, как наиболее полно и последовательно раскрывающей принципы и конкретные процедуры процесса риск-менеджмента. Неоспоримым преимуществом COSO является комплексный подход к работе с рисками и к

13 Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент - принципы и руководство». URL: http://www.pqm-online.com/assets/files/lib/std/iso_31000-2009(r).pdf

14 Управление рисками организации. Интегрированная модель. (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission (COSO). URL: http://www.coso.org/documents/coso_erm_executivesummary_rus sian.pdf

организации внутреннего контроля, поскольку Комитетом организаций-спонсоров Комиссии Тредвея, как было указано в начале статьи, созданы два документа, взаимосвязанные, построенные на единой методологической основе: «Внутренний контроль. Интегрированная модель»; «Управление рисками организаций. Интегрированная модель».

Недостатком этих документов и, соответственно, методик, является некоторая противоречивость по вопросу первичности управления рисками или внутреннего контроля. Эта проблема была затронута в самом начале статьи. Рассмотрим ее более подробно.

По сути, вопрос сводится к пониманию взаимосвязей между рисками и внутренним контролем. На рис. 1 представлены обе модели. Концепция COSO разработана именно для построения процессного контроля. Контроль -неразрывная часть управления, без которой управление не просто теряет смысл, но и невозможно. Плохой или хороший, достаточный или не вполне, уместный или нет, но контрольные процедуры идут рука об руку с управлением. Поэтому, когда мы рассматриваем управление рисками, то конечно, такое управление, как и всякое другое, сопряжено с контролем. Разбив управление рисками на процессы, в каждом из них следует организовать контроль по модели COSO.

Но тогда управление рисками должно быть описано с позиций организации управления в целом, и только выделяются такие его этапы: идентификация, оценка, анализ, отчет, ограничивающие мероприятия и уход на новый круг управления. При таком или примерно таком наборе процессов управления представляется возможным организовать процессный контроль согласно COSO. Авторы COSO ERM попытались совместить несовместимое. Проанализируем, что означает словосочетание «управление рисками»? Сами по себе риски, как понимают это практически все, - вероятность того, что некие события помешают достижению целей. По нашему мнению, эти события, конечно же, негативной направленности. Таким образом, управление вероятностью возникновения неблагоприятных событий, осложняющих достижение цели - вот суть риск-менеджмента.

Такая задача, во-первых, носит упреждающий характер, а значит, связана с неким прогнозом. Контрольные действия по определению возможны лишь после регистрации результата управленческого решения при сравнении достигнутого с запланированным. Во-вторых, достигнутый результат при управлении рисками

не с чем сравнить. Поэтому процессный контроль при риск-менеджменте невозможен. Правда, разработчики риск-менеджмента как один из процессов выделяют «средства контроля», под которыми понимают функционирование «политики и процедур, обеспечивающих «разумную» гарантию эффективного исполнения выбранных действий по реагированию на риск»15.

Средства контроля, которые разработчики включили в стандарт, это полностью доказывает. В COSO ERM указаны следующие средства контроля:

• обзоры высшего руководства;

• прямое управление функцией или деятельностью;

• обработка информации;

• физические средства контроля;

• показатели деятельности;

• распределение обязанностей.

Как следует из перечня, только два из них непосредственно связаны с контролем. Остальные нельзя отнести к средствам контроля. Например, под таким средством контроля как «показатели деятельности» подразумевается: соотнесение различных видов данных (операционных или финансовых) друг с другом, анализ взаимосвязей, проведение расследований и устранение недостатков... Путем изучения непредвиденных результатов или необычных тенденций руководство выявляет случаи, в которых недостаток ресурсов для выполнения ключевых процессов может снизить вероятность достижения целей». Интересно окончание характеристики этого средства контроля: «То, каким образом менеджеры используют данную информацию -только для принятия решений по хозяйственной деятельности или, помимо этого, для отслеживания незапланированных результатов, представленных в системах составления отчетности - определяет сферу применения анализа показателей деятельности: только в производственных целях или также в целях контроля за достоверностью отчетности». Таким образом, разработчики концепции управления рисками организации COSO ERM считают экономический анализ средством контроля.

Посмотрим на проблему с другой стороны, имея в виду работу с рисками при внутреннем контроле.

15 Управление рисками организации. Интегрированная модель. (COSO ERM). Committee of Sponsoring Organizations of the Treadway Commission (COSO)

http://www. coso. org/documents/coso_ERM_ExecutiveSummary_ Russian.pdf

Задачи внутреннего контроля идентичны задачам риск-менеджмента - способствовать реализации целей организации, предотвращая негативные явления, в том числе прогнозируемые. Не случайно в системе внутреннего контроля выделяется отдельный блок по работе с рисками. Принято считать, что это риски средств контроля. Возможно, это и так. Однако в предисловии к изданию COSO ERM сказано: «Этот документ не заменяет «Концептуальные основы внутреннего контроля», а, скорее, включает их в качестве составной части. Поэтому компании могут принять решение использовать данный документ как в целях решения задач по внутреннему контролю, так и для перехода к более широкому процессу управления рисками». Думается, что это не вполне логично. Более понятно было бы, если блок «оценка рисков» в интегрированной модели внутреннего контроля был расширен за счет включения вместо этого целиком всей модели управления рисками.

И, наконец, третий момент. Несмотря на то, что COSO ERM представляет собой модель управления как стратегическими, так и операционными рисками, считаем, что изначально работа с рисками имеет прогнозный характер. В связи с этим, управление рисками как самостоятельная модель не может быть воспринята. Оценка и учет рисков - это обычная деятельность менеджмента применительно к должностным обязанностям каждого. А сам риск -не вполне объективная и постоянная величина для системного отслеживания, особенно на пути достижения максимальной стоимости организации.

Нами сознательно не используются термины «учет» и «контроль», поскольку при работе с рисками это не вполне уместно в их буквальном смысле. Контролировать прогнозные данные обычно начинают в процессе их достижения, чтобы понять, насколько велико отставание полученных результатов от желаемых. Это если организация стремится достигнуть прогнозируемое событие. А как же осуществить контроль того, что, наоборот, не должны получить? Следуя подобной логике, объектом контроля будут все те же показатели экономической стоимости, прибыли и т.п., только со знаком минус.

Таким образом, можно контролировать количественный риск, да и то, только стратегический, используя при этом методы экономического анализа. Однако, риски могут иметь количественную составляющую и в других областях, не связанных с недостижением экономических или финансовых показателей деятельности. Элемент контроля по ним возникает

только в случае свершившегося неблагоприятного факта. Но ведь в таком случае как раз и можно говорить об отсутствии контроля за рисками или о недостаточно эффективном контроле. И наоборот, если риск не оправдался, и событие не наступило, как его контролировать?

Думается, что более разумный подход при организации управления рисками заключается в интегрировании его элементов в само управление по всей иерархии. При этом излишняя формализованность этой стороны управления будет вредить самому управлению. Риски недостижения определенных плановых

показателей нужно оставить анализу и аналитикам, и развивать в связи с этим не внутрипроцессный анализ (по версии COSO -оценку и реагирование на риск, по версии ИСО -оценку и анализ рисков), а полноценную аналитическую работу специальными отделами. В настоящее время наблюдается перекос аналитической деятельности соответствующих отделов организаций в сторону финансового анализа. Это не вполне оправдано.

На наш взгляд, необходимо придать аналитической работе статус, аналогичный статусу подразделений по работе с рисками, предусмотренный COSO. И двигаться в направлении развития системы экономических показателей стратегических и оперативных целей организации и анализа не только степени их достижения, но и рисков их недостижения в зависимости от факторов. Что касается всех остальных прогнозируемых рисков, чаще всего не финансового характера, то достаточно иметь карту собственных рисков каждому руководителю отдела и поддерживать ее ведение для собственных знаний о рисках, для их осознания в процессе систематизации.

В крупных организациях рисками все же целесообразно заниматься отделу внутреннего контроля, поскольку именно у контроля есть объективное основание заниматься проблемами недостижения заявленных целей или антицелей, каковыми выступают риски организации. Формой контроля, одной из задач которой является оценка эффективности управления рисками, служит внутренний аудит. Согласно глоссарию стандартов внутреннего аудита, «контроль - любые действия менеджмента, Совета и других сторон по

управлению рисками и повышению вероятности достижения поставленных целей и выполнения задач»16.

Внутренний аудит должен заниматься эффективностью процессов управления рисками и способствовать их совершенствованию. По мнению Института внутренних аудиторов, изучается эффективность процессов управления рисками. Оценка рисков производится в отношении корпоративного управления, операционной деятельности и информационных систем. Причем обращает на себя внимание то, что это субъективный процесс, поскольку выводы об эффективности основываются на суждении внутреннего аудитора по вопросам:

• соответствуют ли конкретные задачи целям организации;

• выявляются ли и оцениваются имеющиеся риски;

• применяются ли методы реагирования на риски, удерживающие риски в пределах риск-аппетита организации;

• организован ли сбор, обобщение и передача информации о рисках внутри организации для реагирования и контроля.

В то же время, хочется пожелать разработчикам и последователям управленческих методик, подобных COSO, быть прагматичными, имея в виду, что практические действия ложатся на обычных сотрудников соответствующих служб, которые не всегда являются сведущими по сравнению с руководителями конкретных процессов и первым руководящим лицом -директором. Сбор информации о рисках и их учет в режиме простой фиксации, мониторинга и т.п., разработка процедур реагирования на риск, если все это излишне формализировать, будут обладать теми же недостатками, какие присущи любой учетной системе, например, бухгалтерской, которую обвиняют в неоперативности. Думается, что в риск-менеджменте на уровне процессов будет наблюдаться лучшее прогнозирование и реагирование на риски. Контроль за эффективностью, в том числе работы с рисками, следует отдать руководителю или контрольному подразделению, если речь идет о крупных экономических субъектах.

16 Международные профессиональные стандарты внутреннего аудита. URL: http://www.iia-ru.ru/files/documents_open/Standards%20rus%202015%20IIA %2012082015.pdf

Таблица 1

Определения рисков в различных регламентирующих документах

Table 1

Identification of risks in different regulatory documents

№ п/п Определение Источник

1 Влияние неопределенности на цели организации определяется как риск Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент -принципы и руководство», 2009

2 Риск - это комбинация вероятности события и его последствий «Стандарты управления рисками», Федерация европейских ассоциаций риск менеджеров (FERMA), 2002

3 События, влияние которых является отрицательным, представляют собой риски, которые мешают созданию или ведут к снижению стоимости «Управление рисками организаций. Интегрированная модель» COSO, 2004

4 Риск - влияние неопределенности на цели организации ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», 2010

5 Риск - возможность наступления какого-либо события, которое может оказать влияние на достижение целей Международные профессиональные стандарты внутреннего аудита

Источник: составлено автором

Source: Authoring

Таблица 2

Анализ оценок последствий риска в различных регламентирующих документах

Table 2

Analysis of risk impact assessment in different regulatory documents

№ п/п Определение Источник

1 Влияние рассматривается как отклонение от ожидаемого -с позитивными или негативными последствиями Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент -принципы и руководство», 2009

2 Влияние - это отклонение от того, что ожидается (положительное и/или отрицательное) ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», 2010

3 Любые действия приводят к событиям и последствиям, которые могут представлять собой как потенциальные «положительные» возможности, так и «опасности» для организации «Стандарты управления рисками», Федерация европейских ассоциаций риск-менеджеров (FERMA)

4 В настоящее время риск-менеджмент включает в себя понятия положительного и негативного аспектов риска. Стандарты управления рисками, соответственно, рассматривают риск с этих позиций

5 События, влияние которых является отрицательным, представляют собой риски, которые мешают созданию или ведут к снижению стоимости. События, влияние которых является положительным, могут компенсировать отрицательное влияние рисков, а также могут положительно влиять на достижение результата «Управление рисками организаций. Интегрированная модель» COSO, 2004

6 Риск измеряется путем оценки последствий и вероятности наступления события Международные профессиональные стандарты внутреннего аудита

Источник: составлено автором Source: Authoring

Таблица 3

Сравнительный анализ элементов риск-менеджмента в различных моделях управления рисками

Table 3

A comparative analysis of the risk management elements in various risk management models

№ п/п Основные элементы риск-менеджмента Модель управления рисками

1 1. Поручения и обязательства. 2. Разработка системы риск-менеджмента. 3. Применение риск-менеджмента на практике. 4. Мониторинг и оценка концепции риск-менеджмента. 5. Постоянное улучшение концепции Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент -принципы и руководство», 2009

2 1. Планирование и организация. 2. Схема инфраструктуры риск-менеджмента. 3. Применение риск-менеджмента. 4. Мониторинг и анализ инфраструктуры. 5. Постоянное улучшение инфраструктуры ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», 2010

3 1. Стратегические цели. 2. Оценка рисков (анализ; качественная и количественная оценка). 3. Отчет о рисках (угрозы и предостережения). 4. Принятие решения. 5. Мероприятия по управлению рисками. 6. Повторный отчет о рисках. 7. Мониторинг «Стандарты управления рисками», Федерация европейских ассоциаций риск-менеджеров (FERMA)

5 1. Внутренняя среда. 2. Постановка целей. 3. Определение событий. 4. Оценка рисков. 5. Реагирование на риск. 6. Средства контроля. 7. Информация и коммуникация. 8. Мониторинг «Управление рисками организаций. Интегрированная модель» COSO, 2004

6 1. Выявление. 2. Оценка. 3. Управление. 4. Контроль возможных событий или ситуаций Международные профессиональные стандарты внутреннего аудита

Источник: составлено автором Source: Authoring

Рисунок 1

Сопоставление компонентов СВК и риск-менеджмента Figure 1

A comparison of the components of ICS and risk management

Источник: составлено автором на основе документов COSO: Внутренний контроль. Интегрированная модель. Управление рисками организаций. Интегрированная модель (ERM)

Source: Authoring, based on the COSO documents on Internal Control-Integrated Framework and Enterprise Risk Management-Integrated Framework

Список литературы

1. Белоусова Л.В. Индекс развития государственного регулирования риск-менеджмента и программа поддержки развития государственного регулирования риск-менеджмента // Проблемы анализа рисков. 2011. Т. 8. № 4. С. 7.

2. Рогов М. Конвергенция финансового риск-менеджмента (FRM) и риск-менеджмента организаций (ERM) // Проблемы анализа рисков. 2013. Т. 10. № 1. С. 64-77.

3. Севернюк Э.Б. Риск-менеджмент в новой системе координат // Проблемы анализа рисков. 2014. Т. 11. № 2. С. 88-90.

4. Остудина Т.В. Совершенствование системы управления рисками через создание интегрированной системы банковского риск-менеджмента // Вестник Волжского университета им. В.Н. Татищева. 2014. № 1(30). С. 133-140.

5. Maas K., Schaltegger S., Crutzen N. Integrating Corporate Sustainability Assessment, Management Accounting, Control, and Reporting. Journal of Cleaner Production, 2016, vol. 136, part A, pp. 237-248.

6. Raja Adzrin Raja A., Norhidayah A., Nur Erma Suryani Mohd J., Normah O. Board Characteristics and Risk Management and Internal Control Disclosure Level: Evidence from Malaysia. International Accounting and Business Conference 2015, IABC 2015. Procedia Economics and Finance, 2015, no. 31, pp. 601-610. doi: 10.1016/S2212-5671(15)01147-8

7. Усенко О.И. Риск-менеджмент в сфере государственного финансового контроля // Международный научно-исследовательский журнал. 2014. № 1-3(20). С. 77-79.

8. Порфирьева А.В., Серебрякова Т.Ю. Внутренний контроль: методология сквозного контроля автономных учреждений. М.: ИНФРА-М, 2013. 152 с.

9. Веронская М.В. Учет и анализ неопределенностей и рисков при экономических прогнозах и принятии экономических решений // Вестник гражданских инженеров. 2014. № 6(47). С. 231-235.

10. Кузьмин Е.А. Концептуальные подходы к управлению рисками сложных организационно-экономических систем: систематизация и критический анализ // Вестник ЮРГТУ(НПИ). 2013. № 2. С. 170-182.

11. Краснов И.З., Карелин О.И. Методика анализа и оценки рисков организации // Вестник СибГАУ. 2014. № 2(54). С. 37-44.

12. Лисанов М.В. Ошибки нормирования количественных критериев допустимого риска // Методы оценки соответствия. 2009. № 9. С. 41-43.

13. Aven Terje. Risk Assessment and Risk Management: Review of Recent Advances on Their Foundation. European Journal of Operational Research, 2016, vol. 253, iss. 1, pp. 1-13. doi: 10.1016/j.ejor.2015.12.023

14. Torabi S.A., Giahi R., Sahebjamnia N. An Enhanced Risk Assessment Framework for Business Continuity Management Systems. Safety Science, 2016, vol. 89, pp. 201-218.

15. Althaus C.E. A Disciplinary Perspective on the Epistemological Status of Risk. Risk Analysis, 2005, vol. 25, iss. 3, pp. 567-588. URL: http://works.bepress.com/catherine_althaus/3/.

16. Львова М.В., Воскресенская Н.В. Концептуальные основы управления рисками в системе внутреннего контроля хозяйствующих субъектов // Современные проблемы науки и образования. 2013. № 6. С. 501. URL: https://urlid.ru/azgm.

17. Деревяшкин С.А. Особенности оценки рисков и их последствий в бухгалтерском учете // Инновационное развитие экономики. 2011. № 1. С. 27-31.

18. Толстова А.С. К вопросу о рисках в бухгалтерском учете // Экономические науки. 2009. № 11(60). С.321-324.

19. Серебрякова Т.Ю. Концептуальные модели внутреннего контроля: монография. Saarbrücken: Palmarium Academic Publishing, 2012. 83 c.

20. Серебрякова Т.Ю. Теория и методология сквозного внутреннего контроля: монография. М.: ИНФРА-М, 2012. 328 с.

Информация о конфликте интересов

Я, автор данной статьи, со всей ответственностью заявляю о частичном и полном отсутствии фактического или потенциального конфликта интересов с какой бы то ни было третьей стороной, который может возникнуть вследствие публикации данной статьи. Настоящее заявление относится к проведению научной работы, сбору и обработке данных, написанию и подготовке статьи, принятию решения о публикации рукописи.

ISSN 2311-9381 (Online) Managerial Accounting

ISSN 2073-5081 (Print)

ENTERPRISE RISK MANAGEMENT: A METHODOLOGICAL ASPECT Tat'yana Yu. SEREBRYAKOVA

Cheboksary Institute of Cooperation, Branch of Russian University of Cooperation,

Cheboksary, Chuvash Republic, Russian Federation

tserebryakova@rucoop.ru

Article history:

Received 7 November 2016 Received in revised form 1 December 2016 Accepted 7 December 2016 Available online 15 March 2017

JEL classification: M19

Keywords: risks, process, standards, accounting, analysis, control

Abstract

Subject The article considers the existing concepts of risk management and its linkage and interaction with the internal control.

Objectives The article aims to develop approaches to organization of accounting and analysis of risks, determine the position of risk management in the system of management and control. Methods For the study, I used scientific methods of cognition: a systems approach, logical generalization, analysis, synthesis, and hypothesis.

Results Assessment of the available methods of risk management and internal controls (COSO, FERMA, ISO, etc.) shows that the COSO models of internal control and risk management, focused on process risk management and control, describe them most consistently. At the same time, they do not completely take into account the priority of internal control in relation to the risks. There are contradictions in the documents on the question of priority of risk and control. All this can enter into a discussion.

Conclusions and Relevance The study leads to the conclusion of the internal control priority over risk, as a process that is an integral part of management. I propose the idea of risk management belonging to control process only, within which it exists. As well, I conclude that it would be pointless to consider risk management as an independent management system. This conclusion allows considering risks within each of the management process at the level of the head of the process.

© Publishing house FINANCE and CREDIT, 2016

References

1. Belousova L.V. [Development index of State regulation of risk-management and the programme to support public regulation of risk management]. Problemy analiza riskov = Issues of Risk Analysis, 2011, vol. 8, no. 4, p. 7. (In Russ.)

2. Rogov M. [The convergence of financial risk management (FRM) and enterprise risk management (ERM)]. Problemy analiza riskov = Issues of Risk Analysis, 2013, vol. 10, no. 1, pp. 64-77. (In Russ.)

3. Severnyuk E.B. [Risk management in the new coordinate system]. Problemy analiza riskov = Issues of Risk Analysis, 2014, vol. 11, no. 2, pp. 88-90. (In Russ.)

4. Ostudina T.V. [Improvement of the risk management system through the creation of an integrated system of banking risk management]. Vestnik Volzhskogo universiteta im. V.N. Tatishcheva = Vestnik of Volzhsky University n.a. V.N. Tatischev, 2014, no. 1(30), pp. 133-140. (In Russ.)

5. Maas K., Schaltegger S., Crutzen N. Integrating Corporate Sustainability Assessment, Management Accounting, Control, and Reporting. Journal of Cleaner Production, 2016, vol. 136, part A, pp. 237-248.

6. Raja Adzrin Raja A., Norhidayah A., Nur Erma Suryani Mohd J., Normah O. Board Characteristics and Risk Management and Internal Control Disclosure Level: Evidence from Malaysia. International Accounting and Business Conference 2015, IABC 2015. Procedia Economics and Finance, 2015, no. 31, pp. 601-610. doi: 10.1016/S2212-5671(15)01147-8

7. Usenko O.I. [Risk management in the field of public financial control]. Mezhdunarodnyi nauchno-issledovatel'skii zhurnal = International Research Journal, 2014, no. 1-3(20), pp. 77-79. (In Russ.)

8. Porfir'eva A.V., Serebryakova T.Yu. Vnutrennii kontrol': metodologiya skvoznogo kontrolya avtonomnykh uchrezhdenii [Internal control: The methodology of walkthroughs of independent agencies]. Moscow, INFRA-M Publ., 2013, 152 p.

9. Veronskaya M.V. [Accounting and analysis of uncertainties and risks in the economic forecasts and economic decision-making]. Vestnik grazhdanskikh inzhenerov = Bulletin of Civil Engineers, 2014, no. 6(47), pp. 231-235. (In Russ.)

10. Kuz'min E.A. [Conceptual approaches to risk management of complex organizational and economic systems: systematization and critical analysis]. Vestnik YurGTU(NPI) = Bulletin of SRSTU(NPI), 2013, no. 2, pp. 170-182. (In Russ.)

11. Krasnov I.Z., Karelin O.I. [A methodology of enterprise risk analysis and assessment]. Vestnik of SibGAU, 2014, no. 2(54), pp. 37-44. (In Russ.)

12. Lisanov M.V. [Error of normalization of quantitative criteria of acceptable risk]. Metody otsenki sootvetstviya = Production Quality Control, 2009, no. 9, pp. 41-43. (In Russ.)

13. Aven Terje. Risk Assessment and Risk Management: Review of Recent Advances on Their Foundation.

European Journal of Operational Research, 2016, vol. 253, iss. 1, pp. 1-13. doi: 10.1016/j.ejor.2015.12.023

14. Torabi S.A., Giahi R., Sahebjamnia N. An Enhanced Risk Assessment Framework for Business Continuity Management Systems. Safety Science, 2016, vol. 89, pp. 201-218.

15. Althaus C.E. A Disciplinary Perspective on the Epistemological Status of Risk. Risk Analysis, 2005, vol. 25, iss. 3, pp. 567-588. URL: http://works.bepress.com/catherine_althaus/3A

16. L'vova M.V., Voskresenskaya N.V. [Conceptual foundations of risk management in the internal control system of business entities]. Sovremennye problemy nauki i obrazovaniya, 2013, no. 6, p. 501. (In Russ.) Available at: https://urlid.ru/azgm.

17. Derevyashkin S.A. [Features of evaluation of risks and their consequences in the accounting records].

Innovatsionnoe razvitie ekonomiki = Innovative Development of Economy, 2011, no. 1, pp. 27-31. (In Russ.)

18. Tolstova A.S. [To the question of risk in accounting]. Ekonomicheskie nauki = Economic Sciences, 2009, no. 11(60), pp. 321-324. (In Russ.)

19. Serebryakova T.Yu. Kontseptual'nye modeli vnutrennego kontrolya: monografiya [Conceptual models of internal control: a monograph]. Saarbrücken, Palmarium Academic Publishing, 2012, 83 p.

20. Serebryakova T.Yu. Teoriya i metodologiya skvoznogo vnutrennego kontrolya: monografiya [A theory and methodology of walkthrough internal control: a monograph]. Moscow, INFRA-M Publ., 2012, 328 p.

Conflict-of-interest notification

I, the author of this article, bindingly and explicitly declare of the partial and total lack of actual or potential conflict of interest with any other third party whatsoever, which may arise as a result of the publication of this article. This statement relates to the study, data collection and interpretation, writing and preparation of the article, and the decision to submit the manuscript for publication.