Управление рисками организации: методический аспект Текст научной статьи по специальности «Экономика и бизнес»

ISSN 2311-9411 (Online) Проблемы. Мнения. Решения

ISSN 2079-6714 (Print)

УПРАВЛЕНИЕ РИСКАМИ ОРГАНИЗАЦИИ: МЕТОДИЧЕСКИЙ АСПЕКТ* Татьяна Юрьевна СЕРЕБРЯКОВА

доктор экономических наук, профессор, заведующая кафедрой бухгалтерского учета, Чебоксарский кооперативный институт (филиал) Российского университета кооперации, Чебоксары, Российская Федерация

История статьи:

Получена 07.11.2016 Получена в доработанном виде 01.12.2016 Одобрена 07.12.2016

Ключевые слова: риски, процессы, стандарты, учет, анализ, контроль

Аннотация

Тема. Оценка особенностей имеющихся концепций риск-менеджмента и его связей и порядка взаимодействия с внутренним контролем является актуальной темой для исследования ввиду особого внимания к внутреннему контролю и рискам со стороны регламентирующих органов, определяющих требования к финансовой отчетности и отчетности об устойчивом развитии. Цели. Выработка подходов к организации работы с рисками, определение места риск-менеджмента в системе управления и контроля. Методология. В статье использовались общенаучные методы познания: системный подход, логическое обобщение, анализ, синтез и гипотеза. Результаты. Оценка имеющихся методик риск-менеджмента и внутреннего контроля (COSO, FERMA, ISO и др.) показала, что модели внутреннего контроля и риск-менеджмента COSO, сосредоточенные на процессных риск-менеджменте и контроле, описывают их наиболее последовательно. В то же время, в них не вполне учтена первичность внутреннего контроля по отношению к рискам. В документах имеются противоречия по вопросу приоритетности рисков и контроля, что делает возможной дискуссию. Исследование позволило сделать вывод о первичности внутреннего контроля над рисками, как процесса, являющегося неотъемлемой составляющей частью управления. Этот вывод сделан в том числе на основе понимания сути работы с рисками как прогнозной, упреждающей, что исключает возможность контроля в его обычном понимании, в связи с чем контрольные процедуры при риск-менеджменте подменяются аналитическими. Понимание этого позволило выдвинуть идею о принадлежности риск-менеджмента только лишь контрольному процессу, внутри которого он и существует. Выводы. Вывод о нецелесообразности рассмотрения риск-менеджмента в качестве самостоятельной системы управления позволяет рассматривать риски внутри каждого процесса управления на уровне руководителя процесса. Соединение воедино всех знаний о риске может быть поручено отделам внутреннего контроля, аналитическому (поскольку риски можно контролировать с помощью анализа), а также внутреннего аудита, цель которого, согласно стандартам, состоит в контроле за эффективностью риск-менеджмента.

© Издательский дом ФИНАНСЫ и КРЕДИТ, 2016

Риски, их выявление, учет, методы ограничения - данная тема в последнее десятилетие стала весьма актуальной для практического менеджмента, и, соответственно, для теоретиков. В научных изданиях теоретические аспекты учета и оценки рисков изучены не вполне достаточно. Некоторыми исследователями высказывается идея государственного регулирования риск-менеджмента [1].

*Статья публикуется по материалам журнала «Международный бухгалтерский учет». 2017. Т. 20. Вып. 5.

Признавая, что риск-менеджмент дорог для повсеместного внедрения, некоторыми специалистами выдвигается проблема недоступности управления рисками в м ал ых и с р е дн их ор ган из ация х , указывается ее актуальность [2, 3]. Значительное количество публикаций в области управления рисками касается методик риск-менеджмента в банковской и финансовой сферах, что вполне понятно, поскольку эти отрасли являются общественно значимыми и достаточно

публичными, в связи с чем гарантии стабильности через ограничение рисков здесь особенно важны. Этот сектор по указанным причинам наиболее регламентирован в части учета, оценки и анализа различных рисков [2, 4]. В целом, многими исследователями признается, что управление рисками должно регулироваться на государственном уровне даже не в связи с публичностью некоторых отраслей экономики. Это особенно важно в связи с концепцией об устойчивом развитии.

Концепция риск-менеджмента, очевидно, может быть связана с положениями методологии Глобальной инициативы по нефинансовой отчетности (GRI - The Global Reporting Initiative) через оценку достижения целей организации на базе интеграции учета, контроля и отчетности [5, 6]. С другой стороны, можно согласиться с мнением, что обязательность использования стандартов нефинансовой отчетности является одним из показателей развития процессов управления рисками в разных странах [1]. В связи с этим, представляется полезной идея внедрения элементов риск-менеджмента в сферу финансового бюджетного контроля, финансового государственного контроля, что вполне соответствует современным подходам к контролю и использованию методик ограничения рисков в его системе

[7, 8].

Большое количество публикаций связано с апробациями различных методик исследования вероятности событий, анализа рисков, в том числе затрагивающие аппарат категорий. Среди них хочется вы д е л и т ь р а б о т ы , в к о т о р ы х обосновывается определение рисков, как вероятности негативных событий для достижения целей организации, приводится классификация, предлагаются способы встраивания риск-менеджмента в бизнес-процессы, выделения процессов и подпроцессов [9, 10, 11, 12, 13, 14, 15]. Определенное место в исследованиях рисков занимает проблема отражения

рисков в учетных системах. Как правило, предметом изучения специалистов является возможность отражения в бухгалтерском учете количественной составляющей рисков [16, 17, 18].

Исследование рисков, очевидно, вполне уместно связать с контролем, поскольку именно концепции контроля конца XX в. поставили в качестве приоритетной задачу привязки контрольных мероприятий к наиболее рискованным зонам деятельности менеджмента. Именно тогда, в 1992 г., появилась широко используемая методика, известная как «Внутренний контроль. Интегрированная модель», разработанная Комитетом организаций-спонсоров Комиссии Тредвея (COSO)1. Как раз в этой модели в качестве одного из элементов был определен «риск-менеджмент». В развитие этого пункта в 2004 г. появился другой документ Комитета организаций-спонсоров Комиссии Тредвея - «Управление рисками организаций. Интегрированная модель» (COSO ERM)2. Примерно тогда же, в 2002 г., появились «Стандарты управления рисками», сформулированные Федерацией европейских ассоциаций риск-менеджеров (FERMA)3.

Риск-менеджмент специалистами Комитета Трэдвея изначально был определен как часть (элемент) системы внутреннего контроля (СВК). Необходимо отметить, что в 2013 г. документ «Внутренний контроль. Интегрированная модель» претерпел обновление, суть которого, как признают сами разработчики, сводится к улучшениям и уточнениям, направленным на облегчение восприятия и применения. Для этого изменены основные принципы,

1 Internal Control - Integrated Framework. The Committee of Sponsoring Organizations of the Treadway Commission (COSO), New York, AICPA, 1992. URL: http://www.coso.org/IC.htm

2 Управление рисками организации. Интегрированная модель. (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission (COSO). URL: http://www.coso.org/documents/coso_erm_executivesummary _russian.pdf

3 Стандарты управления рисками. Федерация европейских ассоциаций риск-менеджеров. URL: http://www.ferma.eu/app/uploads/2011/11/a-risk-management-

standard-russian-version.pdf

определяющие каждый компонент системы внутреннего контроля (СВК), более подробно изложены основы внутреннего контроля подготовки различного вида отчетности, а также у чтены дополнительные факторы внешней и внутренней экономической среды, произошедшие в мире с 1992 г.

В обновленном документе «Внутренний контроль. Интегрированная модель» говорится о концепции «Управление рисками организации. Интегрированная модель» как о взаимодополняющей, имеющей пересекающиеся области с интегрированной моделью внутреннего контроля.

Взаимосвязь интегрированной модели управления рисками с интегрированной моделью внутреннего контроля выражается в том, что при похожести всех элементов обеих моделей (и риск-менеджмента, и СВК) различия затрагивают элемент СВК под названием «Риск-менеджмент». В модели управления рисками он разбит на четыре компонента, вошедшие в систему управления рисками как самостоятельные4 (рис. 1).

Согласно комментариям разработчиков документа «Управление рисками о р г а н и з а ц и й . Интегрированная модель» внутренний контроль является частью системы управления рисками, что вполне логично. Управления без внутреннего контроля не существует. И если исходить из того, что управление рисками - это концептуальная управленческая модель, то все встает на свои места. Действительно, внутри процесса управления рисками присутствует внутренний контроль, являющийся частью процесса. Если же рассматривать обе концепции в совокупности, то это - довольно спорное утверждение, учитывая, что риск-менеджмент сам по себе является элементом системы внутреннего контроля и

4 Управление рисками организации. Интегрированная модель. (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission (COSO). URL: http://www.coso.org/documents/coso_erm_executivesummary _russian.pdf

одновременно процессом, нуждающимся в контроле со стороны управленцев более высокого уровня или службы внутреннего контроля. Рассмотрим более подробно имеющиеся подходы к идентификации и управлению рисками.

При изучении рисков нельзя обойти вниманием и другие концептуальные документы (помимо стандартов FERMA и COSO), разработанные международными и российскими профессиональными организациями, а именно:

• Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент -принципы и руководство», 20 095;

• ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», 20 1 06;

• Международные профессиональные стандарты внутреннего аудита';

• Информация Министерства финансов РФ ПЗ-9/2012 «О раскрытии информации о рисках хозяйственной деятельности организаций в годовой финансовой отчетности»8;

• Указание Банка России от 15.04.2015 № 3624-У «Требования к организации процедур управления отдельными видами рисков»9.

5 Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент - принципы и руководство». URL: http://www.pqm-online.com/assets/files/lib/std/iso_31000-2009(r).pdf

6 ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство». URL: http://docs.cntd.ru/document/gost-r-iso-31000-2010

7 Международные профессиональные стандарты внутреннего аудита. URL: http://www.iia-ru.ru/files/documents_open/Standards%20rus %202015%20IIA%2012082015.pdf

8 Информация Министерства финансов РФ ПЗ-9/2012 «О раскрытии информации о рисках хозяйственной деятельности организаций в годовой финансовой отчетности». URL:

http://www.consultant.ru/cons/cgi/online.cgi? req=doc&base=LAW&n= 135436&fld= 134&dst= 1000000001, 0&rnd=0.8023301337235467#0

9 Указание Банка России от 15.04.2015 № 3624-У «Требования к организации процедур управления отдельными видами рисков». URL: http://www.consultant.ru/document/cons_doc_LAW_180268/

Как видим, имеется достаточное количество методических документов в области управления рисками. Каждый из них, как минимум, содержит определение рисков, классификацию, набор элементов и методику работы с ними. Определения рисков в целом совпадают, что отражает табл. 1.

Риски возникают и рассматриваются не сами по себе. Они - следствие различных событий, происходящих или предполагаемых, в связи с осуществлением экономической деятельности организаций. В теории рисков, как и в менеджменте, принято оперировать термином «цели организации». Деятельность всегда связана с достижением поставленных целей. Экономическая деятельность организации в этом контексте направлена на достижение определенных экономических целей (показателей). Естественно, такие цели разбиваются на множество подцелей, задач, направлений, по уровням управления и т.п., что, в конечном итоге, и определит конкретные действия менеджмента по их достижению.

В ходе реализации планов по достижению целей управление постоянно сталкивается не только с самими событиями, но, главным образом, с их последствиями. Определение рисков не вполне достаточно рассматривать в отрыве от того, как стандарты классифицируют последствия событий при определении риска. Точки зрения представлены в табл. 2.

Обе таблицы (1 и 2) показывают практическую идентичность взглядов о том, что риски возникают как в связи с положительными, так и в связи с отрицательными событиями. И только концепция COSO их рассматривает исключительно как отклик на события с негативными последствиями. При этом события с позитивными воздействиями на организацию учитываются для нивелирования рисков. Очевидно, именно эти различия сказались на определении риска, который, согласно COSO, рассматривается только с позиций отрицательных последствий многочисленных

событий. Данная точка зрения, по нашему мнению, соответствует смыслу слова «риск». Положительные последствия событий, по нашему мнению, могут рассматриваться в риск-менеджменте не как риск, а как возможные направления нивелирования риска.

Интересно в связи с этими наблюдениями пр оследить наполнение моделей управления рисками различными компонентами. Обобщение этих данных представлено в табл. 3.

Обращает на себя внимание то обстоятельство, что ИСО и, соответственно, ГОСТ на его основе, выстраивают управление рисками в виде набора и последовательности определенных действий, направленных на организацию управленческих действий (не процессов). Видится, что это характеризует подход сверху, с позиций общего управления. Непосредственно процессный риск-менеджмент содержится в одном из этапов этой модели, названном «Разработка системы риск-менеджмента» (табл. 3), в то время, как все остальные концепции содержат набор процессов, описывающих, каким образом управлять рисками, что отражает взгляд на управление изнутри. По мнению автора этой статьи, в первом случае элементы выстроены для целей внешнего (надпроцессного) управления и контроля, а во втором случае -для внутрипроцессного (встроенного) управления и контроля [19].

Следует оговориться, что ИСО и ГОСТ-Р, описывая элемент под номером 2. «Разработка системы риск-менеджмента» (для ГОСТа - «Схема инфраструктуры риск-менеджмента») (табл. 3), включает следующие внутрипроцессные элементы риск-менеджмента, которые в большей или меньшей степени детализации повторяют COSO и FERMA:

• понимание организации и контекста, в котором она функционирует;

• установление политики риск-менеджмента;

• отчетность;

• интеграция в процессы организации;

• ресурсы;

• установление внутренней коммуникации и механизма отчетности;

• установление внешней коммуникации и механизма отчетности.

При этом принципиальное отличие, на наш взгляд, заключается в том, что такой элемент, как мониторинг, характерный для всех концепций, в ИСО и ГОСТе вынесен за пределы внутрипроцессного управления и поставлен, по сути, над процессом управления рисками. Является ли это логичным? Для понимания этого следует вспомнить, что имеется в виду под мониторингом. Если постоянная идентификация, оценка и анализ выявленных рисков и субрисков в целях их корректировки и оценки угроз, то он должен быть внутри риск-менеджмента, если мониторинг рассматривать как способ контроля за эффективностью риск-менеджмента, то это - надпроцессный элемент и он должен быть отнесен к управлению в целом.

В ГОСТ-Р 31000:2010 именно такое значение и придается мониторингу: «Чтобы гарантировать, что риск-менеджмент является эффективным и продолжает поддерживать деятельность организации, организация периодически должна:

• оценивать качество риск-менеджмента с помощью индикаторов, которые пересматриваются для сохранения актуальности;

• сравнивать продвижение с планом по менеджменту риска и определять отклонения от него;

• пересматривать инфраструктуру, политику и план менеджмента риска для обеспечения их адекватности в рамках внутреннего и внешнего контекста организации;

• оценивать эффективность инфраструктуры риск-менеджмента»10.

Однако, и в FERMA, где мониторинг показан элементом процессного управления, ему придается подобное значение -контроль за эффективностью управления рисками: «Эффективность управления рисками зависит от способов (методов) контроля и своевременного оповещения обо всех изменениях в программе управления рисками организации»11. И только модель COSO вполне последовательно для процессного управления под мониторингом понимает: «Весь процесс управления рисками организации отслеживается и по н е о бход им о с ти кор р е кти р у е тс я . Мониторинг осуществляется в рамках текущей деятельности руководства или

путем проведения периодических

12

оценок»12.

Мониторинг, как метод контроля, как раз заключается в периодическом контроле за изменениями определенных показателей с целью выявления негативных данных для последующего применения к ним других контрольных процедур. Другими словами, мониторинг - это разновидность наблюдения. Все последующие действия, которые указаны в ИСО и FERMA, представляют уже не мониторинг, а аналитические процедуры, которые предлагаются к использованию в качестве контрольных [20].

Как видим, с научно-методической точки зрения из всех только концепция COSO имеет наиболее последовательный и логичный вид.

10 ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство». URL: http://docs.cntd.ru/document/gost-r-iso-31000-2010

11 Стандарты управления рисками. Федерация европейских ассоциаций риск-менеджеров. URL: http://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-russian-version. pdf

12 Управление рисками организации. Интегрированная модель. (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission (COSO). URL: http://www.coso.org/documents/coso_ERM_ExecutiveSumma ry_Russian.pdf

Под риск-менеджментом понимаются, согласно отечественному ГОСТу-Р 310002010, скоординированные действия по управлению организацией с учетом риска. Кроме того, в нем сказано, что «инфраструктура менеджмента риска встроена во всю стратегическую и операционную политику и практику организации». Процесс менеджмента риска (risk management process) - это систематическое применение политики, процедур и практики менеджмента к деятельности по обмену информацией, консультированию, установлению ситуации (контекста) и идентификации, анализу, оцениванию, воздействию на риск, мониторингу и пересмотру риска. «Риск-менеджмент способствует очевидному достижению целей и улучшению показателей»13. Аналогичные положения содержатся и в отечественном ГОСТ-Р 31000-2010.

В отличие от указанных документов, в COSO под управлением рисками понимается нечто иное: «...это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен р и с к - а п п е т и т о р г а н и з а ц и и и предоставлялась разумная гарантия

14

достижения целей организации»14.

Приведенные определения и цели моделей ИСО и COSO еще раз иллюстрируют различный подход к управлению рисками. Европейская модель FERMA определяет риск-менеджмент в качестве процесса,

13 Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент - принципы и руководство». URL: http://www.pqm-online.com/assets/files/lib/std/iso_31000-2009(r).pdf

14 Управление рисками организации. Интегрированная модель. (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission (COSO). URL: http://www.coso.org/documents/coso_erm_executivesummary _russian.pdf

следуя которому организация системно анализирует риски деятельности с целью максимальной эффективности каждого шага и всей деятельности в целом. При этом целью риск-менеджмента объявляется достижение максимально большой стоимости организации, что можно рассматривать как развитие естественной цели любой коммерческой организации - получение максимально возможной прибыли. По нашему мнению, FERMA, по сути, повторяет характеристику COSO, но из этого определения следует более четкое указание на то, что работа с рисками осуществляется одновременно с управлением. Это очень верная деталь в определении, которая, впрочем, никак не отражается в построении концепции FERMA.

Таким образом, из имеющихся методик работы с рисками, предпочтение следует отдать модели COSO, как наиболее полно и последовательно раскрывающей принципы и конкретные процедуры п р о ц е с с а р и с к - м е н е д ж м е н т а . Неоспоримым преимуществом COSO является комплексный подход к работе с рисками и к организации внутреннего контроля, поскольку Комитетом организаций-спонсоров Комиссии Тредвея, как было указано в начале статьи, созданы два документа, взаимосвязанные, построенные на единой методологической основе: «Внутренний контроль. Интегрированная модель»; «Управление рисками организаций. Интегрированная модель».

Недостатком этих документов и, соответственно, методик, является некоторая противоречивость по вопросу первичности управления рисками или внутреннего контроля. Эта проблема была затронута в самом начале статьи. Рассмотрим ее более подробно.

По сути, вопрос сводится к пониманию взаимосвязей между рисками и внутренним контролем. На рис. 1 представлены обе модели. Концепция

COSO разработана именно для построения процессного контроля. Контроль -неразрывная часть управления, без которой управление не просто теряет смысл, но и невозможно. Плохой или хороший, достаточный или не вполне, уместный или нет, но контрольные процедуры идут рука об руку с управлением. Поэтому, когда мы рассматриваем управление рисками, то конечно, такое управление, как и всякое другое, сопряжено с контролем. Разбив управление рисками на процессы, в каждом из них следует организовать контроль по модели COSO.

Но тогда управление рисками должно быть описано с позиций организации управления в целом, и только выделяются такие его этапы: идентификация, оценка, анализ, отчет, ограничивающие мероприятия и уход на новый круг управления. При таком или примерно таком наборе процессов управления представляется возможным организовать процессный контроль согласно COSO. Авторы COSO ERM попытались с о в м е с т и т ь н е с о в м е с т и м о е . Проанализируем, что означает словосочетание «управление рисками»? Сами по себе риски, как понимают это практически все, - вероятность того, что некие события помешают достижению целей. По нашему мнению, эти события, конечно же, негативной направленности.

Таким образом, управление вероятностью возникновения неблагоприятных событий, осложняющих достижение цели - вот суть риск-менеджмента.

Такая задача, во-первых, носит упреждающий характер, а значит, связана с неким прогнозом. Контрольные действия по определению возможны лишь после регистрации результата управленческого решения при сравнении достигнутого с запланированным. Во-вторых, достигнутый результат при управлении рисками не с чем сравнить. Поэтому процессный контроль при риск-менеджменте невозможен. Правда,

разработчики риск-менеджмента как один из процессов выделяют «средства контроля», под которыми понимают функционирование «политики и процедур, обеспечивающих «разумную» гарантию эффективного исполнения выбранных действий по реагированию на риск»15.

Средства контроля, которые разработчики включили в стандарт, это полностью доказывает. В COSO ERM указаны следующие средства контроля:

• обзоры высшего руководства;

• прямое управление функцией или деятельностью;

• обработка информации;

• физические средства контроля;

• показатели деятельности;

• распределение обязанностей.

Как следует из перечня, только два из них непосредственно связаны с контролем. Остальные нельзя отнести к средствам контроля. Например, под таким средством контроля как «показатели деятельности» подразумевается: соотнесение различных видов данных (операционных или финансовых) друг с другом, анализ взаимосвязей, проведение расследований и устранение недостатков... Путем изучения непредвиденных результатов или необычных тенденций руководство выявляет случаи, в которых недостаток ресурсов для выполнения ключевых процессов может снизить вероятность достижения целей». Интересно окончание характеристики этого средства контроля: «То, каким образом менеджеры используют данную информацию - только для принятия решений по хозяйственной деятельности или, помимо этого, для отслеживания н ез апланир о ванных р ез ультатов , представленных в системах составления

15 Управление рисками организации. Интегрированная модель. (COSO ERM). Committee of Sponsoring Organizations of the Treadway Commission (COSO) http://www.coso.org/documents/coso_ERM_ExecutiveSumma ry_Russian.pdf

отчетности - определяет сферу применения анализа показателей деятельности: только в производственных целях или также в целях контроля за достоверностью отчетности». Таким образом, разработчики концепции управления рисками организации COSO ERM считают экономический анализ средством контроля.

Посмотрим на проблему с другой стороны, имея в виду работу с рисками при внутреннем контроле. Задачи внутреннего контроля идентичны задачам риск-менеджмента - способствовать реализации целей организации, предотвращая негативные явления, в том числе прогнозируемые.

Не случайно в системе внутреннего контроля выделяется отдельный блок по работе с рисками. Принято считать, что это риски средств контроля. Возможно, это и так. Однако в предисловии к изданию COSO ERM сказано: «Этот документ не заменяет «Концептуальные основы внутреннего контроля», а, скорее, включает их в качестве составной части. Поэтому компании могут принять решение использовать данный документ как в целях решения задач по внутреннему контролю, так и для перехода к более широкому процессу управления рисками». Думается, что это не вполне логично. Более понятно было бы, если блок «оценка рисков» в интегрированной модели внутреннего контроля был расширен за счет включения вместо этого целиком всей модели управления рисками.

И, наконец, третий момент. Несмотря на то, что COSO ERM представляет собой модель управления как стратегическими, так и операционными рисками, считаем, что изначально работа с рисками имеет прогнозный характер. В связи с этим, управление рисками как самостоятельная модель не может быть воспринята. Оценка и учет рисков - это обычная деятельность менеджмента применительно к должностным обязанностям каждого. А сам риск - не вполне объективная и постоянная величина для системного

отслеживания, особенно на пути достижения максимальной стоимости организации.

Нами сознательно не используются термины «учет» и «контроль», поскольку при работе с рисками это не вполне уместно в их буквальном смысле. Контролировать прогнозные данные обычно начинают в процессе их достижения, чтобы понять, насколько велико отставание полученных результатов от желаемых. Это если организация с тр е м и т с я д о с ти гну ть прогнозируемое событие. А как же осуществить контроль того, что, наоборот, не должны получить? Следуя подобной логике, объектом контроля будут все те же показатели экономической стоимости, прибыли и т.п., только со знаком минус.

Таким образом, можно контролировать количественный риск, да и то только стратегический, используя при этом методы экономического анализа. Однако, риски могут иметь количественную составляющую и в других областях, не связанных с недостижением экономических или финансовых показателей деятельности. Элемент контроля по ним возникает только в случае свершившегося неблагоприятного факта. Но ведь в таком случае как раз и можно говорить об отсутствии контроля за рисками или о недостаточно эффективном контроле. И наоборот, если риск не оправдался, и событие не наступило, как его контролировать?

Думается, что более разумный подход при организации управления рисками заключается в интегрировании его элементов в само управление по всей иер ар хии. При э том излишняя формализованность этой стороны управления будет вредить самому управлению. Риски недостижения определенных плановых показателей нужно оставить анализу и аналитикам, и развивать в связи с этим не внутрипроцессный анализ (по версии COSO - оценку и реагирование на риск, по версии ИСО - оценку и анализ рисков), а полноценную аналитическую

работу специальными отделами.

В настоящее время наблюдается перекос аналитической деятельности соответствующих отделов организаций в сторону финансового анализа. Это не вполне оправдано.

На наш взгляд, необходимо придать аналитической работе статус, аналогичный статусу подразделений по работе с рисками, предусмотренный COSO. И двигаться в направлении развития системы экономических показателей стратегических и оперативных целей организации и анализа не только степени их достижения, но и рисков их недостижения в зависимости от факторов. Что касается всех остальных прогнозируемых рисков, чаще всего не финансового характера, то достаточно иметь карту собственных рисков каждому руководителю отдела и поддерживать ее ведение для собственных знаний о рисках, для их осознания в процессе систематизации.

В крупных организациях рисками все же целесообразно заниматься отделу внутреннего контроля, поскольку именно у контроля есть объективное основание заниматься проблемами недостижения заявленных целей или антицелей, каковыми выступают риски организации. Формой контроля, одной из задач которой является оценка эффективности управления рисками, служит внутренний аудит. Согласно глоссарию стандартов внутреннего аудита, «контроль - любые действия менеджмента, Совета и других сторон по управлению рисками и повышению вероятности достижения поставленных целей и выполнения задач»16.

Внутренний аудит должен заниматься эффективностью процессов управления р ис ками и с п о с о б ств ов ать их совершенствованию. По мнению Института внутренних аудиторов, изучается эффективность процессов управления

16 Международные профессиональные стандарты внутреннего аудита. URL: http://www.iia-ru.ru/files/documents_open/Standards%20rus %202015%20ILA%2012082015.pdf

рисками. Оценка рисков производится в отношении корпоративного управления, операционной деятельности и информационных систем. Причем обращает на себя внимание то, что это субъективный процесс, поскольку выводы об эффективности основываются на суждении внутреннего аудитора по вопросам:

• соответствуют ли конкретные задачи целям организации;

• выявляются ли и оцениваются имеющиеся риски;

• применяются ли методы реагирования на риски, удерживающие риски в пределах риск-аппетита организации;

• организован ли сбор, обобщение и передача информации о рисках внутри организации для реагирования и контроля.

В то же время хочется пожелать разработчикам и последователям управленческих методик, подобных COSO, быть прагматичными, имея в виду, что практические действия ложатся на обычных сотрудников соответствующих служб, которые не всегда являются сведущими по сравнению с руководителями конкретных процессов и первым руководящим лицом - директором. Сбор информации о рисках и их учет в режиме простой фиксации, мониторинга и т.п., разработка процедур реагирования на риск, если все это излишне формализировать, будут обладать теми же недостатками, какие присущи любой учетной системе, например, бухгалтерской, которую обвиняют в неоперативности. Думается, что в риск-менеджменте на уровне процессов будет наблюдаться лучшее прогнозирование и реагирование на риски. Контроль за эффективностью, в том числе работы с рисками, следует отдать руководителю или контрольному подразделению, если речь идет о крупных экономических субъектах.

Таблица 1

Определения рисков в различных регламентирующих документах

№ п/п Определение Источник

1 Влияние неопределенности на цели организации определяется как риск Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент -принципы и руководство», 2009

2 Риск - это комбинация вероятности события и его последствий «Стандарты управления рисками», Федерация европейских ассоциаций риск менеджеров (FERMA), 2002

3 События, влияние которых является отрицательным, представляют собой риски, которые мешают созданию или ведут к снижению стоимости «Управление рисками организаций. Интегрированная модель» COSO, 2004

4 Риск - влияние неопределенности на цели организации ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», 2010

5 Риск - возможность наступления какого-либо события, которое может оказать влияние на достижение целей Международные профессиональные стандарты внутреннего аудита

Источник: составлено автором

Таблица 2

Анализ оценок последствий риска в различных регламентирующих документах

№ п/п Определение Источник

1 Влияние рассматривается как отклонение от ожидаемого -с позитивными или негативными последствиями Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент - принципы и руководство», 2009

2 Влияние - это отклонение от того, что ожидается (положительное и/или отрицательное) ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», 2010

3 Любые действия приводят к событиям и последствиям, которые могут представлять собой как потенциальные «положительные» возможности, так и «опасности» для организации «Стандарты управления рисками», Федерация европейских ассоциаций риск-менеджеров (FERMA)

4 В настоящее время риск-менеджмент включает в себя понятия положительного и негативного аспектов риска. Стандарты управления рисками, соответственно, рассматривают риск с этих позиций

5 События, влияние которых является отрицательным, представляют собой риски, которые мешают созданию или ведут к снижению стоимости. События, влияние которых является положительным, могут компенсировать отрицательное влияние рисков, а также могут положительно влиять на достижение результата «Управление рисками организаций. Интегрированная модель» COSO, 2004

6 Риск измеряется путем оценки последствий и вероятности наступления события Международные профессиональные стандарты внутреннего аудита

Источник: составлено автором

Таблица 3

Сравнительный анализ элементов риск-менеджмента в различных моделях управления рисками

№ п/п Основные элементы риск-менеджмента Модель управления рисками

1 1. Поручения и обязательства. 2. Разработка системы риск-менеджмента. 3. Применение риск-менеджмента на практике. 4. Мониторинг и оценка концепции риск-менеджмента. 5. Постоянное улучшение концепции Международный стандарт ИСО (ISO) 31000:2009 «Риск-менеджмент - принципы и руководство», 2009

2 1. Планирование и организация. 2. Схема инфраструктуры риск-менеджмента. 3. Применение риск-менеджмента. 4. Мониторинг и анализ инфраструктуры. 5. Постоянное улучшение инфраструктуры ГОСТ-Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», 2010

3 1. Стратегические цели. 2. Оценка рисков (анализ; качественная и количественная оценка). 3. Отчет о рисках (угрозы и предостережения). 4. Принятие решения. 5. Мероприятия по управлению рисками. 6. Повторный отчет о рисках. 7. Мониторинг «Стандарты управления рисками», Федерация европейских ассоциаций риск-менеджеров (FERMA)

5 1. Внутренняя среда. 2. Постановка целей. 3. Определение событий. 4. Оценка рисков. 5. Реагирование на риск. 6. Средства контроля. 7. Информация и коммуникация. 8. Мониторинг «Управление рисками организаций. Интегрированная модель» COSO, 2004

6 1. Выявление. 2. Оценка. 3. Управление. 4. Контроль возможных событий или ситуаций Международные профессиональные стандарты внутреннего аудита

Источник: составлено автором

Рисунок 1

Сопоставление компонентов СВК и риск-менеджмента

Источник: составлено автором на основе документов COSO: Внутренний контроль. Интегрированная модель. Управление рисками организаций. Интегрированная модель (ERM)

Список литературы

1. Белоусова Л.В. Индекс развития государственного регулирования риск-менеджмента и программа поддержки развития государственного регулирования риск-менеджмента // Проблемы анализа рисков. 2011. Т. 8. № 4. С. 7.

2. Рогов М. Конвергенция финансового риск-менеджмента (FRM) и риск-менеджмента организаций (ERM) // Проблемы анализа рисков. 2013. Т. 10. № 1. С. 64-77.

3. Севернюк Э.Б. Риск-менеджмент в новой системе координат // Проблемы анализа рисков. 2014. Т. 11. № 2. С. 88-90.

4. Остудина Т.В. Совершенствование системы управления рисками через создание интегрированной системы банковского риск-менеджмента // Вестник Волжского университета им. В.Н. Татищева. 2014. № 1. С. 133-140.

5. Maas K., Schaltegger S., Crutzen N. Integrating Corporate Sustainability Assessment, Management Accounting, Control, and Reporting. Journal of Cleaner Production, 2016, vol. 136, part A, pp. 237-248.

6. Raja Adzrin Raja A., Norhidayah A., Nur Erma Suryani Mohd J., Normah O. Board Characteristics and Risk Management and Internal Control Disclosure Level: Evidence from Malaysia. International Accounting and Business Conference 2015, IABC 2015. Procedia Economics and Finance, 2015, no. 31, pp. 601-610. doi: 10.1016/S2212-5671(15)01147-8

7. Усенко О.И. Риск-менеджмент в сфере государственного финансового контроля // Международный научно-исследовательский журнал. 2014. № 1-3. С. 77-79.

8. Порфирьева А.В., Серебрякова Т.Ю. Внутренний контроль: методология сквозного контроля автономных учреждений. М.: ИНФРА-М, 2013. 152 с.

9. Веронская М.В. Учет и анализ неопределенностей и рисков при экономических прогнозах и принятии экономических решений // Вестник гражданских инженеров. 2014. № 6. С. 231-235.

10. Кузьмин Е.А. Концептуальные подходы к управлению рисками сложных организационно-экономических систем: систематизация и критический анализ // Вестник ЮРГТУ(НПИ). 2013. № 2. С. 170-182.

11. Краснов И.З., Карелин О.И. Методика анализа и оценки рисков организации // Вестник СибГАУ. 2014. № 2. С. 37-44.

12. Лисанов М.В. Ошибки нормирования количественных критериев допустимого риска // Методы оценки соответствия. 2009. № 9. С. 41-43.

13. Aven Terje. Risk Assessment and Risk Management: Review of Recent Advances on Their Foundation. European Journal of Operational Research, 2016, vol. 253, iss. 1, pp. 1-13. doi: 10.1016/j.ejor.2015.12.023

14. Torabi S.A., Giahi R., Sahebjamnia N. An Enhanced Risk Assessment Framework

for Business Continuity Management Systems. Safety Science, 2016, vol. 89, pp. 201-218.

15. Althaus C.E. A Disciplinary Perspective on the Epistemological Status of Risk. Risk Analysis, 2005, vol. 25, iss. 3, pp. 567-588. URL: http://works.bepress.com/catherine_althaus/3/.

16. Львова М.В., Воскресенская Н.В. Концептуальные основы управления рисками

в системе внутреннего контроля хозяйствующих субъектов // Современные проблемы науки и образования. 2013. № 6. С. 501. URL: https://urlid.ru/azgm.

17. Деревяшкин С.А. Особенности оценки рисков и их последствий в бухгалтерском учете // Инновационное развитие экономики. 2011. № 1. С. 27-31.

18. ТолстоваА.С. К вопросу о рисках в бухгалтерском учете // Экономические науки. 2009. № 11. С. 321-324.

19. Серебрякова Т.Ю. Концептуальные модели внутреннего контроля: монография. Saarbrücken: Palmarium Academic Publishing, 2012. 83 c.

20. Серебрякова Т.Ю. Теория и методология сквозного внутреннего контроля: монография. М.: ИНФРА-М, 2012. 328 с.