АУДИТ, КОНТРОЛЬ, УПРАВЛЕНИЕ РИСКАМИ
УДК 658.5.012.7
Усиление роли внутреннего аудита как фактор развития риск-менеджмента
Рассмотрены основные тенденции выявления, оценки и управления рисками в крупных компаниях на современном этапе экономического развития России. На основе анализа практики ОАО «РЖД» показана роль службы внутреннего аудита в управлении рисками; определено значение классификатора нарушений и рисков в системе внутреннего контроля и аудита и место системы внутрикорпоративных стандартов внутреннего аудита в построении СУР.
Ключевые слова: внутренний аудит, риски, система управления рисками (СУР), оценка рисков, служба внутреннего аудита, классификатор нарушений и рисков.
ТВ. Лаврова
Разразившийся в мировой экономике финансовый кризис и последовавший вслед за ним экономический спад обострили интерес к проблеме управления рисками, создания новых эффективных механизмов по минимизации негативных последствий от их реализации. Риски подстерегают на каждом шагу, и санкционные события последнего времени тому подтверждение. Еще более усугубляет ситуацию постоянная неуверенность в возможности скорого экономического подъема.
Учитывая масштабность катастроф и негативных событий, стоит ли удивляться тому, что управление рисками, или риск-менеджмент, становится актуальным направлением деятельности и его все больше рассматривают как новую философию корпоративного управления [10].
Как транспортная компания, ОАО «РЖД» подвержена следующим основным группам рисков: производственно-технологическим, ресурсным, инвестиционным, финансовым, кадровым и управленческим. В 2012 году распоряжением ОАО «РЖД» утверждена Функциональная стратегия управления рисками в холдинге. Выстроена и функционирует система управления финансовыми рисками [1].
Необходимость создания и внедрения корпоративной системы управления рисками определяется требованием консолидации процесса управления ими в масштабе всего холдинга «РЖД», потребнос-
© Лаврова Т.В., 2015
93
Усиление роли внутреннего аудита как фактор развития риск-менеджмента
тью разработки стандартизированных подходов к выявлению и ликвидации рисков холдинга в целом, объективной потребностью в использовании управленческих инструментов, связанных с деятельностью компании.
Сущность управления риском состоит в максимизации набора обстоятельств, которые мы можем контролировать, и минимизации набора обстоятельств, контролировать которые нам не удастся и в рамках которых связь причины и следствия от нас скрыта [3].
На современном этапе теория риска получила широкое распространение, изначально основываясь на теории вероятности. С середины прошлого столетия понятие риска вошло в научные и финансовые круги. В последнее время используется более емкое понятие риск-менеджмента как системы оценки, анализа, управления рисками и социально-рисковыми отношениями, возникающими в процессе деятельности организации.
В наши дни риск-менеджмент стал востребованным не только там, где идет обращение больших денежных масс и где большие денежные массы являются основными активами — среди банков, страховых компаний, инвестиционных фондов, но и в промышленных корпорациях. Это связано с тем, что бизнес-процессы в нефинансовом секторе характеризуются большим разнообразием составляющих элементов и связей между ними. Поэтому базой для анализа являются не только производственные технологические цепочки, но и связанные с ними финансовые потоки, а также и исследование статистики сбоев и катастроф [9].
Широко известная концепция системы управления рисками (СУР) «Концептуальные основы управления рисками организаций» COSO ERM (2004 года) служит основой для лучшего понимания риск-менеджмента и системы внутреннего контроля, предоставляемых ими преимуществ, а также эффективного обмена информацией по вопросам управления рисками и внутреннего контроля. В соответствии с ней управление рисками — процесс, осуществляемый советом директоров организации, менеджментом и другими работниками, направленный на достижение целей организации.
Как известно, основу СУР составляет идентификация потенциальных событий (рисков), их оценка, управление рисками в соответствии с принятыми риск-аппетитами для обеспечения достаточных гарантий достижения целей организации. Руководство оценивает риск-аппетит (риск, на который готова идти организация) на этапе выбора из стратегических альтернатив при постановке целей, отвечающих выбранной стратегии, а также при разработке механизмов управления соответствующими рисками.
Процесс управления рисками определяет, какой способ реагирования на риск в организации предпочтителен — уклонение от риска, сокращение риска, перераспределение риска или принятие риска.
Исходя из выработанной миссии организации, руководство определяет стратегические цели, выбирает стратегию деятельности и устанавливает соответствующие им тактические цели в деятельности организации. «Кон-
94
Усиление роли внутреннего аудита как фактор развития риск-менеджмента
цептуальные основы управления рисками организаций» разделяют цели организации на четыре категории:
• стратегические цели — цели высокого уровня, соотнесенные с миссией или видением направлений развития организации;
• операционные цели — эффективное и результативное использование ресурсов;
• цели в области подготовки отчетности — обеспечение достоверности отчетности;
• цели в области соблюдения законодательства — соблюдение применимых законодательных и нормативных актов [7].
Данная классификация целей позволяет сконцентрироваться на отдельных аспектах управления рисками организации. Эти разные, но взаимопересекающиеся категории (отдельно стоящая цель может попадать более чем в одну категорию) соответствуют различным задачам организации и могут входить в сферу прямых обязанностей различных руководителей. Данная классификация также позволяет проводить различие между ожидаемыми результатами по различным категориям целей. Может рассматриваться еще одна категория, используемая некоторыми организациями, — обеспечение сохранности ресурсов.
Картина рисков быстро меняется по мере появления новых вызовов, продолжающегося усложнения проблем, связанных с более традиционными рисками, и пересмотра перечней наиболее актуальных рисков заинтересованными сторонами и руководителями внутреннего аудита [5, 11].
Наряду с обеспокоенностью, связанной с продолжающейся экономической неопределенностью, беспрецедентным ужесточением нормативных требований и поведением финансового рынка, которое в последние пять лет все больше напоминает «американские горки», озабоченность компаний по-прежнему вызывают пять наиболее важных для них рисков: это мошенничество и нарушение норм деловой этики, структурные преобразования в компаниях, реализация крупных программ, выпуск новой продукции и угроза продолжения бизнеса [6].
В современных условиях использование риск-ориентированного подхода в управленческой деятельности компаний, в том числе в деятельности внутреннего аудита, считается лучшей практикой. Внутренний аудит занимает важное место в системе управления рисками и в ОАО «РЖД».
Остановимся подробнее на роли и месте внутреннего аудита в системе управления рисками. Подразделения внутреннего аудита планируют свою деятельность на основе оценки рисков, проведенной риск-менеджментом, и согласованной с советом директоров. Кроме того, внутренние аудиторы проводят регулярную оценку рисков при планировании и выполнении аудиторских заданий, а выявленные в ходе аудита новые риски дополняют уже известные. Можно сказать, что внутренние аудиторы рассматривают
95
Усиление роли внутреннего аудита как фактор развития риск-менеджмента
всю свою деятельность через призму рисков организации и роль службы внутреннего аудита в указанной сфере сложно переоценить [8].
В публикации о создании эффективной риск-ориентированной системы внутреннего аудита и контроля в компании холдингового типа (на примере ОАО «Российские железные дороги») О.Б. Ивановым [4] определены следующие основные направления взаимодействия риск-менеджмента с подразделениями внутреннего аудита:
— предоставление информации о существующих и вновь выявленных рисках для формирования реестра типовых рисков ОАО «РЖД»;
— систематизация и передача информации по процедурам выявления и анализа рисков;
— рекомендации по формированию системы мониторинга;
— проведение оценки эффективности проводимых антирисковых мероприятий.
Внутренний аудит бесспорно обладает характеристиками, которые служат связующим звеном, позволяющим эффективно и слаженно работать всем контролирующим подразделениям компании. Возможность эта определяется тем, что внутренний аудит в силу своей специфики охватывает широкий спектр вопросов, касающихся оценки эффективности систем внутреннего контроля, управления рисками, корпоративного управления.
Представляют интерес результаты известного исследования, проведенного PricewaterhouseCoopers в 2012 году, рассматривающие управление рисками в виде «линий защиты» или многоуровневой деятельности, которая помогает обеспечить эффективный и результативный контроль рисков со стороны исполнительного руководства компании и совета директоров в той форме, которая отвечает их пожеланиям. Согласно модели «трех линий защиты», руководство и структурные подразделения формируют первую линию защиты посредством механизмов контроля, призванных обеспечить интеграцию элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения компании, являясь владельцами рисков, несут ответственность за выявление, анализ, управление, снижение уровня рисков и формирование отчетности по ключевым рискам.
Вторая линия защиты создается подразделениями по управлению рисками, которые разъясняют корпоративную концепцию риска и определяют стандарты в области управления рисками, включая соответствующие процессы, технологии и культуру. Эти авторитетные, независимые, централизованные подразделения отслеживают деятельность других структурных подразделений в границах системы управления рисками и анализируют получаемую от них информацию о рисках.
Внутренний аудит создает третью линию защиты и дает независимое заключение о том, что компания управляет риском должным образом и ее система управления рисками является эффективной. Однако заинтере-
96
Усиление роли внутреннего аудита как фактор развития риск-менеджмента
сованные стороны также высоко ценят его способность координировать мероприятия менеджмента на первой и второй линиях защиты. Служба внутреннего аудита проводит оценку ресурсов управления рисками, проверку процедур корпоративного управления, оценивает показатели эффективности корпоративного управления и тестирует процедуры.
Совет директоров, являясь «законодателем» в процессе управления рисками, оценивает и утверждает уровень рисков, на которые готова пойти организация, с учетом стратегических целей и задач в области управления рисками (риск-аппетит). Комитеты по аудиту и управлению рисками помогают совету директоров осуществлять всесторонний контроль над эффективностью системы управления рисками организации.
В сегодняшних условиях постоянно меняющейся картины рисков внутренний аудит не может ограничиваться простым реагированием на происходящие события. Вместо этого функция внутреннего аудита должна мыслить стратегически, что позволит ей быстро реагировать на риски и поможет подготовить организацию к новым угрозам и возможностям.
Для успешной работы компании и эффективного функционирования системы управления рисками важно определить функции и зону ответственности всех участников, включенных в систему управления рисками компании.
В связи с этим хотелось бы остановиться на существующем подходе к оценке эффективности работы внутреннего аудита, независимо от размера компании, включающей восемь основных признаков, служащих основой для подъема на тот уровень, на котором должна наиболее эффективно работать функция внутреннего аудита, в том числе по оценке системы управления рисками в организации. Подъем на новый «этаж» означает приближение к совету директоров.
Задачи внутреннего аудита всегда включали и будут включать предоставление гарантий, что система внутреннего контроля и управления рисками, в том числе за соблюдением нормативных требований и финансами, функционирует нормально. Однако в соответствии с изменениями внешней и внутренней среды риски меняются, а ожидания растут, и службы внутреннего аудита сталкиваются с необходимостью подъема на новый «этаж» (переход на новый уровень работы), что сопряжено с предоставлением уверенности в отношении большего числа важнейших рисков, четким донесением новых идей и соображений до руководства при полном соответствии ожиданиям заинтересованных сторон. Возможности и практические методы работы внутреннего аудита, которые всего несколько лет назад считались передовыми, сейчас являются одними из параметров нового «уровня» работы. С переходом на новый уровень он должен соответствовать постоянно растущим требованиям заинтересованных сторон.
Необходимо отметить, что ярко выраженной тенденцией последних лет стало выведение службы внутреннего аудита на уровень прямого под-
97
Усиление роли внутреннего аудита как фактор развития риск-менеджмента
чинения высшему должностному лицу, с функциональным подчинением совету директоров (наблюдательному совету и т.п.) напрямую или через комитет по аудиту.
Непосредственную ответственность за организацию внутреннего аудита, систем внутреннего контроля и управления рисками несет высшее руководство (президент, генеральный директор). Часть этой ответственности переносится также на всех операционных руководителей через делегирование полномочий и создание системы персонифицированной ответственности, в том числе за управление рисками, а также системы отчетности.
Одним из важнейших инструментов, позволяющих анализировать и систематизировать выявляемые в ходе внутреннего аудита и контроля нарушения и риски, является Классификатор нарушений и рисков, применяемый в ОАО «РЖД». Он разработан на основе многолетнего анализа нарушений в финансово-хозяйственной деятельности, налоговых и финансовых рисков, выявляемых в ходе проводимых проверок, их систематизации и группировки по общим наиболее существенным признакам.
Основываясь на едином подходе и принимая во внимание особенности организационной структуры и сфер деятельности холдинга «РЖД», охватывающие грузовые, пассажирские и специальные перевозки, осуществляющие производственные, ремонтные и сервисные функции, имеющие развитые системы телекоммуникаций, связи, капитального строительства, собственную социальную сеть (медицинские, физкультурно-оздоровительные, образовательные и культурные учреждения, предприятия торговли и общественного питания), отраслевую сеть научных учреждений и прочее, система классификации нарушений и рисков носит комплексный, межотраслевой, универсальный характер.
Данная система классификации обеспечивает единообразие и соблюдение единых критериев при оценке нарушений, налоговых и финансовых рисков и их систематизации, а также способствует повышению качества проведения проверок и внутреннего аудита.
При этом единая система позволяет проводить многомерный анализ выявляемых нарушений и рисков, а также обобщение результатов проверок по требуемым параметрам, в том числе в целях оценки их эффективности деятельности.
Вместе с тем она должна отвечать требованиям простоты и логичности, быть понятной для использования в практической работе в ходе проверок и при обработке их результатов, а также легко адаптированной к возможным изменениям и настройкам.
Сегодня в ОАО «РЖД» накоплен значительный опыт по данному вопросу. Созданный Классификатор нарушений и рисков более 10 лет успешно используется на практике. Новые подходы и вызовы, развитие бизнес-процессов холдинга, совершенствование форм и методов проведения контроля и внутреннего аудита обусловливают необходимость постоянного развития
98
Усиление роли внутреннего аудита как фактор развития риск-менеджмента
и совершенствования системы классификации при сохранении ее методического и организационного единства, являющегося основой системы.
Методологическая база организации и проведения внутреннего аудита, проведения оценки систем внутреннего контроля и управления рисками в компании развивается вместе с совершенствованием системы внутрикорпоративных стандартов аудиторской деятельности, разработанной в ОАО «РЖД». Так, в соответствии со стандартом проведения аудита системы управления рисками в основе оценки уровня зрелости СУР лежат анализ ее компонентов, анализ отчетности по рискам и оценка эффективности СУР. В фокусе внимания внутреннего аудита находятся следующие компоненты:
• цели и задачи;
• организационная структура;
• процессы управления рисками;
• нормативно-методологическая база;
• процедуры взаимодействия структурных подразделений в процессе управления рисками.
По оценкам отечественных и зарубежных экспертов [2], сегодня в ОАО «РЖД» создана и функционирует одна из наиболее стройных, эффективных и компетентных служб внутреннего аудита и контроля в России, соответствующая требованиям международных профессиональных стандартов внутреннего аудита, что позволяет на проактивной основе выявлять системные нарушения и значимые риски, вырабатывать рекомендации по сокращению издержек и мобилизации внутрихозяйственных ресурсов, снижению потерь доходов, повышению эффективности бизнес-процессов.
Литература
1. Баринов М. Риск-менеджмент: средство борьбы с неопределенностью // ФК-Новости. 2007.
2. Выстраиваем систему внутреннего аудита. На каком вы «этаже»? Исследование современного состояния профессии внутреннего аудитора 2012. PricewaterhouseCoopers. 2012. Режим доступа: http://pwc.com/ consulting /
3. Иванов О.Б., Лаврова Т.В. Практика ОАО «Российские железные дороги» по разработке и использованию Классификатора нарушений и рисков в системе внутреннего контроля и аудита // Аудиторские ведомости. 2014. № 1. С. 29-42.
4. Иванов ОБ. Формирование системы внутреннего контроля, аудита и управления рисками в компании на основе внутрикорпоративных стандартов // ЭТАП: Экономическая Теория, Анализ, Практика. 2012. № 2. С. 4-23.
5. Иванов ОБ. Практика построения риск-ориентированной системы внутреннего контроля и аудита в ОАО «Российские железные дороги» // ЭТАП: Экономическая Теория, Анализ, Практика. 2014. № 4. С. 7-31.
99
Усиление роли внутреннего аудита как фактор развития риск-менеджмента
6. Каплейн Б. Риск-менеджмент: почему он потерпел неудачу, как заста-
вить его работать? Статья по риск-менеджменту. Электронный ресурс. 2008. Режим доступа: http://theiia.org/intAuditor/feature-artides/2008/
december (дата обращения 10 мая 2015 года).
7. Косарев А. Важно понимать, сколько конкретно стоит риск. Статья по риск-менеджменту. Электронный ресурс. 2012. Режим доступа: http://www. cfo-russia.ru/stati/index.php?artide=5366 (дата обращения 15 мая 2015 года).
8. Кто отвечает за управление рисками? Распределение обязанностей в рамках системы по управлению рисками. PricewaterhouseCoopers. Электронный ресурс. 2011. Режим доступа: http://pwc.com/consulting/ (дата обращения 4 июня 2015 года).
9. Лаврова Т.В. Современные тенденции управления рисками и роль внутреннего аудита в структуре корпоративного управления // ЭТАП: Экономическая Теория, Анализ, Практика. 2012. № 6. С. 87—103.
10. Лисицина Я. Держать риски под контролем // Эффективное антикризисное управление. 2012. № 3.
References
1. Barinov M. Risk-management: means of fight against uncertainty. FK-Novosti [FC News], 2007 (in Russian).
2. Vystraivaem sistemu vnutrennego audita. Na kakom vy «jetazhe»? Issledovanie sovremennogo sostojanija professii vnutrennego auditora 2012 (We build system of internal audit. On what you “floor”? Research of a current state of a profession of the internal auditor 2012) PricewaterhouseCoopers. Available at: http://pwc.com/consulting/ (accessed 2012) (in Russian).
3. Ivanov O. B., Lavrova T.V. Practice of JSC Russian Railways on development and use of the Qualifier of violations and risks in system of internal control and audit. Auditorskie vedomosti [ Audit Journal], 2014, no. 1, pp. 29-42 (in Russian).
4. Ivanov O.B. Formation of system of internal control, audit and risk management in the company on the basis of intra corporate standards. ETAP: Ekonomicheskaya Teoriya, Analiz, Praktika [ETAP: Economic Theory, Analysis, and Practice], 2012, no. 2, pp. 4-23 (in Russian).
5. Ivanov O.B. Practice of construction risk — the focused system of internal control and audit in JSC Russian Railways. ETAP: Ekonomicheskaya Teoriya, Analiz, Praktika [ETAP: Economic Theory, Analysis, and Practice], 2014, no. 4, pp. 7-31 (in Russian).
6. Kapleyn B. Risk menedzhment: pochemu on poterpel neudachu, kak zastavit’ ego rabotat’? (Risk management: why it failed how to force it to work? Article on risk to management) Available at: http://theiia.org/intAuditor/feature-articles/2008/december (accessed 10 May 2015) (in Russian).
7. Kosarev A. Vazhno ponimat’, skol’ko konkretno stoit risk. Statja po risk menedzhmentu (It is important to understand, how many specifically there is
100
Усиление роли внутреннего аудита как фактор развития риск-менеджмента
a risk. Article on risk to management) Available at: http://www.cfo-russia.ru/ stati/index.php? article=5366 (accessed 15 May 2015) (in Russian).
8. Kto otvechaet za upravlenie riskami? Raspredelenie objazannostej v ramkah sistemy po upravleniju riskami (Who is responsible for risk management? Distribution of obligations within system for risk management) PricewaterhouseCoopers. Available at: http://pwc.com/consulting/ (accessed 4 June 2015) (in Russian).
9. Lavrova T.V. Current trends of risk management and a role of internal audit in structure of corporate management. ETAP: Ekonomicheskaya Teoriya, Analiz, Praktika [ETAP: Economic Theory, Analysis, and Practice], 2012, no, 6. pp. 87-103 (in Russian).
10. Lisitsina Ya. To keep risks under control. Jeffektivnoe antikrizisnoe upravlenie [Effective crisis management], 2012, no. 3 (in Russian).