В конце сентября был презентован русский перевод концепции COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (COSO ERM) 2017 г. Перевод и издание концепции осуществлены совместными усилиями Института внутренних аудиторов и компании Deloitte. Презентация прошла в московском офисе последней. На ней выступили представители Центрального банка РФ, Минэкономразвития России, руководители по внутреннему аудиту и управлению рисками ряда крупнейших компаний России.
Концепция COSO представляет собой один из наиболее известных распространенных в мире документов, посвященных вопросам управления рисками. В нем описаны методы, благодаря которым руководители компаний могут более уверенно справляться с бизнес-задачами и вызовами XXI века, с которыми они сталкиваются на новых и меняющихся рынках, в условиях острой необходимости быстрого внедрения инноваций и все более усиливающегося внимания со стороны разного рода регулирующих органов.
В 2004 г. Совет директоров COSO впервые опубликовал документ «Управление рисками организаций. Интегрированная модель», и за последнее десятилетие он получил широкое признание среди профессионалов. Учитывая реалии современного мира, постоянное возрастание сложности рисков, появление новых, а также повышение уровня осведомленности и контроля со стороны советов директоров и высшего исполнительного руководства в области управления рисками организации сделали актуальным ее переиздание. В новой версии концепции особое внимание уделено повышению взаимосвязи между риском, стратегией и стоимостью компании. Она рассматривает управление рисками с точки зрения принятия управленческих решений, которые в конечном итоге влияют на реализацию стратегии и эффективность деятельности организации в целом.
Об этом говорил Алексей Сонин, директор Института внутренних аудиторов. Он назвал издание COSO-2017 важнейшим профессиональным событием, поскольку риск-менеджмент уже давно не рассматривается как некий обособленный вид деятельности. Сегодня это неотъемлемая часть управления в целом. Внутренний аудит, подчеркнул А. Сонин, не должен оставлять вне своего охвата управление рисками, даже если в компании отсутствует система управления рисками как таковая. В конце концов, само определение внутреннего аудита, которое дано в «Международном стандарте аудита 610 „Использование работы внутренних аудиторов“» (введен в действие на территории России приказом Минфина России от 24.10.2016 № 192н), подразумевает управление рисками как процесс.
Цитируем документ
…Служба внутреннего аудита — служба организации, осуществляющая деятельность по обеспечению уверенности и консультационную деятельность, целью которой является оценка и повышение действенности процессов корпоративного управления организацией, управления рисками, а также процессов внутреннего контроля.
Когда внутренние аудиторы делают аудит управления рисками, они должны оценивать не деятельность какого-то подразделения по управлению рисками или риск-менеджера (CRO), а то, как организация в целом управляет своими рисками.
Руководя бизнес-процессами в организации, проводя внутренний контроль, необходимо постоянно помнить, что управление рисками — это история не об уклонении от неприятностей во что бы то ни стало, а о том, как эффективно достичь целей или результатов. А для того, чтобы чего-то достичь, надо идти на риск. Идти на риск — это нормально. Но организациям следует учитывать, что достижение одной цели может быть сопряжено с одними рисками, а достижение немного другой цели или, иными словами, некоторое отклонение от первоначальной цели связано с другими рисками.
В России хотят управлять рисками, но не знают как
За прошедшие десятилетия российский бизнес прошел большой путь — от полного игнорирования рисков до внедрения риск-ориентированного управления. Это отметил директор Департамента по управлению рисками компании «Делойт», СНГ, Сергей Кудряшов. Он же привел данные исследования, проведенного в этом году «Делойт» среди руководителей и риск-менеджеров российских компаний. Выводы, которые можно сделать, опираясь на результаты опроса, отнюдь не оптимистичны и показывают, что российскому бизнесу в плане уверенного управления рисками и использования возможностей, которые такое управление открывает, еще расти и расти. И в этом плане COSO будет только в помощь такому росту и пониманию новых реалий.
Проводится ли в компаниях анализ рисков принимаемых решений и каким образом оформляются полученные результаты? Только четверть респондентов на этот вопрос уверенно ответила, что анализ проводится и его результаты документируются. Подобный анализ проводится, но не всегда он находит отражение во внутренних документах компании у 75% опрошенных.
Практически 93% респондентов признают, что управление рисками должно быть направлено не только на защиту, но и на повышение, создание стоимости, и лишь 7% активно используют концепцию управления рисками для повышения капитализации компании.
О чем говорят эти данные? Они говорят о том, что 80% компаний либо не анализируют риски при постановке цели, либо анализируют больше на интуитивной основе, и порядок анализа рисков не регламентирован при постановке цели.
Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса Группы «Московская Биржа», в своем выступлении отметил, что для инфраструктуры финансового рынка критически важно следовать ведущим международным стандартам в области управления рисками. Это, как минимум, дает возможность избежать негативного влияния на финансовый рынок и повысить его привлекательность для инвесторов. Следование по волнам бизнеса в русле стандартов улучшает прозрачность системы управления компании в глазах ее акционеров и инвесторов. С. Демидов выразил надежду, что вслед за «Московской Биржей» и другие участники рынка будут стремиться улучшить свои системы управления рисками в соответствии с международными стандартами, поскольку инфраструктура финансового рынка является ориентиром для других участников.
Корпоративному управлению — регуляторные функции
На это же надеется и регулятор финансового рынка, о чем рассказала Елена Курицына, директор департамента корпоративных отношений Центрального банка РФ.
Спикер объяснила, насколько важны для Банка России как надзорного органа вопросы внутреннего контроля, системы управления рисками, внутреннего аудита в финансовой отрасли. Все эти элементы, которые в той или иной степени уже отражены в законодательстве, являются ключевыми с точки зрения обеспечения уверенности в достижении финансовыми институтами не только своих стратегических целей, но и финансовой устойчивости, финансовой стабильности рынка в целом. Но это, подчеркнула Е. Курицына, лишь элементы, и без понимания базовых теоретических подходов к тому, как эти системы должны быть выстроены, регулятор, к сожалению, не может получить на выходе ничего, помимо формального соблюдения требований и нормативов. Цель же ЦБ РФ — достичь осознанного соблюдения установленных требований участниками рынка, потому что без глубокого понимания теории, которая так или иначе превращается в регулирование и переходит в практику, к сожалению, об эффективности этой системы говорить пока не получается. В последнее время мы стали свидетелями неудачных кейсов управления финансовыми организациями, в том числе управления рисками - несколько кредитных организаций сейчас находятся на санации Центробанка. Когда ЦБ РФ занимался рассмотрением этих кейсов, пытаясь определить, что же было первоисточником, неким спусковым крючком краха, эксперты ЦБ РФ пришли к очевидному выводу: все проблемы в компаниях, во всех случаях без исключения, начинались со слабости корпоративного управления.
На сегодняшний день Банк России ведет достаточно серьезную работу по улучшению корпоративного управления в финансовых организациях, готовит и некий внутренний инструментарий для того, чтобы сотрудники надзорных подразделений могли с пониманием основ, принципов и подходов формировать мотивированное суждение относительно того, какого уровня зрелости достигла та или иная финансовая компания с точки зрения построения своих систем корпоративного управления.
В то же время, напомнила Е. Курицына, ЦБ РФ занимается не только финансовыми организациями. В фокусе внимания регулятора еще и акционерные общества, прежде всего, публичные. И определяя лучшие практики корпоративного управления, ЦБ РФ считает необходимым уже внедрять как основу регуляторные требования, переводить эти требования в сферу законодательства.
Знакомимся с новой версией COSO
Что же нового содержится в COSO версии 2017 г.?
В обновленном документе признается тот факт, что члены советов директоров и руководители высшего звена сегодня лучше осведомлены об управлении рисками и строже контролируют эту область. Для принятия стратегических решений им необходима более качественная информация о рисках.
Авторы COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» видят несколько тенденций в будущем, которые повлияют на управление рисками организации. Четыре из них выражаются в следующем.
- Решение проблем, связанных с быстрым ростом объемов данных.
По мере увеличения объема доступных данных и скорости анализа новых данных управление рисками организации должно будет адаптироваться к этим явлениям. Данные будут поступать как из внутренних, так и из внешних источников и структурироваться по-иному. Инструменты углубленной аналитики и визуализации данных будут развиваться и станут полезными для понимания рисков и их влияния — как положительного, так и отрицательного.
- Максимальное использование искусственного интеллекта и автоматизации.
Многие считают, что мы вступили в эпоху автоматизированных процессов и искусственного интеллекта. Независимо от личных убеждений важно, чтобы в рамках практики управления рисками организации учитывалось влияние существующих и будущих технологий и максимально использовались их возможности. Взаимосвязи, тенденции и закономерности, которые ранее нельзя было распознать, теперь могут быть выявлены и стать богатым источником информации, чрезвычайно важной для управления рисками.
- Управление затратами на риск-менеджмент.
Руководство компаний часто выражает озабоченность относительно затрат на управление рисками, соблюдение требований и контрольные мероприятия в сравнении с получаемой пользой. По мере развития практики управления рисками организации станет важным, чтобы мероприятия, охватывающие риски, соблюдение требований, контроль и даже корпоративное управление, были эффективно скоординированы для того, чтобы они приносили максимальную выгоду для организации. Это может представлять собой одну из лучших возможностей для переосмысления важности управления рисками для организации.
- Создание более сильных организаций.
По мере освоения организациями навыков интеграции управления рисками организации со стратегией и эффективностью деятельности им представится возможность повысить свою устойчивость. Зная риски, которые окажут наибольшее влияние на них, организации могут использовать управление рисками для внедрения возможностей, которые позволят им действовать на опережение. Это откроет новые возможности для бизнеса.
По сравнению с предыдущим изданием сильно изменилась структура концептуальных основ управления рисками от COSO. Теперь она состоит из пяти компонентов и 20 принципов, согласованных с жизненным циклом бизнеса. Такая структура позволяет проводить более понятное обсуждение рисков в контексте деятельности организации.
1. Корпоративное управление и культура
К этому компоненту отнесены следующие принципы:
-
осуществление надзора за рисками со стороны совета директоров;
-
создание операционных структур;
-
определение желаемой культуры;
-
демонстрация приверженности основным ценностям;
-
привлечение, развитие и удержание способных людей.
2. Стратегия и постановка целей
Принципы:
-
анализ бизнес-контекста;
-
определение риск-аппетита (готовности к риску);
-
оценка альтернативных стратегий;
-
формулирование бизнес-целей.
3. Эффективность деятельности
Принципы:
-
выявление рисков;
-
оценка серьезности рисков, приоритизация рисков;
-
реагирование на риски;
-
формирование комплексного взгляда на риски.
4. Анализ и пересмотр
Принципы:
-
оценка существенных изменений;
-
анализ рисков и эффективности деятельности;
-
совершенствование управления рисками организации.
5. Информация, коммуникация и отчетность
Принципы:
-
максимальное использование информации и технологий;
-
распространение информации о рисках;
-
представление отчетности о рисках, культуре и эффективности деятельности.
Организации необходимо определять вызовы, которые ее ждут впереди, и адаптироваться, чтобы справляться с этими вызовами. Она должна принимать решения с осознанием как возможностей для создания стоимости, так и рисков, с которыми сталкнется при создании стоимости. Проще говоря, организация должна интегрировать практику управления рисками с практикой определения стратегии и управления эффективностью деятельности. Выгоды от такой интеграции очевидны.
Во-первых, это позволяет расширить круг возможностей. Рассматривая все разумные варианты развития событий и возможных решений (как положительные, так и отрицательные аспекты рисков), менеджмент может выявить новые возможности для организации и уникальные вызовы, связанные с потенциальными возможностями.
Пример
Руководители компании по производству продуктов питания выявили изменение предпочтений покупателей: те стали больше внимания уделять здоровью и менять свой рацион. Что в итоге могло привести к снижению объемов реализации текущей продуктовой линейки. Менеджмент оперативно определил способы разработки новых продуктов, что позволило не только сохранить прибыль, но и нарастить ее.
Во-вторых, грамотное управление рисками может увеличить положительные результаты и преимущества при уменьшении неприятных неожиданностей.
В-третьих, выявлять риски по всей организации и управлять ими. Каждая организация сталкивается с мириадами рисков. Иногда риски могут возникнуть в одной части организации и влиять на другие. Менеджмент должен их выявлять по каждому подразделению и, управляя ими, повышать эффективность бизнеса в целом.
В-четвертых, управление рисками позволяет снизить изменчивость в эффективности деятельности. Для некоторых организаций проблема заключается не столько в неожиданностях и убытках, сколько в изменчивости эффективности деятельности. Выполнение работ с опережением графика или сверх ожиданий может принести столько же проблем, сколько и результаты ниже ожиданий.
Пример
В системе общественного транспорта пассажиров будет одинаково раздражать, когда поезд отправляется на 10 минут раньше и когда он опаздывает на 10 минут. И то и другое может привести к тому, что пассажиры пропустят пересадку.
Ну и наконец, управление рисками может поднять на новый уровень использование ресурсов организации. Получение надежной информации о риске позволяет менеджменту оценить общие потребности в ресурсах и помогает оптимизировать их распределение.
Безусловно, выгоды от интеграции практики управления рисками с практикой определения стратегии и управления эффективностью деятельности отличаются в разных организациях. Универсального подхода, приемлемого для всех одинаково, не существует. Тем не менее, внедрение практики управления рисками, как правило, помогает организации достигать своих целевых показателей.
И надо помнить, что управление рисками организации должно адаптироваться к грядущим условиям, для того чтобы постоянно приносить выгоду. При правильной постановке вопроса выгоды, получаемые от управления рисками организации, значительно перевесят затраты и дадут организациям уверенность в их способности управлять будущим.