Текст книги "Управление рисками, аудит и внутренний контроль"

3. Элементы системы управления рисками

Эффективное управление рисками в компании необходимо не для того, чтобы успокоить акционеров или инвесторов, а прежде всего для повышения вероятности достижения целей организации. Из каких же элементов («кирпичиков») состоит эффективная система управления рисками?

Прежде всего, контрольная среда: это общая атмосфера и настрой в организации в отношении внутреннего контроля. Что думают сотрудники организации о важности контроля? Попробуйте спросить у ваших сотрудников, считают ли они необходимым и полезным наличие службы внутреннего аудита и необходимые регулярные проверки или считают эту деятельность «неизбежным злом», отнимающим время? Считают ли они честность и прозрачность необходимым условием деятельности или им ближе подход «не пойман – не вор»?

Контрольная среда является фундаментом для всей системы внутреннего контроля и управления рисками. Факторами, влияющими на качество контрольной среды, являются этические принципы, компетентность, честность сотрудников, этика и стиль управления руководства, распределение полномочий и ответственности, а также внимание и значимость, которую высшее руководство и совет директоров придают вопросам контроля. Что может сделать совет директоров для формирования эффективной контрольной среды?

– Сформировать правильную культуру, задающую «тон сверху» в отношении внутреннего контроля и управления рисками. Пока сами члены совета директоров и высший менеджмент не будут следовать установленным принципам, правилам и процедурам, вряд ли возможно убедить в необходимости этого рядовых сотрудников.

– Убедиться в том, что принципы и правила четко сформулированы и понятны сотрудникам компании. Для этого совет директоров может инициировать опрос сотрудников, создание или пересмотр внутренних документов компании: регламентов, процедур, кодекса этики компании.

– Утвердить прозрачную организационную структуру и распределение полномочий и ответственности в компании.

Вторым элементом является четкий процесс определения целей компании. В этой связи совет директоров должен задаться вопросами:

– Насколько четко определены видение, миссия, приоритетные цели компании?

– Донесены ли цели должным образом до сотрудников?

– Ясны ли цели и задачи сотрудникам компании?

Третий элемент – оценка рисков – предполагает выявление и анализ событий, способных повлиять на достижение целей компании. Это необходимо для выработки адекватной реакции на риск. Эффективная оценка рисков предполагает, что руководство компании и совет директоров:

– Проводят выявление, оценку внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение компанией поставленных целей. Оценка обычно проводится по шкале «значимость» (обычно оценивается размер потенциального ущерба в деньгах) и «вероятность» (в баллах, категориях или процентах). (См. Пример шкалы рисков в Приложении 2).

– Устанавливают приемлемые уровни риска (аппетит к риску), который может (должна) принимать на себя компания и ее подразделения для достижения поставленных целей (с учетом стратегии, мнения акционеров).

– Разрабатывают необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками.

Обычно на данном этапе составляется реестр рисков, в котором риски классифицируются по группам (например, по источникам риска). Как выглядит сегодня типичная карта рисков организации? С какими группами рисков сталкиваются советы директоров крупнейших компаний?

Источниками стратегических рисков могут быть политические события, технологические и социальные изменения, макроэкономическая ситуация, изменения в отрасли, развитие конкуренции и пр.

Финансовые риски, пожалуй, становятся предметом обсуждения на совете директоров чаще других. Как повлияет на бизнес изменение процентных ставок? Какие факторы влияют на рейтинги кредитоспособности? Каковафинансовая устойчивость (соотношение долга и EBITDA), достаточен ли денежный поток для обслуживания долга? Каковы возможные угрозы ликвидности компании?

Операционные риски могут быть связаны с персоналом, управлением затратами, наличием производственных мощностей, поведением поставщиков и подрядчиков, качеством управления запасами, информационными технологиями и пр.

Риски соответствия требованиям (комплаенс-риски) могут быть связаны с выполнением требований регуляторов, изменением законодательства.

Для целого ряда компаний имеют большое значение риски взаимодействия с окружающей средой, которые могут быть вызваны природными явлениями, в том числе событиями, не поддающимися контролю со стороны руководства компании. Пример карты рисков приведен в Приложении 3.

Чаще всего для выявления, классификации и оценки рисков применяется экспертный метод. В качестве экспертов обычно выступает топ-менеджмент компании (например, комитет по рискам правления), члены совета директоров. Эффективным может быть подход, при котором совет директоров проводит самостоятельное обсуждение и оценку ключевых рисков, а затем сравнивает полученные результаты с оценкой со стороны менеджмента и в ходе совместного обсуждения согласовывает единое понимание матрицы рисков компании. После того, как все заинтересованные стороны произведут свои обоснованные оценки, происходит компиляция и обсуждение результатов, чтобы выяснить, как разные люди в этой группе оценивают риски компании и почему.

Оценку рисков необходимо проводить ежегодно, а в случае высокой подверженности конкретным рискам соответствующую сферу деятельности нужно оценивать чаще. Если совет директоров считает те или иные риски особенно значимыми, он может отслеживать и переоценивать данные риски на каждом заседании совета директоров. Таким образом во время финансового кризиса поступали многие компании, столкнувшиеся с кредитными и инвестиционными рисками.

Некоторые компании строят так называемые «тепловые карты» рисков (см. Приложение 4), выделяя красным цветом наиболее значимые и вероятные риски в особую группу, требующую повышенного внимания со стороны совета директоров и высшего руководства.

Важным шагом является определение риск-аппетита компании. При установлении риск-аппетита совет директоров должен основываться на собственном бизнес-суждении, а также учитывать ряд дополнительных факторов:

– На каком этапе жизненного цикла находится компания? Вполне естественно, что стартапы по своей природе больше подвержены риску, чем более зрелые компании.

– Мнение основных заинтересованных сторон. Акционеры, кредиторы, держатели облигаций и пр. могут иметь различное мнение о риск-аппетите. Совет директоров должен учитывать их мнение при установлении риск-аппетита.

– Факторы внешней среды. Например, рецессия в экономике или существенное изменение в регулировании, кардинальные структурные изменения в отрасли могут существенно повлиять на риск-аппетит.

Самая простая рекомендация в отношении установления уровня риск-аппетита: «не откусывайте больше, чем Вы можете проглотить». Для компаний разных отраслей и разной стадии жизненного цикла риск-аппетит может быть сформулирован количественно (в сумме возможных потерь, предельных значениях или коридорах коэффициентов и пр.) либо в качественном выражении (путем описания). Например:

– достаточность капитала для покрытия ущерба определенного уровня;

– предельно допустимые значения по покрытию долга (долг/EBITDA);

– платежеспособность: компания должна быть в состоянии обеспечивать выполнение своих обязательств;

– структура доходов: компания считает критичной потерю более определенного процента доходов или хочет установить предельный процент зависимости доходов от одного или нескольких крупных клиентов.

Четвертый элемент – выработка реакции на риск – предполагает выработку стратегии реагирования на каждый выявленный риск. Базовые стратегии реакции на риск обычно предполагают:

– Избегание риска – руководство компании в таком случае решает не начинать или прекратить проекты или виды деятельности, приводящие к риску, выходящему за пределы риск-аппетита.

– Минимизация риска – руководство компании в таком случае предпринимает меры для уменьшения воздействия или вероятности риска путем разработки и внедрения соответствующей стратегии, плана действий, соответствующих контрольных процедур. В этом случае в ряде компаний также оценивается уровень остаточного риска – риска после применения контрольных процедур и мероприятий по снижению риска.

– Принятие риска – руководство компании в таком случае решает, что минимизация риска не является возможной или экономически оправданной, а выгоды, получаемые от проектов, процедур или видов деятельности, стоят принимаемого риска.

– Передача риска (перенос риска) – разделение с другой стороной возможных потерь или преимуществ от риска.

Ответственность за разработку мероприятий по управлению приоритетными рисками несут руководители и/или прочие ключевые работники подразделений, в наибольшей степени влияющих на управление данными рисками.

Контроль за реализацией мероприятий по управлению ключевыми (приоритетными) рисками должен осуществлять совет директоров, а контроль за рисками «желтой» и «зеленой» зоны находится целиком в зоне ответственности менеджмента, который должен обеспечить адекватность контрольных процедур для управления всеми рисками.

Таким образом, следующим важным элементом системы управления рисками являются процедуры контроля, обеспечивающие удержание рисков в приемлемом диапазоне. Для адекватного внедрения процедур контроля совету директоров необходимо:

1. Создать необходимую инфраструктуру, позволяющую обеспечить эффективность контрольных процедур:

– процедуры контроля реализуются на всех уровнях управления;

– контрольные мероприятия встроены в ежедневные операции;

– обеспечено адекватное разделение обязанностей и отсутствие конфликтов интересов при выполнении персоналом своих обязанностей.

2. Убедиться в том, что в компании осуществляются периодические проверки соответствия всех областей̆ деятельности установленным политикам и процедурам.

3. Убедиться в адекватности, полноте и достоверности финансовой и управленческой отчетности, информации на всех уровнях управления.

4. Обеспечить соответствие деятельности законодательству.

Различают несколько форм контрольных процедур: предварительный контроль, текущий контроль, последующий контроль.

Предварительный контроль может включать:

– назначение ответственного исполнителя;

– установление стандартов качества;

– установление строгих процедур составления тендерных и коммерческих предложений расчетов стоимости строительства;

– создание системы управленческого учета и отчетности.

Текущий контроль может предусматривать:

– проверку материалов и товаров по мере прохождения ими производственного процесса;

– обеспечение обратной связи производств и ответственных лиц по выполнению плановых показателей в разрезе смены, дня, месяца, квартала, года;

– обеспечение обратной связи со служащими по показателям качества в ходе процесса производства;

– создание системы оценки функционирования бизнеса;

– мониторинг ключевых показателей деятельности (эффективности).

Последующий контроль может включать:

– проверку качества готовой продукции и услуг сотрудниками службы качества с целью определения степени брака;

– оценку объемов производства продукции с целью определения размеров премии подразделению за выполнение ключевых показателей эффективности (КПЭ) и плановых заданий.

Адекватная система мониторинга также является необходимым элементом эффективной системы управления рисками. В этой связи совет директоров может инициировать создание системы раннего предупреждения – системы ключевых индикаторов риска, которые сигнализируют о приближении рисковых событий. Набор таких индикаторов достаточно уникален для конкретной компании, но может включать следующие признаки66
  Управление компанией в условиях кризиса. Пособие для членов советов директоров, Международная финансовая корпорация, 2010.


[Закрыть]:

– излишняя самоуверенность высшего руководства;

– изменения в правилах учета или отчетности, улучшающие картину;

– снижение операционной эффективности и изменение структуры денежных потоков в пользу разовых источников;

– опережающий рост затрат (особенно накладных расходов) по отношению к доходам;

– негативные отчеты финансовых аналитиков, рейтинговых агентств, негативные реакции инвесторов на результаты работы компании;

– проявление нежелания кредиторов предоставить дополнительное финансирование;

– высокая текучесть кадров, в том числе управленческих;

– странные и неожиданные действия конкурентов (например, изъятие инвестиций или нетипичные инвестиции);

– общественные настроения, которые могут стимулировать к действиям регуляторов;

– ощутимое недовольство клиентов;

– существенная критика в средствах массовой информации (полезным может оказаться мониторинг так называемых веб – сайтов недовольных сотрудников или клиентов);

– необоснованно высокая активность в сфере слияний и поглощений.

Для осуществления эффективного мониторинга совет директоров может воспользоваться обширным арсеналом имеющихся у него инструментов контроля. Каждая компания использует несколько процессов получения информации о своей деятельности и состоянии рынка, и, как правило, эта информация содержит сигналы раннего предупреждения о возможном кризисе.

Таким образом, адекватные информация и коммуникации – также необходимый элемент эффективной системы управления рисками. Релевантная информация должна собираться, анализироваться, вовремя предоставляться руководству компании для принятия решений.

Такую информацию нужно обязательно анализировать и использовать в принятии стратегических решений77
  Там же.


[Закрыть]:

1. Отчеты внешних аудиторов. Аудиторские отчеты, в особенности так называемые письма аудиторов к руководству компании, в которых внешние аудиторы озвучивают свои выводы и результаты, выходящие за рамки простой проверки цифр, могут быть очень информативными. При этом важно, чтобы совет непосредственно общался с внешними аудиторами и изучал их выводы и чтобы именно совет директоров, а не правление назначал внешних аудиторов, с тем чтобы обеспечить их независимость и критическую точку зрения.

2. Отчеты внутренних аудиторов и отчеты о соблюдении требований. Они могут обратить внимание совета директоров на опасные тенденции в операционной деятельности (а не просто на отдельные инциденты), которые могут подвергнуть компанию значительным рискам (например, на систематическое мошенничество в виде растущего разрыва между балансовой стоимостью и реальной стоимостью товаров на складе).

3. Отчеты о действиях регуляторов, которые позволяют отследить наличие у компании проблем с соблюдением нормативно-правового регулирования или вопросов, связанных с выполнением установленных правил (например, штрафы за нарушение норм безопасности глубоководной нефтяной платформы Deepwater Horizon компании BP были намного выше среднего показателя по отрасли еще до аварии на буровой установке).

4. Отчеты о тенденциях в отрасли. Зачастую тенденции в отрасли (восходящие и нисходящие тренды) можно отследить еще до того, как они повлияют на конкретную компанию, что дает возможность принять необходимые меры предосторожности и избежать проблемной ситуации по причине как излишних, так и недостаточных мощностей.

4. Внедрение системы управления рисками

Уровень развития системы управления рисками, безусловно, зависит от размера компании, отрасли, стадии развития и пр. В общем виде этапы внедрения системы управления рисками можно представить таким образом:

1. Назначение ответственного лица (риск-менеджера) за управление системой.

2. Разработка карт рисков, моделей и индикаторов рисков, утверждение советом директоров уровня риск-аппетита.

3. Внедрение регламентов мониторинга и выявления рисков в рамках утвержденной процедуры контроля.

4. Разработка механизма регистрирования и учета значений показателей рисков в базах данных предприятия.

5. Построение системы мотивации персонала, с учетом принятия им на себя риска.

6. Создание документальных отчетов о текущих значениях показателей риска руководству предприятия и ответственным сотрудникам организации.

7. Регулярное заслушивание отчетов топ-менеджмента о фактических значениях индикаторов риска и мониторинге их нахождения в границах установленных нормативов.

Задача совета директоров заключается в долгосрочном развитии компании, поэтому надзор за наличием и эффективностью системы управления рисками является для совета одним из важнейших приоритетов. Исходя из специфики бизнеса и его приоритетных задач совет может выработать различные требования к системе управления рисками. В Приложении 5 приведено описание уровней развития системы риск-менеджмента в зависимости от размера и стадии развития организации88
  С использованием Guide to Enterprise Risk Management. http://www.ucop.edu/enterprise-risk-management/_files/protiviti_faqguide.pdf


[Закрыть].

Какой бы подход к управлению рисками ни выбрал совет директоров, важнейшей его задачей остается формирование адекватной контрольной среды культуры управления рисками в организации, соответствующих процедур оценки рисков и поддержки контрольных процессов, которые бы обеспечивали разумную уверенность в том, что цели компании будут достигнуты. Именно совет директоров (включая неисполнительных и независимых директоров) несет конечную ответственность за контроль за рисками компании, а также за установление приоритетов в использовании ресурсов для управления рисками.

Приложение 1
Процесс управления рисками

Приложение 2
Описание шкалы оценки рисков в годовом отчете ОАО «Полиметалл»99
  http://www.polymetal.ru/~/media/Files/P/Polymetal/Annual%20Reports/Polymetal_AR13%20web_Russian.pdf


[Закрыть]

Приложение 3
Фрагмент карты рисков в годовом отчете ОАО «Уралкалий»1010
  http://www.uralkali.com/upload/iblock/fc0/UR026_AR2013_Russian_AR.pdf


[Закрыть]

Приложение 4
Пример изображения тепловой карты рисков

Приложение 5
Уровни развития системы риск-менеджмента в зависимости от размера и стадии развития организации

Приложение 6
Список источников

1. Guide to Enterprise Risk Management – http://www.ucop.edu/enterprise-risk-management/_files/protiviti_faqguide.pdf

2. COSO Enterprise Risk Management Standards – http://www.coso.org/documents/coso_erm_executivesummary.pdf

3. John Harper. Chairing the Board: A Practical Guide to Activities and Responsibilities. – London, 2007.

4. OECD Corporate Governance Principles. – 2004. www.oecd.org

5. Кодекс корпоративного управления. – 2014.

6. Маккарти М. П., Флинн Т. Управление рисками на уровне топ-менеджеров и советов директоров. – М., 2005.

7. Чаран Р. Совет директоров. Технологии эффективной работы. – М., 2006.

8. Управление компанией в условиях кризиса. Пособие для членов советов директоров. – Международная финансовая корпорация, 2010.

9. Организация работы совета директоров: практические рекомендации / Под ред. А. Филатова, Э. Джураева. – М.: Альпина, 2014.

Методические рекомендации
по организации работы комитетов по аудиту
советов директоров акционерных обществ

Методические рекомендации по организации работы Комитетов по аудиту Советов директоров акционерных обществ с участием Российской Федерации (далее – Методические рекомендации) разработаны для оказания содействия советам директоров акционерных обществ с участием Российской Федерации в уставном капитале (далее – компании) по определению роли и задач комитетов по аудиту компаний, в целях повышения качества корпоративного управления в акционерных обществах с государственным участием.

Методические рекомендации рекомендуются к применению председателем совета директоров, членами совета директоров, членами комитета по аудиту и исполнительными органами компании. С учетом настоящих методических рекомендаций, отраслевых особенностей и особенностей конкретной компании рекомендуется сформировать Положение о комитете по аудиту, которое утверждается советом директоров.

1. Введение

1.1. Комитет по аудиту является одним из важнейших инструментов корпоративного управления компании, и его роль неуклонно растет в условиях выхода компаний на международные рынка капитала, необходимости обеспечения соответствия требованиям регуляторов, повышения инвестиционной привлекательности компаний.

1.2. Комитет по аудиту создается в целях содействия эффективному выполнению функций совета директоров в части предварительного рассмотрения вопросов, связанных с контролем за финансово-хозяйственной деятельностью компании.

К вопросам деятельности комитета относятся: надзор за формированием бухгалтерской (финансовой) отчетности, системой внутреннего контроля и управления рисками, обеспечения соблюдения нормативно-правовых требований и информирования исполнительных органов о нарушениях, налаживания взаимодействия между внешними и внутренними аудиторами, а также другие вопросы по назначению совета директоров.

1.3. В то время как весь совет директоров, в качестве наблюдательного органа, должен действовать в интересах компании, комитет по аудиту наделяется особенной ролью, которая заключается в его независимом статусе от исполнительных органов компании в защите интересов акционеров в части бухгалтерской (финансовой отчетности) и системы внутреннего контроля. Комитет по аудиту подотчетен только совету директоров, что позволяет ему отдельно от исполнительных органов компании осуществлять независимый контроль и оценку финансово-хозяйственной деятельности компании.

1.4. При этом комитету необходимо постоянно взаимодействовать с исполнительными органами компании с целью совместного рассмотрения вопросов относящихся к:

– эффективности системы внутреннего контроля;

– эффективности системы управления рисками;

– эффективности практики корпоративного управления;

– достоверности бухгалтерской (финансовой) отчетности;

– соблюдения нормативно-правовых требований (комплаенс);

– координации деятельности внутреннего аудитора;

– координации деятельности внешнего аудитора;

– прочим вопросам по поручению совета директоров.

Необходимо принимать во внимание, что вышеуказанный список является обобщающим. В силу отраслевой специфики некоторые из вышеуказанных вопросов могут быть в компетенции других комитетов при совете директоров. (Например, в банковской сфере вопросами управления рисками может заниматься комитет по рискам). В таких случаях необходимо ориентироваться на отраслевые требования к комитету по аудиту и/или усмотрение совета директоров при распределении обязанностей между комитетами.

1.5. Многие из основных функций комитета по аудиту изложены в настоящих методических рекомендациях в терминах осуществления «надзора», «контроля», «оценки» и «анализа» в отношении отдельных бизнес-функций. Необходимо иметь в виду, что обязанностью комитета по аудиту не является выполнение этих функций, действия «надзора», «контроля», «оценки» и «анализа» в отношении которых он осуществляет, комитет не участвует в их непосредственном выполнении.

Например, в отношении действий менеджмента по подготовке бухгалтерской (финансовой) отчетности или внутренних аудиторов при планировании и проведении аудитов, Комитет по аудиту, в данном примере, должен убедиться в том, что существует надежная система внутреннего контроля за подготовкой бухгалтерской (финансовой) отчетности, но это не означает осуществление комитетом по аудиту собственно осуществления непосредственного мониторинга за процессом подготовки бухгалтерской (финансовой) отчетности, т. к. ответственность за внедрение и эффективное функционирование системы лежит на исполнительных органах компании.

1.6. Методические рекомендации подготовлены в развитие Методических рекомендаций по организации работы Совета директоров в акционерном обществе (Приказ Росимущества от 21.11.2013 № 357) на основе российского законодательства и с учетом передовой практики корпоративного управления. Перечень использованной и рекомендованной литературы приведен в приложении.