Текст книги "Теория и практика управления рисками организации"

5.2. Обобщенная модель управления рисками организаций на примере COSO-II: регламенты проведения и структура взаимосвязей[115]115
  COSO был образован в 1985 г. при поддержке Национальной комиссии по вопросам мошенничества в финансовой отчетности (Комиссия Тредвея). Эта комиссия была организована и финансируется совместно пятью основными профессиональными бухгалтерскими ассоциациями и институтами США: Американским институтом дипломированных общественных бухгалтеров (AICPA), Американской ассоциацией бухгалтеров (AAA), Международной ассоциацией финансовых руководителей (FEI), Институтом внутренних аудиторов (IIA) и Институтом бухгалтеров по управленческому учету (IMA). Первоначально председателем Комиссии был Джеймс C. Тредвей-мл., исполнительный вице-президент и генеральный советник Paine Webber Incorporated и бывший комиссар США по ценным бумагам и биржам (отсюда неофициальное название «Комиссия Тредвея»). В настоящее время председателем COSO является Дэвид Л. Лэндситтел (David L. Landsittel), он сменил на этом посту Ларри Е. Риттенберга.


[Закрыть]

Управление рисками в организации как элемент общего управления.

Все организации в своей деятельности сталкиваются с неопределенностью среды бизнеса и неясностью будущих событий, порождающих риски в их деятельности. Задачей руководства является принятие решения об уровне допустимой неопределенности как факторе угрозы и уровне допустимого риска, с которым организация готова смириться, стремясь реализовать установленные стратегические цели, например обеспечить конкурентоспособность, увеличить стоимость активов для заинтересованных сторон и т. д. Неопределенность, с одной стороны, таит риски принятия решений, а с другой – открывает новые возможности, поэтому она может привести, например, как к снижению стоимости активов, так и к ее увеличению. Управление рисками позволяет руководству организации эффективно действовать в условиях неопределенности и связанных с ней рисков и использовать возможности, увеличивая потенциал развития. Подчеркнем, что рост стоимости (капитализации) организации будет максимальным, если руководство определяет стратегию и цели таким образом, чтобы обеспечить оптимальный баланс между ростом организации, ее прибыльностью и допустимым уровнем риска. Обеспечение такого баланса возможно при умелом управлении рисками организации как элементе общего управления. Обобщение теоретических подходов и результатов практической деятельности в области минимизации рисков показывает, что для эффективной минимизации рисков компании до требуемого уровня целесообразно создание специального подразделения (службы)[116]116
  Из-за неоднозначной политики отдельных компаний в области корпоративных финансов и случаев международной коррупции Комиссия по ценным бумагам и биржам США (SEC) и Конгресс США в середине 1970-х гг. начали реформирование корпоративного финансового права, и в 1977 г. был принят Закон США о коррупции за рубежом (Foreign Corrupt Practices Act), который признал преступлением транснациональное взяточничество и потребовал от компаний проведения программ внутреннего контроля через специально созданные службы.


[Закрыть]. Причем необходимо четко соотносить масштабы противорисковых мероприятий и масштаб экономической деятельности организации. Так, для малого предприятия создание специального отдела по управлению рисками может быть сопряжено с дополнительными финансовыми затратами, несоизмеримыми с пользой, принесенной подразделением, поэтому в данной ситуации следует ограничиться привлечением специалиста по анализу и минимизации рисков. В то же время в крупном производственном предприятии такой специалист не сможет охватить весь спектр бизнес-процессов предприятия, что приведет к финансовым потерям. Кроме того, организационная структура системы минимизации рисков предприятия зависит не только от размера, но и от вида его предпринимательской деятельности. Так, если организация специализируется на доходных, но высокорисковых инвестициях, например занимается венчурным бизнесом, то без грамотного управления рисками его неминуемо ждет крах в ближайшей перспективе. Той организации, профильной деятельностью которой является местная торговля традиционным продуктом, не требуется специальный отдел по управлению риском. Здесь существуют риски вытеснения с рынка новыми, более технологичными продуктами, однако их прогнозировать может и должен руководитель данной организации, обладающий специальными экономическими знаниями по анализу и минимизации рисков.

Специально выделенным структурным подразделением (департаментом, отделом, отделением и проч.), в функции которого включается управление риском, руководит риск-менеджер (риск-аналитик в большом предприятии). По нашему мнению, риск-менеджер должен являться представителем топ-менеджмента организации и нести личную ответственность за проведение противорисковых мероприятий, координацию деятельности иных структурных подразделений в области управления риском, разработку и применение рисковой стратегии организации и т. д. Данная позиция риск-менеджера продиктована тем, что чаще всего методы минимизации рисков влекут за собой принятие непопулярных, «болезненных» для некоторых подразделений управленческих решений. В случае, когда инициатива проведения снижающих риски мероприятий исходит от руководителя низшего или среднего звена, она может быть заблокирована вышестоящим руководством.

Подразделение управления риском формирует рисковую политику предприятия, которая тесно связана с общей концепцией развития организации, так как именно отношение к предпринимательским рискам влияет на ее общее положение.

Так, предприятие, которое стремится завоевать новые для себя рынки, выберет вариант деятельности, сопряженный с повышенным риском, т. е. будет проводить активную рисковую политику предприятия. Например, предприятие, занимающееся реализацией металлургической продукции, желая занять место на перспективном зарубежном рынке с возможностью роста продаж в будущем, может нести повышенные риски, предоставляя особые условия покупателям – отсрочки платежа, неденежные формы расчетов за продукцию и др. О предприятии, которое отказывается от высокоприбыльных рисковых сделок, завоевания новых рынков сбыта ради сохранения финансовой устойчивости, говорят, что оно проводит пассивную рисковую политику. Заметим, что определение типа рисковой политики предприятия должно базироваться на всестороннем, комплексном экономическом анализе целей и условий его деятельности.

В любом случае рисковая политика каждой организации должна учитывать стратегические задачи внедрения процедур регулирования рисков, а именно:

• обеспечение прозрачности работы структурных подразделений;

• обеспечение отлаженного взаимодействия подразделений организации;

• реализация контроля и коррекция неэффективных действий;

• управление нестабильностью ожидаемых результатов в деятельности организации (объем доходов, денежные потоки) как проявление бизнес-риска, являющегося неотъемлемой частью бизнес-среды организации и вместе с тем результатом принимаемых управленческих решений;

• принятие решений о проектном выделении капитала;

• определение стратегии финансирования организации и выявление ее неэффективности;

• управление затратами (соотношение постоянных и переменных затрат);

• принятие решений о целесообразности страхования выявленных рисков;

• эффективное управление налоговыми обязательствами организации[117]117
  Авдийский В.А., Курмашов Ш.Р. Прогнозирование и анализ рисков в деятельности хозяйствующих субъектов. М.: Финансовая академия при Правительстве РФ, 2003. С. 14.


[Закрыть].

Основу регулирования риска организации составляют целенаправленный поиск и организация работы по снижению риска, искусство получению заданного результата (увеличения дохода, выигрыша, прибыли) в неопределенной хозяйственной ситуации. Конечная цель регулирования риска организации соответствует целевой функции предпринимательства – получению наибольшего результата при оптимальном, приемлемом для предпринимателя соотношении прибыли и риска. Регулирование риска организации представляет собой систему управления риском и финансовыми отношениями, возникающими в процессе этого управления. Она имеет свою стратегию и тактику.

Стратегия в общем виде представляет собой искусство планирования, руководства, основанного на общесистемных и далеко идущих прогнозах. Стратегия минимизации рисков — искусство снижения риска до допустимого уровня в неопределенной хозяйственной ситуации, основанное на прогнозировании риска и использовании приемов его снижения. Стратегия включает обоснованные правила, на базе которых принимаются рисковые решения и способы выбора варианта решения. Разработчику следует сконцентрировать усилия на вариантах решения, не противоречащих принятой стратегии, и отбросить все другие варианты. После достижения поставленной цели стратегия как направление и средство ее достижения прекращает свое существование. Новые цели ставят задачу разработки новой стратегии.

Тактика — конкретные методы и приемы для достижения поставленной цели в конкретных условиях экономической деятельности. Задачей тактики управления является выбор оптимального решения и наиболее приемлемых в данной хозяйственной ситуации методов и приемов управления и реализуется в специальном плане «Концепция внутреннего контроля» организации.

Общие методы управления рисками организаций. Рассмотрим общие методы управления рисками предприятий на примере рекомендаций американского стандарта COSO. Комиссия Тредвея, изучив информацию о финансовой отчетности за период с октября 1985 г. по сентябрь 1987 г., в октябре 1987 г. опубликовала Доклад Национальной комиссии по вопросам мошенничества в финансовой отчетности с выводами и рекомендациями. В результате был сформирован Комитет спонсорских организаций (COSO), который впоследствии был сохранен компанией Coopers&Lybrand для изучения вопросов и подготовки доклада

О концептуальных основах внутреннего контроля. В сентябре 1992 г. четвертый раздел доклада, озаглавленный «Концептуальные основы внутреннего контроля», был опубликован COSO и переиздан с небольшими поправками в 1994 г. В этом докладе были представлены общее определение внутреннего аудита как контроля и его модель, сравнение с которой систем внутреннего контроля позволит им совершенствоваться. Указанный отчет стал одним из первоначальных стандартов, который американские организации используют для оценки их соответствия FCPA. Согласно результатам опроса журнала «Финансовый директор», проведенного в 2006 г., 82 % респондентов использовали модель внутреннего контроля, предложенную COSO.

Модель COSO включает в себя следующие основные понятия:

• внутренний контроль представляет собой процесс. Это средство для достижения цели, а не самоцель;

• внутренний контроль зависит от людей и представляет собой не только политику, руководство и формы, но и работников на всех уровнях организации;

• внутренний контроль может обеспечить руководству и совету директоров организации лишь «разумную уверенность», но не абсолютные гарантии;

• внутренний контроль направлен на достижение целей в одной или нескольких отдельных, но пересекающихся категориях.

Модель COSO на основе этих понятий определяет внутренний контроль как процесс, осуществляемый советом директоров, менеджментом и остальным персоналом организации, предназначенный для обеспечения «разумной уверенности» относительно достижения целей в следующих категориях: эффективность и продуктивность операций, надежность финансовой отчетности, соблюдение законов и правил.

Внутренний контроль является видом человеческой деятельности и поэтому предполагает возможность ошибки в процессах или суждениях. Так, он может быть «изменен», например в результате сговора работников либо давления высшего руководства, что определяет ограничения по его применению. Журнал «Финансовый директор»[118]118
  CFO Magazine: The Trouble with COSO, 2006.


[Закрыть] заявил, что «одна из самых больших проблем – ограничения внутреннего аудита в одной из трех ключевых целей модели. В модели COSO эти цели применяются к пяти ключевым компонентам (мониторинг, информация и коммуникации, средства контроля, оценка рисков и контрольная среда). Учитывая число возможных вариантов, не удивительно, что число проверок может выйти из-под контроля». По сообщения журнала многие организации создают собственные модели риск-контроля на основе модели COSO, фокусируя внимание на компонентах, которые непосредственно относятся к разделу 404 Закона Сарбейнса – Оксли (наличие эффективного отдела внутреннего аудита)[119]119
  Президент США Буш 30 июля 2002 г. подписал закон Сарбейнса – Оксли (Sarbanes– Oxley Act), что стало одним из значительных событий по изменению федерального законодательства США по ценным бумагам за последние 60 лет. Закон ужесточает требования к финансовой отчетности и процессу ее подготовки, применяется для всех эмитентов (issuers) – в данном случае для всех компаний, ценные бумаги которых зарегистрированы Комиссией по ценным бумагам и биржам США (SEC) вне зависимости от места регистрации и деятельности компании, т. е. от того, торгуются ли ценные бумаги на Нью-Йоркской фондовой бирже NASDAQ или на любой другой американской бирже, зарегистрированы ли они в качестве долговых обязательств в США (с листингом или без него), принадлежат ли компании, проходящей регистрацию для выпуска ценных бумаг в США.


[Закрыть].

Период разработки концептуальной базы по управлению рисками был отмечен в США рядом корпоративных скандалов и банкротств (например, Enron, Tyco International, Adelphia, Peregrine Systems и WorldCom), получивших широкую огласку и принесших значительные убытки инвесторам, персоналу компаний и другим заинтересованным сторонам. Следствием этого стали призывы к укреплению корпоративного управления и совершенствованию управления рисками путем введения новых законов, нормативных актов и новых требований к представлению информации, регистрации ценных бумаг на фондовых биржах. Данную задачу выполняет документ «Концептуальные основы управления рисками организаций», который широко применяется организациями и всеми заинтересованными сторонами. Одним из последствий этих событий стало принятие закона Сарбейнса – Оксли в США в 2002 г. Аналогичные законы (а также стандарты и другие нормативные акты) были приняты в конце 1990-х или начале 2000-х гг. в странах Европы, Африки, в Австралии, Японии, Канаде, России; их планируется принять и в других странах. Многие из принятых стандартов были обновлены с учетом новых социально-экономических реалий. Данные законы расширяют давно существующее требование к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля и возлагают обязанность на руководство организаций представлять информацию об эффективности этих систем, а на независимого аудитора – удостоверять предоставленные сведения.

В 2001 г. COSO инициировал разработку концептуальных основ управления рисками для использования менеджментом компаний при оценке системы управления рисками и ее дальнейшем усовершенствовании – COSO-II. Для реализации этого проекта была привлечена компания Pricewaterhouse Coopers. В 2004 г. COSO публикует Концептуальные основы управления рисками организаций, считая, что эта модель продолжает рассмотрение вопросов внутреннего контроля, но делает акцент на более широком понятии управления рисками. Концептуальная основа управления рисками организаций по-прежнему направлена на достижение целей организации, однако включает четыре категории целей:

• стратегические (strategic) – цели высокого уровня, соотнесенные с миссией/видением организации;

• операционные (operations) – эффективное и результативное использование ресурсов;

• цели в области подготовки отчетности (reporting) – достоверность отчетности;

• цели в области соблюдения законодательства (compliance) – соблюдение применимых законодательных и нормативных актов. Данный документ не заменяет «Концептуальные основы внутреннего аудита», а включает их в качестве составной части. Поэтому организации могут принять решение использовать данный документ как в целях решения задач по внутреннему контролю, так и для перехода к более широкому процессу управления рисками. На основе Концептуальных основ или Принципов управления рисками был разработан более детализированный Регламент регулирования рисков – документ, содержащий основные ключевые моменты стратегии управления рисками, некие правила принятия решений, иными словами, общие положения для конкретной организации по отношению к управлению риском.

Цель Регламента – формирование обоснованного подхода к выработке риск-стратегии организации, органически вписанной в структуру ее бизнеса и способствующей сбалансированности ее профиля риск – доходность. В Регламенте описываются система управления рисками организации, организационная структура системы риск-менеджмента, разграничение зон ответственности и полномочий между структурными подразделениями организации.

Задачами Регламента в соответствии с данным стандартом являются:

• установление стратегических целей, например повышение стоимости организации для акционеров и всех заинтересованных лиц; • ограничение уровней принимаемых организацией рисков в соответствии с предпочтениями руководства и акционеров при поддержании высоких объемов проводимых операций;

• обеспечение способности организации покрывать вызываемые рисками убытки собственными средствами без угрозы для достижения ее стратегических, оперативных и финансовых целей – за счет риск-капитала, устанавливаемого топ-менеджментом организации и предназначенного для покрытия возможных убытков по всем видам деятельности и всем видам рисков;

• формирование публичной отчетности надлежащего уровня качества, позволяющей заинтересованным лицам получать адекватную информацию о деятельности организации и связанных с ней рисках с учетом требований к раскрытию информации о соотношении риска и дохода, а также об инвестиционных стратегиях организации;

• обеспечение стратегической и оперативной устойчивости бизнеса организации за счет снижения чувствительности результатов ее деятельности к факторам рисков всех типов;

• обеспечение эффективного распределения ресурсов организации с учетом всех рисков;

• снижение изменчивости стратегических показателей (например, показатель волатильности прибыли) за счет разработки системы стимулирования подразделений и персонала организации на основе регулирования риска;

• определение во внутренних нормативных документах организации установленных процедур и полномочий при принятии решений в рамках организации и обеспечение их соблюдения;

• поддержание уровня надежности, соответствующего характеру и масштабам операций организации, ее дочерних и зависимых обществ;

• снижение непредвиденных убытков и экстремальных потерь организации за счет уменьшения вероятности их наступления;

• оптимизация налоговых обязательств организации за счет уменьшения волатильности ее доходов и расходов.

Регламент предполагает осуществление стратегического управления рисками в строгом соответствии с предпочтениями руководства организации относительно соотношения между риском и доходностью для организации в целом.

Регламент предоставляет системный управленческий инструмент повышения эффективности функционирования организации (например, ее стоимости и других стратегических целей) за счет снижения неопределенности относительно результатов деятельности организации и их изменчивости во времени. Реализация положений Регламента позволит повысить стабильность финансового состояния, конкурентоспособность и привлекательность организации для потенциальных инвесторов и партнеров.

Регламент обеспечивает организацию системы управления рисками компании на основе ряда принципов.

1. Принцип интегрированности означает концентрацию управления рисками на уровне руководства и одновременное делегирование полномочий, предполагающее вовлечение в данный процесс всех структурных и функциональных подразделений организации. Комплексный интегрированный подход к выявлению, оценке и минимизации совокупного риска во всех направлениях деятельности организации обеспечивает формирование высококонсолидированной взвешенной оценки риска организации, которая может служить эффективным аналитическим инструментом принятия руководством организации оперативных и стратегических управленческих решений.

Данный принцип реализуется посредством комплексного учета в рамках системы минимизации рисков следующих элементов:

• наличия, полноты и эффективности стратегии развития организации, в том числе маркетинговой политики, стратегического партнерства, региональной политики и стратегических инвестиций;

• эффективности процедур планирования и бюджетирования, а также управленческой отчетности;

• установления и соблюдения обоснованных лимитов и контрольных параметров операций и сделок, за рамками которых решения о проведении сделки или операции принимаются исключительно вышестоящим руководством;

• наличия актуализированных с учетом текущей конъюнктуры прогнозов и планов действий в чрезвычайной обстановке;

• установления и соблюдения процедур защиты от юридических рисков;

• соблюдения и эффективности политики в области управления персоналом.

2. Принцип непрерывности предполагает его осуществление на постоянной основе и вне зависимости от экспертных оценок менеджеров организации относительно его необходимости в сложившейся на текущий момент ситуации. Этот принцип предусматривает реализацию в рамках системы минимизации рисков ряда процедур на регулярной основе, в том числе:

• периодический пересмотр выявленных ключевых рисков и процедур для случаев приближения риска к критическим показателям;

• постоянную оценку текущих рисков организации, регулярный пересмотр моделей управления и систем утверждения лимитов, создание «сигнальной системы» об опасном приближении к критическим показателям;

• регулярную переоценку стоимости портфеля организации по единой стандартной технологии;

• регулярную количественную оценку действующих рисков (VaR) и анализ основных источников риска/дохода;

• периодическое «стрессовое тестирование» действующих моделей, агрегированного портфеля и индивидуальных портфелей в целях оценки потерь организации (портфеля) в экстремальных ситуациях;

• периодическое тестирование применяемых на практике моделей (back-testing);

• регулярный мониторинг и пересмотр ключевых параметров и допущений модельного аппарата;

• периодический пересмотр системы лимитов и ограничений операций, а также совокупного риска агрегированного портфеля и портфелей управляющих подразделений;

• обеспечение непрерывного учета и отчетности, а также анализа эффективности и рисковости размещения ресурсов;

• перманентное отслеживание постоянно изменяющихся факторов риска посредством формирования и ведения по каждому типу риска оперативной унифицированной отчетности;

• мониторинг корпоративных рисков организации на постоянной основе по распоряжению руководства и по запросам структурных подразделений организации. Подготовка на регулярной основе стандартных риск-отчетов для руководства организации, а также специальных риск-отчетов по заданной тематике по распоряжению руководства и по запросам структурных подразделений организации;

• регулярный пересмотр основных параметров лимитной и резервной политики и страховой программы организации. Для каждого момента времени деятельности организации регламент предусматривает один из режимов функционирования системы минимизации рисков: а) обычный режим, применяемый в обычных условиях хозяйственной деятельности; б) режим особого внимания, применяемый к организации, ее подразделению, группе подразделений при накоплении сигналов о концентрации рисков либо по особым решениям руководства; в) чрезвычайный режим, применяемый по отношению ко всей организации при сигнале о превышении допустимого уровня концентрации рисков; г) режим отладки – режим испытания системы управления рисками, внедрения новых процедур, устанавливаемый по решению руководства организации.

3. Принцип расширенности предполагает оценку и минимизацию всех рисков организации без ограничения только страхуемыми и финансовыми рисками и реализуется посредством следующих мер:

• выявления всех типов рисков и формирующих их риск-факторов на основе всестороннего анализа всех аспектов деятельности организации;

• представления выявленных рисков организации в форме карты рисков, в которой конкретизируются риски организации и ее подразделения, где целесообразно централизовать мероприятия риск-менеджмента;

• разработки унифицированной системы процедур для случаев приближения рисков к критическим показателям;

• последовательного и всеобъемлющего внедрения системы лимитов и ограничений для всех рисков и на различных уровнях детализации;

• вовлечения менеджеров всех управленческих уровней в процесс управления рисками, принимаемыми организацией в своей деятельности.

Критерием эффективности работы реализованной в Регламенте интегрированной, непрерывной и расширенной системы минимизации рисков выступает оптимизация соотношения уровень риска – доходность организации, размер капитала, необходимого для покрытия всех экономических рисков организации, и потери организации, выраженные в таких факторах, как:

• излишнее сокращение объемов операций при их лимитировании и обусловленное им снижение скорости оборота средств организации;

• отвлечение средств из оборота сверх объективно необходимого уровня в рамках резервирования средств под потери от рисков;

• отвлечение средств из потенциально более доходных операций

вследствие завышения оценки их рисковости.

Регламент предусматривает осуществление комплексного подхода, предполагающего последовательную реализацию трех этапов:

1) выявление (диагностика) всех факторов риска, являющихся внутренними и внешними по отношению к организации и способных оказать негативное влияние на результаты ее деятельности и стоимость;

2) оценка всех объектов риска, стоимость которых зависит от выявленных факторов риска;

3) минимизация выявленных и оцененных рисков.

Практические рекомендации по минимизации рисков представляют собой документ, определяющий конкретные действия работников организации, включают в себя перечень действий работников в зависимости от вида риска, возможности количественной оценки, размера возможных потерь, а также набор стандартных противорисковых мероприятий и проч. Практические рекомендации содержат описание методики выявления рисков (проведения риск-аудита), их оценки на основе качественного и количественного анализа риска, описание возможности применения того или иного метода минимизации рисков. В настоящее время алгоритм управления рисками разработан довольно детально и излагается во многих инструктивных методиках и стандартах, о которых разговор пойдет в § 7.1–7.3.

Управление рисками организации в общем случае включает в себя ряд элементов:

• определение уровня риск-аппетита (риск, на который готова идти организация) в соответствии со стратегией развития. При этом руководство оценивает риск-аппетит на этапе выбора из стратегических альтернатив при постановке целей, отвечающих выбранной стратегии, а также при разработке механизмов управления рисками;

• совершенствование процесса принятия решений по реагированию на возникающие риски, когда процесс управления рисками определяет, какой способ реагирования на риск в организации предпочтителен – уклонение от риска, сокращение риска, перераспределение риска или принятие риска;

• сокращение числа непредвиденных событий и убытков в хозяйственной деятельности; при этом организации расширяют возможности по выявлению потенциальных событий и установлению соответствующих мер, сокращая число таких событий и связанные с ними затраты и убытки;

• определение и управление всей совокупностью рисков в хозяйственной деятельности – важная задача каждой организации, сталкивающейся с большим числом рисков, влияющих на различные составляющие деятельности организации. Управление рисками способствует более эффективному реагированию на различные воздействия и разработке интегрированного подхода в отношении множественных рисков;

• использование благоприятных возможностей, если организация принимает во внимание все потенциальные события, а не только вероятные риски. При этом руководство способно выявлять события, представляющие собой потенциальные возможности, и активно их использовать;

• рациональное использование ресурса (капитала, сырья, информации, управления и др.). Так, более полная информация о рисках позволяет руководству более эффективно оценивать общие потребности в капитале и оптимизировать его распределение и использование.

Управление рисками организации помогает ее руководству достичь целевых показателей прибыльности и рентабельности, а также предотвратить нерациональное использование ресурсов, обеспечить эффективное составление финансовой отчетности, а также соблюдение законодательных и нормативных актов, избежать нанесения ущерба репутации организации и связанных с этим последствий. Короче говоря, управление рисками позволяет руководству организации достигать своих целей, избегая просчетов и неожиданностей.

Дадим определение управлению рисками.

Управление рисками организации – процесс, осуществляемый советом директоров, менеджерами всех управленческих уровней и другими работниками, который начинается при разработке стратегии, ее реализации, затрагивает всю деятельность организации и направлен на выявление событий, которые могут влиять на деятельность организации, и управление связанным с этими событиями риском, а также контроль за непревышением риск-аппетита организации и предоставлением разумной гарантии достижения ее целей.

Данное определение отражает фундаментальные концепции управления рисками организации: (1) представляет собой непрерывный процесс, охватывающий всю организацию; (2) осуществляется работниками на всех уровнях организации; (3) используется при разработке и формировании стратегии; (4) применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации; (5) нацелено на выявление событий, которые могут влиять на организацию и управление рисками таким образом, чтобы они не превышали готовности организации идти на риск (риск-аппетит); (6) дает руководству и совету директоров организации разумную гарантию достижения целей; (7) связано с достижением целей по одной или нескольким пересекающимся категориям.

Данное определение имеет намеренно широкое содержание: охватывает основополагающие концепции управления рисками организаций, предоставляя основу для управления рисками в различных организациях, отраслях и секторах экономики, фокусируется непосредственно на достижении целей, установленных конкретной организацией, и является основой для оценки эффективности процесса управления рисками.

Важнейшим элементом системы управления рисками является формирование стратегических целей развития. Достижение установленных целей и есть результат управления рисками и оценка ее эффективности. Исходя из выработанной миссии организации, руководство формулирует стратегические цели, выбирает стратегию деятельности и устанавливает соответствующие им тактические цели в деятельности организации, данные в Регламенте (например, базовые положения управления рисками организаций). Эти положения должны быть разработаны таким образом, чтобы оказать содействие в достижении целей организации, которые можно разделить на четыре названные выше категории: стратегические цели, операционные цели, цели в области подготовки отчетности, цели в области соблюдения законодательства. Данная классификация позволяет сконцентрироваться на отдельных аспектах управления рисками организации. Эти разные, но взаимно пересекающиеся категории (каждая цель может попадать более чем в одну категорию) соответствуют различным задачам организации и могут входить в сферу прямых обязанностей руководителей разных уровней. Кроме того, на основе данной классификации можно проводить различие между ожидаемыми результатами по различным категориям целей. Некоторые организации используют еще одну категорию – обеспечение сохранности ресурсов.

Поскольку достижение целей по обеспечению достоверной отчетности и соблюдению законодательства и нормативных актов находится в пределах контроля организации, считается, что регулирование рисков обеспечивает разумную гарантию их достижимости. В то же время достижение стратегических и операционных целей зависит от внешних событий, которые далеко не всегда полностью контролируется организацией. В отношении данных целей управление рисками может предоставить только разумную гарантию того, что руководство и совет директоров, выполняющий функцию надзора, будут своевременно проинформированы о том, в какой степени организация продвигается к достижению целей и как ее подразделения реализуют поставленные задачи по управлению рисками.