Неверно что подразделение ответственное за управление рисками организации может

Обновлено: 12.05.2024

Раздел: Управление рисками

В настоящей статье попытаемся ответить на эти вопросы.

Риски являются объективным и неизбежным фактором любой хозяйственной деятельности. То есть, и управление рисками необходимо при любой хозяйственной деятельности.

Документ COSO ERM (с последующими изменениями и дополнениями) является основополагающим стандартом по управлению корпоративными рисками предприятий любого профиля, определяющий основные рамки, принципы, структуру, компоненты и этапы процесса управления рисками предприятия и являющийся основой для разработки отраслевых и государственных стандартов. В частности, на его основе федеральным агентством по управлению государственным имуществом (ФАУГИ) разработаны и методические указания по подготовке Положения о системе управления рисками для предприятий, акционером которых является государство.

В отчетах многих организаций, как частных, так и государственных существуют целые разделы посвященные описанию рисков и управлению ими, в отчетах предоставлены карты рисков.

Но стоит ли за этими разделами и картами реальное управление рисками?

Как же заинтересованным лицам (акционерам, совету директоров, менеджменту и пр.) построить эффективную систему управления рисками на предприятии? Постараемся в этом разобраться.

Сущность и цель процесса управления рисками.

Необходимость его формализации.

Хотя существуют международные стандарты в области управления рисками (COSO ERM) и методические указания ФАУГИ, с достаточной долей уверенности можно сказать, что представления об эффективном процессе управления рисками у различных людей разное. Примерно, как представление различных людей о занятиях спортом. Одни под этим словосочетанием подразумевают ежедневную утреннюю зарядку, а другие еженедельную игру по воскресеньям в футбол с друзьями. И те и другие, по своему, правы, но на взгляд специалиста это вещи разные, да и эффект (для укрепления здоровья человека) от этих мероприятий различается.

Практически, управление рисками является важнейшей составной частью процесса управления деятельностью любого предприятия. В любом действующем предприятии менеджеры, в той или иной степени, управляют рисками. Без существования системы управления рисками практически любое предприятие, даже в ближайшей перспективе, маложизнеспособно. Задача - совершенствовать эту систему или, другими словами, совершенствовать процессы управления рисками.

Цель совершенствования системы управления рисками на предприятии - заставить всех принимающих решения думать о последствиях этих принимаемых решений и, естественно, отвечать за них.

Если эта цель достигнута, то только тогда систему управления рисками можно считать эффективной.

Подчеркнем, формализация процессов управления рисками не является целью, это только инструмент, служащий достижению цели.

Формализация процессов управления рисками.

Определить, эффективны процессы управления рисками или нет, достаточно сложно. Ответ всегда будет субъективен.

Сразу отметим, что наличие формализованной системы управления рисками на предприятии не является стопроцентной гарантией того, что управление рисками на предприятии осуществляется эффективно. Но наличие формализованной системы позволяет предположить, что на предприятии уделяется достаточное внимание процессам управления рисками, что способствует повышению эффективности этих процессов.

Часто при построении, точнее сказать, формализации процессов управления рисками совершается одна и та же общая ошибка.

Если опять обратиться к аналогии с занятиями спортом, то это сравнимо с тем, что человеку, пожелавшему заняться физическими упражнениями, сразу предлагают комплекс упражнений, предназначенный для спортсменов – профессионалов. И это несмотря на то, что человек даже отжаться от пола пару раз не может…

По аналогии с занятиями спортом, мы должны научить (увлечь) человека ежедневно делать элементарную утреннюю гимнастику, которая укрепит его здоровье. А по мере укрепления организма переходить к более сложным физическим упражнениям.

Эффективными отчетно-учетными формами формализации, являются паспорта рисков, составляемые на определенную дату, и карты рисков, составленные на основании информации, полученной из паспортов. Паспорт риска составляется на каждый риск, а карта рисков включает в себя все выявленные риски, сопутствующие достижению цели.

Остановимся подробней на оформлении этих двух основных документов.

Паспорт риска.

На рисунке 1. приведен пример паспорта риска.

ПАСПОРТ РИСКА

Дата составления (последнего обновления) паспорта риска

1 - ОПИСАНИЕ РИСКА

Предприятие

Подразделение

Участок подразделения

Процессы, выполняемые подразделением

Владелец риска

Председатель комитета по управлению рисками

Координатор рисков

Цели процессов

Комментарии

Наименование риска

Категория риска

Описание риска

Последствия

2 - ОЦЕНКА ПРИСУЩЕГО РИСКА

Влияние (руб.)

Комментарии

Влияние (баллы)

Комментарии

Вероятность

Комментарии

Скорость реализации

Комментарии

Необходимость создания плана чрезвычайных мероприятий

Способ реагирования

Комментарии

Влияние на другие подразделения

Комментарии

3 - ПЛАН МЕРОПРИЯТИЙ ПО УПРАВЛЕНИЮ РИСКОМ

Существующие контрольные процедуры

Вовлеченные подразделения /службы

Оценка эффективности

Периодичность

Ответственный

Комментарии

Необходимые дополнительные контрольные процедуры

Вовлеченные подразделения

Необходимые ресурсы

Периодичность

Ответственный

Комментарии

План мероприятий по управлению риском

Необходимые ресурсы

Ожидаемый результат

Ответственный

Комментарии

4 - ПЛАН ЧРЕЗВЫЧАЙНЫХ МЕРОПРИЯТИЙ

Необходимые ресурсы

Ожидаемый результат

Ответственный

Комментарии

5 - ОЦЕНКА ПЛАНИРУЕМОГО ОСТАТОЧНОГО РИСКА

Влияние (руб.)

Комментарии

Влияние (баллы)

Комментарии

Вероятность

Комментарии

Скорость реализации

Комментарии

6 - ОЦЕНКА ФАКТИЧЕСКОГО ОСТАТОЧНОГО РИСКА

Влияние (руб.)

Комментарии

Влияние (баллы)

Комментарии

Вероятность

Комментарии

Скорость реализации

Комментарии

Необходимость создания плана дополнительных мероприятий

1. Описание риска.

Процессы, выполняемые подразделением - наименование официально регламентированных и не регламентированных, но фактически осуществляемых подразделением функций, процессов;

Владелец риска – руководитель подразделения, персонально отвечающий за оценку, контроль и управление данным риском, т.е. мотивированный на его снижение и располагающий достаточными полномочиями для воздействия на него. Владелец риск может быть только один.

Председатель комитета по управлению рисками. Руководитель

комитета, являющегося совещательным органом по всем вопросам управления рисками при генеральном директоре предприятия. В компетенции комитета входит, в частности, утверждение базовых регламентирующих документов системы управления рисками; подготовка проектов решений для генерального директора по всем вопросам его компетенции в отношении системы управления рисками; регулярное рассмотрение основных рисков предприятия, включая наиболее значительные риски подразделений предприятия; регулярное рассмотрение и утверждение сводной карты рисков предприятия, сводного плана мероприятий по реагированию на данные риски и, при необходимости, плана чрезвычайных мероприятий; надзор за эффективностью деятельности руководителей подразделений предприятия в рамках системы управления рисками. Деятельность комитета по управлению рисками рекомендуется регламентировать Положением о комитете.

Координатор рисков – сотрудник, являющийся экспертом в области управления рисками, который содействует процессам выявления, оценки и реагирования в отношении рисков соответствующего подразделения (или предприятия), консолидирует информацию о рисках и передает в комитет по управлению рисками. Координатор не принимает самостоятельных решений по управлению рисками.

Цели процессов - установленные цели процессов. Указываются цели, отраженные в стратегическом, годовом или каком-либо другом плане предприятия и/или подразделения, так и не закрепленные официально цели, достижение которых, тем не менее, запланировано;

Наименование риска. В данном разделе необходимо указать риск, которому подвержен процесс, выполняемый подразделением.

Категория риска. Примерная типовая классификация рисков приведена на рисунке 2.

Примерная типовая классификация рисков


Список приведенных рисков не является исчерпывающим и может, как включать, так и не включать риски, присущие данному процессу.

Описание риска. Должно включать подробное описание риска с указанием причин или событий, влияющих на вероятность проявления риска и обоснование возможных последствий.

Причины. Подробный перечень причин, обуславливающих наступление данного события. Отсутствие контроля или методов воздействия на риск, причинами не является.

Последствия. Подробный перечень возможных последствий от наступления рискового события, выраженных в конкретных денежных потерях, потерях репутации, доли рынка и т.д.

2. Оценка присущего риска.

Влияние - воздействие риска на долгосрочные и / или краткосрочные

цели предприятия в случае реализации данного риска, последствия его реализации. Выражается в денежных единицах или баллах. Значение коэффициента определяется экспертным методом в соответствии со следующей шкалой (период прогноза, как правило, 1 год):

Последствия

Незначительные и минимальные последствия

Допустимые последствия, присущие деятельности предприятия

Недопустимые, значительные последствия

Критические последствия, реализация которых может привести к значительным потерям или приостановки деятельности

Катастрофические последствия, которые могут привести к прекращению деятельности предприятия или его несостоятельности (банкротству)

Данный показатель субъективен и определяется на основании

Вероятность - вероятность наступления определенного риска, обычно выражаемая величиной от 0 до 100 процентов, либо баллами. Значение коэффициента определяется экспертным методом в соответствии со следующей шкалой (период прогноза, как правило, 1 год):

Коэффициент

Вероятность

Вероятность наступления в процентах

риск не проявится

риск, скорее всего, не проявится

вероятность проявления и непроявления равна

риск, скорее всего, проявится

риск наверняка реализуется

Данный показатель также субъективен и определяется на основании

экспертной оценки лиц, заполняющих паспорт риска.

Скорость реализации - величина, характеризующая время от момента наступления риска до того момента, когда полностью реализуется влияние риска на краткосрочные и / или долгосрочные цели предприятия.

Значимость - величина, равная произведению вероятности возникновения на оценку влияния, определяющая интегрированную оценку важности того или иного риска.

Способ реагирования - основной подход, признанный целесообразным с точки зрения реагирования на тот или иной риск. Возможные способы реагирования на риски включают снижение риска, передачу риска, принятие риска и избегание риска.

В паспорте указаны все участники процесса, ответственные и привлеченные, описан бизнес – процесс (бизнес – процессы), которому сопутствует описанный в паспорте риск, риск оценен и описан, описаны мероприятия по минимизации риска и контрольные процедуры. Разработаны планы чрезвычайных мероприятий, оцениваются остаточные риски, планируемые и фактические. Вся эта информация и делает паспорт отчетно – учетным документом по управлению риском. Если составлять такие паспорта на конкретный риск в течение всего времени его реализации и хранить их в бумажном и электронном виде, то сопоставив их, можно увидеть динамику всех процессов, отраженных в паспорте. Данные из электронных форм паспортов удобно представлять в различных графических формах, что наглядно при анализе того или иного риска.

С достаточной долей уверенности, можно сделать вывод, что процессы составления паспортов рисков, учета самих паспортов, учета изменений в паспортах, учета процессов реализации мероприятий, записанных в этих паспортах и направленных на минимизацию рисков, повышают эффективность системы управления рисками на предприятии. То есть заставляют всех принимающих решения думать о последствиях этих принимаемых решений и, естественно, отвечать за них.

Карта рисков. Общий подход к построению карты рисков.

На основании информации, полученной из паспортов рисков, составляются карты рисков. Карта рисков дает наглядное представление обо всех рисках сопутствующих достижению цели предприятием на дату ее составления. Наподобие того, как бухгалтерский баланс дает наглядное представление обо всех активах и пассивах предприятия на дату его составления.

То есть карта рисков, это документ, отражающий (результирующий) на определенную дату информацию о рисках сопутствующих достижению цели, составленный на основании информации, полученной из паспортов рисков. На рисунке 3 приведен пример карты рисков.

Пример карты рисков.


Карта рисков представляет собой схематичное отображение рисков по степени их влияния и вероятности. Влияние и вероятность – это главные категории оценки риска. На представленном примере карты рисков риски ранжированы по их значимости. Значимость, равная результату от произведения баллов вероятности и баллов влияния определяет место риска на карте рисков предприятия.

Выше мы отмечали, что влияние может быть также определено и в денежных единицах, а вероятность в процентах. Для каждого предприятия это могут быть свои величины, зависящие от специфики и размеров его деятельности.

Карту рисков удобней представлять в виде точечной диаграммы, осями которой являются интервалы значений влияния и вероятности, условно определенные низкой, средней и высокой степенями. Деление на эти степени имеет своей целью дифференциацию подхода к рискам, имеющим различный уровень влияния и вероятности.

Красным цветом на карте выделена область высоких рисков. Последствия их реализации могут быть критичны и даже катастрофичны для предприятия. Эти риски необходимо предотвратить до их появления. Возможно, даже, отказавшись от реализации цели. По всем рискам, попавшим в область высоких рисков необходимо разработать план действий по мониторингу их уровня и снижению вероятности их появления и устранению возможных последствий. Все эти мероприятия необходимо отразить в паспортах соответствующих рисков.

Желтым цветом выделена область средних рисков. Эти риски не являются столь критичными, как риски в красной области, однако также требуют повышенного внимания, поскольку оценки рисков из этих областей могут переместиться в красную область. По рискам, попадающим в эти области, необходимо привести краткую характеристику действий по управлению их вероятностью и влиянием, необходимо разработать перечень мер по снижению этих рисков. Все это также необходимо отразить в паспортах соответствующих рисков.

Зеленым цветом выделена область низких рисков. Эти риски не являются предметом глубокого анализа и управления, поскольку либо маловероятны, либо несут незначительный ущерб. По данным рискам целесообразно идентифицировать факторы, то есть причины их появления, и разработать меры по их контролю, заполнить соответствующие разделы паспортов рисков.

Карта рисков реального предприятия отличается от представленной на рисунке 2 практически только тем, что в соответствующих частях карты указан перечень сопутствующих рисков и владельцы рисков. Это удобно и наглядно при мониторинге процессов управления рисками для дальнейшего анализа паспортов рисков.

С достаточной долей уверенности, можно утверждать, что процессы составления карт рисков на основе данных из паспортов рисков, обсуждение и мониторинг изменений этих карт повышают эффективность системы управления рисками на предприятии и заставляют всех принимающих решения думать о последствиях этих принимаемых решений и, естественно, отвечать за них.

Рассмотренные процедуры формализации процессов управления рисками: составление и актуализация паспортов рисков и карт рисков – не являются вещами затратными. Они не требуют дополнительных вложений, а требуют только желания и усилий менеджмента на свое осуществление. При этом достигается важнейшая цель – принятие взвешенных решений на всех уровнях управления предприятием.

Чем не стимул для формализации системы управления рисками на вашем предприятии?


Повсеместная конкуренция, сокращение производственного цикла, увеличение производственной гибкости — все это сеет неопределенность при контроле проектов и повышает необходимость мышления, направленного на оценку рисков. Необходимо предупреждать опасности, тщательнее планировать свои действия и анализировать текущую деятельность, чтобы понять, какие риски могут преследовать и какие возможности можно раскрыть, если от них избавиться. Таким образом, риск-менеджмент становится важной частью принятия управленческих решений.

Конечно, можно рискнуть и жить без лишнего планирования и прогнозирования. Но тогда есть вероятность, что не только проект не будет правильно реализован: вся деятельность компании будет под угрозой. Такой поворот вряд ли устроит адекватного руководителя или владельца бизнеса.

Планирование управления рисками

Управление рисками — это деятельность, сопровождающая все этапы проекта. Работа не должна вестись от случая к случаю, она должна быть хорошо спланирована. Управление рисками требует множества ресурсов.

Планирование управления рисками подразумевает поиск работающих подходов к процессу. Оно помогает:

  • найти время и другие ресурсы для проведения процедуры управления рисками;
  • выделить основания для оценки рисков;
  • увеличить шансы на результативность проекта. Планирование не переходит в процесс управления, он завершается на первой стадии проекта. Оно строится на:
  • отношении к риску со стороны всех участников проекта — оно ложится в основу принципов управления рисками;
  • внутренних стандартах компании — они могут уже включать управление рисками разных категорий, сценарии поведения, распределение ролей внутри коллектива и определение уровней ответственности;
  • описании проекта и ожидаемых от его реализации результатов;
  • плане управления проектом — документе, в котором перечислены все аспекты работы над ним.

План состоит из нескольких элементов:

  1. Определение методик и инструментов для управления рисками.
  2. Распределение ролей для каждой процедуры и разъяснения ответственности.
  3. Определение стоимости работ и времени.
  4. Установление сроков управления рисками и проработка четкого тайминга.
  5. Определение категории рисков, выполнение четкой идентификации.
  6. Общие методы определения рисков и степени вероятности их возникновения во время ведения проекта.

Идентификация рисков

Этот процесс связан с выявлением рисков, которые могут испортить проект или оказать на него необратимое воздействие. Повторять выявление рисков нужно на всех этапах проекта — ведь на протяжении его существования могут возникать разные новые сложности.

Идентификационные данные могут браться из различных источников. Например, это может быть база знаний, которая есть практически в каждой организации. В ней могут содержаться данные об аналогичных проектах, которые были в компании. На основании этой информации можно сделать вывод о вероятных рисках в новых проектах.

Еще один источник информации — научные работы, маркетинговая аналитика и другие данные, находящиеся в свободном доступе. Если проект не уникален, то можно равняться на опыт других аналогичных работ, созданных другими компаниями. Обычно они рассказывают о своем пути в формате кейсов. Там содержатся подробные данные о цели работы, связанных с ней трудностях и способах их преодоления.

Все проекты строятся на гипотезах и предположениях. Обычно все неточные данные указываются с пометкой. Другие же, считающиеся достоверными, принимаются как данность. Риски могут возникнуть из-за неверно обозначенных допущений, поэтому на них нужно обращать внимание и детально анализировать каждую неточность.

Сбор информации выполняется способами, которые требуют разного времени на подготовку:

  • Экспертные опросы — они помогают найти специалистов, для решения задач и минимизации рисков. Каждый такой эксперт высказывает свое мнение о вероятных рисках и оценивают их, основываясь на личном опыте и имеющихся знаниях о проекте. Такой способ поможет избежать типичных ошибок, которые повторяются из проекта в проект. Эксперт должен знать все детали проекта. Опрос проводится в формате вопросов, с помощью которых интервьюер направляет респондента в нужную сторону. Информацию, которую выдает эксперт, необходимо записывать подробно. Если в опросе участвует несколько экспертов, каждый из них должен получить одну и ту же вводную информацию.
  • Мозговой штурм. В нем участвуют сотрудники компании, которым дается задание — поразмышлять на тему вероятных рисков. В ходе штурма не должно быть дискуссий и споров. Специалисты должны высказывать свое мнение в порядке очереди. Все мысли так же записываются и классифицируются по ряду признаков. При этом каждый риск получает свое название. На следующем этапе список риска сокращается и каждый его пункт подвергается анализу.
  • Метод Делфи. Метод очень похож на предыдущий, однако это не одно и то же. Главное отличие в том, что опрос проводится анонимно, поэтому результаты менее предвзяты и каждый участник действительно высказывает личное мнение, а не подвергается влиянию какого-то другого члена группы. Кроме того, опрос проводится в несколько этапов, на каждом из которых участникам предлагается своя анкета. Подведение итогов также проводится по завершении каждого этапа. На завершающем этапе происходит ознакомление экспертной группы с ответами, производится уточнение мнений. Таким образом участники опроса приходят к общему мнению относительно рисков внутри проектов.

Методы оценки рисков и инструменты управления рисками

Теоретические аспекты управления риском говорят, что методов оценки множество и каждый из них работает с использованием своих инструментов. Такими инструментами могут быть организационные, технические и другие действия, позволяющие обеспечить безопасность и безошибочность проекта. Количество инструментов никак не регулируется, их можно быть крайне много.

Классификация ведется по разным признакам: управленческим методам, сферам деятельности, выгодам, производственным фазам и т.д.

В соответствии с другой классификацией воздействие на риски состоит из нескольких этапов:

  1. Снижение уровня риска. На этом этапе прорабатываются варианты сокращения ущерба или масштабов возникновения неблагоприятных событий. Обычно это достигается с помощью различных организационных мероприятий. В области строительства это укрепление зданий, установка систем оповещения, пожарных сигнализаций, обучение сотрудников действиям в чрезвычайных условиях.
  2. Исключение риска. Этот этап подразумевает отказ от проекта, если он связан с опасностью. Или производится сильное изменение деятельности, в результате которого возникновение риска становится невозможным.
  3. Сокращение интенсивности рисков. Благодаря этому каждый участник проекта может контролировать риски и их предотвращать. В силах специалистов организовать свою деятельность так, чтобы проблем на этапе ведения проекта не возникло. У них есть пул действий, которые позволяют либо полностью исключать возможные риски, либо снижать их интенсивность. Если же риски все-таки возникают, сотрудники вправе принимать меры, которые снижают потери и другие последствия их появления.
  4. Сохранение риска. Это не всегда связано с отказом от решительных мер. Иногда при допущении вероятных проблем специалисты специально не принимают мер, так как в компании есть резервные фонды, направленные на самострахования. С их помощью покрывается ущерб от неблагоприятных событий. Одним из видов страхования является взаимное страхование. В таком случае каждый страхователь входит в клуб страховщиков. Обычно участники взаимосвязанные структуры, работающие в рамках одной сферы. Страховка может покрывать как общие, так и частные риски.

Этапы управления рисками

  1. Выявление угроз. Происходит это отделом финансовой аналитики. Он должен быть либо внутри компании, либо должны подключаться сторонние эксперты. Но такой этап обязательно должен выполняться людьми, которые знают, что делают. Работа может вестись как в общем, так и по отделам. Если компания совсем небольшая, то никаких аналитиков не нужно. С задачей вполне справится сам руководитель или приближенные к нему люди, которые знают особенности компании и ее внутренние процессы, а также хорошо осведомлены о проекте. По итогам этой работы должен быть составлен полный перечень возможных угроз и дана их интерпретация в финансовом эквиваленте.
  2. Оценка важности рисков. Производится с помощью ответа на ряд вопросов. В частности, определяется приемлемость угроз (какие из них можно пережить, а какие недопустимы), какие риски нужно устранять прежде всего, а какие могут подождать, ведь их последствия не так страшны, какие методы предотвращения рисков наиболее доступны времени использования. Оценка может выполняться с помощью аналитических и математических методов. При этом анализ должен быть комплексным и подробным.
  3. Планирование устранения последствий и непосредственная нейтрализация. Здесь готовится стратегия борьбы с негативными последствиями и выполняется ее реализация. Чем тщательнее будет выполнена проработка последствий, чем больше способов будет найдено для ее устранения, тем с меньшими проблемами компания столкнется в дальнейшем. Этот позитивный опыт способен сыграть на руку компании: он ляжет в копилку и поможет в дальнейшей работе по управлению рисками. Чем больше шаблонных действий будет отработано, тем лучше компания будет справляться с угрозами. Ведь нового и не типичного, по сути, не так уж много.

Мониторинг и контроль

Этот этап мы решили вынести в отдельный пункт, так как он по важности стоит не на последнем месте. При каждом новом проекте будут возникать свои риски, поэтому контроль должен быть регулярным. Важно быстро корректировать выбранную стратегию и подстраиваться под ситуацию — не всегда выбранный в начале путь оказывается эффективным. Для этого нужен мониторинг.

Каждый этап управления рисками связан с другими ступенями в единую цепь. Поэтому нельзя обращать внимание на один и не замечать другой. Ситуацию нужно анализировать и контролировать со всех сторон, тщательно углубляясь в детали и рассматривая их с точки зрения деятельности компании в целом.

В мире нет проектов, которые бы шли так, как их запланировали создатели на пути прописывания в документах. Возникают моменты, которые не были предусмотрены и под которые нужно подстраиваться здесь и сейчас. И не всегда эти моменты имеют положительный оттенок, чаще всего они связаны с серьезными рисками как в рамках реализации проекта, так и в деятельности всей компании. Это серьезный стресс для тех, кто работает. Поэтому надо быть готовым к таким проблемам и уметь их правильно решать.

Управление рисками проекта помогает подумать и определить угрозы заранее, понять как их избежать и продолжать работать в изменяющихся условиях. Предотвратить последствия проще, чем разбираться с измененной ими реальностью. Поэтому стоит как можно больше ресурсов выделять на управление рисками проекта и не лениться проводить исследования для выявления вероятных проблем.

Об элементах системы управления операционным риском (часть 2)

Вопрос

1. Могут ли к центрам компетенций относиться подразделения кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), в обязанности которых входит обслуживание клиентов и которые несут ответственность за достижение целевых показателей, в том числе выполнение планов по продажам продуктов и услуг кредитной организации?

2. Могут ли следующие подразделения являться специализированными подразделениями по управлению отдельными видами операционного риска:

юридическое подразделение — правовым риском;

кадровое подразделение/подразделение по охране труда – риском ошибок управления персоналом;

подразделение информационной безопасности – риском информационной безопасности;

подразделение информационных технологий – риском информационных систем?

3. Может ли специализированным подразделением по управлению риском ошибок в процессах осуществления внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения (далее – ПОД/ФТ) являться подразделение кредитной организации, ответственное за реализацию правил ПОД/ФТ, например, подразделение финансового мониторинга?

Ответ

К центрам компетенций для цели организации системы управления операционным риском относятся подразделения кредитной организации, отвечающие за осуществление операций и сделок в рамках осуществляемых ими процессов, которые выявляют события операционного риска на своих или смежных процессах и информируют о них. В соответствии с абзацем восьмым пункта 1.3 Положения № 716-П к центрам компетенций могут относиться как подразделения головного офиса, ответственные за организацию процесса и его результаты в целом (например, кредитный департамент, операционный департамент), так и подразделения, обеспечивающие данные процессы (например, подразделения бухгалтерского учета, административно-хозяйственной деятельности). Положением № 716-П не устанавливается список обеспечивающих процессов. Кредитная организация должна самостоятельно отнести тот или иной обеспечивающий процесс к одному из типов процессов (критически важным, основным или прочим) в зависимости от характера и масштаба деятельности кредитной организации. Примеры подразделений кредитной организации, которые могут быть отнесены к подразделениям, обеспечивающим процессы, изложены в подпункте 3.9.9 пункта 3.9 Положения № 716-П.

В случае если подразделения кредитной организации, перечисленные в вопросе, в рамках своих функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения № 716-П, в том числе в части отдельных видов операционного риска, определенных в пункте 1.4 Положения № 716-П, данные подразделения следует относить к специализированным подразделениям в соответствии с абзацем седьмым пункта 1.3 Положения № 716-П.

Кредитная организация самостоятельно определяет специализированное подразделение или несколько подразделений, ответственное (ответственных) за управление риском ошибок в процессах осуществления внутреннего контроля, связанных с нарушением правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма исходя из характера и масштабов своей деятельности, и вправе возложить функцию по управлению данным видом операционного риска в части деятельности по ПОД/ФТ на подразделение, ответственное за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения, в том числе на подразделение финансового мониторинга.

В части иных видов деятельности кредитная организация вправе возложить функцию по управлению риском ошибок в процессах осуществления внутреннего контроля, например, на службу внутреннего контроля.

Совет директоров должен утвердить внутренние документы общества, в которых определяет принципы и подходы к организации системы управления рисками и внутреннего контроля, а также внутреннего аудита.

Исполнительные органы общества обеспечивают ее создание и эффективное функционирование.

Внутренний аудит проводит ответственный сотрудник, структурное подразделение общества либо сторонняя организация.

  1. Как организовать систему управления рисками и внутреннего контроля

1.1. Для чего организуется система управления рисками и внутреннего контроля

Система управления рисками и внутреннего контроля организуется, чтобы обеспечивать объективное и реальное представление о текущем состоянии дел в обществе, его перспективах, целостность и прозрачность отчетности, разумность принимаемых рисков (п. 5.1.3 Кодекса корпоративного управления, п. 5 Письма Банка России от 15.04.2019 N ИН-06-28/35).

Задачами такой системы в публичном обществе прежде всего являются:

  • минимизация рисков в деятельности;
  • обеспечение сохранности активов;
  • обеспечение соблюдения требований законодательства в процессе деятельности;
  • обеспечение своевременности и достоверности всех видов учета и отчетности;
  • предупреждение коррупции и противодействие ей.

Отметим, что Минтруд России определил Меры по предупреждению коррупции в организациях. К ним, в частности, относятся:

  • разработка и принятие антикоррупционной политики организации;
  • назначение подразделения и (или) работников, ответственных за предупреждение коррупции;
  • оценка коррупционных рисков;
  • выявление и урегулирование конфликта интересов. Для реализации этой меры целесообразно разработать и утвердить положение о регулировании конфликта интересов;
  • установление для работников стандартов и кодексов поведения (антикоррупционных стандартов). Например, можно определить, какие подарки принимать допускается, как должны регулироваться иная оплачиваемая деятельность и владение ценными бумагами;
  • проверка контрагентов;
  • включение антикоррупционной оговорки в договоры с деловыми партнерами;
  • антикоррупционный аудит отдельных операций и сделок;
  • обучение работников по вопросам противодействия коррупции;
  • установление каналов получения информации о возможных коррупционных правонарушениях (например, мониторинг информации в СМИ и соцсетях);
  • внутренний контроль и ведение бухгалтерского учета;
  • взаимодействие с правоохранительными и иными госорганами в целях противодействия коррупции;
  • участие в коллективных антикоррупционных инициативах;
  • мониторинг эффективности реализации мер по предупреждению коррупции.

1.2. Кто участвует в системе управления рисками и внутреннего контроля

Управление рисками и внутренний контроль осуществляются на всех уровнях организации. В них участвуют все органы управления и работники общества (п. 2.4 Рекомендаций, приведенных в Приложении к Информационному письму Банка России от 01.10.2020 N ИН-06-28/143).

Банк России рекомендует определить в уставе общества компетенцию и полномочия совета директоров и исполнительных органов в сфере управления рисками и внутреннего контроля. Во внутренних документах рекомендовано, в частности, разграничить зоны ответственности и полномочия органов управления, функции и зоны ответственности структурных подразделений в области управления рисками и внутреннего контроля, установить требования к компетенции руководителей и работников в указанной сфере в рамках функционального направления деятельности (п. 2.4 Рекомендаций).

Совет директоров устанавливает принципы организации системы управления рисками и внутреннего контроля (пп. 9.2 п. 1 ст. 65, п. 1 ст. 87.1 Закона об АО, п. 5.1.1 Кодекса корпоративного управления).

Банк России рекомендует совету директоров избегать формального подхода к ее организации (п. 5 Письма Банка России от 15.04.2019 N ИН-06-28/35).

Совет директоров утверждает внутренние документы общества, определяющие политику по организации управления рисками и внутреннего контроля (п. 1 ст. 87.1 Закона об АО). Данные документы не относятся к внутренним документам, регулирующим деятельность органов общества (п. 5 Письма Банка России от 15.04.2019 N ИН-06-28/35).

Общие принципы и подходы к организации управления рисками и внутреннего контроля, цели и задачи системы управления рисками и внутреннего контроля рекомендуется определить в соответствующем положении (политике) общества (п. 2.2 Рекомендаций).

К компетенции совета директоров в области управления рисками и внутреннего контроля Банк России рекомендует отнести, в частности, следующие вопросы (п. 2.4 Рекомендаций):

  • определение ключевых показателей эффективности исполнительных органов, руководителей структурных подразделений, ключевых работников общества с учетом оценки эффективности управления рисками и внутреннего контроля;
  • рассмотрение отчетов исполнительных органов общества о функционировании системы управления рисками и внутреннего контроля;
  • организация проведения не реже одного раза в год оценки надежности и эффективности данной системы;
  • рассмотрение материалов и результатов оценки внутренним аудитом надежности и эффективности системы — не реже одного раза в год;
  • рассмотрение заключения внешней оценки эффективности управления рисками и внутреннего контроля;
  • вопросы внутреннего аудита.

Для решения перечисленных задач из числа членов совета директоров можно сформировать комитет по рискам. Если такого комитета нет, его функции может выполнять комитет по аудиту (п. 2.4 Рекомендаций).

Исполнительные органы общества обеспечивают создание и эффективное функционирование системы (п. 5.1.2 Кодекса корпоративного управления).

К их компетенции Банк России рекомендует отнести, в частности, следующие вопросы (п. 2.4 Рекомендаций):

  • организация, поддержание и развитие системы, выполнение связанных с нею решений совета директоров;
  • утверждение методологии по управлению рисками и внутреннему контролю;
  • распределение соответствующих полномочий, обязанностей и ответственности между находящимися в их ведении и (или) курируемыми руководителями структурных подразделений общества в области управления рисками и внутреннего контроля;
  • рассмотрение отчетов руководителей, ответственных за организацию и осуществление управления рисками и внутреннего контроля, о функционировании системы.

Ревизионная комиссия (если ее наличие предусмотрено уставом) контролирует финансово-хозяйственную деятельность общества, готовит предложения по совершенствованию системы управления рисками и контроля (п. 1 ст. 85 Закона об АО).

Иными ключевыми участниками системы управления рисками и внутреннего контроля являются (п. 2.4 Рекомендаций):

  • работники и руководители бизнес-подразделений — владельцев рисков, участвующие в бизнес-процессах и управляющие связанными с ними рисками;
  • работники и руководители структурных подразделений, поддерживающие этих лиц. Например, к ним относятся подразделения по управлению рисками и внутреннему контролю, комплаенс-контролю, охране труда и промышленной безопасности;
  • работники, осуществляющие внутренний аудит.
  1. Как организовать внутренний аудит

Организовать внутренний аудит должен совет директоров (наблюдательный совет) публичного общества. Для этого требуется сформировать комитет по аудиту, утвердить внутренние документы, касающиеся его организации и осуществления, а также назначить ответственное структурное подразделение или должностное лицо либо уполномочить иное юрлицо (абз. 2 п. 3. ст. 64, п. 2 ст. 87.1 Закона об АО, ч. 3 ст. 2 Федерального закона от 19.07.2018 N 209-ФЗ).

2.1. Как сформировать комитет совета директоров по аудиту

Банк России рекомендовал публичным обществам применять Положение о комитете совета директоров публичного акционерного общества по аудиту (примерное) (Письмо Банка России от 15.09.2016 N ИН-015-52/66).

Совет директоров из своего состава по представлению председателя совета директоров определяет лиц и их количество, которые войдут в комитет до следующего годового общего собрания акционеров. Банк России рекомендует включить в комитет не менее трех членов (п. 3.1 Положения, п. 4.3 Рекомендаций).

Требования к составу комитета (п. 3.2 Положения):

  • комитет должен быть сформирован из независимых членов совета директоров;
  • по крайней мере один член комитета должен обладать опытом и знаниями в области подготовки, анализа, оценки и аудита бухгалтерской (финансовой) отчетности и (или) консолидированной финансовой отчетности.

Совет директоров по представлению своего председателя определяет председателя комитета (п. 3.3 Положения).

Председателем комитета не может быть председатель совета директоров (п. 3.4 Положения).

Председатель комитета должен обладать знаниями и опытом, необходимыми для осуществления контроля (п. 3.5 Положения):

  • за проведением аудита;
  • управлением рисками;
  • реализацией иных функций, входящих в компетенцию комитета.

Членам комитета (при вхождении в его состав) необходимо подробно разъяснить их функции и полномочия. Им также должна быть предоставлена возможность при необходимости в любой момент пройти обучение, необходимое для выполнения своих функций (п. 3.7 Положения).

Перечень рекомендуемых мероприятий для реализации задач комитета по аудиту Банк России привел в Приложении 2 к Рекомендациям.

2.2. Для чего организуется внутренний аудит

Внутренний аудит организуется в публичном обществе для независимой оценки надежности и эффективности системы управления рисками и внутреннего контроля, а также оценки практики корпоративного управления (п. 5.2 Кодекса корпоративного управления, п. 3.1 Рекомендаций).

Системное проведение внутреннего аудита позволяет обеспечить доверие совета директоров, владельцев компаний, кредиторов и инвесторов к финансовой (бухгалтерской) отчетности общества. Так, большинство международных бирж допускает к размещению ценные бумаги лишь тех обществ, которые проводят внутренний аудит.

Внутренний аудит позволяет оценить деятельность публичных обществ на высоком профессиональном уровне, беспристрастно, объективно и независимо.

2.3. Как организовать внутренний аудит

Для организации внутреннего аудита можно руководствоваться общепринятыми международными стандартами аудита, в том числе Международными профессиональными стандартами внутреннего аудита Института внутренних аудиторов (п. 6 Письма Банка России от 15.04.2019 N ИН-06-28/35).

Учтите, что органы, на которых вы возложили функции по проведению внутреннего аудита, должны быть независимы от исполнительных органов общества, структурных подразделений и их работников (п. 6 Письма Банка России от 15.04.2019 N ИН-06-28/35).

Возможны следующие варианты:

1) назначить ответственное должностное лицо или создать отдельное структурное подразделение (п. 2 ст. 87.1 Закона об АО, п. 5.2.1 Кодекса корпоративного управления, п. 3.2 Рекомендаций).

Совет директоров своим решением назначает на должность такое лицо или руководителя подразделения, утверждает условия трудового договора с ним и в случае необходимости отстраняет его от должности.

Функционально подразделение внутреннего аудита рекомендуется подчинить совету директоров, а административно — непосредственно единоличному исполнительному органу общества.

Подразделение может быть названо, например, службой (департаментом) внутреннего аудита;

2) привлечь стороннюю организацию, если это предусмотрено внутренними документами (п. 2 ст. 87.1 Закона об АО, п. 5.2.1 Кодекса корпоративного управления, п. 3.2 Рекомендаций).

Совет директоров своим решением определяет юридическое лицо, которое будет осуществлять внутренний аудит, и условия договора с ним, в том числе размер вознаграждения. Предварительно данные вопросы рассматривает комитет по аудиту.

Банк России рекомендует также учитывать аспекты, которые важны для обеспечения качественного внешнего аудита бухгалтерской (финансовой) отчетности общества. Эти аспекты приведены в Приложении 3 к Рекомендациям. В частности, аудиторскую организацию рекомендуется определять не реже одного раза в пять лет по результатам открытого конкурса (п. 1.1 данного Приложения).

Поскольку сотрудники общества обладают более полной информацией о его деятельности, рекомендуем передать сторонней организации только часть функций внутреннего аудита, а оставшуюся часть закрепить за соответствующим подразделением общества. Такая схема облегчит проведение внутреннего аудита сторонней организацией и будет способствовать достоверности результатов.

2.4. Какие мероприятия проводятся в рамках внутреннего аудита

Внутренний аудит заключается в проведении регулярных проверок и контрольных мероприятий. Рекомендуем утвердить план проверок на год, сформировав его по итогам анализа выявленных ранее рисков и недостатков в контроле.

В рамках внутреннего аудита могут проводиться, в частности, такие мероприятия:

  • сопоставление бизнес-процессов общества с его целями;
  • проверка надежности систем противодействия злоупотреблениям и коррупции;
  • проверка обеспечения достоверности бухгалтерской (финансовой) отчетности;
  • проверка наличия в обществе обязательных внутренних документов и соответствия их требованиям законодательства;
  • проверка обеспечения сохранности активов общества;
  • выявление недостатков системы управления рисками и внутреннего контроля, не позволяющих достичь цели деятельности общества;
  • проверка соблюдения этических принципов деятельности общества;
  • оценка соблюдения прав акционеров;
  • проверка соблюдения требований к раскрытию информации об обществе и подконтрольных ему лицах;
  • консультирование и обучение персонала, который задействован в управлении рисками и внутреннем контроле.

По итогам внутренней аудиторской проверки оформляется отчет (п. 3.3 Рекомендаций).

Рекомендуем утвердить форму отчета в положении о внутреннем аудите. Следует учесть, что понятность структуры отчета позволит снизить трудоемкость, а значит, и стоимость услуг внешнего аудитора.

Материал статьи взят из открытых источников

Остались вопросы к адвокату по данной тематике?

Читайте также: