Внутренний контроль и управление рисками
Настоящее время можно назвать качественно новым этапом в развитии управления рисками. Помимо принятия национальных стандартов ГОСТ Р ИСО серии 31000 «Менеджмент риска» Принципы и руководство и Методы оценки риска, начата работа по созданию отраслевого стандарта по риск-менеджменту в лизинговой сфере. Разрабатываемый документ должен обобщить накопленный опыт лизинговых компаний и служить для распространения лучших практик.
Очевидно, что тема создания эффективной системы риск-менеджмента сегодня очень актуальна. В статье затронута тема практики построения системы риск-менеджмента, в частности, о взаимосвязи внутреннего контроля и управления рисками.
На первый взгляд, у этих сфер деятельности мало общего. Под контролем мы привыкли понимать проверки, отчеты руководству, принятие соответствующих мер по выявлению виноватых. В общем, мало приятного.
Под управлением рисками мы часто понимаем деятельность по прогнозированию и снижению вероятности наступления рисковых событий. Т.е. управление непредсказуемым.
Но если посмотреть на эти процессы шире, то выявляется много общего. Целью внутреннего контроля является обеспечение эффективности деятельности и использования активов компании, снижение рисков, гарантирование достоверности отчетности, соблюдение нормативных актов.
Цели риск-менеджмента ни в чем не противоречат указанным целям. Во многом он занимается решением тех же задач. Если система внутреннего контроля выявляет слабые места, система риск-менеджмента должна предотвращать их появление в принципе.
Детально взаимосвязь целей внутреннего контроля и управления рисками можно рассмотреть по развитию концепций COSO, разработанных в США Комитетом спонсорских организаций Комиссии Тридуэя (The Committee of Sponsoring Organizations
of the Treadway Commission).
of the Treadway Commission).
Модели риска и контроля, предложенные этим комитетом, послужили основой для ряда моделей и стандартов, разработанных в других странах.
Доклад COSO «Внутренний контроль. Интегрированная модель», подготовленный в 1992 г., определяет внутренний контроль, как процесс, осуществляемый советом директоров организации, менеджментом, другим персоналом, предназначенный для обеспечения разумной гарантии достижения целей компании в следующих категориях:
- эффективность и результативность операций;
- надежность финансовой отчетности;
- соблюдение соответствующих законов и правил.
Рассмотрим это определение на примере лизинговой компании:
1) Это непрерывный процесс, а не отдельные процедуры. В лизинговом бизнесе недостаточно один раз принять решение о вхождении в сделку, необходим постоянный мониторинг рынка клиента, его финансового состояния, платежной дисциплины, сохранности имущества.
2) В процесс вовлечены все уровни руководства и все подразделения компании. Совет директоров утверждает основополагающие регламенты работы и принимает решения по лимитам риска, Ген.директор утверждает положения о работе служб и отвечает за соблюдение лимитов риска перед советом директоров, руководители подразделений отвечают за контроль над рисками, возникающими по их направлениям деятельности: сохранность и страхование имущества, обеспечение ликвидности компании, управление рыночными рисками, правовые, налоговые риски и т.д. Каждый сотрудник в рамках должностной инструкции понимает, за какой участок бизнес-процесса компании он несет ответственность.
3) Цели внутреннего контроля:
- избежание убытков или дополнительных расходов по лизинговым сделкам, а также в рамках хозяйственной деятельности, заключение лизинговых сделок с приемлемым для компании соотношением риск/доходность, сохранность лизингового имущества;
- достоверная отчетность для акционеров, инвесторов, налоговых органов;
- избежание убытков от приостановки деятельности или в виде штрафов, сохранение деловой репутации.
Система внутреннего контроля состоит из 5 взаимосвязанных компонентов (Рисунок 1):
- контрольная среда - философия и стиль руководства, правила и приемы работы с трудовыми ресурсами, честность и духовные качества сотрудников, организационная структура, руководящая роль совета директоров). Здесь работа должна вестись на всех уровнях компании. Но камертоном всегда является стиль поведения руководства.
- оценка риска (идентификация и анализ внешних и внутренних рисков). Система внутреннего контроля должна обеспечить своевременное выявление всех возможных рисковых событий и оценить вероятность и последствия их наступления – от сбоя компьютера бухгалтера до мошенничества лизингополучателя.
- контрольная деятельность – принципы и процедуры, которые гарантируют выполнение указаний руководства. Компания должна иметь детальное описание бизнес-процессов, инструкции работы всех служб и сотрудников, регламенты операций.
- информация и коммуникации. Написанные регламенты должны доводиться до сведения ответственных сотрудников. Возникающие сбои в работе компании или реализации лизинговой сделки должны своевременно доводиться до сведения руководителей соответствующего уровня.
- мониторинг. Все компоненты системы внутреннего контроля должны проверяться на эффективность работы. Соблюдается ли этический кодекс, правильно ли были оценены риски по лизинговой сделке и обеспечена ли ликвидность компании, нет ли конфликта интересов в процедурах по выбору поставщика, проводятся ли периодические проверки соблюдения регламентов, не требуют ли регламенты пересмотра в связи с меняющейся рыночной ситуацией?
Считается, что система внутреннего контроля эффективна, если все 5 представленных компонентов существуют и эффективно функционируют в отношении всех заявленных целей во всех подразделениях компании и на каждом ее бизнес-процессе: от регистрации заявки на лизинг до передачи прав собственности на лизинговое имущество в конце срока договора.
Дальнейшее развитие концепция COSO получила в 2005 г. изданием документа «Концептуальные основы управления рисками организаций». Управление рисками рассматривается как расширение и модернизация внутреннего контроля.
Управление рисками имеет то же самое назначение, что и внутренний контроль, а именно: «обеспечение разумной гарантии достижения целей компании». Перечень целей дополнительно включает направление «Стратегические цели» - цели высокого уровня, соотнесенные с миссией организации (Рисунок 2). Таким образом, управление рисками должно способствовать достижению стратегических целей компании.
Список видов деятельности расширен в соответствии с расширением перечня целей деятельности:
- Постановка целей (Руководство компании должно правильно организовывать процесс выбора и формирования целей, чтобы они соответствовали миссии и уровню риск-аппетита);
- Определение событий (События, оказывающие влияние на достижение целей, должны разделяться на риски или возможности. Возможности должны учитываться при формирования стратегии и постановке целей);
- Реагирование на риск (Руководство выбирает метод реагирования: избежание риска, его принятие, уменьшение или передача, чтобы привести выявленный риск в соответствие с риск-аппетитом);
В систему управления рисками должны быть вовлечены службы всех юридических лиц группы компаний.
Таким образом, модель управления рисками компании является расширением института внутреннего контроля.
Концептуальное обновление модели заключается в изменении основного принципа гарантирования достижения целей. Если внутренний контроль использует для такого гарантирования контроль над текущей деятельностью, управление рисками базируется на контроле над ожидаемыми результатами (Рисунок 3).
Выводы:
Таким образом, согласно модели COSO, управление рисками – это обеспечение разумной гарантии достижения поставленных целей компании. Процесс внутреннего контроля является составной частью процесса управления рисками.
Очевидно, что непросто реализовать американскую модель в российской действительности. Отечественный лизинговый рынок еще очень молод. Формирование философии риск-менеджмента, которая найдет отражение в разрабатываемых стандартах по управлению рисками, находится на начальной стадии. Но мы имеет прекрасную возможность развивать теорию и практику риск-менеджмента с учетом накопленного мирового опыта.
Начинать практическое построение системы риск-менеджмента для выполнения его текущих задач по предотвращению и минимизации убытков можно с построения системы внутреннего контроля. Эта система должна не надстраиваться, а встраиваться в действующую структуру компании и вовлекать в процесс всех сотрудников.
Со временем вместе с задачами, которые будут ставиться перед риск-менеджментом, будет расти и его роль в управлении компанией.
Рисунок 1 - Взаимосвязь целей и компонентов системы внутреннего контроля
Рисунок 2 - Взаимосвязь целей и компонентов системы управления рисками
Рисунок 3 – Сравнение моделей COSO