Мудрый Экономист

Независимый внешний аудит процессов на уровне корпоративного центра

"Бухгалтерия и банки", 2015, N 7

Ранее мы рассмотрели введение в методики оценки и управления рисками и также затронули темы проектного управления инвестиционными вложениями <1>. Сейчас подходим к понятию комплексной системы управления рисками, которую многие компании и кредитные организации внедрили в процессинг управления деятельности. И затронем еще одну интересную тему - оценку данных систем управления рисками. Рассмотрим методику аудита комплексной системы управления рисками на уровне корпоративных центров.

<1> См. статьи Д. Шамина в "Б&Б" N N 9, 11, 12 за 2014 г. и N 5 за 2015 г.

Цели аудита

Основными целями проведения независимого внешнего аудита процессов и процедур управления рисками на уровне корпоративного центра являются:

Задачи аудита

В рамках задач независимого внешнего аудита процессов и процедур управления рисками на уровне корпоративного центра проводятся следующие проверки:

Процедуры аудита

В рамках независимого внешнего аудита процессов и процедур управления рисками на уровне корпоративного центра проводятся следующие процедуры:

  1. аудит нормативно-регулирующих документов процесса управления рисками;
  2. аудит текущих документов процесса управления рисками;
  3. аудит сопутствующих документов процесса управления рисками.

Методика проведения аудита

Независимый внешний аудит процессов и процедур управления рисками на уровне корпоративного центра проводится на основании методики аудитора в соответствии с рекомендациями стандарта ERM-COSO, по следующим компонентам:

Каждый компонент системы управления рисками (СУР) компании оценивается аудитором на соответствие международным уровня развития СУР

Оценочная шкала определения степени развития СУР


+-----------------------------------------------------------------------¬
¦ Характеристики уровня развития СУР ¦
+-----------------T-----------------T-----------------T-----------------+
¦ Начальный ¦ Развивающийся ¦ Достаточно ¦ Высокоразвитый ¦
¦ ¦ ¦ развитый ¦ ¦
+-----------------+-----------------+-----------------+-----------------+
¦Компонент ¦Компонент ¦Компонент ¦Компонент ¦
¦(элемент) СУР не ¦(элемент) СУР ¦(элемент) СУР ¦(элемент) СУР ¦
¦развит или ¦находится в ¦достаточно ¦высокоразвит, ¦
¦находится в ¦процессе ¦развит, ¦эффективно ¦
¦стадии ¦развития, ¦функционирует и ¦функционирует, ¦
¦становления ¦частично ¦встроен в ¦полностью ¦
¦ ¦функционирует и ¦большинство ¦интегрирован в ¦
¦ ¦встроен в ¦бизнес-процессов ¦деятельность ¦
¦ ¦отдельные бизнес-¦компании ¦компании по всем ¦
¦ ¦процессы компании¦ ¦бизнес-процессам ¦
¦ ¦ ¦ ¦ ¦
¦ 1 2 3 ¦ 4 5 6 ¦ 7 8 9 ¦ 10 11 12 ¦
L-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+>

Рис. 1

Выводы о степени развития компонентов системы управления рисками формируются на основании итогового показателя. Итоговый показатель представляет собой среднее арифметическое баллов элементов по компоненту, присвоенных в соответствии со шкалой уровня развития СУР.

Оценка компонента СУР производится в следующем порядке:

  1. оценка каждого составляющего элемента данного компонента СУР;
  2. оценка компонента (вычисление итогового показателя) в зависимости от значений показателей каждого из составляющих элементов.

Например, компонент системы управления рисками состоит из трех элементов, оцененных в соответствии с оценочной шкалой:

компонент:

------T-----T-----T-----T-----T-----T-----T-----T-----T-----T-----T-----¬
¦\1\¦\2\¦\3\¦\4\¦ 5 ¦ 6 ¦ 7 ¦ 8 ¦ 9 ¦ 10 ¦ 11 ¦ 12 ¦
L-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+------
------T-----T-----T-----T-----T-----T-----T-----T-----T-----T-----T-----¬
¦\1\¦\2\¦\3\¦\4\¦\5\¦\6\¦ 7 ¦ 8 ¦ 9 ¦ 10 ¦ 11 ¦ 12 ¦
L-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+------
------T-----T-----T-----T-----T-----T-----T-----T-----T-----T-----T-----¬
¦\1\¦\2\¦\3\¦\4\¦\5\¦ 6 ¦ 7 ¦ 8 ¦ 9 ¦ 10 ¦ 11 ¦ 12 ¦
L-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+------

Итоговый показатель для компонента составит согласно формуле среднего арифметического (4 + 6 + 5) / 3 = 5.

Таким образом, приведенный в примере компонент мы можем характеризовать как развивающийся.


+-----------------T-----------------T-----------------T-----------------¬
¦ Начальный ¦ Развивающийся ¦ Достаточно ¦ Высокоразвитый ¦
¦ ¦ ¦ развитый ¦ ¦
+-----------------+-----------------+-----------------+-----------------+
¦ ¦ о ¦ ¦ ¦
¦ 1 2 3 ¦ 4 5 6 ¦ 7 8 9 ¦ 10 11 12 ¦
L-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+>

Рис. 2 Основные наблюдения аудиторских процедур Внутренняя среда

Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает следующие основные элементы:

Философия управления рисками организации представляет собой комплекс убеждений и установок, единых для организации, характеризующих то, как организация оценивает риск во всех сферах своей деятельности. Философия управления рисками отражает ценности организации.

Философия управления рисками компании создается и отражается в нормативно-регулирующих документах. В них фиксируется безусловная интегрированность рисков во все сферы деятельности компании, требующая непрерывного управления и вовлеченности всех сотрудников. При этом руководство компании берет на себя обязательства обеспечить постоянное повышение результативности системы управления рисками, формировать культуру риск-менеджмента, административно поддерживать инициативы, связанные с управлением рисками, способствовать выявлению рисков и открытости их обсуждения. Декларируется целостный подход к процессам управления рисками, указывается на необходимость конкретного и четкого описания рисков. В корпоративном журнале периодически затрагиваются темы, смежные с вопросами управления рисками.

Риск-аппетит - это степень риска, которую организация в целом считает для себя оптимальной в процессе получения доходов и выполнения основной деятельности. Риск-аппетит можно оценивать как в количественном, так и в качественном выражении.

Совет директоров является ключевым элементом внутренней среды, который оказывает значительное влияние на все остальные ее элементы.

Эффективность управления рисками тесно взаимосвязана с честностью и этическими ценностями людей, которые создают, управляют и контролируют деятельность организации.

Компетентность отражает знания и навыки, необходимые для выполнения полученных задач. Руководство должно устанавливать уровень компетентности для отдельных должностей, определяя необходимые знания и навыки для соответствующего уровня. Необходимые знания и навыки вырабатываются путем тренингов и по мере накопления опыта сотрудником.

Организационная структура компании создает основу для планирования, выполнения, контроля и мониторинга ее деятельности. Одним из важных факторов, определяющих качество процесса управления рисками организации, является четкость определения функций и обязанностей, а также их централизованное или децентрализованное распределение.

Постановка целей, определение событий

Постановка целей - компонент системы управления рисками, в котором отражается информация о наличии у компании стратегических, тактических, операционных и других целей. Цели должны быть определены до того, как руководство начнет выявлять события (риски), которые потенциально могут оказать влияние на их достижение. Процесс управления рисками предоставляет разумную гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и эти цели соответствуют миссии организации и уровню ее риск-аппетита.

Компонент "постановка целей" содержит следующие элементы:

Компонент "Определение событий" направлен на выявление рисков и возможностей, которые могут оказать влияние на достижение целей компании, определение факторов, способных привести к возникновению рисков и возможностей, и содержит элементы:

Стратегические цели, тактические цели. Миссия организации должна давать широкое определение того, чего организация желает достигнуть в будущем. Исходя из миссии, т.е. смысла существования компании, менеджмент с участием совета директоров должен ставить стратегические цели, формулировать стратегию. При анализе альтернативных возможностей достижения стратегических целей менеджмент должен определять риски, связанные со стратегическим выбором, и рассматривать возможные последствия. По результатам определения стратегических целей и стратегии организация должна разрабатывать тактические цели на уровне организации, достижение которых будет способствовать созданию и сохранению ее стоимости.

Достижение целей, отбор целей. Поставленные цели должны быть понятными и измеримыми. Управление рисками организации требует понимания сотрудниками всех уровней того, как соотносятся цели деятельности организации с действиями конкретного сотрудника в пределах его сферы влияния и ответственности. Все сотрудники должны обладать пониманием цели своих действий и возможностью измерить результаты этих действий.

События, факторы влияния. Событие - это случай или ситуация, возникающие в результате действия внутренних или внешних факторов, которые оказывают влияние на реализацию стратегии или достижение целей организации. Влияние событий может быть положительным, отрицательным или смешанным.

Определять события (риски) следует на двух уровнях: на уровне организации и на уровне видов деятельности.

Методы определения событий - это процедуры, позволяющие выявлять события, способные оказать влияние на способность компании или бизнес-единицы достичь поставленных целей. Методология определения событий может включать сочетание различных методов и вспомогательных средств.

Взаимозависимости

Выявление. В большинстве случаев события не происходят по отдельности. Одно событие может привести к появлению другого, также события могут происходить одновременно. Поэтому при определении возможных событий руководство должно понимать, каким образом события связаны друг с другом.

На текущий момент взаимозависимость событий в целом учитывается слабо. Взаимозависимость событий учитывается при идентификации рисков в рамках бизнес-процессов промышленной безопасности и охраны труда, планирования. В документе "Порядок внутреннего расследования происшествий" департамента промышленной безопасности и охраны труда определены методы выявления построения причинно-следственных цепочек событий. Отслеживание взаимозависимости событий производится при краткосрочном планировании в рамках "проекта скользящего ППР". Департаментом планирования и анализа был проведен сценарный анализ, учитывающий взаимосвязь производственных и логистических элементов, для оценки последствий отключения ключевых производственных и логистических ресурсов компании для всей системы производства.

При выявлении рисковых событий, относящихся к другим бизнес-процессам, взаимозависимость событий не учитывается.

* * *

Таким образом, если события непосредственно не связаны, то руководство оценивает их по отдельности. Но бывает так, что влияние отдельного события может быть незначительным, а последствия от цепочки взаимозависящих событий могут иметь более ощутимое влияние.

Категории событий

Потенциальные события можно сгруппировать по категориям. Группируя события горизонтально в разрезе всей организации и вертикально по операционным подразделениям, руководство приобретает понимание взаимосвязей между событиями, получая более подробную информацию в качестве основы для оценки рисков. С помощью выделения категорий для аналогичных событий руководство может эффективно и полно определять возможности и риски.

Разграничение рисков и благоприятных событий

Влияние возникающих событий может быть положительным, отрицательным или смешанным. События, влияние которых является отрицательным, представляют собой риски, которые требуют оценки и реагирования со стороны руководства. Соответственно, риск - это вероятность возникновения события, которое окажет отрицательное воздействие на достижение поставленных целей.

События, влияние которых является положительным, несут благоприятные возможности или компенсируют отрицательное воздействие рисков. Возможность - это вероятность возникновения такого события, которое окажет положительное воздействие на достижение поставленных целей и будет способствовать увеличению стоимости организации. События, которые предоставляют новые возможности, должны учитываться руководством при разработке стратегии и постановке целей, трансформируясь в планы практических действий. События, компенсирующие отрицательное влияние рисков, должны учитываться при оценке рисков и реагировании на риски со стороны руководства.

При выявлении ключевых рисков и рисков бизнес-процессов в компании рассматриваются события, оказывающие отрицательное влияние на достижение целей. Выявление возможностей в компании не производится, но в отдельных документах вводится понятие "возможность" и указывается на целесообразность ее учета в рамках управления рисками компании.

Оценка рисков

Оценка рисков позволяет организации учитывать, в какой степени потенциальные события могут оказать влияние на достижение ее целей. Риск характеризуется вероятностью возникновения и степенью влияния, для определения которых используются различные качественные и количественные методы.

Компонент "оценка рисков" предполагает измерение уровня рисков и возможностей и позволяет компании максимально эффективно реагировать на риски и вырабатывать оптимальную стратегию, содержит следующие элементы:

Контекст для оценки рисков

В Положении об управлении рисками должно указываться, что управление рисками внедряется для того, чтобы:

Присущий и остаточный риски

Присущий риск - это риск, определенный для организации, при отсутствии действий со стороны руководства по изменению вероятности или степени влияния данного риска. Остаточный риск - это риск, остающийся после принятия руководством мер по реагированию на риск.

В компании сознают важность оценки как присущего, так и остаточного риска. В положении об управлении рисками даются соответствующие определения и указывается, что риски оцениваются с точки зрения присущего и остаточного рисков, и при определении того, должно ли предприниматься конкретное действие или устанавливаться конкретное средство контроля, наряду с соответствующими затратами должен учитываться риск и потенциальные последствия его отсутствия для организации.

Оценка вероятности и степени влияния

Неопределенность потенциальных событий должна оцениваться по двум параметрам - вероятности возникновения и величине влияния. Такой подход позволяет создавать карту рисков, т.е. графическое описание ограниченного числа рисков организации, расположенных в прямоугольной таблице, по одной оси которой указана величина влияния риска, а по другой - вероятность возникновения.

Методы оценки. Методология оценки рисков организации обычно включает сочетание как количественных, так и качественных методов. Методы количественной оценки, как правило, требуют большей точности и используются в отношении более сложных видов деятельности в дополнение к качественным методам.

Взаимосвязь событий. Информация по состоянию элемента, выводы и рекомендации включены в раздел "Взаимозависимости".

Реагирование на риск. Компонент "реагирование на риск" направлен на определение способов реагирования на риск, оценку их достаточности и эффективности и содержит элементы:

Выбор способа реагирования. После оценки влияния возможных мероприятий реагирования на риск руководство должно принять решение о том, каким методом оно намеревается управлять риском, выбирая те мероприятия или их сочетания, которые будут направлены на приведение вероятности и влияния риска в рамки допустимого уровня.

Целостный подход. Управление рисками требует, чтобы риск рассматривался с точки зрения всей организации. Риски отдельных подразделений могут соответствовать уровням допустимого риска, установленным для этих подразделений, но в совокупности превышать допустимый уровень рисков для организации в целом. При целостном подходе на уровне организации руководство способно оценить, насколько совокупный риск соответствует ее риск-аппетиту.

Средства контроля. Средства контроля - это политики и процедуры, представляющие собой действия, осуществляемые непосредственно или с использованием технологических средств, обеспечивающие реагирование на риски со стороны руководства. Они применяются по организации в целом, на всех уровнях и во всех функциональных подразделениях.

Компонент "средства контроля" направлен на обеспечение разумной гарантии реагирования на риски со стороны руководства и содержит элементы:

Интеграция с деятельностью по реагированию на риск, контроль информационных систем. Определив мероприятия по митигации рисков, руководство должно определить средства контроля, необходимые для обеспечения надлежащего и своевременного реагирования на риск.

Виды средств контроля. Основные виды средств контроля включают превентивные (предупредительные), поисковые, коррективные процедуры, процедуры, выполняемые вручную, автоматизированные (компьютерные) процедуры и процедуры контроля со стороны руководства.

Политики и процедуры. Средства контроля включают два элемента: политику, устанавливающую, что должно быть сделано, и процедуры, обеспечивающие реализацию этой политики. Политики и процедуры должны быть формально задокументированы и осознанно и последовательно применяться.

Информация и коммуникация

Информация требуется на всех уровнях организации для выявления, оценки и снижения рисков, а также для управления организацией и достижения поставленных целей.

Компонент "информация и коммуникация" направлен на определение того, получает ли менеджмент достаточно информации, чтобы управлять рисками и осуществлять эффективное достижение целей, и содержит элементы "информация" и "коммуникация".

Информация. Информация поступает из многих источников в количественном и качественном виде и используется в процессе принятия решений по реагированию на изменение условий ведения деятельности. Информация должна предоставляться персоналу в форме и в сроки, позволяющие ему выполнять свои обязанности в рамках процессов и процедур управления рисками.

Коммуникация. Информация является основой для коммуникации, которая должна отвечать требованиям участников процесса управления рисками и позволять им максимально эффективно осуществлять свои обязанности.

Одним из наиболее важных каналов коммуникации в компании является канал взаимодействия между правлением и советом директоров.

В рамках актуализации и утверждения состава ключевых рисков идет процесс обсуждения и выработки единого мнения на уровне правления. Департамент внутреннего аудита привлекается для координации процесса, проводит анкетирование для определения оценок значимости, вероятности, управляемости ключевыми рисками менеджментом. В рамках процессов выработки мероприятий и оценки их результатов коммуникация недостаточно развита.

Мониторинг

Мониторинг - это оценка наличия и функционирования компонентов процесса управления рисками на протяжении определенного времени, направленная на выявление новых рисков, определение изменения уровней рисков, оценку эффективности планирования мероприятий по митигации рисков, отслеживание того, что уровень рисков находится в допустимых пределах, и содержит элементы:

Текущий мониторинг, дополнительные проверки. Текущие и дополнительные проверки направлены непосредственно на определение эффективности процессов и процедур управления рисками организации и дают возможность оценить эффективность средств контроля.

Информирование руководства о существующих недостатках. Все выявленные в управлении рисками организации недостатки, влияющие на ее способность разрабатывать и осуществлять свою стратегию, ставить цели и достигать их, должны доводиться до сведения лиц, уполномоченных принимать необходимые меры.

Д.Шамин

Советник генерального директора

ОАО "ВНИИНМ"