Риск-менеджмент и внутренний контроль

 

Настоящее время можно назвать качественно новым этапом в развитии управления рисками. Помимо принятия национальных стандартов ГОСТ Р ИСО серии 31000 «Менеджмент риска» Принципы и руководство и Методы оценки риска, начата работа по созданию отраслевого стандарта по риск-менеджменту в лизинговой сфере. Разрабатываемый документ должен обобщить накопленный опыт лизинговых компаний и служить для распространения лучших практик.

Очевидно, что тема создания эффективной системы риск-менеджмента сегодня очень актуальна. В статье затронута тема практики построения системы риск-менеджмента, в частности, о взаимосвязи внутреннего контроля и управления рисками.

На первый взгляд, у этих сфер деятельности мало общего. Под контролем мы привыкли понимать проверки, отчеты руководству, принятие соответствующих мер по выявлению виноватых. В общем, мало приятного.

Под управлением рисками мы часто понимаем деятельность по прогнозированию и снижению вероятности наступления рисковых событий. Т.е. управление непредсказуемым.

Но если посмотреть на эти процессы шире, то выявляется много общего. Целью внутреннего контроля является обеспечение эффективности деятельности и использования активов компании, снижение рисков, гарантирование достоверности отчетности, соблюдение нормативных актов.

Цели риск-менеджмента ни в чем не противоречат указанным целям. Во многом он занимается решением тех же задач. Если система внутреннего контроля выявляет слабые места, система риск-менеджмента должна предотвращать их появление в принципе.

Детально взаимосвязь целей внутреннего контроля и управления рисками можно рассмотреть по развитию концепций COSO, разработанных в США Комитетом спонсорских организаций Комиссии Тридуэя.

Модели риска и контроля, предложенные этим комитетом, послужили основой для ряда моделей и стандартов, разработанных в других странах.

Доклад COSO «Внутренний контроль. Интегрированная модель», подготовленный в 1992 г., определяет внутренний контроль, как процесс, осуществляемый советом директоров организации, менеджментом, другим персоналом, предназначенный для обеспечения разумной гарантии достижения целей компании в следующих категориях:

- эффективность и результативность операций;

- надежность финансовой отчетности;

- соблюдение соответствующих законов и правил.

Рассмотрим это определение на примере лизинговой компании:

1) Это непрерывный процесс, а не отдельные процедуры. В лизинговом бизнесе недостаточно один раз принять решение о вхождении в сделку, необходим постоянный мониторинг рынка клиента, его финансового состояния, платежной дисциплины, сохранности имущества.

2) В процесс вовлечены все уровни руководства и все подразделения компании. Совет директоров утверждает основополагающие регламенты работы и принимает решения по лимитам риска, Ген.директор утверждает положения о работе служб и отвечает за соблюдение лимитов риска перед советом директоров, руководители подразделений отвечают за контроль над рисками, возникающими по их направлениям деятельности: сохранность и страхование имущества, обеспечение ликвидности компании, управление рыночными рисками, правовые, налоговые риски и т.д. Каждый сотрудник в рамках должностной инструкции понимает, за какой участок бизнес-процесса компании он несет ответственность.

3) Цели внутреннего контроля:

- избежание убытков или дополнительных расходов по лизинговым сделкам, а также в рамках хозяйственной деятельности, заключение лизинговых сделок с приемлемым для компании соотношением риск/доходность, сохранность лизингового имущества;

- достоверная отчетность для акционеров, инвесторов, налоговых органов;

- избежание убытков от приостановки деятельности или в виде штрафов, сохранение деловой репутации.

Система внутреннего контроля состоит из 5 взаимосвязанных компонентов:

- контрольная среда - философия и стиль руководства, правила и приемы работы с трудовыми ресурсами, честность и духовные качества сотрудников, организационная структура, руководящая роль совета директоров). Здесь работа должна вестись на всех уровнях компании. Но камертоном всегда является стиль поведения руководства.

- оценка риска (идентификация и анализ внешних и внутренних рисков). Система внутреннего контроля должна обеспечить своевременное выявление всех возможных рисковых событий и оценить вероятность и последствия их наступления – от сбоя компьютера бухгалтера до мошенничества лизингополучателя.

- контрольная деятельность – принципы и процедуры, которые гарантируют выполнение указаний руководства. Компания должна иметь детальное описание бизнес-процессов, инструкции работы всех служб и сотрудников, регламенты операций.

- информация и коммуникации. Написанные регламенты должны доводиться до сведения ответственных сотрудников. Возникающие сбои в работе компании или реализации лизинговой сделки должны своевременно доводиться до сведения руководителей соответствующего уровня.

- мониторинг. Все компоненты системы внутреннего контроля должны проверяться на эффективность работы. Соблюдается ли этический кодекс, правильно ли были оценены риски по лизинговой сделке и обеспечена ли ликвидность компании, нет ли конфликта интересов в процедурах по выбору поставщика, проводятся ли периодические проверки соблюдения регламентов, не требуют ли регламенты пересмотра в связи с меняющейся рыночной ситуацией?

Считается, что система внутреннего контроля эффективна, если все 5 представленных компонентов существуют и эффективно функционируют в отношении всех заявленных целей во всех подразделениях компании и на каждом ее бизнес-процессе: от регистрации заявки на лизинг до передачи прав собственности на лизинговое имущество в конце срока договора.

Дальнейшее развитие концепция COSO получила в 2005 г. изданием документа «Концептуальные основы управления рисками организаций». Управление рисками рассматривается как расширение и модернизация внутреннего контроля.

Управление рисками имеет то же самое назначение, что и внутренний контроль, а именно: «обеспечение разумной гарантии достижения целей компании». Перечень целей дополнительно включает направление «Стратегические цели» - цели высокого уровня, соотнесенные с миссией организации. Таким образом, управление рисками должно способствовать достижению стратегических целей компании.

Список видов деятельности расширен в соответствии с расширением перечня целей деятельности:

- Постановка целей (Руководство компании должно правильно организовывать процесс выбора и формирования целей, чтобы они соответствовали миссии и уровню риск-аппетита);

- Определение событий (События, оказывающие влияние на достижение целей, должны разделяться на риски или возможности. Возможности должны учитываться при формирования стратегии и постановке целей);

- Реагирование на риск (Руководство выбирает метод реагирования: избежание риска, его принятие, уменьшение или передача, чтобы привести выявленный риск в соответствие с риск-аппетитом);

В систему управления рисками должны быть вовлечены службы всех юридических лиц группы компаний.

Таким образом, модель управления рисками компании является расширением института внутреннего контроля.

Концептуальное обновление модели заключается в изменении основного принципа гарантирования достижения целей. Если внутренний контроль использует для такого гарантирования контроль над текущей деятельностью, управление рисками базируется на контроле над ожидаемыми результатами.

Аудит системы является необходимым процессом при управлении рисками. Традиционно в ходе аудита эффективности системы рассматриваются:

— эффективность коммуникаций внутри компании и внутри предприятий, а также с внешними инспектирующими органами;

— эффективность расходования средств на мероприятия, связанные с управлением рисками;

— эффективность работы внешних консультантов;

— наличие механизмов реагирования на кризисную ситуацию и эффективность плана обеспечения непрерывности бизнеса компании;

— процедуры работы с ключевыми рисками. В отношении операционных рисков важно рассмотреть процедуры обслуживания оборудования, процессы модернизации, эффективность работы и организации информационной системы в компании, провести анализ процесса управления запасами предприятия. Здесь помогут различные вопросники, разработанные для идентификации опасностей, методы выявления соответствий, физическое инспектирование, финансовый аудит деятельности подразделений и целый ряд других методов.

Функции, которые можно оптимизировать

Обеспечение промышленной безопасности. Функция обеспечения промышленной безопасности в мировой практике относится к любым объектам собственности, в российской практике — только к опасным производственным объектам, причисленным к этой категории государственными регулирующими органами, то есть не относится ко всему объекту собственности, как это принято за рубежом.

Обеспечение охраны труда. Эта функция регулируется российским законодательством, поэтому автор не ожидает, что компании будут нести существенные потери из-за нарушения норм охраны труда в краткосрочном периоде. Тем не менее важно учитывать, что в мировой практике убытки, связанные с нарушениями в области охраны труда, являются одними из наиболее существенных для промышленности наряду с обеспечением экологического соответствия.

Обеспечение эффективного обслуживания оборудования. В западной практике нет разделения функций обеспечения безопасности производственного оборудования и безопасности эксплуатации зданий и сооружений.

В российской практике эти функции разделены, более того — часто относятся к компетенции различных дирекций. Это приводит к разделению финансовых потоков на обеспечение деятельности по предотвращению внеплановых потерь и делает их контроль с точки зрения эффективности вложений более сложным.

В свою очередь, для разрешения конфликта, возникающего между желанием увеличить производственные показатели за счет более интенсивного использования оборудования и необходимостью гарантировать некий уровень надежности работы оборудования, подразделения по управлению рисками должны курировать разработку политики по обслуживанию оборудования и проверять ее соблюдение.

Увеличение межремонтных периодов — одна из основных причин возникновения крупных убытков на предприятиях в мировой практике.

Обеспечение пожарной безопасности. Обеспечение пожарной безопасности предприятия — одна из важных функций в системе предотвращения внеплановых потерь. Внутренний конфликт заложен в самом принципе функционирования подразделений, обеспечивающих пожарную безопасность на российских предприятиях, когда основная цель заключается в удовлетворении требований государственных регулирующих органов, а не в эффективной защите собственности владельцев. Это важная и зачастую недооцененная статья расходов предприятия. Как правило, эта функция не управляется на уровне центрального офиса компании, а относится к компетенции отдельных предприятий, что необходимо изменить в целях повышения эффективности.

Обеспечение деятельности по работе в чрезвычайных ситуациях. Как правило, операционные риски в промышленных компаниях возникают на предприятиях и именно эффективность выполнения данной функции сразу после возникновения инцидента позволяет минимизировать финансовые потери и время, необходимое для восстановления бизнес-процесса. Очевидно, что на корпоративном уровне эта функция возложена на подразделение по управлению корпоративными рисками и форма-лизируется путем написания плана обеспечения непрерывности бизнеса. На локальном уровне отдельного предприятия должны разрабатываться и периодически обновляться планы ликвидации чрезвычайных ситуаций.

Коммуникативная функция. Данная функция является ключевой при организации эффективного управления рисками компании в целом и на отдельных предприятиях в частности. На практике часто функция удовлетворительно выполняется в центральном офисе компании, но на каждом предприятии, входящем в компанию, должен существовать координатор процесса управления операционными рисками, на которого возложена и коммуникативная функция. Определять данного координатора нужно именно на четвертом этапе построения системы управления рисками.

При анализе должны быть проверены на адекватность критические сценарии возникновения возможных потерь, а также система реагирования на рекомендации по снижению существующих рисков, данные ранее.

Важными элементами системы управления рисками являются упреждающее распознавание тревожных ситуаций и накопление информации о вероятных потерях. Например, в нашей компании независимо от того, на каком уровне осуществляется управление рисками (управляющей компании или бизнес-единицы), сигнал о рисках поступает немедленно к риск-менеджеру. При этом осуществляется мониторинг возможных последствий и выдаются рекомендации по их устранению. Это позволяет контролировать работу по управлению рисками на предприятиях.

Очевидно, что в связи с развитием бизнеса состав и существенность рисков предприятий, входящих в холдинг, могут меняться. Поэтому мы разработали регламент, в соответствии с которым предприятия на регулярной основе информируют управляющую компанию о приобретении нового оборудования или проведении ремонтных и монтажных работ, то есть о появлении новых рисков или изменении степени уже существующих. Если стоимость оборудования или возможные потери от его утраты превышают определенные нами лимиты, то информация о таком оборудовании должна поступать в центральный офис незамедлительно. О любых случаях, имеющих признаки страхового события, нас извещают в тот же день, и все дальнейшие действия контролируются Управлением риск-менеджмента управляющей компании.

Выводы:

Таким образом, согласно модели COSO, управление рисками – это обеспечение разумной гарантии достижения поставленных целей компании. Процесс внутреннего контроля является составной частью процесса управления рисками.

Эффект от внедрения системы управления рисками оценить несложно. Любой риск - это вероятные потери компании. Внедряя систему управления рисками, мы сокращаем эти потери, то есть повышаем доходность и рентабельность компании. Соотнеся полученные результаты с затратами на внедрение системы управления рисками, можно оценить эффективность такого решения. Как правило, затраты на построение системы управления рисками с привлечением консультантов для среднего по размерам предприятия составят порядка 30-50 тыс. долл. США, а сами работы продлятся около трех месяцев.

Очевидно, что непросто реализовать американскую модель в российской действительности. Отечественный лизинговый рынок еще очень молод. Формирование философии риск-менеджмента, которая найдет отражение в разрабатываемых стандартах по управлению рисками, находится на начальной стадии. Но мы имеет прекрасную возможность развивать теорию и практику риск-менеджмента с учетом накопленного мирового опыта.