Управление рисками, аудит и внутренний контроль Тарасенко Елена
© Александр Александрович Филатов, 2015
© Михаил Евгеньевич Кузнецов, 2015
© Олег Сергеевич Зенков, 2015
© Елена Александровна Егорова, 2015
© Ольга Леонидовна Грачева (Трегубенко), 2015
© Эльдар Шамильевич Джураев, 2015
© Наталья Леонидовна Персод, 2015
© Елена Николаевна Тарасенко, 2015
© Вера Филатова, дизайн обложки, 2015
Создано в интеллектуальной издательской системе Ridero.ru
Предисловие редакторов
В серии книг, посвященной корпоративному и проектному управлению, настоящий том включает методические рекомендации по вопросам управления рисками, аудиту и внутреннему контролю. Этот круг вопросов занимает важное место в системе корпоративного управления и относится к набору важнейших управленческих функций в соответствии с Кодексом корпоративного управления 2014 года.
Действительно, важными задачами совета директоров являются: надзор за уровнем принимаемого компанией на себя риска, обеспечением достоверности финансовой отчетности акционерного общества, контроль за обеспечением сохранности активов и деятельностью подотчетных ему органов исполнительного руководства. В свою очередь менеджмент компании должен понимать, как политики и контрольные индикаторы, устанавливаемые советом директоров, встроить в управленческую систему в виде действенного операционного механизма, позволяющего отслеживать соответствие фактических показателей нормативным уровням.
Поэтому в данной книге собраны в комплексном виде практические методические рекомендации, которые могут быть использованы как на уровне совета директоров, так и на уровне исполнительного руководства в частных и государственных акционерных обществах, работающих в России.
Значительная часть методических рекомендаций, представленных здесь, была подготовлена членами Экспертных советов НИИ КПУ и членами Экспертно-консультационного совета Росимущества, входящими в Комитет по управлению рисками и внутреннему контролю. Ряд методических рекомендаций, вошедших в настоящий том, был утвержден Росимуществом в качестве рекомендательных нормативных документов для использования в деятельности акционерных обществ с долей государственного участия.
Редакторы выражают свою признательность Егоровой Елене, партнеру компании EY, руководителю Комитета по управлению рисками и внутреннему контролю Экспертно-консультационного совета Росимущества, Олегу Зенкову, советнику руководителя Росимущества, координатору Комитета, членам Комитета, принимавшим активное участие в написании рекомендаций, утвержденных Росимуществом, а также всем авторам материалов, вошедших в данную публикацию.
Александр Филатов,член совета директоров ПАО «БИНБАНК»,член Экспертно-консультационного совета Росимущества,IoD Chartered DirectorЭльдар Джураев,председатель совета директоров НИИ КПУ,IoD Certificate Director
Предисловие партнера издания
Повышение качества корпоративного управления и управления рисками – это одна из ключевых задач современной частной, публичной и государственной компании. Эффективное решение этой задачи неизменно приводит к увеличению стоимости компании и повышению доверия со стороны акционеров и инвесторов на микроуровне, тем самым способствуя улучшению инвестиционного климата и повышению конкурентоспособности России на мировой арене. Поэтому отрадно, что настоящее издание выходит при поддержке Росимущества и представителей бизнес-сообщества.
TURNER Group – это динамично развивающаяся компания, предлагающая услуги в сфере управления рисками, размещению и сопровождению сложных страховых продуктов на международном перестраховочном рынке для клиентов в России и СНГ. TURNER Group также оказывает услуги по актуарному сопровождению и урегулированию убытков. Клиентами компании в России являются крупнейшие предприятия банковской, нефтегазовой, металлургической, телекоммуникационной, транспортной, финансовой отрасли, агропромышленного и других секторов российской экономики. TURNER Group привлекалась большинством российских компаний, которые провели публичные размещения своих ценных бумаг на международных финансовых рынках, в качестве консультанта по подготовке к IPO в части минимизации рисков привлечения членов совета директоров к ответственности за неверно принятые решения, а также в качестве перестраховочного брокера для размещения и сопровождения программ страхования ответственности директоров и должностных лиц (D&O) на международных рынках, и других сложных страховых продуктов, требующих перестрахования на континентальных, лондонских, азиатских и американских рынках.
Мы уверены, что развитие российского бизнеса и наращивание экономического взаимодействия с восточными и западными партнерами потребует модернизации, повышения эффективности и открытости со стороны отечественных компаний. Пристальное внимание к управлению рисками и развитию института корпоративного управления, которое демонстрируют наиболее прогрессивные российские компании, вносит свою лепту в решение задачи повышения конкурентоспособности и помогает преодолеть консерватизм и осторожность контрагентов. Поэтому TURNER Group с благодарностью принял предложение выступить партнером проекта по выпуску методических рекомендаций в сфере управления рисками, которые могут быть использованы на уровне совета директоров и исполнительного руководства в частных, публичных и государственных обществах.
Елена Тарасенко,генеральный директорTURNER Group
Предисловие Экспертно-консультационного совета Росимущества
В последние несколько лет наблюдается повышенный интерес к совершенствованию корпоративного управления в акционерных обществах с участием Российской Федерации. Развитие системы управления рисками и внутреннего контроля (СУРиВК), правильная организация внутреннего аудита в компаниях играют здесь очень важную роль.
Задачи по развитию СУРиВК в госкомпаниях внесены в мероприятия Государственной программы по управлению федеральным имуществом, утвержденной Постановлением Правительства № 327 от 15 апреля 2014 года. В 2014–2015 гг. Росимуществом проведена значительная работа, направленная на совершенствование СУРиВК в госкомпаниях.
В 2013 году при Росимуществе создан Экспертно-консультационный совет (ЭКС Росимущества), одним из девяти комитетов которого является Комитет по управлению рисками и внутреннему контролю (Комитет УРиВК). Комитет УРиВК сформирован из профессионалов, имеющих большой практический и методологический опыт в данной области, хорошо знающих лучшие корпоративные практики и механизмы управления госкомпаниями.
Одной из важнейших задач, поставленных перед Комитетом, являлось создание методических документов, описывающих деятельность и взаимодействие основных участников СУРиВК в госкомпаниях. Поскольку директивное внедрение принципов СУРиВК в компаниях с уровня акционера несет в себе определенные риски и сложности (процесс организации СУРиВК начинается, как правило, с уровня совета директоров компании), принято решение о более мягком подходе – документы утверждаются в формате методических рекомендаций исходя из известного принципа «comply or explain» (в нашем случае – «соответствуй или умей объяснить несоответствие»).
Экспертами Комитета УРиВК разработаны методические рекомендации по организации работы комитета по аудиту, по организации внутреннего аудита в акционерных обществах с участием Российской Федерации. В настоящее время экспертами Комитета готовятся новые проекты методических документов, в том числе касающиеся общих принципов организации СУРиВК, управления комплаенс-рисками, организации порядка взаимодействия с внешним аудитором и т. д. В рамках выполнения поручения Президента Российской Федерации от 27.12.2014 № Пр-3013 экспертами Комитета разработаны проекты Методических указаний по разработке госкомпаниями Положения о внутреннем аудите, Положения о системе управления рисками.
Многие крупные госкомпании имеют дочерние и зависимые организации, зачастую представляющие значительную часть бизнеса всей структуры. Необходимость построения качественной системы управления и контроля заставляет еще внимательнее взглянуть на организацию деятельности госкомпаний не только как отдельных юридических лиц, но и как холдинговых структур, деятельность дочерних и зависимых структур которых взаимоувязана с деятельностью головной компании. Основные подходы к организации функции внутреннего аудита в таких компаниях раскрываются в Методических рекомендациях Росимущества по построению функции внутреннего аудита в холдинговых структурах с участием Российской Федерации.
Одной из задач, с которой столкнулось Росимущество, было построение эффективно функционирующей системы акционерного контроля за деятельностью госкомпаний. В рамках методической поддержки данного процесса Росимуществом разработаны документы по организации деятельности ревизионных комиссий (Методические рекомендации по организации проверок, формированию Положения о ревизионной комиссии, Положения о вознаграждениях и компенсациях членов ревизионной комиссии).
Разработка каждого документа включает несколько этапов: проекты обсуждаются в Комитете УРиВК, с остальными комитетами ЭКС Росимущества, с крупнейшими акционерными обществами и профессиональными сообществами. Как правило, сначала собираются и обрабатываются комментарии и предложения, затем ключевые комментарии и наиболее спорные вопросы обсуждаются в очном формате на совещании в Росимуществе с участием всех заинтересованных сторон.
Разработчик документа проводит большую работу: он не только создает проект документа, но и сводит полученные комментарии и предложения, модерирует дискуссии, следит за взаимоувязанностью документов, корректирует документ: в процессе обсуждения и доработки проект документа, как правило, существенно меняется. В данном издании перед каждым из документов стоит имя разработчика, но вклад наиболее активных экспертов, представителей акционерных обществ и профессиональных сообществ, трудно переоценить. Необходимо подчеркнуть, что очень сильное влияние на формирование каждого документа оказали комментарии и предложения экспертов и представителей корпоративной среды.
Методическая работа, проводимая Росимуществом, является только первым шагом на пути к совершенствованию СУРиВК в госкомпаниях: важно не только сформулировать принципы, но и предусмотреть их применение на практике. Очень важен тот факт, что госкомпании вовлекаются в данный процесс еще на этапе обсуждения методических документов – это снижает риск формального подхода к применению принципов, заложенных в утверждаемые документы.
Сотрудниками и экспертами Росимущества проводятся обучающие семинары, ведутся разделы на сайте Росимущества, а также работа по внедрению лучших практик в крупнейшие акционерные общества (так, необходимо упомянуть об активном участии представителей и экспертов Росимущества в проекте по внедрению принципов Кодекса корпоративного управления в крупнейших акционерных обществах с госучастием). Подготовлены изменения в структуру годового отчета крупнейших госкомпаний, предусматривающие раскрытие основных принципов и подходов к организации и развитию СУРиВК.
Большой вклад в этот процесс вносят эксперты Комитета УРиВК Егорова Е. А., Малыхин Д. В., Полтавцев А. Б., Грачева О. Л.
Документы, представленные в настоящем издании, – только часть намеченного пути. Методическая и практическая работа Росимущества по совершенствованию СУРиВК в компаниях продолжается.
Олег Зенков,советник руководителя Росимущества,координатор Комитета УРиВК ЭКС Росимущества
Методические рекомендации по управлению рисками
для совета директоров акционерного общества
Предисловие
Тема управления рисками в последнее время становится все актуальней, что связано с повышенной турбулентностью на многих рынках и общей финансовой нестабильностью. Свой вклад в повышение важности темы вносит также ускорение инновационных процессов в технологиях и в их использовании бизнесом. Темп жизни и скорость принятия решений нарастают. Чтобы проиллюстрировать роль управления рисками в компании, можно использовать следующее сравнение. Известно, что самые быстрые автомобили снабжены самыми лучшими и надежными тормозами. Так, задача эффективной системы управления рисками – не затормозить движение, а обеспечить безопасность на крутых поворотах.
Настоящие методические рекомендации предназначены для членов советов директоров акционерных обществ для ознакомления с предметом. Не секрет, что углубленное профессиональное владение этой темой требует наличия специальной квалификации и специфических знаний, в значительной степени различающихся в зависимости от предметной и отраслевой сущности рассматриваемых приложений. Вместе с тем понимание общих принципов управления рисками позволяет лицам, принимающим решения, правильно отнестись к самой теме управления рисками и организовать управленческий процесс выстраивания надзорной системы, позволяющей удостовериться, что риски в организации находятся под контролем.
В методических рекомендациях дано общее понимание управления рисками, показана роль отдельных органов управления акционерного общества в этом процессе, описаны основные элементы системы управления рисками и поэтапно расписаны шаги совета директоров по надзору за внедрением системы в практику работы компании. В Приложениях представлены практические примеры, которые наглядно проиллюстрированы таблицами и рисунками.
Для специалистов по управлению рисками существуют подробные руководства и специализированные методики. Иногда уровень погруженности специалистов в детали создает барьер для коммуникации с лицами, принимающими стратегические решения. Надеемся, что знакомство и тех и других с представленными методическими рекомендациями позволит выстроить понятный язык для их эффективной коммуникации друг с другом.
1. Понятие эффективного управления рисками
Все компании ежедневно сталкиваются с неопределенностью. Колебания финансовых рынков, изменение стоимости ключевых ресурсов, появление новых конкурентов, политические изменения – каждое событие таит в себе позитивные или негативные последствия для развития компаний. Успех компании зависит от способности ее руководства использовать открывающиеся возможности, превращая их в стоимость, при этом управляя ситуацией таким образом, чтобы обеспечивать жизнеспособность и рост стоимости бизнеса в долгосрочной перспективе.
В соответствии со стандартами COSO ERM1, построение системы, способной обеспечить такой баланс, включает следующее:
Взаимосвязь стратегии и риск аппетита: при оценке стратегических альтернатив руководство компании учитывает риск аппетит, устанавливает связанные с этим цели, разрабатывает механизмы управления риском, связанным с достижением целей. При этом риск-аппетит (аппетит к риску) – это способность и желание компании принимать на себя определенные риски для достижения своих целей. Руководство компании в пределах своей толерантности (то есть чувствительности) к риску определяет приемлемые границы аппетита к риску.
Эффективные механизмы реагирования на риск: система риск-менеджмента обеспечивает критерии для определения и выбора между различными способами реакции на риск: уклонение от риска, снижение риска, разделение риска, принятие риска.
Снижение операционных потерь: компании приобретают способность выявлять потенциальные негативные события, вырабатывать реакцию на них, снижая количество «сюрпризов» и связанных с ними издержек или потерь.
Выявление и управление взаимосвязанными рисками: любая компания сталкивается не с одним, а с множеством рисков, влияющих на разные подразделения организации. При этом нередко именно комбинация нескольких рисков (операционного, финансового) представляет наибольшую угрозу для компании. Система управления рисками должна вырабатывать адекватную реакцию на такие риски.
Использование возможностей: оценивая весь спектр возможных событий, менеджмент приобретает способность не только реагировать на возникающие угрозы, но и выявлять и активно использовать открывающиеся возможности.
Более эффективное размещение капитала: за счет более надежной информации о рисках менеджмент может более качественно оценить общие потребности в капитале и обеспечить эффективное размещение капитала.
Любая компания стремится к созданию стоимости для акционеров и ключевых заинтересованных сторон. При этом, ставя стратегические цели, компании неизбежно сталкиваются с неопределенностью. Главным «вызовом» для руководства компаний при этом является достижение оптимального баланса между темпами роста акционерной стоимости и рисками.
При этом неопределенность, как правило, включает в себя как риски (вероятный ущерб стоимости), так и возможности (благоприятствующие созданию стоимости). Максимизация стоимости достигается при условии, что компания достигает оптимального баланса между темпами роста, доходностью и связанными рисками.
Эти качества системы риск-менеджмента помогают руководству компании достигать стратегических целей и желаемого уровня доходности, предотвращая потери. Кроме того, система управления рисками должна обеспечивать эффективную отчетность и соответствие законам и регулированию, предотвращать ущерб репутации компании.
В соответствии с общепризнанным определением2, управление рисками – это процесс, осуществляемый советом директоров, менеджментом и персоналом на всех уровнях организации, применяемый при постановке целей, предполагающий выявление и оценку потенциальных событий, которые могут повлиять на организацию, с целью соблюдения приемлемого уровня аппетита по риску и для обеспечения разумной уверенности в том, что цели компании будут достигнуты.
2. Роль органов управления в системе управления рисками
В передовых организациях управление рисками встроено естественным образом в систему принятия решений на всех уровнях: от совета директоров до рядового работника.
В соответствии с лучшей практикой совет директоров определяет принципы и подходы к организации системы управления рисками и внутреннего контроля, утверждает политику управления рисками и аппетит к риску, осуществляет контроль за системой управления рисками и внутреннего контроля.
Совету директоров рекомендуется оценивать социальные, этические, экологические и иные нефинансовые риски, которым подвержено общество, а также устанавливать приемлемую величину рисков для общества и требовать от исполнительных органов отчитываться об управлении рисками3.
Российский кодекс корпоративного управления также подчеркивает необходимость достижения баланса между риском и доходностью для общества в целом при соблюдении законодательства, требований внутренних документов и устава общества, выработке адекватных стимулов для деятельности исполнительных органов общества, его структурных подразделений и отдельных работников. Кодекс рекомендует, чтобы совет директоров хотя бы раз в год организовывал анализ и оценку функционирования системы управления рисками и внутреннего контроля. Подобный анализ должен строиться как на отчетах менеджмента, так и на отчетах внутреннего и внешнего аудита. В некоторых компаниях cовет директоров привлекает для периодической (раз в три года) оценки системы управления рисками и внутреннего контроля независимых внешних консультантов.
Кодекс также возлагает на совет директоров обязанности по контролю за раскрытием информации о рисках и роли совета директоров в управлении рисками и внутреннего контроля.
В Принципах корпоративного управления ОЭСР подчеркивается роль совета в определении политики по управлению рисками, утверждении риск-аппетита, а также контроле за раскрытием информации о рисках4:
Областью, приобретающей все большее значение для совета и тесно связанной с корпоративной стратегией, является политика в отношении рисков. Такая политика предусматривает определение типов и степени риска, которые компания готова принять для достижения своих целей. Таким образом, она имеет решающее значение для руководства, которое должно управлять рисками с целью поддержания желаемого профиля риска компании.
Совет отвечает за обеспечение достоверности информации систем бухгалтерского учета и финансовой отчетности корпорации, включая проведение независимого аудита и наличие систем внутреннего контроля, в частности, систем управления рисками, финансового и операционного контроля и выполнения требований законодательства и соответствующих стандартов.
Совет также должен обеспечить надлежащий контроль со стороны исполнительного руководства. При этом конечная ответственность за обеспечение достоверности информации систем бухгалтерского учета и финансовой отчетности остается за советом. В некоторых странах предусмотрен отчет председателя совета о системе внутреннего контроля.
Пользователи финансовой информации и участники рынка нуждаются в информации о существенных рисках, которые в разумных пределах поддаются прогнозированию.
В некоторых компаниях создается отдельный комитет совета директоров по управлению рисками. Создание такого комитета настоятельно рекомендовано Базельским комитетом по банковскому надзору для крупных финансовых институтов. Комитет может работать совместно с менеджментом компании, анализируя ключевые факторы риска, определяя сценарии концентрации риска, давая более точную оценку риска. Хотя комитет может быть очень полезен для подобной оценки, он не должен подменять совет директоров, который должен понимать и чувствовать наиболее существенные риски компании. В случае если отдельный комитет по рискам при совете директоров не создается, его функции по управлению рисками выполняет комитет по аудиту.
Функции такого комитета по управлению рисками, в частности, включают:
– Надзор за качеством, эффективностью и объективностью систем контроля и управлением рисками и эффективностью установленных политик и стратегий по управлению рисками.
– Обзор культуры, философии и стратегии управления рисками и установление политик, процедур процесса управления рисками и требований к процессу уведомления о рисках, используемых при управлении и уведомлении о риске.
– Обзор информации в отношении самых существенных рисков и соответствия шагов, принятых руководством и подразделениями для контроля данных рисков в рамках приемлемых лимитов.
– Обеспечение соблюдения политик, связанных с рисками, и общего профиля риска.
– Получение и ознакомление с обзорными отчетами от любой группы, которая осуществляет деятельность по оценке рисков, включая комитет по управлению рисками и службу внутреннего аудита.
На исполнительное руководство компании возлагается основная ответственность за создание и функционирование эффективной системы управления рисками и внутреннего контроля. При этом соответствующие процедуры должны предусматривать своевременное уведомление совета директоров о существенных недостатках в системе внутреннего контроля5.
В ряде компаний создается комитет по управлению рискамипри Правлении компании. Комитет подотчетен Правлению и действует в рамках полномочий, предоставленных ему Правлением. Решения комитета, принятые в пределах его компетенции, носят рекомендательный характер для Правления. Комитет по рискам при Правлении может выполнять следующие функции:
1. Помощь в выявлении существенных рисков посредством:
– вынесения на обсуждение любых существенных рисков, выявленных в течение прошлых периодов оценки;
– принятия во внимание любых внутренних или внешних обстоятельств, которые могут увеличить риск или вызвать новые риски.
2. Управление работами по периодической оценке рисков посредством:
– выявления участников процесса оценки рисков;
– обеспечения проведения оценки рисков, по крайней мере, один раз в год или при возникновении существенных изменений внешних или внутренних факторов;
– анализа результатов оценки рисков для выявления областей высокого риска, существенных концентраций связанных рисков и любых отклонений в результатах, которые могут потребовать дальнейшего изучения или анализа;
– подготовки отчетов по результатам оценки рисков для комитета по аудиту совета директоров.
3. Анализ, определение приоритетных областей и утверждение стратегий по смягчению рисков посредством:
– анализа отчетов по управлению рисками и определения областей, требующих стратегий по смягчению рисков;
– оказания необходимой помощи в разработке мер или планов мероприятий для снижения неприемлемого риска;
– анализа и/или разработки вариантов по смягчению рисков для контроля существенных рисков;
– утверждения тех проектов, которые необходимы для внедрения планов мероприятий по снижению рисков.
4. Мониторинг реализации мер по снижению рисков посредством:
– получения отчетов и осуществление последующих запросов в отношении реализации плана мероприятий по снижению рисков;
– предоставления рекомендаций для модификации и адаптации процесса управления рисками для обеспечения соблюдения требований совета директоров и руководства.
В ряде компаний (как правило, крупных) создается департамент по управлению рисками. Департамент по управлению рисками может осуществлять следующие функции:
– организация работы подразделения по управлению рисками;
– ежегодное формирование плана работы системы управления рисками;
– контроль за исполнением структурными подразделениями компании внутренних документов по управлению рисками;
– контроль за процессом выявления рисков/организация процесса выявления рисков компании (идентификация рисков и формирование реестра, в т. ч. выявление и регистрация новых рисков);
– формирование предложений по назначению владельцев рисков;
– контроль за ежегодным обновлением реестра рисков и карты рисков;
– формирование предложений для комитета по аудиту (рискам) в отношении величины приемлемого уровня риск-аппетита;
– контроль за осуществлением оценки выявленных рисков/осуществление процесса оценки рисков при участии экспертов компании.
Кроме того, существует также практика назначения так называемых риск-лидеров. Риск-лидер выступает в качестве координатора деятельности по управлению рисками внутри каждого подразделения компании, определенного в качестве участника процесса оценки рисков. Риск-лидеры не обязательно должны быть руководителями своих подразделений, обычно они назначаются из числа руководителей данных подразделений. Риск-лидеры должны обладать глубоким пониманием деятельности подразделений, процессов и персонала, уметь организовывать проекты и управлять ими. Если риск-лидер не является руководителем подразделения, он (она) назначается и получает полную поддержку от руководителя соответствующего подразделения.
Риск-лидеры выполняют или делегируют и управляют следующими видами деятельности:
– координация с руководством подразделения;
– поддержка деятельности комитета по управлению рисками;
– выявление и анализ рисков подразделения;
– составление отчетов по выявленным рискам внутри подразделения;
– активное участие в разработке стратегий, планов, мер и пр. по смягчению рисков;
– мониторинг и составление отчета для комитета по управлению рисками о прогрессе стратегий, планов, мер и пр. по смягчению рисков.
3. Элементы системы управления рисками
Эффективное управление рисками в компании необходимо не для того, чтобы успокоить акционеров или инвесторов, а прежде всего для повышения вероятности достижения целей организации. Из каких же элементов («кирпичиков») состоит эффективная система управления рисками?
Прежде всего, контрольная среда: это общая атмосфера и настрой в организации в отношении внутреннего контроля. Что думают сотрудники организации о важности контроля? Попробуйте спросить у ваших сотрудников, считают ли они необходимым и полезным наличие службы внутреннего аудита и необходимые регулярные проверки или считают эту деятельность «неизбежным злом», отнимающим время? Считают ли они честность и прозрачность необходимым условием деятельности или им ближе подход «не пойман – не вор»?
Контрольная среда является фундаментом для всей системы внутреннего контроля и управления рисками. Факторами, влияющими на качество контрольной среды, являются этические принципы, компетентность, честность сотрудников, этика и стиль управления руководства, распределение полномочий и ответственности, а также внимание и значимость, которую высшее руководство и совет директоров придают вопросам контроля. Что может сделать совет директоров для формирования эффективной контрольной среды?
– Сформировать правильную культуру, задающую «тон сверху» в отношении внутреннего контроля и управления рисками. Пока сами члены совета директоров и высший менеджмент не будут следовать установленным принципам, правилам и процедурам, вряд ли возможно убедить в необходимости этого рядовых сотрудников.
– Убедиться в том, что принципы и правила четко сформулированы и понятны сотрудникам компании. Для этого совет директоров может инициировать опрос сотрудников, создание или пересмотр внутренних документов компании: регламентов, процедур, кодекса этики компании.
– Утвердить прозрачную организационную структуру и распределение полномочий и ответственности в компании.
Вторым элементом является четкий процесс определения целей компании. В этой связи совет директоров должен задаться вопросами:
– Насколько четко определены видение, миссия, приоритетные цели компании?
– Донесены ли цели должным образом до сотрудников?
– Ясны ли цели и задачи сотрудникам компании?
Третий элемент – оценка рисков – предполагает выявление и анализ событий, способных повлиять на достижение целей компании. Это необходимо для выработки адекватной реакции на риск. Эффективная оценка рисков предполагает, что руководство компании и совет директоров:
– Проводят выявление, оценку внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение компанией поставленных целей. Оценка обычно проводится по шкале «значимость» (обычно оценивается размер потенциального ущерба в деньгах) и «вероятность» (в баллах, категориях или процентах). (См. Пример шкалы рисков в Приложении 2).
– Устанавливают приемлемые уровни риска (аппетит к риску), который может (должна) принимать на себя компания и ее подразделения для достижения поставленных целей (с учетом стратегии, мнения акционеров).
– Разрабатывают необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками.
Обычно на данном этапе составляется реестр рисков, в котором риски классифицируются по группам (например, по источникам риска). Как выглядит сегодня типичная карта рисков организации? С какими группами рисков сталкиваются советы директоров крупнейших компаний?
Источниками стратегических рисков могут быть политические события, технологические и социальные изменения, макроэкономическая ситуация, изменения в отрасли, развитие конкуренции и пр.
Финансовые риски, пожалуй, становятся предметом обсуждения на совете директоров чаще других. Как повлияет на бизнес изменение процентных ставок? Какие факторы влияют на рейтинги кредитоспособности? Каковафинансовая устойчивость (соотношение долга и EBITDA), достаточен ли денежный поток для обслуживания долга? Каковы возможные угрозы ликвидности компании?
Операционные риски могут быть связаны с персоналом, управлением затратами, наличием производственных мощностей, поведением поставщиков и подрядчиков, качеством управления запасами, информационными технологиями и пр.
Риски соответствия требованиям (комплаенс-риски) могут быть связаны с выполнением требований регуляторов, изменением законодательства.
Для целого ряда компаний имеют большое значение риски взаимодействия с окружающей средой, которые могут быть вызваны природными явлениями, в том числе событиями, не поддающимися контролю со стороны руководства компании. Пример карты рисков приведен в Приложении 3.
Чаще всего для выявления, классификации и оценки рисков применяется экспертный метод. В качестве экспертов обычно выступает топ-менеджмент компании (например, комитет по рискам правления), члены совета директоров. Эффективным может быть подход, при котором совет директоров проводит самостоятельное обсуждение и оценку ключевых рисков, а затем сравнивает полученные результаты с оценкой со стороны менеджмента и в ходе совместного обсуждения согласовывает единое понимание матрицы рисков компании. После того, как все заинтересованные стороны произведут свои обоснованные оценки, происходит компиляция и обсуждение результатов, чтобы выяснить, как разные люди в этой группе оценивают риски компании и почему.
Оценку рисков необходимо проводить ежегодно, а в случае высокой подверженности конкретным рискам соответствующую сферу деятельности нужно оценивать чаще. Если совет директоров считает те или иные риски особенно значимыми, он может отслеживать и переоценивать данные риски на каждом заседании совета директоров. Таким образом во время финансового кризиса поступали многие компании, столкнувшиеся с кредитными и инвестиционными рисками.
Некоторые компании строят так называемые «тепловые карты» рисков (см. Приложение 4), выделяя красным цветом наиболее значимые и вероятные риски в особую группу, требующую повышенного внимания со стороны совета директоров и высшего руководства.
Важным шагом является определение риск-аппетита компании. При установлении риск-аппетита совет директоров должен основываться на собственном бизнес-суждении, а также учитывать ряд дополнительных факторов:
– На каком этапе жизненного цикла находится компания? Вполне естественно, что стартапы по своей природе больше подвержены риску, чем более зрелые компании.
– Мнение основных заинтересованных сторон. Акционеры, кредиторы, держатели облигаций и пр. могут иметь различное мнение о риск-аппетите. Совет директоров должен учитывать их мнение при установлении риск-аппетита.
– Факторы внешней среды. Например, рецессия в экономике или существенное изменение в регулировании, кардинальные структурные изменения в отрасли могут существенно повлиять на риск-аппетит.
Самая простая рекомендация в отношении установления уровня риск-аппетита: «не откусывайте больше, чем Вы можете проглотить». Для компаний разных отраслей и разной стадии жизненного цикла риск-аппетит может быть сформулирован количественно (в сумме возможных потерь, предельных значениях или коридорах коэффициентов и пр.) либо в качественном выражении (путем описания). Например:
– достаточность капитала для покрытия ущерба определенного уровня;
– предельно допустимые значения по покрытию долга (долг/EBITDA);
– платежеспособность: компания должна быть в состоянии обеспечивать выполнение своих обязательств;
– структура доходов: компания считает критичной потерю более определенного процента доходов или хочет установить предельный процент зависимости доходов от одного или нескольких крупных клиентов.
Четвертый элемент – выработка реакции на риск – предполагает выработку стратегии реагирования на каждый выявленный риск. Базовые стратегии реакции на риск обычно предполагают:
– Избегание риска – руководство компании в таком случае решает не начинать или прекратить проекты или виды деятельности, приводящие к риску, выходящему за пределы риск-аппетита.
– Минимизация риска – руководство компании в таком случае предпринимает меры для уменьшения воздействия или вероятности риска путем разработки и внедрения соответствующей стратегии, плана действий, соответствующих контрольных процедур. В этом случае в ряде компаний также оценивается уровень остаточного риска – риска после применения контрольных процедур и мероприятий по снижению риска.
– Принятие риска – руководство компании в таком случае решает, что минимизация риска не является возможной или экономически оправданной, а выгоды, получаемые от проектов, процедур или видов деятельности, стоят принимаемого риска.
– Передача риска (перенос риска) – разделение с другой стороной возможных потерь или преимуществ от риска.
Ответственность за разработку мероприятий по управлению приоритетными рисками несут руководители и/или прочие ключевые работники подразделений, в наибольшей степени влияющих на управление данными рисками.
Контроль за реализацией мероприятий по управлению ключевыми (приоритетными) рисками должен осуществлять совет директоров, а контроль за рисками «желтой» и «зеленой» зоны находится целиком в зоне ответственности менеджмента, который должен обеспечить адекватность контрольных процедур для управления всеми рисками.
Таким образом, следующим важным элементом системы управления рисками являются процедуры контроля, обеспечивающие удержание рисков в приемлемом диапазоне. Для адекватного внедрения процедур контроля совету директоров необходимо:
1. Создать необходимую инфраструктуру, позволяющую обеспечить эффективность контрольных процедур:
– процедуры контроля реализуются на всех уровнях управления;
– контрольные мероприятия встроены в ежедневные операции;
– обеспечено адекватное разделение обязанностей и отсутствие конфликтов интересов при выполнении персоналом своих обязанностей.
2. Убедиться в том, что в компании осуществляются периодические проверки соответствия всех областей деятельности установленным политикам и процедурам.
3. Убедиться в адекватности, полноте и достоверности финансовой и управленческой отчетности, информации на всех уровнях управления.
4. Обеспечить соответствие деятельности законодательству.
Различают несколько форм контрольных процедур: предварительный контроль, текущий контроль, последующий контроль.
Предварительный контроль может включать:
– назначение ответственного исполнителя;
– установление стандартов качества;
– установление строгих процедур составления тендерных и коммерческих предложений расчетов стоимости строительства;
– создание системы управленческого учета и отчетности.
Текущий контроль может предусматривать:
– проверку материалов и товаров по мере прохождения ими производственного процесса;
– обеспечение обратной связи производств и ответственных лиц по выполнению плановых показателей в разрезе смены, дня, месяца, квартала, года;
– обеспечение обратной связи со служащими по показателям качества в ходе процесса производства;
– создание системы оценки функционирования бизнеса;
– мониторинг ключевых показателей деятельности (эффективности).