Современный этап истории унификации требований к системе внутреннего контроля предприятий начался в 1985 г. в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций — Американского института публичных бухгалтеров (American Institute of Certified Public Accountants — AICPA2), Американской Ассоциации по учету и отчетности (American Accounting Association), Финансового исполнительного института (Financial Executives Institute — FEI), Института внутренних аудиторов (Institute of Internal Auditors — НА) и Института специалистов управленческого учета (Institute of Management Accountants) — была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, названная в честь первого председателя Дж.С. Тредуэя Комиссией Тредуэя.
Выпущенный ею в 1987 г. отчет помимо других рекомендаций содержал призыв к перечисленным организациям — спонсорам Комиссии Тредуэя —объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission — COSO) проанализировала существовавшую на тот момент литературу по внутреннему контролю. Результат этой работы был представлен общественности в 1992 г. под названием «Интегрированная концепция внутреннего контроля». Кратко этот документ принято называть по наименованию комитета-организатора концепцией C0S0, моделью CОSО или просто CОSО.
Одна из последних разработок COSO — Концепция управления рисками предприятия (Enterprise Risk Management Framework). Данная концепция является дальнейшим развитием модели COSO и в значительной мере — ответом профессионального сообщества на осложнение обстановки в связи с ростом угрозы терроризма и громкими банкротствами международных компаний последних лет, вызванными некорректностью их финансовой отчетности.
Представленная модель внутреннего контроля основана на подходе, ориентированном на оценку рисков. В общем виде ее можно представить следующим образом: необходимо определить риски (угрозы достижения цели), разработать меры по их предотвращению и постоянно проверять работоспособность и эффективность этих мер.
В одном из документов ЦБ РФ указывается, что процесс внутреннего контроля, который исторически служил механизмом для минимизации случаев мошенничества, хищений или ошибок, приобрел более широкий характер, охватив все разнообразные риски, связанные с деятельностью банковских учреждений; в настоящее время эффективный процесс внутреннего контроля играет важнейшую роль в способности банка выполнять поставленные цели и сохранять финансовую жизнеспособность.
Управление рисками организации — процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации1. Он направлен на определение событий, которые могут влиять на деятельность организации, и управление связанным с этими событиями риском, а также контроль непревышения «риска-аппетита» организации (риска, на который она готова идти) и предоставления разумной гарантии достижения целей организации.
Управление рисками организации включает в себя:
• определение уровня «риска-аппетита» в соответствии со стратегией развития. Руководство оценивает «риск-аппетит» на этапе выбора стратегического варианта при постановке целей, отвечающих выбранной стратегии, а также при разработке механизмов управления соответствующими рисками;
• совершенствование процесса принятия решений относительно реагирования на возникающие риски. Процесс управления рисками определяет, какой способ реагирования на риск в организации предпочтителен — уклонение от риска, сокращение риска, перераспределение риска или принятие риска;
• сокращение числа непредвиденных событий и убытков в хозяйственной деятельности. Организации расширяют возможности выявление потенциальных событий и установления соответствующих мер, сокращая число таких событий и связанных с ними затрат и убытков;
• определение и управление всей совокупностью рисков в хозяйственной деятельности. Каждая организация сталкивается с большим количеством рисков, влияющих на различные ее составляющие. Процесс управления рисками способствует более эффективному реагированию на различные воздействия и интегрированному подходу в отношении множественных рисков;
• использование благоприятных возможностей. Принимая во внимание все потенциальные события, а не только вероятные риски, руководство способно выявлять события, представляющие собой потенциальные возможности, и активно их использовать.
Концептуальные основы управления рисками организаций разработаны таким образом, чтобы оказать содействие в достижении целей организации, которые можно разделить на следующие категории:
1) стратегические цели — цели высокого уровня, соотнесенные с миссией/видением организации;
2) операционные цели — эффективное и результативное использование ресурсов;
3) цели в области подготовки отчетности — достоверность отчетности;
4) цели в области соблюдения законодательства — соблюдение законодательных и нормативных актов.
Компоненты процесса управления рисками организации. Процесс управления рисками организации состоит из восьми взаимосвязанных компонентов, содержание которых определяется тем, как руководство управляет организацией:
• внутренняя среда. Внутренняя среда, т.е. атмосфера в организации, определяет, как риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает философию управления рисками и «риск-аппетит», честность и этические ценности, а также среду, в которой они существуют;
• постановка целей. Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс управления рисками предоставляет «разумную» гарантию того, что руководство компании разработало правильно организованный процесс выбора и формирования целей, и эти цели соответствуют миссии организации и уровню ее «риск-аппетита».
• определение событий. Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей;
• оценка рисков. Риски анализируются с учетом вероятности их возникновения и влияния с целью определения, какие действия по отношению к ним необходимо предпринять. Риски оцениваются с точки зрения присущего и остаточного риска;
• реагирование на риск. Руководство выбирает метод реагирования на риск— уклонение от риска, принятие, сокращение или перераспределение риска,— разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и «риск-аппетитом» организации;
• средства контроля. Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск эффективно и своевременно;
• информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали;
• мониторинг. Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.
Четыре категории целей (стратегические, операционные, цели в области подготовки отчетности и соблюдения законодательства) и восемь указанных компонентов могут быть представлены в виде куба (рис. 5.1), что отражает способность организации рассматривать управление рисками во всей его полноте или по категориям целей, компонентам, подразделениям, или на более низком уровне.
Определение «эффективности» процесса управления рисками является предметом субъективного суждения, формирующегося в результате оценки наличия и эффективности функционирования восьми компонентов управления рисками. Таким образом, эти компоненты также служат критериями эффективности процесса управления рисками. Чтобы компоненты присутствовали и эффективно функционировали, должны отсутствовать значительные недостатки, и риск должен быть сведен к пределам, не выходящим за рамки «риск-аппетита» данной организации.
Эффективность процесса управления рисками по каждой из четырех категорий целей дает совету директоров и руководству организации разумную гарантию того, что они владеют информацией, в какой степени достигнуты стратегические и операционные цели организации, а также того, что отчетность предприятия достоверна, а применяемое законодательство и нормативные акты соблюдаются.
Все восемь компонентов процесса управления рисками не могут функционировать одинаково в каждой организации. Их применение на предприятиях малого и среднего бизнеса, например, может быть менее формализовано и менее структурировано. В то же время, небольшие предприятия могут иметь эффективную систему управления рисками только в том случае, если каждый из компонентов в ней присутствует и должным образом функционирует.
В настоящее время в большинстве действующих рекомендаций по организации системы внутреннего контроля содержатся следующие ее элементы:
1) контрольная среда, или среда контроля (управленческий контроль и культура контроля);
2) риски деятельности (выявление и оценка риска);
3) меры по снижению риска (контрольные действия или средства контроля);
4) информационные системы;
5) мониторинг эффективности системы контроля (мониторинг средств контроля).
Например, в Положении ЦБ РФ «Об организации внутреннего контроля в кредитных организациях и банковских группах» от 16..12.03 г. № 242-П даются следующие определения: • система внутреннего контроля — это совокупность системы
органов и направлений внутреннего контроля, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством Российской Федерации, учредительными и внутренними документами кредитной организации;
• органы внутреннего контроля — это определенная учредительными и внутренними документами кредитной организации совокупность органов управления, а также подразделений и служащих (ответственных сотрудников), выполняющих функции в рамках системы внутреннего контроля.
Система внутреннего контроля кредитной организации должна включать следующие направления:
• контроль со стороны органов управления за организацией деятельности кредитной организации;
• контроль за функционированием системы управления банковскими рисками и оценка банковских рисков;
• контроль за распределением полномочий при совершении банковских операций и других сделок;
• контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности;
• осуществляемое на постоянной основе наблюдение за функционированием системы внутреннего контроля в целях оценки степени ее соответствия задачам деятельности кредитной организации, выявления недостатков, разработки предложений и осуществления контроля за реализацией решений по совершенствованию системы внутреннего контроля кредитной организации (мониторинг системы внутреннего контроля).
|