Обратный звонок
Главная \ Рынок ценных бумаг \ Организация и осуществление внутреннего контроля и управления рисками

Организация и осуществление внутреннего контроля и управления рисками

Деятельность любой организации, как хозяйствующего субъекта сопряжена с теми или иными рисками, влияющими на реализацию организацией принятой стратегии, достижение поставленных целей и эффективности деятельности организации в целом.

В организации должны быть организованы управление рисками и внутренний контроль, а для оценки их надежности и эффективности должен осуществляться внутренний аудит.

Для обеспечения надежного и эффективного управления рисками и внутреннего контроля рекомендуется рассматривать управление рисками и внутренний контроль в контексте единой интегрированной в бизнес-процессы Общества системы управления рисками и внутреннего контроля (СУРиВК), поскольку:

  • внутренний контроль направлен на обеспечение разумной уверенности в достижении целей организации в области операционной деятельности, подготовки отчетности и соблюдения всех обязательств организации, для чего предполагает организацию управления рисками в первую очередь на процессном и операционном (транзакционном) уровнях деятельности;
  • управление рисками направлено на повышение эффективности деятельности организации в целом в результате интеграции управления рисками с процессами стратегического планирования, бизнес-планирования и принятия управленческих решений. Организация управления рисками начинается со стратегического уровня управления организацией, предопределяя условия организации внутреннего контроля (в том числе через установление риск-аппетита, каскадирование целей и связанных с ними рисков).

СУРиВК, учитывая ее направленность на поддержку достижения поставленных перед организацией целей, а также обеспечение объективного, справедливого и ясного представления о текущем состоянии и перспективах развития организации, целостности и прозрачности отчетности организации, разумности и приемлемости принимаемых организацией рисков, является одним из ключевых элементов корпоративного управления.

При определении подходов к организации управления рисками и внутреннего контроля рекомендуется исходить из задач СУРиВК:

  • обеспечение разумной уверенности в достижении целей организации;
  • обеспечение эффективности финансово-хозяйственной деятельности и экономичного использования ресурсов;
  • выявление рисков и управление такими рисками;
  • обеспечение сохранности активов организации;
  • обеспечение полноты и достоверности бухгалтерской (финансовой), статистической, управленческой и другой отчетности;
  • контроль за соблюдением законодательства, а также внутренних политик, регламентов и процедур организации.

Организация управления рисками и внутреннего контроля в каждой конкретной организации определяется его культурой и организационной структурой и применительно к определенным видам и направлениями деятельности организации - требованиями законодательства Российской Федерации. 

Кодекс корпоративного управления, рекомендуемый для применения Банком России, рекомендует при организации системы управления рисками и внутреннего контроля в организации принимать во внимание общепринятые концепции и практики работы в этой области. В частности, организации при организации управления рисками и внутреннего контроля рекомендуется ориентироваться на «модель трех линий», представленную Институтом внутренних аудиторов (The Institute of Internal Auditors).

Пример

Три линии защиты

Использование «модели трех линий» способствует структурированию процедур, бизнес-процессов, взаимодействия органов управления и работников организации в области управления рисками и внутреннего контроля, повышению эффективности внутреннего аудита, что в совокупности обеспечивает эффективное управление деятельностью организации и способствует достижению  поставленных целей.

Организация управления рисками и внутреннего контроля

Компоненты управления рисками и внутреннего контроля

Согласно концепции 12 Комитета спонсорских организаций Комиссии Трэдвэя COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (2017 г.) к компонентам управления рисками относятся:

  • корпоративное управление и культура;
  • стратегия и постановка целей;
  • эффективность деятельности;
  • анализ и пересмотр;
  • информация, коммуникация и отчетность.

Управление рисками

Корпоративное управление и культура

Корпоративное управление и культура может рассматриваться в качестве основы управления рисками, где исходным этапом является формирование культуры управления рисками (риск-ориентированной культуры), отражающей основные ценности организации, желаемое поведение в отношении управления рисками и важность понимания риска. Органы управления организации призваны формировать поведенческую среду, демонстрировать приверженность основным ценностям организации, подходам к управлению рисками при принятии решений, осуществлять надзорные функции за управлением рисками.

Стратегия и постановка целей

При определении стратегии и постановке целей деятельности организации совету директоров рекомендуется учитывать внешние и внутренние факторы, которые могут повлечь за собой риски, а риск-аппетит совету директоров рекомендуется устанавливать во взаимосвязи со стратегией организации и отдельными направлениями (проектами) организации.

Эффективность деятельности

Организации рекомендуется выявлять, оценивать и проводить анализ рисков, которые могут повлиять на способность организации реализовать свою стратегию и достичь поставленных целей. Для этого в организации рекомендуется проводить анализ портфеля и профилей рисков, приоритизировать риски по уровню их возможного влияния (существенности) с учетом установленного риск-аппетита, и на основе проведенной работы осуществлять выбор стратегии/метода управления риском.

Анализ и пересмотр

Организации рекомендуется проводить анализ практики управления рисками, с тем чтобы оценить, насколько она способствует реализации стратегии организации и достижению поставленных целей, а также для определения направлений совершенствования управления рисками и внутреннего контроля.

Информация, коммуникация и отчетность

Для результативного управления рисками организации рекомендуется получать информацию как из внешних, так и из внутренних источников, в том числе настолько, насколько это возможно, использовать ресурсы своих информационных систем для организации, обеспечения, осуществления управления рисками. На основе полученной информации рекомендуется осуществлять подготовку отчетности о рисках, культуре и эффективности деятельности организации и вынесение ее на рассмотрение и утверждение советом директоров, а также доведение ее до всех заинтересованных сторон. Полученную информацию также рекомендуется использовать для прогнозирования ситуаций, которые могут помешать реализации стратегии и достижению целей организации.

Надлежащее функционирование каждого из компонентов управления рисками способствует повышению устойчивости организации, а именно, помогает выявлять не только факторы риска, но и изменения (возможности), которые могут оказать влияние на результаты деятельности организации, и определять необходимость внесения изменений в стратегию.

Согласно концепции 18 Комитета спонсорских организаций Комиссии Трэдвэя COSO «Внутренний контроль. Интегрированная модель» (2013 г.) к компонентам внутреннего контроля относятся:

  • контрольная среда;
  • оценка рисков;
  • контрольные процедуры (средства контроля);
  • информация и коммуникации;
  • мониторинг (процедуры мониторинга).

Контрольная среда

Контрольная среда - совокупность стандартов, процессов и действий исполнительных органов, направленных на установление и поддержание эффективного функционирования внутреннего контроля в организации, а также понимание его важности на всех уровнях управления для достижения поставленных целей. Формирование контрольной среды предопределено корпоративной культурой в Обществе и стилем принятия решений органами управления организации. Наиболее эффективной является контрольная среда, при которой органы управления подчеркивают важность внутреннего контроля, а работники понимают значение внутреннего контроля и готовы участвовать в нем.

Оценка рисков

В основе эффективного внутреннего контроля лежит риск-ориентированный подход, который подразумевает концентрацию усилий и инициатив по построению и совершенствованию внутреннего контроля, в первую очередь, в областях деятельности организации, которые характеризуются наиболее высоким уровнем рисков. Для этого организации рекомендуется выявлять, оценивать и анализировать риски, которые могут повлиять на деятельность организации и достижение поставленных целей.

Контрольные процедуры (средства контроля)

Организации рекомендуется выбирать, разрабатывать и применять контрольные процедуры, направленные на снижение рисков, препятствующих достижению его целей. Контрольные процедуры являются одним из основных видов воздействия на риск и представляют собой мероприятия, действия работников организации и (или) операции информационных систем, осуществляемые на различных уровнях организационной структуры организации и направленные на уменьшение вероятности реализации риска и (или) минимизацию величины риска как угрозы.

Информация и коммуникации

Организации рекомендуется внедрять эффективные средства обмена информацией и информационные технологии, которые позволяют создать условия для эффективной реализации управленческих функций, дают возможность органам управления и работникам принимать своевременные и обоснованные решения, выполнять свои должностные обязанности, в том числе в области управления рисками и внутреннего контроля. Организация рекомендуется обеспечивать создание эффективных каналов обмена информацией, включая вертикальное и горизонтальное взаимодействие между участниками системы управления рисками и внутреннего контроля, а также взаимодействие с внешними заинтересованными сторонами.

Мониторинг (процедуры мониторинга)

Организации рекомендуется осуществлять мониторинг (как постоянный/текущий, так и периодический либо комбинированный) средств контроля с тем, чтобы удостовериться в их наличии в организации и надлежащем функционировании.

Таким образом, внутренний контроль позволяет организации фокусироваться на достижении поставленных целей, соблюдая при этом требования законодательства Российской Федерации и внутренних документов, а интеграция с управлением рисками обеспечивает реализацию риск-ориентированного подхода при принятии управленческих решений на всех уровнях управления.

В случае формирования в организации обособленных (отдельно функционирующих, в том числе исторически сложившихся) системы внутреннего контроля и системы управления рисками совету директоров рекомендуется рассмотреть целесообразность интеграции систем в целях формирования единой СУРиВК с учетом масштаба, вида и специфики деятельности организации, оценки надежности и эффективности управления рисками и внутреннего контроля, фактов превышения риск-аппетита, инцидентов управления рисками, рекомендаций внутреннего и (или) внешнего аудитора.

Организация системы управления рисками и внутреннего контроля

Организация управления рисками и внутреннего контроля зависит от масштаба, вида и специфики деятельности Общества, а также от реализуемой модели корпоративного управления.

Созданию эффективной СУРиВК независимо от масштаба, вида и специфики деятельности организации способствует следование следующим рекомендациям:

  1. интеграция со стратегией, миссией и целями организации,
  2. определение роли каждого из органов управления и подразделений организации в области управления рисками и внутреннего контроля;
  3. информированный и вовлеченный в деятельность организации совет директоров;
  4. четкое определение ролей и функций комитетов совета директоров в области управления рисками и внутреннего контроля;
  5. понимание каждым работником организации в рамках функционального направления деятельности рисков (включая как угрозы, так и возможности), обязанностей и ответственности в области управления рисками и внутреннего контроля, вовлечение в процесс управления рисками и внутренний контроль;
  6. использование единой терминологии для обеспечения единого понимания всех аспектов управления рисками и внутреннего контроля в масштабах деятельности организации;
  7. честное и объективное раскрытие информации о реализовавшихся рисках;
  8. доведение до сведения всех органов управления организации информации по вопросам управления рисками и внутреннего контроля;
  9. повышение квалификации, уровня знаний у работников организации в области управления рисками и внутреннего контроля;
  10. наличие отдельных каналов коммуникации для передачи информации о нарушениях в области управления рисками и внутреннего контроля;
  11. совершенствование подходов к организации и осуществлению управления рисками и внутреннего контроля с учетом изменений внешней и внутренней среды;
  12. обеспечение независимости внутреннего аудита.

Общие принципы и подходы к организации управления рисками и внутреннего контроля, цели и задачи СУРиВК рекомендуется определить в положениях (политиках) организации в области управления рисками и внутреннего контроля (Политика в области управления рисками и внутреннего контроля).

Политику в области управления рисками и внутреннего контроля целесообразно рассматривать в качестве основы для разработки внутренних методологических и организационно-распорядительных документов, регламентирующих организацию и осуществление управления рисками и внутреннего контроля (как на уровне организации в целом, так и на уровне отдельных функциональных направлений деятельности, а также подконтрольных обществ). В политике в области управления рисками и внутреннего контроля рекомендуется определить:

  • применяемые подходы и методы управления рисками, в том числе к идентификации, классификации, оценке, приоритизации рисков, определению критериев существенности;
  • порядок взаимодействия органов управления и работников организации, сроки выполнения отдельных процедур в области управления рисками и внутреннего контроля;
  • состав и порядок формирования отчетности в области управления рисками и внутреннего контроля;
  • порядок проведения оценки эффективности управления рисками и внутреннего контроля;
  • порядок определения риск-аппетита;
  • при необходимости - подходы к управлению рисками, а также организации внутреннего контроля по отдельным бизнес-процессам, подразделениям, проектам, программам и т.п.;
  • подходы к коммуникации и доведению информации до исполнительных органов и совета директоров организации.

Ограничения системы управления рисками и внутреннего контроля

Следует иметь в виду, что СУРиВК способна обеспечить разумную (не абсолютную) уверенность в достижении целей организации, в связи с определенными ограничениями функционирования. Разумная уверенность при этом не подразумевает, что в СУРиВК будут происходить масштабные и (или) существенные сбои, а уровень подверженности ограничениям зависит в том числе от уровня развития СУРиВК в организации. Тем не менее в силу неотъемлемого характера ряда ограничений СУРиВК не может предоставить гарантии того, что, например, неподконтрольные события, ошибки или внештатные инциденты никогда не возникнут.

Несмотря на объективный характер ограничений СУРиВК, при разработке мероприятий по воздействию на риски организации рекомендуется минимизировать вероятность реализации и влияние рисков до приемлемого уровня. Кроме того, наличие таких ограничений не снимает ответственности за неэффективность организации управления рисками с лиц, ответственных за организацию СУРиВК, в рамках их полномочий.

num-1_v1-lin Ограничение: особенности организации корпоративного управления в Обществе.

СУРиВК является одним из элементов корпоративного управления. При этом ряд вопросов корпоративного управления выходит за рамки СУРиВК, но оказывает непосредственное влияние на ее функционирование. Неэффективные процессы разработки стратегии и (или) постановки целей, неэффективная работа совета директоров и (или) исполнительных органов ограничивают возможности СУРиВК.

num-2_v1-lin Ограничение: субъективность суждения.

Решения в отношении рисков принимаются на основе человеческого суждения, с учетом временных ограничений, на основе имеющейся в распоряжении информации, подверженной искажению со стороны работников и в условиях внутреннего и внешнего давления (сроков, требований, высоких ключевых показателей эффективности).

num-3_v1-lin Ограничение: внешние события.

СУРиВК не способна обеспечить разумную уверенность в достижении целей, когда внешние события могут оказать значительное воздействие на достижение целей и это воздействие не может быть уменьшено до приемлемого уровня. В этих ситуациях СУРиВК может лишь обеспечить разумную уверенность в том, что Общество осведомлено о прогрессе или отсутствии такового в достижении таких целей.

Например, распространение в 2020 году на территории Российской Федерации коронавирусной инфекции (COVID-19). Еще пример, специальная военная операция на Украине в 2022 году.

num-4_v1-lin Ограничение: сбои СУРиВК.

Сбои могут быть вызваны различными факторами, в том числе неверным толкованием участниками СУРиВК внутренних документов, законодательства Российской Федерации, требований регулирующих органов, условий договоров; ошибками работников, в том числе по причине небрежности, недостаточной компетентности; невозможностью полного устранения риска несовершенства процессов, технологий, моделей;

num-5_v1-lin Ограничение: сознательное нарушение (обход) СУРиВК.

Участники СУРиВК могут совершать преднамеренные действия (в том числе в результате сговора) с целью сокрытия (искажения) данных о рисках и мероприятиях по воздействию на риски, нарушения выполнения мероприятий по воздействию на риски, невыполнения мероприятий по воздействию на риски (в том числе контрольных процедур) и (или) совершения неправомерных действий;

num-6_v1-lin Ограничение: отсутствие персональной ответственности исполнительных органов и (или) работников организации (помимо гражданской, административной, уголовной) за реализацию существенных проектов, осуществляемых организацией.

Адрес:
420087, Россия, Республика Татарстан, город Казань, улица Даурская, дом 44в, помещение 1009
Пн.-Пт.: с 09:00 до 18:00:
Яндекс.Метрика ;
Этот сайт использует файлы cookie и метаданные. Продолжая просматривать его, вы соглашаетесь на использование нами файлов cookie и метаданных в соответствии с Политикой конфиденциальности.
Продолжить