Участники системы управления рисками и внутреннего контроля
Управление рисками и внутренний контроль осуществляются на всех уровнях организации и подразумевают вовлечение всех органов управления и работников организации (участники СУРиВК), роли и функции которых разграничены и в то же время дополняют друг друга. Обязанности и ответственность за принятие и реализацию (выполнение) решений в области управления рисками и внутреннего контроля между участниками СУРиВК рекомендуется распределить таким образом, чтобы было исключено дублирование функций, обеспечены согласованность и эффективность реализуемых мер по управлению рисками.
Рекомендуется во внутренних документах организации определить зоны ответственности, полномочия органов управления организации, функции и зоны ответственности структурных подразделений в области управления рисками и внутреннего контроля, требования к компетенции руководителей и работников в области управления рисками и внутреннего контроля в рамках функционального направления деятельности, ответственность участников СУРиВК за выявление, оценку, учет рисков при принятии решений, порядок доступа участников СУРиВК к документам, информационным ресурсам и иной информации о деятельности организации, а также порядок взаимодействия всех участников СУРиВК. Компетенцию и полномочия совета директоров и исполнительных органов в области управления рисками и внутреннего контроля рекомендуется определить в уставе организации.
Совет директоров
К компетенции совета директоров в области управления рисками и внутреннего контроля рекомендуется отнести следующие вопросы:
- определение принципов и подходов к организации в Обществе управления рисками и внутреннего контроля, в том числе утверждение внутренних документов Общества, определяющих политику в области управления рисками и внутреннего контроля;
- утверждение и пересмотр риск-аппетита;
- рассмотрение и одобрение стратегии Общества с учетом рисков Общества;
- рассмотрение и мониторинг наиболее существенных рисков, которым подвержено Общество;
- определение ключевых показателей эффективности исполнительных органов, руководителей структурных подразделений, ключевых работников Общества с учетом результатов оценки эффективности управления рисками и внутреннего контроля;
- рассмотрение отчетов исполнительных органов Общества о функционировании СУРиВК;
- организация проведения не реже одного раза в год оценки надежности и эффективности управления рисками и внутреннего контроля;
- рассмотрение не реже одного раза в год материалов и результатов оценки внутренним аудитом надежности и эффективности управления рисками и внутреннего контроля;
- рассмотрение заключения внешней оценки эффективности управления рисками и внутреннего контроля;
- вопросы в области внутреннего аудита.
В целях содействия эффективному выполнению функций совета директоров в области управления рисками и внутреннего контроля в зависимости от масштаба и характера деятельности организации из числа членов совета директоров может быть сформирован комитет по рискам, а в случае отсутствия такого комитета его функции может выполнять комитет по аудиту.
Порядок формирования комитета по рискам рекомендуется отразить в положении о службе по рискам и иных внутренних документах организации, определяющих состав и порядок деятельности служб совета директоров.
Количественный состав и квалификационные требования к членам службы по рискам целесообразно определять в зависимости от масштаба, вида и специфики деятельности, бизнес-целей и профиля рисков организации.
В случае необходимости организация может на временной основе привлекать к работе комитета по рискам экспертов и консультантов без права голоса при принятии решений по вопросам компетенции комитета.
К задачам службы по рискам в области управления рисками и внутреннего контроля рекомендуется отнести следующие вопросы:
- предварительное рассмотрение до утверждения советом директоров проекта политики в области управления рисками и внутреннего контроля Общества, а также вносимых последующих изменений в указанный документ;
- совместные с комитетом по аудиту рассмотрение и подготовка заключения в отношении риск-аппетита и его показателей до их представления на утверждение совету директоров;
- анализ перечня и характера существенных рисков, а также их влияния на достижение целей Общества;
- рассмотрение мер реагирования на риски;
- проведение регулярных встреч с исполнительными органами Общества для обсуждения эффективности контрольных процедур, рассмотрения существенных недостатков внутреннего контроля и планов по их устранению, выявления существенных рисков и их индикаторов, осуществления анализа мероприятий по управлению существенными рисками;
- контроль за надежностью и эффективностью управления рисками и внутреннего контроля, в том числе в части установления процедур по выявлению, оценке, управлению и мониторингу рисков;
- инициирование (по мере необходимости, при изменении процедур и (или) применимых регуляторных требований) оценки надежности и эффективности управления рисками и внутреннего контроля;
- рассмотрение отчетов исполнительных органов о функционировании СУРиВК, заключений и материалов проверок внутреннего аудита по вопросам, связанным с управлением рисками и внутренним контролем, материалов и результатов оценки внутренним аудитом надежности и эффективности управления рисками и внутреннего контроля, заключения по итогам внешней оценки эффективности управления рисками и внутреннего контроля, подготовка предложений по совершенствованию организации управления рисками и внутреннего контроля;
- анализ результатов выполнения разработанных исполнительными органами мероприятий по совершенствованию управления рисками и внутреннего контроля;
- оценка необходимости пересмотра политики в области управления рисками и внутреннего контроля.
Исполнительные органы
К компетенции исполнительных органов Общества в области управления рисками и внутреннего контроля рекомендуется отнести следующие вопросы:
- организация, поддержание и развитие эффективной СУРиВК, выполнение решений совета директоров в области организации управления рисками и внутреннего контроля;
- утверждение методологии по управлению рисками и внутреннему контролю;
- распределение полномочий, обязанностей и ответственности между находящимися в их ведении и (или) курируемыми руководителями структурных подразделений Общества в области управления рисками и внутреннего контроля;
- рассмотрение отчетов руководителей, ответственных за организацию и осуществление управления рисками и внутреннего контроля, о функционировании СУРиВК;
- рассмотрение и утверждение реестра рисков и планов мероприятий по управлению рисками;
- инициирование оценки эффективности управления рисками и внутреннего контроля;
- рассмотрение и утверждение программы развития СУРиВК.
В целях организации, поддержания и развития СУРиВК в Обществе могут быть сформированы коллегиальные органы по управлению рисками (комитеты, комиссии, рабочие группы, состоящие из представителей исполнительных органов и работников структурных подразделений Общества). Такие коллегиальные органы могут формироваться для целей принятия решений по отдельным типам рисков либо выполнять совещательную функцию. В случае если к компетенции таких коллегиальных органов относится принятие решений по воздействию на риски (включая выбор методов и мероприятий по воздействию на риск), ответственность за принятие таких решений, а также обязательность их выполнения и ответственность за выполнение принятых решений рекомендуется определить во внутренних документах Общества.
Иные ключевые участники СУРиВК
Работники и руководители бизнес-подразделений - владельцев рисков, непосредственно выполняющие бизнес-процессы и управляющие связанными с ними рисками, то есть те, кто выявляет, идентифицирует, оценивает риски, реализует меры по снижению рисков, обеспечивает соответствие применяемых мер целям и задачам организации, внедряет и выполняет контрольные процедуры - интегрирует управление рисками и внутренний контроль в процессы реализации стратегических и тактических целей и несет ответственность за обеспечение эффективной реализации контрольных процедур и управление рисками на постоянной основе.
Работники и руководители структурных подразделений, осуществляющие поддержку работников и руководителей бизнес-подразделений - владельцев рисков путем координации взаимодействия, обучения, информирования и разъяснения методологии, подготовки и формирования отчетности в области управления рисками и внутреннего контроля, а также отслеживающие эффективность внедрения и осуществления управления рисками и внутреннего контроля работниками и руководителями бизнес-подразделений - владельцев рисков путем проведения проверок и (или) мониторинга их действий. К таким подразделениям, например, относятся подразделения по управлению рисками и внутреннему контролю, комплаенс-контролю, охране труда и промышленной безопасности. Структуру, функционал, наименования, подчиненность подразделений рекомендуется определять с учетом применимых к организации требований законодательства Российской Федерации, масштаба, вида и специфики деятельности, организационной структуры организации, а также рекомендуется принимать во внимание оценку надежности и эффективности управления рисками и внутреннего контроля, факты превышения риск-аппетита, инциденты управления рисками, рекомендации внутреннего и (или) внешнего аудитора. При этом место подразделения (подразделений), координирующего деятельность организации в рамках СУРиВК и обеспечивающего ее функционирование, в организационной структуре организации рекомендуется определить таким образом, чтобы оно было структурно разграничено (включая полномочия и обязанности) от деятельности подразделений, осуществляющих управление рисками в рамках своей операционной деятельности.
Работники, осуществляющие внутренний аудит, - обеспечивающие независимую и объективную оценку надежности и эффективности управления рисками и внутреннего контроля, оказывающие содействие исполнительным органам и работникам организации, вовлеченным в управление рисками и внутренний контроль, в разработке и мониторинге исполнения процедур и мероприятий по совершенствованию управления рисками и внутреннего контроля.
3.1. Руководители самостоятельных структурных подразделений
Руководители самостоятельных структурных подразделений организации обеспечивают разработку, регламентацию и мониторинг контрольных процедур, необходимых для достижения целей бизнес-процесса, за которое они ответственны.
К функциям руководителей структурных подразделений относятся:
- разработка, документирование, внедрение, мониторинг и развитие системы внутреннего контроля во вверенных им функциональных областях деятельности, включая:
- организация выявления рисков и контрольных процедур бизнес-процессов, контролей корпоративного уровня и общих ИТ контролей;
- проведение самооценки существующих контрольных процедур;
- ведение и актуализация реестра контрольных процедур в подчиненном подразделении и подготовку иных документов, определяющих порядок организации, оценки и совершенствования системы внутреннего контроля;
- планирование, организацию и общий контроль процесса совершенствования системы внутреннего контроля, в том числе:
- разработка планов мероприятий по оценке и совершенствованию системы внутреннего контроля в подчиненном подразделении;
- определение исполнителей и сроков мероприятий по организации работ по оценке и совершенствования системы внутреннего контроля в подчиненном подразделении;
- организация условий для реализации плана мероприятий по совершенствованию системы внутреннего контроля в пределах своих полномочий и контроль его выполнения, в том числе по устранению нарушений, выявленных подразделением по внутреннему аудиту;
- мониторинг статуса выполнения мероприятий по совершенствованию системы внутреннего контроля в подчиненном подразделении;
- организация мониторинга соответствия нормативных документов, регламентирующих порядок осуществления финансово-хозяйственной деятельности подразделения положениям стратегии и иным нормативным документам организации, своевременности их обновления и наличия соответствующего согласования в порядке, установленном в организации.
3.2. Специальное должностное лицо (ответственный сотрудник)
Специальное должностное лицо (ответственный сотрудник) отвечает за соблюдение правил внутреннего контроля и реализацию программ по его осуществлению, разработанных в соответствии с законодательством Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения в организации.
3.3. Работники структурных подразделений
Каждый сотрудник организации участвует в процессе внутреннего контроля, степень вовлеченности зависит от характера выполняемой работы и должностных обязанностей.
Работники структурных подразделений выполняют следующие функции для обеспечения эффективности системы внутреннего контроля:
- выполнять контрольные процедуры в соответствии с должностными инструкциями, а также нормативными документами;
- принимать участие в процессе обновления документации о ключевых бизнес-процессах, пересмотра существующих контрольных процедур с учетом изменений в деятельности подразделения;
- участвовать в процессе выявления рисков и оценки эффективности контрольных процедур;
- формировать предложения по устранению недостатков системы внутреннего контроля в рамках своих компетенций;
- осуществлять внедрение контрольных процедур во вверенных им областях деятельности в соответствии со своими функциональными обязанностями.
3.4. Главный бухгалтер.
Главный бухгалтер отвечает за организацию и осуществление внутреннего контроля ведения бухгалтерского учета и налогового учета и составления бухгалтерской (финансовой) и налоговой отчетности, включая:
- формирование полной и достоверной информации о деятельности и имущественном положении организации, необходимой для оперативного руководства и управления, а также для внешних пользователей бухгалтерской отчетности;
- обеспечение необходимой информацией внутренних и внешних пользователей бухгалтерской отчетности для контроля за соблюдением законодательства Российской Федерации при осуществлении организацией хозяйственных операций, их целесообразностью, за наличием и движением имущества и обязательств, использованием материальных, трудовых и финансовых ресурсов в соответствии с утвержденными нормами, нормативами и сметами;
- выявление внутрихозяйственных резервов обеспечения финансовой устойчивости организации;
- обеспечение своевременной и полной уплаты в бюджет налоговых и иных платежей;
- соблюдение организацией законодательства Российской Федерации;
- соответствие принимаемых руководителем Общества решений Уставу Общества и решениям Общего собрания участников Общества;
- достоверность данных, содержащихся в годовой бухгалтерской отчетности Общества;
- эффективность функционирования системы внутреннего контроля в Обществе, а также использование активов Общества и иных ресурсов;
- правильность ведения Обществом бухгалтерского учета и представления обязательной отчетности;
- иные вопросы осуществления внутреннего контроля.
3.5. Внутренний аудитор
Внутренний аудитор осуществляет независимую оценку системы внутреннего контроля и ее отдельных компонентов и разрабатывает рекомендации по ее совершенствованию. Внутренний аудит играет важную роль в мониторинге системы внутреннего контроля, однако, не несет ответственности за построение СВК или поддержание ее эффективности. Внутренний аудитор административно подчиняется руководству организации, а функционально – Общему собранию учредителей (участников). При этом подразделение внутреннего контроля и внутренний аудитор организационно разделены. В процессе построения системы внутреннего контроля внутренний аудит может участвовать в части консультанта для высшего руководства, которое принимает окончательное решение о дизайне бизнес-процессов и контрольных процедур, а также проводить тестирование контрольных процедур по результатам внедрения.
Внутренний аудитор обеспечивает надлежащий уровень надежности внутреннего контроля, оценки его эффективности и проверки соответствия деятельности Общества законодательству Российской Федерации (в том числе законодательству о микрофинансовой деятельности), правилам и стандартам саморегулируемых организаций, положениям своих организационно-распорядительных документов.
Полномочия, права и обязанности внутреннего аудитора установлены в Положении о внутреннем аудите Общества и должностной инструкцией внутреннего аудитора.