Управление рисками, аудит и внутренний контроль

Экспертами Комитета УРиВК разработаны методические рекомендации по организации работы комитета по аудиту, по организации внутреннего аудита в акционерных обществах с участием Российской Федерации. В настоящее время экспертами Комитета готовятся новые проекты методических документов, в том числе касающиеся общих принципов организации СУРиВК, управления комплаенс-рисками, организации порядка взаимодействия с внешним аудитором и т. д. В рамках выполнения поручения Президента Российской Федерации от 27.12.2014 № Пр-3013 экспертами Комитета разработаны проекты Методических указаний по разработке госкомпаниями Положения о внутреннем аудите, Положения о системе управления рисками.

Многие крупные госкомпании имеют дочерние и зависимые организации, зачастую представляющие значительную часть бизнеса всей структуры. Необходимость построения качественной системы управления и контроля заставляет еще внимательнее взглянуть на организацию деятельности госкомпаний не только как отдельных юридических лиц, но и как холдинговых структур, деятельность дочерних и зависимых структур которых взаимоувязана с деятельностью головной компании. Основные подходы к организации функции внутреннего аудита в таких компаниях раскрываются в Методических рекомендациях Росимущества по построению функции внутреннего аудита в холдинговых структурах с участием Российской Федерации.

Одной из задач, с которой столкнулось Росимущество, было построение эффективно функционирующей системы акционерного контроля за деятельностью госкомпаний. В рамках методической поддержки данного процесса Росимуществом разработаны документы по организации деятельности ревизионных комиссий (Методические рекомендации по организации проверок, формированию Положения о ревизионной комиссии, Положения о вознаграждениях и компенсациях членов ревизионной комиссии).

Разработка каждого документа включает несколько этапов: проекты обсуждаются в Комитете УРиВК, с остальными комитетами ЭКС Росимущества, с крупнейшими акционерными обществами и профессиональными сообществами. Как правило, сначала собираются и обрабатываются комментарии и предложения, затем ключевые комментарии и наиболее спорные вопросы обсуждаются в очном формате на совещании в Росимуществе с участием всех заинтересованных сторон.

Разработчик документа проводит большую работу: он не только создает проект документа, но и сводит полученные комментарии и предложения, модерирует дискуссии, следит за взаимоувязанностью документов, корректирует документ: в процессе обсуждения и доработки проект документа, как правило, существенно меняется. В данном издании перед каждым из документов стоит имя разработчика, но вклад наиболее активных экспертов, представителей акционерных обществ и профессиональных сообществ, трудно переоценить. Необходимо подчеркнуть, что очень сильное влияние на формирование каждого документа оказали комментарии и предложения экспертов и представителей корпоративной среды.

Методическая работа, проводимая Росимуществом, является только первым шагом на пути к совершенствованию СУРиВК в госкомпаниях: важно не только сформулировать принципы, но и предусмотреть их применение на практике. Очень важен тот факт, что госкомпании вовлекаются в данный процесс еще на этапе обсуждения методических документов – это снижает риск формального подхода к применению принципов, заложенных в утверждаемые документы.

Сотрудниками и экспертами Росимущества проводятся обучающие семинары, ведутся разделы на сайте Росимущества, а также работа по внедрению лучших практик в крупнейшие акционерные общества (так, необходимо упомянуть об активном участии представителей и экспертов Росимущества в проекте по внедрению принципов Кодекса корпоративного управления в крупнейших акционерных обществах с госучастием). Подготовлены изменения в структуру годового отчета крупнейших госкомпаний, предусматривающие раскрытие основных принципов и подходов к организации и развитию СУРиВК.

Большой вклад в этот процесс вносят эксперты Комитета УРиВК Егорова Е. А., Малыхин Д. В., Полтавцев А. Б., Грачева О. Л.

Документы, представленные в настоящем издании, – только часть намеченного пути. Методическая и практическая работа Росимущества по совершенствованию СУРиВК в компаниях продолжается.

    Олег Зенков,
    советник руководителя Росимущества,
    координатор Комитета УРиВК ЭКС Росимущества

Методические рекомендации по управлению рисками

для совета директоров акционерного общества

Предисловие

Тема управления рисками в последнее время становится все актуальней, что связано с повышенной турбулентностью на многих рынках и общей финансовой нестабильностью. Свой вклад в повышение важности темы вносит также ускорение инновационных процессов в технологиях и в их использовании бизнесом. Темп жизни и скорость принятия решений нарастают. Чтобы проиллюстрировать роль управления рисками в компании, можно использовать следующее сравнение. Известно, что самые быстрые автомобили снабжены самыми лучшими и надежными тормозами. Так, задача эффективной системы управления рисками – не затормозить движение, а обеспечить безопасность на крутых поворотах.

Настоящие методические рекомендации предназначены для членов советов директоров акционерных обществ для ознакомления с предметом. Не секрет, что углубленное профессиональное владение этой темой требует наличия специальной квалификации и специфических знаний, в значительной степени различающихся в зависимости от предметной и отраслевой сущности рассматриваемых приложений. Вместе с тем понимание общих принципов управления рисками позволяет лицам, принимающим решения, правильно отнестись к самой теме управления рисками и организовать управленческий процесс выстраивания надзорной системы, позволяющей удостовериться, что риски в организации находятся под контролем.

В методических рекомендациях дано общее понимание управления рисками, показана роль отдельных органов управления акционерного общества в этом процессе, описаны основные элементы системы управления рисками и поэтапно расписаны шаги совета директоров по надзору за внедрением системы в практику работы компании. В Приложениях представлены практические примеры, которые наглядно проиллюстрированы таблицами и рисунками.

Для специалистов по управлению рисками существуют подробные руководства и специализированные методики. Иногда уровень погруженности специалистов в детали создает барьер для коммуникации с лицами, принимающими стратегические решения. Надеемся, что знакомство и тех и других с представленными методическими рекомендациями позволит выстроить понятный язык для их эффективной коммуникации друг с другом.

1. Понятие эффективного управления рисками

Все компании ежедневно сталкиваются с неопределенностью. Колебания финансовых рынков, изменение стоимости ключевых ресурсов, появление новых конкурентов, политические изменения – каждое событие таит в себе позитивные или негативные последствия для развития компаний. Успех компании зависит от способности ее руководства использовать открывающиеся возможности, превращая их в стоимость, при этом управляя ситуацией таким образом, чтобы обеспечивать жизнеспособность и рост стоимости бизнеса в долгосрочной перспективе.

В соответствии со стандартами COSO ERM[1 - http://www.coso.org/documents/coso_erm_executivesummary.pdf], построение системы, способной обеспечить такой баланс, включает следующее:

Взаимосвязь стратегии и риск аппетита: при оценке стратегических альтернатив руководство компании учитывает риск аппетит, устанавливает связанные с этим цели, разрабатывает механизмы управления риском, связанным с достижением целей. При этом риск-аппетит (аппетит к риску) – это способность и желание компании принимать на себя определенные риски для достижения своих целей. Руководство компании в пределах своей толерантности (то есть чувствительности) к риску определяет приемлемые границы аппетита к риску.

Эффективные механизмы реагирования на риск: система риск-менеджмента обеспечивает критерии для определения и выбора между различными способами реакции на риск: уклонение от риска, снижение риска, разделение риска, принятие риска.

Снижение операционных потерь: компании приобретают способность выявлять потенциальные негативные события, вырабатывать реакцию на них, снижая количество «сюрпризов» и связанных с ними издержек или потерь.

Выявление и управление взаимосвязанными рисками: любая компания сталкивается не с одним, а с множеством рисков, влияющих на разные подразделения организации. При этом нередко именно комбинация нескольких рисков (операционного, финансового) представляет наибольшую угрозу для компании. Система управления рисками должна вырабатывать адекватную реакцию на такие риски.

Использование возможностей: оценивая весь спектр возможных событий, менеджмент приобретает способность не только реагировать на возникающие угрозы, но и выявлять и активно использовать открывающиеся возможности.

Более эффективное размещение капитала: за счет более надежной информации о рисках менеджмент может более качественно оценить общие потребности в капитале и обеспечить эффективное размещение капитала.

Любая компания стремится к созданию стоимости для акционеров и ключевых заинтересованных сторон. При этом, ставя стратегические цели, компании неизбежно сталкиваются с неопределенностью. Главным «вызовом» для руководства компаний при этом является достижение оптимального баланса между темпами роста акционерной стоимости и рисками.

При этом неопределенность, как правило, включает в себя как риски (вероятный ущерб стоимости), так и возможности (благоприятствующие созданию стоимости). Максимизация стоимости достигается при условии, что компания достигает оптимального баланса между темпами роста, доходностью и связанными рисками.

Эти качества системы риск-менеджмента помогают руководству компании достигать стратегических целей и желаемого уровня доходности, предотвращая потери. Кроме того, система управления рисками должна обеспечивать эффективную отчетность и соответствие законам и регулированию, предотвращать ущерб репутации компании.

В соответствии с общепризнанным определением[2 - http://www.coso.org/documents/coso_erm_executivesummary.pdf], управление рисками – это процесс, осуществляемый советом директоров, менеджментом и персоналом на всех уровнях организации, применяемый при постановке целей, предполагающий выявление и оценку потенциальных событий, которые могут повлиять на организацию, с целью соблюдения приемлемого уровня аппетита по риску и для обеспечения разумной уверенности в том, что цели компании будут достигнуты.

2. Роль органов управления в системе управления рисками

В передовых организациях управление рисками встроено естественным образом в систему принятия решений на всех уровнях: от совета директоров до рядового работника.

В соответствии с лучшей практикой совет директоров определяет принципы и подходы к организации системы управления рисками и внутреннего контроля, утверждает политику управления рисками и аппетит к риску, осуществляет контроль за системой управления рисками и внутреннего контроля.

Совету директоров рекомендуется оценивать социальные, этические, экологические и иные нефинансовые риски, которым подвержено общество, а также устанавливать приемлемую величину рисков для общества и требовать от исполнительных органов отчитываться об управлении рисками[3 - Кодекс корпоративного управления, 2014, п. 85.].

Российский кодекс корпоративного управления также подчеркивает необходимость достижения баланса между риском и доходностью для общества в целом при соблюдении законодательства, требований внутренних документов и устава общества, выработке адекватных стимулов для деятельности исполнительных органов общества, его структурных подразделений и отдельных работников. Кодекс рекомендует, чтобы совет директоров хотя бы раз в год организовывал анализ и оценку функционирования системы управления рисками и внутреннего контроля. Подобный анализ должен строиться как на отчетах менеджмента, так и на отчетах внутреннего и внешнего аудита. В некоторых компаниях cовет директоров привлекает для периодической (раз в три года) оценки системы управления рисками и внутреннего контроля независимых внешних консультантов.

Кодекс также возлагает на совет директоров обязанности по контролю за раскрытием информации о рисках и роли совета директоров в управлении рисками и внутреннего контроля.

В Принципах корпоративного управления ОЭСР подчеркивается роль совета в определении политики по управлению рисками, утверждении риск-аппетита, а также контроле за раскрытием информации о рисках[4 - OECD Corporate governance principles, 2004. www.oecd.org]:

Областью, приобретающей все большее значение для совета и тесно связанной с корпоративной стратегией, является политика в отношении рисков. Такая политика предусматривает определение типов и степени риска, которые компания готова принять для достижения своих целей. Таким образом, она имеет решающее значение для руководства, которое должно управлять рисками с целью поддержания желаемого профиля риска компании.

Совет отвечает за обеспечение достоверности информации систем бухгалтерского учета и финансовой отчетности корпорации, включая проведение независимого аудита и наличие систем внутреннего контроля, в частности, систем управления рисками, финансового и операционного контроля и выполнения требований законодательства и соответствующих стандартов.

Совет также должен обеспечить надлежащий контроль со стороны исполнительного руководства. При этом конечная ответственность за обеспечение достоверности информации систем бухгалтерского учета и финансовой отчетности остается за советом. В некоторых странах предусмотрен отчет председателя совета о системе внутреннего контроля.

Пользователи финансовой информации и участники рынка нуждаются в информации о существенных рисках, которые в разумных пределах поддаются прогнозированию.

В некоторых компаниях создается отдельный комитет совета директоров по управлению рисками. Создание такого комитета настоятельно рекомендовано Базельским комитетом по банковскому надзору для крупных финансовых институтов. Комитет может работать совместно с менеджментом компании, анализируя ключевые факторы риска, определяя сценарии концентрации риска, давая более точную оценку риска. Хотя комитет может быть очень полезен для подобной оценки, он не должен подменять совет директоров, который должен понимать и чувствовать наиболее существенные риски компании. В случае если отдельный комитет по рискам при совете директоров не создается, его функции по управлению рисками выполняет комитет по аудиту.

Функции такого комитета по управлению рисками, в частности, включают:

– Надзор за качеством, эффективностью и объективностью систем контроля и управлением рисками и эффективностью установленных политик и стратегий по управлению рисками.

– Обзор культуры, философии и стратегии управления рисками и установление политик, процедур процесса управления рисками и требований к процессу уведомления о рисках, используемых при управлении и уведомлении о риске.

– Обзор информации в отношении самых существенных рисков и соответствия шагов, принятых руководством и подразделениями для контроля данных рисков в рамках приемлемых лимитов.

– Обеспечение соблюдения политик, связанных с рисками, и общего профиля риска.

– Получение и ознакомление с обзорными отчетами от любой группы, которая осуществляет деятельность по оценке рисков, включая комитет по управлению рисками и службу внутреннего аудита.

На исполнительное руководство компании возлагается основная ответственность за создание и функционирование эффективной системы управления рисками и внутреннего контроля. При этом соответствующие процедуры должны предусматривать своевременное уведомление совета директоров о существенных недостатках в системе внутреннего контроля[5 - Кодекс корпоративного управления, 2014, п. 84.].