Методы оценки и покрытия рисков в рамках современных международных концепций

[1]

Концепция COSO

Получение доходов, прибыли – цель каждой коммерческой организации. Все организации в процессе своей деятельности сталкиваются с неопределенностями, и одной из главных задач руководства является определение уровня неопределенности, который организация может принять и смириться, нацеливаясь на увеличение своей стоимости. Любую неопределенность можно рассматривать с двух сторон: с одной стороны, это источник рисков, с другой – новые возможности. Управление рисками поможет не только избежать отрицательных последствий при наступлении риска, но и раскрыть дополнительные возможности для своей компании. Рост стоимости компании будет максимальным, если менеджмент сформирует стратегию и поставит цели для достижения баланса "рост компании – прибыльность – риски", но при этом необходимо эффективно использовать имеющиеся ресурсы.

В соответствии с концепцией COSO управление рисками организации[2] представляет собой:

  • Установление уровня риск-аппетита на основании принятой стратегии развития. Риск, на который готова пойти компания (риск-аппетит), устанавливается руководством па этапе стратегического планирования, постановки целей и выбора необходимых инструментов управления рисками.
  • Улучшение процесса реагирования на появляющиеся риски. Управление рисками подразумевает выбор руководством способа реагирования на риск (уклонение, сокращение, перераспределение, принятие рисков).
  • Уменьшение числа событий и убытков, которые нельзя было предвидеть в процессе хозяйственной деятельности. Компании увеличивают свои возможности по идентификации потенциальных событий и разработке соответствующих мер, при этом сокращают число подобных событий, а также затрат и убытков, которые с ними связаны.
  • Выявление совокупности рисков и управление ими в процессе хозяйственной деятельности. В процессе своей деятельности любая организация сталкивается с достаточно большим количеством рисков, которые влияют на ее составляющие. Управление рисками позволяет эффективно реагировать па них и применять интегрированный подход по отношению к их множеству.
  • Использование новых возможностей. Руководству необходимо обращать внимание не только на потенциальные риски, но и на события, которые могут привнести дополнительные возможности для увеличения потенциала компании.
  • Рациональное управление капиталом. Наиболее полная информация о возможных рисках поможет руководству правильно оценить потребность организации в капитале и эффективно распределить его для использования.

События – риски и возможности. Влияние событий на хозяйственную деятельность может быть положительным, отрицательным и смешанным. События с отрицательным влиянием формируют риски, которые могут привести к снижению стоимости компании. При положительном влиянии события оно может компенсировать негативное влияние рисков. Возможностью являются события, которые положительно влияют на деятельность компании, способствуют достижению целей и, как следствие, увеличению стоимости компании.

Управление рисками компании является, по сути, не только управлением рисками, но и возможностями, которые способствуют сохранению и увеличению стоимости компании.

В концепции COSO управление рисками организации – "это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации"[3].

Приведенное определение управления риском в концепции COSO имеет широкое содержание. Оно направлено непосредственно на достижение целей, установленных организацией, и является основой для определения эффективности процесса управления рисками.

Достижение целей. На основании выбранной миссии организация разрабатывает стратегические и тактические цели для успешной деятельности. Рассмотрим более подробно четыре основные категории цели в концепции COSO:

  • стратегические цели – цели высшего уровня, соотносятся с видением и миссией организации;
  • операционные цели – эффективное использование необходимых ресурсов для достижения результата;
  • цели в сфере подготовки отчетности – достоверность подготовленной отчетности;
  • цели в сфере соблюдения законодательства – соблюдение необходимых как законодательных, так и нормативных актов.

Приведенная классификация дает возможность сфокусироваться на аспектах управления рисками в компании, а процесс управления рисками будет строиться с учетом всех целей организации. Совет директоров и руководство компанией будут владеть информацией о существующих рисках, а также своевременно узнавать, насколько организация продвигается к определенной цели.

Составляющие процесса управления рисками (ПУР) организации. В соответствии с концепцией COSO управление рисками организации представляет собой восемь взаимосвязанных компонентов. Их содержание определяется тем, как руководство управляет организацией. К данным компонентам относятся следующие.

  • Внутренняя среда. Внутренняя среда – это атмосфера в компании, она определяет, как риск воспринимается сотрудниками компании, как они на него реагируют. Внутренняя среда объединяет как философию управления рисками, риск-аппетит и этические ценности, честность, так и среду, в которой они существуют.
  • Постановка целей. Первоочередным для руководства является определение целей организации, затем выявление событий, которые могут оказать влияние на достижение поставленных целей. Управление рисками дает в некотором смысле гарантию, что в компании установлен правильный процесс выбора, формирования целей. Поставленные цели связаны с миссией компании и соответствуют уровню ее риск-аппетита.
  • Определение событий. Все события, которые оказывают влияние на достижение поставленных организацией целей, как внутренние, так и внешние, должны быть определены с учетом их разделения на возможности и риски. Выявленные возможности руководству следует учитывать при формировании собственной стратегии и постановке целей.
  • Оценка рисков происходит с учетом их вероятности возникновения и влияния, чтобы определить действия, которые нужно предпринять. Опенка рисков производится с позиции присущего и остаточного рисков.
  • Реагирование на риск. Менеджмент выбирает те методы реагирования, которые дадут возможность соизмерить выявленные риски с риск-аппетитом компании.
  • Средства контроля. Разработанные политики и процедуры применяются в компании так, чтобы можно было дать гарантию своевременности и эффективности реагирования на риск.
  • Информация и коммуникации. Вся необходимая информация доставляется вовремя, что дает возможность выполнять сотрудникам свои обязанности своевременно. Помимо этого, между сотрудниками осуществляется обмен информацией по вертикали и горизонтали.
  • Мониторинг. Процесс управления рисками постоянно отслеживается и корректируется, если это необходимо.

Управление рисками является нелинейным процессом, многонаправленным, циклическим, почти все его компоненты воздействуют друг на друга.

Взаимосвязь между компонентами ПУР и целями организации. Цели, которые компания ставит перед собой, а также компоненты процесса управления рисками имеют тесную взаимосвязь. В концепции COSO она представлена графически на трехмерной матрице в форме куба, что позволяет рассматривать управление рисками в целом или же по категориям целей, компонентам, подразделениям, или на более низком уровне.

Ограничения. В процессе управления рисками есть вероятность принятия ошибочных решений, поскольку многое (выявление и оценка рисков, разработка системы покрытия и т.д.) строится на субъективных суждениях. Также может иметь место сговор нескольких сотрудников, что мешает эффективности реализации процесса. Поэтому руководство не должно пренебрегать проверкой выполнения поставленных целей.

Оценка рисков. При оценке рисков руководство учитывает влияние ожидаемых и непредвиденных событий. Многие события являются обычными и повторяющимися, и действия по реагированию на них предусмотрены в программах руководства и операционных бюджетах, в то время как другие события являются непредвиденными. Руководство оценивает вероятность не только непредвиденных событий, но и событий, существенно влияющих на деятельность предприятия, если подобная оценка не была произведена ранее. Несмотря на то что термин "оценка рисков" иногда используется при проведении разовых мероприятий в рамках процесса управления рисками предприятия, компоненты оценки рисков представляют собой цепочку мероприятий, непрерывно осуществляемых по всей организации.

Руководство оценивает присущий и остаточный риск потенциальных событий.

Присущий риск – риск для организации при отсутствии действий со стороны руководства по изменению вероятности или степени влияния данного риска на деятельность организации.

Остаточный риск – риск, который остается после того, как руководство применило некоторые виды реагирования на него.

Вначале проводится оценка присущих рисков, а после разработки способов реагирования на риск организация переходит к оценке остаточного риска.

Оценка вероятности и влияния риска. Неопределенность потенциальных событий оценивается с двух позиций: вероятность возникновения и их влияние. Вероятность – это своего рода возможность, что рассматриваемое событие произойдет, а влияние отражает последствия риска.

Достаточно сложно оценить, какое внимание следует уделять каждому риску из большого списка всех рисков, присущих данной организации. Руководство признает, что риск, имеющий низкую вероятность и небольшое влияние, обычно не нуждается в дальнейшем рассмотрении, в то время как риск с большой вероятностью и сильным влиянием требует пристального внимания. Обстоятельства, находящиеся между этими крайними случаями, связаны с принятием непростого решения. Важно, чтобы оно принималось на основе произведенного анализа.

Период времени, для которого проводится оценка рисков, должен соответствовать периоду выбранной стратегии и целей. Обычно это бывает краткосрочный и среднесрочный периоды, однако компании не стоит игнорировать и долгосрочный период, в котором также могут возникнуть риски.

При оценке вероятностей рисков и их последствий, как правило, используются данные о событиях прошлых периодов для наиболее точных результатов, помимо субъективной оценки. При выборе информации стоит уделить внимание как внутренней информации, полученной непосредственно из самой организации, так и внешней информации – по отрасли, это нужно для проведения сравнения. Помимо этого, при построении прогноза на будущие периоды стоит быть осторожным, так как факторы, влияющие на события в прошлом, имеют свойство меняться с течением времени.

Количественный и качественный методы. Методология оценки рисков организации включает сочетание количественного и качественного методов. Качественные методы используются в случае, когда невозможно получить количественные данные. Оценка количественными методами дает более точный результат и используется в отношении сложных и комплексных видов деятельности в дополнение к качественным методам.

Шкала измерения. Оценка вероятности и влияния потенциальных событий включает их измерение в отношении присущего или остаточного риска. Приведем наиболее общие способы.

  • Номинальное измерение. Простейшая форма измерения, которая предполагает группировку событий по таким категориям, как экономические, технологические или природные события. Оно нс предполагает какого-либо ранжирования, при котором одно событие занимает более высокую позицию, чем другое. Числовые значения, присваиваемые в процессе номинального измерения, служат лишь как порядковый номер и не могут упорядочиваться, ранжироваться или складываться.
  • Порядковое измерение. В данном случае события перечисляются в порядке их важности, например с присвоением пометок "высокий", "средний", "низкий" или других.
  • Интервальное измерение. Данное измерение использует шкалу равных числовых интервалов. Это, однако, нс подразумевает, что влияние фактора, получившего оценку "шесть" в два раза больше влияния фактора с оценкой "три".
  • Пропорционально измерение. Шкала пропорционального измерения позволяет заключить, что если потенциальное влияние одного события оценивается на тройку, а другого на шесть, то потенциальное влияние второго события вдвое большего влияния первого. В отличие от интервального измерения метод пропорционального измерения использует концепцию истинного нуля.

В данном случае номинальные и порядковые измерения рассматриваются как качественные, а интервальные и пропорциональные – как количественные методы.

Количественные методы могут использоваться при наличии достаточной информации для оценки вероятности или влияния, которая должна осуществляться с использованием интервальных или пропорциональных измерений. К количественным методам относятся вероятностные, невероятностные и сравнительные методы. Важной предпосылкой для проведения количественной оценки является доступность точных данных, полученных из внутренних или внешних источников, а одной из задач при использовании этих данных – обеспечение их надежности.

  • 1. Вероятностные методы оценивают вероятность и влияние ряда событий на основе допущений о вероятностном распределении результатов событий. К вероятностным методам относятся модели показателей, подверженных риску:
    • • стоимость, подверженная риску;
    • • денежные потоки, подверженная риску;
    • • прибыль, подверженную риску.

Также к вероятностным методам принадлежит опенка случаев наступления убытков и бэк-тестирование.

Стоимость, которая подвержена риску. Модели рассматриваемой стоимости (VaR) основаны на допущениях о вероятностном распределении изменения стоимости позиции или групп позиций, которое с уровнем доверительной вероятности будет оставаться в прогнозируемом диапазоне в течение заданного периода времени. Данные модели используются для оценки максимальных пределов изменения стоимости, которое, как предполагается, будет возникать не часто. Например, для оценки уровня убытков, который не будет превышен организацией с доверительной вероятностью 0,95 или 0,99. Руководство по своему усмотрению выбирает как желаемый уровень доверительной вероятности, так и срок, в течение которого производится оценка риска, частично исходя из установленных ранее допустимых для организации уровней риска.

Показатели стоимости, которая подвержена риску, иногда используются для обоснования размера капитала, необходимого хозяйственным подразделениям. Это предполагает оценку суммы капитала, необходимой для покрытия возможных убытков. Данная оценка обладает высоким уровнем доверительной вероятности в течение заданного промежутка времени. Период оценки потребностей в капитале устанавливается равным периоду оценки показателей деятельности.

Одной из разновидностей моделей стоимости, подверженной риску, является модель, используемая как финансовыми, так и нефинансовыми организациями для оценки риска изменений цены финансовых инструментов. Рыночная стоимость, подверженная риску, определяется как рассчитанный максимальный убыток по инструменту или портфелю инструментов, который может ожидаться в течение заданного промежутка времени с определенным уровнем доверительной вероятности.

Потоки денежных средств, подверженные риску. Данный показатель аналогичен показателю стоимости, подверженной риску, с одной оговоркой. Он отражает изменение потока денежных средств организации или подразделения по сравнению с целевым ожидаемым показателем потока денежных средств при определенном уровне доверительной вероятности в течение заданного промежутка времени. Он основан на допущениях о распределении изменений в движении денежных средств. Показатель потоков денежных средств, подверженных риску, используется организациями, результаты деятельности которых чувствительны к изменениям в потоках денежных средств под воздействием факторов, отличных от цены на рынке. Например, производитель компьютеров, желающий измерить риск в отношении чистого потока денежных средств своего предприятия, может использовать метод определения потоков денежных средств, подверженных риску, включающий либо одну переменную, такую как курс иностранной валюты, либо множественные переменные, такие как изменение валового внутреннего продукта, спрос и предложение компьютерных компонентов, а также корпоративные бюджеты на НИОКР. Данные показатели должны позволить компании оценить риск изменения обменных курсов, относящийся к потоку денежных средств, или более общие показатели потока денежных средств.

Прибыль, подверженная риску. Аналогично потокам денежных средств, подверженных риску, прибыль, подверженная риску, отражает уровень изменения бухгалтерской прибыли организации или подразделения, превышение которого не прогнозируется с заданным уровнем доверительной вероятности в течение заданного периода времени.

Распределение убытков

В некоторых случаях для расчета максимальных убытков, возникающих в результате влияния операционных рисков с заданным уровнем доверительной вероятности, используются статистические методы, основанные, как правило, на отличающемся от нормального распределении. Данный анализ требует сбора данных по операционным убыткам, классифицированных в разрезе причин убытков, таких как противоправная деятельность, проблемы с кадровыми ресурсами, организация сбыта, несанкционированные действия, организация процесса управления, технологическое обеспечение.

Используя такие данные и учитывая данные по соответствующей стоимости страхования и страхового возмещения, можно построить предварительный график распределения убытков, который затем следует доработать, принимая во внимание реагирование организации на риск.

Бэк-тестирование

В данном контексте бэк-тестирование заключается, как правило, в периодическом сопоставлении показателей подверженности риску организации с полученной фактической прибылью или убытком. Бэк-тестирование обычно применяется финансовыми институтами. Некоторые организации, в том числе многие банки, в своей текущей деятельности сопоставляют ежедневные показатели прибылей и убытков с результатами модели риска, чтобы отслеживать качество и точность своих систем оценки рисков.

2. Невероятностные методы используются для количественного определения влияния потенциального события на основе допущений о распределении такого влияния без указания вероятности возникновения события, поэтому они не требуют проведения отдельных расчетов вероятности. Наиболее часто применяют такие методы, как анализ чувствительности, сценарный анализ и стресс-тестирование.

Анализ чувствительности проводится для оценки влияния нормальных или обычных изменений потенциальных событий. В связи с относительной простотой расчета показатели чувствительности иногда используются в дополнение к вероятностным моделям. Анализ чувствительности используется в отношении операционных показателей (таких как влияние изменений объема продаж на время ответа горячей линии или число производственных дефектов), а также долевых ценных бумаг с применением коэффициента β (для целей анализа акций β представляет собой отношение изменения цены отдельных акций по сравнению с изменением цены общего рыночного портфеля или его эквивалента, например индекса S&P 500).

Показатель чувствительности применяется для аппроксимации изменения стоимости в результате значительных изменений процентной ставки.

Сценарный анализ используется для оценки влияния одного или нескольких событий на достижение цели. Он может осуществляться при планировании непрерывности бизнеса или при оценке влияния сбоя в системе или сети и отражает воздействие этих событий на организацию. Сценарный анализ может выполняться в ходе стратегического планирования, когда руководство связывает показатели роста, риска и прибыли.

Стресс-тестирование. При помощи стресс-тестирования оценивается влияние событий, имеющих наиболее сильное воздействие. Стресс-тестирование фокусируется на прямом влиянии изменения одного события или одного действия, происходящих в экстремальных обстоятельствах, в отличие от исследования изменений в обычных условиях, как это имеет место в анализе сценариев. Стресс-тестирование обычно дополняет вероятностные методы для изучения результатов событий с низкой вероятностью и высокой степенью влияния, которые не могут быть адекватно представлены при использовании допущений о распределении результатов, используемых в вероятностных методах. Аналогично анализу чувствительности стресс-тестирование часто применяют для оценки влияния изменений событий в области операционной деятельности или изменений на финансовом рынке с целью избежания значительных неожиданных последствий и убытков. Стресс-тесты включают, например, оценку влияния быстрого и значительного увеличения числа брака в производстве продукции; изменения обменного курса; изменения цены фактора, лежащего в основе производного финансового инструмента; увеличения процентных ставок в отношении стоимости портфеля инвестиций с фиксированным доходом; увеличения цен на электроэнергию, оказывающих влияние на стоимость производства.

3. Сравнительный анализ. Некоторые компании используют методы сравнительного анализа для оценки конкретного риска в терминах вероятности и влияния в тех случаях, когда руководство стремится дополнительно обосновать решения о том, как реагировать на риск с целью снижения вероятности возникновения или влияния этого риска. Данные сравнительного анализа могут предоставить руководству сведения по вероятности или влиянию рисков, основанные на опыте других организаций. Сравнительный анализ также используется в отношении различных видов деятельности в рамках отдельного бизнес-процесса с целью определения возможностей оптимизации этого процесса.

Сравнительные данные могут быть следующих видов:

  • внутренние – сравнение показателей одного департамента или подразделения с другими отделами в той же организации;
  • конкурентные/отраслевые – сравнение показателей между прямыми конкурентами или более широкими группами компаний с аналогичными характеристиками;
  • лучшие в своей категории – сравнение с аналогичными показателями компаний по разным отраслям.

Соотнесение рисков и капитала. Некоторые организации, в частности финансовые институты, проводят оценку экономического капитала. Причем одни компании используют данный термин для обозначения суммы капитала, требуемого для покрытия финансовых рисков, а другие толкуют его несколько иным образом – как показатель капитала, необходимого для ведения запланированной деятельности. Он используется руководством при определении стратегии, распределении ресурсов и оценке показателей деятельности.

Отражение результатов оценки рисков. Организации используют те или иные методы, применяемые для отражения результатов оценки рисков. Представление рисков в четкой и сжатой форме особенно важно при осуществлении качественных методов оценки, поскольку в этом случае риски не обобщаются одной цифрой или цифровым интервалом, как в случае с количественными методами. Методы представления результатов включают составление карт рисков и числовое представление данных.

Карта рисков – это графическое представление вероятности и влияния одного или более рисков. Карты рисков могут принимать форму тепловых карт или графиков процессов, на которых представлены количественные и качественные оценки вероятности и влияния рисков. Риски представляются с выделением более значимых (более высокая вероятность и (или) влияние) и менее значимых (меньшая вероятность и (или) влияние) рисков.

В зависимости от уровня подробности и глубины анализа карты рисков могут либо представлять общую ожидаемую вероятность и (или) влияние либо учитывать элемент изменчивости вероятности и (или) влияния. Приведенный пример карты рисков (рис. 3.4) отражает оценку рисков, относящихся к достижению цели удержания ценных работников. Данные риски могут быть представлены на матричной карте рисков, по горизонтальной оси которой откладывается вероятность, а по вертикальной – влияние.

Пример карты рисков

Рис. 3.4. Пример карты рисков

Числовое представление данных. В зависимости от специфики деятельности, количественные показатели риска могут быть представлены в денежном или относительном числовом выражении и с определенным доверительным интервалом, например, с уровнем доверительной вероятности 0,95 или 0,99.

Рассмотрение группы рисков (портфеля рисков) на уровне организации. В целях формирования портфеля риска всей организации руководство может использовать результаты оценок рисков отдельных хозяйственных подразделений или провести отдельную оценку с использованием методов, рассмотренных выше. Общая оценка риска может быть представлена в форме совокупного показателя риска. Показатели, лежащие в его основе, являются сходными, а совокупный показатель учитывает корреляцию между рисками.

Другой подход к определению совокупного риска заключается в определении общей единицы измерения на основе взаимосвязанных, но не сходных показателей риска. В случае невозможности прямого определения совокупного показателя рисков некоторые менеджеры находят целесообразным объединить показатели в сводный отчет, с тем чтобы сформулировать выводы и облегчить процесс принятия решений. В таких случаях, даже если показатели не объединены прямым образом, руководство субъективно размещает риски на единой количественной и качественной шкале для оценки вероятности и влияния множественных рисков на достижение одной цели или влияния одного риска на достижение нескольких целей.

Реагирование на риск. В отношении значительных рисков компания обычно выбирает один из четырех вариантов: избежание риска, передача риска, снижение риска, принятие риска (табл. 3.2).

Таблица 3.2

Способы реагирования на риски

Избежание риска

Передача риска

  • • Продажа хозяйственного подразделения, товарной линии или географического сегмента
  • • Решение не предпринимать новых инициатив/действий, которые могут привести к рискам
  • • Страхование значительных неожиданных убытков
  • • Создание совместных предприятий /партнерств
  • • Создание консорциумов
  • • Хеджирование рисков

с использованием инструментов рынка капитала

  • • Передача сторонним организациям отдельных бизнес-процессов
  • • Распределение риска на основе договоров с покупателями, поставщиками и прочими партнерами по бизнесу

Снижение риска

Принятие риска

  • • Диверсификация продукции
  • • Установление операционных лимитов
  • • Организация эффективных бизнес-процессов
  • • Рост вовлеченности руководства в принятие решений и мониторинг
  • • Реструктуризация портфеля активов с целью снижения рисков отдельных видов убытков
  • • Перераспределение капитала между операционными подразделениями
  • • "Самострахование" на случай убытков
  • • Использование естественного компенсирующего эффекта

в рамках портфеля

• Принятие риска, соответствующего уровню допустимого риска

Завершив действия по реагированию на риск, руководство может проанализировать отдельные риски, способы реагирования и соотношение уровней этих рисков с установленными допустимыми уровнями риска.

Выбор способа реагирования на риски. Как и присущий риск, остаточный риск может оцениваться количественно или качественно. Как правило, показатели, используемые при оценке присущего риска, используются и при оценке остаточного риска. В отношении некоторых рисков руководство может использовать несколько методов снижения общего остаточного риска до допустимого уровня.

Затраты и выгоды. Фактически каждый вид реагирования па риски связан с определенными прямыми или косвенными издержками, которые сравниваются с получаемыми выгодами. Учитывается первоначальная стоимость разработки и применения способа реагирования (процессы, сотрудники и технологии), а также стоимость поддержания мер реагирования на постоянной основе. Затраты и связанные с ними выгоды могут измеряться количественно и качественно, причем единица измерения обычно соответствует единице, используемой при постановке соответствующих целей и уровней допустимого риска.

Целостный подход к остаточному риску. Имея карту рисков для каждого из подразделений, высшее руководство способно рассмотреть весь перечень рисков и определить, соответствует ли рассматриваемый уровень остаточного риска организации ее риск-аппетиту при достижении поставленных целей. Целостный подход можно проиллюстрировать различными способами. Менеджеры хозяйственных подразделений устанавливают цели, уровни допустимого риска и показатели оценки, относящиеся к деятельности своих подразделений с точки зрения вклада хозяйственного подразделения в общие показатели предприятия. Затем составляется портфель рисков хозяйственных подразделений, что позволяет руководству всего предприятия учесть риски в отношении достижения целей отдельных подразделений с точки зрения показателя прибыли на акцию в масштабе всего предприятия.

Контрольные процедуры – это набор политик и процедур, обеспечивающих реагирование на риски со стороны руководства. Они применяются по организации в целом, на всех уровнях и во всех функциональных подразделениях. К ним относятся различные виды деятельности: процедуры утверждения, авторизации, проверки, сверки, анализ операционных показателей, обеспечение безопасности активов и распределение полномочий.

Обозначив виды реагирования на риск, руководство определяет контрольные процедуры, необходимые для обеспечения соответствующего и своевременного реагирования на риск. Рассмотрим примеры.

  • Избежание риска. Поставив цель повысить норму операционной прибыли, руководство провайдера программного обеспечения рассмотрело возможность переноса деятельности по программированию в страну с более низкой стоимостью рабочей силы. После оценки данного риска руководство решило, что такой перенос не соответствует риск-аппетиту компании и что передача функций программирования сторонней организации будет осуществлена только в пределах страны. Для обеспечения надлежащей реализации данного решения прежняя форма "Новый программист" была изменена: в нее включили сведения о стране, в которой зарегистрирован и работает поставщик. Данная информация стала подвергаться проверке и (электронным образом) подписываться высшим руководством, что обеспечило основу для выбора компании-поставщика услуг программирования.
  • Снижение риска. Руководство больницы признало, что способность медицинского учреждения обеспечить защиту здоровья и благополучия пациентов будет повышена в случае отсутствия перебоев в подаче электроэнергии. Руководство реагировало на данный риск путем установки резервных электрических генераторов. Для обеспечения работы генераторов в экстренных случаях инженерное подразделение компании проводит профилактическое техническое обслуживание. Журналы технического обслуживания проверяются ежемесячно главой отдела инженерного обеспечения.
  • Передача риска. Производственная компания определила, что длительный перерыв в деятельности ее завода окажет значительное влияние на выполнение компанией своих производственных задач. Руководство компании по результатам оценки капитала компании, допустимого уровня риска и стоимости передачи риска с привлечением страховой организации приняло решение о приобретении страхового полиса па сумму потерь от остановки производства на период до шести месяцев. Чтобы обеспечить надежность реализации мер реагирования, менеджер по управлению рисками периодически проверяет состояние страхового покрытия компании, соблюдение всех условий соглашения со страховщиком и отчитывается операционному директору о соблюдении этих условий.
  • Принятие риска. Руководство определило в качестве риска изменение мировых товарных цен. После оценки вероятности и влияния риска и с учетом уровня допустимого риска руководство решило принять данный риск. Оно установило политику, согласно которой Казначейство проводит формализованную переоценку риска каждые три месяца и сообщает правлению свои рекомендации о необходимости хеджирования.

Контрольные процедуры в общем случае создаются для обеспечения надлежащего реагирования на риски, в отношении некоторых целей проведение контрольных мероприятий само по себе является реагированием на риск. Это часто бывает в отношении рисков, связанных с целями составления отчетности.

Мониторинг управления рисками организации – это оценка наличия и функционирования компонентов ПУР на протяжении определенного времени. Мониторинг осуществляется в ходе текущей деятельности, путем осуществления периодических проверок или же и тем и другим способом. Текущий мониторинг выполняется в ходе обычной управленческой деятельности. Объем и частота периодических проверок зависят главным образом от оценки рисков и эффективности текущего мониторинга. О недостатках управления рисками организации сообщается руководству более высокого уровня, наиболее серьезные вопросы доводятся до сведения высшего руководства и совета директоров.

Текущий мониторинг. Для мониторинга эффективности процесса управления рисками организации служат различные мероприятия, выполняемые в ходе обычной деятельности организации. К ним относится текущая ежедневная проверка оперативной информации, поступающей в ходе обычной деятельности.

Дополнительные проверки. Хотя текущий мониторинг обычно предоставляет важные сведения по эффективности отдельных компонентов управления рисками организации, время от времени необходимо взглянуть на систему свежим взглядом, концентрируясь непосредственно на эффективности процесса управления рисками в целом.

Дополнительные проверки процесса управления рисками организации обычно проводятся периодически. В некоторых случаях их проведение диктуется изменением стратегии, ключевых бизнес-процессов или структуры организации. Дополнительные проверки проводятся руководством, службой внутреннего аудита, внешними специалистами или с использованием сочетания данных ресурсов.

Периодические проверки могут быть широкими. Тогда их объем охватывает всю организацию и все составляющие процесса управления рисками организации. В некоторых случаях проверка ограничивается отдельным подразделением, бизнес-процессом или департаментом, тогда как другие области деятельности рассматриваются в другое время[4].

  • [1] Авторы признательны Марии Огородниковой за помощь в подготовке материала для данного раздела книги.
  • [2] См.: Управление рисками организаций. Интегрированная модель. Краткое изложение. Концептуальные основы / Комитет спонсорских организаций Комиссии Тредвея (COSO). 1994. URL: coso.org/ documents/COSO_ERM_ExecutiveSummary_Ru ssian.pdf
  • [3] Управление рисками организаций. Интегрированная модель. Краткое изложение. Концептуальные основы.
  • [4] См.: Управление рисками организаций. Интегрированная модель. Краткое изложение. Концептуальные основы.
 
< Пред   СОДЕРЖАНИЕ     След >