Как оптимизировать пользу контрольных функций Любая компания, выходя на рынок товаров и услуг, в первую очередь ставит перед собой задачу создания стоимости для сторон, заинтересованных в ее деятельности. В подобных условиях организации прежде всего сталкиваются с неопределенностью, в связи с чем задачей управленческого звена является принятие однозначного решения об уровне неопределенности, с которым компания готова работать, стремясь увеличить стоимость для заинтересованных сторон. Неопределенность в данном случае содержит в себе два противоположных свойства. С одной стороны - существующий риск, с другой - открытие перспектив, что соответственно приводит либо к уменьшению, либо к увеличению стоимости. Последнее десятилетие кардинально изменило подход к сущности контрольных функций современных компаний, в частности - внутреннего контроля и аудита, в том числе закрепленной в определении Института внутренних аудиторов (ПЛ). Произошедшие в конце XX - начале XXI в. экономические реформы во многих странах мира, а также продолжающееся развитие глобального финансового кризиса, несколько волн которого оказали и продолжают оказывать значимое влияние на мировую экономику, потребовали от руководителей и владельцев предприятий различных государств усиления роли системы внутреннего контроля компаний как неотъемлемой части системы их корпоративного управления, непрерывно связанной с повышением эффективности бизнеса. Сегодня происходит трансформация внутренних контрольных функций в инструмент оценки эффективности системы управления рисками, наблюдается смещение акцентов от оценки рисков отдельных операций к оценке рисков в деятельности компании в целом. Требования и ожидания заинтересованных сторон от внутреннего контроля и аудита повышаются вследствие изменения среды и актуальных задач бизнеса. Процесс управления рисками в компании в первую очередь должен оптимизироваться за счет повышения в нем роли контрольных функций. Его необходимо основывать на методологических разработках и исследованиях, как имеющих общий характер, так и сугубо специфических, имеющих отношение к определенному сегменту рынка, объему валовой продукции, территориальной принадлежности, основам законодательной базы и многим другим факторам, которые могут существенно изменить общую концепцию компании по разработке и внедрению стратегии оптимизации контрольных функций в системе управления рисками. Одной из важнейших составляющих этой системы является культура управления рисками. В целом ее можно охарактеризовать как существующую в организации систему ценностей и способов поведения, которая определяет суть и форму решений, принимаемых в области управления рисками. Культура управления рисками оказывает влияние на принимаемые руководством и работниками решения. Она является тем самым инструментом, который гарантирует, что будут приняты именно необходимые, а не просто экстренные меры, которые, как правило, не всегда бывают тщательно продуманными и выверенными. С уверенностью можно говорить о том, что без всесторонне проработанной культуры управления рисками любая программа по управлению рисками в организации, какой бы продуманной и комплексной она ни была, может оказаться не в состоянии предотвратить принятие неверных решений. В настоящее время методология управления риском, особенно в части его оценки, получает все более интенсивное развитие в практике организаций различного профиля. Происходящие во всем мире за последнее время события наглядно демонстрируют, что научные и деловые круги, принимающие решения на основе оценки рисков, продолжают сталкиваться с многочисленными трудностями в области менеджмента рисков и применяемых методик их оценки. С одной стороны, это обусловлено сложностью процессов оценки риска, с другой - потерей доверия к существующим методическим решениям. Последствия мирового финансового кризиса в начале XXI в., волны которого до сих пор продолжают затрагивать деятельность хозяйствующих субъектов, продемонстрировали очевидную недостаточную научную разработанность и конечную эффективность существующих и наиболее часто применяемых организациями инструментов контрольных функций при оценке рисков либо их несостоятельность в конкретных условиях предупреждения реализации риска. Фактически в настоящее время наблюдается дисбаланс между ожиданиями и результатами применения методических инструментов в части управления рисками, что в основном обусловлено неопределенностью и сложностью, с которыми приходится сталкиваться при оценке риска [10]. Современное развитие экономики, возросшая конкуренция, наличие негативных внешних и внутренних факторов стали серьезным стимулом к созданию в компаниях структурного подразделения для независимой оценки эффективности процессов компании, позволяющей определить ее текущие проблемы и построить стратегическую линию развития, позволяющую минимизировать возможные риски. Служба внутреннего контроля и/или аудита все увереннее занимает эту нишу в соответствии с возложенными на нее функциональными задачами и требованиями к уровню компетентности сотрудников. Полезность этой службы, ее вклад в сохранение стоимости бизнеса сложно рассчитать и обосновать по ряду объективных причин, представленных ниже [15]: • «внутренние аудиторы прежде всего занимаются оценкой слабых сторон деятельности организации и предоставлением рекомендаций, а не расчетом ценности результатов своей работы; • незаметное присутствие службы внутреннего аудита зачастую само по себе предотвращает нежелательные события (например, мошенничества); • некоторые, а иногда - большинство рекомендаций службы внутреннего аудита не поддаются количественному измерению (например, улучшение имиджа компании); • результаты внутреннего аудита зачастую носят косвенный характер, либо между проведением аудита и появлением заметных результатов проходит большой период времени». Учитывая эти обстоятельства, приходим к выводу, что оптимизации контрольных функций для целей сохранения стоимости бизнеса можно достичь только в результате взаимодействия двух и более подраз- делений/функций/уровней в организации. Так, например, управление в компании теоретически всегда должно быть разделено на управление стратегическими решениями (совет директоров) и управление оперативной деятельностью (топ-менеджмент, правление). Схема взаимодействия по контрольным функциям подразумевает симбиоз между советом директоров, который разрабатывает и утверждает общую парадигму управления рисками, исполнительными органами организации (топ-менеджмент, правление), чья роль заключается во внедрении в практику этой парадигмы, и службой внутреннего контроля и/или аудита, которая должна оценивать эффективность системы управления рисками, предлагая при необходимости пути ее оптимизации. Введение нескольких уровней в процесс управления рисками для целей оптимизации системы контрольных функций необходимо для разграничения потоков информации, их упорядочения в разрезе задач, периодов, отчетности, а также и для регламентации во внутренних документах. Один из возможных подходов в разграничении уровней по управлению рисками представлен в табл. контроль управление риск бизнес Разграничение уровней управления рисками Уровень управления Задачи Период Отчетность Орган управления Отражение во внутренних документах Стратегическое Разработка и утверждение парадигмы управления рисками 1-3 года Ежегодно Совет директоров Положение о внутренней политике Оперативное Внедрение и эксплуатация системы управления операционными рисками; самооценка; экспертная оценка Один квартал; один год Ежеквартально; ежегодно Служба внутреннего контроля и аудита; Исполнительное руководство Положение о рисках; отчет о самооценке; матрица риска Тактическое Мониторинг ролей и функций Квартал Еженедельно Служба внутреннего контроля и аудита Регламент; база исторических данных Экстренное Реагирование на инциденты Немедленно Ежедневно Служба внутреннего контроля и аудита; все сотрудники Регламент На упрощенном примере представим возможный вариант взаимодействия между тремя упомянутыми уровнями организации (совет директоров, исполнительное руководство (топ-менеджмент), служба внутреннего контроля и/или аудита) в процессе оценки и управления рисками, ограничиваясь при этом только тремя методологическими инструментами (по одному для каждой функции/уровня контроля), а именно: • определение советом директоров общей парадигмы, внедрение «Политики управления рисками» в организации; • использование службой внутреннего контроля и/или аудита итогов самооценки подразделений организации в качестве ключевого тактического инструмента для определения матрицы рисков организации; • анализ матрицы рисков со стороны топ-менеджмента для определения ключевых факторов риска и составления плана мероприятий с целью воплощения на практике эталонной модели совершенства, определенной советом директоров. Первый шаг по оптимизации контрольных функций в нашем примере требует закрепления подходов и принципов системы управления рисками в «Политике управления рисками», которая может корректироваться с учетом развития организации. План разработки и внедрения системы управления рисками должен быть разработан детально, с разбивкой по составным частям каждого этапа и срокам их реализации. Внедрение стандартизованных процедур имплементации метода самооценки для целей применения результатов службой внутреннего контроля и/или аудита важно начинать с разработки общей стратегии управления рисками и формализации системы управления ими в «Политике управления рисками», утверждаемой советом директоров. По своей сути она является опорным документом, описывающим общую концепцию управления рисками в организации. Следующим шагом в нашем примере является применение метода самооценки как всестороннего и систематического анализа деятельности организации и ее результатов по сравнению с выбранным эталоном. Современной наукой и практикой самооценка признается результативным методом, способным оптимизировать пользу контрольных функций организации, но при этом инструментом, не заменяющим другие важные процедуры внутреннего контроля и аудита. Самооценка помогает менеджменту и собственникам бизнеса повысить эффективность систем контроля и управления рисками, управлять ими в рамках текущих процессов. Наличие инструмента самооценки внутреннего контроля не всегда является обязательным требованием в разных странах, как, например, в России. Тогда как на Западе самооценка необходима для соответствия требованиям Закона Сарбейнса-Оксли [11] для публичных компаний, размещающихся на американских биржах. Тем не менее использование этого инструмента даже на добровольных началах дает высокие результаты. Некоторые исследования [6] свидетельствуют, что внедрение эффективных методов самооценки позволяет: • повысить действенность систем контроля и управления рисками в организации; • осуществлять их менеджмент в рамках текущих процессов с более высокой степенью результативности, в том числе существенно снизить затраты на управление рисками с учетом имеющихся системных ограничений. Для собственников и руководителей современных компаний преимущества метода самооценки заключаются в повышении эффективности корпоративного управления и оптимизации контрольных функций. Внедрение системы внутренней оценки способно оказать позитивное влияние на сотрудников компании, поскольку позволяет повысить эффективность выполнения текущих обязанностей, повышает уровень корпоративной культуры, а также уровень дисциплинированности и ответственности. На основе полученных результатов самооценки можно сделать агрегированный анализ ключевых рисков и представить их топ- менеджменту организации в виде матрицы риска для ознакомления, а также для составления плана мероприятий с целью воплощения на практике эталонной модели совершенства (бизнеса), определенной советом директоров и собственниками компании. Матрица рисков является диагностическим инструментом оценки рисков, который предполагает некоторую форму их градации. Она имеет диапазон по осям последствий и вероятности. Матрица рисков наглядно демонстрирует аудитору, руководителю и другим заинтересованным лицам, принимающим решения, в чем заключается риск, его структуру (относительно затрат, изменений в процедурах и т.д.) и какой объем времени, других ресурсов может быть уделен для оптимизации уровня риска, принимая во внимание существенность его последствий и вероятность. Данный инструмент дает системное представление о рисках компании. Ниже на рис. представлена матрица рисков, основанная на двух показателях: уровне вероятности возникновения риска и финансовых потерях (ущербе) в случае его реализации. Высокий © «о о. 4> ЕТ >Ч © © О© © Низкий © © Низкая Средняя Высокая Вероятность Используя полученные результаты агрегированной оценки вероятности реализации и тяжести последствий для каждого риска, можно определить его значимость по выбранной шкале, которая определяется компанией в зависимости от ее склонности к риску (риск-аппетитов). Составление матрицы риска дает возможность топ-менеджменту получить наглядное представление о зонах концентрации риска, определить наиболее критичные факторы риска для компании и построить план мероприятий для управления ими. В целях оптимизации контрольных функций особенно актуальным вопросом является автоматизация деятельности этих служб, в частности, используя информационные технологии и системы бизнес-интеллекта. Анализируя этот вопрос, мы неоднократно встречались с мнениями о возможности создания контрольных функций, включая и область проведения самооценки и управления рисками, без применения программного обеспечения или специальных модулей по оценке и мониторингу уровня риска. По нашему мнению, такой подход к проблеме является ошибочным вне зависимости от степени интеграции компании в рыночные процессы, величины валюты баланса, времени функционирования компании и иных причин, которые могут стать причиной отказа от внедрения информационных технологий и специальных программ. Препятствием внедрения подобных решений является их высокая стоимость. Согласно данным аналитического агентства Gartner [5], среди 97 опрошенных американских банков около половины не интегрируют системы управления операционными рисками и инструменты оценки эффективности бизнеса. При выборе IT-системы для автоматизации целесообразно опираться на следующие требования: 1. Система представляет собой стандартную платформу, встроенную в основной процесс управления и обеспечивающую необходимую степень детализации и связность информации. 2. Система должна поддерживаться во всех отделениях и филиалах компании и охватывать все бизнес-направления и продукты. . Система должна быть открытой и иметь модульную структуру, поддерживающую приложения иных разработчиков. Это должно способствовать адаптации к специфическим потребностям компании. . Система должна быть гибка при поддержке требований национальных регулирующих органов. Большой потенциал для построения эффективной технологической цепочки контрольных процессов в автоматической системе имеет концепция применения бизнес-интеллекта (Business Intelligence - BI). Его главным назначением является сбор и анализ больших объемов данных с целью выявления общих тенденций в экономических процессах, выработка понимания ситуации и позиции предприятия для дальнейшего принятия эффективных решений. В широком смысле бизнес-интеллект означает: — процесс преобразования экономических данных в структурированную информацию для использования ее при принятии дальнейших решений; — информационные технологии (методы и средства) сбора данных, консолидации информации и обеспечения доступа бизнес-пользователей к информации. Архитектура возможного решения в построении бизнес-интеллекта для целей управления рисками и оптимизации контрольных функций представлена на рис. 2. Рис. 2. Архитектура бизнес-интеллекта в управлении рисками При разработке методологических подходов к оценке риска организации целесообразно вспомнить законы диалектики (закон перехода количественных изменений в качественные, закон единства и борьбы противоположностей, закон отрицания отрицания), а также законы формальной логики (закон противоречия, закон исключенного третьего, закон тождества). При разработке конкретных методик и подходов, используемых контрольными функциями компании для оценки системы внутреннего контроля в целом или в части ее отдельных аспектов, в качестве лучшей практики можно применять подходы Международных стандартов внутреннего аудита, а также ряд других стандартов и концепций, например: COBIT, SAC, COSO и SAS 55/78. Современный менеджмент в любой сфере бизнеса выделяет важную составляющую управленческой деятельности - это работа по совершенствованию и оптимизации. Успешное развитие компании в текущих экономических условиях возможно только при выполнении условия, что функционал каждого ее работника, кроме осуществления основной деятельности (непосредственных должностных обязанностей), включает в себя также непрерывное осуществление функции совершенствования бизнес-процессов, в которых он участвует, а также бизнеса компании в целом. В этой связи оптимизация пользы контрольных функций в организации должна включать: 1) четкое разграничение уровней управления рисками; 2) определение ключевой роли службы внутреннего контроля и аудита с учетом различий между предоставлением гарантий и консультированием как процессами, составляющими сущность внутреннего аудита; ) создание технического решения для поддержки контрольных функций и управления рисками (программное обеспечение, бизнес-интеллект); ) последовательность в применении нормативно-методологических критериев, использование научного подхода; ) непрерывное информирование всех уровней организации о важности контрольных функций, контроль плана мероприятий. Хотя предложенная в данной статье модель связи между несколькими функциями организации в целях оптимизации бизнес-процессов не претендует на универсальность, очевиден вывод, что сохранение стоимости компании достигается только при их взаимодействии. В этом смысле повышение эффективности бизнеса компании, сохранение ее стоимости возможны только в случае, если деятельность всех контрольных подразделений согласована между собой и направлена исключительно в качестве конкретной помощи бизнесу для оптимизации деятельности компании, а не организована как отдельный, абстрактный и независимый от управленческого аспекта процесс.