Стратегия обработки рисков, таким образом, состоит из основного способа и составляющих его специальных мероприятий. Сначала определяется способ обработки рисков, затем осуществляются превентивные мероприятия в рамках данного способа. Это позволяет избежать распространенной ошибки, когда выбор варианта обработки рисков осуществляется без предварительной оценки всех четырех основных способов. В случае наличия недопустимого риска или когда не позволяют складывающиеся обстоятельства, может быть полезным разработать несколько дополнительных стратегий обработки рисков. В этом случае процесс выбора вариантов мероприятий по обработке рисков необходимо проводить повторно. Причем дополнительные мероприятия должны отличаться от существующих контрольных процедур. В обсуждении предмета управления рисками организации часто используют термин «корпоративное управление рисками», который означает процесс, в котором участвуют совет директоров, исполнительное руководство и другие сотрудники, применяемый при определении стратегии компании, предназначенный для выявления потенциальных событий, влияющих на компанию, и для управления рисками с учетом величины риск-аппетита, для получения разумной уверенности в том, что цели и задачи организации будут достигнуты. Ответственность за оценку потенциальных рисков организации ложится на плечи ее руководства. Это непрерывный и постоянный процесс, поэтому к числу обязанностей руководства в данной области относится также проверка правильности текущих оценок рисков и внесение необходимых изменений с целью снижения потенциальных рисков, которые могут препятствовать выполнению организацией запланированных целей. Совет директоров и комитет по аудиту несут ответственность за осуществление надзора/контроля, определяя, существуют ли необходимые процессы управления рисками и являются ли эти процессы адекватными и эффективными. Внутренние аудиторы оказывают помощь руководству, совету директоров и/или комитету по аудиту в оценке, тестировании, формировании отчетности и/или разработке рекомендаций по повышению адекватности и эффективности процессов управления рисками. Если внутренние аудиторы обнаруживают факторы риска во время любой проверки, они должны определить степень подверженности риску, даже если это и не являлось целью текущей проверки. Важно помнить, что роль подразделения внутреннего аудита в процессе управления рисками не является раз и навсегда зафиксированной и (скорее всего) будет меняться с течением времени. В соответствии с Практическим указанием 2120−1 «Оценка достаточности процесса управления рисками» роль внутреннего аудита в процессе управления рисками организации может состоять в следующем:
отсутствие роли;
аудит процессов управления рисками как часть годового плана проведения аудиторских проверок;
активная постоянная поддержка и вовлеченность в процессы управления рисками (например, участие в работе надзорных комитетов, процессах мониторинга, формировании отчетности о состоянии процесса);управление и координация процессов управления рисками. В данном случае внутренний аудитор принимает на себя ответственность за фактический риск, он несет ответственность только за процесс управления. Решение о степени участия подразделения внутреннего аудита в процессе управления рисками принимается высшим руководством и советом директоров. Согласно Стандарту 2120 (подраздел А1) «внутренний аудит должен оценивать степень подверженности риску, относящемуся к корпоративному управлению, операционной деятельности организации и ее информационным системам, в отношении:
достоверности и полноты информации о финансово-хозяйственной деятельности;
эффективности и результативности операций и программ;
сохранности активов;
соответствия требованиям законов, нормативных актов, внутренних политик и процедур, и договорных обязательств". 3.3 Мониторинг и управление рисками
У каждой организации есть свои особенности, в частности собственная методология осуществления процесса управления рисками. Внутренний аудитор должен убедиться в том, что ключевые группы организации, включая совет директоров и комитет по аудиту, одинаково понимают эту методологию. Для того чтобы сделать заключение об адекватности процессов управления рисками, внутренние аудиторы должны убедиться в достижении пяти ключевых целей процессов управления рисками, а именно:
риски, которые могут появиться в процессе реализации бизнес-стратегии и осуществлении деятельности организации, выявляются и оцениваются;
высшее руководство и совет директоров определили приемлемый уровень риска для организации (риск-аппетит);выбираются такие меры реагирования на риски, которые позволяют удерживать риски в рамках риск-аппетита организации;
риски регулярно переоцениваются;
результаты оценки рисков периодически направляются исполнительному руководству и совету директоров. Служба внутреннего аудита должна оценить степень выполнения данных целей, чтобы сформировать и выразить мнение об адекватности процессов управления рисками в организации. Эта задача должна выполняться службой внутреннего аудита не только в ходе проведения отдельных проверок; напротив, она должна выполняться в ходе выполнения всех проверок. Аудиторам необходимо постоянно осуществлять поиск признаков существования проблем или причин для беспокойства в сфере управления рисками. Для этих целей рекомендуется использовать следующие аудиторские процедуры:
исследование и анализ необходимых справочных материалов и базовой информации по методологии управления рисками;
исследование и анализ текущих разработок, тенденций, информации по виду экономической деятельности, касающейся организации;
анализ корпоративной политики, протоколов заседаний совета директоров и комитета по аудиту для понимания бизнес-стратегии организации, философии и методологии управления рисками, риск-аппетита и условий принятия рисков;
анализ предыдущих отчетов об оценке рисков, подготовленных руководством, внутренними и внешними аудиторами или из других источников;
проведение интервью с линейными и высшими руководителями для определения целей бизнес-подразделений, соответствующих рисков и используемых руководством методов снижения рисков и процедур мониторинга системы внутреннего контроля;
обработка информации в целях независимой оценки эффективности процедур снижения рисков;
оценка адекватности системы подотчетности по вопросам мониторинга и управления рисками;
проверка полноты анализа рисков, проведенного руководством организации, и действий, предпринятых для устранения недостатков, выявленных в процессе управления рисками, и предложение улучшений;
определение эффективности осуществляемых руководством процессов самооценки путем осуществления наблюдений, прямого тестирования контрольных процедур и процедур мониторинга, проверки надежности информации, используемой в процессах мониторинга, и применения других соответствующих методов;
проверка других, связанных с рисками проблем, которые могут указывать на недостатки системы управления рисками. Если, по мнению аудитора, принятый руководством уровень риска не соответствует стратегии и политике организации в области управления рисками, или такой риск неприемлем для организации, ему при дальнейших действиях следует руководствоваться Международным профессиональным стандартом внутреннего аудита 2600 «Рассмотрение риска, принятого высшим исполнительным руководством» и соответствующими указаниями. Заключение
Безусловно, оценку рисков не всегда можно произвести по конкретной формуле или измерить количественно. Успешная оценка рисков очень часто основывается на профессиональных суждениях и опыте внутренних аудиторов и руководителя внутреннего аудита. Процессы управления рисками в разных организациях могут существенно различаться в зависимости от вида бизнеса, масштабов и сложности структуры организации и могут быть:
формальными или неформальными;
количественными или субъективными;
внедренными в бизнес-единицах или централизованными на корпоративном уровне. В любом случае организация выстраивает процессы в соответствии со своей культурой, стилем управления и целями деятельности. Например, использование организацией деривативов или других сложных инструментов рынков капитала может потребовать использования количественных методов управления рисками. Менее крупные организации могут создавать неформальный комитет по рискам для обсуждения профиля рисков организации и инициирования регулярных корректирующих действий, а внутренний аудитор уже определяет, является ли выбранная организацией методология достаточно полной и соответствующей деятельности организации. Библиографический список
Международные профессиональные стандарты внутреннего аудита (в ред. с 01.
01.2013).Значение внутреннего аудита в системе управления рисками (СУР). Стандарт МСВА 2120 — Управление рисками."Методические материалы по страхованию строительных рисков" / Рекомендованы письмом Минстроя РФ от 30.
08.1996 N ВБ-13−185/7Анализ проектных рисков / Учебное пособие для вузов // М.: Финстатинформ, 1999
Минимизация концессионных рисков /Басюк А.В. //Известия Тульского Государственного Университета. Экономические и Юридические Науки. — № 1−2 / 2010
Экономический риск: сущность, методы измерения, пути снижения: / Гранатуров В. М. // Учеб.
пособие. М.: Дело и сервис, 1999. К риск-ориентированной системе бухгалтерского учета /Демина И.Д., Меркущенков С. Н. // «Финансовый вестник: финансы, налоги, страхование, бухгалтерский учет», — 2013, — № 7Коммерческая оценка инвестиций /Есипов В.Е., Маховикова Г. А., Касьяненко Т. Г., Мирзажанов С. К. // Учебное пособие. — (под общ. ред. д. э. н. В.Е. Есипова). — «КНОРУС», — 2012
Концептуальные основы оценки бизнеса: отражение особенностей становления профессиональной оценки в России /Касьяненко Т.Г. // СПб.: Изд-во СПбГУЭФ, 2006
Методика управления рисками финансово-хозяйственной деятельности в организации /Сафонова М.Ф., Мовчан К. В. // «Международный бухгалтерский учет», 2013, № 29Как распределить риски в договорных обязательствах. Примеры практического применения /Сейтбекова Е. // «Финансовая газета», 2013, N 26Методы идентификации рисков / Степанов В. // «Финансовый менеджмент», № 4, 2011
Руководство к Своду знаний по управлению проектами. Руководство PMBOK / Четвертое издание // Американский национальный стандарт NSI/PMI 99−001−2008
Приложения
Приложение № 1Классификация рисков На основе анализа признанных типов риска можно дать следующую классификацию рисков
Приложение№ 2Компоненты формулировки риска
Приложение № 3Матрица SWOT-анализа
Внутренние факторы
Сильные стороны S (Strengths) Слабые стороны W (Weaks) Внешние факторы
ВозможностиO (Opportunities) УгрозыT (Threats) Приложение№ 4Иерархическая система реестров рисков
Приложение № 5Пример ведомости риска
Приложение № 6 Частота пересмотра и реализации риска в зависимости от его класса
