logo

30/09/2019

Дом, который построил риск

1.jpg

В топ-5 пунктов повестки дня собственника и руководителя входят управление рисками, внутренний контроль и аудит, комплаенс и связанные с ними функции. Эксперт в области управления рисками и внутреннего аудита с двадцатилетним опытом построения и развития данных функций в крупнейших компаниях, а также успешно реализованными проектами в компаниях «большой четвёрки», Александр Шитов, в своей колонке рассказал, чем помогают эти функции, какое место они занимают в системе управления бизнесом, а также какие требования к ним предъявляют стейкхолдеры.

Мы пойдём от «взгляда сверху» – описания взаимодействия функций и их ключевых компонентов – к деталям с примерами результатов и пользы для собственника бизнеса.

Понятийный аппарат, или говорить на одном языке

Для эффективного диалога предлагаю определиться, что есть что – ввести определения. Они простые и известные многим из тех, кто читает эту статью, тем не менее я уверен, что общий понятийный аппарат крайне важен.

Рисунок3.jpg

Риск – возможность наступления какого-либо события, которое может оказать негативное влияние на достижение целей. Риск измеряется оценкой последствий и вероятности наступления события.

Контрольные процедуры – ручные действия, автоматические операции информационных систем или комбинация этих процессов, реализуемые на постоянной основе для снижения последствий и/или вероятности наступления рисков.

Система управления рисками и внутреннего контроля (СУРиВК) – совокупность норм корпоративной культуры, инфраструктуры и действий менеджмента по управлению рисками и внутреннему контролю для обеспечения разумных гарантий достижения целей.

Внутренний аудит – деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности бизнеса.

Вывод: целям процесса присущи риски – события, из-за которых цели не будут достигнуты. Для минимизации рисков есть контрольные процедуры, выполнение которых тестирует внутренний аудит, тем самым обеспечивая независимую оценку действий менеджмента по управлению рисками.

«Картинка сверху» – взгляд собственника на взаимодействие функций

Собственники управляют рисками ежедневно – заключая новый контракт, начиная инвестиционный проект, нанимая нового сотрудника, подписывая кредитный договор. Не важно, осознаёте ли вы, что занимаетесь управлением рисками, или нет – вы ими управляете. Страхуя свой автомобиль, вы управляете риском его хищения, передавая риск страховой компании. Страхуя имущество вашего бизнеса, вы также управляете риском пожара или другого бедствия.

Может возникнуть закономерный вопрос – для чего владельцу бизнеса нужны функции управления рисками, внутреннего контроля и аудита? По мере делегирования обязанностей сотрудникам, вы передаёте ответственность за достижение целей, а с ней и риски по невыполнению поставленных задач. Чем крупнее бизнес, тем больше риски, их влияние на ваши доходы и стоимость вашего бизнеса. К тому же больше вероятность того, что риски начинают управлять вами.

Должны ли ваши сотрудники также управлять рисками и выполнять контрольные процедуры? Ключевое слово – «должны», если, конечно, знают как, обладают необходимой компетенцией и инструментами управления.

Предлагаю посмотреть «сверху» на визуализацию ключевых задач, функций и их взаимодействие. Такая визуализация построена с учётом «модели трёх линий защиты», в соответствии с международными практиками. Эта модель даёт общую картину ролей функций.

Рисунок1.jpg

Наличие и размер данных функций должны соответствовать и размеру вашего бизнеса, и требованиям регуляторов, и вашему уровню делегирования полномочий менеджменту. Из практики, функции развиваются эволюционно вместе с ростом компании, выходом на новые рынки, в том числе финансовые, появлением новых стейкхолдеров и т.п.

Например, на сегодняшний день в вашей компании нет данных функций. Если вы инициировали новый проект, с большей вероятностью вам логично начать с функции управления рисками, оценить какие потенциально негативные события могут произойти, как они могут повлиять на цели вашего проекта, и решить, как вы можете минимизировать вероятность данных событий. Пример: вы создаёте мобильное приложение или новый продукт в вашей линейке – есть вероятность не попасть в ожидания вашей фокусной аудитории или потерять права на интеллектуальную собственность. Минимизируйте – наймите опытного продакт-менеджера, поручите юристам защиту интеллектуальных прав и прочее.

Или у вас действующий бизнес, и вы решили больше ответственности делегировать менеджменту. Начните с малого – создайте позицию аудитора и риск-менеджера в одном лице, найдите внутри компании человека, хорошо знающего процессы, обучите его управлению рисками и внутреннему аудиту. Поставьте две параллельные задачи – провести аудит ключевых денежных операций (закупки, ремонты, расходы на персонал и т.д. – подход «снизу вверх») и сделать анализ основных рисков, используя общение с менеджментом и знание компании (подход «сверху вниз»).

При формировании и развитии данных функций в компании для собственника и его менеджмента большую пользу может принести член Совета директоров или Экспертного совета, обладающий соответственным опытом. Он может помочь собственнику в эффективной организации функций, а менеджменту – в подборе сотрудников и сопровождении выполнения задач собственника. 

Вывод: функции управления рисками, внутреннего контроля и внутреннего аудита помогают собственнику управлять рисками бизнеса, обеспечивают информацией о возможных негативных событиях (риски), о том, как менеджмент минимизирует риски (контрольные процедуры), и о фактах реализации рисков или невыполнении контроля (внутренний аудит).

 «А судьи кто?»

Кроме собственников, непосредственно заинтересованных в наличии и эффективной работе функций управления рисками, внутренним контролем и внутренним аудитом, существуют и другие стейкхолдеры, которые предъявляют требования к организации этих функций. В первую очередь требования касаются акционерных обществ, но и для других организационных форм компаний наличие функций управления рисками является ожиданием рынка – инвесторов, банков, профессиональных сообществ, членов совета директоров, экспертного совета и так далее.

Для экономии вашего времени я не буду приводить детали законов. Перечень ключевых документов при необходимости всегда можно найти в открытом доступе.

2019-10-01.png

В процессе привлечения заёмного капитала или входа в бизнес стратегического инвестора, ваши контрагенты будут заинтересованы в понимании рисков компании, наличии процесса регулярной оценки рисков и инструментов по их минимизации, а также эффективно действующей функции внутреннего аудита – для инвесторов это важные признаки прозрачности и эффективного корпоративного управления в вашем бизнесе.

Передовые практики

В области управления рисками, внутреннего контроля и внутреннего аудита существует множество стандартов, методологий и документов, описывающих принципы и подходы данных функций. Их изучение не принесёт особой пользы ни вам, ни вашим сотрудникам. Для понимания основных принципов вполне хватает базовой модели, на которой построено большинство методологий – Интегрированная модель внутреннего контроля (COSO IC) от 2013 года.

5.jpg

Следующие шаги – «режим диалога»

Моя статья является обзорной и призвана помочь вам упорядочить существующие знания в области управления рисками, внутреннего контроля и внутреннего аудита. В то же время наиболее полезным знанием являются примеры из опыта построения и управления данными функциями, чем я и буду рад с вами поделиться в следующих статьях. 



  • Facebook
Подписывайтесь на Telegram-канал @realistmedia