Основополагающий формат COSO

В 1992 г. гак называемый Комитет спонсирующих организаций^[1] (COSO) выпустил в свет документ под названием «Внутренний контроль — Интегрированный формат» (Internal Control — Integrated Framework, ICIF, 1992). Главной целью авторов документа объявлялось стремление помочь коммерческим и другим организациям оценить и выработать пути развития своих систем внутреннего контроля. С тех пор идеи и рекомендации этого формата были включены в формулировки уставов, политик, правил и инструкций тысяч наиболее управленчески продвинутых фирм и учреждений во всем мире. Общее мнение всех компетентных специалистов состоит в признании того, что формат, безусловно, помогает принявшим его фирмам двигаться к устанавливаемым ими целям, какими бы они ни были. За прошедшие годы потребность в дальнейшей проработке формата COSO была осознана настолько, что в 2001 г. Комитет создал и профинансировал группу исследователей во главе с консультативной фирмой «ПрайсуотерхаусКуперс» {Pricewaterhouse Cooper), задачей которой было дальнейшее усиление формата в направлении его немедленной пригодности для использования руководителями фирм в деле оценки состояния и развития систем риск-менеджмента их фирм. Период работы этой группы (с 2001 г. по сентябрь 2004 г.) был наполнен серией крупных скандалов в экономиках разных стран, которые принесли огромные потери корпоративным инвесторам, персоналу компаний и отдельным акционерам. Последствием этого были многочисленные призывы к укреплению управляемости коммерческих организаций, совершенствованию управления и соответствующих законов, правил и стандартов. В то время потребность в унификации формата, развитии практичности ключевых принципов и концепций, выработке ясной общей для всех терминологии и методик осознавалась все больше и больше. В мае 2013 г. была выпущена обновленная версия этого стандарта, основной акцент которой сделан на интеграцию управления рисками в организациях {Internal Control — Integrated Framework). Авторы продвинутого формата COSO {Enteiprise Risk Management — Integrated Framework, ERMIF, 2004) стремились именно к тому, чтобы соответствовать всем потребностям. К этому же стремимся и мы в данной работе, стараясь приложить упомянутые идеи и форматы в сфере общения корпоративного коммерческого банка и его клиентуры. ERMIF2QQ4 не отменяет ICIFI992, а расширяет его, сохраняя его целостность и применимость в рамках более широкого подхода, который позволяет более всесторонне обустраивать риск-менеджмент на предприятиях. Рассмотрим продвинутый формат подробнее как основу организации содержательной работы служб риск-менеджмента фирм.

Исходное определение. Все организации сталкиваются с неопределенностью и соответствующим вызовом их руководству в смысле готовности определить, какую меру неопределенности оно готово принять в стремлении достигать своих целей {стратегических, операционных, учетных, целей соответствия законам и др.) и повысить стоимость акционерного капитала. Интегративный формат риск-менеджмента вооружает руководство фирмы инструментарием обнаружения, оценки и манипулирования рисками как частью процесса создания и защиты стоимости. Единственное, что можно добавить к этому определению, состоит в том, что ценности любой организации, оперирующей в системе, состоящей из множества других коммерческих и некоммерческих организаций, более многочисленны, и некоторые из них вряд ли сводятся только к стоимостным параметрам. Именно так можно трактовать систему ограничений, входящих в понятие рыночной дисциплины, явно включенное в установки соглашения Базель-2 и Базель-3, а также и риск несоответствия законам и правилам, имеющийся во всех организациях и иногда противоречащий прямолинейному увеличению акционерной стоимости. В число ценностей входят моральные ценности и устойчивость всей системы на разных ее уровнях, без защиты которых сама стоимость находится под глобальной угрозой краха системы.

Интегративный риск-менеджмент организации осуществляет:

• — взаимосогласована рискового аппетита и стратегии;
• — формирование решений по ответу на риски;
• — сокращение фактических операциональных сюрпризов и потерь за счет превентивной обработки их потенциалов;
• — совокупную (синергетичпую) обработку разнообразных рисков с позиций общих интересов организации;
• — выявление и захват возможностей;
• — рационализацию использования капитала.

Риск-менеджмент направляет:

• 1. Выравнивание рискового аппетита и стратегии.
• 2. Расширение возможностей ответа организации на риск.
• 3. Сокращение потенциала сюрпризов в процессе ведения бизнеса.
• 4. Сокращение потенциала и фактических размеров потерь от неожиданных и нежелательных обстоятельств и событий.
• 5. Идентификацию и согласование взаимосвязанных рисков.
• 6. Идентификацию и согласование межорганизационных рисков.
• 7. Проактивное обнаружение и использование благоприятных возможностей.
• 8. Улучшение использования капитала.

Не углубляясь в детальную критику приведенного списка (прежде всего с позиций его полноты), отметим, что возможности интегративного риск-менеджмеита в корпорациях, па наш взгляд, несколько шире. Однако для сохранения универсальности такого списка на уровне анализа любого коммерческого банка и любого его корпоративного клиента список вполне пригоден в качестве стартовой основы и может быть уточнен, расширен и детализирован под потребности конкретного банка, корпоративного клиента, конфигурацию конкретной сделки между ними и под совокупные характеристики клиентуры в целом.

Определения формата COSO в полной мере согласуются с описанием основ риск-менеджмента, данным нами в начале этой книги. Формат направлен на достижение целей организации в стратегических, операциональных и учетно-отчетных формулировках, а также в направлении соответствия установленным для данного бизнеса законам и правилам. Все эти частично пересекающиеся аспекты освещаются в нем с точки зрения защиты ресурсов организации. Отмечается, что соответствие законам и учетно-отчетная работа находятся практически полностью под контролем руководства организации, и соответственно усилия по риск-менеджменту в этих направлениях носят характер обязательных и почти гарантированных по результатам. Что же касается стратегических и операциональных сфер, то риск-менеджмент в них носит характер повышения уверенности в успехе, но не гарантий.

К компонентам риск-менеджмента в организации авторы формата COSO относят:

• — внутреннюю обстановку (Internal Environment)-,
• — объективные ограничения {Objective Settings)]
• — идентификацию событий {Event Identification)-,
• — оценку риска (Risk Assessment)-,
• — рисковый ответ (Risk Response)-,
• — систему контроля {Control Activities)-,
• — информацию и коммуникации {Information and Communication)-,
• — мониторинг {Monitoring).

Полный процесс риск-менеджмента на предприятии не является линейным — это интегративный, многосложный и разнонаправленный процесс, в котором практически каждый компонент способен повлиять на все другие. Четыре категории задач, четыре уровня управления корпорацией и восемь компонент системы риск-мепеджмента образуют трехмерную матрицу полного процесса риск-менеджмента в рамках формата COSO. Напомним еще раз, что авторы этого формата сознательно ограничивают себя рамками корпорации, хотя на самом деле полный формат интегративного управления коммерческой организацией в явной форме захватывает и внешнюю среду. На основе трехмерной матрицы в рассматриваемом документе систематизируются методики и даются рекомендации по проектированию системы риск-менеджмента в масштабах всего предприятия.

В последние годы эта линия развития активизировалась выпуском в 2001 г. правительством Канады Интегрированного формата риска {Integrated Risk Format), а 2002 г. правительством Великобритании отчетаинструкции для органов государственного управления под названием «Риск: Развивая способность государства обращаться с риском и неопределенностью».

Стандарт по управлению рисками FERMA был разработан совместно с Институтом риск-менеджмента в Великобритании {The Institute of Risk Management), Ассоциацией риск-менеджмента и страхования {The Association of Insurance and Risk Management) и Национальным форумом риск-менеджмента в общественном секторе (The National Fomm for Risk Management in the Public Sector) и принят в 2002 г. Схема, заложенная в документе, служит основой для внедрения системы управления рисками. Эти стандарты управления рисками содержат: определение риска, рискменеджмента, объяснение внутренних и внешних факторов риска, процессов риск-менеджмента, процедуры оценки рисков, методы и технологии анализа рисков, мероприятия по управлению рисками, а также обязанности риск-менеджера. Согласно данному документу риск рассматривается как комбинация вероятности и его события, а риск-менеджмент — в качестве централизованной части стратегического управления организации. К примеру, основными функциями специалиста по рискам, согласно стандартам FFRMA, являются разработка и реализация программы управления рисками, координация взаимодействия различных структурных подразделений организации, разработка программ снижения внеплановых потерь и организация мероприятий, но поддержанию непрерывности бизнес-процессов.

В разработку этого стандарта большой вклад внесли профессиональные организации, занимающиеся вопросами управления рисками. Ключевая идея стандарта заключается в том, что принятие стандартов необходимо для достижения согласия по следующим вопросам:

• • используемая терминология;
• • процесс практического применения риск-менеджмента;
• • организационная структура риск-менеджмента;
• • цель риск-менеджмента.

Одним из немногих законодательно утвержденных стандартов в сфере управления рисками является Закон Сарбейнса—Оксли (Sarbanes-Oxley Act). Указанный американский закон рассматривает вопросы внутреннего контроля и достоверности финансовой отчетности, а также косвенно регулирует процесс управления рисками. В законе нет руководящих указаний по разработке конкретных процедур финансового контроля. Стандарт предлагает анализ поступающих данных о ходе процессов и проверку соответствия путем аудита. Если полученные результаты свидетельствуют о повышенном уровне риска, то необходимо применение документированных действий. Решая вопрос об использовании необходимых процедур финансового контроля, руководитель должен выявить, какие сделки могут быть рискованными. Если не учитывать риски, но кредитам и активам, то основными источниками финансовых рисков, согласно закону, служат:

• • точность исчисления доходов;
• • решения по закупкам и своевременность поставок;
• • управление продукцией;
• • затраты на рабочую силу и точность выполнения работ;
• • управление активами;
• • управление издержками;
• • точность счетов;
• • дебиторская/кредиторская задолженность.

Самый новый южноафриканский стандарт KING II считается образцом во всех отношениях. Он представляет собой сборник типовых решений в практике риск-менеджмента, постоянно пополняется и служит пособием для обучения риск-менеджеров. В данном стандарте не уделяется внимание определенному специфичному бизнесу и корпоративному управлению, но в то же время доступно выражаются идеология процесса и желательные стадии.

В последнее время потребность многих предприятий в системе рискменеджмента возросла. К профессионалам пришло осознание того, что для создания эффективной системы управления рисками нужно выработать единые принципы риск-менеджмента. Но в связи с тем, что существует множество путей достижения целей управления рисками, объединить все направления в единый документ практически невозможно. Именно поэтому уже существующие стандарты управления рисками не призваны быть нормативными, но применение которых приведет к заполнению соответствующих форм или к началу сертификационного процесса. Следуя компонентам рассмотренных стандартов и выбирая при этом различные способы и методы, организации смогут достигать поставленных целей в плане риск-менеджмента. Компоненты уже существующих стандартов могут сформировать «лучшую практику» для конкретной компании. Ни один из известных стандартов не предназначен для прямого внедрения в практику отдельных организаций. Компаниям необходим внутрифирменный стандарт, помогающий составлять регламенты и инструкции, определяющие:

• • принципы взаимодействия между структурными подразделениями компании в управления рисками;
• • четкое разделение функций, полномочий и ответственности между подразделениями компании в сфере управления рисками;
• • систему контроля и полномочия контролирующих структурных подразделений;
• • нормы и требования по операциям, несущим риск.

Существующие в основном зарубежные стандарты построения системы риск-менеджмента, как показывает практика, применимы в российской реальности лишь частично. 11 сентября 2012 г. на заседании Комиссии Российского союза промышленников и предпринимателей (РСПП) по профессиональным стандартам был рассмотрен и утвержден профессиональный стандарт «Управление рисками (риск-менеджмент) организации». Этот, возможно, первый в России утвержденный стандарт профессии рискменеджера, но мнению его авторов, разрабатывался исходя из стремления повысить статус профессии, внедрить современные требования к ней, гармонизировать требования и существующую нормативную базу.

В последние годы в России отчетливо проявилась тенденция к массовому тиражированию международных стандартов, изданных за рубежом 10—15 лет назади касающихся преимущественно техногенных опасных факторов. К их числу следует отнести ГОСТ 27.310−95 «Анализ видов, последствий и критичности отказов»; ГОСТ Р 51 333−99 «Безопасность машин. Основные принципы конструирования. Термины, технологические решения и технические условия»; ГОСТ Р 51 901;2002 «Управление надежностью. Анализ риска технологических систем», ГОСТ Р 51 897−2002 «Менеджмент риска. Термины и определения», а также ГОСТы ИСО/ТО 12 100−1 и 2−2002 «Безопасность оборудования. Основные понятия, общие принципы конструирования».

Русским обществом управления риском в качестве базового рассматривается Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров, который является совместной разработкой Института риск-менеджмента (ШАГ), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARAT) (2002 г.). В отличие от рассмотренного выше документа COSO в части применяемой терминологии данный стандарт придерживается подхода, принятого в документах Международной организации по стандартизации (Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения»), В частности, риск определяется стандартом как «комбинация вероятности события и его последствий».

В настоящее время национальные стандарты действуют в Австралии и Новой Зеландии (AS/NZS 4360, принят в 1995 г., дорабатывался в 1999 и 2004 гг.), Канаде (CAN/CSA-Q850 — 97, принят в 1997 г.); Японии (JIS Q 2001, принят в 2001 г.), Великобритании в сфере управления проектными рисками (55−6079−3:2000, принят в 2000 г.). Отдельные разработки в данной области проводятся и в ряде других стран (например, Норвегии, где действует, в частности, стандарт Z-013 «Анализ готовности к риску и возникновению аварийных ситуации», разработанный для нефтегазовой индустрии).

В 2002 г. в целях унификации терминологии в области управления риском, в том числе и при разработке стандартов на различных уровнях, вступило в силз' Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения» (1SO/IEC Guide 73 Risk Management Vocabulary Guidelines for use in standards).

Следующим уровнем развития стандартизации в области риск-менеджмента является развитие общего стандарта ИСО в области управления рисками — стандарта ИСО 31 000 «Риск-менеджмент — Принципы и руководства по применению» (Risk Management — Principles and guidelines on implementation), разработку которого осуществляет Рабочая группа по стандартизации в области риск-менеджмента (состоит из представителей национальных органов по стандартизации 26 стран). Одновременно осуществляется пересмотр стандарта Руководство ИСО/МЭК 73:2002, разработка стандарта ИСО/МЭК 31 010 «Риск-менеджмент — Руководство по оценке риска» (ISO/IEC 31 010 Risk Management — Risk assessment guidelines)^[2]. За основу при подготовке проекта стандарта ИСО 31 000 разработчиками был принят рассмотренный выше стандарт Австралии и Новой Зеландии.

Американские риск-менеджеры руководствуются методическими стандартами Национальной ассоциации страховых уполномоченных (National Association of Insurance Commissioners). Допускается з’точнение этих стандартов под конкретные рисковые ландшафты фирм. Аналогичные стандарты имеют Австралия, Южноафриканская Республика и другие страны. Британские риск-менеджеры разработали свои стандарты:

• • BS 25 999−1:2006 «Управление непрерывностью бизнеса — Часть 1: Практические правила». Определяет процесс, принципы и терминологию в области управления непрерывностью бизнеса, закладывая основы для понимания, разработки и внедрения системы непрерывности бизнеса в организации и обеспечения уверенности в ее надежности со стороны клиентов и партнеров. Описывает всеобъемлющий набор механизмов контроля и охватывает весь жизненный цикл процесса управления непрерывностью бизнеса. Разработан специалистами-практиками, представителями всего мирового сообщества на основе передового опыта в данной области и пригоден для организаций всех типов и размеров;
• • BS 25 999−2:2007 «Управление непрерывностью бизнеса — Часть 2: Спецификация». В то время, как первая часть стандарта (BS 25 999−1:2006) содержит общие рекомендации по управлению непрерывностью бизнеса, вторая устанавливает требования к системе управления непрерывностью бизнеса, причем только те, соблюдение которых может быть объективно проверено. Используя эти требования, компании могут проводить оценку существующей системы управления непрерывностью бизнеса как самостоятельно, так и привлекая внешних консультантов. На основании именно второй части стандарта сертификационные органы будут выдавать заключение о соответствии системы управления непрерывностью бизнеса требованиям стандарта BS 25 999.

• [1] Этот Комитет создан пятью профессиональными ассоциациями American AccountingAssociation, American Institute of Certified Public Accountants, Financial Executives International, Institute of Management Accountants, The Institute of Internal Auditors.
• [2] По материалам официального сайта Международной организации по стандартизацииhttp://www.iso.org.