[[slotProps.postItem.title]]
Оценка системы управления рисками и внутреннего контроля (далее – Системы) осуществляется с целью определения ее соответствия текущим потребностям и требованиям организации, а также поставленным перед Системой руководством и собственниками целям и задачам.
Согласно рекомендациям Центрального банка РФ (письмо публичным акционерным обществам от 01.10.2020 № ИН-06-28/143) управление рисками и внутренний контроль следует рассматривать в контексте единой системы управления рисками и внутреннего контроля, интегрированной в бизнес-процессы организации. Управление рисками начинается со стратегического уровня управления, предопределяя условия организации внутреннего контроля. Совету директоров и профильным комитетам при нем (при их наличии) рекомендуется на регулярной основе рассматривать вопросы функционирования Системы, а именно достигнутые результаты, показатели эффективности управления рисками и внутреннего контроля и планы по совершенствованию Системы.
В целях обеспечения эффективности управления рисками и внутреннего контроля организациям рекомендуется обеспечивать ежегодное проведение оценки управления рисками и внутреннего контроля. Формат и регулярность проведения такой оценки рекомендуется закрепить в политике в области управления рисками и внутреннего контроля.
При оценке эффективности управления рисками и внутреннего контроля необходимо принимать во внимание степень развития Системы и корпоративного управления, направления деятельности, особенности организационной структуры, архитектуру бизнес-процессов, отраслевое законодательство, требования регуляторов и другие аспекты.
Оценка эффективности Системы может быть:
1) внутренней:
- в рамках самооценки, проводимой структурными подразделениями организации, участвующими в процессах управления рисками и внутреннего контроля, при методологической поддержке подразделения, координирующего процессы управления рисками и внутреннего контроля;
- в рамках проведения аудиторских проверок Системы, проводимых независимым подразделением внутреннего аудита, подчиняющимся Совету директоров (периодичность и периметр оценки определяются, как правило, комитетом по аудиту / Советом директоров согласно нормативно-методическим документам в области управления рисками и внутреннего контроля организации);
2) внешней, проводимой организацией или индивидуальным предпринимателем, оказывающими подобные услуги (регулярность внешней оценки устанавливается руководством организации).
Целями проведения оценки эффективности Системы являются:
- определение эффективности и последовательности применения методов и инструментов, используемых в процессе управления рисками и внутреннего контроля;
- определение эффективности взаимодействия между участниками Системы;
- определение недостатков и зон развития Системы;
- разработка мероприятий для повышения эффективности Системы.
Для того, чтобы развитие Системы было планомерным и последовательным, рекомендуется на этапе ее внедрения сформировать дорожную карту / план развития Системы с указанием текущего и целевого уровня развития Системы, которого планируется достичь. Так, для отслеживания текущего уровня и прогресса зрелости Системы можно создать дорожную карту (план мероприятий с указанием временных периодов и уровней развития Системы, которых планируется достичь).
Методика проведения оценки
Методика проведения оценки Системы может различаться в зависимости от способа ее проведения. Рассмотрим далее общие подходы, которые можно адаптировать в конкретной организации. Оценка может быть проведена в соответствии с моделью COSO (Enterprise Risk Management) по компонентам системы внутреннего контроля и соответствующим им принципам:
1. Корпоративное управление и культура (Контрольная среда – Control Environment);
2. Стратегия и постановка целей (Оценка рисков – Risk Assessment);
3. Эффективность деятельности (Контрольные процедуры – Control Activities);
4. Информация и коммуникации (Информация и коммуникации – Information & Communication);
5. Анализ и пересмотр (Мониторинг – Monitoring Activities).
Для целей проведения оценки исполнителем (подразделением, координирующим процессы управления рисками и внутреннего контроля, внутренним аудитором, внешним консультантом и т.д.) формируется чек-лист, содержащий следующие разделы для проставления соответствующих оценок/баллов (например, от 0 до 1 или 1 до 10 и т.д.) на основании опроса руководителей структурных подразделений организации, профессионального суждения и т.д.:
1) в части организации системы управления рисками и внутреннего контроля:
- достаточно ли действующей нормативно-методологической базы для управления рисками, понимания внутреннего контроля и осуществления контрольных процедур: проходили ли работники подразделения обучение по управлению рисками и внутреннему контролю: эффективно ли работает ПО, обеспечивающее автоматизацию Системы, и др.;
2) в части выявления и оценки рисков:
- определены ли для подразделения измеряемые цели; выявлены и оценены ли все риски, связанные с достижением этих целей; вся ли информация по рискам включается в отчетность по рискам подразделения и др.;
3) в части контрольных процедур и реагировании на риски:
- оперативно ли отслеживаются факты реализации рисков и применяются стратегии реагирования; исполняются и актуализируются ли планы мероприятий по управлению рисками и др.;
4) обмен информацией и консультирование:
- достаточно ли эффективны имеющиеся каналы для обмена информацией и консультирования по вопросам управления рисками и внутреннего контроля и др.;
5) мониторинг:
- проводится ли периодический мониторинг рисков в установленные внутренними нормативными документами сроки; существуют ли затруднения или ограничения при анализе причин реализации рисков и их последствий и др.
По результатам сбора информации исполнителем формируется сводный отчет, консолидирующий полученные оценки в результирующее среднее значение. Для повышения информативности в отчете рекомендуется дополнительно пояснять наибольшие отклонения от среднего значения.
По результатам оценки также делается заключение о текущем уровне зрелости Системы. Далее рассмотрим основные уровни зрелости и соответствующие им характерные признаки[1]:
1) Базовый (управление рисками и функции внутреннего контроля носят случайный характер, зависящий от конкретных руководителей и сотрудников, Система не оформлена);
2) Фрагментированный (подход к анализу рисков определен на уровне организации, взаимосвязь недостатков внутреннего контроля и рисков устанавливается фрагментарно, отчетность по рискам не формируется, большое количество ручных контрольных процедур в бизнес-процессах);
3) Продвинутый (анализ рисков осуществляется в соответствии с регламентированным подходом, руководители принимают риск-ориентированные решения, бюджет и долгосрочный план развития (стратегия) формируются с учетом риск-ориентированного подхода и сценарного анализа, проведение мониторинга по управлению рисками на регулярной основе, регулярное обучение широкого круга работников);
4) Развитый (производится моделирование оценки рисков (сценарный анализ), система управления рисками и внутреннего контроля автоматизирована, создан электронный обучающий курс для сотрудников, большинство контролей в бизнес-процессах автоматизировано, процесс управления рисками внедрен в процессы бюджетирования, стратегического планирования, управления проектами).
По результатам оценки проводится анализ необходимости разработки корректирующих мероприятий и актуализации нормативно-методических подходов в процессах управления рисками и внутреннего контроля. Данные об оценке представляются на рассмотрение корпоративным органам управления. Таким образом Совет директоров своевременно информируется о текущем уровне зрелости Системы и обладает возможностью оперативно принимать решения при управлении рисками и осуществлении внутреннего контроля.
[1] Могут различаться в организациях в зависимости от вида деятельности, нормативных требований к Системе, архитектуры бизнес-процессов и т.д.
Автор: Дарья Бочарова
