В П Белякова - Iнтеграція процесів ризик-менеджменту та внутрішнього контролю - страница 1

Страницы:
1  2 

ВІСНИК ЖДТУ № 2 (56)

Економічні науки

ЕКОНОМІКА, ОРГАНІЗАЦІЯ І УПРАВЛІННЯ ПІДПРИЄМСТВОМ

УДК 005.334:005.584

Белякова В.П., аспір.,

Київський національний торговельно-економічний університет

ІНТЕГРАЦІЯ ПРОЦЕСІВ РИЗИК-МЕНЕДЖМЕНТУ ТА ВНУТРІШНЬОГО КОНТРОЛЮ

Досліджено теоретико-методологічні основи побудови систем ризик-менеджменту і внутрішнього контролю в компанії та їх інтеграції з метою прийняття обґрунтованих управлінських рішень

Постановка проблеми. В умовах кризи та посткризового розвитку національних економік світу перед комерційними структурами постають важкі задачі, що значною мірою перевищують по складності ті, з якими вони зіштовхувалися в період сприятливого розвитку. Зокрема, гостро постає необхідність ефективного управління змінами. Стратегія управління змінами включає процеси внутрішнього контролю та управління ризиками.

За даними аналітичних досліджень міжнародної компанії PricewaterhouseCoopers International Limited [6], при проведенні ризик-аудиту компаній - повномасштабного огляду системи управління ризиками та оцінки системи внутрішнього контролю - досить часто в їх роботі ідентифікуються такі проблеми: фрагментарна присутність елементів управління ризиками і внутрішнього контролю, що не поєднані в єдину систему; та відсутність зв'язку між елементами систем ризик-менеджменту і внутрішнього контролю з іншими процесами (від стратегічного планування, моніторингу результатів, документування бізнес-процесів і до корпоративної культури) в компанії. При цьому, навіть в умовах кризового та посткризового стану економік, для компаній ключовими напрямками у роботі залишаються наступні: досягнення поставлених стратегічних цілей та забезпечення зростання (принаймні стабільності) ринкової вартості акцій. Відтак, у змінному середовищі компанії мають акцентувати увагу на бізнес-процесах, які дозволяють досягати пріоритетних цілей, а системи ризик-менеджменту і внутрішнього контролю повинні бути націлені на забезпечення ефективності реалізації заходів з попередньою ідентифікацію ризиків та наступними способами реагування (впливу) на них - до прийняття управлінських рішень. Вищезазначене доводить актуальність детального розгляду питань щодо організації й роботи систем ризик-менеджменту і внутрішнього контролю компаній та розвитку теоретико-методологічних основ інтеграції таких процесів з метою прийняття обґрунтованих управлінських рішень в змінних умовах розвитку бізнесу.

Аналіз останніх досліджень та публікацій. Дослідженню проблематики внутрішнього контролю суб'єктів господарювання достатньо повно приділена увага у вітчизняній науковій літературі, зокрема розробкою зазначених питань займалися такі вчені як С.В. Бардаш, Ф.Ф. Бутинець, Н.Г. Виговська, Є.В. Калюга, М.Д. Корінько, В.Ф. Максімова, Є.В. Мних, В.П. Пантелеєв, Л.В. Сотнікова, В.О. Шевчук та ін. Організація та реалізація систем ризик-менеджменту в компаніях є менш дослідженою темою поміж українських вчених, а основна увага наукового пошуку закцентована на теоретичних основах такого процесу, зокрема на розкритті змісту поняття ризик, класифікаційних підходах, розгляді цілей, принципів, суб'єктів, переваг та недоліків методів управління ризиками, якісній оцінці ризиків. Більш вагомі результати досліджень питання ризик-менеджменту належать зарубіжним науковцям та профільним професійним організаціям і компаніям, у т.ч. Комітету організації-спонсорів Комісії Тредвея (COSO), Міжнародній асоціації фінансових керівників (FEI), Базельському комітету з банківського нагляду, PricewaterhouseCoopers International Limited, Deloitte Touche Tohmatsu Limited, KPMG International тощо. Незважаючи на вагомий науковий внесок вчених у цій сфері, питання організації та впровадження систем ризик­менеджменту і внутрішнього контролю в компаніях потребує подальшого дослідження й удосконалення, що і зумовило вибір теми статті та визначило її мету.

Мета дослідження. Полягає у детальному аналізі теоретико-методологічних основ побудови систем ризик-менеджменту і внутрішнього контролю в компанії та їх інтеграції з метою прийняття обґрунтованих управлінських рішень.

Викладення основного матеріалу дослідження. Питання організації і впровадження систем внутрішнього контролю на підприємстві досліджується достатньо давно як вітчизняними, так і зарубіжними вченими та отримало достатній розвиток, що підтверджується численними публікаціями теоретико-методологічного спрямування та практичними розробками. Проте сучасні тенденції розвитку економік країн світу, зокрема властиві швидкозмінні умови діяльності суб'єктів господарювання та достатньо часті прояви кризових явищ глобального характеру, призвели до фокусування більшої уваги дослідників на ризиках діяльності компаній та відповідному зміщенні акценту на здійснення внутрішнього контролю, орієнтованого на ризики.

Огляд літературних джерел, досліджень міжнародних консалтингових компаній і профільних організацій засвідчив, що протягом останнього часу все більше компаній приймають за основу систему контролю, орієнтованого на ризик, відому в професійному співтоваристві як модель COSO (Committee of Sponsoring Organizations of the Treadway Commission). При цьому під "ризиками" розуміють вірогідні події, які можуть негативно вплинути на бізнес-процеси. Згідно концепції контролю, орієнтованого на ризик, кожному виду діяльності властиві специфічні ризики і повністю уникнути їх практично неможливо. Тим не менш, необхідно вчасно ідентифікувати ці ризики і створити такі управлінські механізми, які при реалізації ризику сприятимуть пом'якшенню наслідків його впливу до прийнятного рівня. Відтак, внутрішній контроль - це та частина бізнес-процесу, яка забезпечує прийнятний для бізнесу рівень контрольованого ризику.

Запропонована у 1992 р. модель COSO ґрунтується на наступних базових передумовах: внутрішній контроль являє собою процес досягнення мети, а не самоціль; важливі не лише правила, процедури та відповідні документи регулятивного характеру, але й люди, що здійснюють внутрішній контроль на всіх його рівнях; від внутрішнього контролю власники і керівництво суб'єкта господарювання можуть очікувати лише обґрунтованого рівня досягнення поставлених цілей, але жодним чином не абсолютної гарантії безпомилкової роботи; внутрішній контроль забезпечує досягнення поставленої мети або декількох цілей у суміжних сферах діяльності [4].

Таким чином, згідно COSO, внутрішній контроль - це процес, контрольований вищим органом компанії, що визначає його політику (наприклад, наглядова рада, що представляє інтереси власників), та здійснюваний його управлінським персоналом (менеджментом) вищого рівня й всіма іншими співробітниками, що в достатній та обґрунтованій мірі забезпечує досягнення суб'єктом господарювання наступних цілей:

1. Бізнес-процеси організовані з максимальною ефективністю;

© Белякова В.П., 2011

2. Компанія працює фінансово ефективно у відповідності до затвердженої стратегії;

3. Фінансова звітність повністю достовірна;

4. Необхідний рівень якості продукції, товарів, робіт, послуг досягнуто;

5. Діяльність суб'єкта повністю відповідає чинному законодавству.

У загальному вигляді система внутрішнього контролю будь-якого суб'єкта господарювання згідно моделі COSO складається з п'яти основних взаємопов'язаних компонентів: середовище здійснення контролю, процес оцінки ризиків, контрольні процедури, інформаційні системи та комунікації, перевірка ефективності контролю (моніторинг) [4]. Відповідно COSO, ці компоненти забезпечують ефективну основу для опису та аналізу системи внутрішнього контролю, що реалізується підприємством.

За результатами діяльності COSO у сфері розвитку систем внутрішнього контролю з поглибленим акцентом на процесах управління ризиками компаній у 2004 р. з'явився стандарт CoSo ERM (Enterprise Risk Management), який представив до публічного обговорення та наступного впровадження інтегровану модель управління ризиками (модель COSO ERM). Базові положення стандарту є такі [1].

Основна передумова процесу управління ризиками полягає у тому, що кожна компанія існує з метою створення вартості для її зацікавлених сторін. Будь-який суб'єкт стикається з невизначеністю, а відтак - завдання вищого керівництва полягає у прийнятті рішення про рівень невизначеності, з яким компанія готова погодитись, прагнучи збільшити вартість для зацікавлених сторін. Невизначеність, з однієї сторони, приховує у собі ризик, а з іншої, відкриває можливості, тому вона може призвести як до зниження, так і до зростання вартості. Управління ризиками дозволяє ефективно діяти в умовах невизначеності та пов'язаних з нею ризиків і використовувати можливості, збільшуючи потенціал для зростання вартості компанії.

Зростання вартості буде максимальним, якщо керівництво визначає стратегію і цілі таким чином, щоб забезпечити оптимальний баланс між зростанням компанії, її прибутковістю та ризиками; ефективно і результативно використовує ресурси, необхідні для досягнення цілей організації.

Управління ризиками суб'єкта господарювання включає:

■ визначення рівня схильності до ризику у відповідності до стратегії розвитку;

■ удосконалення процесу прийняття рішень в частині реагування на ризики;

■ скорочення кількості непередбачуваних подій та збитків діяльності;

■ ідентифікацію та управління всією сукупністю ризиків діяльності;

■ використання сприятливих можливостей;

■ раціональне використання капіталу, у т.ч. позикового. Можливості, що створюються у процесі управління

ризиками, допомагають керівництву в досягненні цільових показників прибутковості та рентабельності, а також у запобіганні нераціонального використання ресурсів. Управління ризиками надає можливість забезпечити ефективний процес складання фінансової звітності, а також дотримання законодавчих та нормативних актів, уникнути нанесення шкоди репутації компанії і пов'язаних з цим наслідків. Таким чином, процес управління ризиками дозволяє керівництву досягати поставлених цілей і при цьому уникати (принаймні знижувати негативний вплив) прорахунків та несподіванок. Нами схематично представлено вплив процесу управління ризиками на діяльність компанії, зокрема реалізацію проектів (рис. 1). Так, за першого варіанту розвитку подій (умовно позначено на рисунку як І), ризик, що приймається суб'єктом господарювання є суттєво вищим, аніж за варіанту ІІ, при якому відповідальною особою попередньо було проведено аналіз властивих проекту ризиків, а керівництвом здійснено коригування задачі з урахуванням ризиків.

Рис. 1. Можливості зниження величини ризику компанії в умовах запровадження ризик-орієнтованої системи управління

Вплив подій на діяльність суб'єкта може бути позитивним, негативним або змішаним. Події, вплив яких є негативним, являють собою ризики, які заважають створенню чи ведуть до зниження вартості. Події, вплив яких є позитивним, можуть компенсувати негативний вплив ризиків, а також позитивно впливати на досягнення результату. Можливість - це ймовірність виникнення події, яка надасть позитивний вплив у процесі досягнення поставлених цілей і буде сприяти створенню або збереженню     вартості.     Вище     керівництво має розглядати виникаючі можливості при розробці стратегії та формуванні цілей і розробляти плани по їх оптимальному використанню.

Управління ризиками компанії спрямоване на управління ризиками і можливостями, що впливають на створення або збереження вартості. Управління ризиками суб'єкта господарювання - це процес, здійснюваний наглядовою радою (або іншим представницьким органом компанії), менеджерами і рядовими співробітниками, який розпочинається при розробці стратегії та охоплює всю діяльність суб'єкта.

Такий процес спрямований на визначення подій, які можуть впливати на компанію, і управління пов'язаними з цими подіями ризиками, а також контроль недопущення перевищення рівня схильності до ризику та надання обґрунтованої гарантії досягнення цілей.

Наведене визначення відображає важливі фундаментальні положення процесу управління ризиками:

■ являє собою безперервний процес, що охоплює всю компанію;

■ здійснюється співробітниками на всіх рівнях організації;

■ використовується при розробці та формуванні стратегії;

■ застосовується у цілому по компанії, на кожному її рівні та в кожному підрозділі, а також включає аналіз портфеля ризиків на рівні компанії загалом;

■ направлений на визначення подій, які можуть впливати на суб'єкт, та управління ризиками таким чином, щоб вони не перевищували готовності компанії приймати ризик (схильності до ризику);

■ надає керівництву та наглядовій раді обґрунтовану гарантію досягнення цілей;

■ пов'язаний з досягненням цілей по одному або за декількома напрямами діяльності (проектами), що є взаємозалежними.

Виходячи зі сформованої місії або бачення організації, вище керівництво встановлює стратегічні цілі, обирає стратегію діяльності та встановлює відповідні їм тактичні цілі. Стандарт COSO ERM розроблений таким чином, щоб сприяти у досягненні цілей компанії. Останні поділяють на 4 категорії: стратегічні цілі - цілі найвищого рівня, що відповідають місії / баченню компанії на ринку; операційні цілі - ефективного та результативного використання ресурсів; цілі у сфері підготовки звітності -достовірності звітності; цілі у сфері дотримання законодавства - дотримання відповідних законодавчих і нормативних актів.

Наведена класифікація цілей компанії дозволяє сконцентрувати увагу на окремих аспектах управління ризиками. Відмінні, проте взаємно пересічні категорії (окремо сформульована мета може потрапляти більш ніж в одну категорію) відповідають різним завданням компанії та можуть належати до сфери безпосередніх обов'язків різних керівників. Дана класифікація також дозволяє розмежовувати очікувані результати за різними категоріями цілей.

Оскільки досягнення цілей, що належать до сфер забезпечення достовірності звітності та дотримання законодавства й нормативних актів, знаходиться в межах внутрішнього контролю компанії, вважається, що управління ризиками забезпечує обґрунтовану гарантію їх досяжності [7]. У той же час, досягнення стратегічних та операційних цілей залежить від зовнішніх подій, які не завжди можуть бути повністю контрольовані компанією. Відповідно, відносно зазначених цілей, управління ризиками може надати лише достатню гарантію того, що керівництво та наглядова рада будуть вчасно проінформовані про динаміку досягнення мети.

Процес управління ризиками суб'єкта господарювання включає вісім взаємопов'язаних компонентів. Оскільки вони є складовою процесу управління, їх зміст визначається підходом вищого керівництва до управління суб'єктом. До цих компонентів належать нижченаведені [1].

Середовище здійснення контролю (control environment) створює атмосферу на підприємстві й визначає сприйняття та реакцію співробітників на властиві діяльності ризики. Воно включає філософію управління ризиками й схильність до ризику, порядність та етичні цінності, а також середовище їх взаємодії.

Постановка цілей (objective setting). Цілі повинні бути визначені до того, як керівництво почне виявляти події, які потенційно можуть вплинути на їх досягнення. Процес управління ризиками надає обґрунтовану гарантію того, що менеджмент підприємства правильно організував процес вибору та постановки цілей, і ці цілі відповідають місії суб'єкта та рівню його схильності до ризику.

Ідентифікація подій (event identification). Внутрішні та зовнішні події, що впливають на досягнення цілей компанії, повинні визначатися з урахуванням їх поділу на ризики або можливості. Можливості мають враховуватися вищим керівництвом у процесі формування стратегії та постановки цілей.

Процес оцінки ризиків (risk assessment) передбачає їх аналіз з урахуванням ймовірності виникнення і напрямку впливу на суб'єкт задля вжиття необхідних заходів. Ризики оцінюються з позиції поділу на властивий і залишковий ризики.

Реагування на ризик (risk response). Менеджмент обирає один із методів реагування на ризик - ухилення, прийняття, скорочення або перерозподіл, - розробляючи сукупність заходів, які дозволяють привести виявлений ризик у відповідність до допустимого рівня ризику й схильності до ризику компанії.

Контрольні процедури (control activities): розроблені політики і процедури впроваджені на підприємстві таким чином, щоб забезпечити обґрунтовану гарантію вчасності та ефективності реагування на виникаючі ризики діяльності.

Інформаційні системи та комунікації (information & communications) передбачають той факт, що необхідна інформація ідентифікується, фіксується і передається в таких формах та термінах, які дозволяють співробітникам виконувати їх функціональні обов'язки. Також здійснюється ефективний обмін інформацією в межах суб'єкта як по вертикалі структури, так і по горизонталі.

Моніторинг (monitoring): процес управління ризиками потребує оцінки якості роботи системи протягом визначеного часу. Це досягається шляхом постійного моніторингу діяльності або окремих оцінок. Недоліки управління ризиками, виявлені в ході таких контрольних заходів, слід доводити до відома керівництва й усувати для забезпечення безперервного вдосконалення системи.

Управління ризиками компанії не є лінійним процесом, в якому один компонент впливає на наступний. Він є багатовекторним, циклічним процесом, в якому майже всі компоненти можуть впливати і впливають одна на одну.

Існує прямий взаємозв'язок між цілями та компонентами процесу управління ризиками компанії, що являють собою дії, необхідні для їх досягнення. Такий взаємозв'язок нами представлено на тривимірній матриці, що має форму куба (рис. 2). Чотири категорії цілей -стратегічні, операційні, підготовки звітності та дотримання законодавства - наведені на верхній грані куба, вісім компонентів - горизонтальними рядами, а підрозділи суб'єкта - вертикальними. Даний рисунок відображає здатність розглядати управління ризиками загалом по компанії або за категоріями цілей, компонентами, підрозділами - на нижчих рівнях.

Середовище здійснення контролю І Постановка задач І і Ідентифікація подій і ІПроцес оцінки ризиків і Реагування на ризик Контрольні процедури Інформаційні системи та комунікації !       Моніторинг !

-Ж^

Рис. 2. Модель COSO ERM [побудовано за 1] Визначення "ефективності" процесу управління ризиками є предметом суб'єктивного судження, що формується в результаті оцінки наявності та ефективності функціонування восьми компонентів управління ризиками. Таким чином, ці компоненти також служать критеріями ефективності процесу управління ризиками. Щоб компоненти були наявні та ефективно функціонували, мають бути відсутні значні недоліки, а ризик - зведений до рівня, що не виходить за межі схильності до ризику конкретного суб'єкта.

Ефективність процесу управління ризиками по кожній з чотирьох категорій цілей надає наглядовій раді та керівництву компанії обґрунтовану гарантію того, що вони володіють інформацією про те, якою мірою досягнуті стратегічні й операційні цілі, а також того, що звітність компанії є достовірною, а відповідні положення законодавчих і нормативних актів дотримуються.

Виходячи із вищезазначеного, логічним постає висновок про те, що реалізація як внутрішнього контролю, так і процесу управління ризиками не є можливою без організації системи інформаційного забезпечення вказаних елементів. На нашу думку, до джерел інформації компанії в зазначеному контексті можуть бути віднесені наступні:

- фінансова та управлінська звітність;

- статистична інформація (у т.ч. первинна щодо стану та динаміки ринків, а також узагальнюючі дані з використанням показників VaR, C-FaR, EVA, SVA, EVT тощо);

- схеми матеріальних та інформаційних потоків;

- затвердженні внутрішні політики, правила та процедури;

- стандартизовані опитувальні листи;

- робочі наради;

- інформація нормативно-правового характеру, у т.ч. щодо середовища діяльності компанії, тощо.

Наведені вище джерела інформації охоплюють типове інформаційне поле процесів внутрішнього контролю та управління ризиками, при цьому за умов ідентифікації специфіки діяльності компанії представлений   перелік   може   бути   розширений до необхідних обсягів. Проте, у будь-якому процесові має бути забезпечено принцип "раціонального обмеження", сутність якого у даному випадку полягає у недопущенні перевищення витрат на збір, обробку та аналіз інформації вигод від її використання.

Незважаючи на те, що процес управління ризиками надає вагомі переваги, він має також і обмеження. Основні обмеження пов'язані з тим фактом, що суб'єктивне судження у прийнятті рішень може бути помилковим. Безумовно, рішення про метод реагування на ризик й створення контрольних процедур повинні враховувати співвідношення витрат і результату, проте проблеми можуть виникнути через прості помилки персоналу або вищого менеджменту. Наприклад, контрольні процедури можуть бути не виконані через змову двох або більше осіб, а керівництво може знехтувати рішеннями з управління ризиками. Ці обмеження не дозволяють наглядовій раді та вищому менеджменту мати абсолютну впевненість у досягненні поставлених цілей.

Враховуючи викладене, необхідно здійснити попередній розподіл повноважень та відповідальностей за елементами процесу управління ризиками між рівнями управління компанії. Запропонований автором підхід наведено на рис. 3.

Координаційний (вищий) рівень

Наглядова рада

• затвердження схильності до ризику, цільових показників ■ контроль ефективності системи ризик-менеджменту

Вище керівництво

Виконавчий рівень

Департамент, управління, відділ

• визначення цілей управління ризиками

• встановлення схильності до ризику, цільових показників

• загальне управління ризиками, затвердження програми заходів щодо зниження та/або оптимізації рівня ризику

• затвердження досягнутого рівня ризику

• збір поточної інформації від структурних підрозділів

• ідентифікація ризик-факторів

• виконання процедур аналізу та оцінки ризиків контроль рівня ризику та коригування небажаного розвитку

подій

• розробка заходів щодо зниження та/або оптимізації рівня ризику

• здійснення заходів щодо управління ризиками (після затвердження)

• визначення строків, форм та обсягів надання звітної інформації вищому керівництву

Рис. 3. Розподіл повноважень та відповідальностей за рівнями управління в компанії

Таким чином, модель COSO ERM стала логічним продовженням Концептуальних основ внутрішнього контролю (модель COSO). Основною метою даного процесу стала необхідність поглиблення акценту на процесах управління ризиками компаній. За результатами проведених досліджень вдалося встановити, що система внутрішнього контролю є складовою процесу управління ризиками. У той час, коли система внутрішнього контролю направлена на досягнення операційних цілей, підготовки звітності та дотримання законодавства, процес управління ризиками додатково включає складову стратегічних цілей та три компоненти процесу, направлені на постановку задач, ідентифікацію подій і реагування на ризик. У результаті, процес управління ризиками дозволяє наглядовій раді та вищому керівництву забезпечити зростання вартості компанії у часі, що не може бути досягнуто лише з використання системи внутрішнього контролю.

Страницы:
1  2 


Похожие статьи

В П Белякова - Iнтеграція процесів ризик-менеджменту та внутрішнього контролю