Е.Крылов 12.12.2007
- 2 -
Цели, которые могут быть достигнуты в результате внедрения управления рисками на ERM COSO.
Прежде всего, цели следует структурировать, как например, это сделано в модели:
- стратегические цели – цели высокого уровня, соотнесенные с миссией/видением организации;
- операционные цели – эффективное и результативное использование ресурсов;
- цели в области подготовки отчетности – достоверность отчетности;
- цели в области соблюдения законодательства – соблюдение применимых законодательных и нормативных актов.
Такая классификация целей организации позволяет сконцентрироваться на отдельных аспектах управления рисками организации, не теряя глобальной картины.
Как компоненты модели оказывают влияние на достижение целей?
Компоненты модели:
- Внутренняя среда. Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации, и как они на него реагируют. Внутренняя среда включает философию управления рисками и риск-аппетит, честность и этические ценности, а также ту среду, в которой они существуют.
Внутренняя среда – фундамент, на котором строится управление рисками, и по мере строительства нужно контролировать его состояние и, по мере необходимости, укреплять. Отсутствие контроля за сотрудниками вряд ли способствует поощрению честности...
Риски в значительной мере определяются внутренней средой предприятия. В течение проекта внутренняя среда неизбежно изменяется, поэтому необходимо итеративно возвращаться к этому компоненту.
- Постановка целей. Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс управления рисками предоставляет «разумную» гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей, и эти цели соответствуют миссии организации и уровню ее риск-аппетита.
Цели ставятся c с учетом анализа внешней и внутренней сред. Действия по достижению поставленных целей
неизбежно меняют внутреннюю среду. Поэтому необходимо вернутся к анализу
внутренней среды при планировании следующих шагов.
Но и постановка целей должна быть пересмотрена после внедрения следующих компонентов.
Постановка целей может существенно изменить атмосферу в организации (т.е. изменяется компонент «Внутренняя среда»). Если цели для подразделения «спущены сверху» и неясны сотрудникам, можно быть уверенными, что они не будут достигнуты. При этом очень важно выявить возможные противоречия между целями основных деловых процессов и процесса управления рисками.
- Определение событий. Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.
Выявление событий, которые нанести ущерб определяется поставленными целями и внутренней средой (в частности риск-аппетитом). Основная опасность – противоречие между стратегическими и операционными целями.
Выявляться должны только те события, которые могут оказать влияние на достижение поставленных целей. Руководство предприятия должно определить все факторы, способствующие происшествию этих событий. Конечно, ограничиться только внутренними факторами нельзя. На деятельность предприятия внешние факторы (политика, экономика) могут оказывать исключительно большое влияние. Однако необходимо найти баланс между глобальным и локальным взглядяами. Опасность не увидеть лес за деревьями велика, но слишком общий взгляд «сверух» (а иногда «свысока») не приведут к успеху.
События «местного масштаба» могут иметь глобальные последствия для всей организации. Согласование событий всех уровней- олна из задач внедрения.
- Оценка рисков. Риски анализируются с учетом вероятности их возникновения и влияния (“цена риска”) с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего? и остаточного риска.
Оценка вероятности риска и ущерба от его наступления должна производиться с учетом процедур реагирования на риски. Если какие-то события на уровне подразделения останутся незамеченными, это может существенно повлиять на вероятность их появления. В частности это может быть вызвано «расслабленностью» персонала. Вероятность риска зависит от атмосферы организации (риски могут быть “запланированы”), но если они выявлены, осведомленные сотрудники начинают себя вести более осмотрительно, что может понизить эту вероятность в будущем. В то же время может вырасти вероятность наступления иных рисков, которые не были выявлены или недооценены руководством.
Реагирование на риск. Руководство выбирает метод реагирования на риск - уклонение от риска, принятие, сокращение или перераспределение риска, - разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации.
При внедрении процедур реагирования на риск ожидаются снижение вероятности и ущерба риска. Но сами по себе процедуры не еще не являются гарантией. В качестве примера можно привести множество пожаров, когда хорошие процедуры просто игнорировались.
При выявлении события, которое моет быть отнесено к рискам, необходимо дать ответы на вопросы: «кто делает?», «что делает?», «когда делает?».
Средства контроля. Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.
Прежде всего, выбранные средства контроля не должны блокировать выполнение основных бизнес-процессов. Идеальный случай, когда выполнение операций совмещено с контролем. После принятия процедур, определяющих средства контроля, необходимо проанализировать, как они влияют на изменение внутренней среды (в частности, на моральный климат), на выявляемые события, на оценку рисков.
Информация и коммуникации.
Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали.
Необходимо учитывать культуральные и национальные особенности обмена информацией [5]. В любой культуре (и восточных и западных) вертикальный обмен информацией регламентируется традицией, поэтому и процедуры такого обмена при внедрении УР должны быть разными. Если в культуре предприятия отношения между сотрудниками имеют большую ценность, нежели исполнение формальных процедур, то внедрение процесса управления рисками неизбежно вызовет вопрос: Следовать процедурам или сохранить хорошие отношения с коллегами?
Мониторинг. Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.
Всегда есть противоречие во взглядах на проверки, “снизу” и “сверху”. Контроль осуществляют люди, их интересы могут не совпадать с корпоративными… Поэтому необходимо внедрять процедуры мониторинга с учетом локального контекста подразделения.
Определение необходимого объема мониторинга.
Лишние проверки могут значительно понизить производительность труда, и мониторинг будет просто лишен смысла, расхищать будет нечего.
Определение интервала мониторинга.
Частые проверки снижают производительность труда, с другой стороны, в промежутках между проверками вполне можно разорить предприятие. Конкретное решение зависит и от стратегии, от глобальных (по отношению к организации) факторов, и от локальных факторов. При внедрении УР необходимо найти баланс между требованиями по уменьшению рисков и эффективностью работы предприятия. Идеальный случай – совмещение операционного контроля и исполнения операций. Достоверность мониторинга зависит от морально-этической среды средств контроля.
Постоянный адрес статьи в Интернет: http://www.ispl.ru/Vnedrenie_ERM_COSO_2.html
Ключевые слова:
цели, erm coso, стратегические, операционные, подготовка отчетности, законодательство, определение событий, оценка рисков, цена рисков
Комментарии об ИТ
Главная
(C) Е.Крылов