Coso erm 2017

Модель улучшает понимание управления рисками и контроля с помощью разделения ролей и обязанностей. Ее основополагающая предпосылка заключается в том, что для эффективного управления рисками и контроля необходим надзор и управление высшего руководства и совета директоров в рамках трех отдельных групп (или линий защиты) в пределах организации (см.рис.18). Обязанности каждой из групп (или «линий») следующие:

  • 1. владение и управление рисками и контролем (первая линия — операционное руководство).
  • 2. отслеживание рисков и работы системы контроля в целях поддержки менеджмента (функции по управлению рисками, осуществлению контроля и обеспечению нормативно-правового соответствия, определенные менеджментом).
  • 3. обеспечение независимого подтверждения совету и высшему руководству эффективности управления рисками и системы контроля (внутренний аудит).

Рисунок 18. Взаимосвязь между целями, концепцией и моделью

Каждая из трех линий играет важную роль в определении концептуальных основ управления организацией. Если каждая из трех линий будет выполнять свою роль эффективно, то это повышает вероятность успешного достижения организацией своих целей.

Каждый человек в организации несет ответственность в рамках внутреннего контроля, но чтобы гарантировать надлежащее исполнение ключевых обязанностей, Модель вносит ясность в определение конкретных ролей и обязанностей. Если организация надлежащим образом построит структуру трех линий, и они будут эффективно работать, то это обеспечит отсутствие уязвимых мест и ненужного дублирования действий, а также гарантирует эффективное управления рисками и контроль. Совет директоров сможет получать объективную информацию о наиболее серьезных рисках организации — и о том, как менеджмент минимизирует такие риски.

Модель предусматривает гибкую структуру, которая может использоваться в дополнение к Концептуальным основам. Подразделения каждой линии защиты будут отличаться от организации к организации, а некоторые подразделения могут быть объединены или разделены по линиям защиты (см.рис.19). Например, в некоторых организациях подразделения по обеспечению нормативно-правового соответствия во второй линии могут быть вовлечены в разработку средств контроля для первой линии, в то время как другие составляющие второй линии сфокусированы, в основном, на отслеживании работы таких средств контроля.

Реализация принципов внутреннего контроля (от 1 до 17), изложенному в концептуальных основах COSO, для каждой линии защиты отражены в Приложении 5 настоящего издания.

Рисунок 19. Модель грех линий защиты1.

1 Три линии защиты в рамках эффективного правления рисками и контроля. Институт внутренних аудиторов, 2013.

Независимо от структуры трех линий защиты, созданной конкретной организацией, существует несколько основных принципов, используемых в Модели:

  • 1. Первая линия защиты возлагается на собственников бизнес- процессов, деятельность которых создает и/или регулирует риски, которые могут способствовать либо препятствовать достижению целей организации. Она включает выявление правильных рисков. Первая линия владеет рисками, и отвечает за разработку и использование средств контроля организации для управления такими рисками.
  • 2. Вторая линия предусмотрена для оказания поддержки руководству посредством консультирования, совершенствования процессов и отслеживания эффективности управления, наряду с первой линией, в целях обеспечения эффективного управления рисками и контроля. Подразделения второй линии защиты отделены от первой линии защиты, но находятся под контролем и управлением высшего руководства и обычно выполняют некоторые управленческие функции. Вторая линия неотъемлема для выполнения функции управления и/или надзора в отношении многих аспектов управления рисками.
  • 3. Третья линия обеспечивает подтверждение высшему руководству и совету относительно того, насколько усилия первой и второй линии соответствуют ожиданиям совета директоров и высшего руководства. Третья линия защиты обычно не может выполнять управленческие функции в целях защиты ее объективности и организационной независимости. Кроме того, третья линия отчитывается непосредственно перед советом. Как таковая, третья линия не выполняет управленческих функций, что отделяет ее от второй линии защиты.

Цель любой организации — достижение ее целей. Реализация таких целей включает использование возможностей, стремление к росту, принятие рисков и управление ими — все для развития организации. Неспособность принимать соответствующие риски, надлежащим образом управлять ими и контролировать может препятствовать достижению целей организации. Между двумя направлениями деятельности «создать ценность предприятия» и «сохранить ценность предприятия» существует и всегда будет существовать противоречия. Концептуальные основы предусматривают создание структуры для оценки риска и контроля для обеспечения их надлежащего регулирования и управления. Модель содержит руководство по созданию организационной структуры, распределению ролей и обязанностей между сторонами, что повысит эффективность управления рисками и контроля.

Концепция управления рисками по стандарту COSO ERM

В соответствии со стандартом COSO ERM «управление рисками организации» — это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации». Процесс управления рисками предприятия направлен на определение событий, которые могут повлиять на организацию, и управление связанным с этими событиями риском, а также на контроль того, чтобы не был превышен риск — аппетит организации и предоставлялась разумная гарантия достижения целей организации. Таким образом, в соответствии с вышеуказанной целью функция управления рисками организации должна решать следующие задачи:

• определить уровень риск — аппетита компании в соответствии со стратегией развития;

• совершенствовать процесс принятия решений по реагированию на возникающие риски;

• сократить число непредвиденных событий и убытков в хозяйственной деятельности;

• определить и управлять всей совокупностью рисков хозяйственной деятельности;

• использовать благоприятные возможности;

• рационально использовать капитал предприятий.

Компоненты управления рисками предприятия образуют так называемый кубик COSO:

• Внутренняя среда;

• Постановка целей;

• Определение событий;

• Оценка рисков;

• Реагирование на риск;

• Средства контроля;

• Информация и коммуникации;

• Мониторинг.

Рис 3. Кубик COSO

Эффективность системы управления рисками предприятия формируется в результате оценки наличия и эффективного функционирования 8-ми компонентов управления рисками по каждой из категории целей предприятия (стратегические цели, операционные цели, достоверность отчетности и комплаенс цели).

Процесс управления предприятия рисками состоит из следующих этапов:

• определение риск аппетита и уровня толерантности предприятия к рискам;

• идентификация и классификация рисковых событий;

• анализ и оценка рисков по сравнению с уровнем толерантности предприятия;

• ранжирование рисков и определение существенных и критических рисков;

• установление ключевых индикаторов рисков для существенных и критических рисков;

• выбор стратегии и мер управления существенными и критическими рисками;

• анализ эффективности мер управления рисками по отношению к затратам (влияние внедрения, влияние не внедрения и связанные затраты);

• внедрение мер управления рисками и их мониторинг;

• мониторинг значений ключевых индикаторов рисков;

• отчетность руководству.

К основным инструментам системы управления корпоративными рисками относятся:

• ведение базы рисковых событий путем сбора фактов рисковых событий и потерь предприятия и её анализ;

• качественная оценка рисков посредством самооценки рисков и контроля за ними экспертами и разработка Регистра и Карты рисков на их основе;

• количественная статистическая оценка рисков на основе фактических событий базы рисковых событий;

• создание системы раннего предупреждения: установление предупреждающих пороговых значений ключевых индикаторов риска для высокорисковых операций;

• установление жесткой системы лимитов для высокорисковых операций;

• диверсификация и страхование;

• учет риск — премии под ожидаемые риски в тарифах на продукты и услуги;

• формирование резервного капитала под неожидаемые риски;

• разработка плана корректирующих мероприятий и их мониторинг;

• моделирование сценариев будущих рисков (стресс-тестирование).

Рис 4. Усложнение системы управления рисками предприятия

Оставьте комментарий