Мнение эксперта

5 К (5 Cs), из-за которых руководители компаний и аудиторы лишатся сна

Время прочтения: 5 мин.
Ричард Чемберс

Автор статьи Ричард Чемберс знакомит читателей со своим опытом поездки в ЮАР, где он выступил на встрече членов Института директоров в Йоханнесбурге. В дополнение к обмену мнениями с лидерами корпоративного управления южноафриканских компаний Р. Чемберсу посчастливилось узнать кое-что об истории добычи алмазов в ЮАР.

Алмаз Эврика – это первый алмаз, найденный в ЮАР в 1867 году. Он совершил масштабный переворот в торговле алмазами и привёл к радикальным изменениям в отрасли. В течение 10 лет с момента открытия месторождения ЮАР стала центром индустрии, и мировая добыча алмазов увеличилась десятикратно.

История алмазодобывающей промышленности ЮАР служит ярким примером того, что инновационный прорыв всегда был неотъемлемой частью бизнеса. В наше время такой сдвиг часто связан с технологиями, поэтому в реальности он провоцирует масштабные и быстрые изменения. Р. Чемберс отмечает, что стремительность, присущая этому прорыву, которую автор назвал коррекцией (изменением) темпа, является существенным риском для всех организаций.

Другим переворотом в алмазной индустрии считается кампания, организованная Американским геммологическим институтом, разработавшим и применившим стандарты оценки качества алмазов в начале 40-х годов прошлого века. Нам знакомы 4 составляющие (4Cs) системы оценки бриллиантов: качество огранки (cut), чистота (clarity), цвет (colour), вес в каратах (carat). Такой простой подход к оценке качества стал революционным для того времени.

Обращаясь к лидерам корпоративного управления в ЮАР, Ричард Чемберс признался, что на фоне громких случаев банкротства корпораций он больше всего боялся вопроса: «А где были тогда внутренние аудиторы и руководство компаний?». Автор статьи поясняет, что нужно уделить пристальное внимание этой проблеме, и, исходя из 4 компонентов (4Cs) оценки качества алмазов, он предложил 5 «К» (5 Cs), которые прямо сейчас, в середине 2019 года, не дадут уснуть руководителям компаний и внутренним аудиторам.

  • Коррекция темпа (Change Velocity). Темп изменения напрямую влияет на скорость наступления рискового события. На риск воздействуют многие факторы: технологии, геополитика, природные катаклизмы. Всем участникам процесса управления рисками следует понимать, что стремительный инновационный сдвиг способен оказать значительное влияние на организацию. Риск в этом случае больше связан со способностью организации справляться с неожиданными поворотами.
  • Кризисное управление (Crisis Management). То, как компания преодолевает кризис, неразрывно связано с тем, как она к этому подготовлена. Поэтому важно, чтобы в организации была бдительная служба внутреннего аудита, имеющая активную позицию в отношении кризисного урегулирования. Служба предоставляет гарантии и сообщает о наличии планов готовности к чрезвычайным ситуациям и их достаточной гибкости, позволяющей справляться с внезапным потрясением, и эти планы должны быть надёжными и тщательно продуманными. Когда возникает кризис, внутренний аудит должен выступать гарантом того, что задача по урегулированию кризисной ситуации будет выполнена.

Автор отмечает, что так же, как и в случае с коррекцией темпа, организациям нужно обращать внимание на первые тревожные признаки приближающегося кризиса. Не менее важно, чтобы внутренний аудит помог компании найти позитивные стороны в негативной ситуации и не упустил момент превращения кризиса в благоприятную возможность.

  • Кибербезопасность (Cybersecurity). Чуть менее чем за десятилетие кибербезопасность из не вполне ясной IT-темы превратилась в существенный риск почти всех организаций. Вероятность финансового, репутационного, гражданско-правового ущерба растёт в геометрической прогрессии каждый год. Р. Чемберс подчёркивает, что риск-менеджменту и кибербезопасности, ещё 5 лет назад занимавшихся вопросами предотвращения кибератак, теперь приходится принимать меры в отношении неизбежных утечек данных, защиты информации, соблюдения жёстких законов и нормативных актов о конфиденциальности данных.
  • Комплаенс (Compliance). Соблюдение нормативных требований находится среди первых пяти рисков в перечне практически всех опросов руководства компаний. Кибербезопасность породила новую категорию требований комплаенс-риска для организаций, и были приняты такие постановления, как утверждённый Европейским союзом Общий регламент по защите данных (Europe’s General Protection Regulation), Калифорнийский закон конфиденциальности потребителей (California Consumer Privacy Act), которые предъявляют требования к защите данных о клиентах. Из-за этого новый уровень комплаенс-риска обещает стать ещё более сложным и жёстким, так как другие страны и регионы тоже принимают законы, направленные на защиту клиентских данных.
  • Культура (Culture). Автор поясняет, что риск в сфере культуры – один из тех видов риска, которые в большинстве случаев игнорируются, но тем не менее он является существенным, играя важную роль. Культура организации воздействует на все аспекты риск-менеджмента, начиная от усилий по пресечению фишинговых атак до способности организации собрать, осуществить управление, правильно использовать и защитить данные. Внутренний аудит должен приобрести опыт в сфере аудита культуры, и СВА также следует проконсультировать стейкхолдеров, чтобы они смогли оказать комплексное воздействие на все компоненты портфеля риска.

Завершая свою работу, автор приходит к выводу, что 5 «К» (5 CS), из-за которых все мы лишимся сна, связаны между собой естественным образом. Как коррекция темпа влияет на кризисное управление и предопределяет его ход, так и культура оказывает воздействие на кибербезопасность и комплаенс. Руководству нужно пребывать в состоянии повышенной готовности в отношении этих рисков, и внутренний аудит должен донести до стейкхолдеров информацию о сложной системе соответствующих рисков и быть готовым предоставлять гарантии и обеспечить детальный анализ, чтобы помочь организации ориентироваться в этих вопросах.

Очевидно, что компании должны создать такие системы управления рисками, которые позволят им сохранить конкурентоспособность на рынке. Эффективные компании формируют устойчивую культуру риск-менеджмента, способную реагировать на изменения рисков, минимизировать их и помогать организации добиваться успеха. На материале статьи Ричарда Чемберса «5 «К» (5 Cs), из-за которых руководители компаний и аудиторы лишатся сна» (Richard Chambers “The 5 Cs That Should Be Keeping Boards (and Auditors) Awake at Night”).

Советуем почитать