Мнение эксперта

Как следует проводить аудит и оценку риск-менеджмента

Время прочтения: 4 мин.

Несколько лет назад я писал, что Директор по аудиту, который не проводит аудит процесса риск-менеджмента в организации, должен сидеть за столом с детьми.

Данная фраза расстроила некоторых экспертов, включая весьма высокопоставленных.

Однако лежащая в основе этой фразы идея все же находит достаточное понимание во всем мире и даже является обязательным требованием, включенным в ряд кодексов корпоративной этики.

Если вы не управляете рисками эффективно (подразумевается, что рисками управляет целиком вся организация, а не только отдельно взятая функция), это значит, что вы едете по автомагистрали своей жизни, не глядя вперед.

Риск-менеджмент — это нечто большее, чем простой пересмотр на периодической основе наиболее существенных рисков. Ведь это то же самое, что нестись по шоссе и смотреть на дорогу только каждые 15-20 минут.

Риск-менеджмент — это:

  • определение правильных стратегий и постановка целей, которые приносят ценность тем, что ориентируют на возможные негативные сценарии (риски);
  • понимание того, как на достижение целей могут повлиять различные события и ситуации, с которыми менеджмент имеет дело при реализации стратегий;
  • действия, направленные на изменение вероятности и влияния этих событий и ситуаций с учетом того, что они могут иметь многочисленные последствия, как положительные, так и негативные;
  • обеспечение уверенности в том, что решения являются разумными и принимаются на основе полной информации. Это касается принятия и изменения стратегий или реализации их в рамках ежедневного управления всем предприятием. Например, идентификация правильных рисков и адекватная оценка их уровня;
  • мониторинг и отчетность, чтобы члены Совета Директоров и топ-менеджмент понимали не только существенность источников риска, но и способны они (или нет) достичь каждую цель.

Вы можете проводить аудит и оценку риск-менеджмента несколькими способами. Например, это:

  • аудит соответствия корпоративным политикам и процедурам, определяющим риск-культуру;
  • оценка зрелости процесса управления рисками с помощью одной из доступных моделей (несколько моделей оценки представлено в моей книге «World-Сlass Risk Management»);
  • оценка того, насколько риск-менеджмент соответствует принципам эффективности (описаны в ISO31000:2009 и в COSO ERM 2017). Лично я предпочитаю риск-ориентированный и целевой подход к аудитам. Целью здесь является удержание риска на желаемом уровне. Существуют многочисленные риски, препятствующие достижению этой цели.
    Например, неспособность:
  • включить нужных людей в процесс принятия «рискованных» решений;
  • получить надежную и своевременную информацию, на основе которой принимаются решения;
  • принять во внимание когнитивные искажения, которые могут повлиять на оценку рисков на уровне индивидуума или группы;
  • обеспечить желаемый подход к управлению рисками (из-за влияния культуры организации, расположения, функции или бизнес-единицы);
  • получить согласие со стороны всех ключевых должностных лиц на всех уровнях управления.

Далее перечислены те действия, которые я рекомендую любому, кто намеревается проводить аудит и оценку риск-менеджмента:

  • Понять риск-менеджмент и его принципы. ISO31000:2009 и 2017 COSO ERM Framework – это только два возможных источника информации, но я бы также рекомендовал свою книгу и книгу Джона Фрейзера «Implementing Enterprise Risk Management: Case Studies and Best Practices».
  • Понять, что организации нужно от риск-менеджмента.
    Следует начать с анализа того, как и где принимаются решения и учитываются риски. Знание о том, кто принимает решения и, следовательно, риски, критически важно для понимания процесса управления ими. Например, этот процесс централизованный или децентрализованный? Обладают ли отдельные лица достаточной автономией для самостоятельного принятия решений или решения основываются на консенсусе?
  • Какие риски могут препятствовать эффективному риск-менеджменту? Что может пойти не так? Что должно работать слаженно, для того чтобы обеспечить разумную уверенность в том, что проводится правильная идентификация и оценка рисков и их уровня? («Правильный» уровень означает желаемый и приемлемый для исполнительного руководства и Совета Директоров).
  • Какие контрольные процедуры существуют, чтобы управлять этими рисками?
  • Адекватен ли дизайн контролей?
    Если контрольные процедуры осуществляются, как задумано, есть ли разумная уверенность в том, что риски будут оставаться на желаемом уровне?
  • проводите тестирование контролей, чтобы получить уверенность в том, что они работают эффективно, в соответствии с их описанием;
  • оценивайте результат вашей работы.
    На каком этапе зрелости находится процесс управления рисками? Что может и что должно быть сделано, чтобы его улучшить при приемлемых издержках? Признайте, что одной из таких издержек может стать замедление процесса принятия решений и потеря операционных возможностей.
  • информируйте о результатах работы и своих инсайтах.

Это должно сработать.
Это обеспечит гарантию и глубокое понимание, действительно ли риск-менеджмент в вашей организации функционирует правильно, а не только того, соответствует ли он стандартам и политикам.

Ссылка на оригинал

Советуем почитать