«От поддержки финансового директора во многом зависит успех системы управления рисками, ведь немалая часть рисков относится именно к финансовой сфере», – отмечает Сергей Мартынов. Именно поэтому финансовый руководитель должен четко представлять, каким образом следует организовать взаимодействие внутреннего аудита и риск-менеджмента в компании и как ему работать с этими службами.
– Сергей, существует точка зрения, что деятельность риск-менеджеров и внутренних аудиторов дублируется. Что Вы думаете по этому поводу?
– Это не так. Действительно, общим между риск-менеджментом и внутренним аудитом является деятельность по оценке рисков, то есть у них общая задача – содействовать достижению целей, стоящих перед организацией, за счет постоянного сокращения рисков, снижения угроз. Но при этом существует и огромная разница. Внутренний аудит независим от менеджмента компании, а риск-менеджмент – часть операционного бизнеса. Соответственно, каждая из сторон использует различные подходы к оценке рисков.
Риск-менеджер проводит анализ риска без рассмотрения причин, вызвавших этот риск, используя в основном вероятностные оценки. Его деятельность скорее направлена на то, чтобы минимизировать возможность реализации риска.
Внутренний аудитор, наоборот, в большей степени заинтересован в выявлении причин, приведших к реализации риска, он оценивает риски, связанные с неэффективностью контрольных процедур.
Существуют и другие различия между внутренним аудитом и риск-менеджментом. Так, риск-менеджер имеет право принимать решение о воздействии на риск, а внутренний аудитор – нет. Владельцем процесса и основным потребителем информации риск-менеджмента является исполнительное руководство компании, а внутренний аудит – это инструмент cовета директоров1.
– В чем заключается выгода от совместной деятельности риск-менеджмента и аудита для бизнеса в целом?
– Даже если не говорить о том, что, постоянно совершенствуя процессы и качество управления, компания повышает собственную конкурентоспособность, нарабатывает положительную деловую репутацию, становится более привлекательной для инвесторов, то самая очевидная выгода – это сокращение затрат. Внутренний аудит позволяет сократить расходы риск-менеджмента на определение и мониторинг рисков за счет предоставления информации о вновь выявляемых рисках и оценки эффективности мероприятий по управлению ими. Полученные от риск-менеджеров карты и каталоги рисков2 в свою очередь позволяют внутренним аудиторам лучше планировать будущие проверки, ведь можно сосредоточить усилия на тех подразделениях, где риски особенно высоки. В итоге трудоемкость операций снижается, затраты времени и средств уменьшаются. Сокращение затрат для компании означает повышение эффективности.
Справка
Сергей Мартынов с августа 2005 года занимает пост руководителя службы внутреннего контроля и аудита ОАО «СУЭК», крупнейшей в России угольной компании. Имеет квалификации сертифицированного аудитора информационных систем (CISA), сертифицированного внутреннего аудитора (CIA), является действительным членом американского Института управления проектами (PMI). Обладает более чем десятилетним опытом работы в области внутреннего аудита и контроля, в том числе на предприятиях топливно-энергетического комплекса и в консалтинге. |
– Могли бы Вы дать несколько рекомендаций относительно распределения функций и полномочий риск-менеджеров, внутренних аудиторов, менеджеров функциональных подразделений?
– Исходя из собственного опыта, отмечу, что функции сотрудников всегда разрабатываются под цели подразделения. Если вы руководитель функционального подразделения – владелец риска, то ваша цель – осуществление мониторинга рисков и выполнение мероприятий по их минимизации. Если вы внутренний аудитор, то должны объективно оценить систему управления рисками, систему внутреннего контроля, выполняемые процедуры и пр. А цель риск-менеджеров – организовать объективную оценку рисков и управление ими. Под названные цели и определяются функции (типовой функционал и полномочия названных категорий сотрудников представлены в таблице на с. 46).
| Таблица Типовые функции и разделение полномочий в процессе управления рисками компании |
| Риск-менеджмент |
Внутренний аудит |
Менеджмент функциональных подразделений |
| Основная цель |
| Объективная оценка рисков и эффективное управление ими |
Независимая объективная оценка соответствия системы риск-менеджмента и адекватности контрольных систем задачам компании |
Организация мониторинга рисков и мероприятий по их минимизации |
| Функции и полномочия |
| Анализ причины наступления риска (при участии внутреннего аудита) |
Выявление рисков при проведении внутренних аудиторских проверок |
Выявление рисков в сфере компетенции подразделения; мониторинг их наступления и возможности реализации |
| Выявление причинно-следственной связи между рисками |
Оценка эффективности мероприятий по минимизации рисков (контрольных процедур) |
Разработка процедур мониторинга рисков, владельцем которых является подразделение |
| Ведение каталога и карт рисков |
Оценка уровня остаточного риска |
Разработка мер по снижению последствий «своих» рисков (до наступления рискового случая) |
| Организация оценки уровня рисков, ранжирование рисков по уровням принятия решений о воздействии на риск |
Оценка (рекомендации) уровня принятия решений по управлению рисками |
Выявление причин рисковых событий |
| Принятие решения об отнесении риска к сфере компетенции соответствующего подразделения (владельца риска) |
Оценка эффективности системы управления рисками |
Передача риск-менеджеру информации о причинах наступления «своих» рисков, последствиях, затратах на предупреждение и устранение последствий |
| Организация процессов принятия решений о воздействии на риск |
Консультации по совершенствованию системы управления рисками |
Реализация мероприятий по минимизации рисков |
– В каких организационно-распорядительных документах следует закрепить схему взаимодействия риск-менеджмента и внутреннего аудита?
– В каждом конкретном случае компания вправе решить этот вопрос самостоятельно исходя из собственных потребностей. Я бы порекомендовал предусмотреть соответствующие положения в порядке проведения внутренних аудиторских проверок, в методиках оценки рисков при проведении проверок, фактического и потенциального ущерба. Эти документы традиционно регулируют деятельность внутренних аудиторов.
Что касается подразделения риск-менеджмента, то здесь можно задействовать и само положение о подразделении, предусмотрев в нем, когда и в каких случаях сотрудники подразделения должны действовать совместно с внутренними аудиторами, порядок мониторинга рисков и принятия решений по управлению рисками.
Например, можно предусмотреть такую последовательность действий: получив от аудитора существенную информацию о рисках, риск-менеджер анализирует возможность наступления рискового события и величину ущерба. Затем для передачи всей существенной информации о выявленных рисках ему необходимо установить владельцев рисков и уровень принятия решения по управлению ими. То есть требуется определить, будет ли это уровень линейного подразделения, дочернего предприятия, генерального директора или совета директоров. Одним из самых эффективных способов передачи информации о потенциальных рисках может быть организация совещаний с руководителями подразделений.
Мнения практиков
Сергей Овчаренко, финансовый и административный директор по России и странам СНГ компании Motorola
Отдел риск-менеджмента, как правило, ориентирован на оценку и поиск способов снижения внешних рисков ведения и развития бизнеса. Внутренний аудит по определению имеет дело с рисками внутри организации. Эти подразделения дополняют друг друга, поскольку работают со всеми видами рисков. Финансовый директор – одна из ключевых фигур в процессе снижения рисков, но его влияние может быть ограничено структурой компании. Так, риск-менеджмент часто самостоятельное подразделение коммерческой организации, а внутренний аудит подчиняется финансовому или генеральному директору. В международных компаниях нередко внутренний аудит работает на региональном уровне, и финансовый директор вообще никак не участвует в управлении им. Он лишь следует инструкциям и процедурам, утвержденным для соответствующего региона.
Борис Меламед, директор Департамента внутреннего контроля ОАО «Группа компаний «Евросервис»
Степень взаимодействия внутреннего аудита и риск-менеджмента зависит и от сферы деятельности компании (банковский сектор, производство), и от структуры компании. Например, для такой управляющей компании производственного сектора, как наша, отдел риск-менеджмента может входить в состав подразделения внутреннего контроля, в отличие от банковского сектора, где подразделение риск-менеджмента, как правило, обособлено и входит в финансовый департамент. На мой взгляд, риск-менеджмент и внутренний аудит в своей работе идут навстречу друг другу, будучи нацеленными на общий результат – минимизацию всех возможных рисков и выстраивание системы внутрикорпоративного контроля таким образом, чтобы компания была максимально защищена от угроз в будущих периодах. |
– Каким образом, на Ваш взгляд, финансовый директор может посодействовать плодотворной деятельности риск-менеджеров и внутренних аудиторов?
– Финансовый директор является одним из ключевых менеджеров в компании. Пожалуй, это второй человек после генерального директора, действия и решения которого могут оказать значительное влияние на деятельность организации в целом.
Существует мнение, что финансовый директор должен быть и главным риск-менеджером на предприятии. На мой взгляд, это неправильно. Финансовый директор, как и любой другой топ-менеджер, должен отвечать только за риски, входящие в зону его ответственности. Соглашусь с тем, что от поддержки топ-менеджеров и главным образом финансового директора зависит успех системы управления рисками, ведь немалая часть рисков относится именно к финансовой сфере, равно как и успех внутренней аудиторской проверки может быть обеспечен, если финансовый директор окажет аудиторам всяческое содействие. Но вот внедрить эффективные процедуры управления рисками, сделать их частью системы корпоративного управления должен все-таки профессиональный риск-менеджер.
Беседовала Ирина Ордынская
________________________
1 О различиях между риск-менеджментом и внутренним аудитом читайте также в материале «Три кита, на которых держится финансовая стабильность компании» («Финансовый директор», 2007, № 3, с. 34 или на сайте www.fd.ru/fd). - Примеч. редакции.
2 Подробнее об этом см. статью «Постановка системы риск-менеджмента в компании» («Финансовый директор», 2007, № 5, с. 34 или на сайте www.fd.ru/fd). - Примеч. редакции.
