Функции такого комитета по управлению рисками, в частности, включают:
– Надзор за качеством, эффективностью и объективностью систем контроля и управлением рисками и эффективностью установленных политик и стратегий по управлению рисками.
– Обзор культуры, философии и стратегии управления рисками и установление политик, процедур процесса управления рисками и требований к процессу уведомления о рисках, используемых при управлении и уведомлении о риске.
– Обзор информации в отношении самых существенных рисков и соответствия шагов, принятых руководством и подразделениями для контроля данных рисков в рамках приемлемых лимитов.
– Обеспечение соблюдения политик, связанных с рисками, и общего профиля риска.
– Получение и ознакомление с обзорными отчетами от любой группы, которая осуществляет деятельность по оценке рисков, включая комитет по управлению рисками и службу внутреннего аудита.
На исполнительное руководство компании возлагается основная ответственность за создание и функционирование эффективной системы управления рисками и внутреннего контроля. При этом соответствующие процедуры должны предусматривать своевременное уведомление совета директоров о существенных недостатках в системе внутреннего контроля5.
В ряде компаний создается комитет по управлению рискамипри Правлении компании. Комитет подотчетен Правлению и действует в рамках полномочий, предоставленных ему Правлением. Решения комитета, принятые в пределах его компетенции, носят рекомендательный характер для Правления. Комитет по рискам при Правлении может выполнять следующие функции:
1. Помощь в выявлении существенных рисков посредством:
– вынесения на обсуждение любых существенных рисков, выявленных в течение прошлых периодов оценки;
– принятия во внимание любых внутренних или внешних обстоятельств, которые могут увеличить риск или вызвать новые риски.
2. Управление работами по периодической оценке рисков посредством:
– выявления участников процесса оценки рисков;
– обеспечения проведения оценки рисков, по крайней мере, один раз в год или при возникновении существенных изменений внешних или внутренних факторов;
– анализа результатов оценки рисков для выявления областей высокого риска, существенных концентраций связанных рисков и любых отклонений в результатах, которые могут потребовать дальнейшего изучения или анализа;
– подготовки отчетов по результатам оценки рисков для комитета по аудиту совета директоров.
3. Анализ, определение приоритетных областей и утверждение стратегий по смягчению рисков посредством:
– анализа отчетов по управлению рисками и определения областей, требующих стратегий по смягчению рисков;
– оказания необходимой помощи в разработке мер или планов мероприятий для снижения неприемлемого риска;
– анализа и/или разработки вариантов по смягчению рисков для контроля существенных рисков;
– утверждения тех проектов, которые необходимы для внедрения планов мероприятий по снижению рисков.
4. Мониторинг реализации мер по снижению рисков посредством:
– получения отчетов и осуществление последующих запросов в отношении реализации плана мероприятий по снижению рисков;
– предоставления рекомендаций для модификации и адаптации процесса управления рисками для обеспечения соблюдения требований совета директоров и руководства.
В ряде компаний (как правило, крупных) создается департамент по управлению рисками. Департамент по управлению рисками может осуществлять следующие функции:
– организация работы подразделения по управлению рисками;
– ежегодное формирование плана работы системы управления рисками;
– контроль за исполнением структурными подразделениями компании внутренних документов по управлению рисками;
– контроль за процессом выявления рисков/организация процесса выявления рисков компании (идентификация рисков и формирование реестра, в т. ч. выявление и регистрация новых рисков);
– формирование предложений по назначению владельцев рисков;
– контроль за ежегодным обновлением реестра рисков и карты рисков;
– формирование предложений для комитета по аудиту (рискам) в отношении величины приемлемого уровня риск-аппетита;
– контроль за осуществлением оценки выявленных рисков/осуществление процесса оценки рисков при участии экспертов компании.
Кроме того, существует также практика назначения так называемых риск-лидеров. Риск-лидер выступает в качестве координатора деятельности по управлению рисками внутри каждого подразделения компании, определенного в качестве участника процесса оценки рисков. Риск-лидеры не обязательно должны быть руководителями своих подразделений, обычно они назначаются из числа руководителей данных подразделений. Риск-лидеры должны обладать глубоким пониманием деятельности подразделений, процессов и персонала, уметь организовывать проекты и управлять ими. Если риск-лидер не является руководителем подразделения, он (она) назначается и получает полную поддержку от руководителя соответствующего подразделения.
Риск-лидеры выполняют или делегируют и управляют следующими видами деятельности:
– координация с руководством подразделения;
– поддержка деятельности комитета по управлению рисками;
– выявление и анализ рисков подразделения;
– составление отчетов по выявленным рискам внутри подразделения;
– активное участие в разработке стратегий, планов, мер и пр. по смягчению рисков;
– мониторинг и составление отчета для комитета по управлению рисками о прогрессе стратегий, планов, мер и пр. по смягчению рисков.
3. Элементы системы управления рисками
Эффективное управление рисками в компании необходимо не для того, чтобы успокоить акционеров или инвесторов, а прежде всего для повышения вероятности достижения целей организации. Из каких же элементов («кирпичиков») состоит эффективная система управления рисками?
Прежде всего, контрольная среда: это общая атмосфера и настрой в организации в отношении внутреннего контроля. Что думают сотрудники организации о важности контроля? Попробуйте спросить у ваших сотрудников, считают ли они необходимым и полезным наличие службы внутреннего аудита и необходимые регулярные проверки или считают эту деятельность «неизбежным злом», отнимающим время? Считают ли они честность и прозрачность необходимым условием деятельности или им ближе подход «не пойман – не вор»?
Контрольная среда является фундаментом для всей системы внутреннего контроля и управления рисками. Факторами, влияющими на качество контрольной среды, являются этические принципы, компетентность, честность сотрудников, этика и стиль управления руководства, распределение полномочий и ответственности, а также внимание и значимость, которую высшее руководство и совет директоров придают вопросам контроля. Что может сделать совет директоров для формирования эффективной контрольной среды?
– Сформировать правильную культуру, задающую «тон сверху» в отношении внутреннего контроля и управления рисками. Пока сами члены совета директоров и высший менеджмент не будут следовать установленным принципам, правилам и процедурам, вряд ли возможно убедить в необходимости этого рядовых сотрудников.
– Убедиться в том, что принципы и правила четко сформулированы и понятны сотрудникам компании. Для этого совет директоров может инициировать опрос сотрудников, создание или пересмотр внутренних документов компании: регламентов, процедур, кодекса этики компании.