РАЗГРАНИЧЕНИЕ ФУНКЦИЙ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ И АУДИТА

Артём Ворончихин, член Института внутренних аудиторов

Опубликовано в книге «Управление рисками в России: 10 лет развития: сборник статей» / Рус. о-во упр. рисками; под общ. ред. В. В. Верещагина, А. Н. Елохина, М. А. Рогова, Т. Ю. Шемякиной, И. Ю. Юргенса. Москва: Деловой экспресс, 2013.

Любое предприятие, функция и, если говорить шире - не только о бизнесе, любой вид деятельности проходит различные стадии зрелости. На каждом этапе развития компании его собственники и руководство в том или ином порядке устанавливают приоритеты для более или менее широкого перечня целей, между которыми нужно распределить ресурсы. При этом, независимо от масштабов бизнеса и его отраслевой принадлежности - от небольшого продовольственного магазина до многоотраслевого транснационального конгломерата - капитан этого корабля осознаёт, что любому делу присущи риски, способные воспрепятствовать достижению поставленных целей. Соответственно, этими рисками нужно управлять. С другой стороны, как сама реализация проекта/стратегии, так и управление соответствующими рисками требуют ресурсов, использование которых необходимо контролировать.

Например, возьмем уже упомянутый продовольственный магазинчик на углу. Нам уже стала привычна форма "супермаркета" - организация торговли с открытой выкладкой товаров. К слову, трудно уже представить что-то иное независимо от группы товаров - она применяется сейчас практически повсеместно, от аптеки до магазина автозапчастей. Причина появления и господства такого формата очевидна - покупатель гораздо больше склонен к покупке, если есть возможность своими глазами увидеть товар, руками потрогать, при необходимости - ознакомиться с ингредиентами, прочесть инструкцию, тут же сравнить с аналогами. Одновременно для сопровождения процесса покупки в таком случае требуется гораздо меньше персонала - ведь клиент выбирает продукты (стройматериалы, одежду, да что угодно), взвешивает, кладет их в тележку и везет к кассе самостоятельно. Таким образом, экономятся ресурсы при максимизации выручки. Но это порождает и риски: возможность реализации товаров с истекающим сроком годности по прежней цене становится ниже, увеличивается процент порчи продуктов (особенно - овощей и фруктов), да и вероятность кражи растет. Соответственно, появляется необходимость в оценке  рисков, управления ими и контроле над всем процессом. Например, статистика естественной убыли товаров различных категорий и данные по динамике продаж помогают оценить риски оценить. Перечень возможных мер по управлению рисками и вовсе широк - снижение цен на сыр, срок годности которого истекает через три дня, упаковка фруктов в пластиковые коробочки стандартного веса, выкладка менее популярных товаров в более удобные места и т.п. Видеокамеры и наблюдатели-консультанты одновременно обеспечивают и сбор информации, и снижают вероятность некоторых рисковых событий, и обеспечивают общий контроль над эффективностью процесса в целом. Периодические проверки директора магазина позволяют увидеть всё происходящее взглядом со стороны, внести улучшения в бизнес-процессы, проконтролировать непосредственных участников процесса (продавцов) и выработать новые процедуры контроля и управления рисками, скорректировать и сами целевые ориентиры (скажем, уровень выручки на квадратный метр торговых площадей и на одного посетителя), и способы их достижения.

Как видим, даже в небольшой бизнес-единице управление рисками и внутренний контроль не просто являются близкими друг другу понятиями, но тесно взаимосвязаны, перетекают друг в друга и являются неотъемлемыми составляющими процесса управления в целом. С ростом масштабов деятельности и усложнения организационной структуры компании корректировок требует и управленческие процессы, а риск-менеджмент, внутренний контроль и внутренний аудит принимают форму организованной деятельности, имеющей свои принципы и способы функционирования и взаимодействия. При этом очень важно не превратить контроль в самоцель, когда бюрократические процедуры теряют связь с целями организации и уже неспособны помочь их достижению - т.е. теряется сам смысл контроля и управления рисками. В частности, известен пример компании General Electric, которая в середине 20-го века была близка к процедуре банкротства - в тот момент порядка 70% из 100 тысяч сотрудников компании занимались контролем друг над другом. Сейчас эта корпорация является одним из эталонов по организации системы внутреннего контроля, корпоративного управления и риск-менеджмента. Попробуем же разобраться, как наиболее рационально построить систему внутреннего контроля и управления рисками, чтоб эти функции взаимодополняли, но не создавали препятствий друг другу.

Бизнес-литература и теория управления обычно оперирует как минимум тремя взаимосвязанными понятиями - "риск-менеджмент", "внутренний контроль" и "внутренний аудит". Управление рисками по сути своей является среди них самой "старой" и развитой функцией, поскольку присуще любому бизнесу с момента появления товарообмена. Но при этом как "наука" или организованная форма работы риск-менеджмент гораздо моложе, скажем, внутреннего аудита: риск-менеджмент как профессия оформился в 1970-1980-хх годах, в то время как первая (и самая развитая) профессиональная организация внутренних аудиторов The Institute of Internal Auditors образована в 1941 г. и насчитывает к настоящему времени более 200 тысяч активных участников, а единая международная профессиональная сертификация Certified Internal Auditor, подтверждающая квалификацию внутреннего аудитора, учреждена в 1974г., в то время как ни одна существующая сертификация риск-менеджеров, к сожалению,  пока не получила всемирно признаваемого статуса.

Современная теория и практика (в частности, стандарты COSO ERM - Enterprise Risk Management, UK Corporate Governance Cadbury Act и другие) содержательно выделяют систему внутреннего контроля как наиболее широкое понятие, включающее в себя внутреннюю контрольную среду и корпоративное управление, собственно риски, их оценку и процедуры управления ими, включая контрольные процедуры как один из способов выявления и управления рисками.

Внутренний же аудит представляет собой функцию, параллельно с риск-менеджментом обеспечивающую эффективность системы внутреннего контроля и управления предприятием в целом. По определению Института внутренних аудиторов, внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации.

Главное отличие внутреннего аудита от "смежных" направлений, включая риск-менеджмент - независимость самой функции как предпосылка объективности, требуемой от аудиторов. В этом контексте независимость, согласно стандарту 1110 - это свобода от обстоятельств, которые угрожают способности добросовестно и непредвзято выполнять работу и ясно выражать и отстаивать свое мнение,  не подстраивая его под мнение других. Как правило, это обеспечивается посредством организационной структуры - подотчетности органу управления такого уровня, который позволил бы подразделению внутреннего аудита выполнять свои обязанности. На практике таким органом обычно является Совет директоров или другие представители собственника. Организационно, пожалуй, это главное отличие внутреннего аудита от других контрольных органов и функции управления рисками. Внутренний аудит несет ответственность за объективность своих заключений и содержательность рекомендаций по способам управления рисками, устранению недостатков, осуществляет мониторинг исполнения мероприятий, разработанных по результатам проверок или консультационных заданий, и их эффективности - то есть привели ли меры, разработанные менеджментом на основании рекомендаций внутреннего аудита, к снижению уровня рисков. Он может участвовать во внедрении  мероприятий, обычно - в качестве консультанта. При этом аудитор не принимает окончательного решения по способам управления рисками и устранения выявленных недостатков системы внутреннего контроля и не несет ответственности собственно за исполнительскую дисциплину при реализации данных действий. Но сама поддержка процесса идентификации, анализа, оценки и оптимизации ключевых рисков Компании может быть возложена на внутренний аудит наряду с подразделениями риск-менеджмента.

В любой организации независимо от ее размера и масштабов деятельности сложно представить, чтоб обязанности по повседневной оценке рисков и управлению ими были возложены на какой-то отдельный орган, будь то специализированное подразделение риск-менеджмента или департамент внутреннего аудита. Это неэффективно с точки зрения трудозатрат и экономически нецелесообразно - слишком много рисков и участков, на которых необходимо этими рисками управлять.

Управление рисками - неотъемлемая часть работы менеджмента. Возьмем любые виды рисков - от рисков охраны труда и промышленной безопасности до рыночных, финансовых и даже политических рисков. Тактику перехода, например, на спотовый рынок Китая в случае сокращения спроса на традиционных европейских рынках (например, при торговле сырьем) выбирает менеджер по продажам. При колебаниях курсов валют хеджирование финансовых потоков - инструмент, который может применить казначей или CFO компании. Оценку рисков, препятствующих безопасному выполнению работ, и предупреждение наступления рискового события и вовсе проводит каждый мастер производственного подразделения и сотрудник, непосредственно выполняющий работы. Например, при осуществлении ремонтных работ на заклинившем станке отключается как само аварийное оборудование, так и, если необходимо, рядом работающие механизмы. А при погрузочно-разгрузочных работах бригадир выбирает стропы по длине, крепости и способам крепления соответствующие грузу, лестницы с крюками или передвижные трапы в зависимости от типа транспортного средства.

Но выработку стандартов в области управления рисками, разработку корпоративных методик в отношении ключевых рисков, координацию работы по формированию внутренних нормативных документов в области риск-менеджмента, консолидацию данных по оценке рисков на уровне всего предприятия (в более крупных организациях - и далее на уровне сегмента/дивизиона и всей корпорации) и информирование менеджмента и Совета директоров о текущем статусе этой работы осуществляют специализированные подразделения риск-менеджмента. Эту деятельность можно сравнить с другой похожей функцией, являющейся важной частью организации производственного процесса - точно так же Техническая дирекция (отдел главного технолога и т.п.) занимается разработкой технологических карт и определением оптимальных способов выполнения операций производственными подразделениями - цехами, транспортными колоннами, ремонтными участками.

При этом в конечном итоге ответственность за создание, администрирование, оценку системы внутреннего контроля и управление рисками по-прежнему несет топ-менеджмент компании.

Деятельность по организации и функционировании системы внутреннего контроля и управления рисками можно представить в форме предлагаемой схемы, которая начинается  с целеполагания и через выявление, оценку рисков, определение возможных способов управления ими и использование этих инструментов приходит к мониторингу результатов деятельности системы, на основании которых вновь могут корректироваться цели компании и отдельных бизнес-процессов.

Ответственность же и обязанности основных участников процесса управления рисками принято распределять следующим образом:

Попробуем проиллюстрировать данный подход на простом примере рисков обеспечения производства (supply chain risks) по одной из товарных номенклатур горно-обогатительного комбината, входящего в вертикально-интегрированную металлургическую компанию.

Шаг 1. Установление стратегических целей.

Допустим, в качестве стратегической цели всей корпорации по предложению Правления Советом директоров утверждена цель по закреплению в течение трех лет в тройке лидеров по объемам производства и абсолютному размеру EBITDA на трех ключевых рынках. Эта же цель по  предложению Дирекции по стратегическому развитию рассматривается на заседании Правления горнодобывающего дивизиона и транслируется для "нашего" ГОКа. Как видим, цели прорабатывает менеджмент, утверждает - Совет директоров.   

Шаг 2. Каскадирование операционных целей.

Для укрепления рыночной позиции предприятию необходимо обеспечить определенный объем производства нужного потребителям качества - например, ежегодно 10 млн. т железорудного концентрата с содержанием железа не менее 69%. Эта операционная цель утверждается для производственных подразделений комбината Генеральным директором. В свою очередь, для "обеспечивающих" функций по представлению функциональных директоров также устанавливаются соответствующие задачи. В частности, коммерческой дирекции - обеспечить бесперебойное снабжение производства материалами и запчастями со средним сроком оборачиваемости запасов в 50 дней, ростом цен на ТМЦ и услуги не выше 3% ежегодно (т.е. ниже среднегодовых темпов инфляции). Операционными годовыми целями финансовой дирекции может быть среднегодовой размер оборотного капитала не более 70 млн. долларов США, и операционный денежный поток (для обеспечения необходимой ликвидности и достижения производственных показателей и показателей прибыльности), например, 300 млн. долларов США.

Шаг 3. Определение риск-аппетита и формирование реестра ключевых рисков.

Ежегодно корпоративным Управлением риск-менеджмента совместно с менеджментом предприятий и ключевыми руководителями дивизионов и корпоративного центра проводится работа по актуализации карты рисков холдинга. В результате данной оценки риск-менеджмент формирует предложения по включению в годовой реестр ТОП-20 наиболее существенных рисков и установлению уровня риск-аппетита - скажем, в размере 50 млн. долларов для группы компаний и 10 млн. долларов для отдельного предприятия. Эти предложения согласовывается с ключевыми менеджерами, проходят проверку Службы внутреннего аудита, рассматриваются на заседании Правления и утверждаются Советом Директоров.   

Шаг 4. Оценка рисков на уровне предприятий в разрезе операционных целей.

Одновременно на предприятии в рамках формирования бизнес-плана на следующий год менеджмент по каждому функциональному направлению проводит оценку рисков, способных повлиять на выполнение операционных целей. Работа проходит с привлечением для консультаций сотрудников централизованного Управления риск-менеджмента. Параллельно на основании этой оценки формируется Службой внутреннего аудита по согласованию с риск-менеджерами и менеджментом на местах составляется годовой риск-ориентированный план аудиторских проверок.

В частности, в ряду операционных рисков горнодобывающего предприятия существенным является обеспеченность крупногабаритными шинами для карьерной техники - самосвалов, погрузчиков, колесных бульдозеров. Годовое потребление шин превышает тысячу штук, а стоимость каждой покрышки может превышать 40 тыс. долларов. В мире всего несколько заводов, производящих такую продукцию, и квоты на поставку распределены по потребителям на несколько лет вперед. Соответственно, исходя из ситуации, можно выделить два риска - сбой поставок и необеспечение надлежащих условий хранения и эксплуатации уже закупленных шин. Указанные риски потенциально могут превысить порог риск-аппетита предприятия, а в своих крайних проявлениях - и риск-аппетит Группы. Соответственно, степень внимания к управлению этими рисками со стороны как руководства предприятия, так и риск-менеджмента будет высоким. Вопрос условий хранения шин также войдет в годовой план деятельности внутреннего аудита.

Шаг 5. Выбор способов реагирования на риск и процедур управления рисками.

Перечень доступных мер по управлению риском сбоя поставок в условиях монопольного рынка и конкуренции потребителей между собой не представляется широким: долгосрочные контракты являются неотъемлемой характеристикой этого рынка. В качестве дополнительной меры можно рассматривать заключение контракта на восстановление использованных шин: под наблюдением производителей продукции (Michelin, Bridgestone) такие услуги оказывают несколько десятков предприятий по всему миру, и создание аварийного запаса восстановленных шин для предотвращения простоев в случае форс-мажора выглядит разумным и достаточным шагом. Ресурс восстановленных шин, разумеется, существенно ниже новых, а стоимость в пересчете на тонно-километр перевозок выше, поэтому рассматривать использование восстановленных шин как долгосрочную альтернативу новым не приходится, но в качестве мероприятия по управлению риском - вполне подходит.

Следующее направление - обеспечение условий хранения. Существуют отраслевые стандарты и рекомендации производителей, согласно которым следует избегать воздействия на шины перепадов температур ("прохождение через 0 градусов"), попадания осадков внутрь шины и хранения под углом. Идеальным является наличие закрытого вентилируемого склада со специальными стеллажами для вертикального хранения шин ("стоя", как в рабочем положении при установке на технику).    

Однако, разумеется, постройка такого склада довольно большой площади (порядка 1,5 тыс. кв. м только для самих стеллажей) с учетом необходимости обеспечения маневра достаточно крупногабаритной погрузочно-разгрузочной техники внутри него (высота шин - до 3,5 м) - мероприятие дорогостоящее и с учетом скорости оборота шин (в среднем - 3 месяца) менеджмент - коммерческий директор и начальники цехов-эксплуатантов принимают решение о выравнивании открытой площадки и возведении навеса. Производители дают заключение, что при условии хранения не более 4 месяцев данных мер будет достаточно. Принятое мероприятие выполняется, подразделение риск-менеджмента информируется коммерческой дирекцией об оборудовании склада с целью снижения рисков.  

Шаг 6. Проведение аудиторской проверки.

В течение года в соответствии с планом работы Служба  внутреннего аудита проводит проверку условий хранения шин на предмет эффективности выбранных менеджментом действий. В результате проверки выявляются недостатки: навес возведен, но с целью ускорения реализации проекта специальные стеллажи не были смонтированы, а использованы имеющиеся. Вследствие этого шины хранятся под углом сверх допустимого (45 градусов), некоторые шины имеют следы небольшой деформации. Кроме того, зная, что средний период оборачиваемости шин составляет три месяца, работники склада, экономя затраты на погрузку-разгрузку, берут ближайшие шины, а не первые поступившие. В результате пусть для небольшого количества покрышек, но сохраняется вероятность хранения более 4 месяцев. Аудиторами выявлено несколько шин (это легко сделать, поскольку они имеют идентификационные номера), хранившихся 6 месяцев.

В результате проверки аудиторы предлагают смонтировать стеллажи, организовать учет шин по срокам хранения и, соответственно, выдавать ТМЦ с самым ранним сроком поступления.

Шаг 7. Утверждение и реализация плана мероприятий.  

Руководство коммерческой дирекции предприятия решает, что наиболее дешевый и быстро реализуемый способ учета - наклейка цветных меток на шины, обозначающий квартал, в котором они были оприходованы на склад (например, зеленый, красный, синий, желтый). Соответственно, таким способом можно снизить риск длительного хранения шин буквально немедленно. Стеллажи заказываются к изготовлению в подрядной организации по чертежам производителя шин.

О реализованных мерах информируется подразделение риск-менеджмента и Служба внутреннего аудита.

Шаг 8. Информирование руководства и Совета директоров.

При подготовке квартальной отчетности для высшего руководства и Совета директоров Служба внутреннего аудита включает в отчет описание выявленных рисков с указанием мер, предпринятых менеджментом до  и после проверки для управления этими рисками. Отчет согласовывается с риск-менеджерами и руководством предприятия, рассматривается на заседании Комитета по аудиту Совета директоров. По итогам рассмотрения принято решение в течение года провести мониторинг ситуации.

Шаг 9. Мониторинг эффективности реализованных мер по управлению рисками.

В течение года, до ежегодной процедуры по актуализации карты рисков внутренний аудит проведет мониторинг - короткую проверку исполнения выбранных менеджментом мероприятий: установлены ли стеллажи, сколько времени хранятся шины, имеются ли в итоге деформации и т.п. В рамках актуализации карты рисков риск-менеджеры используют полученную от внутреннего аудита информацию для ранжирования рисков.

Организация цикла внутреннего контроля, включающего установление целей, выявления и оценки рисков, выработку и реализацию мер по управлению рисками, мониторинг эффективности этих действий позволяет своевременно реагировать на изменения внутренней среды и внешних обстоятельств, отслеживать актуальные и существенные риски как по отдельным процессам, так и в отношении глобальных, стратегических целей и, как следствие, корректировать деятельность компании в целом. Распределение же обязанностей и ответственности между менеджментом, подразделениями по управлению рисками и внутренним аудитом обеспечивают объективность и независимость этой оценки и наиболее действенный механизм совершенствования системы внутреннего контроля и управления рисками.