С 1 января 2021 года начали действовать рекомендации Банка России по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах. Более того, Центральный Банк уже сейчас (середина января) начал запрашивать документы об их реализации. Я выделил базовые рекомендации по организации управления рисками и внутреннего контроля.
Использование модели 3-х линий защиты:
- Управление рисками владельцами бизнес-процессов.
- Осуществление внутреннего контроля и надзора за управлением рисками.
- Проведение внутреннего аудита эффективности системы управления рисками.
Наличие следующих компонентов:
- С точки зрения риск-менеджмента
- Корпоративное управление и культура (формирование культуры управления рисками и желаемое поведение в отношении управления рисками).
- Стратегия и постановка целей (учет советом директоров внешних и внутренних факторов, которые могут повлечь за собой риски; установление риск-аппетита во взаимосвязи со стратегией и отдельными направлениями).
- Эффективность деятельности (проведение анализа портфеля и профилей рисков, приоритизация рисков по уровню их возможного влияния).
- Анализ и пересмотр (анализ практики управления рисками, с тем чтобы оценить, насколько она способствует реализации стратегии и достижению поставленных целей, а также для определения направлений совершенствования управления рисками и внутреннего контроля).
- Информация, коммуникация и отчетность (получение информации как из внешних, так и из внутренних источников).
- С точки зрения внутреннего контроля
- Контрольная среда (наличие стандартов, процессов и действий исполнительных органов, направленных на установление и поддержание эффективного функционирования внутреннего контроля).
- Оценка рисков (применение риск-ориентированного подхода во внутреннем контроле, который подразумевает наибольшую активность, в областях с наиболее высоким уровнем рисков).
- Контрольные процедуры (использование контрольных процедур, направленных на снижение рисков, препятствующих достижению его целей при этом, контрольные процедуры должны быть одним из основных видов воздействия на риск).
- Мониторинг (осуществление мониторинга средств контроля в целях проверки их наличия и надлежащего функционирования).
При организации СУРиВК следование рекомендациям, данным в документе. Основные из них:
- Интеграция со стратегией и другими документами.
- Вовлечение в деятельность общества совета директоров.
- Понимание каждым работником рисков и их вовлечение в процесс управления рисками и внутренний контроль.
- Раскрытие информации о реализовавшихся рисках.
- Повышение квалификации и уровня знаний у работников в области управления рисками и внутреннего контроля.
- Наличие отдельных каналов коммуникации для передачи информации о нарушениях в области управления рисками и внутреннего контроля.
Формирование политики в области управления рисками и внутреннего контроля, которая
- Содержит общие принципы и подходы к организации управления рисками и внутреннего контроля, цели и задачи СУРиВК.
- Является основой для разработки внутренних методологических и организационно-распорядительных документов, регламентирующих организацию и осуществление управления рисками и внутреннего контроля и включает:
- применяемые подходы и методы управления рисками;
- порядок взаимодействия органов управления и работников, сроки выполнения отдельных процедур в области управления рисками и внутреннего контроля;
- состав и порядок формирования отчетности в области управления рисками и внутреннего контроля;
- порядок проведения оценки эффективности управления рисками и внутреннего контроля;
- порядок определения риск-аппетита;
- и другие.
Установление во внутренних документах ограничений системы управления рисками и внутреннего контроля. При этом необходимо учитывать, что
- СУРиВК не способна обеспечить абсолютную уверенность в достижении целей.
- К ограничениям СУРиВК относят:
- ряд вопросов корпоративного управления выходит за рамки СУРиВК;
- решения в отношении рисков принимаются на основе человеческого суждения;
- возможны ситуации, когда внешние события могут оказать значительное воздействие и это воздействие не может быть уменьшено до приемлемого уровня;
- возможны сбои СУРиВК вызванные рядом причин;
- возможны сознательное нарушение (обход) СУРиВК в том числе с целью сокрытия данных о рисках;
- отсутствие персональной ответственности исполнительных органов и работников за реализацию существенных проектов.
Распределение обязанностей и ответственности за принятие и реализацию решений в области управления рисками и внутреннего контроля между участниками СУРиВК. Для этого следует:
- Прописать во внутренних документах зоны ответственности, полномочия органов управления и функции и зоны ответственности структурных подразделений в области управления рисками и внутреннего контроля.
- Установить требования к компетенции руководителей и работников в области управления рисками и внутреннего контроля в рамках функционального направления деятельности.
- Определить ответственность участников СУРиВК за выявление, оценку, учет рисков при принятии решений.
- Определить порядок доступа участников СУРиВК к документам, информационным ресурсам и иной информации.
- Определить порядок взаимодействия всех участников СУРиВК.
- Прописать в уставе компетенцию и полномочия совета директоров и исполнительных органов в области управления рисками и внутреннего контроля.
Обеспечение формирования риск-культуры и контрольной среды, учитывая, что
- Риск-культура должна отражать основные ценности, поведение и модель принятия решений и включает в себя желаемое поведение по отношению к риску, а также все элементы контрольной среды.
- Формирование риск-культуры должно являться основополагающим фактором при обеспечении эффективного управления рисками с целью реализации стратегии и достижения целей.
- Совет директоров и исполнительные органы должны подавать личный пример в разделении ценностей, поведенческой модели принятия решений, демонстрации и поддержании надлежащих практик управления рисками.
- Необходимо формировать риск-культуру и повышение компетенции работников, совершенствовать систему мотивации, обеспечивать условия и поддерживать взаимодействие участников.
- Нужно повышать уровень информированности всех участников СУРиВК относительно реализуемой политики в области управления рисками и внутреннего контроля.
Обеспечение определения и применения риск-аппетита, в частности
- При установлении риск-аппетита учитывать общекорпоративный подход к определению приемлемости рисков.
- Вести учет риск-аппетита на разных уровнях принятия решений.
- Применять риск-аппетит для:
- установления запретов и разрешений по величине риска, связанных с достижением бизнес-целей;
- единого понимания приемлемых рисков на всех уровнях управления;
- достижения стратегических и операционных целей за счет контроля риска в пределах допустимых границ.
Обеспечение интеграции управления рисками и внутреннего контроля в деятельность Общества, а именно:
- При разработке (актуализации) стратегии выявлять риски, оценивать их влияние на достижение поставленных целей и включать в стратегию мероприятия по воздействию на них.
- При формировании бюджетов подразделениям обеспечить выявление и оценку рисков, оказывающие непосредственное влияние на целевые показатели и на достижение целей.
- Интегрировать управление рисками и внутренний контроль в процесс принятия управленческих решений как на организационном, так и на операционном уровне управления.
- Определить риск-аппетит по отношению к портфелю проектов и допустимый уровень риска по отношению к отдельным существенным проектам.
- Сформировать программы мотивации персонала по формированию персональной ответственности и понимания последствий решений с точки зрения рисков, а также мотивации поступать в соответствии с риск-культурой и установленным риск-аппетитом.
- На регулярной основе выявлять и оценивать риски стандартных операций с целью определения и внедрения оптимального набора контрольных процедур.
Организация единообразия управления рисками и внутреннего контроля на подконтрольные общества, включающая:
- Обеспечение методологического единообразия и гармонизации используемых подходов.
- Определение подхода к формированию портфеля и профилей рисков в холдинге.
Проведение оценки эффективности управления рисками и внутреннего контроля. Для этого следует:
- Рассматривать вопросы организации, функционирования, эффективности управления рисками и внутреннего контроля советом директоров не реже одного раза в год.
- Определить форму и периодичность проведения оценки управления рисками и внутреннего контроля.
- Проводить внутреннюю оценку эффективности управления рисками и внутреннего контроля с целью подтверждения организации и осуществления управления рисками и внутреннего контроля в соответствии с внутренними документами и установленными регулирующими органами требованиями.
- Организовать периодическую внешнюю оценку эффективности управления рисками и внутреннего контроля.
Кроме того, необходимо организовать внутренний аудит, сформировать и обеспечить эффективную работу комитету по аудиту. Более подробно в документе Информационное письмо Банка России от 01.10.2020 N ИН-06-28/143 «О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах»