Организация системы управления рисками и внутреннего контроля в ПАО с 01.01.2021 согласно рекомендациям ЦБ

С 1 января 2021 года начали действовать рекомендации Банка России по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах. Более того, Центральный Банк уже сейчас (середина января) начал запрашивать документы об их реализации. Я выделил базовые рекомендации по организации управления рисками и внутреннего контроля.

Использование модели 3-х линий защиты:

  • Управление рисками владельцами бизнес-процессов.
  • Осуществление внутреннего контроля и надзора за управлением рисками.
  • Проведение внутреннего аудита эффективности системы управления рисками.

Наличие следующих компонентов:

  • С точки зрения риск-менеджмента
    • Корпоративное управление и культура (формирование культуры управления рисками и желаемое поведение в отношении управления рисками).
    • Стратегия и постановка целей (учет советом директоров внешних и внутренних факторов, которые могут повлечь за собой риски; установление риск-аппетита во взаимосвязи со стратегией и отдельными направлениями). 
    • Эффективность деятельности (проведение анализа портфеля и профилей рисков, приоритизация рисков по уровню их возможного влияния).
    • Анализ и пересмотр (анализ практики управления рисками, с тем чтобы оценить, насколько она способствует реализации стратегии и достижению поставленных целей, а также для определения направлений совершенствования управления рисками и внутреннего контроля).
    • Информация, коммуникация и отчетность (получение информации как из внешних, так и из внутренних источников).
  • С точки зрения внутреннего контроля
    • Контрольная среда (наличие стандартов, процессов и действий исполнительных органов, направленных на установление и поддержание эффективного функционирования внутреннего контроля).
    • Оценка рисков (применение риск-ориентированного подхода во внутреннем контроле, который подразумевает наибольшую активность, в областях с наиболее высоким уровнем рисков).
    • Контрольные процедуры (использование контрольных процедур, направленных на снижение рисков, препятствующих достижению его целей при этом, контрольные процедуры должны быть одним из основных видов воздействия на риск).
    • Мониторинг (осуществление мониторинга средств контроля в целях проверки их наличия и надлежащего функционирования).

При организации СУРиВК следование рекомендациям, данным в документе. Основные из них:

  • Интеграция со стратегией и другими документами.
  • Вовлечение в деятельность общества совета директоров.
  • Понимание каждым работником рисков и их вовлечение в процесс управления рисками и внутренний контроль.
  • Раскрытие информации о реализовавшихся рисках.
  • Повышение квалификации и уровня знаний у работников в области управления рисками и внутреннего контроля.
  • Наличие отдельных каналов коммуникации для передачи информации о нарушениях в области управления рисками и внутреннего контроля.

Формирование политики в области управления рисками и внутреннего контроля, которая

  • Содержит общие принципы и подходы к организации управления рисками и внутреннего контроля, цели и задачи СУРиВК.
  • Является основой для разработки внутренних методологических и организационно-распорядительных документов, регламентирующих организацию и осуществление управления рисками и внутреннего контроля и включает:
    • применяемые подходы и методы управления рисками;
    • порядок взаимодействия органов управления и работников, сроки выполнения отдельных процедур в области управления рисками и внутреннего контроля;
    • состав и порядок формирования отчетности в области управления рисками и внутреннего контроля;
    • порядок проведения оценки эффективности управления рисками и внутреннего контроля;
    • порядок определения риск-аппетита;
    • и другие.

Установление во внутренних документах ограничений системы управления рисками и внутреннего контроля. При этом необходимо учитывать, что

  • СУРиВК не способна обеспечить абсолютную уверенность в достижении целей.
  • К ограничениям СУРиВК относят:
    • ряд вопросов корпоративного управления выходит за рамки СУРиВК;
    • решения в отношении рисков принимаются на основе человеческого суждения;
    • возможны ситуации, когда внешние события могут оказать значительное воздействие и это воздействие не может быть уменьшено до приемлемого уровня;
    • возможны сбои СУРиВК вызванные рядом причин;
    • возможны сознательное нарушение (обход) СУРиВК в том числе с целью сокрытия данных о рисках;
    • отсутствие персональной ответственности исполнительных органов и работников за реализацию существенных проектов.

Распределение обязанностей и ответственности за принятие и реализацию решений в области управления рисками и внутреннего контроля между участниками СУРиВК. Для этого следует:

  • Прописать во внутренних документах зоны ответственности, полномочия органов управления и функции и зоны ответственности структурных подразделений в области управления рисками и внутреннего контроля.
  • Установить требования к компетенции руководителей и работников в области управления рисками и внутреннего контроля в рамках функционального направления деятельности.
  • Определить ответственность участников СУРиВК за выявление, оценку, учет рисков при принятии решений.
  • Определить порядок доступа участников СУРиВК к документам, информационным ресурсам и иной информации.
  • Определить порядок взаимодействия всех участников СУРиВК.
  • Прописать в уставе компетенцию и полномочия совета директоров и исполнительных органов в области управления рисками и внутреннего контроля.

Обеспечение формирования риск-культуры и контрольной среды, учитывая, что

  • Риск-культура должна отражать основные ценности, поведение и модель принятия решений и включает в себя желаемое поведение по отношению к риску, а также все элементы контрольной среды.
  • Формирование риск-культуры должно являться основополагающим фактором при обеспечении эффективного управления рисками с целью реализации стратегии и достижения целей.
  • Совет директоров и исполнительные органы должны подавать личный пример в разделении ценностей, поведенческой модели принятия решений, демонстрации и поддержании надлежащих практик управления рисками.
  • Необходимо формировать риск-культуру и повышение компетенции работников, совершенствовать систему мотивации, обеспечивать условия и поддерживать взаимодействие участников.
  • Нужно повышать уровень информированности всех участников СУРиВК относительно реализуемой политики в области управления рисками и внутреннего контроля.

Обеспечение определения и применения риск-аппетита, в частности

  • При установлении риск-аппетита учитывать общекорпоративный подход к определению приемлемости рисков.
  • Вести учет риск-аппетита на разных уровнях принятия решений.
  • Применять риск-аппетит для:
    • установления запретов и разрешений по величине риска, связанных с достижением бизнес-целей;
    • единого понимания приемлемых рисков на всех уровнях управления;
    • достижения стратегических и операционных целей за счет контроля риска в пределах допустимых границ.

Обеспечение интеграции управления рисками и внутреннего контроля в деятельность Общества, а именно:

  • При разработке (актуализации) стратегии выявлять риски, оценивать их влияние на достижение поставленных целей и включать в стратегию мероприятия по воздействию на них.
  • При формировании бюджетов подразделениям обеспечить выявление и оценку рисков, оказывающие непосредственное влияние на целевые показатели и на достижение целей.
  • Интегрировать управление рисками и внутренний контроль в процесс принятия управленческих решений как на организационном, так и на операционном уровне управления.
  • Определить риск-аппетит по отношению к портфелю проектов и допустимый уровень риска по отношению к отдельным существенным проектам.
  • Сформировать программы мотивации персонала по формированию персональной ответственности и понимания последствий решений с точки зрения рисков, а также мотивации поступать в соответствии с риск-культурой и установленным риск-аппетитом.
  • На регулярной основе выявлять и оценивать риски стандартных операций с целью определения и внедрения оптимального набора контрольных процедур.

Организация единообразия управления рисками и внутреннего контроля на подконтрольные общества, включающая:

  • Обеспечение методологического единообразия и гармонизации используемых подходов.
  • Определение подхода к формированию портфеля и профилей рисков в холдинге.

Проведение оценки эффективности управления рисками и внутреннего контроля. Для этого следует:

  • Рассматривать вопросы организации, функционирования, эффективности управления рисками и внутреннего контроля советом директоров не реже одного раза в год.
  • Определить форму и периодичность проведения оценки управления рисками и внутреннего контроля.
  • Проводить внутреннюю оценку эффективности управления рисками и внутреннего контроля с целью подтверждения организации и осуществления управления рисками и внутреннего контроля в соответствии с внутренними документами и установленными регулирующими органами требованиями.
  • Организовать периодическую внешнюю оценку эффективности управления рисками и внутреннего контроля.

Кроме того, необходимо организовать внутренний аудит, сформировать и обеспечить эффективную работу комитету по аудиту. Более подробно в документе Информационное письмо Банка России от 01.10.2020 N ИН-06-28/143 «О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах»