Современные тенденции корпоративного управления: риск-ориентированный подход к внутреннему аудиту/контролю Доклад подготовлен Сосновой К.Н. совместно с кафедрой банковского дела СПбГУЭФ Октябрь 2010г.
2 Риск-ориентированный внутренний аудит/контроль Концептуальные предпосылки и импульсы гг.: Глобальная ориентация международного бизнес-сообщества на риск- менеджмент Апрель 2004 г. - окончательное согласование странами - членами Организации экономического сотрудничества и развития (ОЭСР) документа «Принципы корпоративного управления» Июнь 2004г. - опубликовано Новое Базельское Соглашение по капиталу (Basel II) Октябрь 2004г. - опубликован доклад «COSO Enterprise Risk Model Integrated Framework», выстраивающий связь риск-менеджмента с внутренним контролем/аудитом (COSO, 1992) гг. - принципиальное усовершенствование методологических подходов рейтинговыми агентствами, в особенности Standard & Poor's, методологии «Рейтингов Корпоративного управления» и «Кредитных рейтингов корпоративного сектора». Август 2005г. - публикация Комитетом по МСФО нового стандарта МСФО IFRS7 «Финансовые инструменты: раскрытие информации» ориентация на риски
3 Риск-ориентированный внутренний аудит/контроль Концептуальные предпосылки и импульсы гг.: Россия: интеграция Банков в международное бизнес-сообщество Январь 2004г. - регистрация в Минюсте РФ нового Положения ЦБ РФ N242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (обобщение рекомендаций 2001г., 2002г.) Июнь 2004г. – публикация Письма ЦБ РФ 70-Т «О типичных банковских рисках»: официальная дата «рождения» профессии банковский риск- менеджер в России Сентябрь 2005г. - публикация Письма ЦБ РФ 119-Т «О современных подходах к организации корпоративного управления в кредитных организациях», концептуальное обобщение: рекомендаций Базельского Комитета (1998г., 1999г.), Организации экономического сотрудничества и развития (ОЭСР), подходов ФСФР из «Рекомендаций к применению Кодекса корпоративного поведения» (2002) и т.д.
4 Риск-ориентированный внутренний аудит/контроль Современные тенденции корпоративного управления: Расстановка и усиление акцентов в систематизированной концепции «COSO Enterprise Risk Model Integrated Framework» (2004) Доклад COSO: Guidance on Monitoring Internal Control Systems, (Практическое руководство в области мониторинга за эффективностью систем внутреннего контроля), 2009COSO Доклад COSO: Effective Enterprise Risk Oversight: The Role of the Board of Directors (Эффективный корпоративный надзор за управлением рисками: роль Совета директоров), 2009COSO Доклад COSO: Strengthening Enterprise Risk Management for Strategic Advantage (Усиление системы управления рисками организаций для стратегических преимуществ), 2009COSO усовершенствование рейтинговыми агентствами методологии «Рейтингов Корпоративного управления» и «Кредитных рейтингов» комплексная разработка и согласование «Базель III».
5 Риск-ориентированный внутренний аудит/контроль Risk Based Internal Audit Approach (риск-ориентированный подход к внутреннему аудиту/контролю) – это современный подход к построению риск-сфокусированного внутреннего аудита, направленного на содействие достижению стратегических целей организации через усиление взаимодействия с риск-менеджментом в части методологий, технологий и внутренних коммуникаций. Риск-ориентированный внутренний аудит/контроль - «это независимая и объективная деятельность по предоставлению гарантий и консультаций руководству с целью создания добавленной стоимости организации и получения стратегических преимуществ. Он помогает организации достичь своих целей путем привнесения системного, дисциплинирующего подхода к оценке и улучшению эффективности процессов управления рисками, контроля и управления в целом». Катализатором интеграции риск-менеджмента и внутреннего аудита как непрерывных независимых процессов, стало издание в 2004г. новой версии концепции, разработанной COSO: «Enterprise Risk Model Integrated Framework» и выстраивание тесной связи с прежней работой «Internal Сontrol – Integrated Framework»(1992). Новая разработка, привела к общему знаменателю цели и компоненты системы внутреннего контроля и цели и компоненты системы управления рисками, обосновала целесообразность и перспективность объединения усилий, позволила исключить дублирование действий и «неформальную» конкуренцию между подразделениями.
6 Риск-ориентированный внутренний аудит/контроль По оценкам различных независимых экспертов возрастает актуальность риск- фокуса в работе внутреннего аудита/контроля в РФ по нескольким причинам: 1. Благодаря усилиям ЦБ РФ создан скелет конструкции корпоративного управления, стратегического планирования, внутреннего контроля/аудита и риск-менеджмента Банков, который с учетом международных тенденций будет дополняться соответствующим содержанием. 2. Накопленные навыки и опыт банковского сектора в области решения тактических задач (достижения операционных целей), задач комплаенса (достижение достоверности отчетности, соблюдения законодательства) позволяют осуществить переход к более сложным и приоритетно важным действиям, к обеспечению достижения стратегических целей развития. 3. Постоянные изменения во внешней среде, во внутренней инфраструктуре Банков требуют новых подходов к развитию систем риск- менеджмента и внутреннего контроля/аудита. 4. Результаты исследований «Текущего состояния и тенденций развития внутреннего аудита», проведенных Институтом внутренних аудиторов при поддержке компании Эрнст энд Янг свидетельствуют о том, что 3/4 внутренних аудиторов основным акцентом изменений в своей деятельности видят переход к риск-ориентированной модели внутреннего аудита. 5. Последствия финансового кризиса являются самым мощным аргументом для Совета Директоров в части инициации изменений.
7 Риск-ориентированный внутренний аудит/контроль Основные достоинства и преимущества нового подхода в том, что он: опирается на превентивные меры, позволяет обоснованно спланировать и осуществить функциональный аудит бизнес-процессов с точки зрения их уязвимости и слабости под воздействием различных рисков, а также выработать комплекс мер по их профилактике и нейтрализации. ориентирован на результат: процессы риск-мониторинга и риск-контроля сопровождаются выработкой рекомендательных решений, содействующих достижению стратегических целей бизнеса. обеспечивает повышение экономической полезности внутреннего контроля и риск-менеджмента, в части раннего выявления и предотвращения угроз, влияющих на достижение стратегических целей Банка; снижение рисков, несущих значительные репутационные и рыночные потери, неблагоприятные финансовые последствия (убытки, потери, штрафы, упущенные доходы, незапланированные затраты и т.д.). обеспечивает риск-диалог и удовлетворяет возрастающие потребности Совета Директоров (стратегический уровень управления) и высшего топ-менеджмента (тактический уровень управления) не только в части получаемой информации о существенных рисках, но и рекомендуемых решениях по их профилактике и нейтрализации. является конкурентным преимуществом, позволяющим повысить качество кредитных рейтингов, укрепить рыночные позиции бизнеса, в целом увеличить капитализацию и эффективность бизнеса.
8 Риск-ориентированный внутренний аудит/контроль Основные характерные черты: Изменение фокуса и концентрации усилий с объектового комплаенс-контроля на функциональный аудит всей технологической цепочки бизнес-процессов, сопровождающих отдельный бизнес-продукт или бизнес-направление. Перенос акцентов с «посмертного вскрытия» на профилактические способы лечения. Отход от ретроспективного контроля по факту свершившихся событий риска на превентивный характер работы. Отход от фрагментарности комплаенс-контроля, продвижение в сторону понимания всей картины возможных стратегических угроз и фокусирование контроля на наиболее существенных зонах риска. Переход от рутинной ревизионно-инспекционной деятельности, к развитию аналитических процедур и консалтинговой деятельности по принципу «железного кулака в бархатной перчатке» повышает экономические выгоды контроля. Универсальность подхода позволяет проследить четкую взаимосвязь между целями, бизнес-процессами, рисками и контролями. Появляется реальная возможность удовлетворить потребности руководства, доказательно продемонстрировать, какие риски были проконтролированы, а какие риски остаются латентными и еще не охваченными процедурами контроля. Усиление интеграции различных областей знаний способствует улучшению внутренних коммуникаций независимых подразделений, повышению обоснованности и экономической мотивации создания совместных рабочих (проектных) групп. Творческий, аналитический и креативный подход, нацеленный на результат, повышает экономическую полезность (совместное снижение уровня потерь от рисков) престиж и репутацию подразделений, усиливает сотрудничество и обеспечивает кооперацию работы с высшим руководством, Советом Директоров.
9 Универсальность концепции COSO заключается также в возможности ее использования для различных иерархических уровней (бизнес-единицы, отдельного подразделения, организации в целом, группы взаимосвязанных компаний). Согласно концепции COSO существует прямая взаимосвязь между целями (стратегические, операционные, в области подготовки отчётности и в области соблюдения законодательства) и компонентами процесса управления рисками и внутреннего контроля, представляющими собой действия, необходимые для их достижения. Данная взаимосвязь представлена трехмерной матрицей, имеющей форму куба (куб ERM COSO), к сожалению, содержанием наполнены только 3 грани куба. Риск-ориентированный внутренний аудит/контроль
10 Риск-ориентированный внутренний аудит/контроль Концепция COSO выделяет 8 компонентов, обеспечивающих достижение целей: 1. Корпоративная инфраструктура (корпоративная атмосфера, внутренняя среда). 2. Цели и задачи риск-менеджмента и внутреннего аудита, определяемые в зависимости от установленных целей организации (стратегических, операционных, в области подготовки отчётности и области соблюдения законодательства). 3. Идентификация (выявление) рисковых событий, влияющих на достижение целей. 4. Измерение существенности рисков с точки зрения реальности их наступления и величины возможных негативных последствий. 5. Выбор методов реагирования на риски, подготовка предложений и принятие решений по комплексу мероприятий, нейтрализующих риски, определение ответственных лиц. 6. Средства контроля рисков, включающие методологию и технологии внутреннего аудита/контроля. 7. Построение информационного взаимодействия (внутренний отчетности) и внутренних личных коммуникации для решения поставленных задач. 8. Мониторинг (корпоративный надзор) за эффективностью систем риск- менеджмента и внутреннего аудита со стороны Совета Директоров и высшего менеджмента.
11 Риск-ориентированный внутренний аудит/контроль Согласно более поздним, детальным докладам COSO расставлены и усилены акценты: Основным фундаментом успешного развития риск-менеджмента и внутреннего контроля/аудита является зрелость корпоративной инфраструктуры. Компоненты, включающие идентификацию и измерение рисков, подготовку предложений по способам реагирования на риски, средства контроля, объединены COSO в интегрированный блок «технологий» систем риск- менеджмента и внутреннего аудита/контроля, который должен развиваться на пересечении этих областей знаний и опыта. Компоненты, включающие построение информационного взаимодействия, коммуникаций и мониторинга со стороны Органов управления стратегического и тактического уровня, объединены COSO в наиболее значимый блок, обеспечивающий «обратную связь» с качеством корпоративной инфраструктуры. Блок обосновывает, усиливает роль и участие Совета Директоров в организации, координации и корпоративном надзоре за системами риск-менеджмента и внутреннего контроля.
12 Риск-ориентированный внутренний аудит/контроль Согласно интегрированной концепции COSO основным фундаментом развития риск-менеджмента и внутреннего контроля/аудита является зрелость корпоративной инфраструктуры. Казалось бы сложное и абстрактное понятие раскрывается через вполне реальные действия со стороны руководства: задаваемый руководством «общий тон» корпоративного управления, пропаганда корпоративной идеологии отношения к рискам (допустимости определенного уровня рисков и агрессивности бизнес-политик, стиля работы, общих подходов к управлению рисками, уважительного отношения к профессиям риск-менеджеров и внутренних контролеров, приверженности профессионализму и т.д.), продвижение принципов корпоративного поведения и этических стандартов, продвижение риск-ориентированных подходов к построению внутренних коммуникаций, организационной структуры, принципов мотивации персонала, поощрение деятельности по усовершенствованию систем внутреннего контроля и риск-менеджмента, эффективная кадровая политика.
13 Пятиуровневая модель развития системы внутреннего контроля, разработанная PricewaterhouseCoopers Risk Based Internal Audit Approach
14 Интегрированный блок «Технологий» систем риск-менеджмента и внутреннего аудита развивается в направлении 3-х взаимосвязанных плоскостей: Команда профессионалов - основной ресурс успешной деятельности. Наряду с сохранением независимости и базовых функций подразделений актуальны и экономически оправданы тенденции создания совместных рабочих групп или найма риск-менеджеров в команду внутренних аудиторов/контролеров. Интегрированная методология смежных областей знаний – интеграция методологий, используемых в риск-менеджменте и внутреннем контроле позволяет достичь синергетического эффекта в работе. IT-Технологии – снижение трудоемкости операций обеспечивается использованием специализированного аудиторского программного обеспечения (ПО), интегрированного с единым ПО в области управления рисками, а также обладающего совместимостью с программными продуктами, имеющими общекорпоративный масштаб. В результате, появляется возможность увеличения бюджета подразделений и расширения штата. Формируется высвобожденный ресурс времени, который можно направить на обучение, повышение квалификации. Развитие эффективности и повышение экономической полезности работы подразделений позволяют усилить престиж, а также являются весомым аргументом повышения оплаты труда сотрудников. Риск-ориентированный внутренний аудит/контроль
15 С методологией внутреннего контроля и внешнего аудита Вы прекрасно знакомы и используете ее ежедневно в ходе своей деятельности. Мы уверены, что Вы можете обогатить своим опытом и методологию риск-менеджмента!!! В чем состоит особенность методологии риск-менеджера? В докризисный период различные прозападные Программы сертификации «Financial Risk Manager», разработчики IT- программ нам активно навязывали стереотип, что риск- менеджеры используют в своей деятельности только финансовую математику, основанную на финансовом менеджменте. Хотелось бы узнать у аудитории сколько человек думает также? Риск-ориентированный внутренний аудит/контроль
16 Риск-ориентированный внутренний аудит/контроль Арсенал оружия риск-менеджмента базируется на использовании различных сочетаний качественных и количественных техник, позволяющих не только диагностировать зоны риска, но и выработать комплексные решения по их профилактике и нейтрализации: 1. Методы экономического анализа и отраслевой статистики, 2. Методы маркетинговых исследований, 3. Методы стратегического менеджмента, 4. Методы финансового менеджмента, 5. Специфические методы, используемые для обеспечения репутационной безопасности, информационной безопасности, кадровой безопасности, инженерно-технической безопасности, экономической безопасности и т.д., 6. Методы вероятностного математического моделирования и прогнозирования, 7. Методы проектного менеджмента.
17 Риск-ориентированный внутренний аудит/контроль Современные тренды технологий Усложнение потребностей бизнеса усложняет технологии, которые должны обеспечивать: отслеживание изменений внешней бизнес-среды отслеживание изменений внутренней корпоративной инфраструктуры учет трансформации одних видов рисков в другие и их тесные взаимосвязи, появления новых ранее неидентифицированных рисков ранее выявление негативных тенденций быстрое и эффективное формирование рекомендаций по реагированию на риски Необходимо также принимать во внимание усиление значимости и существенности рисков нефинансовой природы (риски, мешающие достижению стратегических целей, репутационные и операционные риски, новые риски).
18 Блок компонентов, включающих построение внутренних коммуникаций и корпоративного надзора со стороны Органов управления стратегического и тактического уровня По оценкам различных авторитетных экспертов (Ernst & Young, PricewaterhouseCoopers, Deloitte и т.д.) данный блок компонентов является основной слабостью системы риск- менеджмента и системы внутреннего контроля. В чем основные причины (по оценкам различных авторитетных экспертов): Незрелость корпоративной инфраструктуры отдельных организаций. Необходимость усиления роли Совета Директоров в укреплении корпоративного управления, систем внутреннего контроля и риск-менеджмента. Наблюдаются примеры «неформального» делегирования Советом Директоров части функций и полномочий высшему исполнительному менеджменту в области внутреннего контроля и риск-менеджмента. Непонимание Советом Директоров того, что высший менеджмент не всегда заинтересован в развитии этих систем и их возрастающем участии в бизнес- процессах. Наблюдаются примеры игнорирования высшим менеджментом предостережений и рекомендаций риск-менеджеров и внутренних контролеров, которые повлекли за собой большие убытки и потери репутации. Наблюдаются примеры недостаточной активности и инициативности риск-менеджеров и внутренних контролеров либо недостаточности опыта самопрезентации, коммуникаций и конструктивной подачи информации («подслащивание пилюли», аргументация, побуждение к действию, продвижение образа «железного кулака в бархатной перчатке», технологии лоббирования и саморекламы и т.д.). Наблюдаются примеры «неформальной» конкуренции между подразделениями риск- менеджмента и внутреннего контроля, отсутствия интеграции, открытого противостояния, что в конечном итоге ослабляет позиции как системы риск-менеджмента, так и внутреннего контроля. Более того, это может явиться причиной роста злоупотреблений и мошенничеств со стороны бизнес-подразделений. Risk Based Internal Audit Approach
19 Risk Based Internal Audit Approach Модифицированная матрица Бостонской Консалтинговой группы» отражает взаимосвязь уровня зрелости корпоративной инфраструктуры и уровня активности, инициативности риск-менеджеров, внутренних контролеров/аудиторов
20 Риск-ориентированный внутренний аудит/контроль Современные тренды внутренних коммуникаций Более активное развитие подхода к внутренней отчетности «Движение от потребностей потребителя»: выявление наиболее существенных бизнес- потребностей Банка и их удовлетворение (формирование внутренней отчетности по степени влияния на стратегические цели, по сущности бизнес-продуктов и бизнес-направлений, по сущности бизнес-процессов, по региональной специфике и т.д.). Совершенствование подхода к внутренней и внешней отчетности «Движение от видов рисков» (требования Базеля, ЦБ РФ, МСФО 7). Построение риск-диалога: укрепление умений и навыков риск-менеджеров и внутренних контролеров в области самопрезентации, командных коммуникаций, развития продуктивного делового взаимодействия в сложных ситуациях, выбор тактики поведения в конфликтной ситуации, управление стрессом, психологическим давлением, противостояние манипуляциям, предотвращение межличностных конфликтов и провокаций, позитивное мышление, развитие конструктивной подачи информации («подслащивание пилюли», аргументация, побуждение к действию, продвижение образа «железного кулака в бархатной перчатке», технологии лоббирования и саморекламы и т.д.). Обеспечение регуляторами (МинФин, ЦБ РФ, ФСФР и т.д. ) повышения степени зрелости корпоративной инфраструктуры, необходимости усиления роли и ответственности Совета Директоров в укреплении корпоративного управления, систем внутреннего контроля и риск-менеджмента.
21 Риск-ориентированный внутренний аудит/контроль Investor Relations Бизнес- психология и дипломатия Ораторское искусство Project Relations Public Relations Секрет успеха внутренних коммуникаций : заимствование опыта из смежных областей Предел совершенства отсутствует : это бесконечность развития длинною в жизнь
22 Построение внутренних коммуникаций в рамках риск-ориентированного внутреннего аудита/контроля выделяет следующих основных участников, взаимодействие которых должно быть четко регламентировано и детализировано: центры принятия управленческих решений («потребители» внутренних отчетов), центры ответственности по принятию рисков («поставщики» информации для внутренних отчетов), наблюдательно-координирующий центр (корпоративный надзор и независимая экспертиза качества, эффективности систем риск-менеджмента и внутреннего контроля), независимые центры сбора и обработки информации, выработки предложений («генераторы идей, рекомендаций и внутренних отчетов»). В связи с нарастанием операционных и репутационных рисков, их способностью трансформироваться в стратегические и финансовые риски, считаем, что взаимодействие риск-менеджмента и внутреннего контроля/аудита необходимо усилить взаимодействием со службой безопасности, имеющей соответствующие знания и опыт, методологию и технологии по противодействию данным угрозам. Риск-ориентированный внутренний аудит/контроль
23 Риск-ориентированный внутренний аудит/контроль Пример построения взаимодействия и внутренних коммуникаций в рамках риск-ориентированного внутреннего аудита/контроля
24 Риск-ориентированный внутренний аудит/контроль Выявление направлений построения взаимодействия с подразделениями через ключевые функции риск-менеджмента
25 Риск-ориентированный внутренний аудит/контроль Внедрение риск-ориентированного подхода к внутреннему аудиту/контролю целесообразнее осуществлять как Проект по продвижению инновационного продукта, обеспечивающего развитие особого сервиса, основными потребителями которого станут Совет Директоров и высший менеджмент Банка. Базовой целью проекта будет выступать обеспечение содействия Органам управления Банка в области достижения стратегических приоритетов развития бизнеса. Ожидаемые результаты: обеспечение гарантий руководству и акционерам в эффективном функционировании систем риск-менеджмента и внутреннего контроля, повышение экономической полезности систем, престижа, репутации, усиление внутренней интеграции, получение дополнительных конкурентных преимуществ, общий рост благосостояния бизнеса и участников проекта. Планирование проекта – разработка рабочей стратегии и тактики проекта применительно к ожидаемому характеру, срокам, направлениям и объемам работы, необходимым ресурсам, участникам деятельности и коммуникациям внутри проекта. В результате подготовительных работ составляется план проекта, детальные программы, формулируется обоснование проекта, определяются подходы и этапы по его продвижению, презентации и популяризации. Организация деятельности проектной команды, информация и коммуникации проекта: наиболее важный элемент успеха, который отражает искусство личности руководителя. Технологическое обеспечение проекта: интеграция методологий и технологий риск-менеджмента и внутреннего аудита/контроля, использование IT-программ, информационных технологий и источников. Нормативное обеспечение проекта: закрепление статуса и организационной структуры проектной (рабочей) группы, нормативное закрепление принципов и стандартов работы, этапов процессов и ключевых процедур, утверждение календарного плана-графика и периодичности отчетов по проекту, закрепление зон ответственности и порядка взаимодействия внутри рабочей группы и т.д. Финансовое обеспечение проекта: разработка бюджета проекта на основе определения потребности в различных ресурсах, закрепление принципов материального стимулирования командной работы и порядка формирования фонда поощрений рационализаторских предложений.
26 Совместно с кафедрой банковского дела СПбГУЭФ достигнуты следующие научно-практические результаты: 1. В целях развития риск-ориентированного подхода к внутреннему аудиту/контролю и более глубокого изучения внутренних взаимосвязей бизнес-процессов Банка, разработана модернизированная декомпозиция взаимосвязанных 7 граней куба COSO (шесть внешних граней и грань внутреннего сечения) и схема моделирования Банка как экономической системы. В настоящий момент происходит юридическое оформление интеллектуальных прав на разработку. 2. Начата и продолжается разработка системы взаимосвязанных показателей: количественных индикаторов ранней диагностики рисков финансовой природы, инструментов микросимптоматики рисков нефинансовой природы. 3. Осуществляется оптимальный подбор метода многомерного агрегирования системы качественных и количественных показателей. 4. Юридически оформляется научно-практическое обоснование системы коммуникаций Internal Audit Relations, опирающейся на концепции и опыт Public Relations, Investor Relations, Project Relations, бизнес-психологию и дипломатию. Риск-ориентированный внутренний аудит/контроль