2. Роль органів управління у системі управління ризиками
2. Роль органів управління у системі управління ризиками
У передових організаціях управління ризиками вбудоване природним чином систему прийняття рішень на всіх рівнях: від ради директорів до рядового працівника.
Відповідно до кращої практикирада директорів визначає принципи та підходи до організації системи управління ризиками та внутрішнього контролю, затверджує політику управління ризиками та апетит до ризику, здійснює контроль за системою управління ризиками та внутрішнього контролю.
український кодекс корпоративного управління також наголошує на необхідності досягнення балансу між ризиком та прибутковістю для суспільства в цілому за дотримання законодавства, вимог внутрішніх документів та статуту суспільства, вироблення адекватних стимулів для діяльності виконавчих органів товариства, його структурних підрозділів та окремих працівників. Кодекс рекомендує, щоб рада директорів хоча б раз на рік організовувала аналіз та оцінку функціонування системи управління ризиками та внутрішнього контролю. Такий аналіз має будуватися як у звітах менеджменту, і на звітах внутрішнього і зовнішнього аудиту. У деяких компаніях рада директорів залучає для періодичної (раз на три роки) оцінки системи управління ризиками та внутрішнього контролю незалежних зовнішніх консультантів.
Кодекс також покладає на раду директорів обов'язки з контролю за розкриттям інформації про ризики та роль ради директорів в управлінні ризиками та внутрішнього контролю.
У Принципах корпоративного управління ОЕСР наголошується на ролі ради у визначенні політики з управління ризиками, затвердженні ризик-апетиту, а також контролю за розкриттям інформації про ризики4:
Областю, що набуває все більшого значення для поради і тіснопов'язаною з корпоративною стратегією єполітика щодо ризиків. Така політика передбачаєвизначення типів і ступеня ризику, які компанія готова прийняти для досягнення своїх цілей. Таким чином, вона має вирішальне значення длякерівництва, якемає керувати ризиками з метою підтримки бажаного профілю ризику компанії.
Рада відповідає зазабезпечення достовірності інформації систем бухгалтерського обліку та фінансової звітності корпорації, включаючи проведення незалежного аудиту та наявність систем внутрішнього контролю, зокрема, систем управління ризиками, фінансового та операційного контролю та виконання вимог законодавства та відповідних стандартів.
Рада також має забезпечити належний контроль з боку виконавчого керівництва. При цьомукінцева відповідальність за забезпечення достовірності інформації систем бухгалтерського обліку та фінансової звітностізалишається за порадою. У деяких країнах передбачено звіт голови ради системи внутрішнього контролю.
Користувачі фінансової інформації та учасники ринкупотребують інформації про суттєві ризики, які в розумних межах піддаються прогнозуванню.
У деяких компаніях створюється окремийкомітет ради директорів з управління ризиками. Створення такого комітету рекомендовано Базельським комітетом з банківського нагляду для великих фінансових інститутів. Комітет може працювати спільно з менеджментом компанії, аналізуючи ключові фактори ризику, визначаючи сценарії концентрації ризику, даючи точну оцінку ризику. Хоча комітет може бути дуже корисним для подібної оцінки, він не повинен підміняти раду директорів, яка повинна розуміти і відчуватинайбільш суттєві ризики компанії. Якщо окремий комітет із ризиків при раді директорів не створюється, його функції з управління ризиками виконує комітет з аудиту.
Функції такого комітетуз управління ризиками, зокрема, включають:
– Нагляд за якістю, ефективністю та об'єктивністю систем контролю та управління ризиками та ефективністю встановлених політик та стратегій з управління ризиками.
– Огляд культури, філософії та стратегії управління ризиками та встановлення політик, процедур процесу управління ризиками та вимог до процесу сповіщення про ризики, що використовуються під час управління та повідомлення про ризик.
– Огляд інформації щодо найістотніших ризиків та відповідності кроків, прийнятих керівництвом та підрозділами для контролю даних ризиків у межах прийнятних лімітів.
– Забезпечення дотримання політик, пов'язаних із ризиками, та загального профілю ризику.
– отримання та ознайомлення з оглядовими звітами від будь-якої групи, яка здійснює діяльність з оцінки ризиків, включаючи комітет з управління ризиками та службу внутрішнього аудиту;
Навиконавче керівництво компанії покладається основна відповідальність за створення та функціонування ефективної системи управління ризиками та внутрішнього контролю. При цьому відповідні процедури повинні передбачати своєчасне повідомлення ради директорів про суттєві недоліки у системі внутрішнього контролю5.
У ряді компаній створюється комітет з управління ризиками за Правління компанії. Комітет підзвітний Правлінню та діє у межах повноважень, наданих йому Правлінням. Рішення Комітету, прийняті в межах його компетенції, мають рекомендаційний характер для Правління. Комітет з ризиків за Правління можевиконувати такі функції:
1. Допомога у виявленні суттєвих ризиків за допомогою:
- винесення на обговорення будь-яких суттєвих ризиків, виявлених протягом минулих періодів оцінки;
– ухвалення до уваги будь-яких внутрішніх чи зовнішніх обставин, які можуть збільшити ризик або викликати нові ризики.
2. Управління роботами з періодичної оцінки ризиків у вигляді:
- Виявлення учасників процесу оцінки ризиків;
– забезпечення проведення оцінки ризиків принаймні один раз на рік або при виникненні суттєвих змін зовнішніх чи внутрішніх факторів;
– аналізу результатів оцінки ризиків для виявлення областей високого ризику, суттєвих концентрацій пов'язаних ризиків та будь-яких відхилень у результатах, які можуть вимагати подальшого вивчення чи аналізу;
– підготовки звітів щодо результатів оцінки ризиків для комітету з аудиту ради директорів.
3. Аналіз, визначення пріоритетних областей та затвердження стратегій щодо пом'якшення ризиків за допомогою:
– аналізу звітів з управління ризиками та визначення областей, які потребують стратегій щодо пом'якшення ризиків;
– надання необхідної допомоги у розробці заходів або планів заходів для зниження неприйнятного ризику;
– аналізу та/або розробки варіантів пом'якшення ризиків для контролю суттєвих ризиків;
- Затвердження тих проектів, які необхідні для впровадження планів заходів щодо зниження ризиків.
4. Моніторинг реалізації заходів щодо зниження ризиків за допомогою:
– отримання звітів та здійснення наступних запитів щодо реалізації плану заходів щодо зниження ризиків;
– надання рекомендацій для модифікації та адаптації процесу управління ризиками для забезпечення дотриманнявимог ради директорів та керівництва.
У ряді компаній (як правило, великих) створюється департамент з управління ризиками. Департамент управління ризиками може здійснювати такі функції:
- Організація роботи підрозділу з управління ризиками;
- Щорічне формування плану роботи системи управління ризиками;
- Контроль за виконанням структурними підрозділами компанії внутрішніх документів з управління ризиками;
– контроль за процесом виявлення ризиків/організація процесу виявлення ризиків компанії (ідентифікація ризиків та формування реєстру, у т. ч. виявлення та реєстрація нових ризиків);
– формування пропозицій щодо призначення власників ризиків;
– контроль за щорічним оновленням реєстру ризиків та картки ризиків;
– формування пропозицій для комітету з аудиту (ризиків) щодо величини прийнятного рівня ризик-апетиту;
- Контроль за здійсненням оцінки виявлених ризиків / здійснення процесу оцінки ризиків за участю експертів компанії.
Крім того, існує також практика призначення про ризик-лідерів. Ризик-лідер виступає як координатор діяльності з управління ризиками всередині кожного підрозділу компанії, визначеного як учасник процесу оцінки ризиків. Ризик-лідери не обов'язково мають бути керівниками своїх підрозділів, зазвичай вони призначаються з числа керівників цих підрозділів. Ризик-лідери повинні мати глибоке розуміння діяльності підрозділів, процесів і персоналу, вміти організовувати проекти та керувати ними. Якщо ризик-лідер не є керівником підрозділу, він (вона) призначається та отримує повну підтримку від керівника відповідного підрозділу.
Ризик-лідери виконують абоделегують та керують такими видами діяльності:
- Координація з керівництвом підрозділу;
- Підтримка діяльності комітету з управління ризиками;
- Виявлення та аналіз ризиків підрозділу;
– складання звітів щодо виявлених ризиків усередині підрозділу;
– активну участь у розробці стратегій, планів, заходів тощо з пом'якшення ризиків;
– моніторинг та складання звіту для комітету з управління ризиками щодо прогресу стратегій, планів, заходів тощо з пом'якшення ризиків.