Взаимосвязь элементов GRC: время ответов

Существующие методологии в области корпоративного управления, управления рисками и соблюдения требований, объединяемые понятием GRC, не дают четких указаний о взаимосвязи этих элементов, что затрудняет их практическое внедрение.

Целью статьи является систематизация существующих методологических подходов и практических решений, а также разработка концепции, позволяющей связать элементы корпоративного управления на концептуальном и структурном уровнях. Рассматриваются вопросы, возникающие при внедрении системы управления рисками и внутреннего контроля, в схематическом виде отражены потоки информации и уровни ответственности, даны уточнения к терминологии.

Результаты исследования позволят организациям разграничить функционал подразделений, отвечающих за текущий мониторинг системы управления рисками и внутреннего контроля, а внутренним аудиторам – выявить дублирование функций, а также определить источники информации, необходимые для эффективного планирования аудиторских проверок.

В настоящее время, когда в связи с ухудшением социально-экономических условий повышаются требования к эффективности всех функций и процессов в организациях, все чаще поднимаются вопросы о нечетком разделении и возможном дублировании ответственности между управлением рисками, внутренним контролем и внутренним аудитом. До сих пор у практиков возникают вопросы: чем отличаются мероприятия по управлению рисками от контрольных процедур, как разделить функционал отдела по управлению рисками и отдела внутреннего контроля, как связать стратегические и процессные риски, какую информацию должен получать внутренний аудит для эффективного планирования аудиторских проверок и т.п.

Международные методологические документы (например, Концепции COSO «Внутренний контроль» [1] и «Управление рисками организаций» [2], стандарты ISO в области управления рисками [3], кодексы корпоративного управления разных стран и пр.) возникали в разное время вследствие отдельных инициатив. Более того, два основополагающих документа COSO в области системы управления рисками (далее – СУР) и системы внутреннего контроля (далее – СВК), несмотря на наличие схематической модели в виде куба, не дают четкой увязки между СУР и СВК и описывают их отдельно.

В данной статье мы постараемся прояснить спорные вопросы методологии и выразить авторское мнение о взаимосвязи элементов, входящими в т.н. область GRC.

Понятие GRC возникло не так давно (примерно в начале 2000-х гг. [4, 11]), но до сих пор не получило краткого перевода на русский язык. Данный акроним расшифровывается как governance, risk management and compliance, т.е. корпоративное управление, управление рисками и соблюдение требований (комплаенс), и характеризует философию бизнеса, основанную на системном, проактивном и риск-ориентированном подходе к управлению предприятием.

Одно из наиболее полных определений звучит следующим образом: «GRC – это интегрированный, целостный подход к организации корпоративного управления, управление рисками и комплаенса, позволяющий убедиться в том, что компания действует этичным образом и в соответствии со своим риск-аппетитом, внутренними политиками и внешними требованиями через взаимосвязь стратегии, процессов, технологий и человеческих ресурсов, тем самым повышая эффективность и результативность деятельности»¹ [9].

При этом в бизнес-практике понятие GRC рассматривается либо как характеристика специализированного ИТ-решения, либо исключительно как система соблюдения требований, либо в виде отдельных элементов без попытки их объединить в систему.

Целесообразно выделить два уровня взаимосвязи элементов GRC: концептуальный и структурный. Концептуальный уровень отражает взаимосвязь элементов GRC в целом в разрезе уровней управления. А структурный уровень показывает непосредственную увязку между источниками информации о рисках и методах управления ими в разрезе системы управления рисками, внутреннего контроля и функции внутреннего аудита.

На концептуальном уровне СУР и СВК являются частью системы управления предприятием и корпоративного управления в целом. Это отражает ключевую идею, что СУР и СВК – не отдельно существующие системы, а «стиль мышления» или «философия бизнеса», встроенные в бизнес-процессы и процессы принятия стратегических решений (рис. 1).

Рис. 1. Взаимосвязь элементов корпоративного управления, входящих в понятие GRC

Корпоративное управление представляет собой стратегическую деятельность, которая реализуется, в первую очередь, на уровне акционеров и совета директоров и помимо таких элементов, как эффективные управление рисками, внутренний контроль и внутренний аудит, включает также отношения с акционерами (в т.ч. миноритарными), организацию работы совета директоров, раскрытие информации и отношения с заинтересованными сторонами.

«Каркасом» бизнеса является система управления предприятием, которая охватывает все уровни управления и включает элементы, относящиеся к стратегии (цели, задачи, ключевые показатели эффективности, бюджеты и пр.), процессы (политики и процедуры, принципы делегирования полномочий и организационная структура), технологии (используемые ИТ-системы и базы данных) и человеческие ресурсы (корпоративная культура, принципы приема, обучения и мотивации персонала).

Система управления рисками является неотъемлемой частью системы управления предприятием и процесса принятия эффективных управленческих решений.

В большинстве зарубежных источников термин «управление рисками» используется без слова «система», которое широко применяется в российской практике. В бизнес-сообществе часто критикуется использование термина «система управления рисками» за искусственное отделение ее от процесса управления. На наш взгляд, использование данного термина вполне допустимо, если учитывать системность, последовательность и научную обоснованность процесса управления рисками. Многое зависит от того, как именно система управления рисками встраивается в процессы проектного управления, бюджетирования, оценки стратегических инициатив, разработки архитектуры бизнес-процессов. Если СУР реализуется исключительно в виде отчета по рискам на уровне совета директоров и менеджмента, то ее существование бессмысленно, т.к. получается, что бизнес работает ради системы. Если же на основе информации о рисках и возможностях принимаются меры по снижению рисков или инициируются новые проекты, то система работает для бизнеса и термин для ее названия не так критичен.

При этом система внутреннего контроля является частью системы управления рисками, однако реализуется в большей степени на уровне бизнес-процессов, чем на стратегическом уровне. Это связано с тем, что на стратегическом уровне руководство имеет склонность к принятию более рисковых решений с учетом внешних факторов, тогда как на тактическом и операционном уровнях решения более формализованные и принимаются исходя из установленных ограничений, как правило, с тенденцией к усилению внутреннего контроля.

В последнее время наблюдается тенденция к использованию единого термина – система управления рисками и внутреннего контроля, что подчеркивает стремление компаний к комплексному подходу в управлении бизнесом. В частности, этот термин упоминается в новом Кодексе корпоративного управления, утвержденном Банком России в 2014 г. [5].

Все эти системы охватывают три основные цели компании: операционная эффективность и результативность, достоверность внутренней и внешней отчетности и соблюдение законодательства. А на стратегическом уровне управления формулируются стратегические цели, которые декомпозируются по указанным выше областям.

Возникает вопрос: а где в этой схеме место внутреннего аудита? Получается, что, с одной стороны, внутренний аудит – это элемент корпоративного управления и внутреннего контроля, а с другой стороны, он представляет собой функцию, оценивающую корпоративное управление, систему управления рисками и внутреннего контроля. Графически это можно представить в виде «колец Сатурна», где внутренний аудит охватывает всю систему GRC в целом, при этом являясь ее неотъемлемой частью (рис. 2).

Рис. 2. Место внутреннего аудита в модели GRC

На структурном уровне взаимосвязь между управлением рисками, внутренним контролем и внутренним аудитом осуществляется через иерархию рисков и типы мероприятий по управлению рисками (рис. 3). Это означает, что риски могут быть разного уровня детализации. На общекорпоративном уровне, как правило, выявляется 100 – 120 рисков по основным областям деятельности компании. Каждый из этих рисков может быть декомпозирован на уровень бизнес-процессов, вплоть до риск-факторов. Например, верхнеуровневый риск «несвоевременная поставка материально-технических ресурсов (МТР)» может быть декомпозирован на риски «несоблюдение поставщиком сроков и места поставки по договору» и «несоответствие поставленных МТР заказу», последний из который может быть, в свою очередь, декомпозирован на «несоответствие поставки МТР заказу по количеству» и «несоответствие поставки МТР заказу по качеству». И если для верхнеуровнего риска мероприятиями могут быть внедрение единой автоматизированной системы по управлению поставками, пересмотр договоров с поставщиками и разработка оптимальных логистических схем, то для процессного риска достаточно будет внедрить контрольные процедуры по пересчету товара на складе и сверку с заказом.

Аналогичную иерархию имеют и сами бизнес-процессы (начиная от цепочки ценностей и заканчивая шагами процессов), и ключевые показатели эффективности, и финансовые результаты подразделений.

Рис. 3. Взаимосвязь системы управления рисками, системы внутреннего контроля и функции внутреннего аудита

Таким образом, СУР оперирует рисками общекорпоративного уровня, на который попадают прежде всего стратегические и очень существенные процессные и проектные риски. Мероприятиями по управлению такими рисками могут быть:

• специальные проекты (например, по внедрению корпоративной ИТ-системы, изменению организационной структуры, централизации или децентрализации операций);
• стратегические решения, связанные с принятием или отказом от инициатив (например, в части выхода на новые рынки или выпуска нового вида продукции);
• страхование активов или хеджирование операций в целях передачи рисков и снижения их последствий;
• принятие текущего уровня рисков, но постоянный их мониторинг на случай изменения риск-факторов и оценки рисков;
• создание резервов на случай реализации рисков;
• снижение рисков через механизмы внутреннего контроля.

При этом механизмами, снижающими риски на уровне системы управления рисками, являются контроли корпоративного уровня, представленные в первую очередь политиками и процедурами, а также ИТ-общие контроли. Таким образом, контрольные процедуры – это один из видов мероприятий по управлению рисками.

В политиках и процедурах организации отражается архитектура бизнес-процессов со встроенными ключевыми контрольными процедурами, помогающими достичь целей процессов.

Система внутреннего контроля, с учетом декомпозиции рисков, определяет риски на уровне шагов процессов и соответствующие детальные контрольные процедуры (ручные, ИТ-зависимые или автоматизированные). Например, если в рамках совершенствования СУР решено внедрить электронную систему согласования договоров, то уже в рамках СВК будет определено, какие именно подразделения будут включены в маршрут согласования. Как правило, контрольные процедуры представляют собой шаги процессов, специально направленные на снижение рисков, или надпроцессные мониторинговые процедуры (например, выборочные проверки операций руководителем или независимым подразделением).

Внутренний аудит, в свою очередь, использует три уровня декомпозиции рисков для планирования своей деятельности:

• основой формирования риск-ориентированного плана аудита являются риски корпоративной СУР;
• для планирования работ в рамках конкретной проверки используется информация о рисках в подпроцессах выбранного процесса (например, подпроцессы выбора поставщика, приемки на склад и проведения оплаты могут иметь разную оценку рисков в рамках общего процесса закупок);
• для проведения тестирования контрольных процедур используются матрицы рисков и контролей, разработанные в рамках внедрения СВК. При этом риски анализируются для шагов подпроцессов, т.е. на очень детальном уровне.

В тех случаях, когда в компании отсутствуют формализованные СУР и СВК, внутреннему аудиту приходится самостоятельно собирать информацию об общекорпоративных рисках и существующих контрольных процедурах. А если эти процедуры отсутствуют, внутренний аудит оценивает фактический ущерб от нарушений внутренних и внешних требований.

Можно выделить несколько ключевых факторов, облегчающих внедрение целостной и интегрированной системы GRC:

• наличие стратегии и системы ключевых показателей эффективности;
• наличие справочника бизнес-процессов и классификатора рисков;
• оптимальная организационная структура, соответствующая текущему уровню развития компании;
• формализованные политики и процедуры;
• единая информационная система;
• корпоративная культура, отражающая философию акционеров в отношении рисков и контроля;
• высокие требования к квалификации персонала.

При этом важно понимать, что все элементы управления, включая СУР и СВК, в любой компании проходят последовательный путь развития, достигая определенного уровня зрелости. Соответственно, и внутренний аудит должен учитывать текущий уровень зрелости СУР и СВК и предлагать рекомендации, реальные для внедрения в краткосрочном периоде, но с учетом планов по дальнейшему развитию GRC.

Интересно, что новое издание концепции COSO в 2013 г. не ввело понятие уровня зрелости СВК, несмотря на то, что многие эксперты предлагали включить этот подход в обновленную концепцию. Тем не менее во многих методологических документах модель зрелости используется как ключевой инструмент оценки текущего состояния процессов [7, 8, 10].

В России же модель зрелости СВК впервые была описана в рамках Методических рекомендаций по организации и осуществлению внутреннего контроля в области финансовой отчетности [6].

Пришло время интегрированного, комплексного внедрения элементов GRC с учетом уровня зрелости компании, в отличие от предыдущих подходов, когда соответствующие функции возникали независимо друг от друга.

В свою очередь, для внутренних аудиторов понимание взаимосвязи СУР и СВК на концептуальном и структурном уровнях позволяет выявить потенциальное дублирование или недостатки функций, обеспечивающих внедрение и мониторинг данных систем, а также определить необходимые источники информации для проведения аудитов наиболее эффективным и рациональным образом.

Список литературы

1. Концепция COSO «Внутренний контроль. Интегрированная модель» (2013 г.) // Комитет спонсорских организаций Комиссии Трэдвэй (The Committee of Sponsoring Organizations of the Treadway Commission).

2. Концепция COSO «Управление рисками организаций. Интегрированная модель» (2004 г.) // Комитет спонсорских организаций Комиссии Трэдвэй (The Committee of Sponsoring Organizations of the Treadway Commission).

3. Международный стандарт ИСО 31000 «Менеджмент риска. Принципы и руководство» (Приказ Росстандарта от 21.12.2010 №883-ст).

4. Модель зрелости корпоративного управления, управления рисками и комплаенса // GRC Capability Model ("Red Book" 2.0), апрель 2009 (OCEG History/Timeline).

5. Письмо Банка России от 10.04.2014 № 06-52/2463 «О Кодексе корпоративного управления» //Вестник Банка России. 2014. 18 апр. №40 (1518).

6. Рекомендации Р-44/2013-КпТ "Методические рекомендации по организации и осуществлению внутреннего контроля" (Фонд «НРБУ «БМЦ», Компания EY).

7. COBIT 5. A Business Framework for the Governance and Management of Enterprise IT, 2012.

8. ISO/IEC 15504-4: 2004. Information technology — Process assessment — Part 4: Guidance on use for process improvement and process capability determination.

9. Racz, N., Weippl, E. & Seufert, A. (2010), Bart De Decker, Ingrid Schaumuller-Bichl, ed., A frame of reference for research of integrated GRC, Communications and Multimedia Security, 11th IFIP TC 6/TC 11 International Conference, CMS 2010 Proceedings, Berlin: Springer. P. 106–117, ISBN 978-3-642-13240-7.

10. Supplemental guidance: Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements, The Institute of Internal Auditors, July 2013.

11. White paper: Integrity-Driven Performance. A New Strategy for Success Through Integrated Governance, Risk and Compliance Management. PricewaterhouseCoopers, 2004.

¹ (Перевод автора) В оригинале: GRC is an integrated, holistic approach to organisation-wide governance, risk and compliance ensuring that an organisation acts ethically correct and in accordance with its risk appetite, internal policies and external regulations through the alignment of strategy, processes, technology and people, thereby improving efficiency and effectiveness.

Версия для печати