Анализ рисков и предоставление сведений о них
7.1 Управление риском требует анализа и предоставления сведений по двум причинам:
Для мониторинга изменений профиля риска;
Для уверенности в том, что риск-менеджмент эффективен, и определения, когда понадобятся дополнительные меры.
7.2 Следует иметь процессы для выявления продолжения существования рисков, появления новых рисков, изменения вероятности реализации рисков и их влияния, предоставления сведений о существенных изменениях, требующих корректировки приоритетов риск-менеджмента, и удостоверения в эффективности контроля. В дополнение к этому, процесс риск-менеджмента в целом должен подвергаться регулярному анализу для удостоверения в том, что он остается оптимальным и эффективным. Анализ рисков и анализ процесса риск-менеджмента отличаются друг от друга, и ни один из них не заменяет другой. Процессы анализа должны:
обеспечивать анализ всех аспектов процесса риск-менеджмента не реже чем раз в год;
обеспечивать анализ самих рисков с надлежащей частотой (должен быть предусмотрен внутренний анализ рисков исполнительным руководством и независимый анализ (аудит));
должно быть предусмотрено уведомление руководства надлежащего уровня о новых рисках или об изменениях ранее выявленных рисков, чтобы обеспечить надлежащее реагирование на риски.
7.3 Существует ряд инструментов и методов, помогающих в реализации процесса анализа:
Самооценка рисков (СР) – метод, уже упоминавшийся в связи с выявлением рисков (см. пункт 3.5). Процесс СР также способствует осуществлению процесса анализа. Результаты СР используются для поддержания актуальности профиля риска организации. (Этот процесс также иногда называют «самооценкой мер контроля и рисков», СМКР);
«Отчеты об ответственном управлении» предусматривают, чтобы определенные руководители на различных уровнях организации предоставляли отчеты на вышестоящие уровни (как правило, не реже чем ежегодно, в конце финансового года, и во многих случаях промежуточные отчеты раз в квартал или раз в полгода) о проделанной ими работе по поддержанию актуальности процедур управления риском и контроля и соответствия этих процедур обстоятельствам в конкретной сфере ответственности этих руководителей. Этот процесс совместим с СР; руководители могут использовать СР как источник информации при подготовке Отчета об ответственном управлении;
«Концепция оценки риск-менеджмента», разработанная Казначейством, является инструментом оценки зрелости риск-менеджмента в организации. Этот инструмент особенно полезен при подготовке ежегодного «Отчета о внутреннем контроле», являющегося публикуемым отчетом об анализе системы внутреннего контроля.[6] В дополнение к этим формальным инструментам, соответствующие должностные лица, рабочие группы и команды должны постоянно рассматривать аспекты рисков, с которыми они сталкиваются в своей повседневной работе.
7.4 Любая организация, относящаяся к центральному правительству, обязана предусматривать подразделение внутреннего аудита. Подразделение внутреннего аудита дает важную и независимую оценку адекватности риск-менеджмента, контроля и управления.[7] Подразделение внутреннего аудита также может использоваться руководством как квалифицированный внутренний консультант для содействия в разработке стратегического процесса риск-менеджмента организации. Оно имеет всестороннее представление обо всех видах деятельности, осуществляемых организацией, и у него есть опыт проведения определенной оценки, которая может предоставить информацию для планирования систем и процессов, подвергаемых аудиту. Тем не менее, важно отметить, что подразделение внутреннего аудита не замещает собой руководство в принятии ответственности за управление риском и не замещает собой систему внутренней оценки, осуществляемой персоналом, несущим ответственность за управление достижением целей организации (см. подробнее о вопросах внутреннего аудита «Стандарты внутреннего аудита государственных организаций», Казначейство Ее Величества, октябрь 2001 и связанные с ними рекомендации по передовым практическим методам).
7.5 Во многих организациях имеются специальные группы анализа и проверки, созданные для определенных целей (например, группы проверки бухгалтерской отчетности или группы анализа соблюдения норм). Из работа помогает удостоверяться в эффективности систем управления риском и внутреннего контроля, используемых в организации. Важны также механизмы оценки «ответственного управления» (stewardship), с помощью которых линейные руководители характеризуют свое ответственное управление в своих сферах ответственности, особенно в организациях с высокой автономностью структур контроля.
7.6 За исключением редких случаев, в любой государственной организации имеется аудиторский комитет (формируемый как комитет совета директоров, в идеале членами его являются неисполнительные директоры, в том числе председатель), в обязанности которого входит содействие бухгалтеру в решении вопросов, связанных с рисками, контролем и управлением, и в связанных с ними оценках эффективности (см. подробнее «Руководство для аудиторского комитета», Казначейство Ее Величества, октябрь 2003). Бухгалтер и совет директоров поручают аудиторскому комитету:
удостоверение в том, что риск и его изменения отслеживаются;
получение доступных данных о риск-менеджменте с последующим представлением общего заключения о риск-менеджменте;
представление комментариев о приемлемости действующих процессов риск-менеджмента и проверки эффективности.
Тем не менее, следует отметить, что аудиторский комитет не должен нести ответственности за управление рисками и так же, как и подразделение внутреннего аудита, не должен замещать руководство в выполнении его надлежащих функций по управлению риском.
7.7 Некоторые организации могут формировать комитет по управлению риском. Совет директоров должен принимать решение о том, какую роль он желает отвести комитету по управлению риском. Если комитет по управлению риском формируется как комитет совета директоров и (в основном) включает в себя неисполнительных директоров (то есть, является комитетом по оценке эффективности управления риском), он может выполнять функции, упомянутые выше в пункте 7.6, которые в ином случае были бы поручены аудиторскому комитету; однако, если комитет по управлению риском является форумом исполнительных руководителей, несущих существенную ответственность за управление риском, в рамках которого они встречаются для обмена опытом и координирования мер по управлению риском (то есть, является комитетом по управлению риском, осуществляющим выполнение обязанностей исполнительных руководителей по обеспечению эффективного управления риском), то аудиторский комитет должен сохранить за собой отведенную ему функцию независимой оценки эффективности. Последний вариант не препятствует использованию мнения неисполнительных директоров в работе комитета по управлению риском.
7.8 В Приложении В приведены принципы и основные элементы процессов для осуществления общей оценки эффективности риск-менеджмента, а также общее описание процесса оценки эффективности.