В. Андрианов - Обеспечение информационной безопасности бизнеса

Одним из последствий указанных событий стало принятие в 2002 г. в США так называемого Закона Сарбейнса — Оксли (известного как SOX). Аналогичные законы были приняты или готовятся к принятию и в других странах. Указанная серия законов расширяет существовавшие требования к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая обязанность на руководство компаний представлять информацию об эффективности таких систем, а на независимого аудитора [финансовой отчетности] — удостоверять предоставленные сведения.

Одним из самых важных вопросов, решаемых высшим руководством организаций, как отмечается в материалах COSO, является определение величины риска, который организация готова принять и принимает в процессе своей деятельности по созданию добавленной стоимости (материалы комиссии, финансируемой COSO, обращены к коммерческим структурам, в связи с этим в ее материалах делается акцент на прибыль/добавленную стоимость).

Основная предпосылка при менеджменте рисками деятельности организации заключается в том, что каждая организация существует, чтобы создавать добавленную стоимость для сторон, заинтересованных в ее деятельности. При этом все организации сталкиваются с неопределенностью, и задачей руководства является принятие решения об уровне неопределенности, с которым организация готова смириться, стремясь увеличить стоимость для заинтересованных сторон. В связи с этим неопределенность, с одной стороны, таит в себе риск (потери), а с другой — может открыть новые возможности, поэтому принятые в условиях неопределенности решения могут привести как к снижению, так и к увеличению стоимости. Менеджмент риска, как отмечается в материалах COSO, позволяет руководству эффективно действовать в условиях неопределенности и связанных с ней рисков и использовать возможности, увеличивая потенциал для роста стоимости компании.

Рост стоимости будет максимальным, если руководство определяет стратегию и цели таким образом, чтобы обеспечить оптимальный баланс между ростом компании, ее прибыльностью и рисками; эффективно и результативно использует ресурсы, необходимые для достижения целей организации.

В соответствии с методологией COSO менеджмент риска организации включает в себя следующие ключевые задачи:

— определение уровня риска, на который готова идти организация в соответствии со своей стратегией развития;

— совершенствование процесса принятия решений по реагированию на возникающие риски;

— сокращение числа непредвиденных событий и убытков в хозяйственной деятельности;

— определение и управление всей совокупностью рисков в хозяйственной деятельности;

— использование благоприятных возможностей;

— рациональное использование капитала.

Возможные подходы к определению уровня риска, на который готова идти организация (величину приемлемой степени риска), схематично иллюстрирует рис. 45.

По мнению авторов рекомендаций COSO, возможности, открываемые процессом менеджмента риска организации, помогают руководству в достижении целевых показателей прибыльности и рентабельности, а также в предотвращении нерационального использования ресурсов. При этом процесс менеджмента риска способствует обеспечению эффективности процесса составления финансовой отчетности, а также соблюдения законодательных и нормативных актов, избежания нанесения ущерба репутации компании и связанных с этим последствий. Посредством этого процесс менеджмента риска позволяет руководству достигать своих целей и при этом избегать просчетов и неожиданностей.

Влияние событий в сфере неопределенности может быть положительным, отрицательным или одновременно и тем и другим. События, влияние которых является отрицательным, методологией COSO предлагается относить к риску, который мешает созданию или ведет к снижению стоимости. События, влияние которых является положительным, могут компенсировать отрицательное влияние рисков, а также положительно влиять на достижение результата.

По COSO менеджмент риска организации:

— представляет собой непрерывный процесс, охватывающий всю организацию;

— осуществляется сотрудниками на всех уровнях организации;

— используется при разработке и формировании стратегии;

— применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации;

— нацелен на определение событий, которые могут влиять на организацию и менеджмент рисками таким образом, чтобы они не превышали порог готовности организации идти на риск;

— дает руководству и совету директоров организации разумную гарантию достижения целей;

— связан с достижением целей по одной или нескольким пересекающимся категориям.

Существует прямая взаимосвязь между целями, или тем, чего организация стремится достичь, и компонентами процесса менеджмента рисками организации, представляющими собой действия, необходимые для их достижения. Данная взаимосвязь иллюстрируется в материалах COSO трехмерной матрицей (кубом), представленным на рис. 46.

Данный рисунок отражает пересмотренный подход руководств Комитета COSO (называемые еще COSO II), которые являются более детализированным по сравнению с материалами, лежащими в основе первого блока руководств Комитета COSO, датируемого началом 1990-х гг.

Применение систематизированного подхода в рамках менеджмента риска организации позволяет обеспечить оптимальное управление ситуацией в условиях неопределенности и принятие более осознанных решений по вопросам риска. Для реализации данного подхода на практике организация должна разработать/принять удовлетворяющую ее целям понятийную базу, установить цели, задачи, объемы, распределить ответственность, а также утвердить методологию управления операционными рисками.

Восемь взаимосвязанных компонентов менеджмента риска организации по методологии Комитета COSO (см. рис. 46) поясняются следующим образом.

— Внутренняя среда. Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает философию менеджмента риска и уровень риска, на который готова идти организация, честность и этические ценности, а также ту среду, в которой они существуют.

— Постановка целей. Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс менеджмента риска предоставляет «разумную» гарантию (если более точно, то определенное основание для уверенности) того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и эти цели соответствуют задачам организации и ее готовность идти на риск.