Статья написана при участии Павла Смолкова для Executive.ru
Что надо знать о новых законодательных требованиях относительно риск-менеджмента? Рекомендации юриста для советов директоров акционерных обществ.
Федеральный закон от 19 июля 2018 года №209-ФЗ «О внесении изменений в Федеральный закон «Об акционерных обществах» закрепил следующие положения:
- В соответствии со статьей 65.1, к компетенции совета директоров (наблюдательного совета) общества относится в том числе определение принципов и подходов к организации в обществе управления рисками, внутреннего контроля и внутреннего аудита (пп. 9.2 введен Федеральным законом от 19.07.2018 N 209-ФЗ).
- В статье 87.1. «Управление рисками, внутренний контроль и внутренний аудит в публичном обществе» устанавливается требование, что:
- В публичном обществе должны быть организованы управление рисками и внутренний контроль. Совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие политику общества в области организации управления рисками и внутреннего контроля.
- Для оценки надежности и эффективности управления рисками и внутреннего контроля в публичном обществе должен осуществляться внутренний аудит. Совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие политику общества в области организации и осуществления внутреннего аудита.
Часть требований вступила в силу с сентября 2018 года, п. 2 ст. 87.1 вступает в силу с 01 июля 2020 (ФЗ от 19.07.2018 N 209-ФЗ). Оцените готовность вашей организации к изменениям с помощью короткого онлайн-опроса.
Управление рисками является неотъемлемой частью управления организацией. Это не только важный элемент корпоративного управления, но и практический инструмент принятия бизнес-решений. При внедрении крайне важно избегать позиционирования управления рисками как обособленной деятельности, отдельной системы. Важна интеграция в бизнес, которая может быть достигнута путем встраивания риск-менеджмента в процессы принятия решений, использования инструментов анализа рисков при оценке проектов, эффективности деятельности и стратегических инициатив, интегрирования в стратегическое планирование, бюджетирование и другие ключевые процессы организации. В данной статье мы описали процедуру внедрения управления рисками и подготовили несколько практических рекомендаций для собственников, руководителей и членов совета директоров.
Процесс внедрения
Международный стандарт по управлению рисками ISO31000:2018 (в России адаптирован как ГОСТ Р ИСО 31000) описывает процесс внедрения управления рисками следующим образом:
- Для внедрения управления рисками в организации необходимо определить, где, когда, как и кем принимаются наиболее существенные решения в организации.
- Необходимо проанализировать, учитываются ли риски в процессе принятия этих существенных решений, делается ли это последовательно, системно и насколько результаты задокументированы. Если анализ рисков в процессе принимаемых решений производится неформально или не документируется, необходимо модифицировать (изменить) процедуры принятия решений. Изменить процедуры принятия решений таким образом, чтобы перед принятием любого существенного решения проводился анализ рисков, а его результаты учитывались при принятии решения.
- Необходимо обеспечить понимание и правильное применение механизмов управления рисками организации. Обычно это делается через изменение существующих нормативных документов, должностных инструкций, обучение и взаимодействие с внутренним аудитом.
Обратите внимание, что в соответствии с международным стандартом, нет требований о создании отдельной службы или подразделения по управлению рисками, а также ничего не говорится о необходимости циклично повторяемых процедур по выявлению, оценке и митигации рисков. Скорее наоборот, международный стандарт описывает управление рисками, как некий элемент каждого принимаемого в организации существенного решения, а не как отдельный отчет о рисках всей организации. Требования к отчетности о рисках также отсутствуют в стандарте, так как информация о рисках должна стать частью обычной управленческой отчетности. Руководству компании следует обеспечивать интеграцию управления рисками во все виды деятельности организации, демонстрировать лидерство и ответственность путем:
- Утверждения положения или политики, устанавливающих подход, план или порядок действий в части внедрения управления рисками.
- Обеспечения выделения необходимых ресурсов для интеграции управления рисками.
- Установления полномочий, ответственности и подотчетности на соответствующих уровнях организации для принятия решений с учетом рисков.
Роль совета директоров в процессе внедрения управления рисками должна включать:
- Выстраивание мотивации руководителей организации с учетом рисков.
- Обеспечение адекватного учета рисков при определении целей организации.
- Понимание рисков, с которыми организация сталкивается при достижении своих целей.
- Обеспечение внедрения управления рисками в ключевые бизнес-процессы.
- Обеспечение надлежащего обмена информацией о рисках и их управлении в процессе принятия решений, которые входят в компетенцию совета директоров.
Практические рекомендации
- Разработайте политику по управлению рисками. Для многих организаций может быть целесообразным документировать представление руководства о риск-менеджменте в высокоуровневом документе, таком как политика по управлению рисками. Политика должна описывать общее отношение компании к рискам, принципы управления рисками, роли и обязанности, инфраструктуру управления рисками, а также ресурсы и процессы, посвященные управлению рисками.
- Документируйте допустимый аппетит к риску для различных типов решений в существующих нормативных документах. Утверждение лимитов одобрения сделок, требования финансовой политики к привлечению финансирования, критерии инвестирования в различные типы проектов, нулевая толерантность к рискам коррупции, травматизма или смертельных случаев, требования, установленные к экологической или промышленной безопасности – все это примеры того, как руководство компании, акционеры или советы директоров устанавливают рамки, лимиты, аппетит к риску. Задача риск-менеджера убедиться, что для наиболее существенных рисков действительно установлены требования и лимиты в действующих нормативных документах. Если это не так, риск-менеджер может, совместно с владельцем процесса, инициировать рассмотрение подобных лимитов на правлении или совете директоров.
- Включите вопрос в повестку дня совета директоров. Вместо того чтобы включать обсуждение рисков как отдельный пункт в повестку совета директоров, сделайте раскрытие информации о рисках частью каждого вопроса, который обсуждается на совете директоров. Риск-менеджер должен, совместно с секретарем совета директоров, внести необходимые дополнения в шаблоны презентаций для совета директоров с целью включения информации о рисках, их влиянии на принимаемые решения и способы нивелирования в каждое существенное решение, связанное с одобрением планов, бюджетов, прогнозов, сделок или отчетов о результатах деятельности. Риск-менеджер также, совместно с внутренним аудитом, должен убедиться, что информация о рисках, предоставляемая совету директоров, является полной и правдивой.
- Рассмотрите возможность создания отдельного комитета по управлению рисками на уровне правления или расширьте мандат существующего органа управления (официально такого требования нет). Большинство опрошенных риск-менеджеров утверждают, что наличие консультационного органа по управлению рисками на уровне правления оказывает существенный положительный эффект на развитие культуры управления рисками в организации. Комитет может фокусироваться на рассмотрении методологических вопросов с целью, в первую очередь, разгрузки повестки дня правления или принимать непосредственное участие в процессе принятия инвестиционных, проектных и прочих решений, связанных с высокими рисками, или же совмещать обе функции.
- Актуализируйте существующие политики и процедуры с учетом рисков. Вместо того чтобы разрабатывать отдельные регламенты или методики по управлению рисками, необходимо актуализировать существующие регламенты и процедуры, например финансовую политику, регламент бюджетирования или положение о закупках. В существующих регламентах необходимо зафиксировать необходимость анализа рисков в процессе принятия решений. Вместо единых централизованных документов по управлению рисками, владельцами которых являются риск-менеджеры, должны быть изменены существующие нормативные документы, что усиливает интеграцию управления рисками в бизнес-процессы. Таким образом, ответственность за соблюдение нормативных документов закрепляется за бизнес-подразделениями.
- Вовлекайте риск-менеджера (если он есть) в процессы принятия решения для оцифровки рисков. С целью развития культуры управления рисками важно избегать восприятия риск- менеджмента как отдельного от бизнеса, самостоятельного процесса. Один из наиболее действенных и простых способов – включение элементов анализа рисков в процесс принятия решений. Например, использование вероятностного подхода к оценке инвестиционной привлекательности проектов может позволить компании избежать многих ошибок, присущих более традиционным методам оценки. Вместо точечной оценки чистой приведенной стоимости (NPV) компании могут рассчитывать на распределение целого ряда показателей, в том числе вероятность отрицательного NPV. Сценарный анализ или имитационное моделирование могут существенно повысить качество инвестиционного анализа.
- Проводите обучение по управлению рисками. Ключевым компонентом развития риск-ориентированного управления является обучение членов совета директоров, руководства, сотрудников и развитие культуры управления рисками.
- Закрепите роли и обязанности по управлению рисками. Данная задача предполагает документирование ролей и обязанностей в области управления рисками в существующих должностных инструкциях, положениях о подразделениях и комитетах и мониторинг выполнения обязанностей по управлению рисками в процессе ежегодной оценки персонала.
- Выстраивайте мотивацию руководителей с учетом рисков. Управление рисками должно начинаться с непреодолимого желания каждого из руководителей управлять, просчитывая свои действия на несколько шагов вперед, проактивно снимать угрозы и использовать возможности. Желание определяется мотивацией.