Концептуальные основы управления рисками COSO: цели, компоненты модели, мониторинг

Обычно Концептуальные основы управления рисками организаций  представляются в виде "Магического  куба ERM COSO", показывающего взаимосвязь  Целей (верхняя грань куба), Компонентов (горизонтальные ряды) и Подразделений  организации (вертикальные ряды). В 2001 году COSO инициировал проект по разработке концептуальных основ управления рисками для использования менеджментом компаний при оценке системы управления рисками и ее дальнейшем усовершенствовании. 

Ряд корпоративных скандалов  и банкротств, получивших широкую  огласку (например, Enron, Tyco International, Adelphia, Peregrine Systems и WorldCom), потребовали укрепления корпоративного управления и совершенствования управления рисками. В результате был принят закон Сарбейнса-Оксли. Данный закон расширяет давно существующее требование к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая обязанность на руководство компаний представлять информацию об эффективности этих систем, а на независимого аудитора — удостоверять предоставленные сведения. 

«Концептуальные основы внутреннего  контроля» продолжает выступать  в качестве общепринятого стандарта  при выполнении данных требований к  предоставлению отчетности, однако в 2004 COSO публикует «Концептуальные основы управления рисками организаций». COSO считает, что эта модель продолжает рассмотрение вопросов внутреннего  контроля, при этом акцент делается на более широком понятии управления рисками. 

     Четыре категории бизнес – задач. Концептуальная основа управления рисками организаций по-прежнему направлена на достижение целей организации; однако теперь включает четыре категории:

• стратегические цели (strategic) — цели высокого уровня, соотнесенные с миссией/видением организации;
• операционные цели (operations) — эффективное и результативное использование ресурсов;
• цели в области подготовки отчетности (reporting) — достоверность отчетности;
• цели в области соблюдения законодательства (compliance) — соблюдение применимых законодательных и нормативных актов.

     Восемь компонентов управления рисками включают:

     Внутренняя среда (Internal environment). Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации, и как они на него реагируют. Внутренняя среда включает философию управления рисками и риск-аппетит, честность и этические ценности, а также ту среду, в которой они существуют.

     Постановка целей (Objective setting). Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс управления рисками предоставляет «разумную» гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей, и эти цели соответствуют миссии организации и уровню ее риск – аппетита.

     Определение событий (Event identification). Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учётом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.

     Оценка рисков (Risk assessment). Риски анализируются с учётом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего и остаточного риска.

     Реагирование на риск (Risk response). Руководство выбирает метод реагирования на риск — уклонение от риска, принятие, сокращение или перераспределение риска, — разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск – аппетитом организации.

     Средства контроля (Control activities). Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.

     Информация и коммуникации (Information and communication). Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали.

     Мониторинг (Monitoring). Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.

     COSO надеется, что Концептуальная основа управления рисками организаций позволит определить прямую взаимосвязь между компонентами системы управления рисками и целями, которые будут удовлетворять потребность введения новых законов, нормативных актов и новых требований к регистрации ценных бумаг на фондовых биржах и ожидает, что она получит широкое признание со стороны компаний и других организаций и заинтересованных сторон.

     Компании вложили значительные средства в повышение качества внутреннего контроля, однако, COSO отметил, что многие организации не в полной мере понимают важность мониторинга компонентов модели COSO и его роль в оптимизации процесса оценки. В январе 2009 года, COSO опубликовала руководство по мониторингу системы внутреннего контроля, чтобы уточнить функцию мониторинга компонентов внутреннего контроля.

     Со временем эффективный мониторинг может привести к организационной продуктивности и снижению затрат, связанных с публичной отчетностью по вопросам внутреннего контроля, потому, что проблемы были выявлены и рассмотрены активным, а не реактивным образом.

     Руководство COSO по мониторингу основывается на двух фундаментальных принципах, заложенных в Руководстве COSO 2006:

• Постоянные или разовые оценки позволяют руководству определить, функционируют ли другие компоненты внутреннего контроля в течение всего времени;
• Недостатки внутреннего контроля установлены и своевременно доведены до лиц, ответственных за принятие мер по исправлению ситуации, а также руководства и совета по мере необходимости.

     Кроме того руководство по мониторингу предполагает, что эти принципы лучше всего реализуются посредством мониторинга, который основывается на трех элементах:

• Правильный настрой среди руководства;
• Эффективную организационную структуру, которая определяет в рамках мониторинга роли для людей с соответствующими компетенциями, независимостью, полномочиями, и
• Отправную точку или базовый уровень известных эффективных элементов внутреннего контроля, с помощью которых могут быть осуществлены постоянное наблюдение или отдельные оценки;

     Разработка и осуществление процедур мониторинга сосредоточены на убедительной информации о работе ключевых элементов контроля, направленных на значимые для целей организации риски, а также формирование мнения и предоставление отчета по результатам, которые включают оценку существенности выявленных недостатков и отчетов по результатам мониторинга соответствующим лицам и совету для своевременных действий и при необходимости дальнейшего наблюдения.

     COSO надеется, что Концептуальная основа управления рисками организаций позволит определить прямую взаимосвязь между компонентами системы управления рисками и целями, которые будут удовлетворять потребность введения новых законов, нормативных актов и новых требований к регистрации ценных бумаг на фондовых биржах и ожидает, что она получит широкое признание со стороны компаний и других организаций и заинтересованных сторон. 

 

 

Заключение

     Аудит как элемент рыночных отношений получил признание практически по всем мире. Пользователями аудиторских услуг являются юридические и физические лица, заинтересованные в достоверности финансовой отчетности, поскольку ее содержание для них имеет экономический смысл в плане снижения предпринимательского риска.

     За более чем столетнюю историю аудита экономически развитые страны выработали систему правил, положений и требований, следование которым способствует повышению качества и надежности аудита.

     Аудит стал многопрофильным мероприятием, включающим проведение анализа финансовой деятельности, системы внутреннего контроля, изучение законодательной и регулирующей среды предприятия, изучения присущих субъекту рисков и их влияния на финансовую отчетность и на возможность субъекта действовать непрерывно. Такое расширение повлекло необходимость в повышении квалификации аудиторов, в получении новых знаний, разработке новых методик и приобретение новой практики в аудите.

     Несмотря на то, что цель аудита - это выражение уверенности о финансовой отчетности субъекта как показала мировая практика, и что нашло выражение в Международных стандартах аудита, невозможно выразить какую-либо разумную уверенность о финансовой отчетности, не изучив деятельность аудируемого субъекта и не оценив, связанные с деятельностью риски. При этом, достаточно разумным является подход в изучении рисков, связанных только с финансовой отчетностью. Однако наряду с такими рисками, аудитор все-таки должен изучать и операционные и прочие риски с тем, чтобы изучить возможность субъекта действовать в обозримом будущем, оценивать степень влияния нефинансовых рисков на некоторые элементы финансовой отчетности, такие как: резерв, оценку активов и др.

 

 

Список использованной литературы

1. http://www.audit-cp.ru
2. http://gaap.ru
3. Журнал «Финансовые и Бухгалтерские консультации» №1-2009 
4. Журнал "Аудиторские ведомости", 2011, N 10
5. Основы аудита. Учеб. / Под ред. профессора Р.П. Булыги. - Ростов н/Д.: "Феникс", 2010
6. http://www.complianceofficer.ru/COSO.php 
7. Guidance on Monitoring Internal Control Systems