Главная / Информация / Управление рисками / Оценка рисков / Соответствие системы управления рисками принципам и компонентам COSO ERM
Соответствие системы управления рисками принципам и компонентам COSO ERM
Методологической основой данного метода оценки управления рисками, является методология COSO ЕRМ – «Управление рисками организации – интегрированная модель», позволяющая выявить проблемные блоки, устранить некорректные процедуры, получить достаточно полную характеристику системы управления рисками.
В качестве критерия эффективности используют соответствие основных элементов систем управления рисками «лучшей практике». В соответствии с предлагаемой методологией эффективность процесса управления рисками является предметом субъективного суждения, которое формируется в результате оценки наличия и функционирования восьми компонентов управления рисками:
- внутренняя среда;
- постановка целей;
- определение событий;
- оценка рисков;
- реагирование на риски;
- средства контроля;
- информация и коммуникация;
- мониторинг.
Необходимо, чтобы все компоненты присутствовали и эффективно функционировали, а риск должен находиться в рамках риск-аппетита, принятого организацией для достижения своих целей, выполнения миссии или реализации стратегии.
Все восемь компонентов процесса управления рисками не могут функционировать одинаково в каждой организации. Их применение в небольших организациях, например, может быть менее формализовано и менее структурировано. В то же время, даже небольшие организации могут иметь эффективную систему управления рисками только в том случае, если каждый из компонентов в ней присутствует и должным образом функционирует.
Для более детальной оценки эффективности управления рисками для каждого компонента определяются соответствующие ему принципы.
При этом оценка уровня реализации каждого принципа управления рисками осуществляется по формуле:
- Уровень реализации принципа = Уровень значимости*Коэффициент реализации
- Уровень значимости принципа (в целях проведения оценки эффективности системы управления рисками) задается экспертным путем/определяется высшим руководством.
Уровни значимости принципов управления рисками определяются таким образом, чтобы суммарная значимость всех принципов была равна 1. Суммирование значимостей принципов, реализуемых в рамках конкретного компонента, определяет значимость компонента с точки зрения организации.
Заключение об отсутствии значимости принципа (уровень значимости равен 0), в случае, если оно делается организацией, должно подкрепляться логическим обоснованием, показывающим, каким образом в отсутствие принципа связанный с ним компонент управления рисками может иметься в наличии и работать.
Величина коэффициент реализации принципа зависит от наличия/отсутствия выявленных в ходе проведения оценки существенных недостатков системы управления рисками при реализации соответствующего принципа. Шкала значений коэффициентов устанавливается организацией.
На основании суммарного уровня реализации принципов в рамках отдельного компонента делается вывод о степени влияния конкретного компонента на эффективность системы управления рисками.
Если суммарный уровень реализации принципов, относящихся к конкретному компоненту, меньше половины уровня значимости компонента, то уровень его реализации признается недостаточно обеспечивающим эффективность системы управления рисками, а если равен и больше половины, но меньше максимального значения – не полностью обеспечивающим эффективность системы управления рисками.
Покомпонентная сумма показателей реализации принципов позволяет оценить эффективность системы управления рисками организации по шкале, установленной организацией.
При этом рекомендуется принимать во внимание сам факт наличия существенных недостатков системы управления рисками, которые проявляются в рамках покомпонентной оценки реализации принципов.
Существенные недостатки управления рисками в соответствии с настоящей методикой оценки эффективности имеют место, когда принципы управления рисками не определены (не описаны во внутренних документах компании), и (или) определены, но не внедрены, и (или) определены и внедрены, но не выполняются, и (или) эти принципы не работают все вместе. Существенные недостатки в реализации соответствующего принципа не могут быть компенсированы наличием, приемлемым уровнем или функционированием других принципов.
Ниже в таблицах приведен пример оценки соответствия системы управления рисками принципам и компонентам COSO ERM.
Определяются принципы внутри каждого компонента управления рисками.
Компонент «Внутренняя среда»
| № п/п | № внутри компонента |
Принцип |
| 1 | 1 | Организация демонстрирует приверженность принципу порядочности и этическим ценностям |
| 2 | 2 | Совет директоров демонстрирует независимость от исполнительного руководства и осуществляет надзор за развитием и функционированием внутреннего контроля |
| 3 | 3 | Исполнительное руководство, под надзором совета директоров, определяет структуру организации, линии подчиненности, а также соответствующие полномочия, обязанности и ответственность в процессе достижения целей |
| 4 | 4 | Организация демонстрирует стремление к привлечению, развитию и удержанию компетентных сотрудников в соответствии с поставленными целями |
| 5 | 5 | Организация устанавливает ответственность сотрудников за выполнение ими своих обязанностей в сфере внутреннего контроля, управления рисками в процессе достижения целей |
| 6 | 6 | Система внутреннего контроля и управления рисками должна соответствовать масштабам деятельности организации и ее стратегии |
| 7 | 7 | Высшее руководство определяет философию в отношении риска и риск-аппетита организации |
Компонент «Постановка целей»
| № п/п | № внутри компонента |
Принцип |
| 8 | 1 | Организация определяет четкие цели для того, чтобы иметь возможность идентифицировать и оценить риски, препятствующие их достижению |
| 9 | 2 | Цели организации определяются до того, как высшее руководство выявит события, потенциально влияющие на достижение целей |
| 10 | 3 | При постановке целей должна соблюдаться иерархия целей: общие цели ставятся на стратегическом уровне, на их основе разрабатываются тактические цели, а также подцели. |
| 11 | 4 | Процесс управления рисками обеспечивает «разумную» гарантию того, что высшее руководство имеет правильно организовало процесс выбора и формулировки целей, и что цели устанавливаются таким образом, чтобы соответствовать миссии организации и учитывать уровень ее риск-аппетита |
Компонент «Определение событий»
| № п/п | № внутри компонента |
Принцип |
| 12 | 1 | Организация определяет внутренние и внешние события, оказывающие влияние на достижение ее целей |
| 13 | 2 | Исходя из перечня событий, сформулированного на основе анализа внешних и внутренних факторов, воздействующих на цели организации, организация оценивает влияние данных событий: положительное (возможности), отрицательное (риски) либо смешанное |
| 14 | 3 | Для отрицательных событий (рисков) определяются показатели, влияющие на возникновение данных рисков, - ключевые индикаторы рисков |
| 15 | 4 | Высшее руководство учитывает существующие возможности в процессе формирования стратегии и постановки целей |
Компонент «Оценка рисков»
| № п/п | № внутри компонента |
Принцип |
| 16 | 1 | Организация идентифицирует риски, препятствующие достижению полного спектра своих целей, и осуществляет анализ рисков для определения подходов к управлению ими |
| 17 | 2 | Организация учитывает возможность мошенничества при оценке рисков, препятствующих достижению поставленных целей |
| 18 | 3 | Организация определяет и оценивает изменения, которые могут оказать значительное воздействие на систему внутреннего контроля |
| 19 | 4 | Организация оценивает риски с учетом вероятности их возникновения и влияния |
| 20 | 5 | Организация проводит сравнительную оценку риска – соотнесение уровня риска с его допустимым (целевым) уровнем |
Компонент «Реагирование на риски»
| № п/п | № внутри компонента |
Принцип |
| 21 | 1 | Организация определяет и оценивает возможные виды реагирования на риски, включая возможность уклонения от риска, принятия его, сокращения или перераспределения риска. |
| 22 | 2 | Выбранные методы реагирования должны привести выявленный риск в соответствие с допустимым уровнем данного риска и с уровнем риск-аппетита организации. |
| 23 | 3 | При выборе способа реагирования организация должна оценить затраты и выгоды от использования данного метода |
Компонент «Средства контроля»
| № п/п | № внутри компонента |
Принцип |
| 24 | 1 | Организация выбирает и разрабатывает контрольные процедуры, которые позволяют снизить до приемлемого уровня риски, препятствующие достижению целей |
| 25 | 2 | Организация выбирает и разрабатывает общие процедуры контроля над технологиями для достижения поставленных целей |
| 26 | 3 | Организация реализует контрольные процедуры посредством политик, которые определяют ожидаемые результаты, и процедур, посредством которых политики претворяются в жизнь |
Компонент «Информация и коммуникации»
| № п/п | № внутри компонента |
Принцип |
| 27 | 1 | Организация получает или формирует и использует значимую и качественную информацию для поддержания функционирования внутреннего контроля и управления рисками |
| 28 | 2 | В организации осуществляется внутренний обмен информацией, включая информацию о целях и обязанностях в области внутреннего контроля и управления рисками, которая необходима для их функционированиявыбирает и разрабатывает общие процедуры контроля над технологиями для достижения поставленных целей |
| 29 | 3 | Организация осуществляет обмен информацией с внешними сторонами по вопросам, оказывающим влияние на функционирование внутреннего контроля и управления рисками |
Компонент «Мониторинг»
| № п/п | № внутри компонента |
Принцип |
| 30 | 1 | Организация выбирает, готовит и проводит непрерывные и/или периодические оценки компонентов внутреннего контроля и управления рисками с целью удостовериться, что они есть в наличии и работают |
| 31 | 2 | Организация оценивает недостатки внутреннего контроля и управления рисками и своевременно информирует о них стороны, ответственные за осуществление корректирующих действий, включая исполнительное руководство и совет директоров |
| 32 | 3 | Мониторинг системы управления рисками осуществляется путем контроля за величинами ключевых индикаторов риска и их соответствием допустимым (целевым) уровням КИР |
Установлены следующие значения коэффициента реализации принципа:
- 0 – отсутствие реализации принципа (принцип не определен – не описан во внутренних документах)
- 0,5 – недостаточная реализация принципа (принцип определен, но не функционирует должным образом)
- 1,0 – принцип реализуется должным образом (принцип определен и функционирует)
Уровень реализации принципа (столбец 4 Таблицы 1) рассчитывается как произведение уровня значимости принципа (столбец 3 Таблицы 1) и коэффициента реализации принципа (экспертная оценка по определенной выше шкале).
Покомпонентная сумма показателей реализации принципов позволяет оценить эффективность системы управления рисками организации по шкале, установленной организацией.
- 0,8-1,0/80-100% - система управления рисками организации высоко эффективна;
- 0,6-0,8/60-80% - система управления рисками организации достаточно эффективна;
- 0,4-0,6/40-60% - система управления рисками организации недостаточно эффективна;
- менее 0,4/40% - система управление рисками организации неэффективна.
Таблица 1
| № | Принцип | Уровень значимости принципа |
Уровень реализации принципа |
Обоснование (наличие/ отсутствие существенных недостатков внутреннего контроля*) |
Рекомендации аудитора |
| 1 | 2 | 3 | 4 | 5 | 6 |
| Компонент «Внутренняя среда» | |||||
| 1 | Организация демонстрирует приверженность принципу порядочности и этическим ценностям |
0,02 | 0,02*1,0=0,02 |
Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 2 | Совет директоров демонстрирует независимость от исполнительного руководства и осуществляет надзор за развитием и функционированием внутреннего контроля |
0,02 | 0,02*0,5=0,01 | Недостаточная реализация принципа Принцип описан во внутреннем документе организации, но не внедрен на практике |
Для повышения эффективности внутреннего контроля организации совету директоров необходимо осуществлять надзор за его развитием и функционированием в соответствии с «Положением о Совете директоров». |
| 3 | Исполнительное руководство, под надзором совета директоров, определяет структуру организации, линии подчиненности, а также соответствующие полномочия, обязанности и ответственность в процессе достижения целей |
0,02 | 0,02*1,0=0,02 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 4 | Организация демонстрирует стремление к привлечению, развитию и удержанию компетентных сотрудников в соответствии с поставленными целями |
0,02 | 0,02*1,0=0,02 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 5 | Организация устанавливает ответственность сотрудников за выполнение ими своих обязанностей в сфере внутреннего контроля, управления рисками в процессе достижения целей |
0,02 | 0,02*0=0,00 | Отсутствие реализации принципа. Принцип не определен во внутренних документах о рганизации и не реализуется |
Внутренними документами организации необходимо установить ответственность сотрудников за выполнение ими своих должностных обязанностей в сфере внутреннего контроля и управления рисками в процессе достижения целей. |
| 6 | 0,02 | 0,02*1,0=0,02 | Отсутствуют | ||
| 7 | 0,02 | 0,02*1,0=0,02 | Отсутствуют | ||
| ИТОГО | Куз1=0,14 /14% | 0,11 /11% | |||
| Компонент «Постановка целей» | |||||
| 8 | Организация определяет четкие цели для того, чтобы иметь возможность идентифицировать и оценить риски, препятствующие их достижению |
0,03 | 0,03*1,0=0,03 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 9 | Цели организации определяются до того, как высшее руководство выявит события, потенциально влияющие на достижение целей |
0,03 | 0,03*1,0=0,03 | Принцип реализуется д олжным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 10 | При постановке целей должна соблюдаться иерархия целей: общие цели ставятся на стратегическом уровне, на их основе разрабатываются тактические цели, а также подцели. |
0,03 | 0,03*1,0=0,03 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 11 | Процесс управления рисками обеспечивает «разумную» гарантию того, что высшее руководство имеет правильно организовало процесс выбора и формулировки целей, и что цели устанавливаются таким образом, чтобы соответствовать миссии организации и учитывать уровень ее риск-аппетита |
0,03 | 0,03*1,0=0,03 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| ИТОГО | Куз1=0,12 /12% | 0,12 /12% | |||
| Компонент «Определение событий» | |||||
| 12 | Организация определяет внутренние и внешние события, оказывающие влияние на достижение ее целей |
0,03 | 0,03*1,0=0,03 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 13 | Исходя из перечня событий, сформулированного на основе анализа внешних и внутренних факторов, воздействующих на цели организации, организация оценивает влияние данных событий: положительное (возможности), отрицательное (риски) либо смешанное |
0,03 | 0,03*1,0=0,03 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 14 | Для отрицательных событий (рисков) определяются показатели, влияющие на возникновение данных рисков, - ключевые индикаторы рисков |
0,03 | 0,03*1,0=0,03 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 15 | Высшее руководство учитывает существующие возможности в процессе формирования стратегии и постановки целей |
0,03 | 0,03*1,0=0,03 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| ИТОГО | Куз1=0,12 /12% | 0,12 /12% | |||
| Компонент «Оценка рисков» | |||||
| 16 | Организация идентифицирует риски, препятствующие достижению полного спектра своих целей, и осуществляет анализ рисков для определения подходов к управлению ими |
0,03 | 0,03*1,0=0,03 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 17 | Организация учитывает возможность мошенничества при оценке рисков, препятствующих достижению поставленных целей |
0,02 | 0,02*1,0=0,02 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 18 | Организация определяет и оценивает изменения, которые могут оказать значительное воздействие на систему внутреннего контроля |
0,03 | 0,03*0=0,00 | Отсутствие реализации принципа. Принцип не определен во внутренних документах организации и не реализуется |
Внутренними документами организации необходимо установить, что организация определяет и оценивает изменения, которые могут оказать значительное воздействие на систему внутреннего контроля, а именно: - оцениваются изменения во внешней среде (регулятивной, экономической); - оцениваются изменения в бизнес – модели (новые направления деятельности, быстрый рост организации, новые технологии и т.д.); - оцениваются изменения в руководстве (состав, философия и т.д.). |
| 19 | Организация оценивает риски с учетом вероятности их возникновения и влияния |
0,02 | 0,02*1,0=0,02 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 20 | Организация проводит сравнительную оценку риска – соотнесение уровня риска с его допустимым (целевым) уровнем |
0,02 | 0,02*0,5=0,01 | Недостаточная реализация принципа. Принцип описан во внутреннем документе организации, но не внедрен на практике |
Для повышения эффективности управления рисками необходимо внедрить на практике соотнесение уровня риска с его допустимым (целевым значением). |
| ИТОГО | Куз2=0,12 /12% | 0,08 /8% | |||
| Компонент «Реагирование на риски» | |||||
| 21 |
Организация определяет и |
0,04 | 0,04*1,0=0,04 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 22 | Выбранные методы реагирования приводят выявленный риск в соответствие с допустимым уровнем данного риска и с уровнем риск-аппетита организации. |
0,05 | 0,05*1,0=0,05 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 23 | При выборе способа реагирования организация оценивает затраты и выгоды от использования данного метода |
0,05 | 0,05*1,0=0,05 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| ИТОГО | Куз1=0,14 /14% | 0,14 /14% | |||
| Компонент «Средства контроля» | |||||
| 24 | Организация выбирает и разрабатывает контрольные процедуры, которые позволяют снизить до приемлемого уровня риски, препятствующие достижению целей |
0,04 | 0,04*1,0=0,04 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 25 | Организация выбирает и разрабатывает общие процедуры контроля над технологиями для достижения поставленных целей |
0,04 | 0,04*1,0=0,04 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 26 | Организация реализует контрольные процедуры посредством политик, которые определяют ожидаемые результаты, и процедур, посредством которых политики претворяются в жизнь |
0,04 | 0,04*0,5=0,02 | Недостаточная реализация принципа. Принцип описан во внутреннем документе организации, но не полностью внедрен на практике |
Необходимо на практике периодически анализировать контрольные процедуры на предмет сохранения актуальности и обновлять их по мере необходимости. |
| ИТОГО | Куз3=0,12 /12% | 0,10 /10% | |||
| Компонент «Информация и коммуникации» | |||||
| 27 | Организация получает или формирует и использует значимую и качественную информацию для поддержания функционирования внутреннего контроля и управления рисками |
0,04 | 0,04*1,0=0,04 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| 28 | В организации осуществляется внутренний обмен информацией, включая информацию о целях и обязанностях в области внутреннего контроля и управления рисками, которая необходима для его функционирования |
0,04 | 0,04*0,5=0,02 | Недостаточная реализация принципа. Принцип описан во внутреннем документе организации, но не полностью внедрен на практике |
Способ осуществления коммуникаций не всегда учитывает такие факторы, как своевременность и характер информации. Отсутствуют отдельные каналы передачи информации, такие как «горячие линии» для сообщения о нарушениях, которые служат надежными механизмами для передачи анонимных или конфиденциальных сообщений в тех случаях, когда обычные каналы не функционируют или неэффективны. |
| 29 | Организация осуществляет обмен информацией с внешними сторонами по вопросам, оказывающим влияние на функционирование внутреннего контроля и управления рисками |
0,04 | 0,04*1,0=0,04 | Принцип реализуется должным образом. Принцип определен во внутренних документах организации и функционирует |
Отсутствуют |
| ИТОГО | Куз4=0,12/12% | 0,10 /10% | |||
| Компонент «Мониторинг» | |||||
| 30 | Организация выбирает, готовит и проводит непрерывные и/или периодические оценки компонентов внутреннего контроля и управления рисками с целью удостовериться, что они есть в наличии и работают |
0,4 | 0,4*0=0,00 | Отсутствие реализации принципа. Принцип не определен во внутренних документах организации и не реализуется |
Во внутренних документах организации необходимо определить проведение непрерывных и/или периодических оценок компонентов внутреннего контроля и управления рисками с целью удостовериться, что они есть в наличии и работают. При этом необходимо учитывать быстроту изменения бизнеса и бизнес – процессов, обеспечить интеграцию оценок с бизнес – процессами, корректировать объем и частоту оценок в зависимости от рисков и др. |
| 31 | Организация оценивает недостатки внутреннего контроля и управления рисками и своевременно информирует о них стороны, ответственные за осуществление корректирующих действий, включая высшее исполнительное руководство и совет директоров |
0,4 | 0,4*0=0,00 | Отсутствие реализации принципа. Принцип не определен во внутренних документах организации и не реализуется |
Во внутренних документах организации необходимо определить, что организация оценивает недостатки внутреннего контроля и управления рисками и своевременно информирует о них стороны, ответственные за осуществление корректирующих действий, включая исполнительное руководство и совет директоров, а именно: • исполнительное руководство и совет директоров анализируют результаты непрерывных и периодических оценок; • информация о недостатках предоставляется в установленном порядке сторонам, ответственным за осуществление корректирующих действий, исполнительному руководству и совету директоров; • исполнительное руководство контролирует своевременность устранения недостатков. |
| 32 | Мониторинг системы управления рисками осуществляется путем контроля за величинами ключевых индикаторов риска и их соответствием допустимым (целевым) уровням КИР |
0,4 | 0,4*0,5=0,02 | Недостаточная реализация принципа. Принцип описан во внутреннем документе организации, но не полностью внедрен на практике |
Необходимо внедрить в практике деятельности организации контроль за величинами ключевых индикаторов риска и их соответствием допустимым (целевым) уровням КИР. |
| ИТОГО | Куз5=0,12 /12% | 0,02 /2% | |||
| ВСЕГО | 1,0 /100% | 0,79 /79% | |||
Покомпонентная сумма показателей реализации принципов составляет 0,79 (или 79%).
Система управления рисками организации достаточно эффективна.
