Мониторинг управления рисками на мезо- и микроуровнях

Мониторинг является важнейшей частью корпоративного управления, в основе которого лежит теория агентских отношений (Agency-Theorie), исследующая поведение в рамках договорных отношений между принципалом (заказчиком) и агентом (управленцем). Полное и бесплатное соблюдение интересов принципала невозможно, потому что устранение асимметрии информации влечет за собой агентские затраты [1], включающие, среди прочего, затраты мониторинга. Мониторинг – это, по существу, наблюдение принципала за агентом. Целью мониторинга является обеспечение прозрачности действий агента и, следовательно, их контролируемости. Управление рисками как элемент системы управления также является объектом мониторинга.

Цель нашей работы – провести комплексное исследование мониторинга управления рисками на предприятии.

Материалы и методы исследования

Рассмотрим сначала внутренний мониторинг как основу общей модели мониторинга. Структура внутреннего мониторинга представлена на рис. 1.

Во внутреннем мониторинге можно выделить мезо- и микроуровни. Мезоуровень – это так называемая «модель трех линий обороны» ( Three-Lines-of-Defence -Modell, TLoD) [2]. Её обычно используют банки для мониторинга деятельности предприятий.

Рис. 1. Структура внутреннего корпоративного мониторинга Источник: разработан автором

Линии обороны можно интерпретировать как «защитные валы», оберегающие предприятие от внешних и внутренних рисков. Следовательно, TLoD-модель можно рассматривать как универсальную, риск-ориентированную модель корпоративного мониторинга, не зависящую от размера и структуры компании.

Структура TLoD-модели представлена на рис. 2.

Мониторинг со стороны оперативного руководства и операционных подразделений (первая линия обороны) охватывает операционную деятельность предприятия. Мониторинг подразумевает, с одной стороны, классический оперативный контроль процессов. С другой стороны, в него входят мероприятия, проводимые руководителей, отвечающими за контролируемый процесс. Такие мероприятия осуществляются, например, менеджерами среднего звена в сфере их влияния. Обеспечение эффективности и результативности операционных бизнес-про-цессов – цели первой линии мониторинга.

Мониторинг как косвенная функция управления (вторая линия обороны) включает управление рисками [3], контроллинг, управление качеством и комплаенс. Эта функция предназначена для поддержки и контроля первой линии обороны, особенно с точки зрения эффективности ее концепции и функционирования. Задачи второй линии обороны часто определяются конкретными подразделениями или должностями.

Мониторинг посредством внутреннего аудита представляет собой третью линию обороны. Внутренний аудит служит для проверки эффективности первой линии (внутреннего контроля) и второй линии (управления рисками и комплаенса). Внутренний аудит, с одной стороны, является независимой внутренней функцией проверки структур и процессов предприятия, а, с другой стороны, независимой от процессов инстанцией, которая проводит эти внутренние проверки и предоставляет результаты анализа и рекомендации в отношении проверяемого контента.

Первая линия обороны

(Менеджмент и оперативные подразделения)

•контроль управления;

•внутренний

(оперативный) контроль.

Вторая линия обороны

(Косвенные управленческие функции)

•управление рисками;

•комплаенс;

•контроллинг;

•обеспечение качества.

Третья линия обороны

(Внутренняя ревизия)

Рис. 2. Модель трех линий обороны Источник: разработан автором

Согласно традиционному мнению, сфера деятельности внутреннего аудита включает в себя финансовый, операционный и управленческий аудит, а в последнее время к его обязанностям относят также внутренний консалтинг. При этом, особенно в рамках TLoD-модели, классическая сфера деятельности внутреннего аудита расширяется до мониторинга первых двух линий обороны и, следовательно, мониторинга косвенных управленческих функций, таких как управление рисками.

Финансовый аудит включает в себя проверку финансов и бухгалтерского учета [4]. В рамках операционного аудита предпринимается внутренняя проверка систем и процессов [5]. Аудит управления служит для оценки эффективности работы руководителей. В рамках внутреннего консалтинга разрабатываются предложения по повышению эффективности предпринимательской деятельности. С точки зрения мониторинга управления рисками особое значение приобретает операционный аудит.

Объектом операционного аудита могут быть практически все процессы и системы предприятия. Его основная сложность заключается в том, что не представляется возможным создание единых стандартов, требуется анализ процессов, реализуемых на предприятии. К внутреннему аудиту предъявляются высокие требования: объективность и независимость; высокие профессионализм и качество работы.

Микроуровень мониторинга. Меры контроля, зависящие от процесса, осуществляются лицами, вовлеченными в процесс или ответственными за него. В литературе меры мониторинга, зависящие от процесса, называются организационными мерами безопасности [6]. Соответственно, эти меры мониторинга, как правило, реализуются в подразделениях компании. Независимый от процессов мониторинг осуществляется независимыми субъектами, в том числе экспертами (рис. 3).

Наряду с организационными мерами безопасности к первой линии обороны относятся контрольные мероприятия мониторинга. Особой формой контроля является так называемая «самооценка». В ходе самооценки лицо, осуществляющее процесс, его же и контролирует, а при необходимости устраняет отклонения от норматива. Самооценка – наименее затратная форма мониторинга, поскольку субъект контроля знаком с объектом контроля. В качестве преимуществ этой формы мониторинга можно назвать быстрое принятие корректирующих решений и успешное обучение.

Рис. 3. Формы мониторинга первой линии обороны Источник: разработан автором

Основными недостатками самооценки являются возможность манипулирования и отсутствие навыков анализа причин и следствий отклонений. Этот метод не подходит для выявления и устранения преднамеренных ошибок. Кроме того, ошибки самооценки могут возникнуть при выборе как фактической величины, так и норматива.

При определенных условиях экономический смысл могут иметь затраты на внешний мониторинг. Участники процесса могут не располагать достаточными ресурсами; высока вероятность преднамеренных ошибок; по требованиям законодательства необходимо независимое мнение. Сторонний мониторинг способствует объективизации результатов. Следовательно, самооценку и внешний мониторинг можно рассматривать как взаимодополняющие подходы.

Существует множество форм внешнего мониторинга. Он проводится лицами, независимыми от процессов в подразделениях предприятия. Примерами такого мониторинга являются экспертная оценка или оценка управления.

Экспертная оценка может проводиться, например, уполномоченным подразделением или другим операционным подразделением компании. Существенными преиму- ществами экспертной оценки могут быть профессиональные знания оператора мониторинга и низкие затраты на проведение.

Оценка управления проводится субъектом оперативного управления. Это может быть ответственный за проверяемую область или менеджер-нерезидент, хотя в первом случае возможны конфликты интересов.

Система и процессы внутреннего мониторинга. Согласно теории систем, система мониторинга в целом – это совокупность мер и организационных правил, направленных на оценку надлежащего выполнения процессов и соответствия фактических и заданных состояний. В качестве центральной задачи системы мониторинга рассматривается обеспечение надежности процессов компании в соответствии с принципом экономической эффективности. Система внутреннего мониторинга выглядит следующим образом (рис. 4).

Организационные меры безопасности охватывают все (зависящие от процесса) меры, включающие, в том числе, постоянные автоматические меры и меры, направленные на предотвращение ошибок текущих процессов [7]. К ним относятся, например: (а) принцип разделения функций; (б) рабочие инструкции и (в) меры цифровой безопасности.

Система внутреннего мониторинга

Организационные меры безопасности

Контроль

Аудит (ревизия)

Совокупность мер по выявлению ошибок и достижению приемлемого уровня надежности

Совокупность мер по выявлению ошибок, наблюдение за ответственными за достижение результата

Совокупность мер, осуществляемых лицами, не вовлеченными в процессы и не несущими ответственность за них

Зависящая от процессов система контроля

Независящая от процессов система контроля

Рис. 4. Система внутреннего мониторинга Источник: разработан автором

В соответствии принципом разделения функции управления, исполнения и контроля выполняются разными лицами (по крайней мере, двумя). Это – основное условие эффективности организационных мер безопасности [8].

Рабочие инструкции должны обеспечивать стандартизацию процессов на предприятии.

Для обеспечения производственных процессов могут также использоваться цифровые технологии с соответствующими мерами защиты. Меры защиты интегрированы в систему, и пользователи обязаны их соблюдать в рамках цифровой обработки бизнес-процессов. К такого рода мерам относятся, например, разрешения или ограничения доступа, правила разработки и обслуживания системы. Меры цифровой безопасности охватывают все три категории организационных мер защиты, реализованных в цифровом формате.

Контроль, который по определению интегрирован в корпоративные процессы, призван снизить вероятность ошибок. Он может выполняться в виде априорного, одновременного или апостериорного. Контроль может проводится лицом, вовлеченным в процесс, или в ИТ-системе.

Внутренний аудит также рассматривается как часть системы внутреннего мониторинга. Аудит проводится независимым от процессов, внутренним подразделением, которое мониторирует деятельность орга- низации. Внутренний мониторинг может быть определен как «многоуровневый информационный процесс и процесс принятия решений, включающий в себя все меры, направленные на проверку соответствия состояний или процессов стандартам». Согласно концепции Хмелевича, процессы мониторинга можно интерпретировать как его технологию.

В литературе выделяются четыре типовых этапа процесса мониторинга [9].

На первом этапе процесса мониторинга необходимо определить предполагаемый (заданный) и фактический размеры. Заданный размер является эталоном, поэтому его часто называют также стандартным размером. Фактический размер получают из информационных систем и/или документации компании. Фактический размер (размер, подлежащий мониторингу) сопоставляется с заданным размером. Предметом мониторинга могут быть и прогнозные величины (будущие величины).

Выявление возможного отклонения (или соответствия) фактического и заданного размеров составляет второй этап процесса мониторинга. Этот этап может осложняться различным масштабированием, ненадежными данными и дискреционными правами относительного определения двух величин.

На третьем этапе процесса проводится анализ отклонений, целью которого является определение причин выявленных отклонений и оценка отклонений с точки зре- ния заданных соотношений «цель-средства достижения».

Четвертый этап процесса мониторинга включает в себя определение корректирующих и оптимизирующих действий. Этот этап выполняет профилактическую функцию с точки зрения предотвращения отклонений в будущем. Могут быть также определены допустимые пределы отклонений, при которых корректирующие действия не предпринимаются.

Наряду с этими четырьмя этапами этапом процесса мониторинга часто называют отчетность, которая приобретает все большее значение по мере увеличения размера предприятия. Иногда в качестве еще одного этапа процесса мониторинга называются последующие проверки.

Рассмотрим типы и требования к сравниваемым размерам.

При определении нормативов могут быть дифференцированы следующие стандарты:

• •    стандарты 1-го порядка, в основе которых лежат четкие правила (положения закона или математические расчеты);

• •    стандарты 2-го порядка, основанные скорее на общепринятых принципах;

• •    стандарты 3-го порядка, определяемые на основе объективных критериев.

К стандартам предъявляются следующие требования:

• •    одинаковая размерность, т.е. фактический или будущий размеры и стандартный размер должны иметь одинаковые единицы измерения;

• •    одинаковое время; фактический или будущий размеры и стандартный размер должны относиться к одному и тому же периоду времени;

• •    одинаковые даты измерения;

• •    идентичные методы оценки, т.е. фактический или будущий размеры и стандартный размер определяются с помощью одних и тех же процедур.

В теории аудита различается системноориентированная проверка и проверка, ориентированная на результат. В то время как аудит, ориентированный на результат, оценивает отдельные случаи, системный аудит предполагает, что только система генерирует надежную информацию, и вероятность ошибки в этом случае уменьшается.

Мониторинг может выполнять следующие функции (рис. 5).

Защитная функция включает в себя обеспечение фактического выполнения процессов в соответствии с заданной целью. Рекомендуемые корректирующее действия направлены на исправление фактических результатов.

Рис. 5. Функции мониторинга Источник: разработан автором

В рамках процесса мониторинга происходят генерация и обработка информации, т.е. реализуется информационная функция мониторинга, включающая информирование руководства компании и заинтересованных сторон относительно реализации процессов и предпринимаемых мер.

Мониторинг выполняет отчетную функцию, как для соответствующего подразделения (инстанции), так и для контролируемых объектов. Кроме того, он защищает руководство предприятия, имеющего обязательства перед владельцами бизнеса.

Функция документирования позволяет фиксировать как позитивные, так и негативные изменения в выполнении бизнес-задач.

Обеспечивающая функция поддерживает реализацию целей, поставленных руководством компании или контролирующим органом в рамках корпоративных процессов. Контроль, объявление о нем или даже само существование контролирующего органа обеспечивает положительное влияние на поведение контролируемых субъектов.

Кроме того, мониторинг выполняет важную обучающую функцию. Он оказывает положительное воздействие на предотвращение будущих непреднамеренных ошибок.

Результаты исследования и их обсуждение

Проанализируем мониторинг управления рисками с точки зрения внутреннего корпоративного мониторинга. Из-за асимметрии информации и поведенческих рисков, с одной стороны, и возможности ошибок в сложных процессах, с другой стороны, управление рисками также является объектом мониторинга [10]. Процесс управления рисками является ключевым информационным процессом на предприятии, генерирующим информацию, важную для принятия решений. Только эффективный процесс управления рисками может выполнять возлагаемые на него функции. При этом важную роль играет внутренний корпоративный мониторинг. Защитная функция направлена на обеспечение выполнения процессов и действий в соответствии с заданным целевым состоянием, т.е. процесс управления рисками реализуется во всех подразделениях компании в соответствии с целями, определенными политикой управления рисками. Именно мониторинг обеспечивает прозрачность процесса управления рисками (информационная функция) для руководства компании и других заинтересованных лиц. Весьма важна в мониторинге управления рисками и обеспечивающая функция. Например, мониторинг противодействует неправильному принятию рисков вследствие небрежной идентификации и искусственно заниженной оценки.

Положительный эффект мониторинга процесса управления рисками может возникать вследствие того, что он обеспечивает открытое обсуждение рисков внутри компании и, таким образом, позитивно влияет на культуру рисков. Мониторинг выполняет важную обучающую функцию.

Заключение

Мы провели комплексное исследование мониторинга управления рисками на предприятии как части корпоративного управления, проанализировав этапы, функции, позитивные последствия реализации внутреннего мониторинга.