Оценка эффективности системы управления рисками

Автор: Волкова Т. А., Волкова С. А., Серебрякова Н. А.

Журнал: Вестник Воронежского государственного университета инженерных технологий @vestnik-vsuet

Статья в выпуске: 3 (93), 2022 года.

Бесплатный доступ

Статья посвящена исследованию современных подходов к оценке эффективности системы управления рисками (СУР) организации, представленных в актуальных стандартах риск-менеджмента, рекомендациях регулятора и в научной литературе, посвященной данной проблеме. Исходя из предположения, что эффективность системы управления рисками можно оценить на основе сопоставления достигнутого результата с критерием эффективности СУР, авторами исследованы методические подходы и критерии оценки, предложенные в документах, регламентирующих риск-менеджмент, а также специалистами. В результате проведенного анализа установлено, что в специализированной литературе, посвященной проблеме управления рисками, отсутствует общепринятое определение эффективности СУР, а также четкие критерии ее оценки. Анализ подходов к оценке эффективности СУР позволил определить ключевые элементы и процессы управления рисками. Предложены критерии и методика оценки эффективности системы управления рисками организации с учётом степени внедрения и эффективности функционирования элементов СУР. Оценка эффективности системы управления рисками будет становиться все более актуальной. Этому способствуют изменяющиеся условия работы организаций и объективные потребности субъектов управления рисками и заинтересованных сторон. По мнению авторов, оценка эффективности систем управления рисками позволяет получить достоверную информацию о протекания бизнес-процессов и выявить проблемные блоки, препятствующие достижению целей организации. Такая информация должна быть учтена в процессе принятия управленческих решений на всех уровнях управления.

Еще

Риск, управление рисками, эффективность системы, критерии эффективности, стандарты риск-менеджмента

Короткий адрес: https://sciup.org/140297655

IDR: 140297655 | DOI: 10.20914/2310-1202-2022-3-326-331

Текст научной статьи Оценка эффективности системы управления рисками

Ключевым фактором, определяющим эффективность деятельности организаций, является обеспечение их устойчивого развития, что в немалой степени обеспечивает система управления рисками. Внедрение системы управления рисками (СУР) не гарантирует достижения целей организации, поэтому важно проводить оценку ее эффективности [1]. Несмотря на наличие соответствующих стандартов и рекомендаций Для цитирования

по управлению рисками и формированию системы риск-менеджмента, единого подхода к оценке ее эффективности не выработано. Так, международные и национальные стандарты по управлению рисками содержат рекомендации по архитектуре эффективного риск-менеджмента (структура, принципы, процессы), но не определяют показатели эффективности. В нормативных документах, в частности, в рекомендациях ЦБ РФ по организации управления рисками, внутреннего

This is an open access article distributed under the terms of the Creative Commons Attribution 4.0 International License контроля в публичных акционерных обществах [4] также не представлены критерии оценки эффективности системы управления рисками.

Цель работы – исследование подходов и практических аспектов оценки эффективности системы управления рисками предприятия, а также разработка авторской методики.

Материалы и методы

Система управления рисками должна постоянно совершенствоваться и адаптироваться к меняющимся условиям внутренней и внешней среды. Важность контроля соответствия системы управления рисками целям организации и сложившимся условиям вызывает необходимость оценки ее эффективности. Сложность заключается в том, что, несмотря на наличие официально опубликованных стандартов риск-менеджмента, рекомендаций ЦБ, а также практических разработок организаций понятие эффективности управления рисками четко не определено, что затрудняет установление критериев эффективности.

Главной целью управления рисками организации является достижение ее целей, следовательно, эффективная система управления рисками – это система обеспечивающая достижение целей организации.

В мировой и отечественной практике выработаны два подхода к оценке эффективности СУР: качественный и количественный. Международные стандарты риск-менеджмента ориентированы на качественную оценку СУР. Так, методологической основой качественных оценок может послужить методология COSO ERM [7]. С позиции стандарта COSO «Внутренний контроль. Интегрированная модель» определение «эффективности» процесса управления рисками является предметом субъективного суждения, формирующегося в результате оценки наличия и эффективности функционирования необходимых компонентов управления рисками (таблица 1). Таким образом, эти компоненты и качество их функционирования могут служить критериями детализированной качественной оценки эффективности процесса управления рисками.

Таблица 1.

Оценка соответствия системы управления рисками организации принципам и компонентам COSO ERM

Table 1.

Assessment of the compliance of the organization's risk management system with the principles and components of COSO ERM

Компонент управления рисками Risk management component		Наличие и функционирование компонента Availability and functioning of the component
Компонент управления рисками Risk management component		Коэффициент реализации Implementation rate	Уровень значимости Significance level	Уровень реализации (2 • 3) Implementation rate (2 - 3)
Внутренняя среда \|	Internal environment
Постановка целей	\| Setting goals
Определение событий \| Identification of events
Оценка рисков \| Risk assessment
Реагирование на риски \| Responding to risks
Средства контроля \| Controls
Информация и коммуникация \| Information and communication
Мониторинг \| Monitoring

Оценка соответствия системы управления рисками построенной в организации принципам и компонентам COSO ERM, даст возможность оценить ее эффективность. В качестве критерия эффективности используется соответствие основных элементов систем управления рисками «лучшей практике». Необходимо, чтобы все компоненты присутствовали и эффективно функционировали, а риск должен находиться в рамках риск-аппетита, принятого организацией. Уровень значимости принципа определяется субъективно, руководством организации. Коэффициент реализации зависит от наличия недостатков в исследуемом компоненте. Существенные недостатки система управления рисками в соответствии с настоящей методикой оценки имеет место тогда, когда принципы управления рисками не определены (не описаны во внутренних документах компании), и (или) определены, но не внедрены, и (или) определены и внедрены, но не выполняются, и (или) эти принципы не работают все вместе.

В соответствии с информационным письмом ЦБ РФ публичным акционерным обществам от 01.10.2020 № ИН-06–28/14 «О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах», для создания эффективной СУРиВК независимо от масштаба, вида и специфики деятельности Общества способствует следование рекомендациям (таблица 2).

В данном случае критериями качественной оценки эффективности СУР является выполнение и невыполнение рекомендаций.

Исследование внутренних документов, регламентирующих управление рисками, позволит сделать вывод об эффективности сформированной системы управления рисками и выявить проблемные блоки, некорректные процедуры и ключевые направления совершенствования СУР.

Таблица 2.

Рекомендации по организации эффективной системы управления рисками [4]

Recommendations for organizing an effective risk management system

Table 2.

Рекомендации по организации эффективного управления рисками Recommendations on how to organise effective risk management	Да/ Нет
Интеграция со стратегией, миссией и целями организации Integrate with your organization's strategy, mission, and goals
Определение роли каждого из органов управления и подразделений организации в области управления рисками и внутреннего контроля \| Defining the role of each of the management bodies and departments of the organization in the field of risk management and internal control
Информированный и вовлеченный в деятельность организации совет директоров Informed and involved in the activities of the organization board of directors
Четкое определение ролей и функций комитетов совета директоров в области управления рисками и внутреннего контроля \| Clear definition of the roles and functions of the board committees in the field of risk management and internal control
Привлечение квалифицированных руководителей, ответственных за организацию и осуществление управления рисками и внутренний контроль Involvement of qualified managers responsible for the organization and implementation of risk management and internal control
Понимание каждым работником организации в рамках функционального направления деятельности рисков (включая как угрозы, так и возможности), обязанностей и ответственности в области управления рисками, вовлечение в процесс управления рисками Understanding by each employee of the organization within the framework of the functional direction of risks (including both threats and opportunities), duties and responsibilities in the field of risk management, involvement in the risk management process
Использование единой терминологии для обеспечения единого понимания всех аспектов управления рисками и внутреннего контроля в масштабах деятельности Общества Use of common terminology to ensure a common understanding of all aspects of risk management and internal control on the scale of the Company's activities
Честное и объективное раскрытие информации о реализовавшихся рисках Honest and objective disclosure of realized risks
Доведение до сведения всех органов управления организации информации по вопросам управления рисками и внутреннего контроля Communicating risk management and internal control information to all management bodies of the organization
Повышение квалификации, уровня знаний у работников организации в области управления рисками и внутреннего контроля Advanced training, the level of knowledge of the organization's employees in the field of risk management and internal control
Наличие отдельных каналов коммуникации для передачи информации о нарушениях в области управления рисками и внутреннего контроля \| Availability of separate communication channels for the transfer of information about violations in the field of risk management and internal control
Совершенствование подходов к организации и осуществлению управления рисками с учетом изменений внешней и внутренней среды Improving approaches to the organization and implementation of risk management, taking into account changes in the external and internal environment
Обеспечение независимости внутреннего аудита Ensuring the independence of internal audit

В стандарте FЕRМА предлагается метод укрупненной качественной оценки СУР и не содержится конкретных рекомендаций и критериев оценки элементов системы управления рисками [6]. Согласно данному подходу, обеспечение надежности и эффективности работы организации; эффективности системы внутреннего контроля (эффективность системы внутреннего контроля оценивается путем сравнения расходов на мероприятия и ожидаемым положительным эффектом от снижения степени подверженности риску) и соответствия законодательству являются критериями минимальной эффективности управления рисками. Таким образом, специфических показателей эффективности СУР нет, а эффективность организации может служить индикатором эффективного управления рисками.

Стандарт ИСО 31010 утверждает, что эффективность риск-менеджмента зависит от его интеграции в систему управления организацией, включая процесс принятия решений. С целью оценки эффективности структуры риск-менедж-мента, организации следует [8]:

– проводить периодическую оценку эффективности структуры риск-менеджмента с точки зрения ее цели, планов реализации, показателей и предполагаемого поведения;

– определять, по-прежнему ли она содействует достижению целей организации.

Анализ представленных методик оценки эффективности СУР показал, что они различаются степенью детализации факторов, а также способом обработки полученной информации.

Таблица 3.

Оценка эффективности СУР организации

Evaluation of the effectiveness of the organization's RMS

329

Table 3.

X о 8 IS so § 1 2 Я § sM n S’	Компонент СУР / вес компонента \| RMS Com			ponent / Component Weight
	0,15	0,20	0,25	0,25	0,15
	Риск-аппетит и стратегия управления рисками Goal setting. Information and communication	Постановка целей. Информация и коммуникация Identification and assessment risk	Идентификация и оценка рисков Responding to risks	Реагирование на риски Control and monitoring tools	Средства контроля и мониторинга Risk appetite and risk management strategy
	Определена философия в отношении риска / (2 балла) Defined philosophy regarding risk / (2 points)	Цель управления рисками четко определена в регламентирующих данный процесс документах Необходимая информация определяется, фиксируется и передается ответственным сотрудникам. The purpose of risk management is clearly defined in the documents regulating this process. The necessary information is determined, recorded and transmitted to the responsible employees.	Риски, которые могут оказать влияние на организацию, определены заранее, задокументированы в реестре рисков. Риски оцениваются с точки зрения присущего и остаточного риска с учетом вероятности их возникновения и степени влияния. The risks that may have an impact on the organization are determined in advance, documented in the risk register. Risks are assessed in terms of inherent and residual risk, taking into account the likelihood of their occurrence and the degree of impact.	Персонал организации определяет на основе регламентов и инструкций методы управления рисками, руководство выбирает конкретные мероприятия The personnel of the organization determines, on the basis of regulations and instructions, the methods of risk management, the management selects specific activities	Разработаны и функционируют регламенты, политики и процедуры, обеспечивающие «разумную» гарантию эффективного управления рисками. Процесс управления рисками по необходимости корректируется в соответствии с требованиями обстоятельств Regulations, policies and procedures have been developed and are in place to provide a "reasonable" guarantee of effective risk management. The risk management process is adjusted as necessary in accordance with the requirements of the circumstances
	Установлен риск-аппетит организации / (1 балл) Established risk appetite of the organization / (1 point)	Цель управления рисками четко не определена в регламентирующих данный процесс документах. Задачи по управлению рисками не закреплены за сотрудниками подразделений, непосредственно не занимающимися управлением рисками The purpose of risk management is not clearly defined in the documents regulating this process. Risk management tasks are not assigned to employees of units that are not directly involved in risk management	Реестр рисков составлен формально и не учитывает все возможные риски и / или особенности деятельности организации. Риски оцениваются с точки зрения присущего риска с учетом вероятности их возникновения и степени влияния. The risk register is drawn up formally and does not take into account all possible risks and / or features of the organization's activities. Risks are assessed in terms of inherent risk, taking into account the probability of their occurrence and the degree of impact.	Персонал организации определяет типовые способы реагирования на риски на основе неактуализрованных регламентов и инструкций The organization's personnel determine typical ways to respond to risks on the basis of irrelevant regulations and instructions	Разработаны и функционируют отдельные регламенты и процедуры, обеспечивающие управление рисками. Separate regulations and procedures have been developed and are in place to ensure risk management.
	Философия в отношении риска и риск-аппетит доведены до каждого сотрудника / (0 балл) Philosophy regarding risk and risk appetite communicated to each employee / (0 points)	Не определена цель управления рисками. Функции управления рисками не закреплены за сотрудниками организации The purpose of risk management is not defined. Risk management functions are not assigned to employees of the organization	Реестр рисков отсутствует. Риски не оцениваются с точки зрения присущего и остаточного риска с учетом вероятности их возникновения и степени влияния. There is no risk register. Risks are not assessed in terms of inherent and residual risk, taking into account the probability of their occurrence and the degree of impact.	Персонал не вовлечен в процесс управления рисками, ключевой метод реагирования – компенсация Personnel are not involved in the risk management process, the key method of response is compensation	Не разработаны и/ или не функционируют регламенты, политики и процедуры, обеспечивающие управление рисками Regulations, policies and procedures for risk management have not been developed and/or are not in place

Волкова Т.А. и др. Вестник ВГУИТ, 2022, Т. 84, №. 3, С. 326-331 post@vestnik-vsuet.ru

Количественные методы оценки эффективности систем управления рисками также как и качественные различаются степенью детализации факторов.

Среди способов количественной оценки эффективности системы управления рисками организацией можно выделить:

– оценка эффективности СУР на основе анализа результативности действий по выявлению рисков и их снижению;

– оценка эффективности СУР путем сравнения количественных характеристик выявленных рисков с допустимыми уровнями рисков;

– сопоставление затрат на поддержание СУР с фактическими убытками от реализации рисков и возможных потенциальных убытков;

– оценка изменения денежных потоков в результате функционирования СУР (эффективность оценивается на основе разницы между NPV с учетом и без учета внедрения СУР).

Результаты и обсуждение

В целях повышения объективности оценки эффективности системы управления рисками авторами была разработана методика, предполагающая комплексное применение качественного и количественного подходов.

Эффективность системы управления рисками согласно разработанной методике определяется в результате оценки наличия и функционирования пяти блоков системы управления рисками (таблица 3). Для каждого блока раскрыта характеристика состояния и функционирования оцениваемого компонента.

При наличии всех компонентов СУР и реализации всех процессов и функций управления максимальная оценка составит 2 балла, при наличии проблем в архитектуре системы управления и недостаточной эффективности СУР оценка будет находиться в пределах от 1 до 2 баллов, получение оценки ниже 1 балла свидетельствует о несформированной и / или неэффективной СУР.

Заключение

Оценка эффективности системы управления рисками будет становиться все более актуальной. Этому способствуют изменяющиеся условия работы организаций и объективные потребности субъектов управления рисками и заинтересованных сторон. По мнению авторов, оценка эффективности систем управления рисками позволяет получить достоверную информацию о протекания бизнес-процессов и выявить проблемные блоки, препятствующие достижению целей организации. Такая информация должна быть учтена в процессе принятия управленческих решений на всех уровнях управления.

Список литературы Оценка эффективности системы управления рисками

Ахтулов А.Л., Бармотина Ю.В. Оценка эффективности управления предпринимательскими рисками на уровне организации // ОНВ. 2012. № 4 (111). URL: https://cyberleninka.ru/article/n/otsenka-effektivnosti-upravleniya-predprinimatelskimi-riskami-na-urovne-organizatsii
Брыкалов С.М., Кузнецова Н.А., Трифонов В.Ю., Трифонов Ю.В. Оценка эффективности и зрелости системы управления рисками на предприятии // Фундаментальные исследования. 2021. № 3. С. 17-26;
Бузинова Е.Н. Оценка эффективности управления рисками на предприятии // Современные научные исследования и инновации. 2019. № 5. URL: https://web.snauka.ru/issues/2019/05/89458
Информационное письмо Банка России от 1 октября 2020 г. № ИН06-28/143 “О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах” URL: https://www.garant.ru/products/ipo/prime/doc/74632070? ysclid=l9iedfyg3g666962132
ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Менеджмент риска. Реестр риска. Правила построения. URL: http://docs.cntd.ru/document/1200100075
Risk Management Standard. FERMA. URL: https://www.ferma.eu/app/uploads/2011/11/a-risk-management-standard-russian-version. pdf
EnterpriseRisk Management Integrated Framework (ERM), 2004. URL: https://www.coso.org/pages/erm-integratedframework.aspx
ГОСТ Р ИСО 31000:2019. Менеджмент риска. Принципы и руководство. М.: Стандартинформ, 2020. 19 с.
Huang J., Ding A., Li Y., Lu D. Increasing the risk management effectiveness from higher accuracy: A novel non-parametric method // Pacific-Basin Finance Journal. 2020. V. 62. P. 101373. https://doi.org/10.1016/j.pacfin.2020.101373
Ghazieh L., Chebana N. The effectiveness of risk management system and firm performance in the European context // Journal of Economics, Finance and Administrative Science. 2021. V. 26. №. 52. P. 182-196. https://doi.org/10.1108/JEFAS07-2019-0118
Методика оценки эффективности корпоративной системы управления рисками в дочерних и зависимых организациях АО "Фонд национального благосостояния "Самрук-Казына". URL: https://www.sk.kz
Официальный сайт Федерации европейских ассоциаций риск-менеджеров. URL: http://www.ferma.eu
Оценка уровня зрелости управления рисками в России. URL: https://www2.deloitte.com/content/dam/Deloitte/ru/Documents risk/maturity-level-of-risk-management.pdf
Aven T. Risk assessment and risk management: Review of recent advances on their foundation // European Journal of Operational Research. 2016. V. 253. №. 1. P. 1-13. https://doi.org/10.1016/j.ejor.2015.12.023
Subramaniam N., Wahyuni D., Cooper B.J., Leung P. et al. Integration of carbon risks and opportunities in enterprise risk management systems: evidence from Australian firms // Journal of Cleaner Production. 2015. V. 96. P. 407-417. https://doi.org/10.1016/j.jclepro.2014.02.013
Hopkin P. Fundamentals of risk management: understanding, evaluating and implementing effective risk management. Kogan Page Publishers, 2018.
Bromiley P., McShane M., Nair A., Rustambekov E. Enterprise risk management: Review, critique, and research directions // Long range planning. 2015. V. 48. №. 4. P. 265-276. https://doi.org/10.1016/j.lrp.2014.07.005
Clothier R.A., Walker R.A. The safety risk management of unmanned aircraft systems // Handbook of unmanned aerial vehicles. 2015. P. 2229-2275.
Glendon A.I., Clarke S., McKenna E. Human safety and risk management. Crc Press, 2016.
Ho W., Zheng T., Yildiz H., Talluri S. Supply chain risk management: a literature review // International Journal of Production Research. 2015. V. 53. №. 16. P. 5031-5069. https://doi.org/10.1080/00207543.2015.1030467

Еще

Статья научная