Читаем Обеспечение информационной безопасности бизнеса полностью

Основная предпосылка при менеджменте рисками деятельности организации заключается в том, что каждая организация существует, чтобы создавать добавленную стоимость для сторон, заинтересованных в ее деятельности. При этом все организации сталкиваются с неопределенностью, и задачей руководства является принятие решения об уровне неопределенности, с которым организация готова смириться, стремясь увеличить стоимость для заинтересованных сторон. В связи с этим неопределенность, с одной стороны, таит в себе риск (потери), а с другой — может открыть новые возможности, поэтому принятые в условиях неопределенности решения могут привести как к снижению, так и к увеличению стоимости. Менеджмент риска, как отмечается в материалах COSO, позволяет руководству эффективно действовать в условиях неопределенности и связанных с ней рисков и использовать возможности, увеличивая потенциал для роста стоимости компании.

Рост стоимости будет максимальным, если руководство определяет стратегию и цели таким образом, чтобы обеспечить оптимальный баланс между ростом компании, ее прибыльностью и рисками; эффективно и результативно использует ресурсы, необходимые для достижения целей организации.

В соответствии с методологией COSO менеджмент риска организации включает в себя следующие ключевые задачи:

— определение уровня риска, на который готова идти организация в соответствии со своей стратегией развития;

— совершенствование процесса принятия решений по реагированию на возникающие риски;

— сокращение числа непредвиденных событий и убытков в хозяйственной деятельности;

— определение и управление всей совокупностью рисков в хозяйственной деятельности;

— использование благоприятных возможностей;

— рациональное использование капитала.

Возможные подходы к определению уровня риска, на который готова идти организация (величину приемлемой степени риска), схематично иллюстрирует рис. 45.

По мнению авторов рекомендаций COSO, возможности, открываемые процессом менеджмента риска организации, помогают руководству в достижении целевых показателей прибыльности и рентабельности, а также в предотвращении нерационального использования ресурсов. При этом процесс менеджмента риска способствует обеспечению эффективности процесса составления финансовой отчетности, а также соблюдения законодательных и нормативных актов, избежания нанесения ущерба репутации компании и связанных с этим последствий. Посредством этого процесс менеджмента риска позволяет руководству достигать своих целей и при этом избегать просчетов и неожиданностей.

Влияние событий в сфере неопределенности может быть положительным, отрицательным или одновременно и тем и другим. События, влияние которых является отрицательным, методологией COSO предлагается относить к риску, который мешает созданию или ведет к снижению стоимости. События, влияние которых является положительным, могут компенсировать отрицательное влияние рисков, а также положительно влиять на достижение результата.

По COSO менеджмент риска организации:

— представляет собой непрерывный процесс, охватывающий всю организацию;

— осуществляется сотрудниками на всех уровнях организации;

— используется при разработке и формировании стратегии;

— применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации;

— нацелен на определение событий, которые могут влиять на организацию и менеджмент рисками таким образом, чтобы они не превышали порог готовности организации идти на риск;

— дает руководству и совету директоров организации разумную гарантию достижения целей;

— связан с достижением целей по одной или нескольким пересекающимся категориям.

Существует прямая взаимосвязь между целями, или тем, чего организация стремится достичь, и компонентами процесса менеджмента рисками организации, представляющими собой действия, необходимые для их достижения. Данная взаимосвязь иллюстрируется в материалах COSO трехмерной матрицей (кубом), представленным на рис. 46.

Данный рисунок отражает пересмотренный подход руководств Комитета COSO (называемые еще COSO II), которые являются более детализированным по сравнению с материалами, лежащими в основе первого блока руководств Комитета COSO, датируемого началом 1990-х гг.

Применение систематизированного подхода в рамках менеджмента риска организации позволяет обеспечить оптимальное управление ситуацией в условиях неопределенности и принятие более осознанных решений по вопросам риска. Для реализации данного подхода на практике организация должна разработать/принять удовлетворяющую ее целям понятийную базу, установить цели, задачи, объемы, распределить ответственность, а также утвердить методологию управления операционными рисками.

Восемь взаимосвязанных компонентов менеджмента риска организации по методологии Комитета COSO (см. рис. 46) поясняются следующим образом.