3.4.1. Стандарт C0S0 ERM

Стандарт COSO ERM (Менеджмент рисков предприятия – интегрированная модель, ERM – Enterprise Risk Management) – это тот самый стандарт в финансовой сфере предприятий, которого так

не хватало для достройки системы стандартов качественного управления. Стандарт появился в результате деятельности комиссии спонсорских организаций в 2004 г. на основании американского закона Sarbanes – Oxly от 2002 г., который изменил правила размещения акций и облигаций на американских фондовых биржах. Закон стал ответной реакцией на дело компании Enron и другие многочисленные дела, связанные с недобросовестной финансовой отчетностью компаний. В соответствии с этим законом изменилась практика финансового аудита (как третьей стороной, так и внутреннего) в компаниях.

Семейство стандартов COSO включает четыре основных стандарта:

1) COSO ERM. Модель менеджмента организации

2) COSO 2010. А1. Планирование внутренних аудитов

3) COSO 2120. А1. Взаимодействие с процессом оценки риска

4) COSO 2210. А1. Планирование чек-листов.

Рассмотрим модель системы управления COSO ERM поподробнее. ERM определяется в стандарте как «…процесс, организованный высшим руководством, менеджментом и другим персоналом, входящий как в постановку стратегических целей, так и в бизнес-процессы, разработанный, чтобы определить потенциальные события, воздействующие на организацию и чтобы управлять при этом потенциальными рисками, проводить обоснованное обеспечение такого управления, исходя из достижения установленных целей организации»[9].

Стандарт COSO ERM основан на двух базовых принципах:

1. Каждый объект организации (подразделение, сотрудник), как прибылеобразующий, так и не образующий прибыль, существует для получения ценности для собственников организации.

2. Эта ценность создается, сохраняется или разрушается усилиями руководителей всех уровней во всех их действиях – от создания стратегии до ежедневного операционного менеджмента.

Стандарт COSO ERM поддерживает создание ценности, ориентируя руководителей всех уровней на то, чтобы они могли:

• эффективно управлять возможными будущими событиями, которыми обусловливается изменчивость процессов организации;

• управлять так, чтобы снижать вероятность возникновения негативных тенденций и повышать вероятность возникновения позитивных.

Согласно стандарту COSO руководство компании должно гарантировать достижение следующих первичных целей системы менеджмента организации:

• результативность и эффективность процессов,

• точная финансовая отчетность,

• соответствие практики законам и нормам.

Стандарт очерчивает пять существенных компонентов эффективной системы менеджмента компании:

• управление финансовой средой, которое устанавливает бюджет для системы менеджмента, обеспечивая фундаментальную дисциплину и структуру;

• оценка риска, которая включает идентификацию и анализ руководством (не внутренним аудитором) важных рисков в процессе достижения заданных целей;

• управляющая деятельность, или политики, процедуры и методы, позволяющие гарантировать, что цели управления достигнуты и риски, обозначенные в стратегии, преодолены;

• процессы внутренних коммуникаций, которые поддерживают все другие управляющие компоненты, передавая управляющие обязанности служащим и обеспечивая информацию в той форме и тех временных рамках, которые необходимы, чтобы работники выполняли свои обязанности;

• мониторинг, который вскрывает состояние управления внутри процесса для руководства или для других сторон за пределами процесса; показывает сотрудникам, задействованным в процессе, приложение независимой методологии – такой, как модифицированные по заказу пользователя процедуры или стандартные чек-листы.

Модель менеджмента

Стандарт COSO ERM предусматривает вполне определенную модель менеджмента, которая хорошо увязывается с моделью, использованной в других стандартах качественного управления (прежде всего в стандартах семейства ИСО 9000).

Стандарт COSO ERM касается деятельности на всех уровнях организации – основном процессе, организационном делении, в бизнес-единицах.

Ключевым моментом модели системы управления COSO ERM является менеджмент рисков. Основное требование к менеджменту рисков предприятия – чтобы для всех объектов бизнеса было документированное видение рисков. Модель имеет восемь компонентов (рис. 3.4):

• внутренняя среда,

• определение критериев,

• идентификация событий,

• оценка рисков,

• ответственность за риски,

• управляющие воздействия,

• информация и коммуникации,

• мониторинг.

Рис. 3.4. Модель стандарта COSO ERM