Практичні аспекти управління ризиками поза теорією. Випуск №1

У Стратегії з розвитку управління державними фінансами на 2022–2025 рр., розробленій за підтримки EU4PFM, наголошується на важливості розгляду внутрішнього фінансового контролю не лише як теоретичної концепції, а і як практичного інструменту для розпорядників коштів. Таким чином, роль EU4PFM полягає в наданні рекомендацій щодо оптимальної організації внутрішнього фінансового контролю, що включає ефективне управління ризиками.

Питання 1: Чому важливе управління ризиками?

Відповідь 1: Це фундаментальний аспект відповідального та ефективного управління. Воно допомагає захистити активи, підтримувати фінансову стабільність, управляти репутацією, забезпечувати безперервність бізнес-процесів, виявляти можливості та допомагає менеджерам приймати кращі та більш обґрунтовані рішення. Загалом управління ризиками допомагає менеджерам систематично аналізувати та визначати пріоритетність подій, які можуть вплинути на ефективне та результативне досягнення цілей організації. Формулювання заходів реагування на ризики з огляду на схильність керівництва до ризику, є частиною управління ризиками і, отже, сприяє постійному вдосконаленню систем внутрішнього контролю.

П2: Яка правова та процесуальна основа внутрішнього контролю в Україні?

В2: Бюджетний кодекс України: Внутрішній контроль — це сукупність заходів, що застосовуються керівником для забезпечення дотримання законності та ефективності використання бюджетних коштів, досягнення результатів відповідно до встановленої мети, завдань, планів та вимог до діяльності розпорядника бюджетних коштів та підприємства, установи та організації, що належать до сфери його управління.

ОСНОВНІ ПРИНЦИПИ внутрішнього контролю розпорядниками бюджетних коштів (постанова Кабміну від 12 грудня 2018 р. № 1062) базуються на принципах COSO та містять елементи управління ризиками. Ці принципи охоплюють контрольне середовище, оцінку ризиків, контрольну діяльність, інформацію та комунікацію та моніторинг.

Стратегія УДФ на 2022–2025 рр.: «Слід вжити заходів щодо вдосконалення внутрішнього фінансового контролю для його практичного застосування в діяльності розпорядників бюджетних коштів та надання рекомендацій щодо його оптимальної організації, у тому числі ефективного управління ризиками».

Керівництво: управління ризиками (для внутрішніх аудиторів і для менеджерів)

П3: Які актуальні тенденції в управлінні ризиками?

В3: «Управління ризиками 1» (або звичайне управління ризиками) процвітає в середовищах, керованих відповідністю, керуючись такими фреймворками як COSO, COBIT і ISO 31000. Він зосереджений на виявленні, аналізі, визначенні пріоритетів і зменшенні ризиків. Він має інструментальний підхід із (періодично оновлюваними) реєстрами ризиків, і часто відокремлений від прийняття рішень і «переданий» менеджеру з ризиків або підрозділу з управління ризиками. Він також фокусується на зовнішніх зацікавлених сторонах: аудиторах, регуляторах (Мінфін) та зовнішній підзвітності.

Напротивагу, «Управління ризиками 2» (поєднання управління ризиками 1 з практикою) інтегрує управління ризиками в наявні політики та процедури, надає ширший набір інструментів, окрім реєстрів ризиків, та зосереджується на внутрішніх зацікавлених сторонах, що забезпечує тісний зв’язок з управлінськими рішеннями та внутрішньою підзвітністю.

П4: Як можна визначити схильність організації до ризику?

В4: Наявна політика, норми та порогові значення, такі, як правила техніки безпеки, заходи із запобігання корупції та обмеження бюджету вже встановлюють схильність до ризику. Ліміти делегування, цілі ефективності та «критерії прийняття рішень» для великих інвестиційних проєктів також відображають схильність організації до ризику.

П5: Що дасть змогу покращити використання інформації про ризики для прийняття рішень?

В5: Рішення таке: слід вводити інформацію про ризики в наявні процеси звітності. Вона має бути представлена в придатному для прийняття рішень контексті, наприклад, включати інформацію про ризики до звітів про результати діяльності та пов’язувати її з ключовими показниками ефективності (KPI). Важливо розрізняти внутрішню та зовнішню звітність про ризики.

П6: Що найважливіше пам’ятати про надходження інформації про ризики?

В6: Інформація про ризики має надходити в організацію щодня і щоразу, коли приймається рішення, а не раз на тиждень, місяць чи рік, коли проводиться оцінка ризиків.

П7: Яких правил варто дотримуватися під час встановлення KPI на основі ризиків?

В7: Під час встановлення KPI, включайте аналіз ризиків у ключові моменти управлінського циклу: стратегічне планування, встановлення цілей і бюджетування. Переконайтеся, що кожен KPI оцінюється на предмет реалістичності з урахуванням відомого ризику. Ризик-менеджери або інші функції другого/третього рівня мають ставити під сумнів встановлені ключові показники ефективності, задані під час аналізу ризиків.

П8: Як управління ризиками має бути впроваджено в процеси прийняття рішень?

В8: Щоб впровадити управління ризиками в процеси прийняття рішень, слідуйте за таким алгоритмом:

• Ввести задокументоване відстеження процесів прийняття управлінських рішень, під час якого інформація про ризики, що стосуються рішення, фіксується, аналізується та розкривається
• Визначити, які бізнес-рішення, які регулярно приймає керівництво, можуть здобути найбільшу користь від додаткового аналізу ризиків
• Розробити методологію, яка дасть змогу проводити оцінку ризиків для кожного важливого бізнес-рішення до його прийняття
• Включити такі елементи, як моделювання, обдумування сценаріїв та прогнозування, у ключові процеси прийняття рішень, такі як великі інвестиційні рішення, рішення з високим фінансовим впливом або ключові операційні рішення.

П9: Як організувати звітність про управління ризиками в організації?

В9: Звітність може бути організована за допомогою розробки KPI для різних рівнів управління:

• 1-й рівень: аналіз основних операційних ризиків, своєчасне повідомлення про ризики другому рівню
• 2-й рівень: консолідація та своєчасне повідомлення про ключові ризики вищому керівництву, сприяння вдосконаленню управління ризиками в масштабах підприємства
• 3-й рівень: періодичне оцінювання якості управління ризиками; включення результатів ризик-менеджменту в планування аудиту
• Вище керівництво: дотримання нормативних вимог щодо розкриття ризиків зовнішнім зацікавленим сторонам, встановлення, захист та підтримка культури управління ризиками в організації.

За наявності комітетів з аудиту: використовуйте цю платформу як ключову інформаційну панель для заходів з управління ризиками в організації.

П10: Які ключові кроки для успішного впровадження управління ризиками?

В10: Ключові кроки для успішного впровадження управління ризиками:

• Сформулюйте принципи та засади управління ризиками: визначте обсяг управління ризиками (наприклад, для операційних менеджерів і допоміжних чи контрольних функцій), ширину портфеля ризиків (категорії ризиків), управління ризиками як безперервний процес, зобов’язання та усвідомлення управління ризиками, зв’язок з наявною структурою управління та циклом планування та контролю

• Сформулюйте політику управління ризиками: на основі принципів сформулюйте бачення ризиків, визначте ключові аспекти, такі як схильність до ризику та рівні толерантності

• Визначте завдання, ролі та відповідальність для всіх організаційних функцій, пов’язаних з управлінням ризиками: співробітники, керівництво (всі рівні), функції другого рівня (наприклад, відділ планування або бухгалтерія) і внутрішній аудит

• Аналізуйте, визначайте та оцінюйте ризики: такі рамки як COSO дають вказівки щодо основного процесу управління ризиками. Матеріалізуйте ці вказівки у внутрішній політиці управління ризиками

• Звітування та комунікація: визначте, як і коли внутрішні та зовнішні зацікавлені сторони організації будуть проінформовані про результати управління ризиками. Пов’яжіть звітність, наскільки це можливо, з наявними механізмами планування та контролю. Створіть платформи для обговорення цих результатів процесу управління ризиками та уникайте зосередження лише на технічних деталях на кшталт реєстру ризиків.