Недавние события, связанные с банкротствами и скандалами в мире бизнеса, заставили топ-менеджеров, правления и акционеров крупнейших компаний заново проанализировать и оценить принятые стратегии управления рисками. Следствием серии провалов корпоративного управления в глобальном масштабе стало появление во многих странах законодательных инициатив, самая известная из которых - закон Сарбейнса-Оксли (далее по тексту <Закон>). Закон затрагивает режим корпоративного контроля в целом и контроль системы финансовой отчетности в частности. Положения Закона дают более глубокое представление об имеющихся в этой области проблемах, раскрывая новые требования к ответственности, а также давая возможность повысить эффективность процесса подготовки отчетности и использовать это для восстановления доверия рынка.

Изменились не только многие ролевые функции при разделении владельцев и наемных менеджеров - расширилась зона ответственности и значительно больший упор сделан на разделение функций контроля и аудита. На фундаментальном уровне это позволит повысить ответственность официальных лиц перед всеми заинтересованными сторонами.

Управление рисками и статья 404 закона Сарбейнса-Оксли

За прошедший год публичные компании проявили внимание к высказанным со стороны участников рынка и регулирующих органов претензиям и опасениям относительно эффективности корпоративных систем контроля и управления рисками и начали внедрять у себя положения статьи 404 закона Сарбейнса-Оксли. Эта статья требует от руководства проведения тщательного анализа, внесения при необходимости изменений и совершенствования процедур внутреннего контроля, а также принятия мер по удостоверению эффективности внутренней системы контроля за подготовкой финансовой отчетности. Статья 404 предусматривает совершенствование внутренней системы контроля и управления рисками, связанной с системами и процедурами финансовой отчетности.

Положения статьи, однако, не требуют от компаний заново анализировать и оценивать эффективность внутреннего контроля и управления рисками в отношении операционных систем и процедур соответствия, а также надежность общей программы управления рисками. Ведущие компании, включая и не зарегистрированные на биржах США, сознают имеющийся в законодательстве пробел и решают эту проблему путем включения операционных систем, процедур соответствия и управления соответствующими рисками во всесторонний анализ эффективности внутренней системы контроля, проводимый в настоящее время, или планируют заняться этими категориями рисков в будущем.

Достаточность покрытия рисков

Безусловно, основной упор в настоящее время и в течение нескольких ближайших месяцев будет делаться на изменения, призванные повысить эффективность внутренней системы контроля и управления рисками в отношении процедур и систем финансовой отчетности. Многие компании приняли решение снять с ведущих специалистов по управлению рисками, включая риск-менеджеров и внутренних аудиторов, функции надзора за операционными системами и процедурами соответствия, с тем чтобы они могли вплотную заняться этим вопросом. А комитеты по аудиту всецело заняты контролированием выполнения проектов руководства, связанных с внедрением положений статьи 404.

Учитывая значительные риски, связанные с системой и процедурами контроля за финансовой отчетностью, руководство компаний и их комитеты по аудиту не могут позволить себе допустить просчет при реализации проектов, связанных с внедрением положений статьи. Следует добавить, что руководство и комитеты по аудиту не должны упускать из виду те функции и сферы ответственности, которые связаны с надзором за состоянием процедур контроля и управления операционными рисками и рисками соответствия. Поэтому важно, чтобы комитеты по аудиту, выполняя свои надзорные функции, понимали и оценивали то, каким образом компания обеспечивает достаточность покрытия рисков (это касается не только финансовой отчетности, но и других важнейших областей), используя ресурсы внутреннего и внешнего аудита и привлекая консультантов по управлению рисками.

Настрой наверху формируется снизу

Неудивительно, что доверие широких слоев инвесторов к корпорациям в значительной степени зависит от <настроя руководства> корпораций. Ведь именно этот настрой и уверенность в правильности курса руководства должны овладеть массами рядовых сотрудников компании. Если этого не происходит и идеи руководства не пронизывают корпоративную культуру организации, влияя на поведение персонала на любом уровне, ничего достичь не удастся. Поэтому для высшего руководства очень важно знать, как его идеи и ценности воплощаются в решения и действия конкретных сотрудников, а от этого, в свою очередь, зависит позитивный или негативный опыт всех заинтересованных лиц, а значит, и репутация компании. Назовем это управлением риском потери репутации. Хорошо отлаженная обратная связь с коллективом и системы сбалансированных показателей облегчают достижение этой цели. Существует поговорка, которая все объясняет: <Если можно измерить - значит, можно сделать>.

Проблема управления рисками в России

В России есть компании как имеющие, так и не имеющие биржевые котировки, которые добиваются большей прозрачности, понимают и признают проблему управления рисками, прикладывая усилия, аналогичные усилиям их западных коллег. В особенности это касается быстроразвивающихся компаний, привлекающих потенциальных (иностранных) инвесторов и/или размещающих IPO. Им необходимо повысить требования к корпоративной инфраструктуре, с тем чтобы их организации отвечали существующим на мировых рынках и в нормативном законодательстве различных стран ожиданиям в отношении корпоративного руководства.

Если собственники <отделены> от руководства (в случаях, когда речь идет об иностранных инвесторах или IPO), вступает в силу так называемая теория агентств, а вместе с ней появляется необходимость в соответствующем корпоративном руководстве. Один из первых шагов в этом направлении - разделение функции контроля, за которую несет ответственность руководство компании, и функции аудита, осуществляемой от имени акционеров. Во многих российских компаниях существуют отделы внутреннего аудита и управления рисками, находящиеся в подчинении у генерального директора или президента. Если проводить разделение собственников и руководства, отдел внутреннего аудита должен быть выделен из организационной структуры, стать более самостоятельным и подчиняться комитету по аудиту. В этом случае, конечно, необходимо будет сформировать комитет по аудиту, представляющий интересы акционеров.

Задача управления рисками ложится на руководство, однако необходим всесторонний, отвечающий сегодняшним реалиям охват проблемы рисков. Кроме того, меняется и роль комитетов по аудиту, связанных с управлением операционными рисками, рисками соответствия и прочими рисками, которые, возможно, не входили в круг их задач. В современном мире граница между этими рисками и рисками, связанными с финансовой отчетностью, не столь ярко выражена, и это заставляет комитеты по аудиту расширять свои надзорные функции, обеспечивая более полный анализ рисков и систем контроля.

Потому и неудивительно, что в настоящее время ведущие российские компании и комитеты по аудиту в таких компаниях проводят мероприятия по начальной оценке рисков с целью получить более глубокое представление о корпоративных рисках. С этой точки зрения представляется важным, чтобы комитеты по аудиту и консультанты по рискам выносили решения вопросов по управлению рисками на свои заседания, где будет обсуждаться информация по рискам, поступающая от внешних и внутренних аудиторов, а также от руководства компании.

Особую обеспокоенность комитетов по аудиту в настоящее время вызывают невыявленные риски и те риски, которые на данном этапе невозможно предвидеть. Только инициативное отношение руководства к необходимости проведения комплексных процедур управления рисками поможет компаниям и их акционерам предотвратить появление белых пятен в системе корпоративной защиты от рисков.