Регламент с комментариями

Развернуть все комментарии
Свернуть все комментарии

В нижеприведенном регламенте мы преследуем фактически две цели:

  • обязать на некой регулярной основе обмениваться информацией и писать документы, сопутствующие процессу управления рисками. Конкретные формы документов здесь не приводятся, выбор за Вами. Вплоть до того, что данный регламент можно вообще не использовать: обсуждая проект политики с одним гуру в области риск-менеджмента, узнали, что «Ежеквартальная отчетность о рисках это без преувеличения худшее, что может случиться». На Ваше усмотрение;
  • реализовать в процессе управления рисками «принцип четырех глаз» при принятии решений. Здесь ситуация такова, что эффективность использования принципа зависит от другой пары глаз, то бишь контролирующей. В регламенте на этой странице мы считаем координатора достаточным профессионалом, то есть он может апеллировать менеджменту, который традиционно видит риски в удобном для себя свете, который не всегда выгоден организации. Если такого координатора нет, то его нужно либо найти, либо процесс управления рисками должен возглавить человек самого высокого уровня (вплоть до акционера), который и будет являться оппонентом.

В дополнении к ГОСТ ISO31000 рекомендуем почитать ГОСТ ISO31010 «Методы оценки риска». С точки зрения регламента, то есть документа, который определяет взаимодействие подразделений, этот ГОСТ не является необходимым документом, но если Вы – сторонник детального описания, то из него можно почерпнуть приличное количество информации для приложений к регламенту (как-то методы оценки и пр.).

Регламент управления рисками. 

1. Общие положения.

1.1. Целью настоящего регламента является определение порядка взаимодействия подразделений Компании при управлении рисками.

1.2. Исполнение данного регламента обязательно для всех сотрудников Компании.

1.3. Актуальная версия регламента размещена на интранет-сайте в папке «…».

1.4. Основные термины и определения приведены в Политике по управлению рисками.

1.5. Для настоящего регламента вводится понятие координатор – подразделение/специалист, ответственное за поддержку процесса управления рисками.

Комментарий

Традиционно координатором подразумевается подразделение / специалист по риск-менеджменту и внутреннему контролю. Данное определение можно не вводить, в этом случае использовать аббревиатуру подразделения (условное ПРМВКиА).

В идеологии этого сайта (например, см. здесь) таким координатором может быть и подразделение внутреннего аудита, что с введением с 2016 года в действие нового стандарта 1112 перестало противоречить Международным основам профессиональной практики Института внутренних аудиторов. Захочет ли руководитель внутреннего аудита или комитет по аудиту видеть такую функцию внутри своего подразделения – вопрос риторический, но если «захочут» – предлагайте 🙂 .

2. Анализ рисков.

2.1. Комитет по рискам не реже одного раза в год пересматривает подходы к оценке риска, в т.ч. определяет критерии отнесения рисков к критическим, приемлемым и незначительным.

Комментарий

Продолжение раздела «Оценка рисков» из Политики. Зафиксировать раз и навсегда распределение рисков между критическими, приемлемыми и незначительными, по нашему мнению, нецелесообразно даже в виде влияния на EBITDA (критический риск – больше ½ EBITDA, незначительный – менее 10% EBITDA), так как внешняя и внутренняя среда могут меняться.

2.2. Анализ рисков (в т.ч. идентификация, расчет и оценка) выполняется, как минимум:

2.2.1. при принятии ключевых решений. Порядок анализа:

2.2.1.1. перед принятием ключевых решений документы, на основании которых принимаются решения, передаются координатору не позднее, чем за пять рабочих дней до рассмотрения;

Комментарий

Технически это выглядит просто: все материалы на СД, Правление, а также комитеты (бюджетный, технический, тендерный) пропускаются через подразделение по управлению рисками и внутреннему контролю, которое высказывает свое мнение. Можно конкретизировать перечень документов (стратегия компании или чего-нибудь отдельно, бюджеты, инвестиционные планы, изменение внутренних регламентирующих документов и т.п.), при которых в обязательном порядке используется «принцип четырех глаз».

2.2.1.2. координатор оценивает качество анализа рисков в поступивших документах и не позднее, чем за два рабочих дня до рассмотрения, направляет письменную информацию по итогам оценки проведенного анализа лицам, принимающим решение.

Комментарий

По срокам (для всего документа): это достаточно индивидуально для каждой компании. Мы считаем целесообразным, когда все материалы передаются на профильные заседания и совещания заранее. Если это не так, то, в принципе, одного рабочего дня должно хватить для анализа.

2.2.2. в рамках регулярной деятельности. Все менеджеры Компании в рамках регулярной деятельности при выявлении новых рисков / необходимости изменения подходов к оценке существующих рисков информируют об этом координатора;

Комментарий

Фактически это означает, что каждый человек в статусе начальника отдела и выше может выразить озабоченность судьбой любого проекта. Отметим, что внутренний аудит тоже может, но пусть действует в соответствии со своими представлениями о прекрасном (международными основами профессиональной практики, если что).

2.2.3. в рамках деятельности координатора. Порядок анализа:

2.2.3.1. координатор на основании собственной методологии проводит дополнительные процедуры оценки рисков;

2.2.3.2. координатор на основании всей имеющейся информации (в т.ч. полученной от менеджеров Компании и внутреннего аудита) принимает решение о необходимости актуализации текущей оценки рисков.

Комментарий

Здесь объединено фактически две темы: риски, которые должны рассматриваться в обязательном порядке (принятие решений и возникновение рисков в обычной жизни) и риски из серии «подумать». Часть рисков может не возникать в процессе обычной жизнедеятельности, поэтому целесообразно думать о них регулярно, не дожидаясь их проявления, чем и занимается координатор. Сами процедуры анализа рисков координатором не описываются, это уже методология внутри подразделения.

2.3. Координатор поддерживает в актуальном состоянии реестр и карты рисков.

3. Воздействие на риски.

3.1. При определении метода воздействия на риск рассматриваются варианты, предусмотренные Политикой управления рисками.

3.2. Решения о воздействии на риски могут приниматься:

3.2.1. одновременно с принятием ключевых решений на основании проведенной оценки рисков менеджментом Компании и заключения координатора;

3.2.2. одновременно с утверждением документов, регламентирующих деятельность Компании. Порядок принятия решения:

3.2.2.1. перед утверждением документов, регламентирующих деятельность Компании, проекты документов направляются координатору;

3.2.2.2. координатор в течение пяти рабочих дней письменно направляет свои предложения по учету рисков в документах, регламентирующих деятельность Компании;

3.2.2.3. лицо, утверждающее документ, регламентирующий деятельность Компании, имеет право не принимать предложения координатора.

Комментарий

Здесь речь идет о банальности: целесообразно перед утверждением документа согласовать его с подразделением по управлению рисками, внутреннему контролю и (в т.ч.) внутреннего аудита. Процесс не должен затормозиться принципиально, при игнорировании предложений координатора это отражается по итогам внутренней аудиторской проверки.

3.2.3. в рамках регулярной деятельности Комитета по рискам. Порядок принятия решений:

3.2.3.1. не позднее, чем за пять рабочих дней до заседания Комитета по рискам координатор направляет актуальный реестр рисков вместе с вариантами воздействия на риски;

3.2.3.2. Комитет по рискам на очередном заседании принимает решения о воздействии на риски.

3.3. Координатор поддерживает в актуальном состоянии программу мероприятий по управлению рисками с текущими статусами исполнения мероприятий.

Комментарий

Возможно указать, что программа мероприятий поддерживается только в отношении критических и приемлемых рисков. Однако практика показывает, что при принятии такой же схемы в отношении незначительных рисков усложнение не существенно.

3.4. В программу мероприятий по управлению рисками включаются, в том числе, и мероприятия, рассмотренные при принятии ключевых решений.

Комментарий

Важный момент: каждое принципиальное решение может быть принято с учетом необходимости исполнения определенных мероприятий. Если их не объединить в некий свод – считайте, что вспомнят о них только тогда, когда проект завалится. Поэтому, чтобы не пропали – включить мероприятия в общую программу и регулярно мониторить.
Также отметим, что предлагаемая конструкция не будет работать в случае, если рисков много (скажем, сотни). Но в случае рассмотрения такого количества рисков, как было отмечено здесь, не будет работать ни одна процедура. При этом «мелкие» риски процессов не игнорируются, они будут учитываться при планировании внутренних аудиторских проверок и рассматриваться при анализе документов, регламентирующих процессы.

4. Мониторинг управления рисками.

4.1. Координатор ежемесячно рассылает программу мероприятий по управлению рисками с актуальными статусами исполнения мероприятий.

Комментарий

Можно уточнить число или написать что-то типа «первая рабочая пятница». Рекомендуем рассылать в первой декаде месяца: традиционно программа мероприятий ориентирована на «к 01 числу», поэтому рассылка от 25 числа увеличивает вероятность очковтирательства. 

4.2. Владельцы рисков и координатор имеют право вносить предложения по пересмотру программы мероприятий по управлению рисками путем направления координатору предложений.

4.3. Владелец риска не позднее пяти рабочих дней после окончания срока, указанного в программе мероприятий, предоставляет координатору отчет в произвольном виде о выполнении программы с приложением документов, обосновывающих отчет.

Комментарий

Как написано в соответствующем разделе, мы включаем в программу только «реальные» мероприятия. Ежемесячная отчетность по «виртуальным» мероприятиям бесполезна, как и сами мероприятия, в нашем подходе наличие «виртуальных» мероприятий означает удержание риска и отсутствие мероприятий.

4.4. Координатор в течение пяти рабочих дней после получения отчета о выполнении программы мероприятий на основании представленного отчета имеет право:

4.4.1. подтвердить выполнение мероприятия;

4.4.2. не подтвердить выполнение мероприятия. В этом случае:

4.4.2.1. при несогласии владельца риска вопрос о статусе исполнения выносится на Комитет по рискам;

4.4.2.2. при согласии владельца риска срок выполнения мероприятия переносится. Новый срок выполнения определятся владельцем риска и координатором, в случае недостижения согласия окончательное решение принимается генеральным директором Компании;

4.4.3. передать подтверждение выполнения мероприятия другому подразделению по согласованию с генеральным директором Компании. В этом случае генеральный директор принимает окончательное решение о признании мероприятия выполненным.

4.5. Комитет по рискам на каждом заседании рассматривает исполнение программы мероприятий по управлению рисками. При этом:

4.5.1. координатор не позднее, чем за пять рабочих дней до заседания Комитета по рискам направляет:

4.5.1.1. программу мероприятий по управлению рисками с актуальными статусами исполнения мероприятий;

4.5.1.2. свод предложений по изменению программы мероприятий по управлению рисками.

4.5.2. Комитет по рискам может вносить изменения в программу мероприятий как по поступившим предложениям, так и по собственной инициативе.

Комментарий

Здесь не прописаны действия Совета директоров, они определяются положением о СД либо комитетах. Если нужно прописать именно в этом документе – то мониторинг исполнения программы мероприятия нужно проводить не реже одного раза в год, а также по требованию любого члена СД.

5. Мониторинг инфраструктуры и процесса риск-менеджмента.

5.1. Мониторинг инфраструктуры и процесса риск-менеджмента осуществляется не реже одного раза в год.

5.2. Руководитель внутреннего аудита включает в план работы анализ инфраструктуры и процесса риск-менеджмента на ежегодной основе.

5.3. Инициатором изменения инфраструктуры и процесса риск-менеджмента могут выступать:

5.3.1. Совет директоров и его комитеты;

5.3.2. Комитет по рискам;

5.3.3. генеральный директор Компании;

5.3.4. руководитель внутреннего аудита;

5.3.5. владельцы рисков;

5.3.6. координатор.

5.4. Инициаторы изменения инфраструктуры и процесса риск-менеджмента в течение года направляют свои предложения координатору. Инициатор имеет право отозвать свои предложения до их рассмотрения в любое время.

5.5. Координатор:

5.5.1. ведет актуальный свод предложений по изменению инфраструктуры и процесса риск-менеджмента;

5.5.2. предоставляет свод предложений по изменению инфраструктуры и процесса риск-менеджмента не позднее пяти рабочих дней до заседания:

5.5.2.1. Совета директоров – при наличии предложений об изменении Политики управления рисками;

5.5.2.2. Комитета по рискам – при наличии предложений по изменению настоящего регламента.

6. Заключительные положения.

6.1. Регламент вступает в силу с момента издания приказа о его введении.

6.2. Изменения в регламент вносятся приказом генерального директора Компании по итогам решения Комитета по рискам.

6.3. Для взаимодействия используются личные электронные адреса сотрудников с копией писем на официальный электронный адрес подразделения.

Комментарий

Если необходимы образцы документов, в частности, формы отчетов о рисках и программы мероприятий – см. соответствующие разделы сайта.
Регламент получился достаточно коротким. Его, безусловно, можно объединить с политикой. Не стали этого делать по очевидной причине: политика – это для Совета директоров, регламент – для исполнителей.

Регламент без комментариев

Файл в формате Microsoft Word — здесь.

Регламент управления рисками. 

1. Общие положения.

1.1. Целью настоящего регламента является определение порядка взаимодействия подразделений Компании при управлении рисками.

1.2. Исполнение данного регламента обязательно для всех сотрудников Компании.

1.3. Актуальная версия регламента размещена на интранет-сайте в папке «…».

1.4. Основные термины и определения приведены в Политике по управлению рисками.

1.5. Для настоящего регламента вводится понятие координатор – подразделение/специалист, ответственное за поддержку процесса управления рисками.

2. Анализ рисков.

2.1. Комитет по рискам не реже одного раза в год пересматривает подходы к оценке риска, в т.ч. определяет критерии отнесения рисков к критическим, приемлемым и незначительным.

2.2. Анализ рисков (в т.ч. идентификация, расчет и оценка) выполняется, как минимум:

2.2.1. при принятии ключевых решений. Порядок анализа:

2.2.1.1. перед принятием ключевых решений документы, на основании которых принимаются решения, передаются координатору не позднее, чем за пять рабочих дней до рассмотрения;

2.2.1.2. координатор оценивает качество анализа рисков в поступивших документах и не позднее, чем за два рабочих дня до рассмотрения, направляет письменную информацию по итогам оценки проведенного анализа лицам, принимающим решение.

2.2.2. в рамках регулярной деятельности. Все менеджеры Компании в рамках регулярной деятельности при выявлении новых рисков / необходимости изменения подходов к оценке существующих рисков информируют об этом координатора;

2.2.3. в рамках деятельности координатора. Порядок анализа:

2.2.3.1. координатор на основании собственной методологии проводит дополнительные процедуры оценки рисков;

2.2.3.2. координатор на основании всей имеющейся информации (в т.ч. полученной от менеджеров Компании и внутреннего аудита) принимает решение о необходимости актуализации текущей оценки рисков.

2.3. Координатор поддерживает в актуальном состоянии реестр и карты рисков.

3. Воздействие на риски.

3.1. При определении метода воздействия на риск рассматриваются варианты, предусмотренные Политикой управления рисками.

3.2. Решения о воздействии на риски могут приниматься:

3.2.1. одновременно с принятием ключевых решений на основании проведенной оценки рисков менеджментом Компании и заключения координатора;

3.2.2. одновременно с утверждением документов, регламентирующих деятельность Компании. Порядок принятия решения:

3.2.2.1. перед утверждением документов, регламентирующих деятельность Компании, проекты документов направляются координатору;

3.2.2.2. координатор в течение пяти рабочих дней письменно направляет свои предложения по учету рисков в документах, регламентирующих деятельность Компании;

3.2.2.3. лицо, утверждающее документ, регламентирующий деятельность Компании, имеет право не принимать предложения координатора.

3.2.3. в рамках регулярной деятельности Комитета по рискам. Порядок принятия решений:

3.2.3.1. не позднее, чем за пять рабочих дней до заседания Комитета по рискам координатор направляет актуальный реестр рисков вместе с вариантами воздействия на риски;

3.2.3.2. Комитет по рискам на очередном заседании принимает решения о воздействии на риски.

3.3. Координатор поддерживает в актуальном состоянии программу мероприятий по управлению рисками с текущими статусами исполнения мероприятий.

3.4. В программу мероприятий по управлению рисками включаются, в том числе, и мероприятия, рассмотренные при принятии ключевых решений.

4. Мониторинг управления рисками.

4.1. Координатор ежемесячно рассылает программу мероприятий по управлению рисками с актуальными статусами исполнения мероприятий.

4.2. Владельцы рисков и координатор имеют право вносить предложения по пересмотру программы мероприятий по управлению рисками путем направления координатору предложений.

4.3. Владелец риска не позднее пяти рабочих дней после окончания срока, указанного в программе мероприятий, предоставляет координатору отчет в произвольном виде о выполнении программы с приложением документов, обосновывающих отчет.

4.4. Координатор в течение пяти рабочих дней после получения отчета о выполнении программы мероприятий на основании представленного отчета имеет право:

4.4.1. подтвердить выполнение мероприятия;

4.4.2. не подтвердить выполнение мероприятия. В этом случае:

4.4.2.1. при несогласии владельца риска вопрос о статусе исполнения выносится на Комитет по рискам;

4.4.2.2. при согласии владельца риска срок выполнения мероприятия переносится. Новый срок выполнения определятся владельцем риска и координатором, в случае недостижения согласия окончательное решение принимается генеральным директором Компании;

4.4.3. передать подтверждение выполнения мероприятия другому подразделению по согласованию с генеральным директором Компании. В этом случае генеральный директор принимает окончательное решение о признании мероприятия выполненным.

4.5. Комитет по рискам на каждом заседании рассматривает исполнение программы мероприятий по управлению рисками. При этом:

4.5.1. координатор не позднее, чем за пять рабочих дней до заседания Комитета по рискам направляет:

4.5.1.1. программу мероприятий по управлению рисками с актуальными статусами исполнения мероприятий;

4.5.1.2. свод предложений по изменению программы мероприятий по управлению рисками.

4.5.2. Комитет по рискам может вносить изменения в программу мероприятий как по поступившим предложениям, так и по собственной инициативе.

5. Мониторинг инфраструктуры и процесса риск-менеджмента.

5.1. Мониторинг инфраструктуры и процесса риск-менеджмента осуществляется не реже одного раза в год.

5.2. Руководитель внутреннего аудита включает в план работы анализ инфраструктуры и процесса риск-менеджмента на ежегодной основе.

5.3. Инициатором изменения инфраструктуры и процесса риск-менеджмента могут выступать:

5.3.1. Совет директоров и его комитеты;

5.3.2. Комитет по рискам;

5.3.3. генеральный директор Компании;

5.3.4. руководитель внутреннего аудита;

5.3.5. владельцы рисков;

5.3.6. координатор.

5.4. Инициаторы изменения инфраструктуры и процесса риск-менеджмента в течение года направляют свои предложения координатору. Инициатор имеет право отозвать свои предложения до их рассмотрения в любое время.

5.5. Координатор:

5.5.1. ведет актуальный свод предложений по изменению инфраструктуры и процесса риск-менеджмента;

5.5.2. предоставляет свод предложений по изменению инфраструктуры и процесса риск-менеджмента не позднее пяти рабочих дней до заседания:

5.5.2.1. Совета директоров – при наличии предложений об изменении Политики управления рисками;

5.5.2.2. Комитета по рискам – при наличии предложений по изменению настоящего регламента.

6. Заключительные положения.

6.1. Регламент вступает в силу с момента издания приказа о его введении.

6.2. Изменения в регламент вносятся приказом генерального директора Компании по итогам решения Комитета по рискам.

6.3. Для взаимодействия используются личные электронные адреса сотрудников с копией писем на официальный электронный адрес подразделения.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.