В соответствии со стандартом FERMA, мониторинг должен дать ответ на следующие вопросы:
- привели ли принятые меры к планируемым результатам?
- являлись ли адекватными проведенные процедуры и собранная для оценки информация?
- нужны ли изменения в существующую систему управления рисками?
Первый вопрос наиболее важен для реализации программы мероприятий. Во-первых, он позволяет оценить, насколько мероприятия были выполнены. Дело в том, что в рапортах о выполнении часто встречается некое лукавство, которое необходимо исключить. Например, в рассмотренном примере можно отчитаться о формировании BSC. Однако даже беглый анализ покажет, что разработанные показатели мало связаны не только сами с собой, но и с декларируемой стратегией, не говоря о том, что система сбалансированных показателей может быть разработана, а система мотивации по итогам упорных трудов может быть и не изменена. Во-вторых, необходимо мониторить, насколько правильные мероприятия были выбраны для управления рисками. Очевидно, что не все из них будут эффективными, и в этом нет ничего страшного: не ошибается тот, кто ничего не делает. Главное, чтобы эта неэффективность была своевременно выявлена, и этому должен способствовать мониторинг.
Ответы на второй вопрос позволят оценить эффективность самой системы управления рисками и качество представленной информации. Скажем, оценка системы внутреннего контроля, проведенная на основании мнения менеджмента, вряд ли будет эффективной. Соответственно, может оказаться, что некоторые риски не были выявлены. В этом случае процедуры идентификации в отношении некоторых рисков будет необходимо повторить.
Последний вопрос связан с тем, что компании динамичны и существуют в динамичной среде. При изменениях во внутренней или внешней среде требуется внести соответствующие изменения в существующие системы. Очень типовой пример связан со сроком жизни карты рисков. Если у вас очень устойчивый бизнес на стабильном рынке без глобальных потрясений и активных инвестиций, то карта рисков будет устойчива. Для управления рисками будет достаточно раз в год на совете директоров рассмотреть сделанное за предыдущий и утвердить программу мероприятий на следующий год. Однако таких бизнесов практически не существует: в подавляющем большинстве случаев карта рисков живет не более квартала. Поэтому она и должна рассматриваться не реже, чем раз в квартал, а совет директоров должен вмешиваться в деятельность предприятия, в том числе и анализировать риски. Соответственно, ответ на третий вопрос должен просигнализировать необходимость подобного рода изменений.
Отчет по итогам мониторинга может быть, по моему мнению, в достаточно произвольном виде. Стандарты конкретных форм не рекомендуют. В COSO ERM есть несколько примеров, но особо интересного, на мой взгляд, нет (за исключением картинки с названием «Процесс альтернативного информирования руководства», свидетельствующей о каше в голове пишущих даже с точки зрения нотаций описания бизнес-процессов, не говоря о смысле).
Анализ отчета об исполнении мероприятий по управлению рисками – типовое аудиторское задание. Большая сложность будет при оценке достижений по «виртуальным» мероприятиям. Менеджмент может занять позицию, что «риски хоть чуть-чуть, но снижаются». В этом случае целесообразно будет признать, что мероприятия были выбраны не очень хорошо, и предложить пересмотреть их. В части оценки проектных дел возможны сложности с тем, что формально проект выполнен, однако его цели были не достигнуты, либо функционирует всё через сами знаете что. В общем, абсолютно стандартные ситуации, в разных разделах сайта про это написано.
Что касается управления рисками в целом – очень целесообразно рассматривать карту рисков одновременно со стратегией. Так же неплохо было бы, что бы на каждом, пусть даже самом промежуточном, заседании совета директоров, внимание уделялось паре-тройке самых существенных рисков, в простой и доступной, возможно даже – экспресс-форме. Что б все участники процесса были вовлечены и оставались «в тонусе».