Обеспечение информационной безопасности бизнеса
Шрифт:
— рекомендации для образовательных задач;
— приложения (аналитика, практические примеры).
Фактически первый отчет комиссии 1987 г. дал направленность всем последующим публикациям, известным под аббревиатурой COSO. К настоящему времени основные направления деятельности комиссии отражены в документах, посвященных следующим вопросам:
— анализ фактов мошенничества в финансовой отчетности;
— внутренний контроль;
— менеджмент риска в организации.
Документы комиссии по вопросам организации внутреннего контроля и риск-менеджмента
В 2001 г. COSO инициировал проект по разработке концептуальных основ менеджмента риска для использования руководством компаний при оценке своей системы управления рисками и ее дальнейшем совершенствовании. Период разработки концептуальной базы по менеджменту риска COSO был отмечен рядом корпоративных скандалов и банкротств в Европе и Америке, получивших широкую огласку и принесших значительные убытки инвесторам, персоналу компаний и другим заинтересованным сторонам. В этих условиях потребность в создании концептуальной базы по менеджменту рисками, устанавливающей основные принципы и концепции, общую терминологию, четкие указания и рекомендации, стала еще более очевидной.
Одним из последствий указанных событий стало принятие в 2002 г. в США так называемого Закона Сарбейнса — Оксли (известного как SOX). Аналогичные законы были приняты или готовятся к принятию и в других странах. Указанная серия законов расширяет существовавшие требования к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая обязанность на руководство компаний представлять информацию об эффективности таких систем, а на независимого аудитора [финансовой отчетности] — удостоверять предоставленные сведения.
Одним из самых важных вопросов, решаемых высшим руководством организаций, как отмечается в материалах COSO, является определение величины риска, который организация готова принять и принимает в процессе своей деятельности по созданию добавленной стоимости (материалы комиссии, финансируемой COSO, обращены к коммерческим структурам, в связи с этим в ее материалах делается акцент на прибыль/добавленную стоимость).
Основная предпосылка при менеджменте рисками деятельности организации заключается в том, что каждая организация существует, чтобы создавать добавленную стоимость для сторон, заинтересованных в ее деятельности. При этом все организации сталкиваются с неопределенностью, и задачей руководства является принятие решения об уровне неопределенности, с которым организация готова смириться, стремясь увеличить стоимость для заинтересованных сторон. В связи с этим неопределенность, с одной стороны, таит в себе риск (потери), а
Рост стоимости будет максимальным, если руководство определяет стратегию и цели таким образом, чтобы обеспечить оптимальный баланс между ростом компании, ее прибыльностью и рисками; эффективно и результативно использует ресурсы, необходимые для достижения целей организации.
В соответствии с методологией COSO менеджмент риска организации включает в себя следующие ключевые задачи:
— определение уровня риска, на который готова идти организация в соответствии со своей стратегией развития;
— совершенствование процесса принятия решений по реагированию на возникающие риски;
— сокращение числа непредвиденных событий и убытков в хозяйственной деятельности;
— определение и управление всей совокупностью рисков в хозяйственной деятельности;
— использование благоприятных возможностей;
— рациональное использование капитала.
Возможные подходы к определению уровня риска, на который готова идти организация (величину приемлемой степени риска), схематично иллюстрирует рис. 45.
По мнению авторов рекомендаций COSO, возможности, открываемые процессом менеджмента риска организации, помогают руководству в достижении целевых показателей прибыльности и рентабельности, а также в предотвращении нерационального использования ресурсов. При этом процесс менеджмента риска способствует обеспечению эффективности процесса составления финансовой отчетности, а также соблюдения законодательных и нормативных актов, избежания нанесения ущерба репутации компании и связанных с этим последствий. Посредством этого процесс менеджмента риска позволяет руководству достигать своих целей и при этом избегать просчетов и неожиданностей.
Влияние событий в сфере неопределенности может быть положительным, отрицательным или одновременно и тем и другим. События, влияние которых является отрицательным, методологией COSO предлагается относить к риску, который мешает созданию или ведет к снижению стоимости. События, влияние которых является положительным, могут компенсировать отрицательное влияние рисков, а также положительно влиять на достижение результата.
По COSO менеджмент риска организации:
— представляет собой непрерывный процесс, охватывающий всю организацию;
— осуществляется сотрудниками на всех уровнях организации;
— используется при разработке и формировании стратегии;
— применяется во всей организации, на каждом ее уровне и в каждом подразделении и включает анализ портфеля рисков на уровне организации;
— нацелен на определение событий, которые могут влиять на организацию и менеджмент рисками таким образом, чтобы они не превышали порог готовности организации идти на риск;
— дает руководству и совету директоров организации разумную гарантию достижения целей;