Международная организация по стандартизации (ISO) в 2018 году выпустила следующие стандарты:

• Март 2018 года: ISO 45001:2018 «Система менеджмента охраны здоровья и обеспечения безопасности труда (СМОЗиОБТ). Требования и руководство по их применению», который заменяет собой OHSAS 18001:2007.
• Август 2018 года ISO 50001:2018 «Системы энергетического менеджмента (СЭнМ). Требования и руководство по их применению», который заменяет собой ISO 50001:2011.
• Июль 2018 года ISO 19011:2018 «Руководящие указания по проведению аудитов систем менеджмента», который заменяет собой ISO 19011:2011.

ISO даёт 3-х летний период по переходу на новые версии стандартов, соответственно, компаниям, у которых функционирует сертифицированная СМОЗиОБТ по OHSAS 18001:2007 и сертифицированная СЭнМ по ISO 50001:2011, необходимо осуществить переход на новые версии стандартов в срок до марта 2021 года и до августа 2021 года соответственно.

ISO 19011:2018 «Руководящие указания по проведению аудитов систем менеджмента» — стандарт рекомендательный и содержит в себе руководящие указания по выполнению пункта 9.2 «Внутренний аудит» ISO 45001:2018 и ISO 50001:2018. Основные отличия ISO 19011:2018 от предыдущей редакции 2011 года:

• добавление риск-ориентированного подхода к принципам аудита;
• расширение руководства по управлению программой аудита, включая риски по программе аудита.

Для выполнения обязательных требований стандартов и реализации риск-ориентированного подхода (отражённого в них) наши эксперты и партнёры предлагают консультационные услуги по подготовке (разработке, формированию, усовершенствованию) необходимого и достаточного набора документов и отчетных форм:

• по переходу СМОЗиОБТ на требования ISO 45001:2018;
• по переходу СЭнМ на требования ISO 50001:2018;
• по проведению внутреннего аудита Интегрированной системы менеджмента (ИСМ) с учётом риск-ориентированного направления, в соответствии с ISO 19011:2018;
• по интеграции разработанных документов с документами, разработанными в соответствии с:
  • ISO 9001:2015 «Системы менеджмента качества (СМК). Требования» (при наличии / при необходимости);
  • ISO 14001:2015 «Системы экологического менеджмента (СЭМ). Требования и руководство по их применению» (при наличии / при необходимости).

Особенности данного проекта:

Консультант является практикующим риск-менеджером, СЕО международной тренинговой компании «TQM-pro», сертифицированным тренером по управлению рисками (АТ31000), сертифицированным профессионалом в области корпоративного управления (степень CCGP), членом Казахстанской Ассоциации независимых директоров с практическим опытом внедрения и аудитов Систем внутреннего контроля, ИСМ (СМК + СЭМ + СМОЗиОБТ + СЭнМ) и процессов риск-менеджмента. Руководил отделами внутреннего аудита, отделами систем менеджмента качества, управлениями стратегического и корпоративного развития предприятий, провёл более 100 внутренних и более 30 внешних аудитов, более 150 тренингов в Казахстане, России, Беларуси, Украине, Узбекистане и Кыргызстане, в рамках которых обучено более 2.500 человек в более чем 70 компаниях, в т ч в дочерних компаниях АО «ФНБ «Самрук-Казына». Разработал, внедрил и организовал успешную сертификацию по ISO 9001, ISO 14001, ISO 45001 и ISO 50001 (с интеграцией процесса риск-менеджмента) в шести крупнейших энергетических предприятиях Республики Казахстан.

Полная информация: https://www.linkedin.com/in/e-litvinov & www.TQM-pro.com

Минэк, ФНС и Росимущество выпустили рекомендации для компаний с государственным участием о вхождении в Налоговый мониторинг. Это вероятнее всего означает оценку налоговых рисков и ежеквартальное раскрытие информации по ним в соответствие с требованиями ФНС по налоговому мониторингу местным налоговым органам.

Это требования ФНС по раскрытию информации о рисках (в рамках раскрытия информации о системе внутреннего контроля) для участников налогового мониторинга: http://www.consultant.ru/document/cons_doc_LAW_279362/

Эксперты АНО ДПО «ИСАР» первыми в стране подготовили, сдали и защитили данную отчетность. Если вам нужна помощь обращайтесь через сайт https://risk-academy.ru/contacts/

Выдержка из ФНС России ММВ-7-15/509:

4.1 Система управления рисками организации должна быть разработана для обеспечения организации и функционирования системы внутреннего контроля организации.

4.2. Система управления рисками организации должна своевременно предотвращать и минимизировать негативные последствия недостижения организацией целей упорядоченного и эффективного ведения финансово-хозяйственной деятельности (в том числе достижения финансовых и операционных показателей, сохранности активов).

4.3. Система управления рисками организации должна функционировать на постоянной основе и соответствовать целям, задачам и стратегии организации.

4.4. Система управления рисками организации должна быть регламентирована организационно-распорядительными документами организации.

4.5. Система управления рисками организации должна обеспечивать выполнение последовательности действий, направленных на предотвращение или минимизацию возможного ущерба за счет воздействий на причины и последствия возникновения рисков, в том числе:

• выявление организацией рисков;
• анализ и оценка организацией рисков;
• определение организацией границ приемлемости рисков;
• раскрытие организацией информации о выявленных рисках организации;
• принятие организацией решений о способе управления риском на основе оценки достаточности имеющихся в распоряжении организации контрольных процедур для покрытия рисков.

4.6. Выявление и оценка организацией рисков должны осуществляется на основе всестороннего анализа и оценки последствий внутренних и внешних факторов и условий финансово-хозяйственной деятельности организации.

4.7. Система управления рисками организации должна обеспечивать выявление и оценку наличия или вероятности возникновения обстоятельств, которые могут привести к искажению информации в бухгалтерской (финансовой), налоговой и иной отчетности, неправильному исчислению (удержанию), неуплате (неперечислению) налогов, сборов, страховых взносов и несвоевременному представлению (непредставлению) отчетности в налоговый орган.

• В соответствии со статьей 65.1, к компетенции совета директоров (наблюдательного совета) общества относится в том числе определение принципов и подходов к организации в обществе управления рисками, внутреннего контроля и внутреннего аудита (пп. 9.2 введен Федеральным законом от 19.07.2018 N 209-ФЗ).
• В статье 87.1. «Управление рисками, внутренний контроль и внутренний аудит в публичном обществе» устанавливается требование, что:
  • В публичном обществе должны быть организованы управление рисками и внутренний контроль. Совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие политику общества в области организации управления рисками и внутреннего контроля.
  • Для оценки надежности и эффективности управления рисками и внутреннего контроля в публичном обществе должен осуществляться внутренний аудит. Совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие политику общества в области организации и осуществления внутреннего аудита.

Часть требований вступила в силу с сентября 2018 года, п. 2 ст. 87.1 вступает в силу с 01 июля 2020 (ФЗ от 19.07.2018 N 209-ФЗ). Оцените готовность вашей организации к изменениям с помощью короткого онлайн-опроса.

Управление рисками является неотъемлемой частью управления организацией. Это не только важный элемент корпоративного управления, но и практический инструмент принятия бизнес-решений. При внедрении крайне важно избегать позиционирования управления рисками как обособленной деятельности, отдельной системы. Важна интеграция в бизнес, которая может быть достигнута путем встраивания риск-менеджмента в процессы принятия решений, использования инструментов анализа рисков при оценке проектов, эффективности деятельности и стратегических инициатив, интегрирования в стратегическое планирование, бюджетирование и другие ключевые процессы организации. В данной статье мы описали процедуру внедрения управления рисками и подготовили несколько практических рекомендаций для собственников, руководителей и членов совета директоров.

Процесс внедрения

Международный стандарт по управлению рисками ISO31000:2018 (в России адаптирован как ГОСТ Р ИСО 31000) описывает процесс внедрения управления рисками следующим образом:

1. Для внедрения управления рисками в организации необходимо определить, где, когда, как и кем принимаются наиболее существенные решения в организации.
2. Необходимо проанализировать, учитываются ли риски в процессе принятия этих существенных решений, делается ли это последовательно, системно и насколько результаты задокументированы. Если анализ рисков в процессе принимаемых решений производится неформально или не документируется, необходимо модифицировать (изменить) процедуры принятия решений. Изменить процедуры принятия решений таким образом, чтобы перед принятием любого существенного решения проводился анализ рисков, а его результаты учитывались при принятии решения.
3. Необходимо обеспечить понимание и правильное применение механизмов управления рисками организации. Обычно это делается через изменение существующих нормативных документов, должностных инструкций, обучение и взаимодействие с внутренним аудитом.

Обратите внимание, что в соответствии с международным стандартом, нет требований о создании отдельной службы или подразделения по управлению рисками, а также ничего не говорится о необходимости циклично повторяемых процедур по выявлению, оценке и митигации рисков. Скорее наоборот, международный стандарт описывает управление рисками, как некий элемент каждого принимаемого в организации существенного решения, а не как отдельный отчет о рисках всей организации. Требования к отчетности о рисках также отсутствуют в стандарте, так как информация о рисках должна стать частью обычной управленческой отчетности. Руководству компании следует обеспечивать интеграцию управления рисками во все виды деятельности организации, демонстрировать лидерство и ответственность путем:

• Утверждения положения или политики, устанавливающих подход, план или порядок действий в части внедрения управления рисками.
• Обеспечения выделения необходимых ресурсов для интеграции управления рисками.
• Установления полномочий, ответственности и подотчетности на соответствующих уровнях организации для принятия решений с учетом рисков.

Роль совета директоров в процессе внедрения управления рисками должна включать:

• Выстраивание мотивации руководителей организации с учетом рисков.
• Обеспечение адекватного учета рисков при определении целей организации.
• Понимание рисков, с которыми организация сталкивается при достижении своих целей.
• Обеспечение внедрения управления рисками в ключевые бизнес-процессы.
• Обеспечение надлежащего обмена информацией о рисках и их управлении в процессе принятия решений, которые входят в компетенцию совета директоров.

Практические рекомендации

1. Разработайте политику по управлению рисками. Для многих организаций может быть целесообразным документировать представление руководства о риск-менеджменте в высокоуровневом документе, таком как политика по управлению рисками. Политика должна описывать общее отношение компании к рискам, принципы управления рисками, роли и обязанности, инфраструктуру управления рисками, а также ресурсы и процессы, посвященные управлению рисками.

2. Документируйте допустимый аппетит к риску для различных типов решений в существующих нормативных документах. Утверждение лимитов одобрения сделок, требования финансовой политики к привлечению финансирования, критерии инвестирования в различные типы проектов, нулевая толерантность к рискам коррупции, травматизма или смертельных случаев, требования, установленные к экологической или промышленной безопасности – все это примеры того, как руководство компании, акционеры или советы директоров устанавливают рамки, лимиты, аппетит к риску. Задача риск-менеджера убедиться, что для наиболее существенных рисков действительно установлены требования и лимиты в действующих нормативных документах. Если это не так, риск-менеджер может, совместно с владельцем процесса, инициировать рассмотрение подобных лимитов на правлении или совете директоров.

3. Включите вопрос в повестку дня совета директоров. Вместо того чтобы включать обсуждение рисков как отдельный пункт в повестку совета директоров, сделайте раскрытие информации о рисках частью каждого вопроса, который обсуждается на совете директоров. Риск-менеджер должен, совместно с секретарем совета директоров, внести необходимые дополнения в шаблоны презентаций для совета директоров с целью включения информации о рисках, их влиянии на принимаемые решения и способы нивелирования в каждое существенное решение, связанное с одобрением планов, бюджетов, прогнозов, сделок или отчетов о результатах деятельности. Риск-менеджер также, совместно с внутренним аудитом, должен убедиться, что информация о рисках, предоставляемая совету директоров, является полной и правдивой.

4. Рассмотрите возможность создания отдельного комитета по управлению рисками на уровне правления или расширьте мандат существующего органа управления (официально такого требования нет). Большинство опрошенных риск-менеджеров утверждают, что наличие консультационного органа по управлению рисками на уровне правления оказывает существенный положительный эффект на развитие культуры управления рисками в организации. Комитет может фокусироваться на рассмотрении методологических вопросов с целью, в первую очередь, разгрузки повестки дня правления или принимать непосредственное участие в процессе принятия инвестиционных, проектных и прочих решений, связанных с высокими рисками, или же совмещать обе функции.

5. Актуализируйте существующие политики и процедуры с учетом рисков. Вместо того чтобы разрабатывать отдельные регламенты или методики по управлению рисками, необходимо актуализировать существующие регламенты и процедуры, например финансовую политику, регламент бюджетирования или положение о закупках. В существующих регламентах необходимо зафиксировать необходимость анализа рисков в процессе принятия решений. Вместо единых централизованных документов по управлению рисками, владельцами которых являются риск-менеджеры, должны быть изменены существующие нормативные документы, что усиливает интеграцию управления рисками в бизнес-процессы. Таким образом, ответственность за соблюдение нормативных документов закрепляется за бизнес-подразделениями.

6. Вовлекайте риск-менеджера (если он есть) в процессы принятия решения для оцифровки рисков. С целью развития культуры управления рисками важно избегать восприятия риск- менеджмента как отдельного от бизнеса, самостоятельного процесса. Один из наиболее действенных и простых способов – включение элементов анализа рисков в процесс принятия решений. Например, использование вероятностного подхода к оценке инвестиционной привлекательности проектов может позволить компании избежать многих ошибок, присущих более традиционным методам оценки. Вместо точечной оценки чистой приведенной стоимости (NPV) компании могут рассчитывать на распределение целого ряда показателей, в том числе вероятность отрицательного NPV. Сценарный анализ или имитационное моделирование могут существенно повысить качество инвестиционного анализа.

7. Проводите обучение по управлению рисками. Ключевым компонентом развития риск-ориентированного управления является обучение членов совета директоров, руководства, сотрудников и развитие культуры управления рисками.

8. Закрепите роли и обязанности по управлению рисками. Данная задача предполагает документирование ролей и обязанностей в области управления рисками в существующих должностных инструкциях, положениях о подразделениях и комитетах и мониторинг выполнения обязанностей по управлению рисками в процессе ежегодной оценки персонала.

9. Выстраивайте мотивацию руководителей с учетом рисков. Управление рисками должно начинаться с непреодолимого желания каждого из руководителей управлять, просчитывая свои действия на несколько шагов вперед, проактивно снимать угрозы и использовать возможности. Желание определяется мотивацией.