Coso erm framework что это

Обновлено: 06.07.2024

В настоящее время в риск-менеджменте наиболее распространены стандарты FERMA и COSO ERM.

FERMA (Federation of European Risk Management Association) — Европейская Федерация Ассоциаций риск-менеджмента. В 2002 году был опубликован «Стандарт по управлению рисками» (Risk Managment Standart).

COSO ERM, ERM COSO (Enterprise Risk Management — Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission) — принципы риск-менеджмента, разработанные Комитетом спонсорских организаций Комиссии Тредвея совместно с компанией PricewaterhouseCoopers.

Выбор стандарта риск-менеджмента Эти стандарты, с одной стороны, похожи, а с другой — достаточно сильно отличаются с точки зрения их возможного использования. Возможное использование связано с несколькими факторами.

Во-первых, стандарт FERMA разработан риск-менеджерами для постановки системы управления рисками любого предприятия. Стандарт COSO ERM — развитие предыдущего стандарта COSO (Internal Control — Integrated Framework), который был ориентирован на повышение достоверности отчетности предприятий. Данные стандарты были разработаны аудиторами для аудиторов. История развития, по мнению автора, наложила отпечаток на каждый из стандартов. Поэтому первый удобен для обычных людей, а второй — именно для внутренних аудиторов.

Во-вторых, стандарт FERMA содержит четко определенную последовательность действий по постановке системы управления рисками и более конкретные рекомендации. Это позволяет использовать его при постановке системы управления рисками неподготовленному читателю. Стандарт COSO ERM по сравнению со стандартом FERMA расплывчат, и для его интерпретации почти наверняка понадобится помощь внешнего консультанта либо же привлечение на работу специалиста, знакомого именно с этим стандартом.

В-третьих, у каждого из этих стандартов разные пользователи и разные законодательные требования. FERMA предназначен, в первую очередь, для риск-менеджеров и фактически представляет собой необязательные рекомендации. Стандарт COSO является обязательным для публичных компаний в США.

Исходя из перечисленных особенностей и должен происходить выбор стандарта для постановки системы управления рисками. Если цель компании — размещение акций на нью-йоркской фондовой бирже, то естественно выбрать COSO ERM. Если же цель компании — построить систему управления рисками для внутреннего пользования, целесообразно использовать FERMA, хотя и этот стандарт определяет требования к раскрытию информации.

Для управления рисками на предприятии есть различные стандарты. Наибольшее распространение получили FERMA, COSO ERM и ISO 31000.

Международные модели управления рисками FERMA и COSO ERM

FERMA (Federation of European Risk Management Association) — Европейская Федерация Ассоциаций риск-менеджмента. В 2002 году был опубликовали «Стандарт по управлению рисками» (Risk Managment Standart).

Данный стандарт определяет четкую последовательность действий по внедрению системы риск-менеджмента и содержит практические рекомендации. На предприятии FERMA внедряют для увеличения стабильности работы. Методология стандарта основана на четырёх рисках: стратегических, финансовых, производственных и рисков безопасности.

В стандарте прописаны основные теоретические и практические указания: определение риска, риск-менеджмента, процедуры оценки рисков, методы и технологии оценки рисков, мероприятия по управлению рисками, а также обязанности риск-менеджера.

Схему системы риск-менеджмента FERMA можно внедрить на любом предприятии, что является хорошим преимуществом.

COSO ERM (Enterprise Risk Management — Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission) — принципы риск-менеджмента, разработанные Комитетом спонсорских организаций Комиссии Тредвея совместно с компанией PricewaterhouseCoopers.

Стандарте COSO-ERM учитывает восемь областей управления рисками компании: организационная структура, цели компании, идентификация рисковых ситуаций, оценка вероятности наступления рискового события, совокупность стратегий реагирования на риск, контроль над действиями сотрудников, информационный обмен, элиминирование рисков.

В зависимости от разработанности этих областей в компании, необходимо выбрать наиболее существенные. Важно правильно внедрить систему риск-менеджмента, так, чтобы она охватывала все структурные подразделения компании, а методы нейтрализации угроз, вызванных возможностью реализации того или иного риска, были эффективны.

Особенности стандартов COSO ERM и FERMA приведены в таблице 1.

Таблица 1. Особенности стандартов COSO ERM и FERMA.

Цель разработки

Какие задачи позволяет решать

Особенности

Разработан для постановки системы управления рисками любого предприятия

увеличение стоимости компании;
рассмотрение разноплановых рисков;
идентификация, описание и измерение рисков;
определение причин возникновения рисков;
сокращение вероятности наступления рискового события;
внедрение интегрированной системы управления рисками в общую структуру управления;
формирование последовательности управления рисками.

Содержит четко определенную последовательность действий по постановке системы управления рисками и конкретные рекомендации, что позволяет использовать стандарт при постановке системы управления рисками неподготовленному пользователю.

Развитие предыдущего стандарта COSO (Internal Control — Integrated Framework), который был ориентирован на повышение достоверности отчетности предприятий. Данные стандарты были разработаны аудиторами для аудиторов.

выявление готовности идти на риск и порог приемлемого риска;
эффективность принятия решений в условиях неопределенности;
снижение реализации рисковых событий;
возможность управлять интегрированным риском;
поиск возможностей среди рисковых ситуаций;
эффективное использование капитала.

Отсутствует пошаговая инструкция по внедрению системы риск-менеджмента, что вызывает необходимость в привлечении внешних экспертов.

Выбор стандарта для постановки системы управления рисками нужно проводить исходя из перечисленных особенностей. Если акции компании котируются на нью-йоркской фондовой бирже, то обязательно к применению COSO ERM. Если организации достаточно построить систему управления рисками для внутреннего пользования, целесообразно использовать FERMA.

Ключевые принципы ISO 31000

ISO 31000 можно назвать универсальным стандартом. Он помогает предприятиям, нацеленным на победу в тендерах, работу с крупными контрагентами и госструктурами, в том числе с доступом к гостайне, формирует имидж надёжного партнёра и повышает инвестиционную привлекательность.

Стандарт ИСО 31000 определяет требования для следующих аспектов риск-менеджмента:

внутренняя среда;
способы постановки целей;
определение событий и ответственных за них лиц;
оценка рисков и способы реагирования на них;
средства контроля;
планирование, сбор и анализ информации;
коммуникация между заинтересованными лицами;
мониторинг.

Стандарт определяет, что риск-менеджмент должен быть неотъемлемой частью деятельности компании. Без учёта вероятных рисков её работа будет малоэффективной. Для риск-менеджмента устанавливается ряд принципов. Он должен быть структурированным, комплексным и всеобъемлющим.

Управление рисками осуществляется:

методом отказа от чрезмерно рискованной деятельности;
наработкой резервов и запасов;
диверсификацией;
страхованием или аутсорсингом рисковых функций.

Каждая компания может адаптировать рекомендации с учётом своей специфики. ГОСТ Р ИСО 31000-2010 можно применить к любому типу риска, независимо от его характера, а также того, имеет он отрицательные или положительные последствия.

На разных этапах существования компании риски могут возникать и исчезать, становиться более или менее весомыми. Работающая система управления способна предвосхитить, обнаружить, признать и отреагировать на произошедшие изменения. На всех этапах принятия решений обязательны постоянный мониторинг и периодическая проверка.

Узнайте больше об управлении экономическими рисками на предприятии на курсе «Обеспечение экономической безопасности предприятия».

Также вы можете выбрать другие программы обучения экономической безопасности в Учебном центре «ФИНКОНТ».

Комитет организаций – спонсоров Комиссии Тредвея (The committee of sponsoring organizations of the treadway commission – COSO) разработал общую модель внутреннего контроля [8], в сравнении с которой компании и организации, в том числе и банки, могут оценить собственные системы управления. COSO был образован в 1985г. при поддержке Национальной комиссии по вопросам мошенничества в финансовой отчетности (Комиссия Тредуэя).

Модель COSO определяет внутренний контроль организации как процесс, осуществляемый советом директоров, топ-менеджментом и остальным персоналом организации, предназначенный для обеспечения «разумной уверенности» касательно достижения целей в следующих категориях:

эффективность и продуктивность операций;
надежность финансовой отчетности;
соблюдение законов и правил.

Модель COSO внутреннего контроля включает в себя несколько основных понятий:

внутренний контроль представляет собой процесс. Это средство для достижения цели, а не самоцель;

внутренний контроль зависит от людей. Он представляет собой не только политики руководства и формы, но и людей на всех уровнях компании;

внутренний контроль может обеспечить руководству и совету директоров компании лишь достаточную уверенность, но не абсолютные гарантии;

внутренний контроль направлен на достижение целей в одной или нескольких отдельных, но пересекающихся категориях.

Суть модели COSO можно выразить так: вы управляете тогда, когда риск оценен и управляем.

Элементы внутреннего контроля согласно системе COSO включают (табл. 1):

1) контрольную среду;
2) оценку риска;
3) мероприятия контроля;
4) сбор и анализ информации, а также передачу ее по назначению;
5) мониторинг и исправление ошибок.[2]

Таблица 1. Компоненты системы внутреннего контроля

Компонент	Описание	Основные элементы
Контрольная среда	Осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля организации, а также понимание значения такой системы для деятельности этой организации	- надежность, честность и нравственность; - компетентность; - философия и стиль управления; - организационнаяструктура; - распределение прав и обязанностей; - кадровая политика и практика.
Оценка риска	Определение и оценка возможных рисков при подготовке финансовой отчетности	- изменения законодательства; - изменения условий хозяйствования; - оценка последствий.
Информация и сети	Обеспечивают понимание персоналом роли своего участия в процессе подготовки финансовой (бухгалтерской) отчетности	- запись, обработка, обобщение и представление операций организаций; - распределение обязанностей; - обеспечение руководителей различных уровней информацией.
Контрольные процедуры	Обеспечивают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются	- проверка выполнения распоряжения (отчеты); - обработка информации; - проверка наличия и состояния объектов; - распределение обязанностей.
Мониторинг	Наблюдение за тем, функционируют ли средства контроля должным образом. Это процесс оценки эффективного функционирования системы внутреннего контроля во времени	- непрерывный мониторинг; - периодический контроль.

Модель включает в себя восемь компонентов:

внутренняя среда (internal environment). Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает философию управления рисками и риск-аппетит, честность и этические ценности, а также ту среду, в которой они существуют;

постановка целей (objective setting). Цели должны быть определены до того, как руководство начнет выявлять события, которые могут оказать влияние на их достижение. Процесс управления рисками предоставляет разумную гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и они соответствуют миссии организации и уровню ее риск-аппетита;

определение событий (event identification). Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей;

оценка рисков (risk assessment). Риски анализируются с учетом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего и остаточного риска;

реагирование на риск (risk response). Руководство выбирает метод реагирования на риск – уклонение от риска, принятие, сокращение или перераспределение риска, – разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации;

средства контроля (control activities). Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать разумную гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно;

информация и коммуникации (information and communication). Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали;

мониторинг (monitoring). Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.

Подводя итоги, отметим что:

В COSO большое значение придается внутренней среде.

В COSO гораздо большее значение придается мониторингу внутреннего контроля как форме последующего контроля. Мониторинг – один из основных элементов модели COSO.