Каждый из нас так или иначе сталкивается с контролем — как в работе, так и в личной жизни. Однако далеко не всегда этот процесс осознанный и системный. В компаниях контроль нередко воспринимается как формальность или инструмент давления, а не как механизм повышения эффективности.
Но на самом деле контроль гораздо проще: речь идет не о сложной теории и не о хитрых приемах, а о понятных принципах, которые основаны на здравом смысле. Главное — выстроить их в систему.
Одним из возможных решений является использование модели (фреймворка) COSO — получившего международное признание подхода к интеграции риск-менеджмента и внутреннего контроля в организации. В нашем материале мы расскажем, что такое COSO, что представляют из себя ключевые принципы COSO и как они помогают компаниям действовать уверенно в условиях неопределенности.
Одним из возможных решений является использование модели (фреймворка) COSO — получившего международное признание подхода к интеграции риск-менеджмента и внутреннего контроля в организации. В нашем материале мы расскажем, что такое COSO, что представляют из себя ключевые принципы COSO и как они помогают компаниям действовать уверенно в условиях неопределенности.
Что такое модель (фреймворк) COSO Enterprise Risk Management
Фреймворк (структура) управления рисками и контроля, о которой мы расскажем, разработана американской организацией Committee of Sponsoring Organizations of the Treadway Commission (COSO). Появление этой модели было не случайным. В конце 1980-х годов США переживали серьезный кризис: обвал сотен финансовых институтов привел к огромным потерям для инвесторов, кредиторов и государства в целом. Чтобы разобраться в причинах и предложить решения, была создана специальная комиссия, в которую вошли представители профессиональных сообществ — аудиторы, бухгалтеры, финансовые менеджеры и другие эксперты.
Одной из ключевых рекомендаций комиссии стало создание универсальных принципов и руководства по внутреннему контролю. Для этого и был сформирован комитет COSO. Его подходы к рискам и контролю впоследствии легли в основу множества национальных и международных стандартов, а также методик, разработанных консалтинговыми компаниями по всему миру.
Возглавил комиссию Джеймс С. Тредвей-младший — в то время исполнительный вице-президент и генеральный юрист компании Paine Webber Incorporated, ранее занимавший должность комиссара Комиссии по ценным бумагам и биржам США. Именно его имя закрепилось за этим объединением, благодаря чему оно часто упоминается как «Комиссия Тредвея».
Обновленная версия COSO 2017 года сместила акцент: управление рисками больше не должно быть «параллельной деятельностью», а должно включаться как неотъемлемая часть в стратегию управления.
Смысл прост: нельзя рассматривать риски изолированно от стратегии. Их нужно учитывать еще на этапе постановки целей, а не реагировать лишь когда что-то пошло не так. Фреймворк COSO помогает компаниям сделать риск-ориентированное мышление частью управленческой культуры.
Одной из ключевых рекомендаций комиссии стало создание универсальных принципов и руководства по внутреннему контролю. Для этого и был сформирован комитет COSO. Его подходы к рискам и контролю впоследствии легли в основу множества национальных и международных стандартов, а также методик, разработанных консалтинговыми компаниями по всему миру.
Возглавил комиссию Джеймс С. Тредвей-младший — в то время исполнительный вице-президент и генеральный юрист компании Paine Webber Incorporated, ранее занимавший должность комиссара Комиссии по ценным бумагам и биржам США. Именно его имя закрепилось за этим объединением, благодаря чему оно часто упоминается как «Комиссия Тредвея».
Обновленная версия COSO 2017 года сместила акцент: управление рисками больше не должно быть «параллельной деятельностью», а должно включаться как неотъемлемая часть в стратегию управления.
Смысл прост: нельзя рассматривать риски изолированно от стратегии. Их нужно учитывать еще на этапе постановки целей, а не реагировать лишь когда что-то пошло не так. Фреймворк COSO помогает компаниям сделать риск-ориентированное мышление частью управленческой культуры.
Как устроен фреймворк: 5 компонентов и их логика
COSO ERM строится на пяти взаимосвязанных элементах, которые вместе образуют основу системы.
Первый компонент — управление и культура. Здесь речь идет о роли и участии руководства: руководство должно определять ценности, назначать ответственность за управление рисками и формировать атмосферу открытого обсуждения. Если сотрудники боятся говорить о проблемах, никакая методология не поможет.
Второй элемент — стратегия и постановка целей. COSO предлагает учитывать риски еще на этапе выбора стратегического направления. Например, компания планирует выход на новый рынок. Какие угрозы она встретит? Регуляторные барьеры, политические факторы, культурные различия? И какой уровень риска руководство готово принять? Этот фактор называют «риск-аппетит» — допустимая степень неопределенности, с которой компания готова жить.
Третий компонент связан с эффективностью бизнес-процессов.На этом этапе важно не просто зафиксировать риски, а встроить их контроль в процесс управления результатами. Компании должны идентифицировать и оценивать ключевые риски, понимать, какие из них критичны, и принимать решения: снизить, передать, принять или избежать.
Четвертый блок — обзор и пересмотр. Риск-профиль компании меняется вместе с рынком и стратегией. Поэтому COSO рекомендует регулярно пересматривать подходы, проверять эффективность текущих мер и корректировать планы.
И, наконец, пятый компонент — информация, коммуникация и отчетность. Без прозрачной информации управление рисками превращается в формальность. Здесь важны качественные данные, эффективные коммуникации между подразделениями и отчетность, которая помогает принимать решения, а не лежит «мертвым грузом» в архивах.
Первый компонент — управление и культура. Здесь речь идет о роли и участии руководства: руководство должно определять ценности, назначать ответственность за управление рисками и формировать атмосферу открытого обсуждения. Если сотрудники боятся говорить о проблемах, никакая методология не поможет.
Второй элемент — стратегия и постановка целей. COSO предлагает учитывать риски еще на этапе выбора стратегического направления. Например, компания планирует выход на новый рынок. Какие угрозы она встретит? Регуляторные барьеры, политические факторы, культурные различия? И какой уровень риска руководство готово принять? Этот фактор называют «риск-аппетит» — допустимая степень неопределенности, с которой компания готова жить.
Третий компонент связан с эффективностью бизнес-процессов.На этом этапе важно не просто зафиксировать риски, а встроить их контроль в процесс управления результатами. Компании должны идентифицировать и оценивать ключевые риски, понимать, какие из них критичны, и принимать решения: снизить, передать, принять или избежать.
Четвертый блок — обзор и пересмотр. Риск-профиль компании меняется вместе с рынком и стратегией. Поэтому COSO рекомендует регулярно пересматривать подходы, проверять эффективность текущих мер и корректировать планы.
И, наконец, пятый компонент — информация, коммуникация и отчетность. Без прозрачной информации управление рисками превращается в формальность. Здесь важны качественные данные, эффективные коммуникации между подразделениями и отчетность, которая помогает принимать решения, а не лежит «мертвым грузом» в архивах.
Почему подход COSO работает лучше «старого» риск-менеджмента
Главное отличие COSO ERM от устаревших подходов — интеграция. Это не разовый процесс составления списка рисков. Это непрерывная работа, встроенная в стратегию, KPI и операционное управление. Риски учитываются не только на уровне теории, а становятся реальным инструментом для адаптации бизнеса.
Как это выглядит на практике с RiskControl
Представим, что компания хочет запустить специализированное решение RiskControl, которое обеспечивают системный и полный охват рисков, и что важно — их связь с целями и KPI. Это обеспечивается объектной моделью и моделью данных RiskControl.
Используя модель COSO, процесс будет выглядеть следующим образом: в информационной системе фиксируются цели, метрики, KPI в привязке к бизнес-процессам, на этапе стратегии анализируются риски процессов, проектов — внутренние и внешние риски, киберугрозы, законодательные ограничения, конкуренция и т. д. Далее руководство определяет, какой уровень риска приемлем. После запуска внедряются метрики для мониторинга безопасности, а при изменениях в законодательстве планы корректируются. Все это не отдельная процедура, а часть единого управленческого цикла.
Подсистема аналитики позволяет получать наглядные отчеты, демонстрирующих связь между рисками, целями, действиями участников процесса риск-менеджмента -для поддержки принятия решения на основе данных.
В основе RiskControl — методология управления рисками, соответствующая по ключевым позициям рекомендациям, изложенным в международных стандартах COSO, ISO 31 000:2018, ISO 27 001, ISO 27 005, а также в практическом стандарте PMI «PRACTICE STANDARD FOR PROJECT RISK MANAGEMENT».
Используя модель COSO, процесс будет выглядеть следующим образом: в информационной системе фиксируются цели, метрики, KPI в привязке к бизнес-процессам, на этапе стратегии анализируются риски процессов, проектов — внутренние и внешние риски, киберугрозы, законодательные ограничения, конкуренция и т. д. Далее руководство определяет, какой уровень риска приемлем. После запуска внедряются метрики для мониторинга безопасности, а при изменениях в законодательстве планы корректируются. Все это не отдельная процедура, а часть единого управленческого цикла.
Подсистема аналитики позволяет получать наглядные отчеты, демонстрирующих связь между рисками, целями, действиями участников процесса риск-менеджмента -для поддержки принятия решения на основе данных.
Что такое реестр рисков и как его сформировать для своей компании?
В основе RiskControl — методология управления рисками, соответствующая по ключевым позициям рекомендациям, изложенным в международных стандартах COSO, ISO 31 000:2018, ISO 27 001, ISO 27 005, а также в практическом стандарте PMI «PRACTICE STANDARD FOR PROJECT RISK MANAGEMENT».
Главный вывод
COSO ERM — это не бюрократический инструмент, а философия управления. Система RiskControl была разработана с целью предоставить российским компаниям доступ к лучшим международным практикам, адаптируя их к реалиям отечественного бизнеса. Так, система RiskControl помогает пользователям видеть не только угрозы, но и возможности, принимать обоснованные решения и повышать устойчивость бизнеса к кризисам.
Компании, которые осознают важность риск-менеджмента как части общей стратегии развития, получают важное преимущество: способность действовать уверенно даже в условиях неопределенности.
Есть вопросы? Свяжитесь с нашим экспертом или оставьте заявку на демо RiskControl!
Компании, которые осознают важность риск-менеджмента как части общей стратегии развития, получают важное преимущество: способность действовать уверенно даже в условиях неопределенности.
Есть вопросы? Свяжитесь с нашим экспертом или оставьте заявку на демо RiskControl!
