5. Koordinierung der Arbeit aller Abteilungen beim Management ihrer Risiken.

7. Überwachung der Einhaltung von Risikominimierungsstandards.

Wichtigste Ziele und Zielsetzungen

Schema 1. Verfahren (Komponenten), mit denen die Bank ihre operationellen Risiken steuert

Unter operationellen Risiken werden Bankrisiken verstanden, die aus folgenden Gründen oder unter dem Einfluss folgender Faktoren direkte und (oder) indirekte Verluste (einschließlich Ressourcenausfallzeiten) mit sich bringen:

Unbeabsichtigte oder vorsätzliche Handlungen natürlicher und (oder) juristischer Personen, auch unter Beteiligung von Bankmitarbeitern;

Unvollkommenheit von Geschäftsprozessen, einschließlich der Organisationsstruktur der Bank im Hinblick auf die Befugnisverteilung von Abteilungen und Mitarbeitern, die Reihenfolge und Verfahren zur Durchführung von Bank- und anderen Vorgängen und Transaktionen, deren Dokumentation und Berücksichtigung in der Buchhaltung, Nichteinhaltung durch Mitarbeiter die etablierte Ordnung und Verfahren, Ineffektivität der internen Kontrolle;

Störungen von Systemen und Geräten;

Ungünstige äußere Umstände, die außerhalb der Kontrolle der Bank liegen (einschließlich Gesetzesänderungen, Marktbedingungen, Naturkatastrophen und andere Umstände höherer Gewalt).

Unter einem Vorfall versteht man jedes Ereignis im Zusammenhang mit betrieblichen Risiken, das der Bank Schaden zufügen kann (Material-, Imageschaden etc.). Die allgemeine Klassifizierung von Vorfällen ist in Anhang 1 angegeben. Für die Rechnungslegung wird zwischen erheblichen und unbedeutenden Vorfällen unterschieden.

Als erhebliche Vorfälle erkennt die Bank beispielsweise alle Vorfälle im Zusammenhang mit böswilligen Handlungen und andere Vorfälle mit einem potenziellen oder tatsächlichen Verlust von mehr als 10.000 Rubel an. Wesentliche Vorkommnisse unterliegen einer detaillierten Aufzeichnung(Weitere Einzelheiten finden Sie in Abschnitt 6.1 „Effektiver Umgang mit Vorfällen“). In diesem Fall zählen zu den geringfügigen Vorfällen auch andere Vorfälle (mit geringerem Schadensumfang).

Für die Zwecke der Risiko- und Vorfallanalyse (einschließlich der Berechnung der Höhe des Betriebsrisikos) muss jedes identifizierte Risiko, jeder Vorfall, jeder Verlust oder jedes Problem, das ein Risiko verursacht, gemäß der folgenden Kriterienliste klassifiziert werden (die Liste kann um eine Arbeitsliste erweitert werden). Grundlage durch den Risikoausschuss (siehe Abschnitt 4.2.1):

3.3.1. Nach Risikoart:

1. Risiken technogener, natürlicher und sozialer Natur.

2. Risiken von Geräteausfällen, Programmen und Ausfallzeiten.

3. Risiken von Verletzungen von Arbeitnehmerrechten, Arbeitsbedingungen, Konflikten.

4. Fehlerrisiken bei der Betreuung eines Kunden oder einer Gegenpartei.

5. Risiken von Fehlern in internen Prozessen, die nicht mit der Betreuung eines Kunden oder einer Gegenpartei zusammenhängen.

6. Betrugs- und Missbrauchsrisiken von Bankmitarbeitern.

7. Risiken von Betrug und Missbrauch durch Dritte.

Diese Arten von Risiken werden in Anhang 1 detailliert beschrieben.

3.3.2. Nach Wichtigkeit:

1. Extrem (Symbolbezeichnung AAA, rote Zone).

2. Kritisch (AA, roter Bereich).

3. Hoch (A, roter Bereich).

4. Mittel (BB, gelbe Zone).

5. Niedrig (B, gelbe Zone).

6. Akzeptabel (C, grüner Bereich).

Diese Risikoskala ist in den Anhängen 2.1 und 2.2 detailliert beschrieben.

3.3.3. Nach Geschäftsbereich:

1. Banking für Privatpersonen.

2. Banking für juristische Personen.

3. Zahlungen und Abrechnungen von Personen, die nicht Kunden der Bank sind.

4. Agenturleistungen.

5. Börsen- und außerbörslicher Handel.

6. Unternehmensfinanzierung.

7. Vermögensverwaltung.

8. Maklerdienstleistungen.

Diese Geschäftsbereiche sind in Anhang 3 detailliert aufgeführt.

Andere Risikoklassifizierungen können verwendet werden.

Um operationelle Risiken in einer Bank zu steuern, gibt es drei Verteidigungslinien:

1. Verteidigungslinie– alle Bereiche der Bank, die mit operationellen Risiken am Entstehungsort arbeiten.

Es gibt drei Arten von Verantwortlichen:

Risikokoordinatoren (Abteilungsleiter und benannte Personen);

Experten für Vorfälle;

Registrare (alle Mitarbeiter der Abteilung).

2. Verteidigungslinie– Einheiten, die das gesamte operationelle Risikomanagementsystem koordinieren:

Risikoausschuss oder ein anderer Ausschuss mit entsprechenden Befugnissen (im Folgenden „Risikoausschuss“ genannt);

3. Verteidigungslinie– die interne Revision (im Folgenden Revisionseinheit genannt), die eine unabhängige Prüfung des operationellen Risikomanagementsystems durchführt. Verantwortlich – Wirtschaftsprüfer.

Ein visuelles Diagramm der Einheiten, die operationelle Risiken verwalten, und ihrer Aufgaben ist in Diagramm 2 dargestellt.

Unternehmen, die operationelle Risiken verwalten

Schema 2. Schema der Einheiten, die die operationellen Risiken der Bank verwalten, und ihrer Aufgaben

Die erste „Verteidigungslinie“ umfasst den Prozess des Managements operationeller Risiken auf der Ebene jedes Bankbereichs, seiner Prozesse, Einrichtungen und Ressourcen (dezentraler Ansatz).

Als Teil der ersten Verteidigungslinie in den Bankabteilungen werden operationelle Risiken gemanagt durch:

Risikokoordinatoren;

Experten für Vorfälle;

Registrare.

Die aufgeführten Einheiten existieren selbstverständlich in allen Abteilungen der Bank, da jede Abteilung in ihrem aktuellen Zustand bereits Vorfälle untersucht, methodische und technologische Verbesserungen ihrer Prozesse durchführt und die Austauschbarkeit der Mitarbeiter (im Rahmen der Geschäftskontinuität) gewährleistet. , usw.

Wenn diese Abteilungsfächer nicht ordnungsgemäß registriert sind, unterstützen Risikomanager diese Einheit bei der entsprechenden Registrierung und Schulung.

4.1.1. Risikokoordinatoren.

4.1.1.1. Risikokoordinatoren– Hierbei handelt es sich um Mitarbeiter, die für die Organisation des betrieblichen Risikomanagements für eine bestimmte Abteilung verantwortlich sind, sowie um regionale Mitarbeiter. Risikokoordinatoren sind der Abteilungsleiter und die von ihm beauftragten Mitarbeiter, die die Aufgaben eines Risikokoordinators wahrnehmen.

4.1.1.2. Verantwortlichkeiten des Risikokoordinators– Organisieren und überwachen Sie die Umsetzung der folgenden Risikoverfahren durch Mitarbeiter Ihrer Abteilung und regionale Mitarbeiter:

1. Effektiver Umgang mit Vorfällen.

2. Identifizierung von Risiken und deren Beseitigung.

3. Risikofrühwarnsystem.

4. Sicherstellung der Geschäftskontinuität.

5. Koordination der Arbeit aller Abteilungen im Risikomanagement.

6. System von Berichten und Prognosen, Aufrechterhaltung einer Risikobasis.

Das Einreichen Ihrer guten Arbeit in die Wissensdatenbank ist ganz einfach. Nutzen Sie das untenstehende Formular

Studierende, Doktoranden und junge Wissenschaftler, die die Wissensbasis in ihrem Studium und ihrer Arbeit nutzen, werden Ihnen sehr dankbar sein.

Gepostet am http://www.allbest.ru/

Kozyreva Nadezhda

Der Artikel stellt Definitionen und Ansätze zum Aufbau der Aktivitäten von Kontrollfunktionen im Rahmen des Konzepts der drei Verteidigungslinien (Defense) vor, wobei ein besonderes Augenmerk auf die Compliance-Funktion, den internen Kontrolldienst und das Risikomanagementsystem gelegt wird. Der Autor beschreibt die Rolle der Kontrolldienste und macht besonders darauf aufmerksam, dass jede Kontrollfunktion bei der Teilnahme am allgemeinen Geschäft des Unternehmens ihre Rolle klar verstehen muss, ohne in den „kreativen“ Prozess einzugreifen, nach dem jedes Unternehmen lebt.

Schlüsselwörter: Compliance, Wirksamkeit des Risikomanagements und der internen Kontrollsysteme, COSO-Konzept, Risikomanagement, Finanzkontrolle, Qualitätskontrolle.

Das Risiko abzulehnen bedeutet, die Kreativität abzulehnen.

A. S. Puschkin

Im letzten Jahrzehnt kam es auf den meisten globalen Finanzmärkten zu erhöhten regulatorischen Anforderungen, wobei ein besonderer Schwerpunkt auf der Wirksamkeit des Risikomanagements und der internen Kontrollsysteme lag. Mögliche negative Folgen aus der Umsetzung von Risiken, wie z. B. der Verlust des Rufs des Unternehmens, finanzielle Verluste und schwerwiegendere Folgen – verwaltungsrechtliche oder strafrechtliche Haftung verantwortlicher Personen und Einstellung von Aktivitäten – werden von jedem Unternehmen und Unternehmensleitern, die an einer nachhaltigen Entwicklung interessiert sind, als unerwünscht angesehen Langfristige Entwicklung wird die tatsächliche Risikosituation verstehen. Wer dies verhindern kann, wird bereit sein, angemessene und rechtzeitige Maßnahmen zu ergreifen. Daher ist es das Management selbst, das an der Werterhaltung des Unternehmens sowie der Steigerung seiner Nachhaltigkeit und Effizienz interessiert ist und die Auswirkungen von Risiken auf die Finanzergebnisse erkennen und reduzieren muss. Der effektivste Weg, dies zu erreichen, ist der Aufbau eines integrierten Compliance-Risikomanagementsystems, das auf „drei Verteidigungslinien“ basiert.

Das interne Kontrollsystem ist ein komplexes und umfangreiches Phänomen. Betrachten wir alle Hauptkomponenten des Systems anhand der Bankpraxis und am Beispiel des COSO-Konzepts.

Gemäß der Verordnung der Bank von Russland vom 16. Dezember 2003 Nr. 242-P „Über die Organisation der internen Kontrolle in Kreditinstituten und Bankengruppen“:

Interne Kontrolle ist eine Tätigkeit eines Kreditinstituts (seiner Leitungsorgane, Abteilungen und Mitarbeiter) mit dem Ziel, folgende Ziele zu erreichen:

Effizienz und Effektivität finanzieller und wirtschaftlicher Aktivitäten bei der Durchführung von Bankgeschäften und anderen Transaktionen, Effizienz des Asset-Liability-Managements, einschließlich der Gewährleistung der Sicherheit von Vermögenswerten, Bankrisikomanagement;

Zuverlässigkeit, Vollständigkeit, Objektivität und Aktualität der Erstellung und Präsentation von Finanz-, Buchhaltungs-, Statistik- und sonstigen Berichten (für externe und interne Benutzer) sowie Informationssicherheit (Schutz der Interessen (Ziele) einer Kreditorganisation im Informationsbereich, das ist eine Reihe von Informationen, Informationsinfrastruktur, Subjekten, die Informationen sammeln, erzeugen, verteilen und nutzen, sowie Systeme zur Regulierung der in diesem Fall entstehenden Beziehungen);

Einhaltung regulatorischer Rechtsakte, Standards von Selbstregulierungsorganisationen (für professionelle Teilnehmer am Wertpapiermarkt), Gründungsdokumente und interne Dokumente einer Kreditorganisation;

Ausschluss der Beteiligung eines Kreditinstituts und der Beteiligung seiner Mitarbeiter an illegalen Aktivitäten, einschließlich der Legalisierung (Wäsche) von Erträgen aus Straftaten,

und Terrorismusfinanzierung sowie rechtzeitige Übermittlung von Informationen an Regierungsbehörden und die Bank von Russland gemäß der Gesetzgebung der Russischen Föderation.

Der Basler Ausschuss für Bankenaufsicht in seinem Dokument „Interne Kontrollsysteme in Banken: Grundlagen der Organisation“ (Basel Ausschuss für Bankenaufsicht, Basel, September 1998. URL : http :// www . bis . org / publ / bcbs 40. pdf ) definiert interne Kontrolle als ein Prozess, der vom Vorstand, dem Management und den Mitarbeitern auf allen Ebenen durchgeführt wird. Hierbei handelt es sich nicht nur um ein Verfahren oder eine Richtlinie, die in einem bestimmten Zeitraum durchgeführt wird, sondern vielmehr um einen Prozess, der ständig auf allen Ebenen innerhalb der Bank stattfindet. Der Verwaltungsrat und die Geschäftsleitung sind dafür verantwortlich, eine angemessene Kultur zu schaffen, die die wirksame Umsetzung der internen Kontrolle erleichtert, und deren Wirksamkeit fortlaufend zu überwachen. Allerdings muss auch jeder in der Organisation an diesem Prozess teilnehmen. Die Umsetzung der internen Kontrolle verfolgt folgende Hauptziele:

6) Produktions- und Finanzeffizienz der Aktivitäten (Produktions- und Finanzziele);

7) Zuverlässigkeit, Vollständigkeit und Aktualität der Finanz- und Managementinformationen (Informationszwecke);

8) Einhaltung aktueller Gesetze und Vorschriften (Compliance-Ziele).

Es liegt also auf der Hand, dass das interne Kontrollsystem nicht nur auf die Erreichung von Compliance-Zielen abzielt, sondern auch auf Produktions-, Finanz- und Informationsziele. Dieser Prozess sollte alle von Banken übernommenen Risiken einbeziehen und auf allen Ebenen innerhalb der Organisation ablaufen.

Auch das interne Kontrollsystem inklusive Ziele, Bestandteile und Ebenen der Organisation wird im COSO-Konzept 1 übersichtlich dargestellt.

Mit interner Kontrolle bezeichnet das COSO-Konzept den Prozess, der vom Vorstand, der Geschäftsführung und anderen Mitarbeitern durchgeführt wird, um hinreichende Sicherheit hinsichtlich der Erreichung der Unternehmensziele zu gewährleisten, nämlich:

Betriebseffizienz;

Zuverlässigkeit der Berichterstattung;

Einhaltung von Gesetzen.

Das COSO-Modell des internen Kontrollsystems wird in Form eines polyedrischen Würfels dargestellt, der in der ursprünglichen Version des Konzepts aus fünf miteinander verbundenen Komponenten bestand (Kontrollumgebung,

Entwickelt vom Committee of Sponsoring Organizations – COSO.

Risikobewertung, Kontrollverfahren, Information und Kommunikation, Überwachung) und anschließend mit der Veröffentlichung des Conceptual Framework for Risk Management in Organizations (ERM COSO) in acht Komponenten umgewandelt, wobei die Komponenten Zielsetzung, Ereignisidentifizierung und Risikoreaktion hinzugefügt wurden ( Abb. 1).

Reis. 1. COSO ERM-Modell

Compliance-Risiko der internen Kontrolle

Der Kern des Modells besteht darin, die Beziehung zwischen den Komponenten des internen Kontrollsystems und den Zielen aufzuzeigen. Das interne Kontrollsystem zielt auf die Erreichung von Zielen ab, die vier Kategorien umfassen:

e strategische Ziele – übergeordnete Ziele im Zusammenhang mit der Mission/Vision der Organisation;

e operative Ziele – effiziente und effektive Nutzung von Ressourcen;

e Ziele im Bereich Berichterstattung - Verlässlichkeit der Berichterstattung;

Die Compliance-Ziele – Einhaltung der geltenden Gesetze und Vorschriften.

Aus Sicht der Compliance-Funktion besteht die Hauptrichtung der Compliance-Kontrolle darin, die Einhaltung des letztgenannten Ziels des oben genannten Modells sicherzustellen. Während Berichtsziele in der Regel in der Verantwortung der Finanzkontrolle liegen, werden strategische und operative Ziele von allen Mitgliedern der Organisation geteilt.

Wie lässt sich angesichts der Vielfalt an Aufgaben, Komponenten und Ebenen einer Organisation ein internes Kontrollsystem, einschließlich Compliance-Risikomanagement, effektiv organisieren? Wie kann die Arbeit der Einheiten der zweiten Verteidigungslinie optimal koordiniert werden?

Organisation des internen Kontrollsystems und Verantwortungsbereich des Compliance-Dienstes

Bei Best Practice handelt es sich um ein Organisationsmodell der internen Kontrolle, das aus drei Verteidigungslinien und damit drei Kontrollebenen besteht. Es gibt die Kontrolle der ersten Ebene – das sind die Vorgänge, die täglich direkt von den Eigentümern der Geschäftsprozesse durchgeführt werden. Es gibt Funktionen, die die zweite Kontrollebene ausmachen – das können Risikomanagement, Compliance, Finanzkontrolle, Qualitätskontrolle usw. sein. Und es gibt eine dritte Ebene – die interne Revision, die eine unabhängige Kontrolle ausübt und direkt dem Prüfungsausschuss unterstellt ist.

Reis. 2. Das Modell der drei Verteidigungslinien

Geschäftsprozessmanager verstehen die Bedrohungen und Risiken in ihren Funktionen am besten und stellen die erste Verteidigungslinie im internen Kontrollsystem dar, die direkt für das Management ihrer Risiken und die Erzielung der Geschäftsleistung verantwortlich ist. Die zweite Verteidigungslinie sind Kontrollfunktionen, die dem Management unterstellt sind (Risikomanagement, Compliance und Finanzkontrolle, Informationssicherheit usw.). Diese Funktionen stellen die Verfügbarkeit einheitlicher Ansätze und Methoden für das Risiko- und Bedrohungsmanagement sicher, einschließlich Tools wie:

Einsatz integrierter Ansätze zur Risikobewertung;

Durchführung von Szenarioanalysen und Stresstests;

Überwachung wichtiger Risikoindikatoren;

Entwicklung von Plänen zur Krisenbewältigung und Wiederherstellung der Finanzstabilität.

Die dritte Verteidigungslinie ist der interne Revisionsdienst, der unabhängig und gegenüber den Aktionären über den Prüfungsausschuss und den Aufsichtsrat rechenschaftspflichtig ist und dessen globales Ziel eine unabhängige, regelmäßige Bewertung der Wirksamkeit der internen Kontroll- und Risikomanagementsysteme (die beiden vorherigen) ist Verteidigungslinien).

Alle drei Verteidigungslinien sollen eine rechtzeitige Erkennung und Reaktion auf Risiken gewährleisten. Ein Management, das dies versteht, wird normal auf Risiken reagieren, die sowohl von der ersten, zweiten als auch dritten Verteidigungslinie identifiziert werden. In der Praxis kann es jedoch sein, dass jede der aufgeführten Linien die von anderen Linien identifizierten Risiken als eine Art Bedrohung ihrer eigenen Wirksamkeit empfindet. Daher besteht eine der Hauptaufgaben des Managements einer Bank oder einer anderen Organisation darin, für ein konstruktives Zusammenspiel aller drei Verteidigungslinien und eine entsprechende Unternehmenskultur zu sorgen, in der sich jeder Mitarbeiter der Risiken bewusst ist und seine Rolle im Risikomanagementprozess versteht .

Verantwortungsbereich des Compliance-Dienstes

Jede Bank verfügt möglicherweise über eine eigene Liste von Prozessen, die vom Compliance-Dienst kontrolliert werden. Obwohl es, wie russische und ausländische Erfahrungen zeigen, eine Reihe solcher Prozesse gibt:

Wirtschaftssanktionen;

Transaktionen mit verbundenen Unternehmen;

Interessenkonflikte;

Marktmanipulation und Insiderhandel;

Aktivitäten im Zusammenhang mit der Wertpapierregulierung;

Compliance zur Korruptionsbekämpfung;

Verhaltens- und Ethikkodex.

Darüber hinaus kann der Schwerpunkt Prozesse wie die Interaktion mit Aufsichts- und Regulierungsbehörden, die Bearbeitung von Kundenbeschwerden, die Einhaltung von Standards für verantwortungsvolles Bankgeschäft und den Schutz von Kunden-/Investorenrechten, die Kontrolle über die Arbeit mit Outsourcing, Lieferanten und Vermittlern umfassen. Schutz personenbezogener Daten, Schutz des Wettbewerbs. Darüber hinaus muss sich der Compliance-Dienst aktiv am Prozess der Einführung neuer Bankprodukte und anderer Initiativen beteiligen und über die erforderlichen Befugnisse verfügen, Compliance-Risiken im Entscheidungsprozess umfassend zu bewerten.

Diese Liste entspricht im Allgemeinen Kapitel 4.1 der Verordnung 242-P, das die Anforderungen an den internen Kontrolldienst (Compliance-Dienst) festlegt und seine Funktionen beschreibt, deren Hauptaufgabe ein umfassendes regulatorisches Risikomanagement ist. In Parallele zum COSO-Modell soll das regulatorische Risikomanagement, einschließlich der Prozesse der Identifizierung, Analyse, Bewertung, Kontrolle, Überwachung und Berichterstattung, die Erfüllung festgelegter Compliance-Ziele sicherstellen, nämlich die Einhaltung von Vorschriften und Standards von Selbstregulierungsorganisationen (für professionelle Teilnehmer am Wertpapiermarkt) , konstituierende und interne Dokumente der Bank. Dabei ist zu beachten, dass Compliance-Ziele selbstverständlich nicht in der Verantwortung einer einzelnen Person liegen.ish b Compliance-Service, auch aus Sicht der zweiten Verteidigungslinie. Alle Abteilungsleiter müssen sicherstellen, dass ihre Aktivitäten den internen Regeln und Richtlinien sowie den gesetzlichen Anforderungen entsprechen. Darüber hinaus gibt es für spezielle Compliance-Bereiche wie Steuer-Compliance, Arbeits-Compliance, geistiges Eigentum, Umweltschutz eigene Abteilungen (Steuerabteilung, Personalabteilung etc.), die über die entsprechende Expertise verfügen, um die Einhaltung der Anforderungen sicherzustellen. Es zeigt sich jedoch, dass der Leiter des internen Kontrolldienstes (Compliance-Service), auch wenn er für solche einzelnen Compliance-Bereiche nicht direkt verantwortlich ist, die Arbeit des Gesamtsystems der Compliance-Kontrolle und des Compliance-Risikomanagements auf Bankebene koordinieren muss. Darüber hinaus sollten wesentliche Compliance-Risiken in die Überwachungs- und Prüfpläne der internen Kontrollfunktion einbezogen werden. Daher müssen Serviceexperten mit der allgemeinen Bankmethodik und den rechtlichen Anforderungen in allen Hauptbereichen gut vertraut sein, und nicht nur in wichtigen Compliance-Bereichen wie Insiderwissen, Korruptionsbekämpfung und AML/CFT.

Wie bereits erwähnt, sind Compliance-Ziele nur ein Bestandteil des internen Kontrollsystems, das auch andere Ziele (strategisch, operativ und im Bereich der Berichterstattung) verfolgt. Die Teilnehmer eines solchen Systems sind, wie wir am Modell der drei Verteidigungslinien sehen, alle Mitarbeiter und Leitungsorgane des Unternehmens. Alle Einheiten der zweiten Verteidigungslinie bilden das Rückgrat des internen Kontrollsystems, da sie die Regeln und Verfahren sowie die allgemeine Verhaltenskultur für die erste Verteidigungslinie festlegen und den Hauptmechanismus zur Überwachung der Wirksamkeit des internen Kontrollsystems darstellen . Es stellt sich heraus, dass die wichtigsten „Kollegen der zweiten Linie“ für den internen Kontrolldienst sind:

Finanzkontrolle (Hauptbuchhalter);

Sicherheit (einschließlich Informationssicherheit);

Risikomanagement;

AML/CFT (wenn es eine von der Compliance getrennte Abteilung gibt);

Weitere Steuerfunktionen.

Es ist sehr wichtig, auf den letzten Punkt zu achten. Jede Bank kann über eine eigene Struktur zur Verteilung von Befugnissen und Verantwortlichkeiten verfügen. Die Liste der Teilnehmer des internen Kontrollsystems und insbesondere der zweiten Verteidigungslinie ist nicht abgeschlossen. Darüber hinaus können einige Abteilungen gleichzeitig die erste Verteidigungslinie für einige Prozesse und die zweite Verteidigungslinie für andere sein. Um in der Praxis kein formales, sondern ein reales System aufzubauen, empfiehlt es sich, die Verantwortlichkeiten aller Abteilungen im Hinblick auf ihre Rolle in der zweiten Zeile detailliert darzulegen. Anwälte können beispielsweise für die Überwachung von Änderungen der Vorschriften verantwortlich sein, die IT-Abteilung für die Gewährleistung der Informationssicherheit, die Betriebsabteilung für die Umsetzung eines Geschäftskontinuitätsplans, die Finanzabteilung für die finanzielle Kontrolle der Genauigkeit der Berichterstattung usw. Je mehr Akteure in der zweiten Reihe sind, desto höher ist das Risiko der Duplizierung von Funktionen, der Verwendung unterschiedlicher Ansätze zur Risikobewertung und des Informationsvakuums. Darüber hinaus können Compliance-Ziele nicht aus dem Kontext anderer Ziele und des Risikomanagements der Gesamtbank herausgelöst werden. Durch ein effektives Management von Compliance-Risiken und anderen Risikoarten wird das Kapital der Bank optimiert und gebildete Reserven für mögliche Verluste, wie z. B. Strafen oder außergerichtliche Schadensregulierung, freigesetzt.

Daher ist es sehr wichtig, das Zusammenspiel aller beteiligten Funktionen richtig herzustellen und den notwendigen Informationsaustausch zu organisieren.

Wer sollte also für die Koordinierung des Betriebs eines wirksamen internen Kontrollsystems verantwortlich sein? Offensichtlich handelt es sich hierbei nicht um eine interne Prüfung. Es liegt auch auf der Hand, dass der Koordinator Teil der zweiten Verteidigungslinie sein sollte, da hier die Vorgehensweise, Methodik und Regeln festgelegt und die Durchführung von Prozessen überwacht wird. Und wenn man bei einer kleinen Organisation mit einem formellen Koordinator (dem Leiter des internen Kontrolldienstes) auskommt, dann ist das Problem umso dringlicher, je umfangreicher die Liste der Compliance-Risiken und je mehr Tätigkeitsbereiche die Bank hat einer echten Arbeitskoordination. In großen Banken ist es manchmal üblich, über eine separate interne Kontrolleinheit zu verfügen, die sich hauptsächlich auf die Risikobewertung und Prüfung (Inspektionen) von Kontrollverfahren konzentriert, sowie über eine separate Compliance-Einheit, die für die Arbeit in den zuvor genannten Hauptbereichen der Compliance zuständig ist. Aber auch bei einem solchen Modell ist es sinnvoll, einen einzigen Sponsor auf ausreichend hohem Niveau und mit entsprechenden Befugnissen zu haben, der aus Sicht der internen Kontrolle nicht nur der Hauptschiedsrichter in der zweiten Verteidigungslinie wäre, sondern dies auch könnte Organisieren Sie außerdem die Arbeit aller Abteilungen kohärent und effizient, minimieren Sie unnötige Kosten, „ziehen Sie die Decke“ und streichen Sie separate Budgets und Ressourcen für identische Aufgaben – alles, was in jeder Organisation so üblich ist.

Schauen wir uns die Rolle des Leiters des internen Kontrolldienstes oder, wie wir ihn oben genannt haben, des Hauptschiedsrichters der zweiten Verteidigungslinie genauer an. Was bedeutet es, die interne Kontrollarbeit zu koordinieren? Natürlich kann der Leiter des Internen Kontrolldienstes nicht Experte für alle Prozesse sein und die Wirksamkeit aller Kontrollmechanismen kontrollieren. Aber er muss die Spielregeln festlegen und die Rollen und Verantwortlichkeiten jedes Teilnehmers klar zuweisen.

Reis. 3

Erstens ist es notwendig, eine interne Kontrollrichtlinie oder -verordnung sowie eine Reihe anderer damit verbundener Richtlinien umzusetzen, wie z. B. eine Richtlinie zum Compliance-Risikomanagement, einen Ethikkodex usw. Diese hochrangigen Dokumente sollten Rollen und Verantwortlichkeiten nicht nur zwischen verschiedenen Schutzniveaus, sondern auch zwischen Einheiten auf der zweiten Ebene klar zuweisen. Als nächstes erstellen und implementieren Eigentümer bestimmter Bereiche der zweiten Linie separate Standards und Verfahren, die von der ersten Linie befolgt werden müssen. Gleichzeitig ist es notwendig, Kontrollmechanismen sowohl auf der ersten als auch auf der zweiten Verteidigungslinie zu implementieren und klar zu konsolidieren. Und das Audit überprüft regelmäßig unabhängig das aufgebaute System oder seine Elemente.

Neben der Koordinierung der Funktionsweise des Gesamtsystems muss der Leiter des Internen Kontrolldienstes auch dessen Wirksamkeit und Änderungsbedarf analysieren.

Daher ist es notwendig, mindestens zwei Verteidigungslinien im Hinblick auf die Angemessenheit der Ressourcen, einschließlich Humanressourcen (Fachwissen und Erfahrung) und IT-Ressourcen, die rechtzeitige Erkennung von Risiken und deren Eskalation sowie die Effizienz des Informationsaustauschs und der Überwachung zu bewerten. Verstehen Sie, wo Schwachstellen oder redundante Kontrollen bestehen und wie die Belastbarkeit des Systems verbessert werden kann. Und schließlich legen Sie die interne Kontrollstrategie fest, wie die Wirksamkeit des Systems anhand spezifischer Indikatoren und Kennzahlen gemessen werden kann, und zwar nicht nur auf der Grundlage der Notwendigkeit, Risiken zu minimieren, sondern auch auf der betrieblichen Wirksamkeit.

Lassen Sie uns abschließend im Alltag darüber nachdenken: Was ist Compliance, ein internes Kontrollsystem, Risikomanagement und warum wird es benötigt? Bis zu einem gewissen Grad ist Compliance in allen Aspekten unseres Lebens präsent, auch im Leben jeder Organisation. Wo es Aktionen gibt und es einen Prozess gibt, gibt es auch bestimmte Kontrollen. Ein gutes Beispiel sind die Eltern. Wenn Ihr Kind ins Sommerlager geht, überprüfen Sie, ob alles, was Sie brauchen, im Koffer ist, und Sie erinnern es wahrscheinlich an bestimmte Dinge (Zähneputzen, Sockenwechsel usw.), und tun dies nicht, weil Sie damit sehr zufrieden sind sondern weil Sie Ihrem Kind während der gesamten Schicht einen angenehmen und gesunden Aufenthalt im Lager gewährleisten möchten. Aber jede Steuerung kann auch überflüssig sein. Wenn Sie also jeden zweiten Tag zum Camp kommen und nachsehen, wie es dem Kind dort geht, kann es sein, dass es nicht den vollen Nutzen aus diesem Prozess zieht und seine Ziele nicht erreicht. Daher sind Gebäudesteuerung, Erfüllung von Anforderungen, Compliance und Risikomanagement für uns im Großen und Ganzen vertraut und selbstverständlich. Es ist jedoch wichtig, dass jeder mit einem klaren Verständnis seiner Rolle an dem Prozess teilnimmt, ohne den „kreativen Prozess“ zu beeinträchtigen, der jedes Unternehmen antreibt.

Literatur

1. Colbert J. L., Bowen P. L. Vergleich der internen Kontrollen: COBIT, SAC, COSO und SAS 55/78 // Audit and Control Journal. – 1996. – Nr. IV. -- 26-35.

2. IIA-Positionspapier: The Three Lines of Defense in Effective Risk Management and Control, Januar 2013. URL: http://www.theiia.org/chapters/pubdocs/278/PP_Three_Lines_of_Defense.pdf

3. Das COSO Financial Controls Framework 1992. Abgerufen vom Committee of Sponsoring Organizations of the Treadway Commission's Internal Control: http://www.sox-online.com/coso_cobit_coso_framework.html

Gepostet auf Allbest.ru

Ähnliche Dokumente

Wesen, Ziele, Struktur und Zweck der internen Kontrolle. Der Platz und die Rolle der internen Kontrolle im Buchhaltungs- und Managementsystem des Unternehmens. Merkmale des Rechnungslegungssystems als integraler Bestandteil des internen Kontrollsystems im Unternehmen.

Dissertation, hinzugefügt am 15.02.2016


Grundbegriffe der Risikotheorie und der internen Kontrolle. Klassifizierung und Arten von Risiken, Kriterien für ihre Messung. Untersuchung und Bewertung des Rechnungswesens und des internen Kontrollsystems des Kunden. Die Stärke der Kontrollumgebung und der Kontrollen des Kunden.

Zusammenfassung, hinzugefügt am 22.12.2012


Interne Kontrolle als vom Management organisiertes Maßnahmensystem, Methoden zu seiner Umsetzung. Ziele der Organisation eines internen Kontrollsystems. Objekte der internen Kontrolle. Inhalt des einleitenden Teils des Gesetzes, Gründe für seine Ausarbeitung.

Zusammenfassung, hinzugefügt am 16.02.2011


Das Konzept und die Geschichte der Entwicklung der Hermeneutik. Hermeneutische Prinzipien des Personalmanagements in einem Unternehmen. Mit einem hermeneutischen Ansatz am Beispiel der PJSC Sberbank of Russia. Internes Kontrollsystem. Organisation von Management und Information.

Kursarbeit, hinzugefügt am 22.10.2016


Allgemeine Merkmale der Aktivitäten von ProfLider LLC. Managementsystem für Handelsunternehmen. Organisationsstruktur des Managements. Wertorientierungen und Motive von Unternehmensmitarbeitern. Organisation der internen Kontrolle im Management, Verfahren zur Durchführung von Audits.

Praxisbericht, hinzugefügt am 20.04.2015


Wichtige Risiken für Anleger und Offenlegung von Informationen. Konzept, Ziele, Zielsetzungen und Regeln des Due-Diligence-Verfahrens. Bewertung des internen Vertriebskontrollsystems auf der Ebene der Voraussetzungen für die Zusammenstellung von Informationen über das Investitionsobjekt am Beispiel der Stealth LLC.

Dissertation, hinzugefügt am 31.03.2011


Organisation der Kontrolle über die Aktivitäten der Untergebenen. Merkmale des Personalmanagements. Kontrolle als eine Art Managementtätigkeit, ihre Arten und Methoden. Internes Kontrollsystem für die Umsetzung des allgemeinen Bildungsprogramms der Vorschulerziehung.

Kursarbeit, hinzugefügt am 21.10.2014


Kontrolle als Funktion des Managements (Umfang des Managementprozesses). Konzept und Wesen, Kontrollstufen. Die Rolle und Funktionen der Kontrolle im Wirtschaftsmanagement. Merkmale einer wirksamen Kontrolle. Kontrollarten: vorläufig, aktuell, endgültig.

Kursarbeit, hinzugefügt am 04.09.2014


Merkmale von Methoden zum Schutz von Informationen in einem Unternehmen. Untersuchung interner, externer und spezieller Informationen, die für die Erstellung und Nutzung eines Schutzsystems auf Mikroebene erforderlich sind. Informationsinteraktion mit Sicherheitsdiensten.

Zusammenfassung, hinzugefügt am 10.06.2010


Grundbegriffe im Bereich der Steuerung. Die Bedeutung der Qualitätskontrolle und ihr Platz in der Konformitätsbewertung. Tests, ihr Zweck und ihre Klassifizierung. Merkmale der staatlichen, abteilungsinternen und internen Qualitätskontrolle von Produkten und Dienstleistungen, ihre Phasen.

Zuverlässige und wirksame interne Kontroll- und Risikomanagementsysteme tragen zur Verbesserung der Leistung jedes Unternehmens bei. Die Verantwortung für das reibungslose Funktionieren dieser Systeme liegt bei der Unternehmensleitung, die darauf ausgelegt ist, ein integriertes Risikomanagement- und internes Kontrollsystem unter Berücksichtigung der Branchenspezifika zu implementieren.

Beim Aufbau eines integrierten Systems müssen neben der Branche auch die Größe der Organisation, das regulatorische Umfeld, in dem sie tätig ist, die Unternehmenskultur und eine Reihe anderer Faktoren berücksichtigt werden.

Im Jahr 2013 entwickelte das internationale Institute of Internal Auditors (The IIA) ein Modell Drei Verteidigungslinien. Dieses Modell koordiniert das Risikomanagement und die internen Kontrollprozesse, indem relevante Rollen und Verantwortlichkeiten klar definiert und abgegrenzt werden.

Das Modell der drei Verteidigungslinien

Erste Verteidigungslinie

Geschäftseinheiten bilden die erste Verteidigungslinie durch Kontrollen, die für die Einbettung des Risikomanagements in den Entscheidungsprozess des Unternehmens und in wichtige Geschäftsabläufe verantwortlich sind. Strukturabteilungen sind Eigentümer von Risiken und für die Identifizierung, Verwaltung und Minderung von Risiken sowie für die Analyse und Erstellung von Berichten zu Schlüsselrisiken verantwortlich. Leiter von Struktureinheiten sind verpflichtet, Kontrollverfahren in den von ihnen betreuten Geschäftsprozessen zu entwickeln, umzusetzen und deren Funktionsfähigkeit sicherzustellen.

Zweite Verteidigungslinie

Die für das Risikomanagement im Unternehmen verantwortlichen Bereiche entwickeln und implementieren einen methodischen Ansatz für das Risikomanagement, definieren Standards und koordinieren die Risikomanagementaktivitäten des Unternehmens einschließlich relevanter Prozesse, Technologien und Kultur. Die Zuständigkeit für die rechtzeitige Erkennung und Bewertung von Risiken sollte nicht in die Zuständigkeit dieser Abteilungen fallen, denn Dies geschieht durch die Einheiten der ersten Verteidigungslinie.

Die zweite Zeile umfasst in der Regel Abteilungen, die für Risikomanagement, internes Kontrollsystem, Sicherheit, Compliance, Rechtsunterstützung usw. verantwortlich sind. Sie überwachen kontinuierlich die Entwicklung und Funktionsweise der Kontrollverfahren der ersten Verteidigungslinie, beraten in Fragen des Risikomanagements und schulen die Mitarbeiter des Unternehmens.

Vergleich 1. und 2. Verteidigungslinie:

Dritte Verteidigungslinie

Der Verwaltungsrat beurteilt und genehmigt das Risikoniveau des Unternehmens unter Berücksichtigung strategischer Ziele und Vorgaben im Bereich Risikomanagement. Ausschüsse für Prüfung, Risikomanagement usw. helfen dem Vorstand, die Wirksamkeit des Risikomanagementsystems der Organisation zu überwachen.

Der Interne Revisionsdienst führt eine unabhängige Beurteilung der Qualität bestehender Risikomanagementprozesse durch, identifiziert Verstöße und unterbreitet Vorschläge zur Verbesserung des Risikomanagementsystems. Der Vorstand akzeptiert diese Schlussfolgerung als Handlungsleitfaden. Unter der Aufsicht des Prüfungsausschusses überwacht der Interne Revisionsdienst die Funktionen der ersten und zweiten Verteidigungslinie und überwacht außerdem die Umsetzung von Korrekturmaßnahmen zur Verbesserung des Risikomanagementsystems.

Die Rollen und Verantwortlichkeiten der am Risikomanagement und den internen Kontrollprozessen Beteiligten müssen klar definiert sein, um eine effektive Kommunikation und einen effektiven Informationsaustausch zwischen ihnen sowie die Erstellung einer angemessenen Berichterstattung sicherzustellen.

Die Interne Revision kann bei ihrer Tätigkeit die Ergebnisse der Arbeit anderer Subjekte des internen Kontrollsystems nutzen, die das interne Kontrollsystem in bestimmten Tätigkeitsbereichen überwachen und bewerten.

Um die Verantwortungsbereiche in der Organisation klar abzugrenzen, a Garantiekarte.

Garantiekarte– ein Dokument, das die Abdeckung von Risiken und Geschäftsprozessen durch die Kontrollfunktionen des Unternehmens widerspiegelt und außerdem eine effektivere Koordinierung der Arbeit der Strukturabteilungen ermöglicht, die die Kontrollfunktion auf verschiedenen Ebenen wahrnehmen.

Die Garantiekarte kann folgende Informationen enthalten:

Liste der Geschäftsprozesse des Unternehmens;

Liste der Unternehmensrisiken;

Risikoeigentümer (verantwortlich für das Risikomanagement der Organisation);

Subjekte des internen Kontrollsystems, die die Überwachung/Bewertung in Bezug auf jedes der Risiken durchführen.

Bei der Entwicklung der Garantiekarte werden interne Dokumente des Unternehmens verwendet, nämlich: ein Klassifikator von Risiken und Prozessen, eine Risikolandkarte und andere Dokumente, die das Zusammenspiel von Subjekten des internen Kontrollsystems bestimmen, die das interne Kontrollsystem in bestimmten Fällen überwachen und bewerten Tätigkeitsbereiche.

Lyubov Nisenboim Direktor für Corporate Governance, Risikomanagement und Compliance, PricewaterhouseCoopers
Magazin „Consultant“, Nr. 13 für 2011

Viele Unternehmen geben riesige Summen für Projekte zur Verbesserung der Geschäftseffizienz aus, doch die Ergebnisse lassen immer noch zu wünschen übrig. Wie kann die Effizienz von Investitionen und laufenden Abläufen maximiert werden? Welche Rolle spielt das Risikomanagement im Prozess der Unternehmensführung? Wie baut man ein Unternehmen auf, in dem das Risikomanagement ein integraler Bestandteil aller von den Mitarbeitern des Unternehmens durchgeführten Prozesse ist?

Die Implementierung eines wirksamen Risikomanagementsystems kann die Widerstandsfähigkeit eines Unternehmens gegenüber Risiken erhöhen. Damit ein solches System funktioniert, ist es jedoch sehr wichtig, die Rollen und Verantwortlichkeiten innerhalb des Unternehmens klar zu verstehen und effektiv zu verteilen, was Managemententscheidungen auf der Grundlage vollständiger Informationen über Risiken erleichtert.

Nur wenn Unternehmen auf diesem starken Fundament aufbauen, können sie Risikofaktoren wirksam begegnen.

Als Reaktion auf die zunehmende Kontrolle durch die Aktionäre haben die meisten russischen Unternehmen separate Risikomanagementfunktionen eingerichtet. Dadurch hat sich der Stellenwert des Risikomanagements in den Augen des Managements und des Verwaltungsrats deutlich erhöht, es sind aber auch neue Probleme entstanden.

Wenn die Verantwortung für das Risikomanagement auf eine separate Funktion übertragen wird, neigen andere Geschäftseinheiten dazu, diese Funktion aufzugeben. Dabei geraten einige Risiken zwangsläufig aus dem Blickfeld, was verheerende Folgen haben kann.

PwC veranstaltete zum zweiten Mal ein Business-Frühstück für Risikomanagement-Führungskräfte und -Spezialisten zum Thema „Risikomanagement liegt in der Verantwortung aller.“ An der Veranstaltung nahmen mehr als 60 Personen teil.

Abbildung 1. Wie hoch ist die Unterstützung des Risikomanagements durch die Geschäftsleitung in Ihrem Unternehmen?

Den Teilnehmern wurde vor allem die Frage gestellt, wie Risikomanagementaktivitäten so organisiert werden können, dass sie Teil der täglichen Arbeit aller Mitarbeiter im Unternehmen werden. Sie tauschten ihre Erfahrungen bei der Stärkung der sogenannten drei Verteidigungslinien im Risikomanagement-Kooperationsmodell aus und diskutierten die Rollen und Verantwortlichkeiten jeder Verteidigungslinie.

Das Risikomanagement liegt in der Verantwortung jedes Einzelnen

Risikomanagement ist für russische Unternehmen kein neuer Prozess. Viele von ihnen implementieren umfassende Risikomanagementsysteme, die den besten globalen Praktiken in nichts nachstehen. Unternehmen, die am meisten von der Umsetzung profitiert haben, geben an, dass die Schaffung eines unternehmensweiten Risikomanagementansatzes häufig eine Überprüfung der Rollen und Verantwortlichkeiten von Managern und Mitarbeitern und manchmal der gesamten Organisationsstruktur des Unternehmens erfordern kann.

Laut einer PwC-Umfrage unter den weltweit größten CEOs planen die meisten CEOs wesentliche Änderungen am Risikomanagement und nicht an anderen Elementen ihrer Unternehmensstrategie, Organisation oder ihres Betriebsmodells. Als wir jedoch die Teilnehmer des Risk Management Business Breakfast nach dem tatsächlichen Grad der Managementunterstützung innerhalb des Risikomanagementrahmens ihres Unternehmens fragten, bezeichneten nur 35 % den aktuellen Grad der Unterstützung als ausreichend.

Während der Diskussion betonten die Teilnehmer die Bedeutung der Beteiligung des Managements an der Entwicklung eines Risikomanagementsystems und der Bildung einer Unternehmenskultur, die die Handlungsreihenfolge der Mitarbeiter und die Annahme bestimmter Entscheidungen in ihrer täglichen Arbeit unter Berücksichtigung bestehender Risiken bestimmt .

Für das effektive Funktionieren des Risikomanagementsystems reicht die Managementunterstützung allein jedoch nicht aus. Es ist notwendig, ein Interaktionsmodell zu etablieren, das es ermöglicht, Rollen und Verantwortlichkeiten im Risikomanagementsystem klar zu formulieren und abzugrenzen. Der Vorstand und die Geschäftsleitung des Unternehmens müssen die Umsetzung und den effektiven Betrieb der drei Verteidigungslinien überwachen. Dieses Modell definiert die Rollen, Verantwortlichkeiten und Verantwortlichkeiten von Geschäftseinheiten, Risikomanagement- und Kontrollfunktionen sowie internen Revisionsfunktionen innerhalb des Risikomanagementsystems.

Förderung einer Kultur des Risikomanagements oder der drei Verteidigungslinien

Erste Verteidigungslinie

Wie kann die Verantwortung von Management und Struktureinheiten gestärkt werden?

Das Management und die Geschäftseinheiten bilden die erste Verteidigungslinie durch Kontrollen, die sicherstellen sollen, dass das Risikomanagement in den Entscheidungsprozess und die wichtigsten Geschäftsabläufe des Unternehmens integriert ist. Strukturabteilungen sind Eigentümer von Risiken und für die Identifizierung, Analyse, Verwaltung, Reduzierung des Risikoniveaus und die Erstellung von Berichten über Schlüsselrisiken verantwortlich.

Abbildung 2. Wie hoch ist der Grad der Beteiligung der Geschäftsbereiche am Risikomanagementprozess in Ihrem Unternehmen?

Auf die Frage nach der Einbindung von Struktureinheiten in den Risikomanagementprozess antwortete nur ein Viertel der Teilnehmer, dass Struktureinheiten in ihrer Organisation aktiv an diesem Prozess beteiligt seien, d. h. Risiken wirklich rechtzeitig erkennen, die notwendigen Berichte erstellen und Maßnahmen zu deren Bewältigung umsetzen. Während viele Mitarbeiter möglicherweise nur ungern auf Anfragen der Risikomanagementfunktion reagieren, ist es erwähnenswert, dass das Engagement der Mitarbeiter im Risikomanagementprozess deutlich höher ist als zuvor.

Aus der Abstimmung der Teilnehmer darüber, wie Rollen und Verantwortlichkeiten im Risikomanagementsystem ihres Unternehmens definiert sind, lassen sich interessante Schlussfolgerungen ziehen. In den meisten Unternehmen, in denen Geschäftsbereiche die Verantwortung für das Risikomanagement nur ungern übernehmen oder in diesem Prozess passiv agieren, sind diese Rollen und Verantwortlichkeiten innerhalb des Risikomanagementsystems entweder überhaupt nicht dokumentiert oder in einer Risikomanagementrichtlinie oder -verordnung in so vielen Fällen dokumentiert Die Leute wissen nicht, dass es existiert. Dies ist häufig einer der Hauptgründe dafür, dass Geschäftsbereiche inaktiv sind oder sich nur ungern beteiligen oder ihre Rolle im Risikomanagement nicht vollständig verstehen. Wie die Praxis der Zusammenarbeit mit großen russischen Organisationen zeigt, werden diese Rollen und Verantwortlichkeiten innerhalb des Risikomanagementsystems selten in Stellenbeschreibungen aufgeführt. Nur 21 % der Befragten gaben an, dass sie dokumentiert und umgesetzt werden.

Abbildung 3. Wie sind die Rollen und Verantwortlichkeiten Ihres Unternehmens im Risikomanagement definiert?

Zweite Verteidigungslinie

Welche Rolle spielt eine moderne Risikomanagementfunktion?

Diese Einheiten klären das Unternehmenskonzept von Risiko und definieren Risikomanagementstandards, einschließlich der damit verbundenen Prozesse, Technologie und Kultur. Diese maßgeblichen, unabhängigen, zentralisierten Einheiten müssen die Aktivitäten anderer Struktureinheiten innerhalb des Risikomanagementsystems überwachen und die von ihnen erhaltenen Risikoinformationen analysieren. Zu den Aufgaben einer typischen Risikomanagementfunktion gehört die Beratung, Koordination, Unterstützung und Schulung von Unternehmensmitarbeitern im Bereich Risikomanagement.

Wenn die Kompetenz dieser Einheit die Verantwortung für die rechtzeitige Identifizierung, Risikobewertung und das Risikomanagement umfasst, wird das Risikomanagementsystem nicht effektiv funktionieren. Als wir fragten, welche Rolle eine moderne Risikomanagementfunktion eigentlich spielen sollte, wurden folgende Funktionen aufgeführt:

• Entwicklung und Umsetzung eines methodischen Ansatzes zum Risikomanagement;
• Koordinierung der Maßnahmen des Unternehmens im Bereich Risikomanagement;
• Beratung und methodische Unterstützung von Unternehmensabteilungen zu Fragen des Risikomanagements;
• Koordination und Vorbereitung der Risikoberichterstattung;
• Schulung der Mitarbeiter zum Risikomanagement;
• Überwachung der Umsetzung des Risikomanagement-Aktionsplans durch Strukturabteilungen, Koordinierung der Arbeit mit dem internen Revisionsdienst;
• Entwicklung und Umsetzung von Maßnahmen zur Verbesserung des Risikomanagementsystems.

Die dritte Verteidigungslinie oder Wie organisiert man eine unabhängige Bewertung der Ergebnisse des Risikomanagements?

Zur dritten Verteidigungslinie der Organisation gehören interne Prüfer und der Vorstand. Der interne Revisionsdienst gibt ein unabhängiges Gutachten darüber ab, dass das Unternehmen Risiken ordnungsgemäß verwaltet und sein Risikomanagementsystem wirksam ist. Der Verwaltungsrat akzeptiert diese Schlussfolgerung als Handlungsleitfaden und stellt der internen Revision die erforderlichen Ressourcen zur Verfügung. Unter der Aufsicht des Prüfungsausschusses bewertet die interne Revision die Risikomanagementressourcen, überprüft die Corporate-Governance-Verfahren, bewertet die Corporate-Governance-Leistungsindikatoren und testet Eskalationsverfahren.

Abbildung 4: Welche Risikomanagementmaßnahme würde Ihrem Unternehmen am meisten nützen?

Der Vorstand gibt den Ton für den Risikomanagementprozess vor, indem er das Ausmaß der Risiken bewertet und genehmigt, die die Organisation bereit ist einzugehen, unter Berücksichtigung der strategischen Ziele und Zielsetzungen im Bereich des Risikomanagements („Risikoappetit“). Die Prüfungs-, Risikomanagement- und Vergütungsausschüsse unterstützen den Vorstand bei der umfassenden Überwachung der Wirksamkeit des Risikomanagementsystems der Organisation.

Während der Gruppendiskussion wiesen die Teilnehmer des Business Breakfast auf die Bedeutung der Interaktion zwischen interner Revision, Risikomanagement, Management und Vorstand hin. Sie betonten jedoch, dass die fehlende klare Abgrenzung der Verantwortlichkeiten zwischen den Mitarbeitern der Internen Revision und der Risikomanagementfunktion, die oft Teil der Internen Revision ist, dies behindern kann.

Ergebnisse und nächste Schritte

Um die Diskussion zusammenzufassen, haben wir die Teilnehmer gefragt, welche Maßnahme ihrer Meinung nach den größten Nutzen für das Unternehmen bringt. Mehr als ein Drittel aller Teilnehmer glaubte, dass die Zusammenarbeit zwischen der Risikomanagementfunktion und anderen Geschäftsbereichen den größten Nutzen für das Unternehmen bringen könnte. Ein Viertel der Teilnehmer gab an, dass die Schaffung von Verantwortung innerhalb des Risikomanagementsystems durch die Implementierung von KPIs auch der Organisation zugute kommen und eine risikoorientierte Kultur stärken kann.

Es muss hinzugefügt werden, dass nur die kumulative Umsetzung aller vorgeschlagenen Maßnahmen den Organisationen auf dem russischen Markt echte Vorteile bringen kann.

Auf Veranstaltungen von PwC wird häufig die Frage nach den Vorteilen und Nutzen der Implementierung umfassender Risikomanagementsysteme gestellt. Sehr interessant fanden wir die Meinungen der Führungskräfte und Mitarbeiter der jeweiligen Abteilungen selbst.

40 Prozent der Teilnehmer gaben an, dass die Einführung eines Risikomanagementsystems im vergangenen Jahr zur Stärkung des Unternehmensimages ihrer Unternehmen beigetragen habe. Nach Ansicht eines weiteren Drittels der Teilnehmer trägt dieses System dazu bei, die Effizienz und Transparenz der Berichterstattung für die Aktionäre zu steigern. Beide Optionen weisen auf immaterielle Vorteile der Implementierung eines Risikomanagementsystems hin, die natürlich auch gewisse Vorteile für das Unternehmen mit sich bringen.

Abbildung 5. Welche Risikomanagementmaßnahme würde Ihrem Unternehmen den größten Nutzen bringen?

Von der Implementierung eines Risikomanagementsystems werden jedoch vor allem greifbare Ergebnisse erwartet, die mit einer tatsächlichen Verringerung der Unsicherheit, Schadensverhütung und Kostensenkung verbunden sind. Nur 19 % der Teilnehmer bemerkten diesen besonderen Vorteil (15 % Reduzierung der Finanzierungskosten und 4 % Reduzierung der Versicherungsprämien). Bedeutet dieses Ergebnis, dass das Risikomanagementsystem für in Russland tätige Unternehmen keinen monetären Nutzen bringt? Dies kann vielmehr dadurch bedingt sein, dass Organisationen die Ziele der Implementierung eines Risikomanagementsystems nicht immer klar formulieren und es dementsprechend nicht immer möglich ist, diese Vorteile zu messen.

Die Effizienz der Geschäftsprozesse eines Unternehmens hängt maßgeblich von der Organisation des internen Kontrolldienstes ab, da dieser nicht nur die Richtigkeit der Buchhaltungsdaten überprüft, sondern auch die Risiken des Unternehmens minimiert.

Die Rechnungslegung nach IFRS sollte von internen Controllern beurteilt werden, denn mit Hilfe verlässlicher Daten können Sie die von der Unternehmensleitung gesetzten Ziele erreichen, zum Beispiel einen Börsengang starten, Investitionen anlocken etc. Betrachten wir die Besonderheiten der Organisation der internen Kontrolle bei ein Unternehmen mit Hilfe dieses Artikels.

Die Bedeutung der internen Kontrolle kann kaum überschätzt werden, da häufig auf der Grundlage bereits durchgeführter interner Kontroll- (bzw. Audit-)Verfahren eine externe Prüfung durchgeführt wird, deren Ergebnisse externen Nutzern der Berichterstattung zur Verfügung gestellt werden.

Auslandserfahrung in der Organisation eines internen Kontrollsystems

Das sogenannte Modell der drei Verteidigungslinien der internen Kontrolle ist weit verbreitet und beliebt (siehe Abbildung). Die Idee dieses Modells besteht darin, dass das interne Kontrollsystem eines Unternehmens je nach Entwicklungsstadium unterschiedlich organisiert sein kann.

In Russland setzt sich der Ansatz der drei Verteidigungslinien beim Aufbau eines internen Kontrollsystems gerade erst durch. Derzeit wird der Organisation eines internen Kontrolldienstes, insbesondere in mittelständischen Unternehmen, nicht die gebührende Aufmerksamkeit geschenkt. Der interne Kontrolldienst ist eher mit der Überprüfung der Verfügbarkeit und Nutzung von Vermögenswerten, der Beseitigung von Schulden sowie der Überprüfung der Qualität der Buchhaltungs-(Finanz-)Berichterstattung und der Optimierung von Steuern und Gebühren verbunden. Unserer Meinung nach muss dieses Format zur Organisation des internen Kontrolldienstes überarbeitet werden, da das Konzept der internen Kontrolle umfassender ist und die Analyse und Bewertung der betrieblichen Effizienz des Unternehmens sowie die Bewertung der Qualität des Risikomanagements umfasst.

Bei der Organisation eines internen Kontrolldienstes in einem Unternehmen sollten Sie auch die COSO „ERM“-Standards berücksichtigen (der bisherige COSO-Standard unterscheidet sich vom COSO „ERM“ dadurch, dass letzterer den Schwerpunkt auf das Management der Unternehmensrisiken und die Erhöhung der Zuverlässigkeit der Berichterstattung legt). . Coso ist eine private Organisation in den Vereinigten Staaten, die mit dem Ziel gegründet wurde, Empfehlungen für das Führungspersonal von Organisationen in Bezug auf interne Kontrollen, Risikomanagement, Beseitigung von Finanzberichterstattungsbetrug usw. zu entwickeln. Darin liegt der Wert der Entwicklung eines Modells der internen Kontrolle für eine bestimmte Organisation Indem sie ihre Daten damit vergleichen, können Organisationen ihr eigenes internes Kontrollsystem bewerten.

Merkmale der Organisation eines wirksamen internen Kontrolldienstes

Es gibt auch Schwierigkeiten, auf die Unternehmen bei der Einrichtung eines internen Kontrolldienstes in einem Unternehmen stoßen können, insbesondere sind dies:

• unvollständiger oder teilweiser Zugriff auf notwendige Informationen;
• unzureichendes Vertrauen in die Aktivitäten des internen Kontrolldienstes;
• Mangel an Mitteln, um ein internes Kontrollsystem im Unternehmen zu organisieren, insbesondere um das Personal zu halten;
• Unterschiede zwischen russischen und internationalen Prüfungsstandards usw.

Das erste Problem kann gelöst werden, indem mit Unterstützung der Unternehmensleitung ein effektives Zusammenspiel des internen Kontrolldienstes mit anderen Unternehmensbereichen sichergestellt wird.

Eine sehr wichtige Aufgabe der internen Kontrolleinheit (Revision) bleibt es, das Vertrauen der Mitarbeiter anderer Abteilungen und der Unternehmensleitung in ihre Tätigkeit zu stärken. Häufig werden interne Kontroll-, Revisions- und Compliance-Spezialisten von anderen Mitarbeitern als Spezialisten wahrgenommen, die „unnötige“ Arbeit leisten und von ihrer Hauptarbeit ablenken. Diese Situation trägt nicht zur Verbesserung der Qualität der Inspektionen bei. Jedes Unternehmen löst dieses Problem selbstständig, alle eingesetzten Methoden sollten jedoch darauf abzielen, eine freundschaftliche Atmosphäre innerhalb des Unternehmens zwischen seinen Mitarbeitern zu schaffen.

Das Problem des unzureichenden Vertrauens in die Tätigkeit des Internen Kontrolldienstes wird gelöst, indem das Vertrauen in die Spezialisten eines solchen Dienstes gestärkt wird (und auch die Sicherstellung einer effektiven Interaktion zwischen den Unternehmensabteilungen kann das Vertrauen stärken). Für die Stärkung des Vertrauens in interne Controller sind außerdem folgende Faktoren wichtig:

• berufliche Qualitäten und Kompetenz;
• die Bedeutung und Qualität der von den Verantwortlichen erhaltenen Informationen.

Daher sollten Spezialisten für interne Kontrolle idealerweise über ein Abschlussprüferzeugnis, umfassende Berufserfahrung und fundierte Kenntnisse in Fragen der Rechnungslegung und Steuerbuchhaltung sowie der IFRS verfügen. Darüber hinaus müssen solche Spezialisten ihre Fähigkeiten ständig verbessern.

Im Hinblick auf die Bedeutung und Qualität der von den internen Controllern erhaltenen Informationen hat dieser Punkt nicht nur Auswirkungen auf die Effizienz der Buchhaltung des Unternehmens, sondern auch auf die Managemententscheidungen seiner Geschäftsführung. Die Bedeutung und Qualität der Arbeit wird durch die Erstellung der Arbeitsdokumentation des Abschlussprüfers (siehe Tabelle unten), die Objektivität und Vollständigkeit der Rechnungslegungsprüfung erreicht.

Beschreibung des Three Lines of Defense-Modells für das Risikomanagement

Das nächste Problem, das bei der Einrichtung eines internen Kontrolldienstes auftreten kann, ist der Mangel an Mitteln für diese Zwecke im Unternehmen. Beachten Sie, dass die Organisation der internen Kontrolle derzeit keine Laune des Unternehmens, sondern eine Anforderung der Zeit ist, da die Korrektur von Fehlern länger dauern kann. Je nach Größe und Art der Tätigkeit des Unternehmens können Sie die optimale Anzahl an Spezialisten auswählen. Für ein kleines Unternehmen reichen ein oder zwei Spezialisten aus; Sie können auch die Dienste von Outsourcing-Unternehmen in Anspruch nehmen. In jedem Fall ist es ratsam, die möglichen Kosten vorab abzuschätzen und die für das Unternehmen akzeptable Option auszuwählen.

Es gibt Unterschiede zwischen russischen und internationalen Standards, sowohl in der Rechnungslegung als auch in der Wirtschaftsprüfung. Wenn die Aktivitäten des Unternehmens daher unter dem Gesichtspunkt internationaler Standards bewertet werden müssen, sollten Sie darüber nachdenken, Spezialisten für interne Kontrolldienste mit dem entsprechenden Niveau und den entsprechenden Qualifikationen einzustellen.

Der wichtigste Arbeitsschritt des internen Kontrolldienstes ist die Überwachung der Anpassungen der IFRS. Die geprüften Vorgänge können in Standard- (typische), Nicht-Standard- und Überprüfungsrisiken, denen das Unternehmen ausgesetzt sein kann, unterteilt werden.

Zu den komplexen Bereichen der Rechnungslegung, die Aufmerksamkeit erfordern, gehören auch die Bewertung von Vermögenswerten und Verbindlichkeiten, die Erfassung von Rücklagen, die Erstellung von Anmerkungen zu Jahresabschlüssen und die Überprüfung der von den Zweigstellen der Organisation bereitgestellten Daten.

Der komplexeste von den IFRS vorgeschlagene Bewertungsansatz ist die Bewertung zum beizulegenden Zeitwert. Wenn Sie über die Mittel verfügen, wenden Sie sich am besten an einen professionellen Gutachter. Wenn das Unternehmen jedoch nicht über eine solche finanzielle Möglichkeit verfügt, können Sie den beizulegenden Zeitwert unabhängig ermitteln.

IFRS bietet je nach Art des Vermögenswerts mehrere Optionen zur Ermittlung des beizulegenden Zeitwerts: Anschaffungskosten auf dem Hauptmarkt (zuvor aktiv), Anschaffungskosten für ähnliche Vermögenswerte, abgezinster Wert usw. Bei der Überprüfung der Ermittlung des beizulegenden Zeitwerts muss der interne Kontrollspezialist dies überprüfen Dokumentation der Ermittlung des beizulegenden Zeitwerts der Vermögenswerte sowie der Objektivität und Verlässlichkeit der erzielten Ergebnisse. Die Meinungen der Abschlussadressaten können weitgehend durch die im Anhang zum Jahresabschluss offengelegten Informationen beeinflusst werden. Der Umfang und Umfang der offengelegten Informationen sollte sorgfältig geprüft und diese Informationen mit der Unternehmensleitung abgestimmt werden.

Auch die Bildung von Rücklagen erfordert Aufmerksamkeit. Das Verfahren zu deren Bilanzierung wird nicht nur durch IAS 37 „Rückstellungen, Eventualforderungen und Eventualverbindlichkeiten“ geregelt, sondern je nach den Besonderheiten der Unternehmenstätigkeit auch durch IAS 11 „Verträge“, Erläuterung zu IFRIC 6 „Verbindlichkeiten, die in entstehen.“ Zusammenhang mit der Teilnahme an einem Spezialmarkt – Elektro- und Elektronikaltgeräte.“

Um einen wirksamen internen Kontrolldienst zu organisieren, ist es auch notwendig, die Arbeit anderer Abteilungen, insbesondere der IFRS-Abteilung, zu normalisieren und methodische Materialien, einschließlich Rechnungslegungsgrundsätze, noch einmal auf Fehler und Inkonsistenzen in den Rechnungslegungsdaten zu überprüfen. Auch der Dokumentenflussplan ist wichtig – wenn es zu einer Verzögerung bei der Übermittlung der Daten an den internen Kontrolldienst kommt, wird auch dessen Arbeit deutlich langsamer.

Um eine koordinierte Arbeit zu gewährleisten, müssen andere Teile des Unternehmens in den Prozess einbezogen werden. Die Besonderheit der internen Kontrollmaßnahmen besteht darin, dass die Kontrolle nicht nur einzelne Bereiche (Buchhaltung, Unternehmenszusammenschlüsse) der Unternehmensaktivitäten, sondern auch ganze Geschäftsprozesse sowie die gesamte Unternehmensaktivität berücksichtigt.

Daher ist ein ordnungsgemäß organisiertes internes Kontrollsystem in einem Unternehmen wichtig für die Steigerung der Effizienz des Unternehmens.

Einschätzung möglicher Risiken

Meinung

Swetlana Roganowa , leitender Buchhalter der Firma Eldorado

Effektive interne Kontrollpraktiken

Unserer Meinung nach besteht die effektivste Methode zur Durchführung der Aktivitäten des internen Kontrolldienstes in einem Ansatz, der auf drei Verteidigungslinien basiert. Wenn diese Auslandserfahrungen in Russland korrekt übernommen werden, ist das Risiko, dass das Unternehmen beispielsweise Fehler in seinen Buchhaltungsabschlüssen macht, gering. Diese Methode basiert auf der Überprüfung von Daten an drei „Fronten“. Die Besonderheit des Ansatzes besteht darin, dass, wenn eine der Linien den Fehler nicht bemerkt, dieser auf der nächsten Verteidigungslinie eingeebnet wird. Die Arbeit der dritten Verteidigungslinie ist am verantwortungsvollsten, da die Daten der ersten beiden überprüft werden müssen.

Die Schwierigkeit bei der praktischen Umsetzung des Projekts besteht darin, die Spezialisten richtig auf die drei Verteidigungslinien zu verteilen. Unser Vorschlag: Die erste Verteidigungslinie umfasst die Buchhaltung, die Berichtsabteilung, die zweite Linie – den internen Kontrolldienst, die für Risiken zuständige Abteilung, den Compliance-Dienst (falls vorhanden), die dritte – den internen Revisionsdienst. Die letzte Instanz für die Datenüberprüfung sind externe Prüfer.

Auch wenn es für viele Unternehmen recht kostspielig ist, einen internen Kontrolldienst und gleichzeitig einen internen Revisionsdienst zu unterhalten, ist dies für große Unternehmen derzeit aufgrund der großen Menge eine echte Notwendigkeit Es ist sehr leicht, einen Fehler zu übersehen oder das entsprechende Risiko nicht zu berücksichtigen. Der interne Revisionsdienst sollte einen höheren Rang als der interne Kontrolldienst haben und die Kontrolle über dessen Arbeit ausüben. Darüber hinaus können sich die Dienste gegenseitig bei der methodischen Unterstützung, der gegenseitigen Qualitätskontrolle und der Aufteilung von Verantwortungsbereichen unterstützen. Mit diesem Ansatz ist es möglich, die Kosten der externen Prüfung zu reduzieren. Interne Controller sollten zudem eng mit der Unternehmensleitung zusammenarbeiten und aufkommende Probleme koordiniert lösen – die Wirksamkeit des internen Kontrolldienstes wird in diesem Fall deutlich gesteigert.