Анализ развития ИТ в корпорации на основе Интегрированной модели управления рисками COSO ERM

- 2 -

1 2 3 4 5

Рассмотрим подходы к решению следующих проблем, связанных с управлением бизнес-рисками и ИТ в корпорации:
- влияние развития ИТ в корпорации на бизнес-риски;
- влияние бизнес-рисков на развитие ИТ в корпорации;
- адекватность проекции бизнес-рисков на ИТ;
- время реакции ИТ на проекции бизнес-рисков;
- контроль бизнесом управления ИТ проекциями бизнес-рисков.

В общем случае, события, создающие риски для бизнеса, могут влиять на выполнение всех перечисленных групп процессов ( P1 – P4 ). В большинстве случаев, когда дело касается некритичных рисков, связанных с повторяющимися событиями в операционной деятельности корпорации, по управлению которыми накоплен определённый опыт, корректирующие действия осуществляются, как правило, по прецедентам.

Большинство бизнес-рисков: «кредитный риск (риск несоблюдения обязательств); рыночный риск (риск изменения рыночных факторов: цен, курсов валют, процентных ставок); риск концентрации портфеля (на одном продукте, сегменте, финансовом инструменте); риск ликвидности (невозможность выполнять текущие обязательства); операционный риск (риск технологических сбоев, ошибок персонала, мошенничества); риск бизнес-события (риск неудачного слияния с другой компанией, неверная маркетинговая оценка спроса на рынке)» [4], за исключением некоторых видов операционных рисков, напрямую не связаны с ИТ.

Ряд корпоративных скандалов и банкротств (например, Enron, WorldCom и другие), привели к принятию закона Сарбейнса-Оксли (Sarbanes-Oxley). Для управления рисками банки и корпорации используют различные методы и стандарты: «Sarbanes-Oxley (SOX), COSO, ERM, COBIT, IFRS, BASEL II, OMB A-123, ASX 10, OECD Principles, Turnbull Guidance» [5]. «Каждый из перечисленных документов ориентирован на достижение определенной цели. Если Basel II устанавливает четкие ограничения на минимальный размер регуляторного капитала, то RMS преследует получение максимальной доходности, и только стандарт COSO–ERM отражает стремление к балансу между доходностью и риском. Отсюда и разброс в типах рассматриваемых каждым стандартом рисков: максимальный набор у COSO ERM, средний – в стандарте RMS, минимальный – в стандарте Basel II.» [6].

Рассмотрим подробнее Интегрированную модель COSO ERM рис.5 [7].

Рис.5. Интегрированная модель COSO ERM [7]

К компонентам процесса управления рисками корпорации в Интегрированной модели COSO ERM, представленным на рисунке 5, относятся:
- внутренняя среда;
- постановка целей;
- определение событий;
- оценка рисков;
- реагирование на риск;
- средства контроля;
- информация и коммуникации;
- мониторинг.

На рисунке 5 представлены также 4 категории целей:
- стратегические;
- операционные;
- цели в области подготовки отчетности;
- соблюдения законодательства.

Ещё одна грань куба показывает, что управление рисками охватывает подразделения корпорации.

В стандарте «COSO ERM Framework» понятие риск-менеджмента включает широкий круг вопросов: «Управление рисками организации – это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации» [7].