Профессиональное управление рисками становится одной из основных задач для корпоративного управления в России. С чего начать? Какие подходы использовать? На какие стандарты ориентироваться?
Подтвердился наш прогноз обострения рисков российской экономики на макроуровне, опубликованный в статье «Выдержит ли бизнес зону турбулентности?» (см. «ЭЖ», № 12). В отношении России введены санкции, на которые наше правительство ответило введением экономического эмбарго. Большинство субъектов экономической деятельности оказались не готовы к изменению внешней среды бизнеса. Они попросту не рассматривали риски деятельности в условиях санкций и экономического эмбарго. В одночасье наступило осознание рисков высокой зависимости от зарубежных финансовых рынков и от импорта продуктов питания, риска роста инфляции. Впору задуматься и о сопряженном риске роста социальных рисков.
Возможно, пора осознать, что любые действия или бездействие приводят к событиям и последствиям, которые могут представлять собой как потенциальные опасности, так и возможности. Когда действительно перестанем «ждать, пока гром грянет» и приучим себя воспринимать риски как комбинацию вероятности негативных событий и их последствий? Не пора ли начать управлять рисками — снижать вероятность и последствия негативных событий?
Постановка профессионального управления рисками de facto становится задачей номер один для корпоративного управления в России. С чего начать? Какие подходы использовать? На какие стандарты ориентироваться? Как выстраивать процесс управления рисками? В наступившее время турбулентности эти вопросы появились в списках дел руководителей многих российских компаний государственного и частного секторов экономики.
Что меняется в экономике: какими рисками предстоит управлять?
Политически мотивированные санкции против России и ответное экономическое эмбарго с нашей стороны — лишь авангард рисков, с которыми наша экономика столкнется в ближайшее пятилетие.
Чтобы повысить осведомленность руководителей различных уровней и должностных лиц компаний в государственном и частном секторах экономики, перечислим вызовы — риски и возможности, которые с высокой степенью вероятности определят контекст бизнеса в период до 2020 г.
■ Глобализация рынков — резкое обострение конкурентной борьбы за рынки сырья и сбыта.
■ Информационная революция — интернет, интранет, экстранет, виртуальный бизнес, социальные сети — резкий рост скорости распространения информации.
■ Существенное изменение интересов, сфер влияния и ответственности бизнеса, органов государственного управления различных уровней и организаций гражданского общества: поиск новых моделей взаимодействия.
■ Отраслевые изменения — сжатие традиционных (трудоемких, сырьевых) и расширение новых (знания, компетенция, информация, сфера услуг) отраслей.
■ Повышение информированности и ожиданий потребителей, сокращение жизненного цикла товаров и услуг, кастомизация (приоритет интересов потребителя), обострение борьбы за каждого потребителя.
Подчеркнем, что перечисленные выше изменения экономики — вызовы руководителям различных уровней и должностных лиц компаний в государственном и частном секторах экономики. От уровня профессионализма этих лиц зависит материализация каждого из вызовов для каждого конкретного субъекта экономической деятельности — будет он риском или возможностью.
Далее в списке — почти неизбежные (высокие по вероятности наступления) и существенные (по силе негативных последствий) риски экономической среды России в предстоящие пять лет:
■ Резкий рост не отдельных, а комплекса рисков — повышение вероятности наступления и силы последствий технологических, экономических, социальных и экологических негативных событий.
■ Неопределенность и изменчивость контекста экономической деятельности — отсутствие консенсуса и доминирующей тенденции — противоречия заинтересованных сторон — непостоянный цикл деловой активности.
■ Регуляторные и политические вмешательства — высокая вероятность увеличения политического (политически мотивированные санкции) и регуляторного (законы и подзаконные акты) воздействия на отрасли и далее на компании.
■ Макро-, мезо- и микроэкономические кризисы — высокая вероятность глобального, отраслевых и микроэкономических кризисов (на уровне компаний государственного и частного секторов экономики).
Осознать факт смены экономической эпохи. Учиться профессионально управлять в условиях кризисов, непрерывного роста рисков, неопределенности и изменений. Эффективно управлять рисками внутренней и внешней сред экономической деятельности. Все это необходимо профессиональным управляющим экономикой, которая вошла в эпоху резкого обострения рисков, кризисов, катастроф, неопределенности и изменений.
Сначала надо делать то, что надо делать сначала
Приступая к задаче постановки управления рисками в субъекте экономической деятельности, целесообразно начать с «букварей» этого аспекта системы управления — с изучения общепринятых международных стандартов управления рисками. Для удобства информация об основных из них сведена в табл. 1.
Повышенное внимание со стороны экспертов и практиков управления рисками, действующих на российском рынке, уделяется документу «Управление рисками организаций. Интегрированная модель», разработанному Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, COSO).
Этот документ представляет собой концептуальные основы управления рисками организаций и дает подробные рекомендации по созданию корпоративной системы управления рисками.
В виде трехмерной матрицы (см. рис. 1), имеющей форму куба, стандарт устанавливает взаимосвязь между целями организации (стратегические, операционные цели, цели подготовки отчетности и соблюдения законодательства), организационной структурой компании (уровни компании, подразделения, хозяйственной единицы, дочернего предприятия) и компонентами процесса управления рисками.
Русским обществом управления риском в качестве базового рассматривается Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров, который является совместной разработкой Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM) (2002 г.).
Управление рисками рассматривается как основа стратегического управления организацией в части идентификации рисков и управления ими. При этом отмечается, что управление рисками как система должна включать в себя контроль выполнения поставленных задач, оценку эффективности проводимых мероприятий, а также систему мотивации на всех уровнях организации.
Среди принципов, определяющих эффективность управления рисками в основных стандартах, обращают на себя внимание следующие:
■ управление рисками создает стоимость, то есть вносит вклад в достижение поставленных целей, а также в совершенствование в таких областях, как здоровье и безопасность человека, соответствие законодательным требованиям, защита окружающей среды, финансовая деятельность, корпоративное управление, репутация;
■ управление рисками — неотъемлемая часть организационных процессов в компании;
■ управление рисками — составная часть процесса принятия решений в организации;
■ управление рисками должно быть специально «настроено» (адаптировано) с учетом специфики деятельности организации;
■ управление рисками учитывает существование человеческого и культурного факторов.
Подходы к управлению рисками
В рамках ограничений, налагаемых форматом газетной статьи, упомянем интегрированный, интегральный, централизованный и децентрализованный подходы к управлению рисками.
Интегрированный подход к управлению рисками заключается во внедрении принципов, регламентов и процессов управления рисками на всех уровнях корпоративного управления — от высшего уровня управления до единоличного или коллегиального исполнительного органа и далее до подразделений организации.
Пример того, как управление рисками интегрируется в корпоративное управление, схематично изображен на рис. 2.
Таким образом, интегрированный подход к управлению рисками обычно предусматривает два последующих действия:
■ формирование культуры управления рисками, включая определение риск-аппетита как части культуры управления организацией;
■ интеграцию управления рисками на все уровни принятия и реализации решений, включая встраивание управления рисками в иные (бизнес-) процессы, действующие в организации.
Интегральный подход к управлению рисками обычно предусматривает включение в сферу ответственности не только экономической, но также социальной и экологической сред организации. Посмотрите, как это графически показано на рис. 3.
Следует помнить, что интегральный поход к управлению рисками соответствует теории и передовой практике корпоративной социальной ответственности и устойчивого развития.
Различие между централизованным и распределенным подходами к управлению рисками организации (компании) заключается в формировании специализированного функционального подразделения управления рисками всей организации в целом или наделении дополнительной функцией управления рисками всех функциональных подразделений организации (компании).
Процесс управления рисками
Общепринятый (бизнес-) процесс управления рисками включает семь последовательных действий, формирующих восходящую спираль развития этого важного компонента профессионального управления организацией (рис. 4).
Первое действие спирального цикла управления рисками — идентификация потенциальных рисков — выявление рисков во внутренней и внешней средах организации (рис. 5)
Подчеркнем, что дальше-больше для выявления рисков применяется именно так называемый «стейкхолдерский» подход — метод выявления рисков через непрерывные диалоги с внутренними и внешними заинтересованными сторонами.
Далее по спиральному циклу управления рисками следует оценить выявленные риски по матрицам вероятности наступления и силе последствий.
Нередко, по вероятности наступления, риски оценивают по шкале «высокий — средний — низкий» в зависимости от трех параметров:
■ вероятность риска в определенный период времени;
■ вероятность актуализации риска несколько раз в течение определенного времени;
■ факт актуализации такого же риска недавно — с указанием конкретного срока.
Оценку потенциальных последствий актуализации риска также можно оценить по шкале «высокий — средний — низкий», используя, например, следующую матрицу:
■ финансирование последствий риска превышает Х рублей;
■ финансирование мероприятий по управлению риском (или возможностью) составит Х рублей;
■ Х-уровень существенности влияния на материальные и нематериальные активы;
■ Х-уровень существенности влияния на ожидания заинтересованных сторон.
Следующий компонент спирального цикла управления рисками — планирование действий того, что вы будете делать при достижении каждым риском установленного вами уровня риск-аппетита, то есть когда риск становится опасным для вашей организации.
Планировать действия по управлению актуализирующимися рисками можно с опорой на стратегию, применимую к данному типу риска (рис. 6).
Следующая задача — обеспечить должный мониторинг рисков в организации.
Это можно сделать различными способами, включая формирование следующих инструментов:
■ подразделение (служба) внутреннего контроля и аудита — вменение таковой функции мониторинга рисков, включая отчеты;
■ руководители функциональных подразделений — вменение мониторинга рисков в число должностных обязанностей, включая отчеты;
■ проактивный контроль/мониторинг — регулярное взаимодействие с заинтересованными сторонами (внутренней и внешней) сред вашей организации (компании), включая внутренние отчеты с анализом ситуации;
■ реактивный контроль/мониторинг — график приема руководителями вашей организации (компании) по вопросам управления рисками, «горячая телефонная линия», электронный «почтовый ящик», физический почтовый ящик, форум на интернет-сайте, включая внутренние отчеты по анализу входящей информации.
Пятый компонент (бизнес-) процесса управления рисками — действия по управлению актуализировавшимся (наступившим) риском:
■ выполнить решение, предписанное на случай актуализации данного риска в «Плане действий при актуализации рисков»;
■ подготовить и представить для контроля отчет ответственного подразделения или должностного лица о результата выполнения действий, предписанных в «Плане действий при актуализации рисков»;
■ информировать внутренние и внешние заинтересованные стороны организации (компании) о действиях и результатах управления риском.
Сведения о действиях организации по идентификации, оценке, планированию реагирования, мониторингу и реагированию на риск целесообразно фиксировать в специальную базу данных — в этом суть шестого компонента спирального цикла управления рисками. Это позволит организации эффективно управлять текущими рисками и использовать применимый опыт в дальнейшей деятельности вашей организации (компании).
Здесь применимы различные подходы:
■ ведение дела (с описью вложений), к которому приобщается реестр рисков и возможностей организации (компании), а также отчеты подразделений или должностных лиц о результатах плановых действий при актуализации каждого;
■ ведение простой электронной базы данных, к которой приобщаются сканированный «План действий» и отчеты;
■ использование специализированной электронной базы, включая опцию мониторинга/контроля и отчетов в режиме текущего времени в информационной сети организации (компании).
Экспертам хорошо известно, что системы управления, которые не развиваются, утрачивают свою эффективность и приводят к краху организаций. Это в полной мере относится к управлению рисками. Поэтому
настоятельно рекомендуем седьмой компонент спирального цикла управления рисками:
■ периодический анализ управления рисками и возможностями собственными силами вашей организации (компании): целевые совещания, специализированная рабочая группа или иные форматы взаимодействия — с протоколированием и реализацией принятых решений по развитию управления рисками;
■ периодическое привлечение внешних независимых экспертов — аудиторов системы управления рисками внутренней и внешней сред вашей организации (компании) с последующим экспертным заключением, включающим ранжированные по срочности рекомендации, а также возможным экспертным и/или процессным консультированием по реализации этих рекомендаций.
Роль государства в управлении рисками
В период обострения рисков, кризисов, катастроф, неопределенности и изменений роль государства в управлении рисками существенно возрастает.
Во-первых, повышается регулирующая роль государства в создании правовой основы для регулирования ситуаций, в которых деятельность организаций (компаний) или отдельных лиц может порождать риск для окружающих.
Во-вторых, возрастает надзорная роль государства в защите людей, субъектов экономической деятельности и среды обитания от растущих внешних рисков —
политических, экономических, технологических, биологических и природных. Государство — остро востребованный сегодня регулятор различных внешних рисков как для здоровья и безопасности людей, так и для государственной безопасности и экономической устойчивости России.
В-третьих, растет роль государства в управлении рисками собственной деятельности — суть деятельности органов власти различных уровней в должном выполнении ими регулирующих и надзорных функций.
Таблица 1
|
Краткое название стандарта |
Название стандарта на аглийском языке |
Название стандарта на русском языке |
|
ISO/IEC 31010:2009 |
Risk management — Risk assessement techniques |
Управление рисками — Руководство по оценке рисков |
|
ISO/IEC Guide 73 |
Risk Management — Vocabulary Guidelines for usin standarts |
Управление рисками — Словарь — Руководство по использованию в стандартах |
|
ISO 31000:2009 |
Enterprise Risk Management — Integrated Framework |
Управление рисками — Принципы и рекомендации |
|
COSO ERM — Integraed Framework |
Risk management standard |
Интегрированная модель управления рисками |
|
IRM, AIRMIC, ALARM (FERMA RMS) |
Rismangement standard |
Стандарт управления рисками (модель RMS) |