В последнее время компании проявляют повышенный интерес к управлению операционными рисками, в частности рисками бизнес-процессов. В качестве инструмента для этого используется карта рисков. Как сделать так, чтобы этот «продукт» был аналитичным, кратким и понятным, востребованным и практичным, а также как поддерживать его? Взгляд риск-ориентированного внутреннего аудита на эту группу рисков представляет Анна Корбут1, вице-президент общества «РусРиск», член Совета директоров FERMA2.
Задача риск-ориентированного внутреннего аудита — конкретизировать, дополнить, помочь правильно сформулировать риски бизнес-процессов для их лучшего понимания и работы с ними. А цель — сформировать и обновлять такой формат карты рисков, чтобы она была востребованна и воспринималась пользователями с минимальными затратами времени на то, чтобы вникнуть в нее. Несмотря на то что управление рисками уже стало привычным делом, все равно в реестрах операционных рисков компаний встречается много несоответствий.
Реестры рисков из реестров различных компаний в разные годы (таблица)
Неэффективное принятие управленческих решений |
Риск |
Не риск |
---|---|---|
Неэффективность корпоративного управления и внутреннего контроля |
|
+ |
Анализ рынка дает недостоверные данные и не обеспечивает в полной мере стратегические и тактические потребности компании |
|
+ |
Неправильные акценты в ранжировании компетенций |
|
+ |
Использование современных технологий не обеспечивают в полном объеме потребности бизнеса |
|
+ |
Нечеткость поставленных управленческих задач |
|
+ |
Дефицит времени для анализа информации |
|
+ |
ИТ-система не обеспечивает в полном объеме потребности бизнеса |
|
+ |
«Высказывания», представленные в таблице, по сути, рисками не являются (отсутствует событие как таковое). Они лишь субъективные оценочные заявления, поскольку измерить степень «достаточности», «правильности», «четкости» или даже «эффективности» объективно практически невозможно.
Наконец, поставим себя на место «владельца бизнес-процесса». Что с этими «рисками» прикажете делать? Как быть с таким риском бизнес-процесса, как, например, «неэффективное управление ресурсами» или «неэффективное принятие решений»? Поскольку риск связан с событием (вероятностью его наступления и последствиями), для выявления и формулирования риска слова «эффективный»/«неэффективный» не имеют смысла. И все же их очень часто пытаются использовать именно в контексте выявления рисков бизнес-процессов.
Существенный рост интереса к управлению операционными рисками, в частности рисками бизнес-процессов в компаниях, в последнее время обусловлен несколькими факторами, работающими на актуальность данной темы:
- смена этапов в жизненном цикле многих компаний, когда эра бурного развития и роста (изменение технологий, увеличение масштабов бизнеса) привела к необходимости «подтянуть», адаптировать работу и компетенции людей и/или по-новому организовать их труд;
- изменения макроэкономической и экономической конъюнктуры способствуют поиску внутренних ресурсов для оптимизации и дальнейшего развития;
- свой вклад вносят также дальнейшее совершенствование управленческих технологий, внедрение реального внутреннего контроля, принципы соответствия требованиям (compliance), риск-ориентированный внутренний аудит и т.п.
Каждый из этих факторов может послужить отправной точкой для описания рисков бизнес-процессов. Посмотрим на эту группу рисков с позиции риск-ориентированного внутреннего аудита и покажем его подход к некоторым аспектам формирования карты рисков.
Классификация рисков помогает лучше понять их суть
В практическом плане для выделения из всего портфеля рисков организации именно операционных рисков наиболее удобной отправной точкой, на наш взгляд, была и остается классификация Соглашения Basel II3. Согласно ей операционный риск — это потенциальные потери организации из-за неадекватных или ошибочных внутренних процессов и/или систем, действий персонала, а также внешние события. Таким образом, в состав операционных рисков попадают:
- внешние события — они, как правило, являются предметом заботы менеджеров по страхованию, поэтому в статье эта группа рисков не рассматривается;
- риски в технологических процессах и работе оборудования;
- риски в организации и бизнес-процессах;
- риски в действиях персонала/людей.
Развитие, или изменение/адаптация бизнеса, сопровождается меняющимся бизнес-контекстом — появлением новых технологий, новых видов бизнеса, внешними «вызовами». Они — хороший повод обратиться к поиску внутренних ресурсов оптимизации: эффективности, функциональности, управляемости, удовлетворенности внутренних клиентов и т.п. Организации приспосабливаются к изменениям, меняя стратегии, технологии, структуры, а также отношение и поведение работников. При этом работники отличаются значительно меньшей готовностью к изменениям, чем оргструктуры и бизнес-процессы, и для адаптации им требуется время (см. рис. 1). Помочь людям приспособиться к изменениям бизнес-контекста призваны бизнес-процессы и организационная структура. На то у нас и есть организация или реорганизация.
Изменения в каждой области (бизнес-контекст, бизнес-процессы и работники) происходят по своей траектории (кривой), что показано на рис. 1. И только спустя некоторое время траектории изменений таких компонентов, как организационная структура и работники, начинают сходиться для достижения желанного синергетического эффекта. Однако руководители и бизнес-спонсоры организационных трансформаций, бывает, не учитывают такой важный фактор, как время. Ведь реорганизация чаще всего не дает молниеносного эффекта на следующий день после ее проведения, тем не менее это не повод признавать ее неуспешной и немедленно затевать другую.
Следует также различать деление всех рисков на «чистые» (при реализации риска ожидается только негативный эффект) и «спекулятивные» (при реализации риска возможен и негативный, и нейтральный, и позитивный эффект). В рамках такой классификации риски бизнес-процессов будем воспринимать как «чистые». Это означает следующее: если в организации есть правила работы (структура и процессы взаимодействия), обход (манкирование) этих правил должно восприниматься как нарушение — то есть риск. Если же подобные «нарушения» позволяют работать лучше, быстрее, эффективнее, то вывод один — нужно срочно менять правила. Но такую культуру, когда «правила существуют для того, чтобы их нарушать» и «(сегодняшняя) цель оправдывает средства», мы в своих организациях формировать, конечно же, не хотим.
«Привязка рисков бизнес-процессов к месту» выводит на их владельцев
Когда в компании все бизнес-процессы классифицированы и стандартизированы, аудитор может пользоваться готовой «номенклатурой» бизнес-процессов. И с высокой степенью вероятности при таком уровне организационного развития нужен уже не аудитор, а внутренний контролер. Если же такой уровень в компании пока не достигнут, аудитор может основываться на логике типовых бизнес-процессов и систем управления.
Например, функциональные системы управления, участвующие во всех процессах организации для их взаимной координации, могут быть такими:
- планирование, учет, контроль;
- управление персоналом;
- ИТ-обеспечение;
- организационное развитие и т.п.
В отсутствие структурированной «номенклатуры» бизнес-процессов можно отталкиваться от таких основных функциональных направлений, как:
- основная производственная деятельность;
- обеспечение материально-техническими ресурсами;
- управление финансовыми ресурсами;
- продвижение, продажи и т.п.
Такой подход дает возможность сгруппировать риски по критерию «адреса» — где возникает, а также найти ответственного «владельца рис-ка». А можно использовать также схему цепочки создания стоимости — основных и вспомогательных видов деятельности. При этом логику такой цепочки, на чем бы она не базировалась, целесообразно согласовать внутри организации.
Риски выявляют по их последствиям
При выявлении рисков бизнес-процессов целесообразно основываться на том, что риск как событие представляет собой отклонение от цели или «недостижение» цели.
Цели бизнес-процессов, как правило, не отличаются разнообразием, описаны в стандартах и включают следующее:
- создание стоимости — процесс должен быть экономически эффективен с точки зрения анализа издержек и выгоды;
- сохранение стоимости — процесс направлен на минимизацию издержек, избежание дополнительных издержек (расходы, потери, воровство);
- информационное обеспечение управления — процесс содержит либо формирует обмен информацией в организации (от базовой оперативной информации для принятия решений до формирования финансовой отчетности для (внешних) заинтересованных пользователей);
- управление/ответственность — разграничение полномочий, принятие решений, декомпозиция решений, выполнение;
- соблюдение требований регуляторных норм и законодательства (англоязычный термин «compliance», который переводится как «соответствие»);
- обеспечение безопасности труда и производства.
При формулировании цели бизнес-процесса настоятельно рекомендуется избегать любимого всеми слова «эффективный» и его производных, в данном случае оно весьма абстрактно и поэтому чаще всего — бесполезно. Соответственно, чтобы правильно сформулировать (выделить) риски, имеет смысл разработать типологию их последствий в привязке к целям, например «возникновение неплановых расходов», «непризнание налоговыми органами правильности исчисления базы налогообложения, доначисление налога», «риск несчастного случая на производстве» и т.п. Такой подход позволит группировать (укрупнять риски) по критерию «цель бизнес-процесса, на которую влияет риск» и критерию «типовые последствия».
Поиск причин рисков ведет к выявлению их факторов
Привязка к функциональным направлениям и системам управления позволит выявить и «типовые» причины возникновения рисков — они же факторы риска. Очень важно видеть здесь водораздел между риском и фактором риска: фактор риска (реальность) представляет собой совокупность уже имеющихся обстоятельств и/или явлений, обуславливающих возникновение риска (возможности).
Для целей риск-ориентированного внутреннего аудита поиск причин — не менее важная составляющая работы, чем выявление рисков. Ведь именно недостатки систем управления и организации бизнес-процессов находятся в фокусе интереса внутреннего аудитора. При этом правильное выявление причин — половина успеха дела при формировании и выполнении рекомендаций.
С точки зрения цепочки создания стоимости риски бизнес-процессов могут быть такими:
- «несоздание» стоимости — отсутствие экономической выгоды/маржинальности;
- «несохранение» стоимости — необоснованные издержки;
- искажение информации, отсутствие/несвоевременная информация;
- нарушение принципов управления и законодательства.
Здесь также целесообразно разработать типологию недостатков в привязке к задачам систем управления и целям бизнес-процессов. Например, для подсистемы «организационное развитие» выявленные недостатки (факторы риска) могут быть следующими (включая, но не ограничиваясь):
- отсутствует формально назначенное ответственное лицо/подразделение за результат бизнес-процесса;
- некорректное разграничение/отсутствует разграничение полномочий в рамках бизнес-процесса, размытие ответственности;
- отсутствует регламентация (дизайн) бизнес-процесса;
- отсутствуют контрольные процедуры в бизнес-процессе;
- бизнес-процесс, включая контрольные процедуры, не выполняется и т.п.
Приведенные факторы, в свою очередь, создают такие типовые риски, как, например:
- противоправные либо халатные действия работников в отношении компании (попустительство/мошенничество/взяточничество);
- возникновение незапланированных прямых операционных расходов/дополнительные финансовые издержки;
- наложение на организацию административных штрафов;
- возникновение просроченной дебиторской задолженности/несвоевременное поступление выручки и т.п.
Управление рисками и их оценка основаны на аналитике
Приведенная последовательность работы с рисками позволяет дополнить и конкретизировать широко используемую внутренними аудиторами форму карты рисков бизнес-процессов типовыми признаками:
- «адреса» рисков (подсистемы управления и бизнес-процессы);
- факторы (причины возникновения рисков);
- последствия (события) рисков.
По итогам проводимых аудитов — сформировать консолидированную таблицу из всех карт рисков бизнес-процессов с вышеприведенными типовыми признаками, приведенными на рис. 2. Такая таблица должна обновляться путем исключения карт по итогам прошлых проверок (например, более полутора лет или, альтернативно, по критерию исполнения плана корректирующих мероприятий по конкретной проверке) и добавления новых карт рисков по итогам «свежих» проверок.
При использовании методики контрольных списков и маркеров в таблице с помощью фильтров и группировок можно формировать портфель (пул) рисков для каждого фактора и наоборот — пул факторов для каждого риска и прочую аналитику.
Можно также сделать суммарную оценку риска. Например, в рамках аудиторских проверок разных бизнес-процессов выявлен один и тот же риск «пересмотр налоговыми органами налогооблагаемой базы и доначисление налога». Если речь идет о различных случаях, налогах, суммах, вероятностях — их агрегирование дает совокупный «налоговый» риск, который при этом можно разложить по процессам, причинам его возникновения.
Такой подход позволяет не только формировать аналитику, но и, что важно, обновлять ее со временем, и по мере поступления итогов от новых аудиторских проектов проводить мониторинг в динамике. Аналитика должна отражать изменения, на основе которых можно выявлять тренды, например, со временем суммарная оценка «налогового» риска идет вниз, а суммарная оценка риска «потери данных в учетных системах» движется, возможно, в ином тренде.
Управление рисками бизнес-процессов сродни уборке в доме и всегда «альфа» и «омега» внутренней жизни компании (за исключением разве что законодательных рисков и обес-печения безопасности). При этом необходимо помнить, что любой бизнес переживает циклы в своем развитии. Если компания агрессивно растет и/или находится в благоприятной экономической конъюнктуре, руководство скорее «примет» риски бизнес-процессов, нежели станет отвлекаться на «уборку», излишнюю бюрократизацию и т.п.
Регламентация бизнес-процессов (безусловно, включая контроль и контрольные процедуры) — это область деятельности, в которой рациональное чувство меры является самым верным помощником. Увлечение же созданием корпоративной библиотеки регламентов и политик со многими тысячами страниц текста, не должно становиться самоцелью. Регламентация — средство. Любая компания — живой организм, и бизнес-процессы (и контроль) могут меняться, «вырастая из одежек» регламентов.
А в качестве повода для размышления приведу экспертное мнение о том, что в компании достаточно двух, но хорошо написанных регламентов — Положения о договорной работе и Положения о разграничении полномочий.
Интегрировать риск-менеджмент в ключевые бизнес-процессы
Подводя итоги, охарактеризуем риски бизнес-процессов как:
- внутренние риски организации;
- контролируемые риски организации;
- чистые риски (не должны содержать потенциальной возможности получить «прибыль»/«возможность»).
Такие риски попадают в группу «операционных» рисков, поскольку:
- отличаются от рисков, связанных с человеческим фактором или «технологическим» риском;
- находятся во взаимозависимости и сильном взаимовлиянии.
При определении рисков бизнес-процессов следует выявлять конкретное событие и иметь возможность оценить его последствия. В таком случае оценка рисков возможна, в том числе через статистику «событий». А одним из методов управления рисками бизнес-процессов может стать повышение уровня «социального капитала» в организации и повышение внимания к важности человеческого ресурса.
Вместе с тем карта рисков бизнес-процессов и подсистем управления, равно как и риск-ориентированный внутренний аудит, не может охватить все риски организации (например, связанные с внешними факторами, а также стратегические риски). Сегодня вполне достаточно комбинировать риск-ориентированные внутренний аудит, бюджетный процесс, а также стратегическое и проектное управление в организации, что вполне соответствует логике интеграции риск-менеджмента в ключевые бизнес-процессы.
1 Лучший риск-менеджер 2013 (www.rrms.ru).
2 Federation of European Risk Management Assosiation.
3 www.garp.org