Как выстроить систему работы с корпоративными рисками

| статьи | печать

После кризиса 2008 г. организации различных секторов экономики начали инвестировать в построение эффективной системы управления рисками, осознав значимость и пользу превентивных мер для хозяйственной деятельности. Ведь превентивные меры всегда требуют меньше финансовых и других затрат, нежели объем работ, связанный с улаживанием последствий уже случившегося. Как правильно построить в компании систему управления рисками и наладить процесс управления ими на практике? Своим опытом делится Георгий Адольф, глава отдела по управлению рисками и соблюдению законодательства и внутренних норм «ИКЕА Россия», розничный бизнес1.

Слова «риск» и «риск-менеджмент» известны уже давно, они всегда на слуху, также большинству знакомы их определения. Однако на практике в сознании сотрудников организации риск был либо просто модным словом, либо чем-то, связанным только с проблемами и рабочими моментами, требующими срочного решения. Еще риск ассоциировался только с техническим состоянием дымоуловителей, пожарными спринклерами, скользким мокрым полом, на котором мог поскользнуться сотрудник, протечкой в крыше или ее обрушением из-за толстого слоя снега зимой и т. д. Четкого понимания, что это потенциальное событие в будущем, которое может при своем наступлении нанести ущерб достижению целей компании, проекту, процессу и т. д., не было. Поэтому риском называли либо существующие проблемы, либо нечто слишком административно-рутинного характера. Управление рисками носило разрозненный, дефрагментированный характер, и принимался в основном «ковбойский» подход, то есть проблемы решали по мере их возникновения.

Приведу пример курьезных вопросов и предложений в компаниях, где ранее не было системы управления рисками (СУР) или работа с рисками была не структурирована:

  • у нас снег выпал на заднем дворе офиса, а вы риск-менеджер, почистите снег, пожалуйста, это ведь риск, если сотрудник увязнет в снегу или вывихнет ногу…;

  • у нас пожарный спринклер, кажется, перестал работать. Почините, пожалуйста, это ведь риск, если при пожаре он не сработает, а вы же риск-менеджер…;

  • у нас возникают рабочие проблемы с доставочной компанией Х, а вы же риск-менеджер. Придумайте нам, пожалуйста, все риски в этой области и скиньте на почту список рисков, а мы решим, какие риски вы будете для нас закрывать, а какие не надо трогать;

  • риск корпоративного мошенничества, что это за риск такой? У нас все сотрудники хорошие, так нельзя даже думать, это против нашей корпоративной культуры.

Было много и других курьезных моментов, которые поначалу можно было услышать от разных коллег в организации. При таком понимании рисков роль отдела по управлению рисками (УР) являлась второстепенной, он должен был сам обозначить риски и сам ими управлять. Как только возникала проблема, отдел обязан был в нее вникнуть и сам принять решение. Все остальные отделы должны были заниматься исключительно бизнесом или обслуживать основные бизнес-процессы.

Такая ситуация многим может показаться знакомой, однако она не способствует поступательному успешному и стабильному развитию организации. Проблемы накапливаются обычно в геометрической прогрессии, и маленького отдела управления рисками в определенный момент может не хватить для решения всех проблем, а компанию может ждать неминуемый крах. Поэтому было принято решение взять на вооружение и поддерживать на должном уровне классический подход к управлению рисками в соответствии с моделью CОSО.

Выработали единое понимание СУР и приступили к конкретным действиям

Чтобы выяснить, как высшее руководство и рядовые сотрудники разных уровней понимают основы системы управления рисками (СУР) и в чем нуждаются в этой области, провели опрос и проанализировали полученные ответы. Оказалось, что наряду с примитивным пониманием СУР многие были солидарны в желании иметь стабильную работу, безопасное рабочее место и окружение для клиентов и посетителей, стабильную и растущую зарплату, карьерное развитие. При этом все хотели достигать стратегических и операционных целей компании в финансах, маркетинге и других областях и постоянно чувствовать гордость и принадлежность к бренду работодателя.

Итак, настало время действовать. Вначале нужно было удостовериться, что в команде существует единое понимание СУР, и выяснить, что необходимо развить и улучшить в компании. И только затем приступать к плану по улучшению или внедрению СУР. Если такого понимания нет или существует недостаточная компетенция, необходимо поработать со своей командой, поскольку она является вашей опорой.

Отдел начал с регулярных выступлений на операционных и стратегических встречах в компании, проведения рабочих и обучающих сессий, направленных на правильную коммуникацию для создания СУР. При этом особое внимание уделили значимости такой системы и ответственности за управление рисками (каждый сотрудник должен чувствовать ответственность за управление рисками на своем уровне). Тесно общались и с высшим руководством, чтобы понять и скорректировать их ожидания в нужный момент, показать выгоду от СУР, ведь она у каждого своя. Для высшего руководства она состоит в увеличении продаж, репутации компании и сокращении затрат, для отдела по управлению персоналом и оплаты труда — в сохранности сотрудников и их карьерном развитии, для маркетинга — в увеличении клиентской базы и доли рынка и т. д. Выбирая собеседника, необходимо понять фокус, какую из выгод от СУР подчеркнуть во время презентации или встречи.

После обучающих и ознакомительных сессий наступило время сбора информации о рисках и создания риск-регистра. Делать это можно двумя путями:

  • начать с высшего руководства и спускаться до более детальных вещей, а потом ожидать подтверждения высшим руководством идентифицированных и оцененных рисков;

  • начать с менеджмента среднего звена и ключевых членов их команд, собрать регистры по каждому отделу, а потом консолидировать регистры в один на всю страну (весь бизнес) и презентовать высшему руководству для дискуссии и подтверждения.

Дабы не делать двойную работу с высшим руководством, был выбран второй подход. Рабочие сессии (work shops) по управлению рисками планировались заранее, участникам встречи высылались краткие выжимки по теории и глобальному корпоративному походу к СУР. Кроме того, было предложено подумать о вкладе функциональной стратегии или стратегии департаментов в общую стратегию компании и определить каждому участнику минимум пять ключевых рисков из своей области, которые могут помешать достигнуть стратегических целей.

Чтобы по максимуму охватить «видимые» риски и сделать рабочие сессии эффективными, решили пригласить из отдела не более 10—15 сотрудников, мыслящих как стратегически, так и оперативно. Об этом должны были позаботиться начальники отделов.

Разработали карту рисков и составили на них паспорта

Первую рабочую сессию по идентификации и оценке рисков планировали максимум на четыре часа. Ее разбили на несколько сессий: ознакомление с СУР и ее ключевыми параметрами, правильное описание и формулировка риска (особое внимание), групповое упражнение по идентификации рисков (стандартные стикеры от каждого участника по пяти крупным рискам), оценка рисков всей группой (экспертная оценка, а где возможно — количественная оценка в деньгах) и наклеивание рисков на распечатанный образец карты рисков на бумаге формата А1 для визуализации. Параллельно второй модератор записывал риски в регистр рисков на компьютере. После описания мер: принятие риска, переложение его на третью сторону, уменьшение риска или полное его предотвращение (четвертая часть сессии) — определили владельца риска и ответственного за планы по осуществлению мер по управлению каждым риском.

Самое главное — в начале первой рабочей сессии привести всех участников к единому уровню знания о рисках и пониманию методологии управления рисками, которую обновляем в компании или создаем. Необходимо также понимать, насколько группа готова применять и использовать математические модели по оценке рисков. На начальном этапе лучше начать с упрощенных методов. Когда понимание об управлении рисками становится более доступным большему числу участников, с развитием СУР в компании можно постепенно приходить к более интересным математическим моделям оценки рисков. Чем проще и доступнее понимание системы управления рисками, тем больше желание у коллег из различных отделов стать частью этого процесса, управлять определенными рисками и отвечать за них.

Перед завершением рабочей сессии договорились, что ответственные за риски проработают детальные планы с датами для их совместного отслеживания на регулярных встречах. Поскольку управление рисками — процесс цикличный, договорились также ежеквартально обсуждать результаты работы в каждом отделе и отчитываться в проделанной работе перед высшим руководством. На каждой встрече оценивается динамика рисков по степени вероятности их возникновения и потенциальному масштабу ущерба, а также возможность появления новых рисков или причины закрытия старых (зависит от успешности внедрения мер по управлению определенными рисками).

По результатам проведенных сессий со всеми отделами все регистры собрали в один, убрали повторяющиеся риски, агрегировали похожие, выбрали самые крупные по рейтингу, которые затем попали в корпоративную карту рисков (топ-15) и на которые завели паспорта рисков для более детальной проработки крупных стратегических рисков (см. рисунок). Паспорт риска содержит детальную информацию о риске: когда он был идентифицирован (дата его «рождения»), при каких обстоятельствах (что послужило его появлению, контекст), почему это риск, как он может повлиять на наш бизнес, какие процессные контроли уже есть и почему их недостаточно для предотвращения данного риска, что необходимо предпринять, кто ответственный и какие сроки по коррективным мерам и т. д.


Затем карта рисков была представлена высшему руководству, которое дало свои комментарии и видение. Это была хорошая возможность добавить потенциально упущенный крупный риск или убрать нерелевантный и т. д.

С картой рисков и паспортами основных рисков нужно работать на регулярной основе, здесь важно отслеживать динамику каждого из крупных стратегических рисков и соответствующие мероприятия. Если рейтинг риска на карте не изменяется или увеличивается, то встает вопрос: кто за него отвечает и что делаем не так или почему что-то не делаем для снижения его рейтинга?

Самый хороший период для идентификации рисков и создания планов по их управлению — это период бюджетирования, поскольку некоторые коррективные меры могут потребовать определенных финансовых или человеческих ресурсов, а порой и организации целого проекта, чтобы уменьшить рейтинг риска или полностью его убрать.

ИТ-подход позволяет быстро принимать бизнес-решения

Информационные технологии помогают и упрощают процесс работы с рисками, они способствуют более доступному пониманию управления рисками и делают его более прозрачным для участников. Также ИТ содействуют более быстрому принятию бизнес-решений и высвобождению дополнительного времени у экспертов по управлению рисками, которое они могут уделить аналитике вместо заполнения множества риск-регистров и другой административной документации.

По автоматизации процессов управления рисками существует большое количество разных интересных продуктов, которые предлагают все большее число консалтинговых компаний. Однако некоторые из таких продуктов сравнимы с усовершенствованными электронными таблицами Excel. Поэтому важно четко определиться, что нужно, какие конкретно операции по управлению рисками необходимо автоматизировать, какие нужды в этой области должна удовлетворить программа. Программу необходимо выбирать с прицелом на будущие тренды, чтобы иметь возможность расширить ее в дальнейшем модулями по комплайенсу, управлению чрезвычайными инцидентами, антимошенническими индикаторами и т. д.

Мы начали со старого доброго Excel, в котором многое можно автоматизировать, умело владея макросами. Однако сейчас полным ходом идет внедрение корпоративной глобальной автоматизированной платформы, которая поможет автоматизировать отчетность по системе управления рисками и циклический процесс управления рисками. Платформу выбирали из двух возможных iRisk и ControlRisk.

С точки зрения других полезных утилит постоянно мониторим рынок, смотрим на внутренний электронный вопросник компании на основе интранета и планируем внедрить в этом году программу (GIZMO Survey, аналогов которой пока нет).

Ее можно поставить как на компьютер, так и на смартфон, и она позволяет участникам рабочих сессий по упралению рисками лучше подготовиться к ним, оценивать риски в приложении, где данная информация в дальнейшем автоматически генерируется и поступает в отдел по управлению рисками. Появляется удобная визуализация карты рисков, которую мы намерены распечатывать или выводить на экран перед циклической сессией, где участники договариваются о рейтингах, а также новых или закрытых рисках. Программа очень хорошо помогает в ходе проведения циклических встреч, экономит время организаторов и участников. Однако с точки зрения общего процесса по управлению рисками для этих целей будем использовать платформу.

Модель трех линий защиты

Институт внутренних аудиторов опубликовал в 2013 г. модель трех линий или степеней защиты в организациях. Эта модель очень хорошо описывает, как нужно строить в организации СУР и систему внутренних контролей (СВК) с учетом современных вызовов.

Данная модель имеет большое практическое применение, однако, если ее начать внедрять в организации, где СУР пока не достигла должного уровня зрелости, можно столкнуться с психологическим отторжением и даже в каких-то моментах противодействием со стороны руководства и специалистов. Тем не менее, выстраивая СУР, необходимо заранее обучать коллег и говорить им о такой модели и предварительно раскрывать ее пользу.

На первой линии защиты в модели находится руководство организации и сотрудники, отвечающие за определенные бизнес-процессы. Эти персонажи напрямую вовлечены в процесс управления рисками и отвечают за это, а также создание и управление внутренними контролями, внедрение определенных корректирующих мер и т. д.

На второй линии стоит отдел, выполняющий управленческую и наблюдательную функции в данной области и комплайенсе. Как правило, это отделы по управлению рисками, соблюдению законодательства и внутренних норм (комплайенс) и/или внутреннего контроля. Эксперты на этой линии защиты должны содействовать, подобно внутренним консультантам, коллегам первой линии защиты по всем вопросам: делиться знаниями, экспертизой, осуществлять мониторинг и поддержку их деятельности, направленной на управление рисками и усиление или поддержку внутренних контролей, и при этом оставаться независимыми от операционной деятельности.

На третьей линии находятся внутренние и/или внешние аудиторы, которые дают независимую оценку напрямую высшему руководству и совету директоров о состоянии бизнес процессов, а также контрольных механизмов компании и СУР.

Согласно приведенной модели, наш отдел находится на второй линии защиты, и на этапе становления СУР в компании ему приходится выполнять очень много дополнительных функций. Это связано с общим пониманием процессов по управлению рисками в компании, которое сводится к тому, что риск-менеджер должен делать все сам. В дальнейшем, с приходом правильного понимания процессов по управлению рисками и внутренними контролями, все больше ответственности и инициативы будет исходить от руководства и ответственных лиц за бизнес-процессы. Однако для успешного функционирования современной компании необходимо постепенно двигаться в направлении разграничения правил игры, поскольку в различных отделах такое понимание приходит в разное время, у кого-то быстрее, у кого-то медленнее.

Новая корпоративная культура как результат

Самым главным результатом внедрения четко структурированной СУР в компании является правильное понимание высшим руководством и сотрудниками процесса управления рисками, а также повышенное внимание к данному процессу. На практике это проявляется в том, что многие отделы перед началом какого-либо проекта стали обращаться за помощью в отдел по управлению рисками. Они просят организовать для них рабочую сессию и модерировать ее, помочь с дальнейшими консультациями в оценке управления рисками в их отделе/проекте, дополнительном просмотре проекта договоров с крупными поставщиками или заказчиками и т. д.

Для определенных критических рисков в компании стали создаваться планы непрерывноcти бизнеса (Business Continuity Plans), речь идет о самых критических для хозяйственной деятельности процессах, например, отказ в работе касс, что особенно важно для ретейл-сектора. Если такое случится, что мы можем заранее запланировать, чтобы сразу/автоматически активировать план «Б», чтобы процесс оплаты товара не приостановился и покупатели не испытывали неудобства? По таким рискам, как террористическая атака в магазине, тоже прорабатываются планы, а глобальный тренинг Run-Hide-Tell (беги-прячься-сообщай) сейчас внедряется в компаниях по всему миру. На случай, если вовремя не был проработан риск приостановки работы ИТ-инфраструктуры, ежегодно прорабатываем и тестируем план по восстановлению после чрезвычайных ситуаций (Disaster Recovery Plan), и в целом руководство и сотрудники компании стали более оптимистично воспринимать план по управлению кризисными ситуациями (Crisis Management).

Бонусом успешно внедренной и функционирующей в компании СУР является изменение культуры в организации, она становится более предусмотрительной. Сотрудники начинают сознательно выполнять работу на своем уровне и задумываться о потенциальных последствиях неправильных шагов, взвешивая риски, что непременно ведет к снижению количества чрезвычайных ситуаций и связанных с ними репутационных и финансовых потерь, а также потерь рабочего времени.

1 Автор статьи имеет многолетний опыт работы в международных крупных компаниях, ведущих свой бизнес и в Российской Федерации.