Управление рисками в российских компаниях

| статьи | печать

Непредсказуемость внешней среды, сложность операционных, финансовых, инвестиционных процессов, растущие киберугрозы вынуждают компании вне зависимости от размера и отрасли выстраивать свою систему управления рисками. Тем ценнее опыт, которым поделились профессионалы в области управления рисками на конференции, организованной порталом CFO-Russia.ru и группой Prosperity Media при информационной поддержке «ЭЖ». О некоторых вопросах, обсуждавшихся на конференции, расскажем в нашей статье.

Оценке рисков и методам их управления уделяется все больше внимания в российских компаниях. По мнению большинства экспертов, одной из самых ценных компетенций риск-менеджера является его способность к коммуникации, заключающаяся в умении работать с владельцами рисков, сотрудниками различных подразделений и в способности обратить внимание руководства на самые важные виды рисков. Пока трудно говорить о том, насколько риск-менеджмент как функция прижился в малом и среднем бизнесе, где чаще речь идет о выполнении сотрудниками разных отделов и/или непосредственно руководителями отдельных задач по управлению рисками. Более системный подход и выделенные подразделения риск-менеджмента может себе позволить крупный бизнес. Но вне зависимости от размера в современных непростых экономических реалиях для большинства российских компаний роль риск-менеджмента становится все более значимой, а полномочия этих специалистов существенно выросли за последние годы.

Позиционирование риск-менеджера в российских компаниях

В ходе конференции участники обсудили ряд вопросов, связанных с ролью и местом риск-менеджеров в компаниях. Идеальная модель организации, под которой многие эксперты понимают непосредственное подчинение высшему руководству (генеральному директору), встречается не всегда. Здесь возможны варианты, например, подчинение риск-менеджмента руководителю финансовой службы, что может иметь как плюсы, так и минусы. К плюсам можно отнести то, что риски в любом случае оцениваются в монетарных показателях и так или иначе бюджетируются; к минусам можно отнести нарушение независимости риск-менеджеров и возможные конфликты.

На вопрос «Как изменились ваши полномочия в компании за последние 10 лет?» ответы участников конференции распределились следующим образом:

  • полномочия расширились — 90%;

  • не изменились — 0,05%;

  • сократились — 0,05%.

Как показал опрос, меньше половины российских компаний имеют в своей организационной структуре самостоятельный департамент по управлению рисками. Так, на вопрос о существовании департамента ответили:

  • «да» — 35%;

  • функционал по риск-менеджменту входит в состав другого департамента — 40%;

  • функционал по риск-менеджменту распределен между несколькими департаментами — 25%.

На вопрос «Существует ли четкое разграничение зон ответственности между риск-менеджерами и специалистами по внутреннему контролю и аудиту в компании?» утвердительно ответили 70% экспертов. Высказывались мнения, что система внутреннего контроля (СВК) является частью системы управления рисками (СУР) и если СВК хорошо выстроена, то это облегчает построение эффективной СУР.

В настоящее время крупные компании, понимая важность управления рисками, разрабатывают целостную СУР. Если еще 10 лет назад было достаточно сформировать список рисков и на их основе построить матрицу рисков (реестр), то сейчас этого уже мало. Системность подразумевает встроенность СУР в систему управления компании в целом: должен быть задан полный управленческий цикл, описана методология, разработан корпоративный стандарт (положение), стратегия управления рисками становится частью общей стратегии предприятия. Все ключевые процессы анализируются с точки зрения рисков и бюджетируются. При таком системном подходе риск-менеджеры участвуют во всех комитетах: инвестиционных, бюджетных и др. Кроме того, весь персонал становится более риск-ориентированным: в идеале каждый сотрудник понимает свои цели и задачи в общей СУР, то есть должны быть выделены все так называемые владельцы рисков. В связи со стремлением к риск-ориентированности задача риск-менеджера во многом приближается к задаче бизнес-тренера: развитие риск-культуры и обучение сотрудников методологии управления рисками выходят на первый план. За риск-менеджерами остаются глобальные задачи: контроль и анализ общих рисков и основных тенденций, важных для бизнеса, идентификация новых рисков. Российские риск-менеджеры часто упоминают концепцию управления рисками COSO, для отечественных компаний она носит справочный характер и может использоваться как дополнительный источник информации по выстраиванию СУР.

Инструменты оценки рисков в зависимости от их видов

Человеческий мозг не приспособлен к вероятностному мышлению. Люди склонны переоценивать вероятности редких событий и недооценивать вероятности частых, зачастую они делают выводы на основе немногочисленных наблюдений (чаще всего двух или трех). В то же время для минимизации влияния этих заблуждений необходима количественная оценка, которая выражается в оценке вероятности и возможного ущерба. Одним из способов управления рисками является их осознанное принятие. Менеджмент может решить принять некоторые риски, затраты на управление которыми неоправданно велики или которые невозможно снизить в принципе (например, некоторые риски внешней среды). В этом случае в бюджет должен быть включен определенный резерв или же будущие поступления должны быть уменьшены на величины возможных потерь от принятых рисков. Это позволяет повысить точность бюджетирования и вовремя нейтрализовать последствия реализации рисков. Мера риска должна быть полностью совместима с финансовыми показателями, используемыми в процессе бюджетирования. С точки зрения методологии их оценки Александр Красильников, начальник отдела управления рисками компании МТС, выделяет следующие основные группы рисков:

  • финансовые,

  • операционные,

  • комплаенс,

  • регуляторные,

  • внешней среды.

Для оценки финансовых рисков применяются различные модели на основе случайных процессов, калибровка модели производится эконометрическими методами на основе статистики. Вопросы и проблемы, возникающие в процессе оценки финансовых рисков, могут быть разными, например, оценка и учет корреляций в случае мультивалютного портфеля, глубина выборки.

Для оценки операционных рисков рекомендуется организовать систематический сбор данных о сбоях и потерях за длительный период, а затем оценить распределение потерь по периодам. Здесь могут возникать вопросы о количестве наблюдений в выборке, о характере выборки (например, ее однородности). По мнению Александра Красильникова, если наблюдений меньше 30, необходимо исходить из обоснованных предположений относительно вида распределения. Часто делается предположение о нормальном характере распределения, хотя практика показывает, что вариантов распределения может быть много. Также возникает вопрос об оценке стоимости единицы времени простоя.

Необходимость учета так называемых комплаенс-рисков также приводит к развитию методов их оценки. Например, можно использовать такие инструменты, как скоринговая модель для оценки эффективности существующей модели, сценарный анализ (например, для штрафных санкций), построение дерева решений (с отражением последствий нарушений и соответствующих вероятностей).

Для оценки регуляторных рисков может применяться оценка распределения принятия того или иного законопроекта, оценка сценариев последствий изменений в законодательстве, построение интегрального распределения методом Монте-Карло. Необходимо оценивать распределение ущерба совместно с бизнес-подразделениями в зависимости от сферы регулирования законопроекта.

Что касается рисков внешней среды, то в случае их единовременного характера могут применяться подходы, аналогичные подходам для оценки регуляторных рисков. В случае повторяющегося риска (например, отток абонентов) рекомендуется задавать вероятности реализации риска в каждый момент в виде набора независимых случайных величин. В каждый момент оценивается ущерб в случае реализации риска, за период оценивается кумулятивный ущерб. Для этих рисков возникает необходимость оценки возможной корреляции реализации рисков в зависимости от периода.

Для оценки рисков и их визуализации вполне годится простой набор инструментов, например, на базе Excel, который также позволяет осуществлять имитационное моделирование рисков.

Что касается абсолютно универсальных инструментов для управления рисками, то, как показала конференция, всеми компаниями давно и успешно используется такой простой инструмент визуализации и оценки рисков, как матрица (реестр) рисков. У некоторых компаний есть собственные ИТ-разработки для формализации работы с матрицей рисков.

Как оценить эффективность риск-менеджмента

Одной из важнейших задач внутреннего аудита компании является оценка эффективности системы риск-менеджмента. Она необходима по целому ряду причин: для обеспечения интересов собственников и акционеров, для контроля деятельности, соблюдения стандартов внутреннего аудита, для выявления проблемных областей и принятия необходимых мер. Подходы к оценке системы могут быть разными. Об оценке СУР на основе модели COSO рассказал Александр Казаринов, директор по внутренним контролям и оценке рисков компании «Полиметалл». Для начала необходимо определиться — что понимается под эффективной СУР. Прежде всего, это получаемые на регулярной основе отчеты менеджмента о рисках и об управлении ими, которые должны быть достоверными. Кроме того, должно выполняться требование: остаточный уровень ключевых рисков находится в рамках риск-аппетита. При этом признаками существования самой системы риск-менеджмента (РМ) являются:

  • наличие всех элементов РМ;

  • РМ организован на всех уровнях компании;

  • управляются все ключевые риски.

В основу оценки можно заложить основные компоненты согласно концепции COSO, а затем оценивать их различными способами в разрезе подразделений или бизнес-процессов, например путем опроса.

Наличие и функционирование системы РМ в компании, по мнению Александра Казаринова, лучше оценить с помощью опроса ключевого менеджмента на всех уровнях. Вопросы, включенные в опрос, должны затрагивать все области РМ. Список респондентов выбирается руководством. На всех уровнях управления и по всем ключевым бизнес-процессам следует использовать единую шкалу оценки ответов. Затем полученные ответы ключевого менеджмента необходимо взвесить в соответствии с методикой и рассчитать средневзвешенные значения каждого утверждения, которые группируются в компоненты по COSO. В свою очередь, по сгруппированным утверждениям также рассчитать средневзвешенные значения в разрезе компонентов и ключевых бизнес-процессов. Утверждения, вызвавшие наиболее сильный резонанс респондентов, стоит исключить из подсчета средних значений (см. табл. 1). Результат оценки может для лучшей визуализации подсвечиваться цветом на основе оценки по шкале, например:

  • темно-зеленый цвет (больше чем 1,5 балла) — РМ сильный;

  • светло-зеленый (больше 1, но меньше 1,5) — РМ на хорошем уровне;

  • желтый (больше 0, но меньше 1) — необходимо уделить внимание РМ;

  • красный (меньше 0) — необходимо предпринять комплекс мер по РМ.

Пример обработки ответов по оценке функционирования системы риск-менеджмента (таблица 1)*

№ вопроса

Утверждение

Компонента по COSO

Результат (с выделением цветом)

Нет (–2)

Скорее нет (–1)

Скорее да (+1)

Да (+2)

Не знаю (0)

12

Ответственность за выявление, анализ и управление рисками закреплена в регламентирующих документах, положениях о подразделении, должностных инструкциях

Контрольная среда

1,72

0

–1

5

46

0

24

Цели, поставленные перед вашим подразделением, могут быть измерены

Оценка рисков

1,21

–4

–3

5

36

0

52

Для вашего подразделения установлены критерии определения критичности и вероятности рисков

Контрольная среда

0,66

–12

–2

6

26

0

Пример

По компоненте «оценка рисков».

Предположим, что опрошено 28 человек — их ответы в баллах разнесены в табл. 1, суммируем баллы результатов опроса и получаем 34 балла, в среднем оценка получается 34 : 21 = 1,21 и заносится в колонку «результат» (в данном случае результат на хорошем уровне и попадает в «зеленую зону»).

Оценка результатов функционирования РМ происходит в несколько этапов:

— владельцы рисков на уровне предприятий и филиалов выполняют регламентированные процедуры РМ и размещают отчеты в корпоративной сети;

— владельцы рисков на уровне компании оценивают ежеквартально остаточный уровень ключевых рисков;

— внутренний аудит осуществляет выборочную проверку данных отчетов об управлении рисками;

— внутренний аудит докладывает руководству компании свое мнение о результатах тестирования;

— владельцы рисков на уровне группы ежеквартально представляют информацию о выполнении KPI;

— внутренний аудит проводит регламентированные операции и убеждается в обоснованности расчетов и выполнении KPI;

— внутренний аудит анализирует отчеты других контрольных подразделений компании, внешних поставщиков гарантий;

— результаты оценки представляются руководству.

Результат может быть визуализирован по процессам в табличной форме (см. табл. 2) и схематично (пример, рисунок).


К преимуществам такой методики оценки эффективности риск-менеджмента, по мнению Александра Казаринова, можно отнести то, что:

  • применяется системный подход к оценке;

  • методика подходит как для компании в целом, так и для отдельных бизнес-единиц и процессов;

  • учитывает мнение широкого круга управленцев;

  • в ее основе заложены формализованные процедуры.

Есть у данного подхода и некоторые недостатки, но идеальных методов вообще не существует, просто надо принимать во внимание и минимизировать минусы. В некоторых процессах РМ имеет отличия, единый подход к оценке может негативно повлиять на ее обоснованность. Необходимо совершенствовать методику проведения опроса. И любые ответы суть субъективные оценки людей, поэтому ответы менеджеров могут быть необъективными и недостоверными.

Пример представления результатов оценки риск-менеджмента по ключевым процессам (таблица 2)*

COSO компоненты

Бизнес­процессы (оценки в баллах и с выделением цветом по шкале)

1

2

3

4

5

6

7

Контрольная среда








Оценка рисков








Контрольные процедуры








Информация и коммуникации








Мониторинг








Общий рейтинг (оценка в баллах)








Как распределить ответственность по межфункциональным рискам

Многие риски возникают на стыке работы подразделений, выполнения функций или реализации бизнес-процессов. Помимо риск-менеджеров в управлении рисками существенную роль также играют владельцы рисков и владельцы процесса, возникает необходимость в их слаженной командной работе для эффективного решения задач. По мнению Андрея Иванова, директора по контролю стандартов управления проектами Группы компаний «Стройтрансгаз», владелец процесса — это наиболее заинтересованный в результате сотрудник. Владелец риска — сотрудник, наиболее способный к управлению риском в силу того, что обладает большей информацией и может ее лучше использовать, а также способный смягчить риск (например, страховать его). Для слаженной работы команды и решения задач управления межфункциональными рисками Андрей Иванов рекомендует ряд мер, например:

  • измерять эффект от управления рисками в деньгах;

  • «делить прибыль» с командой, в том числе по обоснованно не наступившим рискам;

  • ввести практику скорректированной на риск чистой прибыли для целей премирования;

  • разработать стандарт распределения полномочий и ответственности.

Многие эксперты считают, что наиболее эффективным подходом, позволяющим задействовать максимальное количество владельцев рисков, владельцев процессов, — это анализ «снизу вверх», то есть на операционном уровне сотрудники описывают риски, связанные с их деятельностью. Затем на верхнем уровне руководства риски обобщаются, анализируются и доводятся в более формализованном виде до нижних уровней с перечнем мер по их эффективному управлению (процесс «сверху вниз»). По аналогии это напоминает метод встречного планирования. Возможен и вариант, когда сначала на верхнем уровне разрабатывается общее видение рисков и затем владельцы процессов и рисков на более низких уровнях уточняют виды рисков и предлагают меры по их снижению (избеганию, принятию). Такой подход позволяет существенно повысить качество работы по управлению рисками и заинтересовать всех сотрудников.

Опрос специалистов показывает, что большинство российских компаний осознают важность определения владельцев рисков. Так, на вопрос «Формализован ли процесс определения владельцев рисков в вашей компании?» 75% респондентов ответили положительно. При этом на вопрос «Кто осуществляет контроль уровня риска?» ответы распределились следующим образом:

  • владелец риска — 33%;

  • риск-менеджер — 17%;

  • владелец риска и риск-менеджер — 50%.

Хотя выборку нельзя считать репрезентативной, в силу того, что респондентами выступили только участники конференции, и в основном — представители крупных компаний, все же ответы демонстрируют общий тренд: бизнес понимает необходимость в более риск-ориентированном подходе, налицо стремление к задействованию всех ключевых функций (сотрудников, процессов) в системном управлении рисками.

***

Ценность риск-менеджеров состоит в предоставлении руководству независимой оценки по рискам, о которых руководство не знает или имеет смутное представление, а также бюджетирование этих рисков, то есть финансовая оценка их последствий и определение необходимых резервов. Владельцы рисков не могут видеть всю картину в целом, поэтому функция риск-менеджмента необходима, но при этом каждое подразделение (бизнес-функция) может иметь перечень своих рисков, оценивать их в силу владения информацией и необходимым уровнем операционных компетенций, выступая в роли экспертов. За риск-менеджерами остаются задачи обобщения рисков и координация управления ими. В связи с возникновением большого количества рисков на стыке функций и бизнес-процессов координационная задача выходит на первый план.

К сведению

Риск-аппетит — предельно допустимый уровень риска, на который готово пойти руководство компании для достижения своих целей и реализации стратегии.

Концепция управления рисками COSO — разработана Комитетом организаций-спонсоров Комиссии Тредвея (англ. The Committee of Sponsoring Organizations of the Treadway Commission, COSO), добровольной частной организацией США. В 2004 г. COSO опубликовал «Концептуальные основы управления рисками организаций» (существуют и более поздние версии) для использования менеджментом компаний при оценке системы управления рисками и ее дальнейшем усовершенствовании.

* Таблицы 1 и 2, а также рисунок — по материалам доклада Александра Казаринова, директора по внутренним контролям и оценке рисков компании «Полиметалл».