Внутренние и внешние условия деятельности предприятий меняются все более динамично, поэтому необходимо комплексно решать вопросы по управлению рисками. Об одном из подходов на конкретном примере рассказывает Наталья Алиасхабова, начальник отдела риск-менеджмента АО «Объединенная зерновая компания».
Процесс управления рисками в организации стал неотъемлемой частью деятельности, обеспечивающей существование того или иного бизнеса. Классическая модель управления рисками, являющаяся лишь частью корпоративного управления, из года в год теряет свою ценность и актуальность. Риски возникают на всех этапах цепочки создания стоимости и в каждом бизнес-процессе организации. Следовательно, чтобы система способствовала достижению поставленных перед организацией целей, она должна быть интегрирована в бизнес-процессы организации и транслирована на все уровни принятия решений.
Таким образом, интегрированная система управления рисками подразумевает под собой целесообразное объединение материальных, интеллектуальных, информационных и других ресурсов организации для выявления, оценки и прогнозирования рисков, влияющих на достижение стратегических и операционных целей организации.
Интегрированная система управления рисками: важные характеристики
Ключевые особенности интегрированной системы управления рисками можно сформулировать с помощью следующих утверждений:
-
управление рисками осуществляется на всех уровнях и во всех бизнес-процессах;
-
управление рисками — задача и ответственность каждого сотрудника.
На практике такая система представляет собой процесс, представленный на рис. 1. Риск возникает в определенном бизнес-процессе, и управление этим риском осуществляется работниками в рамках своей деятельности. Таким образом, риски на уровне бизнес-процессов своевременно выявлены и идентифицированы. По результатам идентификации рисков определяются необходимые мероприятия по их предупреждению. Каждый идентифицированный риск покрывает тот или иной драйвер достижения стратегической цели компании, что позволяет этому драйверу быть достигнутым. И в конечном результате создаются условия для достижения стратегических целей компании.
Приведу практический пример функционирования интегрированной системы «сверху вниз» (рис. 2).
Установлено, что одной из стратегических целей организации является «развитие инфраструктуры зернового рынка». Для того чтобы указанная цель была достигнута, целесообразно определить драйверы (индивидуальные и общие) ее достижения. В результате проведенного анализа было установлено, что основными индивидуальными драйверами являются «увеличение мощностей по перевалке сельскохозяйственных грузов» и «строительство экспортно-импортного комплекса по перевалке сельскохозяйственной продукции». Также были выделены общие драйверы достижения стратегических целей организации (влияют на все стратегические цели организации), а именно, «непрерывная инфраструктура», «принятие верных управленческих решений», «влияние геополитического фактора», «благоприятные рыночные условия», «влияние человеческого фактора» и т.д. После того как все индивидуальные и общие драйверы достижения стратегической цели определены, начинается процесс выявления рисков этих драйверов. Итогом реализации процесса выявления и анализа рисков драйверов достижения стратегических целей является «покрытие» всех драйверов рисками. Например, драйвер «благоприятные рыночные условия» взаимосвязан с такими рисками, как «ухудшение рыночной конъюнктуры» и «валютный риск». Управление «валютным риском» лежит в зоне ответственности финансового блока, в частности, управление валютными остатками и заключение сделок хеджирования. Таким образом, эффективность и результат работы финансового блока по снижению влияния валютного риска способствует достижению стратегической цели.
Основные задачи и процедуры по построению целостной системы управления рисками
Как было сказано выше, для того чтобы внедрить интегрированный подход, необходимо решить две ключевые задачи:
-
Управление рисками осуществляется на всех уровнях и во всех бизнес-процессах (то есть с точки зрения компании в целом).
-
Управление рисками — задача и ответственность каждого сотрудника.
Для того чтобы организовать процесс управления рисками на всех уровнях и во всех бизнес-процессах, необходимо организовать все формальные процедуры для внедрения и развития системы, а именно:
-
разработать нормативную документацию по управлению рисками и закрепить зоны ответственности;
-
провести мероприятия по выявлению и оценке рисков с целью формирования «карты рисков» организации;
-
создать структурное подразделение по управлению рисками либо назначить лицо, ответственное за внедрение и сопровождение процесса в организации;
-
организовать обучение управлению рисками, настроить коммуникации между подразделениями по вопросам управления рисками и т.д.
Выполнение первой задачи позволит обеспечить функционирование системы на корпоративном уровне. Этот этап так или иначе проходят все компании, в которых существует классическая система управления рисками. Однако такая система является скорее «информационной», нежели «рабочей». Она способствует вынесению соответствующих сведений о рисках компании на рассмотрение органов управления, но не позволяет управлять рисками в режиме реального времени и на более низком уровне.
Как мотивировать сотрудников участвовать в управлении рисками
На мой взгляд, намного сложнее решить вторую задачу, а именно: донести до персонала, что управление рисками — это задача и ответственность каждого работника компании. Чтобы решить указанную задачу и достичь поставленной цели, необходимо мотивировать работников управлять своими рисками и участвовать в процессе. В моей практике эффективность продемонстрировали следующие шесть шагов (этапов) по решению данной задачи:
1. Убедить работников организации в том, что риск-менеджмент — эффективный инструмент для отстаивания своих интересов.
У работников не будет мотивации управлять своими рисками, если они не понимают и не верят в полезность риск-менеджмента, в частности, в полезность для конкретного сотрудника. Для этого можно продемонстрировать полезность системы управления рисками на примере взаимосвязи «карты рисков» и бюджета. Если заложить расход на то или иное мероприятие в бюджет и зафиксировать его в «карте рисков» в качестве мероприятия по нивелированию риска, то вероятность несогласования заложенного расхода (в случае перестановки приоритетов руководством) значительно снижается.
Например, финансовая служба осуществляет мероприятия по снижению влияния «валютного риска» на деятельность компании. Совет директоров утвердил в составе «карты рисков» применение инструментов хеджирования с целью снижения влияния валютного риска. Руководитель финансовой службы понимает, что неплохо было бы организовать обучение в части хеджирования. Поэтому он закладывает расходы на обучение в бюджет следующего года, а также фиксирует в «карте рисков» обучение в качестве мероприятия по снижению риска (рис. 3).
В течение наступившего бюджетного года вышестоящее руководство планирует не согласовывать обучение хеджированию и направить данные заложенные денежные средства на другие цели — предположим, поездку на конференцию другого сотрудника.
Однако, принимая такое решение, руководство учитывает, что его действия приведут к невыполнению мероприятия по снижению риска и данная информация будет озвучена на совете директоров. Следовательно, руководству легче не отклоняться от запланированного мероприятия и выделить деньги на конференцию из другой статьи бюджета. Таким образом, цель руководителя финансовой службы в части прохождения обучения по применению инструментов хеджирования достигнута.
2. Увязать ответственность за управление рисками с ключевыми показателями эффективности.
Ключевые показатели эффективности (КПЭ) были, есть и будут основным инструментом, определяющим эффективность работы руководителя/подразделения/работника. Привязка КПЭ к рискам позволит повысить эффективность процесса и увеличить вовлеченность в него каждого сотрудника. Приведем примеры некоторых КПЭ:
-
количество невыполненных мероприятий за год, утвержденных в «карте рисков»;
-
количество реализовавшихся рисков из числа невыявленных;
-
количество неисполненных мероприятий по снижению вероятности реализации риска, с негативным прогнозом (высокая вероятность реализации);
-
своевременное предоставление информации по рискам.
3. Наделить комитет по рискам полномочиями принимать управленческие решения по операционным вопросам.
Важным шагом на пути к интегрированной системе управления рисками является создание рабочего органа (комитета по рискам), не только рассматривающего «отчеты по рискам», но и принимающего управленческие решения по основным операционным вопросам. В данный орган должны входить представители ключевых бизнес-процессов. Это позволит принимать все важные решения с учетом не только заключений риск-менеджмента, но и ключевых бизнес-направлений, обеспечивая таким образом детальную проработку каждого принятого решения. Зона ответственности и основные функции комитета по рискам представлены на рис. 4.
4. Продемонстрировать связь каждого риска с достижением стратегических целей.
Данный шаг позволит «прочувствовать» участие каждого работника в достижении стратегических целей компании (рис. 5). Эта информация полезна как на уровне совета директоров (демонстрация полноты системы), так и на уровне работника, отвечающего за мероприятия (демонстрация влияния его действий на достижение целей компании).
5. Произвести финансовую оценку каждого риска.
Зачастую оценкой рисков занимаются сами владельцы рисков. Быть может, в теории это и правильное решение. Но, как показывает практика, у владельцев рисков достаточно редко проявляется заинтересованность в качественной оценке своих рисков. И для того чтобы избежать метода оценки «пальцем в небо», эффективным будет не «заставлять» владельца производить финансовую оценку своего риска, а «согласовать» предлагаемый подход к оценке (рис. 6). Таким образом, владелец риска сможет «ощутить», сколько стоит риск, лежащий в зоне его ответственности.
6. Статус по рискам выносится на совет директоров.
Важно определить конечного пользователя системы управления рисками. Для многих компаний вынесение информации по рискам на обсуждение органов управления носит формальный характер, однако без включения в процесс высших органов управления система может просто не работать, не говоря уже о снижении качества предоставляемой информации и уровня ответственности.
Помимо информации о событиях, произошедших в отчетном периоде, принципиально важно выносить информацию по рискам на текущий момент. Это позволит органам управления видеть картину по рискам на сегодняшний день и быть в курсе основных процессов, протекающих в организации. Ко всему прочему, органам управления важно знать, какие риски могут реализоваться в краткосрочном периоде и какие действия менеджмент предпринимает для недопущения их реализации. Такую информацию целесообразно выносить в виде прогнозов с использованием ключевых индикаторов рисков — метрик, используемых для обеспечения раннего оповещения о возрастающей подверженности риску, в том числе плохо поддающемуся количественному анализу в различных областях деятельности АО.
***
Перечень шагов по построению целостной системы управления рисками, представленный в этой статье, не является исчерпывающим. Для различных компаний и сфер бизнеса одни и те же шаги будут актуальны в разной степени. Соответственно, перед тем как начать выстраивать интегрированную систему управления рисками в компании, разумно было бы сопоставить желаемые результаты от внедрения системы и те материальные, информационные, интеллектуальные и прочие ресурсы, которые потребуются для решения этой задачи.