Внедрение системы управления рисками в компании целесообразно начать с

Руководителю или сотруднику компании, который впервые сталкивается с риск-менеджментом, не обладая достаточным опытом, может показаться, что цель управления рисками – это своевременное их выявление, оценка и минимизация. Это не так. На самом деле управление рисками направлено на принятие управленческих решений с учетом рисков! Это не игра слов, а кардинально различные подходы, инструменты и компетенции.

Благодарим редакцию журнала «Трамплин к успеху» НПО «Сатурн» за предоставление данного материала. 

Автор: Гришихин Сергей Александрович, АТ31000, руководитель проекта, служба генерального конструктора ПАО «ОДК-Сатурн»

Процесс управления рисками во многих российских компаниях зачастую сводится к формальности. Риск-менеджер (или уполномоченный на то специалист) на регулярной основе проводит выявление и оценку рисков в своем департаменте (отделе), направляет это требование в смежные подразделения или организации, на основании собранной информации формирует реестры, карты, паспорта рисков, участвует в назначении ответственных владельцев рисков и разработке необходимых мероприятий по управлению рисками.

Основная проблема такого подхода заключается в оторванности риск-менеджмента от реальности, так как руководством принимаются решения каждый день, а не с установленной регулярностью, связанной с актуализацией реестра рисков (например, раз в месяц или квартал). В лучшем случае подобный процесс управления рисками коллеги воспринимают как формальность, которую необходимо выполнять, в худшем – этот процесс игнорируется. Ни в первом, ни во втором случае информация о рисках, собираемая риск-менеджером, не отражает реального состояния дел и редко чем полезна.

Опыт общения со специалистами различных компаний показывает, что менеджмент рисков «приживается» в тех случаях, когда его внедряют не напрямую с лозунга «С завтрашнего дня мы управляем рисками!», а через преобразование существующих бизнес-процессов или систем менеджмента. Примеров много и каждый из них уникален. В одной российской корпорации риск-менеджмент внедряется как неотъемлемый компонент стоимостного инжиниринга (ТМС – Total Cost Management), который в свою очередь является одним из ключевых звеньев проектного управления. Это происходит, потому что корпорация выполняет множество крупных проектов, при планировании которых, руководство требует сформировать максимально точные оценки, прежде всего по срокам и стоимости. А первопричина простая – неточные оценки приводят к потерям в конкурентной борьбе на предпроектной стадии и слишком большим рискам при выполнении проекта. Имеется много примеров компаний, участвующих в международных проектах, когда иностранные партнеры настоятельно рекомендуют внедрить процедуры и инструменты риск-менеджмента в операционную деятельность. Тем самым они стараются минимизировать свои «партнерские» риски.

Часто риск-менеджмент внедряется как составная часть экологического менеджмента. Это обычная практика добывающих или транспортирующих сырьевых компаний.

Рис. 1. Архитектура риск-менеджмента

Опыт внедрения риск-менеджмента в ПАО «ОДК- Сатурн» основан на необходимости осуществить ресертификацию системы менеджмента качества (СМК) на соответствие требований международного стандарта AS9100D «Система менеджмента качества – требования к аэрокосмическим и оборонным организациям». Настоящий стандарт радикально отличается от прежней версии необходимостью внедрения риск-ориентированного мышления и явной демонстрации применения менеджмента риска в системе менеджмента качества организации.

К этой задаче мы отнеслись с большим интересом и энтузиазмом по нескольким причинам. Во-первых, это – проект, а проектная деятельность у сатурновцев «уже в крови». Во-вторых, специфика газотурбостроения зиждется на очень важном понятии – КАЧЕСТВО! И изначальная цель проекта формулировалась как внедрение риск-менеджмента в СМК. Третьим, пожалуй, ключевым моментом, явилось развитие идеи, что СМК является связующим звеном со всеми другими системами менеджмента организации. Таким образом, внедряя процедуры и инструменты риск-менеджмента в СМК, мы последовательно сможем развить риск-ориентированное мышление всех руководителей и сотрудников предприятия.

Рис. 2. Типовая дорожная карта внедрения риск-ориентированного менеджмента организации

Проект содержит три крупных блока задач. Первый – разработка нормативной документации. Здесь команда проекта должна разработать стандарт предприятия, который будет определять единство терминологии и принципов, инфраструктуру и укрупненный процесс риск-менеджмента на предприятии. Номер и название уже есть: «СТП 503.002-2018 Риск-менеджмент. Основные положения». Стандарт будет основой для формирования в департаментах и подразделениях предприятия локальных риск-ориентированных нормативных документов. Также в этом блоке мы должны разработать и представить руководству трехлетний план развития риск-менеджмента на предприятии.

Ближайший год будем обучать руководителей и развивать риск-ориентированную СМК. Второй и третий года, есть идея, посвятить внедрению инструментов и процедур риск-менеджмента в финансовую сферу и программно- проектное управление.

Второй блок работ – это формирование системы обучения и базы знаний по управлению рисками. Мы должны сформировать единое информационное пространство для обмена опытом, накопления и хранения знаний. Для этих целей мы сформировали в корпоративной системе управления знаниями (СУЗ) соответствующий раздел. Программы обучения и учебные материалы уже сформированы для специалистов различного уровня подготовленности, начиная с первичного ознакомления с темой и заканчивая курсом подготовки к сертификационному экзамену C31000 или квалификационному экзамену профессионального стандарта «Специалист по управлению рисками».

Третий блок – обучение руководителей и специалистов предприятия. Я, как руководитель проекта, начал именно с него, прочитав базовый курс для команды проекта, которая была сформирована из специалистов различных дирекций. Замысел прост: для реализации проекта мы должны говорить на одном языке, а по завершению проекта, каждый участник команды проекта должен стать лидером преобразований – помогать коллегам и своему руководству внедрять риск-менеджмент в бизнес-процессы их зоны ответственности.

Подобные внедрения и преобразования трудны, поскольку требуют перестройки привычных подходов и коммуникаций, ведь настоящий менеджмент рисков предполагает честный и открытый разговор о возможностях и проблемах, которые могут возникнуть при выполнении обязанностей каждого сотрудника, от директора до ученика.

Рис. 3. Иерархическая структура работ проекта «Управление рисками» в ПАО «ОДК-Сатурн»

По плану наш проект должен завершиться в феврале 2018 года. Сроки сжатые, чтобы оставить время для осмысления и внесения возможных корректировок в документы перед проведением ресертификационного аудита СМК, который запланирован летом.

В заключение, стоит еще раз акцентировать внимание читателя на основные принципы внедрения риск-менеджмента в организации:

1. Внедрение риск-менеджмента – это проект, цель которого внедрить в существующую систему менеджмента новые процедуры и инструменты!

Любые проекты всегда должны начинаться с подбора и назначения руководителя. В классическом менеджменте этот принцип звучит просто: «Сначала реши – КТО, затем решай – ЧТО». Высший менеджмент должен сформировать команду, которая будет костяком проекта, а ее участники в последствии станут лидерами преобразований.

2. Выполните предпроектную подготовку.

На данной стадии важно найти ответы на три классических вопроса менеджмента: «Что менять? На что менять? Как достичь преобразований?» Команда совместно с руководством выполняет аудит существующего состояния в компании: как сейчас осуществляются процессы, какие ресурсы есть, чего у нас нет, и т.п. Далее формулируем понимание, к какому состоянию хотим перейти.

3. Инициируйте и реализуйте проект.

Здесь классика проектного менеджмента: устав, команда, план работ и так далее. Есть два важных момента. Во-первых, необходимо сформулировать точные результаты, которые будут достигнуты в ходе проекта, и к ним стремиться. У нас это – СТП, учебные материалы и информационное пространство, подготовленная группа специалистов. Остальное – вторичные бонусы. Во-вторых, формализуйте защиту результатов проекта, чтобы показать себе, руководству и сотрудникам компании, что менеджмент, даже если это всего лишь небольшой локальный процесс, стал риск-ориентированным и работает по новым правилам.

Изучайте риск-менеджмент! Это универсальная и востребованная область знаний. Информация доступна, специалисты открыты к общению, сообщество российских риск-менеджеров растет с каждым годом.

Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.

Управление рисками организации: основные направления

Процессы управления рисками охватывают 4 основные области:

1. Управление рисками угроз
2. Внутренний контроль
3. Внутренний аудит
4. Соответствие регуляторным требованиям

Управление рисками угроз

Для оценки угроз, риск менеджеры следуют следующим пяти шагам:

1. Определение вероятности риска
2. Оценка частоты и серьезности последствий
3. Определение альтернативных подходов, включая оптимизацию бизнес-процессов, которые приведут к снижению вероятности и/или последствий риска
4. Выбор и реализация действий, определенных на предыдущем этапе
5. Контроль реализации действий и их корректировка, по мере необходимости

Этот процесс ориентирован на превентивное и на антикризисное управление рисками.

В управлении рисками следует различать понятия риска, угрозы и воздействия:

1. Риск — негативное или позитивное явление, которое может произойти и оказать влияние на процесс / проект
2. Угроза — возможная опасность, которую несет в себе риск
3. Воздействие — величина последствий, которые происходят, в случае наступления риска
4. Величина риска = вероятность возникновения риска * воздействие

Внутренний контроль

Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.

Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.

Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.

Внутренний аудит

Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.

Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.

Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.

Соответствие регуляторным требованиям

Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.

Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.

Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.

Примеры подходов к управлению рисками организации

В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.

ISO 31000

ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.

Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.

ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.

Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.

CAS

Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.

В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.

О ERM они сказали следующее:

…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management

Примеры типов рисков

• Угрозы: стихийные бедствия, материальный ущерб и прочее.
• Финансовые риски: например, риски активов, ценных бумаг или фиатных валют
• Стратегические риски: конкуренция, тенденции бизнеса и так далее.
• Операционные риски:удовлетворенность клиентов, целостность бренда, репутация, неисправности и отказы продукта

Процессы управления рисками

• Создание контекста: внутренний и внешний охват организации, а также охват системы ERM
• Определение рисков: поскольку они связаны с целями организации, они должны быть хорошо документированы и включать соответствующий потенциал для получения конкурентных преимуществ, в результате совершенствования процесса
• Анализ серьезности рисков: для каждого из выявленных рисков оцените (и, если возможно, оцените количественно) серьезность каждого риска
• Интеграция рисков: на основе результатов предыдущего анализа рисков агрегируйте все распределения рисков и приведите анализ в соответствие с влиянием на ключевые показатели эффективности
• Определение приоритетов рисков: определите ранжированный порядок приоритетов для каждого из выявленных рисков
• Стратегии управления рисками: включает в себя стратегии разрешения и использования выявленных рисков
• Мониторинг и анализ результатов: постоянное совершенствование процесса управления рисками путем мониторинга и оценки среды рисков. Это оценка того, что работает, а что нет.

COSO

COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:

Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance

COSO акцентирует внимание на пяти компонентах системы управления рисками организации:

1. Руководство и культура
2. Стратегия и постановка целей
3. Производительность
4. Анализ и пересмотр
5. Информация, коммуникации и отчетность

Руководство и культура

Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.

Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.

Стратегия и постановка целей

Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.

Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.

Производительность

Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.

В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.

После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.

Анализ и пересмотр

Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.

Информация, коммуникация и отчетность

ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.

Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.

Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):

Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.

Процесс управления рисками организации

Процесс управления рисками организации состоит из пяти элементов:

Определение целей и обеспечение согласованности ERM со стратегией бизнеса

В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.

Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.

Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.

Идентификация и документирование рисков

Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.

Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.

Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.

Оценка документированных рисков

Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.

После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.

Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.

Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.

Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.

Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.

Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.

Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:

Ответ на риск

Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.

Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.

Ответ на риск подразделяется на четыре собственные категории:

Уклонение

Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.

Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.

Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.

Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.

Снижение

Часто риски могут быть снижены различными способами.

Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.

Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.

Разделение

Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.

На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.

Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.

По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.

Принятие

Принять риск это значит не предпринимать никаких действий.

Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.

Мониторинг рисков

Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.

Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.

Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.

Автор: Андрей Зайцев

Источник: материалы сайта rzbpm.ru

Задача повышения эффективности бизнес-процессов может быть снята с повестки дня лишь в одном случае – когда речь идёт об их устойчивости и управляемости бизнеса в целом. Зачастую перечисленные параметры надёжного функционирования могут быть нарушены вследствие реализации рисков, которые, в известной степени, носят вероятный характер и поэтому могут быть предотвращены, или же их негативное влияние может быть снижено до минимального уровня.

Без системы грамотного управления рисками проблематично обеспечить бизнесу должную надежность.

Парадоксальность ситуации с системами управления рисками заключается в их формализации, т.е. рисками управляют, но не системно. Владельцы бизнеса делегируют это право и обязанность на менеджеров, предоставляя им возможность на базе своего опыта, интуитивных обоснований и внутренней дедукции принимать решения, в той или иной степени влияющие на надёжность бизнеса. Иногда это получается хорошо, иногда – не очень. Поэтому без системного подхода качественно управлять рисками невозможно.

Компания Открытые Технологии предлагает комплексно подойти к разработке методологии управления рисками, опираясь не только на составляющие, напрямую зависящие от ИТ-инфраструктуры, но и рассматривая конкретные кейсы и модели, свойственные именно Вашей отраслевой специфике.

Типовой план внедрения и разработки такой методологии выглядит так:

• выбор и согласование перечня бизнес-процессов, требующих системного подхода по управлению рисками;
• обследование регламентирующей и нормативно-правовой руководящей документации. Роль и степень влияния информационно-коммуникационных технологий на согласованные бизнес-процессы, построение верхнеуровневой функциональной модели ИТ;
• сбор данных об информационных подсистемах и уточнение функциональной модели ИТ: перечень информационных потоков данных, управляющих контуров, аппаратно-программных платформ, архитектур, технической поддержки и сопровождения, состояние описательной документации, правил и инструментов интеграции с другими приложениями;
• проведение обследования инфраструктурной части ИТ-ландшафта (серверное оборудование, системы хранения и сети передачи данных, системы обеспечения информационной безопасности), программных продуктов операционного уровня, средств виртуализации, систем мониторинга и администрирования;
• составление и согласование параллельно с обследованием ИТ перечня рисков и разработка моделей угроз, выявление наиболее узких мест в ИТ-системе;
• по результатам обследований и интервьюирования:
• проведение оценки текущего состояния ИТ-систем и их влияния на развитие негативных последствий риска, а также плана действий в рамках механизмов парирования;
• составление перечня «узких мест» ИТ-инфраструктуры и рекомендаций по их устранению;
• подача предложений по внедрению системы управления рисками, например, на основе методологии GRC (Government Risk Compliance).

Сложившаяся на ИТ-рынке практика — проведение отдельно обследования информационных технологий и отдельно предоставление услуги по управлению рисками – в большинстве случаев себя не оправдывает. Наш подход позволяет интегрально подойти к решению задачи управления рисками и получить набор взаимосвязей бизнес-процессов на подсистемы ИТ-инфраструктуры.

М.И. Павлов, член Института внутренних
аудиторов, профессиональный корпоративный
директор (Российский институт директоров), член совета директоров ОАО
«Новосибирский речной порт»

Опубликовано в
журнале «Акционерное общество: вопросы корпоративного управления» №11(150)
за ноябрь 2016 года

В октябрьском
номере журнала за 2015 год в статье «Управление
рисками как неотъемлемая часть системы управления предприятием. Причины проблем
при организации управления рисками на предприятии с государственным участием»
мы писали о том, почему во многих компаниях недостаточно эффективно
функционируют системы управления рисками.

А что такое
«эффективная» система управления рисками? Как ее построить? И, наконец, какова
роль внутренних аудиторов в ее построении?

В настоящей статье
попытаемся ответить на  эти вопросы.

Риски являются
объективным и неизбежным фактором любой хозяйственной деятельности. То есть, и
управление рисками необходимо при любой хозяйственной деятельности.

Свод общих
положений «Управление рисками организаций. Интегрированная модель», который был
разработан в 2004 г. комитетом спонсорских организаций Комиссии Трэдуэй (COSO ERM) дает следующее
определение управлению рисками:

«Управление рисками организации — это
процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками,
который начинается при разработке стратегии и затрагивает всю деятельность
организации. Он направлен на выявление потенциальных событий, которые могут
влиять на организацию, и управление связанным с этими событиями риском, а также
на осуществление контроля за непревышением риск — аппетита организации и
предоставление разумной уверенности в достижении целей организации».

Документ COSO ERM (с
последующими изменениями и дополнениями) является основополагающим стандартом
по управлению корпоративными рисками предприятий любого профиля, определяющий
основные рамки, принципы, структуру, компоненты и этапы процесса управления
рисками предприятия и являющийся основой для разработки отраслевых и государственных
стандартов. В частности, на его основе федеральным агентством по управлению
государственным имуществом (ФАУГИ) разработаны и методические указания по
подготовке Положения о системе управления рисками для предприятий, акционером которых
является государство.

В отчетах многих
организаций, как частных, так и государственных существуют целые разделы
посвященные описанию рисков и управлению ими, в отчетах предоставлены карты
рисков.

Но стоит ли за
этими разделами и картами  реальное
управление рисками?

Эксперты Института внутренних аудиторов отмечают, и
это подтверждается практикой, что система управления рисками как целостная
совокупность элементов (методики и информационной системы), посредством которых
«общество может контролировать риски на всех уровнях», построена в очень
незначительном количестве организаций, а процессы управления рисками в
большинстве случаев даже не формализованы. Отметим, что это не касается (или
касается в малой степени) кредитных и страховых организаций, деятельность
которых жестко регламентирована и в которых управление рисками является частью
основной деятельности организаций.

Как же заинтересованным
лицам (акционерам, совету директоров, менеджменту и пр.) построить эффективную систему
управления рисками на предприятии? Постараемся в этом разобраться.

Сущность и цель процесса управления рисками.

Необходимость его формализации.

Хотя существуют международные
стандарты в области управления рисками (COSO ERM) и методические
указания ФАУГИ, с достаточной долей уверенности можно сказать, что
представления об эффективном процессе управления рисками у различных людей
разное. Примерно, как представление различных людей о занятиях спортом. Одни
под этим словосочетанием подразумевают ежедневную утреннюю зарядку, а другие
еженедельную игру по воскресеньям в футбол с друзьями. И те и другие, по своему,
правы, но на взгляд специалиста это вещи разные, да и эффект (для укрепления
здоровья человека) от этих мероприятий различается.

Вникнем в сущность
определения управления рисками, данного COSO ERM. Напомним, что риск в COSO ERM определен, как
«событие, которое в случае своей реализации может оказать негативное влияние на
достижение организацией поставленных целей».

Абстрактно,
управление рисками — это предвидение, «мозговой штурм» того, какие
отрицательные, негативные последствия принесут последующие действия, и
планирование мероприятий по минимизации этих последствий.

 Практически, управление рисками является
важнейшей составной частью процесса управления деятельностью любого предприятия.
В любом действующем предприятии менеджеры, в той или иной степени, управляют
рисками. Без существования системы управления рисками практически любое предприятие,
даже в ближайшей перспективе, маложизнеспособно.  Задача — совершенствовать эту систему или,
другими словами, совершенствовать процессы управления рисками.

Цель совершенствования
системы управления рисками на предприятии — заставить всех принимающих решения
думать о последствиях этих принимаемых решений и, естественно, отвечать за них.

Если эта цель
достигнута, то только тогда систему управления рисками можно считать
эффективной.

Подчеркнем,
формализация процессов управления рисками не является целью, это только
инструмент, служащий достижению цели.

Управление рисками
это «мыслительный» процесс, «происходящий в головах» менеджеров.

 Но если в повседневной жизни, для себя, мы
можем не формализовывать этот процесс и оставлять его результаты «в голове», то
на предприятии без этого не обойтись.

Акционеры, доверив
исполнительному руководству предприятий управлять значительными активами и материальными
ценностями, хотят видеть, как, в ходе управления, происходят процессы принятия
и исполнения управленческих решений, как продумываются различные варианты
действий, какие действия предпринимаются для минимизации негативных последствий
тех или иных событий. То есть, акционеры хотят видеть этот «мыслительный»
процесс, им требуется максимальная его «прозрачность».

Отметим, что  и исполнительное руководство предприятий
также должно быть заинтересовано в «прозрачности» процессов управления рисками,
хотя бы для оценки деятельности своих подчиненных.

Формализация процессов управления рисками.

Определить, эффективны процессы управления рисками или
нет, достаточно сложно. Ответ всегда будет субъективен.

Сразу отметим, что наличие формализованной системы
управления рисками на предприятии не является стопроцентной гарантией того, что
управление рисками на предприятии осуществляется эффективно. Но наличие
формализованной системы позволяет предположить, что на предприятии уделяется достаточное
внимание процессам управления рисками, что способствует повышению эффективности
этих процессов.

Часто при построении,
точнее сказать, формализации процессов управления рисками совершается одна и та
же  общая ошибка.

Инициаторы
пытаются сразу использовать все механизмы и технологии управления рисками и «нагрузить»
участников процесса всей имеющейся информацией по управлению рисками. Карта
риска, паспорт риска, риск-матрица, риск-аппетит, экспозиция риска, Марковский
анализ, моделирование методом Монте-Карло … 

Если опять
обратиться к аналогии с занятиями спортом, то это сравнимо с тем, что человеку,
пожелавшему заняться физическими упражнениями, сразу предлагают комплекс
упражнений, предназначенный для спортсменов – профессионалов. И это несмотря на
то, что человек даже отжаться от пола пару раз не может…

Задача внутренних
аудиторов при внедрении системы управления рисками предложить менеджерам такую
технологию (модель) управления, которая будет понятна всем и применима на всех
уровнях управления предприятием. При этом необходимо внедрять систему управления
рисками постепенно, не гонясь за быстрыми результатами. Необходимо помнить, что
изменение мышления, а управление рисками процесс «мыслительный», происходит
эволюционным, а не революционным путем.

По аналогии с
занятиями спортом, мы должны научить (увлечь) человека ежедневно делать
элементарную утреннюю гимнастику, которая укрепит его здоровье. А по мере
укрепления организма переходить к более сложным физическим упражнениям.

Но как
формализовать «мыслительный» процесс управления рисками? И формализовать его
так, чтобы он стал эффективным, то есть достиг своей цели с наименьшими
затратами?

Эффективными отчетно-учетными
формами формализации, являются паспорта рисков, составляемые на определенную
дату, и карты рисков, составленные на основании информации, полученной из
паспортов. Паспорт риска составляется на каждый риск, а карта рисков включает в
себя все выявленные риски, сопутствующие достижению цели.

Кроме того,
процесс управления рисками включает в себя и организацию рабочих групп, и
проведение различных совещаний, и обучающие семинары. Всё это сопровождается созданием
многих регистрирующих документов: протоколов заседаний комитета по управлению
рисками (если он есть), протоколов различных совещаний на тему управления
рисками, приказов и распоряжений, планов мероприятий и планов чрезвычайных
мероприятий, различных отчетов и служебных записок на тему управления рисками и
т.д. и т.п. Но все они являются как-бы «приложениями» к паспортам и картам
рисков, дополнительным подтверждением информации, содержащейся в
паспортах. 

Остановимся подробней на оформлении этих двух основных документов.

Паспорт риска.

На рисунке 1.
приведен пример паспорта риска.

                                                                    
                                    Рисунок
1.

ПАСПОРТ РИСКА

Дадим рекомендации
по заполнению разделов «Описание риска» и «Оценки присущего риска».

1. Описание риска.

Процессы, выполняемые подразделением — наименование официально регламентированных и не
регламентированных, но фактически осуществляемых подразделением функций,
процессов;

Владелец риска
– руководитель подразделения, персонально отвечающий за оценку, контроль и управление
данным риском, т.е. мотивированный на его снижение и располагающий достаточными
полномочиями для воздействия на него. Владелец риск может быть только один.

Председатель комитета по управлению рисками. Руководитель

комитета,
являющегося совещательным органом по всем вопросам управления рисками при
генеральном директоре предприятия. В компетенции комитета входит, в частности,
утверждение базовых регламентирующих документов системы управления рисками;
подготовка проектов решений для генерального директора по всем вопросам его
компетенции в отношении системы управления рисками; регулярное рассмотрение
основных рисков предприятия, включая наиболее значительные риски подразделений предприятия;
регулярное рассмотрение и утверждение сводной карты рисков предприятия,
сводного плана мероприятий по реагированию на данные риски и, при необходимости,
плана чрезвычайных мероприятий; надзор за 
эффективностью деятельности руководителей подразделений предприятия в
рамках системы управления рисками. Деятельность комитета по управлению рисками
рекомендуется регламентировать Положением о комитете.

Координатор рисков
– сотрудник, являющийся
экспертом в области управления рисками, который содействует процессам
выявления, оценки и реагирования в отношении рисков соответствующего
подразделения (или предприятия), консолидирует информацию о рисках и передает в
комитет по управлению рисками. Координатор не принимает самостоятельных решений
по управлению рисками.

Цели процессов
— установленные цели процессов. Указываются цели, отраженные в стратегическом,
годовом или каком-либо другом плане предприятия и/или подразделения, так и не
закрепленные официально цели, достижение которых, тем не менее, запланировано;

Наименование риска.
В данном разделе необходимо указать риск, которому подвержен процесс,
выполняемый подразделением.

Категория риска.
Примерная типовая классификация рисков приведена на рисунке 2.

                                                                                                                     Рисунок 2.

Примерная типовая
классификация рисков

Список приведенных рисков не является
исчерпывающим и может, как включать, так и не включать риски, присущие данному
процессу.

Описание
риска. Должно включать подробное описание риска с указанием
причин или событий, влияющих на вероятность проявления риска и обоснование
возможных последствий.

Причины.
Подробный перечень причин, обуславливающих наступление данного события.
Отсутствие контроля или методов воздействия на риск, причинами не является.

Последствия.
Подробный перечень возможных последствий от наступления рискового события,
выраженных в конкретных денежных потерях, потерях репутации, доли рынка и т.д.

2. Оценка
присущего риска.

Влияние — воздействие риска
на долгосрочные и / или краткосрочные

цели
предприятия в случае реализации данного риска, последствия его реализации. Выражается
в денежных единицах или баллах. Значение коэффициента определяется экспертным методом
в соответствии со следующей шкалой (период прогноза, как правило, 1 год):

Данный показатель субъективен и определяется
на основании

экспертной
оценки лиц, заполняющих паспорт риска. Как правило, каждому баллу соответствует
определенный «ценовой коридор» последствий.

Вероятность — вероятность наступления определенного
риска, обычно выражаемая величиной от 0 до 100 процентов, либо баллами. Значение коэффициента определяется
экспертным методом в соответствии со следующей шкалой (период прогноза, как
правило, 1 год):

Данный показатель также субъективен
и определяется на основании

экспертной оценки лиц, заполняющих
паспорт риска.

Скорость
реализации
— величина, характеризующая время от момента наступления риска до того момента,
когда полностью реализуется влияние риска на краткосрочные и / или долгосрочные
цели предприятия.

Значимость — величина,
равная произведению вероятности возникновения на оценку влияния, определяющая
интегрированную оценку важности того или иного риска.

 Способ реагирования — основной подход,
признанный целесообразным с точки зрения реагирования на тот или иной риск.
Возможные способы реагирования на риски включают снижение риска, передачу
риска, принятие риска и избегание риска.

В
паспорте указаны все участники процесса, ответственные и привлеченные, описан
бизнес – процесс (бизнес – процессы), которому сопутствует описанный в паспорте
риск, риск оценен и описан, описаны мероприятия по минимизации риска и
контрольные процедуры. Разработаны планы чрезвычайных мероприятий, оцениваются
остаточные риски, планируемые и фактические. Вся эта информация и делает
паспорт отчетно – учетным документом по управлению риском. Если составлять
такие паспорта на конкретный риск в течение всего времени его реализации и
хранить их в бумажном и электронном виде, то сопоставив их, можно увидеть
динамику всех процессов, отраженных в паспорте. Данные из электронных форм
паспортов удобно представлять в различных графических формах, что наглядно при
анализе того или иного риска.

С достаточной долей уверенности, можно
сделать вывод, что процессы составления паспортов рисков, учета самих
паспортов, учета изменений в паспортах, учета процессов реализации мероприятий,
записанных в этих паспортах и направленных на минимизацию рисков, повышают
эффективность системы управления рисками на предприятии. То есть заставляют
всех принимающих решения думать о последствиях этих принимаемых решений и,
естественно, отвечать за них.

Карта рисков. Общий подход к построению карты
рисков.

На основании информации, полученной из
паспортов рисков, составляются карты рисков. Карта рисков дает наглядное
представление обо всех рисках сопутствующих достижению цели предприятием на
дату ее составления. Наподобие того, как бухгалтерский баланс дает наглядное
представление обо всех активах и пассивах предприятия на дату его составления.

То есть карта рисков, это документ,
отражающий (результирующий) на определенную дату информацию о рисках сопутствующих
достижению цели, составленный на основании информации, полученной из паспортов
рисков. На рисунке 3 приведен пример карты рисков.

                                                                                                                 Рисунок 3.

                                Пример карты
рисков.

                                                                     Вероятность

Карта рисков представляет собой схематичное
отображение рисков по степени их влияния и вероятности. Влияние и вероятность – это главные категории оценки
риска. На представленном примере карты рисков риски ранжированы по их
значимости. Значимость, равная результату от произведения баллов вероятности и
баллов влияния определяет место риска на карте рисков предприятия.

Выше мы отмечали, что
влияние может быть также определено и в денежных единицах, а вероятность в
процентах. Для каждого предприятия это могут быть свои величины, зависящие от
специфики и размеров его деятельности.

Карту рисков удобней
представлять в виде точечной диаграммы, осями которой являются интервалы
значений влияния и вероятности, условно определенные низкой, средней и высокой
степенями. Деление на эти степени имеет своей целью дифференциацию подхода к
рискам, имеющим различный уровень влияния и вероятности.

Красным цветом
на карте выделена область высоких рисков. Последствия их реализации могут быть
критичны и даже катастрофичны для предприятия. Эти риски  необходимо предотвратить до их появления.
Возможно, даже, отказавшись от реализации цели. По всем рискам, попавшим в
область высоких рисков необходимо разработать план действий по мониторингу их
уровня и снижению вероятности их появления и устранению возможных последствий.
Все эти мероприятия необходимо отразить в паспортах соответствующих рисков.

Желтым
цветом выделена область средних рисков. Эти риски не являются столь критичными,
как риски в красной области, однако также требуют повышенного внимания,
поскольку оценки рисков из этих областей могут переместиться в красную область. По рискам, попадающим в эти области, необходимо
привести краткую характеристику действий по управлению их вероятностью и
влиянием, необходимо разработать перечень мер по снижению этих рисков. Все это
также необходимо отразить в паспортах соответствующих рисков.

 Зеленым
цветом выделена область низких рисков. Эти риски не являются предметом
глубокого анализа и управления, поскольку либо маловероятны, либо несут
незначительный ущерб. По данным рискам целесообразно идентифицировать факторы,
то есть причины их появления, и разработать меры по их контролю, заполнить
соответствующие разделы паспортов рисков.

Карта рисков
реального предприятия отличается от представленной на рисунке 2 практически
только тем, что в соответствующих частях карты указан перечень сопутствующих
рисков и владельцы рисков. Это удобно и наглядно при мониторинге процессов
управления рисками для дальнейшего анализа паспортов рисков.

 С достаточной долей уверенности, можно утверждать,
что процессы составления карт рисков на основе данных из паспортов рисков,  обсуждение и мониторинг изменений этих карт повышают
эффективность системы управления рисками на предприятии и заставляют всех
принимающих решения думать о последствиях этих принимаемых решений и,
естественно, отвечать за них.

Итак, мы собирались ответить на вопросы что
такое «эффективная» система управления рисками, как ее построить и о роли
внутренних аудиторов в ее построении. Мы определили, что цель совершенствования
системы управления рисками на предприятии — заставить всех принимающих решения
думать о последствиях этих принимаемых решений и, естественно, отвечать за них.
При достижении этой цели процесс считается эффективным. Вспомним также, что, в
целом, эффективным можно считать процесс, при котором цель достигается с
наименьшими затратами.

Появление
реальных, проработанных и постоянно отслеживаемых карт рисков приводит к
«прозрачности» всего бизнеса. Это важно при принятии как тактических, так и
стратегических решений. Обсуждение карт рисков проектов, где риски оценены и
имеют стоимость, положительно влияет на адекватность принимаемых решений. При
составлении паспортов на каждый риск, помимо описания самого риска и его
оценки, указываются ФИО и должности лиц, ответственных за управление риском,
перечень мероприятий по минимизации риска, сроки исполнения этих мероприятий и
ответственные за их исполнение, расчеты остаточного риска и т. д. и т. п. Информацию
в паспортах постоянно актуализируют. О рисках пишут, фиксируют их на бумаге или
в электронном виде, и это не совсем одно и то же, когда о рисках только
говорят. У каждого риска появляется сотрудник, отвечающий за то, чтобы риск
либо не свершился, либо был минимизирован. То есть формализация процесса
управления рисками запускает механизм «осмысления» сотрудниками предприятия
своих действий и их последствий. А так как управление рисками — это непрерывный
процесс, то в результате постоянное «осмысление» своей работы приводит к ее
улучшению и, следовательно, к совершенствованию деятельности самой организации.

            Рассмотренные
процедуры формализации процессов управления рисками: составление и актуализация
паспортов рисков и карт рисков – не являются вещами затратными. Они не требуют
дополнительных вложений, а требуют только 
желания и усилий менеджмента на свое осуществление. При этом достигается
важнейшая цель – принятие взвешенных решений на всех уровнях управления
предприятием.

            Чем
не стимул для формализации системы управления рисками на вашем предприятии?