Время профессионально управлять рисками

| статьи | печать

Профессиональное управление рисками становится одной из основных задач для корпоративного управления в России. С чего начать? Какие подходы использовать? На какие стандарты ориентироваться?

Подтвердился наш прогноз обострения рисков российской экономики на макроуровне, опубликованный в статье «Выдержит ли бизнес зону турбулентности?» (см. «ЭЖ», № 12). В отношении России введены санкции, на которые наше правительство ответило введением экономического эмбарго. Большинство субъектов экономической деятельности оказались не готовы к изменению внешней среды бизнеса. Они попросту не рассматривали риски деятельности в условиях санкций и экономического эмбарго. В одночасье наступило осознание рисков высокой зависимости от зарубежных финансовых рынков и от импорта продуктов питания, риска роста инфляции. Впору задуматься и о сопряженном риске роста социальных рисков.

Возможно, пора осознать, что любые действия или бездействие приводят к событиям и последствиям, которые могут представлять собой как потенциальные опасности, так и возможности. Когда действительно перестанем «ждать, пока гром грянет» и приучим себя воспринимать риски как комбинацию вероятности негативных событий и их последствий? Не пора ли начать управлять рисками — снижать вероятность и последствия негативных событий?

Постановка профессионального управления рисками de facto становится задачей номер один для корпоративного управления в России. С чего начать? Какие подходы использовать? На какие стандарты ориентироваться? Как выстраивать процесс управления рисками? В наступившее время турбулентности эти вопросы появились в спис­ках дел руководителей многих российских компаний государственного и частного секторов экономики.

Что меняется в экономике: какими рисками предстоит управлять?

Политически мотивированные санкции против России и ответное экономическое эмбарго с нашей стороны — лишь авангард рисков, с которыми наша экономика столкнется в ближайшее пятилетие.

Чтобы повысить осведомленность руководителей различных уровней и должностных лиц компаний в государственном и частном секторах экономики, перечислим вызовы — рис­ки и возможности, которые с высокой степенью вероятности определят контекст бизнеса в период до 2020 г.

■ Глобализация рынков — резкое обострение конкурентной борьбы за рынки сырья и сбыта.

■ Информационная революция — интернет, интранет, экстранет, виртуальный бизнес, социальные сети — резкий рост скорости распространения информации.

■ Существенное изменение интересов, сфер влияния и ответственности бизнеса, органов государственного управления различных уровней и организаций гражданского общества: поиск новых моделей взаимодействия.

■ Отраслевые изменения — сжатие традиционных (трудоемких, сырьевых) и расширение новых (знания, компетенция, информация, сфера услуг) отраслей.

■ Повышение информированности и ожиданий потребителей, сокращение жизненного цикла товаров и услуг, кастомизация (приоритет интересов потребителя), обострение борьбы за каждого потребителя.

Подчеркнем, что перечисленные выше изменения экономики — вызовы руководителям различных уровней и должностных лиц компаний в государственном и частном секторах экономики. От уровня профессионализма этих лиц зависит материализация каждого из вызовов для каждого конкретного субъекта экономической деятельности — будет он риском или возможностью.

Далее в списке — почти неизбежные (высокие по вероятности наступления) и существенные (по силе негативных последствий) риски экономической среды России в предстоящие пять лет:

■ Резкий рост не отдельных, а комплекса рисков — повышение вероятности наступления и силы последствий технологических, экономических, социальных и экологических негативных событий.

■ Неопределенность и изменчивость контекста экономической деятельности — отсутствие консенсуса и доминирующей тенденции — противоречия заинтересованных сторон — непостоянный цикл деловой активности.

■ Регуляторные и политические вмешательства — высокая вероятность увеличения политического (политически мотивированные санкции) и регуляторного (законы и подзаконные акты) воздействия на отрасли и далее на компании.

■ Макро-, мезо- и микроэкономические кризисы — высокая вероятность глобального, отраслевых и микроэкономических кризисов (на уровне компаний государственного и частного секторов экономики).

Осознать факт смены экономической эпохи. Учиться профессионально управлять в условиях кризисов, непрерывного роста рисков, неопределенности и изменений. Эффективно управлять рисками внутренней и внешней сред экономической деятельности. Все это необходимо профессиональным управляющим экономикой, которая вошла в эпоху резкого обострения рисков, кризисов, катастроф, неопределенности и изменений.

Сначала надо делать то, что надо делать сначала

Приступая к задаче постановки управления рисками в субъекте экономической деятельности, целесообразно начать с «букварей» этого аспекта системы управления — с изучения общепринятых международных стандартов управления рис­ками. Для удобства информация об основных из них сведена в табл. 1.

Повышенное внимание со стороны экспертов и практиков управления рисками, действующих на российском рынке, уделяется до­кумен­ту «Управление рисками организаций. Интегрированная модель», разработанному Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, ­COSO).

Этот до­кумен­т представляет собой концептуальные основы управления рисками организаций и дает подробные рекомендации по созданию корпоративной системы управления рисками.

В виде трехмерной матрицы (см. рис. 1), имеющей форму куба, стандарт устанавливает взаимосвязь между целями организации (стратегические, операционные цели, цели подготовки отчетности и соблюдения законодательства), организационной структурой компании (уровни компании, подразделения, хозяйственной единицы, дочернего предприятия) и компонентами процесса управления рисками.

Русским обществом управления риском в качестве базового рассматривается Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров, который является совместной разработкой Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM) (2002 г.).

Управление рисками рассмат­ривается как основа стратегического управления организацией в части идентификации рисков и управления ими. При этом отмечается, что управление рисками как система должна включать в себя контроль выполнения поставленных задач, оценку эффективности проводимых мероприятий, а также систему мотивации на всех уровнях организации.

Среди принципов, определяющих эффективность управления рисками в основных стандартах, обращают на себя внимание следующие:

■ управление рисками создает стоимость, то есть вносит вклад в достижение поставленных целей, а также в совершенствование в таких областях, как здоровье и безопасность человека, соответствие законодательным требованиям, защита окружающей среды, финансовая деятельность, корпоративное управление, репутация;

■ управление рисками — неотъ­емлемая часть организационных процессов в компании;

■ управление рисками — составная часть процесса принятия решений в организации;

■ управление рисками должно быть специально «настроено» (адаптировано) с учетом специ­фики деятельности организации;

■ управление рисками учитывает существование человеческого и культурного факторов.

Подходы к управлению рисками

В рамках ограничений, налагаемых форматом газетной статьи, упомянем интегрированный, интегральный, централизованный и децентрализованный подходы к управлению рисками.

Интегрированный подход к управлению рисками заключается во внедрении принципов, регламентов и процессов управления рисками на всех уровнях корпоративного управления — от высшего уровня управления до единоличного или коллегиального исполнительного органа и далее до подразделений организации.

Пример того, как управление рисками интегрируется в корпоративное управление, схематично изображен на рис. 2.

Таким образом, интегрированный подход к управлению рисками обычно предусматривает два последующих действия:

■ формирование культуры управления рисками, включая определение риск-аппетита как части культуры управления организацией;

■ интеграцию управления рис­ками на все уровни принятия и реализации решений, включая встраивание управления рисками в иные (бизнес-) процессы, действующие в организации.

Интегральный подход к управлению рисками обычно предусматривает включение в сферу ответственности не только экономической, но также социальной и экологической сред организации. Посмотрите, как это графически показано на рис. 3.

Следует помнить, что интегральный поход к управлению рисками соответствует теории и передовой практике корпоративной социальной ответственности и устойчивого развития.

Различие между централизованным и распределенным подходами к управлению рисками организации (компании) заключается в формировании специализированного функционального подразделения управления рис­ками всей организации в целом или наделении дополнительной функцией управления рисками всех функциональных подразделений организации (компании).

Процесс управления рисками

Общепринятый (бизнес-) процесс управления рисками включает семь последовательных действий, формирующих восходящую спираль развития этого важного компонента профессионального управления организацией (рис. 4).

Первое действие спирального цикла управления рисками — идентификация потенциальных рисков — выявление рисков во внутренней и внешней средах организации (рис. 5)

Подчеркнем, что дальше-больше для выявления рисков применяется именно так называемый «стейкхолдерский» подход — метод выявления рисков через непрерывные диалоги с внутренними и внешними заинтересованными сторонами.

Далее по спиральному циклу управления рисками следует оценить выявленные риски по матрицам вероятности наступления и силе последствий.

Нередко, по вероятности наступления, риски оценивают по шкале «высокий — средний — низкий» в зависимости от трех параметров:

■ вероятность риска в определенный период времени;

■ вероятность актуализации риска несколько раз в течение определенного времени;

■ факт актуализации такого же риска недавно — с указанием конкретного срока.

Оценку потенциальных последствий актуализации риска также можно оценить по шкале «высокий — средний — низкий», используя, например, следующую матрицу:

■ финансирование последствий риска превышает Х руб­­лей;

■ финансирование мероприятий по управлению риском (или возможностью) составит Х руб­­лей;

■ Х-уровень существенности влияния на материальные и нематериальные активы;

■ Х-уровень существенности влияния на ожидания заинтересованных сторон.

Следующий компонент спирального цикла управления рисками — планирование действий того, что вы будете делать при достижении каждым риском установленного вами уровня риск-аппетита, то есть когда риск становится опасным для вашей организации.

Планировать действия по управлению актуализирующимися рисками можно с опорой на стратегию, применимую к данному типу риска (рис. 6).

Следующая задача — обеспечить должный мониторинг рис­ков в организации.

Это можно сделать различными способами, включая формирование следующих инструментов:

■ подразделение (служба) внут­реннего контроля и аудита — вменение таковой функции мониторинга рисков, включая отчеты;

■ руководители функциональных подразделений — вменение мониторинга рисков в число должностных обязанностей, включая отчеты;

■ проактивный контроль/мониторинг — регулярное взаимодействие с заинтересованными сторонами (внутренней и внешней) сред вашей организации (компании), включая внутренние отчеты с анализом ситуации;

■ реактивный контроль/мониторинг — график приема руководителями вашей организации (компании) по вопросам управления рисками, «горячая телефонная линия», электронный «почтовый ящик», физический почтовый ящик, форум на интернет-сайте, включая внутренние отчеты по анализу входящей информации.

Пятый компонент (бизнес-) процесса управления рисками — действия по управлению актуализировавшимся (наступившим) риском:

■ выполнить решение, предписанное на случай актуализации данного риска в «Плане действий при актуализации рис­ков»;

■ подготовить и представить для контроля отчет ответственного подразделения или должностного лица о результата выполнения действий, предписанных в «Плане действий при актуализации рисков»;

■ информировать внутренние и внешние заинтересованные стороны организации (компании) о действиях и результатах управления риском.

Сведения о действиях организации по идентификации, оценке, планированию реагирования, мониторингу и реагированию на риск целесообразно фиксировать в специальную базу данных — в этом суть шестого компонента спирального цикла управления рисками. Это позволит организации эффективно управлять текущими рисками и использовать применимый опыт в дальнейшей деятельности вашей организации (компании).

Здесь применимы различные подходы:

■ ведение дела (с описью вложений), к которому приобщается реестр рисков и возможностей организации (компании), а также отчеты подразделений или должностных лиц о результатах плановых действий при актуализации каждого;

■ ведение простой электронной базы данных, к которой приобщаются сканированный «План действий» и отчеты;

■ использование специализированной электронной базы, включая опцию мониторинга/контроля и отчетов в режиме текущего времени в информационной сети организации (компании).

Экспертам хорошо известно, что системы управления, которые не развиваются, утрачивают свою эффективность и приводят к краху организаций. Это в полной мере относится к управлению рисками. Поэтому

настоятельно рекомендуем седьмой компонент спирального цикла управления рисками:

■ периодический анализ управления рисками и возможностями собственными силами вашей организации (компании): целевые совещания, специализированная рабочая группа или иные форматы взаимодействия — с протоколированием и реализацией принятых решений по развитию управления рис­ками;

■ периодическое привлечение внешних независимых экспертов — аудиторов сис­темы управления рисками внутренней и внешней сред вашей организации (компании) с последующим экспертным заключением, включающим ранжированные по срочности рекомендации, а также возможным экспертным и/или процессным консультированием по реализации этих рекомендаций.

Роль государства в управлении рисками

В период обострения рисков, кризисов, катастроф, неопределенности и изменений роль государства в управлении рисками существенно возрастает.

Во-первых, повышается регулирующая роль государства в создании правовой основы для регулирования ситуаций, в которых деятельность организаций (компаний) или отдельных лиц может порождать риск для окружающих.

Во-вторых, возрастает надзорная роль государства в защите людей, субъектов экономической деятельности и среды обитания от растущих внешних рисков —

политических, экономических, технологических, биологических и природных. Государство — остро востребованный сегодня регулятор различных внешних рисков как для здоровья и безопасности людей, так и для государственной безо­пасности и экономической устойчивости России.

В-третьих, растет роль государства в управлении рисками собственной деятельности — суть деятельности органов власти различных уровней в должном выполнении ими регулирующих и надзорных функций.

Таблица 1

Краткое название стандарта

Название стандарта на аглийском языке

Название стандарта на русском языке

ISO/IEC 31010:2009

Risk management — Risk assessement techniques

Управление рисками — Руководство по оценке рисков

ISO/IEC Guide 73

Risk Management — Vocabulary Guidelines for usin standarts

Управление рисками — Словарь — Руководство по использованию в стандартах

ISO 31000:2009

Enterprise Risk Management — Integrated Framework

Управление рисками — Принципы и рекомендации

COSO ERM — Integraed Framework

Risk management standard

Интегрированная модель управления рисками

IRM, AIRMIC, ALARM (FERMA RMS)

Rismangement standard

Стандарт управления рисками (модель RMS)