В прошлом номере «ЭЖ» благодаря результатам международного исследования, проведенного компанией «Эрнст энд Янг», мы увидели, как степень развития системы управления рисками влияет на финансовые показатели компаний, способствует повышению эффективности и достижению устойчивых результатов в них. Понятно, что такая система не может быть создана сразу, она выстраивается со временем. А для того чтобы стать эффективной, специалисты и руководители компаний постоянно накапливают опыт, приобретают навыки, оперируют понятиями риска. Такие системы формируют компании-лидеры. Как они выстраивают подобные системы и какой опыт работы с рисками накопили — обратимся к обобщенному опыту и практическим примерам, приведенным в исследовании.
1 Развитие стратегии управления рисками
Эффективное управление рисками основывается прежде всего на стратегии корпоративного управления. В ее рамках формируется понятная для руководства компании стратегия управления рисками с определением их областей. Для этого необходима их оценка и контроль. В этих целях используют соответствующим образом структурированную отчетность компании. И основную роль в вопросах оценки рисков и управления ими должно играть исполнительное руководство.
Развитая структура корпоративного управления, представление отчетности и информации об управлении рисками совету директоров способствуют росту значимости системы управления рисками в организации. Проявляется это в совершенствовании подотчетности и повышении прозрачности связанных с рисками областей. Со временем формируется эффективная отчетность и контроль в управлении рисками, что в конечном итоге улучшает процесс принятия решений.
Стратегия управления рисками необходима организации для более точного прогнозирования возникновения рисков и снижения их уровня до того, как событие произойдет. Но даже при самой надежной превентивной стратегии не исключено и вполне возможно наступление неблагоприятных событий, отрицательно влияющих на эффективность деятельности. Поэтому не меньшее значение имеет выработка другой стратегии — стратегии реагирования на риски в случае их возникновения.
Компании-лидеры используют следующие подходы в управлении рисками:
- они ведут открытый диалог о рисках с внешними заинтересованными сторонами (лицами);
- своевременно обмениваются прозрачной информацией с заинтересованными сторонами, предоставляют им значимые сведения о принятых решениях и корпоративных ценностях организации;
- разрабатывают и внедряют единую для всей организации систему управления рисками.
пример
Компания-производитель потребительских товаров, входящая в список Global 50, разработала и использует систему управления рисками для развития взаимодействия с заинтересованными сторонами. Было принято решение повысить эффективность такого взаимодействия, в том числе с помощью улучшения прозрачности информации. Для достижения этой цели в совете директоров был создан комитет по управлению рисками и учреждена должность директора по управлению рисками (CRO). В бизнес-подразделениях были назначены ответственные сотрудники.
Развитию взаимодействия с внутренними заинтересованными сторонами способствовало создание системы управления рисками, включающей определение обязанностей, полномочий и сферы компетенций комитета по управлению рисками.
При этом компания не только модифицировала структуру корпоративного управления, но и расширила список вопросов управления рисками. Эти изменения на практике были реализованы следующим образом.
Во-первых, риски соотнесли с корпоративной стратегией на разных уровнях. Для этого воспользовались наиболее распространенным подходом и разработали дополнительные допущения для развития стратегии на срок от трех до пяти лет. Руководители организации составили список таких допущений и задали себе три основных вопроса с целью формирования профиля рисков и выявления стратегических рисков:
- какие условия необходимы для реализации стратегии;
- какие условия могут помешать ее реализации;
- как можно узнать о возникновении тех или иных условий?
Во-вторых, систему управления рисками встроили в цикл планирования на уровне бизнес-подразделений.
Для выявления операционных рисков перед бизнес-подразделениями при подготовке ими операционного плана на год были поставлены эти же три вопроса. А при разработке корпоративной системы управления рисками стали учитывать «аппетит» сотрудников к риску, определять «вселенную» рисков, методы их оценки и технологии управления ими.
Полученные ответы на три вышеприведенных вопроса на стратегическом и операционном уровнях позволили организации выявить и задокументировать 80% рисков, влияющих на эффективность ее деятельности.
Благодаря выявлению стратегических и операционных рисков и выработке скоординированного подхода к управлению ими на уровне всей организации данная компания смогла не только наладить эффективное взаимодействие с внешними заинтересованными сторонами, но и укрепить эти отношения и свою репутацию на рынке.
2 Система управления рисками встраивается в бизнес-процессы
Организации, внедряющие систему управления рисками в процесс бизнес-планирования и оценки эффективности деятельности, как правило, быстрее достигают стратегических и операционных целей. При этом компании-лидеры понимают необходимость включения системы управления рисками в «ДНК» организации и делают это.
В настоящее время все больше компаний сосредоточивают усилия на разработке стратегии управления рисками, способствующей росту эффективности бизнеса. Именно такой подход позволил впервые установить отчетливые связи между бизнесом, развитием технологий и стратегией управления рисками. Эти составляющие компании начинают рассматривать в комплексе, как правило, они:
- используют метод определения допустимого уровня риска и устанавливают его;
- для развития толерантности (терпимости) к рискам применяют стресс-тестирование;
- разрабатывают и реализуют эффективную программу управления рисками;
- координируют циклы бизнес-планирования и подготовки отчетности о рисках, что позволяет своевременно учитывать информацию о рисках при бизнес-планировании.
пример
В одной компании члены исполнительного руководства высказывали сомнение относительно эффективности действующей системы управления рисками. Преимущества новых инициатив в области управления рисками для них не были очевидными. Поскольку они требовали значительных средств, их внедрение отнимало много времени и оперативность действий снижалась, а у членов совета директоров возникали вопросы по поводу предоставляемой отчетности. По большому счету руководство не знало, чем занимаются сотрудники и насколько хорошо они работают.
Причина — управление рисками не было частью бизнеса, а ответственность в этой области не была определена. Также отсутствовала координация действий между отдельными подразделениями, выполняющими функции управления рисками. Все это не позволяло исполнительному руководству составить целостную картину состояния дел с точки зрения рисков.
В результате было принято решение разработать и внедрить систему управления рисками на основе следующих мероприятий.
Вначале построили дерево стоимости. Определили от 10 до 15 ключевых рисков, а также пять основных показателей эффективности управления ими. И с помощью дерева стоимости установили взаимосвязи и зависимость между пятью основными показателями эффективности и пятью основными рисками. Раньше такая связь не была очевидной.
Затем определили связи между рисками и циклом стратегического планирования. Организация определила основные риски, но ей требовалось сделать следующий шаг — установить взаимосвязи между основными рисками и циклом стратегического планирования.
После этого включили принципы управления рисками в цикл бизнес-планирования. Благодаря этому организация смогла определить основные риски и выявить зависимости между ними и видами деятельности.
Следующий шаг состоял в оценке использования капитала. Компания тратила много времени на снижение операционных расходов, но не занималась оценкой использования капитала. Поставили цель — обеспечить доходность капитала на уровне от 15 до 20%. Наряду с этим провели оценку распределения капитала по направлениям инвестирования.
Наконец, включили принципы управления рисками в процесс совершения сделок слияний и поглощений. Рост компании обеспечивался за счет слияний и поглощений, а также экспансии на динамично растущих рынках. В целях получения максимального стратегического результата от этих инициатив директор по управлению рисками дополнил процесс совершения сделок слияний и поглощений, а также ведения деятельности на развивающихся рынках принципами управления рисками.
Организации пришлось также изменить представление о риске главного юридического советника, по мнению которого риск не следует документировать, поскольку в этом случае он является обязательством. Установив прямую взаимосвязь между этим риском и отчетной формой 10-К (форма годовой отчетности об эффективности публичной компании, представляемой Комиссии по ценным бумагам и биржам США), сотрудники организации смогли заручиться поддержкой главного юридического советника.
3 Оптимизация функций управления рисками
Необходимость оптимизации функций управления рисками вызвана тем, что по мере развития и роста организации отдельные функции управления рисками, а именно внутреннего контроля и соответствия законодательным требованиям, часто выполняются фрагментарно или автономно, что ведет к нарушению баланса указанных функций. В конечном итоге это сказывается как на контроле за корпоративным управлением, так и на бизнесе в целом. Правление или совет директоров часто получают противоречивую информацию о рисках, что вызывает неопределенность и много вопросов. Отсутствие должной координации указанных функций может привести к увеличению издержек и создать дополнительную нагрузку на бизнес.
Исключив дублирование функций и выполнение лишних мероприятий, можно уменьшить нагрузку, связанную с управлением рисками, сократить затраты, расширить область недопущения рисков и повысить эффективность. Достичь таких результатов можно следующими мерами.
1. Привести в соответствие цели и направления действий. Сосредоточив мониторинг и внутренний контроль на наиболее значимых для бизнеса рисках, можно оптимизировать результаты управления ими.
2. Скоординировать инфраструктуру и использование персонала.
Повышению эффективности способствуют непрерывная оценка квалификации персонала, выявление недостающих знаний, оценка соответствия служебных обязанностей текущему распределению полномочий и инвестиции в профессиональное обучение.
3. Применить согласованные между собой методы и подходы на практике. Единообразный подход к управлению рисками во всей организации поможет унифицировать отчетность и предоставлять совету директоров непротиворечивую информацию.
4. Внедрить единые информационные технологии. Они важны для систематизации бизнес-рисков и повышения значимости управления ими на всех уровнях организации.
Как показало исследование, компании-лидеры используют следующий инструментарий:
- при оценке деятельности специалистов учитывают их обучение в области управления рисками;
- применяют стандартизированные инструменты мониторинга рисков и подготовки отчетности во всей организации;
- используют в управлении рисками интегрированную технологию, исключающую ненужные мероприятия и недостаточное покрытие рисков;
- выявляют и устраняют дублирование мероприятий по управлению рисками либо оптимизируют их.
На практике многие руководители не знают, насколько рентабельны их инвестиции в управление рисками, и часто говорят о нулевой доходности. Сегодня этого уже явно недостаточно.
пример
Одна из крупнейших фармацевтических компаний разрабатывает план мероприятий по управлению рисками, основанный на принципе самофинансирования.
Будучи не удовлетворенным состоянием системы управления рисками своей организации, исполнительное руководство компании выявило целый ряд проблем в системе управления рисками. И для их обсуждения собрало руководителей подразделений, имеющих отношение к данному вопросу, — отделов внутреннего аудита, соответствия требованиям закона Сарбейнса — Оксли (США), соответствия законодательным требованиям и управления рисками, юридической службы и отдела регулирования.
Проблемы таковы:
- ненадлежащее представление о покрытии рисков на уровне совета директоров;
- большая нагрузка на бизнес-подразделения;
- отсутствие координации и обмена информацией в области оценки более чем 13 отдельных рисков;
- разработка семи разных календарей рисков;
- отсутствие согласования сроков мероприятий по управлению рисками с общим «ритмом бизнеса»;
- недостатки в области управления основными рисками;
- дублирование полномочий и обязанностей в области управления рисками.
Исполнительное руководство предложило директорам указанных подразделений в течение трех дней совместно оценить текущее состояние системы управления рисками, определить перспективы развития и разработать план мероприятий, предусматривающий доходность от инвестиций, которая могла бы обеспечить самофинансирование системы управления рисками в будущем. С этой целью была создана рабочая группа по управлению рисками, которая сконцентрировала усилия на шести мероприятиях.
1. Разработала единый календарь (график) планирования, соответствующего бизнес-циклу.
2. Проанализировала полномочия, сферы деятельности и процессы каждого подразделения для выявления недостатков либо дублирования функций, требующих устранения.
3. Скоординировала оценки рисков в соответствии с основными задачами подразделений, ответственных за управление рисками, что позволило снизить количество проводимых оценок с 13 до двух.
4. Приняли и разработали единую систему классификатора и «вселенной» рисков.
5. Разработали стратегию управления рисками.
6. Использовали единые технологии для сбора информации о рисках в общей базе данных, доступной всем подразделениям, занимающимся управлением рисками.
Помимо мероприятий рабочая группа выработала единый подход к управлению рисками, основанный на обмене информацией и координации ранее разрозненных действий различных подразделений и выявлении приоритетных рисков.
Реализованные усилия позволили снизить нагрузку на бизнес, повысить его оперативность, сократить время реагирования на связанные с рисками вопросы и создать условия для самофинансирования.
4 Улучшение контрольных процедур и процессов
Большинство организаций понимают значение совершенствования контрольных процедур и процессов, нацеленных на выявление рисков. Тем не менее многие из них все еще пытаются сформировать оптимальную контрольную среду, основанную на балансе рисков и затрат.
Сегодня можно повысить эффективность и сократить затраты на контрольные процедуры за счет их оптимизации и ориентации на основные бизнес-процессы, преимущественного использования автоматизированных, а не ручных контрольных процедур, непрерывного мониторинга их выполнения и достижения ключевых показателей эффективности.
Компании-лидеры действуют следующим образом:
- определяют и утверждают ключевые показатели риска для направлений деятельности и используют их в целях прогнозирования и моделирования рисков;
- стандартизируют самооценку и другие средства отчетности в рамках компании;
- оптимизируют контрольные процедуры для повышения эффективности деятельности, снижения затрат и улучшения экономических показателей;
- утверждают метрики ключевых рисков на уровне всего предприятия.
пример
Компания-производитель потребительских товаров, включенная в список Global 2000, проанализировала затраты на контрольные процедуры и управление рисками и пришла к выводу, что тратит на это слишком много средств. Оказалось, что чрезмерное регулирование внутренней среды ограничивало возможность финансового отдела оперативно реагировать на изменения конкурентных условий.
Руководство компании приняло решение оптимизировать эти затраты и поставило задачу сократить расходы на поддержание системы внутреннего контроля, общая сумма которых составляла 100 млн евро, на 50%.
Для достижения этой цели в компании были реализованы три основных мероприятия.
1. Учредили международный контрольный центр (Controls Center of Excellence (CcoE)) для разработки и внедрения единого набора контрольных процедур.
2. Внедрили контрольные процедуры, разработанные CcoE на основе стандартных предотвращающих средств контроля, предусмотренных в системе SAP.
3. Использовали контрольные процедуры для обеспечения эффективности контрольной среды, встроенные в программное обеспечение SAP.
Благодаря деятельности международного контрольного центра компания автоматизировала более 90% предотвращающих контрольных процедур, а также ликвидировала дублирующие и неэффективные контрольные процедуры. Программное обеспечение позволило компании минимизировать процедуры ручного контроля и создать более эффективную среду для контроля без бумажных документов. А сбалансированное использование встроенных в SAP процедур контроля, аналитических средств и отчетов помогло руководству компании обеспечить в реальном режиме времени эффективный контроль.
Консолидация многочисленных групп контрольных процедур и законодательных требований в единую систему, поддерживаемую технологией GRC (governance, risk and compliance — единая среда централизованного управления рисками всего предприятия), устранила дублирование и упростила выполнение этих требований. В некоторых случаях затраты можно снизить вдвое.
5 Совершенствование системы управления рисками
и информирование заинтересованных сторон об охвате рисков
Для перехода от стратегии неприятия рисков к готовности принимать риски на себя в организации могут потребоваться значительные изменения. Прежде всего в компаниях следует ввести должность директора по управлению рисками. А руководители должны подавать личный пример в этой области. Переход к управлению рисками предполагает изменение бизнес-культуры, иначе говоря, системы координат, которой пользуются руководители в процессе принятия решений.
Прежде чем вносить изменения в работу компании, ее руководству следует ответить на следующие вопросы:
- какое положение на рынке занимает компания;
- насколько организация готова к изменениям;
- в чем ее отличительные особенности?
Ответы на них нужно положить в основу принятия решений в области управления рисками.
С целью управления изменениями организациям следует вести открытый, регулярный диалог с заинтересованными сторонами. И для повышения их доверия им необходимо предоставлять составленные независимой третьей стороной отчеты.
Для получения же максимальной пользы организации должны оптимизировать применяемые технологи. Из этого, однако, не следует, что технологии определяют мероприятия по управлению рисками — скорее, они создают возможность для проведения изменений. Современные средства GRC способны облегчить управление всеми известными рисками. Все стратегические принципы развития ИТ, ориентированные на управление рисками, нужно согласовывать со стратегией управления рисками и развития бизнеса.
В этой области, отмечают эксперты, компании-лидеры используют следующие подходы:
- регулярно отслеживают недостатки, проводят мониторинг и готовят отчетность с использованием технологии GRC;
- в отчетах отражают индикаторы управления рисками и соответствия законодательным требованиям.
В исследовании отмечается, что никогда еще задача выработки комплексного, скоординированного подхода к корпоративному управлению, управлению рисками и обеспечению соответствия законодательным требованиям не приобретала такого значения, как сейчас. При этом важную роль в содействии преобразованиям, а также в поиске сбалансированного подхода к управлению рисками, затратами и к созданию добавленной стоимости в рамках всего предприятия играют технологии.