Как построить эффективную систему управления рисками предприятия

В октябрьском номере журнала за 2015 год в статье Управление рисками как неотъемлемая часть системы управления предприятием. Причины проблем при организации управления рисками на предприятии с государственным участием" мы писали о том, почему во многих компаниях недостаточно эффективно функционируют системы управления рисками. А что такое эффективная" система управления рисками? Как ее построить? И наконец, какова роль внутренних аудиторов в ее построении? В настоящей статье попытаемся ответить на эти вопросы.

Риски являются объективным и неизбежным фактором любой хозяйственной деятельности. То есть и управление рисками необходимо при любой хозяйственной деятельности.

Свод общих положений Управление рисками организаций. Интегрированная модель", который был разработан в 2004 году комитетом спонсорских организаций Комиссии Трэдуэй (COSO ERM), дает следующее определение управлению рисками:

Управление рисками организации - это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на выявление потенциальных событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также на осуществление контроля за непревышением риск-аппетита организации и предоставление разумной уверенности в достижении целей организации".

Документ COSO ERM (с последующими изменениями и дополнениями) является основополагающим стандартом по управлению корпоративными рисками предприятий любого профиля. В частности, на его основе Федеральным агентством по управлению государственным имуществом (ФАУГИ) разработаны и методические указания по подготовке Положения о системе управления рисками для предприятий, акционером которых является государство.

В отчетах многих организаций, как частных, так и государственных, существуют целые разделы, посвященные описанию рисков и управлению ими, предоставлены карты рисков. Но стоит ли за этими разделами и картами реальное управление рисками?

Эксперты Института внутренних аудиторов отмечают, и это подтверждается практикой, что система управления рисками как целостная совокупность элементов (методики и информационной системы), посредством которых общество может контролировать риски на всех уровнях", построена в очень незначительном количестве организаций, а процессы управления рисками в большинстве случаев даже не формализованы. Отметим, что это не касается (или касается в малой степени) кредитных и страховых организаций, деятельность которых жестко регламентирована и в которых управление рисками является частью основной деятельности организаций.

Как же заинтересованным лицам (акционерам, совету директоров, менеджменту и пр.) построить эффективную систему управления рисками на предприятии? Постараемся в этом разобраться.

Сущность и цель процесса управления рисками. Необходимость его формализации

Хотя существуют международные стандарты в области управления рисками (COSO ERM) и методические указания ФАУГИ, с достаточной долей уверенности можно сказать, что представления об эффективном процессе управления рисками у различных людей разное. Примерно, как представление различных людей о занятиях спортом. Одни под этим словосочетанием подразумевают ежедневную утреннюю зарядку, а другие еженедельную игру по воскресеньям в футбол с друзьями. И те и другие по-своему правы, но на взгляд специалиста это вещи разные, да и эффект (для укрепления здоровья человека) от этих мероприятий различается.

Вникнем в сущность определения управления рисками, данного COSO ERM. Напомним, что риск в COSO ERM определен как

событие, которое в случае своей реализации может оказать негативное влияние на достижение организацией поставленных целей".

Абстрактно, управление рисками - это предвидение, мозговой штурм" того, какие отрицательные, негативные последствия принесут последующие действия, и планирование мероприятий по минимизации этих последствий.

Практически управление рисками является важнейшей составной частью процесса управления деятельностью любого предприятия. В любом действующем предприятии менеджеры, в той или иной степени, управляют рисками. Без существования системы управления рисками практически любое предприятие, даже в ближайшей перспективе, маложизнеспособно. Задача - совершенствовать эту систему или, другими словами, совершенствовать процессы управления рисками.

Цель совершенствования системы управления рисками на предприятии - заставить всех принимающих решения думать о последствиях этих принимаемых решений и, естественно, отвечать за них.

Если эта цель достигнута, то только тогда систему управления рисками можно считать эффективной.

Подчеркнем, формализация процессов управления рисками не является целью, это только инструмент, служащий достижению цели. Управление рисками - это мыслительный" процесс, происходящий в головах" менеджеров. Но если в повседневной жизни для себя мы можем не формализовывать этот процесс и оставлять его результаты в голове", то на предприятии без этого не обойтись.

Акционеры, доверив исполнительному руководству предприятий управлять значительными активами и материальными ценностями, хотят видеть, как в ходе управления происходят процессы принятия и исполнения управленческих решений, как продумываются различные варианты действий, какие действия предпринимаются для минимизации негативных последствий тех или иных событий. То есть акционеры хотят видеть этот мыслительный" процесс, им требуется максимальная его прозрачность".

Отметим, что и исполнительное руководство предприятий также должно быть заинтересовано в прозрачности" процессов управления рисками, хотя бы для оценки деятельности своих подчиненных.

Формализация процессов управления рисками

Определить, эффективны процессы управления рисками или нет, достаточно сложно. Ответ всегда будет субъективен.

Сразу отметим, что наличие формализованной системы управления рисками на предприятии не является стопроцентной гарантией того, что управление рисками на предприятии осуществляется эффективно. Но оно позволяет предположить, что на предприятии уделяется достаточное внимание процессам управления рисками, что способствует повышению эффективности этих процессов.

Часто при построении, точнее сказать, формализации процессов управления рисками совершается одна и та же общая ошибка.

Инициаторы пытаются сразу использовать все механизмы и технологии управления рисками и нагрузить" участников процесса всей имеющейся информацией по управлению рисками.

Карта риска, паспорт риска, риск-матрица, риск-аппетит, экспозиция риска, Марковский анализ, моделирование методом Монте-Карлоhellip;

Если опять обратиться к аналогии с занятиями спортом, то это сравнимо с тем, что человеку, пожелавшему заняться физическими упражнениями, сразу предлагают комплекс упражнений, предназначенный

для спортсменов-профессионалов. И это несмотря на то, что человек даже отжаться от пола пару раз не можетhellip;

Задача внутренних аудиторов при внедрении системы управления рисками - предложить менеджерам такую технологию (модель) управления, которая будет понятна всем и применима на всех уровнях управления предприятием. При этом необходимо внедрять систему управления рисками постепенно, не гонясь за быстрыми результатами. Необходимо помнить, что изменение мышления, а управление рисками - процесс мыслительный", происходит эволюционным, а не революционным путем.

По аналогии с занятиями спортом мы должны научить (увлечь) человека ежедневно делать элементарную утреннюю гимнастику, которая укрепит его здоровье. А по мере укрепления организма переходить к более сложным физическим упражнениям.

Но как формализовать мыслительный" процесс управления рисками?

И формализовать его так, чтобы он стал эффективным, то есть достиг своей цели с наименьшими затратами? Эффективными отчетно-учетными формами формализации являются паспорта рисков, составляемые на определенную дату, и карты рисков, составленные на основании информации, полученной из паспортов. Паспорт риска составляется на каждый риск, а карта рисков включает в себя все выявленные риски, сопутствующие достижению цели.

Кроме того, процесс управления рисками включает в себя и организацию рабочих групп, и проведение различных совещаний, и обучающие семинары. Все это сопровождается созданием многих регистрирующих документов: протоколов заседаний комитета по управлению рисками (если он есть), протоколов различных совещаний на тему управления рисками, приказов и распоряжений, планов мероприятий и планов чрезвычайных мероприятий, различных отчетов и служебных записок на тему управления рисками и т.д. и т.п. Но все они являются как бы приложениями" к паспортам и картам рисков, дополнительным подтверждением информации, содержащейся в паспортах.

Остановимся подробнее на оформлении этих двух основных документов.

Паспорт риска

В таблице 1 приведен пример паспорта риска. Дадим рекомендации по заполнению разделов Описания риска" и Оценки присущего риска".

1. Описание риска.

Процессы, выполняемые подразделением, - наименование официально регламентированных и не регламентированных, но фактически осуществляемых подразделением функций, процессов.

Владелец риска - руководитель подразделения, персонально отвечающий за оценку, контроль и управление данным риском, т.е. мотивированный на его снижение и располагающий достаточными полномочиями для воздействия на него. Владелец риска может быть только один.

Председатель комитета по управлению рисками. Руководитель комитета, являющегося совещательным органом по всем вопросам управления рисками при генеральном директоре предприятия. В компетенции комитета входит, в частности, утверждение базовых регламентирующих документов системы управления рисками; подготовка проектов решений для генерального директора по всем вопросам его компетенции в отношении системы управления рисками; регулярное рассмотрение основных рисков предприятия, включая наиболее значительные риски подразделений предприятия; регулярное рассмотрение и утверждение сводной карты рисков предприятия, сводного плана мероприятий по реагированию на данные риски и, при необходимости, плана чрезвычайных мероприятий; надзор за эффективностью деятельности руководителей подразделений предприятия в рамках системы управления рисками. Деятельность комитета по управлению рисками рекомендуется регламентировать Положением о комитете.

Координатор рисков - сотрудник, являющийся экспертом в области управления рисками, который содействует процессам выявления, оценки и реагирования в отношении рисков соответствующего подразделения (или предприятия), консолидирует информацию о рисках и передает в комитет по управлению рисками. Координатор не принимает самостоятельных решений по управлению рисками.

Цели процессов - указываются цели, отраженные в стратегическом, годовом или каком-либо другом плане предприятия и/или подразделения, а также не закрепленные официально цели, достижение которых тем не менее запланировано.

Наименование риска. В данном разделе необходимо указать риск, которому подвержен процесс, выполняемый подразделением.

Категория риска. Примерная типовая классификация рисков приведена в схеме 1.

Список приведенных рисков не является исчерпывающим и может как включать, так и не включать риски, присущие данному процессу.

Описание риска - раздел должен включать подробное описание риска с указанием причин или событий, влияющих на вероятность проявления риска и обоснование возможных последствий.

Причины. Подробный перечень причин, обуславливающих наступление данного события. Отсутствие контроля или методов воздействия на риск причинами не является.

Последствия. Подробный перечень возможных последствий от наступления рискового события, выраженных в конкретных денежных потерях, потерях репутации, доли рынка и т.д.

2. Оценка присущего риска.

Влияние - воздействие риска на долгосрочные и/или краткосрочные цели предприятия в случае реализации данного риска, последствия его реализации. Выражается в денежных единицах или баллах. Значение коэффициента определяется экспертным методом, например, в соответствии со шкалой (период прогноза, как правило, 1 год), изображенной в таблице 2.

Данный показатель субъективен и определяется на основании экспертной оценки лиц, заполняющих паспорт риска. Как правило, каждому баллу соответствует определенный ценовой коридор" последствий.

Вероятность - вероятность наступления определенного риска, обычно выражаемая величиной от 0 до 100 процентов либо баллами. Значение коэффициента определяется экспертным методом в соответствии со следующей шкалой (период прогноза, как правило, 1 год), изображенной в таблице 3.

Данный показатель также субъективен и определяется на основании экспертной оценки лиц, заполняющих паспорт риска.

Скорость реализации - величина, характеризующая время от момента наступления риска до того момента, когда полностью реализуется влияние риска на краткосрочные и/или долгосрочные цели предприятия.

Значимость - величина, равная произведению вероятности возникновения на оценку влияния, определяющая интегрированную оценку важности того или иного риска.

Способ реагирования - основной подход, признанный целесообразным с точки зрения реагирования на тот или иной риск. Возможные способы реагирования на риски включают снижение риска, передачу риска, принятие риска и избегание риска.

В паспорте указаны все участники процесса, описан бизнес-процесс (бизнес-процессы), которому сопутствует рассматриваемый риск. Итак, риск оценен и описан, описаны мероприятия по минимизации риска и контрольные процедуры. Разработаны планы чрезвычайных мероприятий, оцениваются остаточные риски, планируемые и фактические. Вся эта информация и делает паспорт отчетно-учетным документом по управлению риском. Если составлять такие паспорта на конкретный риск в течение всего времени его реализации и хранить их в бумажном и электронном виде, то, сопоставив их, можно увидеть динамику всех процессов, отраженных в паспорте. Данные из электронных форм паспортов удобно представлять в различных графических формах, что наглядно при анализе того или иного риска.

С достаточной долей уверенности можно сделать вывод, что процессы составления паспортов рисков, учета самих паспортов, учета изменений в паспортах, учета процессов реализации мероприятий, записанных в этих паспортах и направленных на минимизацию рисков, повышают эффективность системы управления рисками на предприятии. То есть заставляют всех принимающих решения думать о последствиях этих принимаемых решений и, естественно, отвечать за них.

Карта рисков. Общий подход к построению карты рисков

На основании информации, полученной из паспортов рисков, составляются карты рисков. Карта рисков дает наглядное представление обо всех рисках, сопутствующих достижению цели предприятием на дату ее составления. То есть карта рисков - это документ, отражающий (результирующий) на определенную дату информацию о рисках, сопутствующих достижению цели, составленный на основании информации, полученной из паспортов рисков. На схеме 2 приведен пример карты рисков.

Карта рисков представляет собой схематичное отображение рисков по степени их влияния и вероятности. Влияние и вероятность - это главные категории оценки риска. На представленном примере карты рисков ри��ки ранжированы по их значимости. Значимость, равная результату от произведения баллов вероятности и баллов влияния, определяет место риска на карте рисков предприятия.

Выше мы отмечали, что влияние может быть также определено и в денежных единицах, а вероятность в процентах. Для каждого предприятия это могут быть свои величины, зависящие от специфики и размеров его деятельности.

Карту рисков удобнее представлять в виде точечной диаграммы, осями которой являются интервалы значений влияния и вероятности, условно определенные низкой, средней и высокой степенями. Деление на эти степени имеет своей целью дифференциацию подхода к рискам, имеющим различный уровень влияния и вероятности.

Красным цветом на карте выделена область высоких рисков. Последствия их реализации могут быть критичны и даже катастрофичны для предприятия. Эти риски необходимо предотвратить до их появления. Возможно, даже отказавшись от реализации цели. По всем рискам, попавшим в область высоких рисков, необходимо разработать план действий по мониторингу их уровня и снижению вероятности их появления и устранению возможных последствий. Все эти мероприятия необходимо отразить в паспортах соответствующих рисков.

Белым цветом выделена область средних рисков. Эти риски не являются столь критичными, как риски в красной области, однако также требуют повышенного внимания, поскольку оценки рисков из этих областей могут переместиться в красную область. По рискам, попадающим в эти области, необходимо привести краткую характеристику действий по управлению их вероятностью и влиянием, необходимо разработать перечень мер по снижению этих рисков. Все это также необходимо отразить в паспортах соответствующих рисков.

Серым цветом выделена область низких рисков. Эти риски не являются предметом глубокого анализа и управления, поскольку либо маловероятны, либо несут незначительный ущерб. По данным рискам целесообразно идентифицировать факторы, то есть причины их появления, и разработать меры по их контролю, заполнить соответствующие разделы паспортов рисков.

Карта рисков реального предприятия отличается от представленной на схеме 2 практически только тем, что в соответствующих частях карты указаны перечень сопутствующих рисков и владельцы рисков. Это удобно и наглядно при мониторинге процессов управления рисками для дальнейшего анализа паспортов рисков.

С достаточной долей уверенности можно утверждать, что процессы составления карт рисков на основе данных из паспортов рисков, обсуждение и мониторинг изменений этих карт повышают эффективность системы управления рисками на предприятии и заставляют всех принимающих решения думать о последствиях этих принимаемых решений и, естественно, отвечать за них.

Итак, мы собирались ответить на вопросы, что такое эффективная" система управления рисками, как ее построить и о роли внутренних аудиторов в ее построении. Мы определили, что цель совершенствования системы управления рисками на предприятии - заставить всех принимающих решения думать о последствиях этих принимаемых решений и, естественно, отвечать за них. При достижении этой цели процесс считается эффективным. Вспомним также, что в целом эффективным можно считать процесс, при котором цель достигается с наименьшими затратами.

Появление реальных, проработанных и постоянно отслеживаемых карт рисков приводит к прозрачности" всего бизнеса. Это важно при принятии как тактических, так и стратегических решений. Обсуждение карт рисков проектов, где риски оценены и имеют стоимость, положительно влияет на адекватность принимаемых решений. При составлении паспортов на каждый риск, помимо описания самого риска и его оценки, указываются Ф. И. О. и должности лиц, ответственных за управление риском, перечень мероприятий по минимизации риска, сроки исполнения этих мероприятий и ответственные за их исполнение, расчеты остаточного риска и т.д. и т.п. Информацию в паспортах постоянно актуализируют. О рисках пишут, фиксируют их на бумаге или в электронном виде, и это не совсем одно и то же, когда о рисках только говорят. У каждого риска появляется сотрудник, отвечающий за то, чтобы риск либо не свершился, либо был минимизирован. То есть формализация процесса управления рисками запускает механизм осмысления" сотрудниками предприятия своих действий и их последствий. А так как управление рисками - это непрерывный процесс, то в результате постоянное осмысление" своей работы приводит к ее улучшению и, следовательно, к совершенствованию деятельности самой организации.

Рассмотренные процедуры формализации процессов управления рисками - составление и актуализация паспортов рисков и карт рисков - не являются вещами затратными. Они не требуют дополнительных вложений, а требуют только желания и усилий менеджмента на свое осуществление. При этом достигается важнейшая цель - принятие взвешенных решений на всех уровнях управления предприятием.