Эта статья написана специально для журнала «Внутренний аудитор». Подробнее о журнале и другие статьи номера
Алексей Сидоренко, Руководитель направления международного сотрудничества, АНО ДПО “ИСАР”, основатель портала www.risk-academy.ru
Оценка эффективности управления рисками, как, наверное, и оценка любого бизнес-процесса, сложный и нетривиальный рецепт, который состоит из нескольких важных ингредиентов: понимание целей управления рисками, критериев оценки и анализа фактуры.
В прошлом номере мы говорили о целях управления рисками, позвольте в этот раз подробно описать критерии оценки управления рисками.
Б. Определение критериев оценки управления рисками
Каждый раз, когда я выступаю на конференции по управлению рисками я стараюсь спрашивать аудиторию «на что необходимо обратить внимание, чтобы сделать вывод об эффективности управления рисками в организации?» Это хороший тест для аудитории. Если мне отвечают, что нужно посмотреть на положение по управлению рисками, отчеты о рисках, реестры рисков, аппетит к риску или планы митигации для существенных рисков, я понимаю, что аудитория не очень хорошо понимает, как выглядит эффективное управление рисками. А вот что ответили мне руководители по управлению рисками крупнейших глобальных компаний на прошлогодней конференции G31000, эксперты, ко мнению которых я прислушиваюсь уже много лет:
Риск-менеджмент 1
Риск-менеджмент 1 – это набор действий и документов, направленный на презентацию информации о рисках организации в формате, установленном внешними заинтересованными сторонами. Аудит риск-менеджмента 1 это приблизительно 10% в общем весе критериев оценки эффективности управления рисками.
В рамках аудита риск-менеджмента 1 необходимо проанализировать следующие критерии:
Все ли есть из внешних требований к риск-менеджменту 1?
Для большинства компаний существует как минимум несколько внешних документов к управлению рисками, где перечислены требования или рекомендации в отношении управления рисками. Это могут быть новые изменения в законе об акционерных обществах, ГОСТ Р ИСО31000, кодекс корпоративного управления ЦБ или методические рекомендации Росимущества, а также отраслевые стандарты и рекомендации, которые так или иначе затрагивают тему управления рисками. Первая задача внутреннего аудитора в рамках риск менеджмента 1 убедиться, что любые документы, упомянутые во внешних требованиях, разработаны и внедрены в организации.
Как много ресурсов затрачивается на обновление риск-менеджмента 1?
Риск-менеджмент 1 - это важный элемент корпоративного управления, при этом важно не столько само содержание документов, сколько их наличие. Скажу больше, с учетом влияния ментальных ловушек и методологических ошибок при оценке рисков через ущерб и вероятность, а также ошибок в самом дизайне карт рисков, содержание типовых документов риск менеджмента 1 заведомо содержит искаженные данные и не может быть использовано для принятия менеджментом решений. Анекдоты, которые я постоянно слышу от коллег, что риск-менеджеры спорят с внутренними аудиторами о том, кто, сотрудник или подразделение, должен быть владельцем рисков, или нужно ли оценивать присущий и остаточный уровень риска, или что должно или не должно включаться в критерии экспертной оценки рисков, просто пугают. Спорить о цвете ставней потемкинской деревни (а риск менеджмент — это именно потемкинская деревня), лично мне кажется очень странным.
Поэтому, ключевой критерий для аудита — это то, как мало времени, именно мало, затрачивается на риск-менеджмент 1. Задача риск менеджера в организации соответствовать внешним требованиям, при этом не быть помехой для менеджмента. В ходе обучения, которое АНО ДПО «ИСАР» проводит для риск-менеджеров крупнейших нефинансовых компаний (более 150 сертифицированных риск менеджеров по всему СНГ), мы постоянно слышим истории о том, как ежегодное формирование профиля рисков или ежеквартальная актуализация реестра рисков занимают недели, а то и месяцы работы. Это крайне неправильный подход.
С одной стороны, у риск-менеджеров не остается времени на риск-менеджмент 2, с другой стороны, менеджмент теряет уважение и интерес к риск-менеджменту, так как риск-менеджмент 1 никак не влияет на планирование, целеполагание, бюджетирование, мотивацию или принятие важных для бизнеса решений. Риск-менеджмент 1 должен занимать не более 10-20% времени команды риск менеджеров.
Насколько риск-менеджмент 1 используется для получения финансовой выгоды для компании?
Раз уж в обозримом будущем, риск-менеджмент 1 никуда не исчезнет и риск-менеджерам придется разрабатывать регламенты по управлению рисками и поддерживать в актуальном состоянии реестры рисков, этим нужно пользоваться. Последним критерием для аудита является финансовая выгода от риск-менеджмента 1. На момент написания статьи, страховые компании, банки, внешние аудиторы и рейтинговые агентства все еще позитивно оценивают наличие риск менеджмента 1. Качественный и полноценный риск-менеджмент 1, хоть и бесполезен для принятия бизнес решений, помогает экономить на страховании и привлечении внешнего финансирования. Задача риск менеджеров обеспечить экономию. Задача внутреннего аудита убедиться, что это действительно происходит.
Риск-менеджмент 2
Одним из первых и наиболее важных тестов эффективности управления рисками в организации является уровень интеграции процессов выявления, анализа и управления рисками в процессы принятия управленческих, инвестиционных и операционных решений. Мы называем это «риск-менеджмент 2». Аудит риск-менеджмента 2 это приблизительно 50% в общем весе критериев оценки эффективности управления рисками.
Для того чтобы сделать вывод об интеграции управления рисками в ключевые бизнес-процессы и процессы принятия решений организации, необходимо обратить внимание на:
Регламенты, описывающие бизнес-процессы
Первое на что необходимо обратить внимание в рамках аудита риск-менеджмента 2 - это то, насколько управление рисками интегрировано в действующие нормативные документы в организации. Не отдельный регламент по управлению рисками, это риск-менеджмент 1, а то, насколько требования и принципы управления рисками прописаны во всех ключевых нормативных документах. Есть ли в регламенте планирования и бюджетирования требование о проведении полноценного анализа рисков на этапе формирования стратегии или бюджета? Есть в регламенте закупок требование или процедура оценки поставщиков с точки зрения рисков или прописаны требования риск-ориентированного мониторинга и контроля? И так далее.
В риск-менеджменте 2, во всех ключевых бизнес-процессах должны быть прописаны требования к анализу рисков на этапе принятия существенных решений. При этом анализ рисков должен проводиться не для принятия к сведению, а непосредственно и напрямую влиять на принимаемое решение. Например, на моем прошлом месте работы, NPV проекта считался условно по разным формулам в зависимости от уровня риска проекта.
Материалы и протоколы принятия решений
Второе на что необходимо обратить внимание это материалы, повестки и протоколы заседаний, на которых принимаются решения с учетом рисков. Если в материалах Правления или Инвестиционного комитета информация о рисках в явном виде не раскрывается, это, скорее всего, говорит о том, что риск-менеджмент 2 делается не системно или является неэффективным.
Интересное наблюдение, что если принципы риск-ориентированности добавить во все аудиты в течение года, то тогда внутренним аудиторам не придется вообще отдельно проверять риск-менеджмент 2.
Роль риск-менеджмента в процессе принятия решения
Последнее на что необходимо обратить внимание, это то, как руководители воспринимают риск-менеджмент в процессе принятия решений. Для этого возможно проведение нескольких интервью с ключевыми руководителями, чтобы оценить, как они видят роль и в чем видят пользу от анализа рисков в процессе принятия решений.
В следующем номере я опишу критерии аудита культуры управления рисками и самой команды риск менеджеров…