Комплексная система управления рисками (Enterprise Risk Management, ERM) активно обсуждается уже более десяти лет . За это время наблюдалось несколько волн интереса к этой теме , и в настоящее время мы как раз находимся на гребне такой волны . В связи с этим организации в разных странах мира разработали концепции управления рисками с целью помочь компаниям понять и внедрить ERM . Некоторые из этих концепций детально проработаны и содержат методические рекомендации , в то время как другие элементы управления рисками и подходы интегрированы в корпоративное управление .
Процесс управления рисками компании часто описывают как путешествие, важную инициативу, подразумевая под этим его масштаб и необходимость создания новой инфраструктуры, существенные изменения, инвестиции и временные затраты, таким образом, представляя его не очень привлекательным проектом в современных сложных условиях ведения бизнеса. К счастью, большинство компаний уже инвестировали и продолжают делать весьма крупные инвестиции в систему управления рисками своих организаций. Основная идея заключается в том, чтобы найти правильный подход к оценке и совершенствованию инфраструктуры и процессов управления рисками, которые уже существуют в компании, и определить оптимальный способ повышения их эффективности и экономической оправданности. Для некоторых компаний, в особенности в регулируемых отраслях, внедрение формальной системы управления рисками является правильным подходом, требующим больше времени и инвестиций. Для других возможности постепенного внедрения небольших усовершенствований в области управления рисками могут быть по-прежнему сопряжены с некоторым повышением уровня формализации, но в целом такой подход может оказаться значительно более насыщенным и точечным. В любом случае формальное определение ERM и/или краткое описание политики компании в области управления рисками послужит полезным руководством к действию.
Определить окружение и разработать конценцию
Ключевым компонентом любой концепции должно быть определение бизнес-окружения, в котором осуществляется управление рисками. Окружение должно помочь понять, как ERM вписывается в повседневную деятельность руководства. Описание бизнес-окружения должно быть простым, понятным и интегрированным. Описание способствует разработке дальнейших этапов развития и часто представляет собой отправную точку для обсуждения выбора или построения детальной структуры, на базе которой будет осуществляться будущая деятельность ERM .
Существуют различные концепции по управлению рисками и обеспечению соблюдения требований, которые разработаны в последние годы, в том числе в ответ на различные недавние кризисы. Тем не менее добровольное принятие этих концепций, по меньшей мере в общем виде, было скорее исключением, чем правилом.
Помимо этих более широких концепций, многие компании, в частности, включенные в листинг в США, провели или проводят кардинальный пересмотр своих систем внутреннего контроля над подготовкой финансовой отчетности согласно положениям закона Сар-бейнса-Оксли 2002 г. К счастью, инфраструктура, технологии и процессы, благодаря которым достигается со –
блюдение требований закона Сарбейнса-Оксли, могут представлять собой мощную и гибкую основу для более широкого рассмотрения рисков в рамках компании.
Критические факторы успеха при выборе, построении и/или адаптации концепции включают в себя:
- акцент на областях, в которых наиболее вероятно получение быстрых и ощутимых результатов;
- актуальность и ценность для участников;
- точную адаптацию под существующие бизнес-процессы, системы внутреннего контроля и управления рисками;
- использование понятного, последовательного и общего языка при описании и обсуждении рисков.
Потребность четкого определения и понимания риска
При всем обилии разговоров об ERM и множестве сопутствующих подходов к оценке, концепций и обсуждений все руководители в одинаковой степени разделяют общее желание: получить краткий отчет, описывающий ключевые риски, позволяющий понять, как они управляются и отслеживаются, определить основные проблемы и ответственность. Фактически простой краткий отчет о ключевых рисках — это единственный наиболее важный результат мониторинга в рамках эффективного подхода к ERM .
Краткий отчет о рисках может представить директорам ключевые риски компании в доступной и прикладной форме. Исполнительное руководство может лучше отслеживать и контролировать статус ключевых рисков, а линейные менеджеры — лучше определять приоритеты работы и предоставлять отчеты о статусе ключевых рисков и сопутствующей деятельности.
Рекомендуемые элементы краткого отчета о рисках:
- Тип риска (финансовый, операционный, нормативный, стратегический).
- Описание риска.
- Общий рейтинг (последствия, вероятность, эффективность контроля).
- Ключевые процессы управления риском.
- Мониторинг и результаты (внутренний аудит, самооценка и т. д.).
- Недостатки/проблемы/действия.
- Владелец риска/ответственная сторона.
- Влияние на процессы, проекты и/или стратегические цели.
Пример: предоставление отчетности по рискам и квартальные итоги деятельности. Совет директоров глобального поставщика логистических услуг был неудовлетворен деятельностью компании по выявлению, мониторингу и предоставлению отчетности о ключевых рисках, которые самым существенным образом могли затронуть квартальные итоги деятельности. В числе недостатков указывался «точечный» подход, который не был соотнесен с процессом стратегического планирования, в результате чего данные тяжело было представить исполнительному руководству в количественном выражении и заложить в квартальные прогнозы.
Для решения этой задачи руководство компании разработало количественный подход, направленный на контроль, который связал оценку риска с процессами стратегического, бизнес-планирования и планирования деятельности внутреннего аудита. Наложив сценарий анализа на среднесрочный план компании, проектные группы определили и разработали метод раннего оповещения о проблемах и помогли компании определить индикаторы ключевых рисков.
Ценность такого интегрированного подхода, который руководство признало эффективным и ценным для целей оценки рисков, стала очевидной в первом квартальном отчете компании о рисках, в котором освещены ключевые риски, индикаторы рисков и, посредством новой системы раннего оповещения, «обратная связь» по важным проблемам.
Обеспечение защиты стоимости компании
Для публичных и частных компаний риски, способные негативно влиять на стоимость компании, имеют наибольшее значение. К сожалению, во многих организациях оценка рисков в основном сконцентрирована на уровне процессов. Хотя это и важно, но при таком подходе трудно удостовериться в том, что основные бизнес-риски компании действительно учитываются.
Для публичных компаний первоочередное значение имеют риски, влияющие на стоимость компании для акционеров. Определение таких рисков, обеспечение надлежащего мониторинга и управления ими является задачей номер один в рамках совета директоров. Стоимость акции часто определяется чистой текущей стоимостью в двух ключевых областях: возможностей будущего роста и основных направлений деятельности.
Первый компонент , возможности будущего роста, — это стратегии и сопутствующие цели, которые преследует компания с тем, чтобы со временем потенциально увеличить конкурентные преимущества и свою акционерную стоимость. Для многих компаний эти возможности представляют собой более половины общей стоимости акций. Риски, связанные с реализацией данных возможностей, а также риски в рамках вспомогательных процессов и проектов критически важны, но они зачастую не попадают в поле зрения в рамках традиционного процесса оценки рисков.
Второй компонент , основные направления деятельности, включает в себя такие активы и связанные с ними процессы в компании, которые генерируют или поддерживают самую большую долю дохода и/или прибыли. Следует начать с определения ключевых рисков, присущих данным процессам. Кроме этого, должны рассматриваться процессы, которые в принципе сопряжены с рисками, но не обязательно генерируют существенный доход или прибыль, в особенности те из них, которые подвергают риску существенный объем капитала, например торговые зоны в ряде компаний.
Стремление узнать неизвестное
«Риски, которые меня больше всего тревожат, это риски, о которых мне еще ничего не известно», — таково общее мнение генеральных директоров и руководителей, ответственных за управление рисками и мониторинг. Это утверждение особенно справедливо в отношении компаний, недавно столкнувшихся с неожиданными рисками или находящихся в процессе существенных изменений. Это заставило многих руководителей и в некоторых случаях инвесторов задуматься о том, какие новые риски может выявить более широкая их оценка. В отсутствие соответствующих регламентирующих требований могут возникнуть трудности с привлечением ресурсов для расширения масштабов оценки рисков с сохранением прежнего уровня требований. К счастью, существует ряд методов, которые могут расширить зону охвата, степень открытости и качество данных, участвующих в оценке рисков, без необходимости увеличивать нагрузку на бюджет. К таким методам относятся:
1. Опросы являются эффективным средством сбора данных о рисках в рамках компании в целом и даже за ее пределами — с участием поставщиков и клиентов. Могут проводиться посредством электронной почты или с использованием интернет-технологий, что позволяет легко обобщить результаты, проанализировать их и подготовить отчетность.
2. Семинары . Многие, если не большинство участников семинаров по вопросам оценки рисков входят в аудиторию без особого энтузиазма от предстоящего мероприятия. К счастью, большинство выходят из аудитории с абсолютно противоположными настроем. Правильно организованный трех-четырехчасовой семинар может помочь составить описание риска, которое будет способствовать принятию практических решений.
3. Аналитика . Интерес к аналитике возрастает, все чаще применяются аналитические методы при оценке риска. Ключ к успеху заключается в информированности об имеющихся технологиях, средствах, процедурах их применения и использовании полученных результатов. Благодаря наличию гибких форматов данных и растущему их использованию проблема исторических данных для анализа уменьшается. В ряде случаев анализ можно проводить на постоянной основе, с незначительными изменениями и исключениями.
4. Возможность обнаружения . Если проводится активная работа по обнаружению новых существенных рисков, которые затем документально оформляются, необходимо принимать по ним соответствующие корректирующие действия. В противном случае в будущем могут возникнуть юридические проблемы. Следует проконсультироваться с главным юрисконсультом или со сторонним консультантом по юридическим вопросам.
5. Раскрытие информации . В некоторых случаях риски, которые могут быть обнаружены и документально оформлены как часть более широкого процесса оценки рисков, могут потребовать последующего раскрытия информации. Вследствие этого комитет по раскрытию или эквивалентный орган должен внести свой вклад в процесс оценки рисков.
6. Опыт и знания . Иногда сложно определить риски, с которыми компания еще не сталкивалась. В этом случае внешние контрольные показатели и/или содействие третьих лиц, имеющих опыт работы с подобными рисками в отрасли или группе риска, могут оказаться бесценными.
Проведение оценки рисков в качестве внутренней процедуры
Хотя на практике внедрение ERM начинается с детальной оценки рисков, процесс часто останавливается в связи с отсутствием ресурсов, заинтересованности и/или предполагаемого результата. Во избежание такого тупикового развития событий оценка рисков должна эволюционировать в постоянную внутреннюю деятельность в рамках корпоративных процессов стратегического, бюджетного, аудиторского и бизнес-планирования, а не быть пусть и важным, но изолированным процессом.
Итак, ключевыми блоками для создания последовательного внутреннего процесса являются:
- акцент на риске для акционерной стоимости/стоимости для заинтересованных сторон;
- последовательные критерии оценки рисков, направленные на принятие соответствующих действий;
- общие элементы отчетности и стиль.
Включение данных блоков в существующие процессы планирования может и должно быть относительно несложным процессом. Многим компаниям принесла пользу именно простота процесса и относительно короткий список ключевых рисков, составленный в результате конкретного процесса планирования. Данный процесс в дальнейшем может быть автоматизирован.
Пример: избежание неожиданностей за счет лучшей координации . Крупная европейская фармацевтическая компания столкнулась с определенными рисками. Юридические и регламентирующие требования за –
ставляли компанию применять более жесткий подход к управлению рисками. В то же самое время исполнительное руководство и совет директоров планировали получить полную картину ключевых рисков, которым подвержена компания. С этой целью были предприняты следующие шаги:
- инвентаризация огромного количества областей, связанных с управлением, оценкой и мониторингом рисков и подходами, используемыми для достижения поставленных целей;
- применение «модели зрелости» или «континуума практических подходов» для того, чтобы определить текущее и желательное будущее состояние ERM ;
- разработка планов ликвидации пробелов и мониторинга результатов.
Хотя такой подход был довольно дорогостоящим, достигнутые улучшения в области идентификации и управления рисками компании, как в настоящее время, так и в перспективе, позволили легко компенсировать затраты.
Распространение внутреннего аудита на все рисковые области
Служба внутреннего аудита является для совета директоров одним из наиболее мощных инструментов для понимания полного спектра ключевых рисков, которым подвержена компания, и мониторинга эффективности соответствующих контролей и процессов управления рисками. Кроме этого, зачастую она является единственным органом, обладающим необходимыми навыками и полномочиями для проведения оценки рисков в рамках всей компании.
Однако в процессе практической деятельности перед службой внутреннего аудита встает множество проблем, среди которых:
- слабое знание и недостаточное участие в корпоративных процессах стратегического и бизнес-планирования — ключевой области, в которой могут быть выявлены риски возможностей будущего роста и определены финансовые последствия для заинтересованных лиц;
- отсутствие необходимых навыков, времени, средств для проведения тщательной оценки рисков по всем подразделениям и областям;
- недостаточность ресурсов и навыков для охвата ключевых рисковых областей в рамках меняющейся среды рисков компании;
- потребность концентрировать усилия в основном на рисках финансовой отчетности.
Основной проблемой остается нехватка ресурсов. Для решения этой проблемы ведущие компании предпринимают активные меры, предусматривающие:
1. Влияние . Хотя служба внутреннего аудита не всегда может провести оценку рисков непосредственно по всей компании, она может выступать в роли инициативного разработчика, посредника и получателя результатов процесса оценки рисков, осуществляемого в интересах руководства и различных корпоративных структур и проводимого в рамках действующих процессов.
2. Аутсорсинг . В условиях, когда служба внутреннего аудита сталкивается с отсутствием либо ресурсов, либо соответствующих навыков, привлечение консультантов может послужить единственным способом решения проблемы покрытия рисков.
3. Ротация и обучение смежным профессиям . Для того чтобы сохранить свои лучшие ресурсы и подготовить будущих лидеров в рамках компании, многие службы внутреннего аудита привлекают ресурсы из других подразделений. Кроме этого, сотрудники службы внутреннего аудита проходят ротацию по различным областям риска и сферам ответственности для сохранения привлекательных условий работы и повышения своей ценности на тот случай, если они впоследствии примут решение вернуться к роли управленцев.
Пример: составление плана внутреннего аудита, действительно основанного на рисках. Крупная американская публичная компания, занимающаяся специализированной розничной торговлей, хотела удостовериться, что план внутреннего аудита действительно основан на ключевых рисках компании. Хотя существующий процесс планирования охватывал области, определенные совместно руководством и службой внутреннего аудита как важные, совет директоров потребовал подтвердить, что выбранные области действительно соответствовали ключевым рискам.
Для этого были определены основные факторы стоимости компании. Затем путем проведения опросов, интервью и семинаров были идентифицированы и оценены риски, которым подвергаются эти факторы стоимости. На основе оценки рисков был разработан по-настоящему ориентированный на риски план внутреннего аудита вместе с планом действий по повышению качества процессов управления рисками и мониторинга.
Мы надеемся, что описанные подходы смогут помочь вашей компании обеспечить более эффективное и действенное управление рисками.