Аудит и оценка эффективности корпоративного управления рисками

Внутренний аудит и внутренний контроль

Автор:
Источник: РИСК-АКАДЕМИЯ - Возможно самый провокационный блог об управлении рисками в нефинансовых компаниях на русском языке
Опубликовано: 11 мая 2020

Оценка эффективности управления рисками, как, наверное, и оценка любого бизнес-процесса, сложный и нетривиальный рецепт, который состоит из нескольких важных ингредиентов: понимание целей управления рисками, критериев оценки и анализа фактуры. Об этом и поговорим.

А. Понимание целей управления рисками

Эксперты АНО ДПО «ИСАР» занимаются изучением особенностей управления рисками в компаниях реального сектора уже более 15 лет, и за это время многое поменялось в управлении рисками. Вот несколько современных трендов, которые должен понимать каждый внутренний аудитор перед началом формирования плана проверки эффективности управления рисками:

Цель управления рисками — это не эффективное управление рисками

За редким исключением рисков, которыми необходимо управлять потому, что такие указания есть в действующем законодательстве (риски, связанные с охраной труда, экологией, противодействие коррупции и т.д.), «бизнес»-рисками, стратегическими, операционными, проектными рисками не управляют. На этом, обычно, у среднестатистического аудитора логика рушится. Читайте дальше, скоро все станет понятно. Я с вами лишь делюсь тем, что обсуждают и публикуют лучшие риск- менеджеры по всему миру.

В современной практике управление рисками рассматривается не как процесс и тем более не как система (общепринятый термин «система управления рисками» вообще противоречит всей идеологии управления рисками и международным стандартам, поэтому в АНО ДПО «ИСАР» он никогда не используется), а как инструмент принятия решений.

Это означает, что управление рисками должно быть не самостоятельным обособленным процессом со своими входами, выходами и документами, а встроено в процессы принятия решений и бизнес-процессы организации и риски должны анализировать не раз в квартал или полугодие, как это делается сейчас, а в момент подготовки любого важного решения. Это важно!

С точки зрения эффективной практики управления рисками, наличие политики, регламента управления рисками и обширного реестра рисков, который регулярно обновляется, но при этом стратегия, бюджет или инвестиционные решения принимаются без учета рисков является примером неэффективного управления рисками. А принятие инвестиционного решения только после валидации допущений менеджмента и анализа нескольких или нескольких тысяч сценариев, при отсутствие каких-либо отдельных отчетов о рисках, наоборот, считается эффективным риск-менеджментом.

Поэтому, одним из первых и наиболее важных тестов эффективности управления рисками в организации является уровень интеграции процессов выявления, анализа и управления рисками в процессы принятия управленческих, инвестиционных и операционных решений. Мы называем это «риск-менеджмент 2». Примером такого подхода может послужить крупная российская государственная структура, направленная на инвестиции в развитие высоких технологий, в которой все инвестиционные решения принимаются только после проведения независимой оценки рисков и их влияния на ключевые показатели проекта. Другой пример: крупная авиакомпания, в которой каждое стратегическое решение должно иметь несколько альтернативных вариантов, при этом каждый вариант оценивается с точки зрения рисков, влияющих на успех его реализации.

Константин Дождиков, директор по управлению рисками ООО «УК «РОСНАНО»: «Для ООО «УК «РОСНАНО» очень важно чтобы каждое инвестиционное решение принималось с учетом рисков. Поэтому в отношении инвестиционных решений проводятся обязательные процедуры выявления и оценки рисков. При этом выявляют и оценивают риски как проектные команды, которые ведут проект, так и отдельные функциональные подразделения, которые пристально анализируют юридические, финансовые, технологические и др. аспекты сделки и проекта. Это обеспечивает более объективный и независимый анализ рисков инвестиционных решений».

Цель риск-менеджмента 2 – поддержка и информирование руководителей о рисках в процессе принятия решений

Задача риск-менеджера – сделать риски понятными и их влияние на цели или решение оцифрованным, чтобы позволить человеку, принимающему решения, сделать осознанный выбор, основанный на полной информации. Бывший глава риск-менеджмента LEGO на английском называет это intelligent risk taking, а Норман Маркс, автор и гуру риск-менеджмента, называет «риск-менеджмент 2» informed and intelligent risk taking. Хотите больше независимых точек зрения? Мы специально подобрали 11 наиболее полезных книг по управлению рисками, которые рассказывают именно о риск-менеджменте 2 и о многочисленных недостатках традиционного для России подхода к управлению рисками.

В таком контексте задача внутреннего аудитора – оценить, насколько управление рисками интегрировано в процессы принятия решений и насколько руководители эту информацию в процессе принятия решений используют, а также качество анализа рисков.

Но, если есть «риск-менеджмент 2», то есть и «риск-менеджмент 1»?

Помимо основной цели риск-менеджмента – информировать руководителей, принимающих решения, – есть и еще одна задача – удовлетворить требования к риск-менеджменту со стороны акционеров, регуляторов и проверяющих. Поэтому существует «риск-менеджмент 1». Риск-менеджмент 1 – это набор действий и документов, направленный на презентацию информации о рисках организации в формате, установленном внешними заинтересованными сторонами. К сожалению, требования к риск-менеджменту 1 очень сильно отличаются от инструментов и практик, которые используются в риск-менеджменте 2. И, несмотря на многолетнюю работу экспертов АНО ДПО «ИСАР» с представителями Министерства экономического развития и Счетной Палаты, требования к риск-менеджменту пока далеки от реальных инструментов, которые мы, риск-менеджеры, используем. Поэтому риск-менеджеры часто дублируют или генерируют набор документов, специально для регуляторов, которые в целом бесполезны для принятия решений и управления организацией. Что еще хуже, в контексте риск-менеджмента 1, риск-менеджеры вынуждены использовать инструменты (такие как оценка рисков через ущерб и вероятность, документация рисков в реестрах и формирование карт рисков), которые дают заведомо ложные и не полные данные.

Любовь Фролова, директор АНО ДПО «ИСАР»: «Исследование практики управления рисками в государственных и частных структурах в развитых странах, проведенное АНО ДПО «ИСАР», показало, что страны, которые делают упор на интеграции управления рисками в процессы принятия решений и культуру организации, достигли более высокого уровня зрелости. Российская же нормативная база пока находится в достаточно незрелом состоянии. Несмотря на то, что некоторые государственные структуры активно развивают тематику управления рисками (ведомства, которые сейчас внедряют «риск-ориентированный» надзор), в некоторых случаях эта работа никак не синхронизирована с принципами ГОСТ Р ИСО 31000, а часто прямо противоречит положениям международного стандарта. Это существенное отличие от западной практики, где ISO 31000 является основополагающим документом по управлению рисками для всех организаций.»

Однако не все так плохо. Банки, рейтинговые агентства и страховые компании все еще поощряют риск-менеджмент 1, поэтому можно снизить стоимость страхования и улучшить условия привлечения финансирования даже с помощью риск-менеджмента 1.

Задача внутреннего аудитора в этом случае убедиться, что «потемкинская деревня» под названием риск-менеджмент 1 не сильно отвлекает менеджмент от работы, риск-менеджеры не заставляют руководителей заполнять безумные реестры рисков на 50 колонок и, при этом, все пункты, требуемые регулятором, выполнены. Хорошие риск-менеджеры делают все документы риск-менеджмента 1 сами. Аудиторы также должны убедиться, что риск-менеджмент 1, какой бы он ни был, приносит пользу компании через снижение страховых премий и снижение стоимости финансирования.

Б. Определение критериев оценки управления рисками

Каждый раз, когда я выступаю на конференции по управлению рисками я стараюсь спрашивать аудиторию «на что необходимо обратить внимание, чтобы сделать вывод об эффективности управления рисками в организации?»  Это хороший тест для аудитории. Если мне отвечают, что нужно посмотреть на положение по управлению рисками, отчеты о рисках, реестры рисков, аппетит к риску или планы митигации для существенных рисков, я понимаю, что аудитория не очень хорошо понимает, как выглядит эффективное управление рисками. А вот, что ответили мне руководители по управлению рисками крупнейших глобальных компаний на прошлогодней конференции G31000, эксперты, ко мнению которых я прислушиваюсь уже много лет:

Риск менеджмент 1

Риск-менеджмент 1 – это набор действий и документов, направленный на презентацию информации о рисках организации в формате, установленном внешними заинтересованными сторонами. Аудит риск менеджмента 1 это приблизительно 10% в общем весе критериев оценки эффективности управления рисками.

В рамках аудита риск менеджмента 1 необходимо проанализировать следующие критерии:

Все ли есть из внешних требований к риск менеджменту 1?

Для большинства компаний существует как минимум несколько внешних документов к управлению рисками, где перечислены требования или рекомендации в отношении управления рисками. Это могут быть новые изменения в законе об акционерных обществах, ГОСТ Р ИСО31000, кодекс корпоративного управления ЦБ или методические рекомендации Росимущества, а также отраслевые стандарты и рекомендации, которые так или иначе затрагивают тему управления рисками. Первая задача внутреннего аудитора в рамках риск менеджмента 1 убедиться, что любые документы, упомянутые во внешних требованиях, разработаны и внедрены в организации.

Как много ресурсов затрачивается на обновление риск менеджмента 1?

Риск менеджмент 1 это важный элемент корпоративного управления, при этом важно не столько само содержание документов, сколько их наличие. Скажу больше, с учетом влияния ментальных ловушек и методологических ошибок при оценке рисков через ущерб и вероятность, а также ошибок в самом дизайне карт рисков, содержание типовых документов риск менеджмента 1 заведомо содержит искаженные данные и не может быть использовано для принятия менеджментом решений. Анекдоты, которые я постоянно слышу от коллег, что риск менеджеры спорят с внутренними аудиторами о том, кто, сотрудник или подразделение, должен быть владельцем рисков, или нужно ли оценивать присущий и остаточный уровень риска, или что должно или не должно включаться в критерии экспертной оценки рисков, просто пугают. Спорить о цвете ставней потемкинской деревни (а риск менеджмент — это именно потемкинская деревня), лично мне кажется очень странным.

Поэтому, ключевой критерий для аудита — это то, как мало времени, именно мало, затрачивается на риск менеджмент 1. Задача риск менеджера в организации соответствовать внешним требованиям, при этом не быть помехой для менеджмента. В ходе обучения, которое АНО ДПО «ИСАР» проводит для риск менеджеров крупнейших нефинансовых компаний (более 150 сертифицированных риск менеджеров по всему СНГ), мы постоянно слышим истории о том, как ежегодное формирование профиля рисков или ежеквартальная актуализация реестра рисков занимают недели, а то и месяцы работы. Это крайне неправильный подход.

С одной стороны, у риск менеджеров не остается времени на риск менеджмент 2, с другой стороны, менеджмент теряет уважение и интерес к риск менеджменту, так как риск менеджмент 1 никак не влияет на планирование, целеполагание, бюджетирование, мотивацию или принятие важных для бизнеса решений.  Риск менеджмент 1 должен занимать не более 10-20% времени команды риск менеджеров.

Насколько риск менеджмент 1 используется для получения финансовой выгоды для компании?

Раз уж в обозримом будущем, риск менеджмент 1 никуда не исчезнет и риск менеджерам придется разрабатывать регламенты по управлению рисками и поддерживать в актуальном состоянии реестры рисков, этим нужно пользоваться. Последним критерием для аудита является финансовая выгода от риск менеджмента 1. На момент написания статьи, страховые компании, банки, внешние аудиторы и рейтинговые агентства все еще позитивно оценивают наличие риск менеджмента 1. Качественный и полноценный риск менеджмент 1, хоть и бесполезен для принятия бизнес решений, помогает экономить на страховании и привлечении внешнего финансирования. Задача риск менеджеров обеспечить экономию. Задача внутреннего аудита убедиться, что это действительно происходит.

Риск менеджмент 2

Одним из первых и наиболее важных тестов эффективности управления рисками в организации является уровень интеграции процессов выявления, анализа и управления рисками в процессы принятия управленческих, инвестиционных и операционных решений. Мы называем это «риск-менеджмент 2». Аудит риск менеджмента 2 это приблизительно 50% в общем весе критериев оценки эффективности управления рисками.

Для того, чтобы сделать вывод об интеграции управления рисками в ключевые бизнес-процессы и процессы принятия решений организации необходимо обратить внимание на:

Регламенты, описывающие бизнес-процессы

Первое на что необходимо обратить внимание в рамках аудита риск менеджмента 2 это то, насколько управление рисками интегрировано в действующие нормативные документы в организации. Не отдельный регламент по управлению рисками, это риск менеджмент 1, а то, насколько требования и принципы управления рисками прописаны во всех ключевых нормативных документах. Есть ли в регламенте планирования и бюджетирования требование о проведении полноценного анализа рисков на этапе формирования стратегии или бюджета? Есть в регламенте закупок требование или процедура оценки поставщиков с точки зрения рисков или прописаны требования риск-ориентированного мониторинга и контроля? И так далее.

В риск менеджменте 2, во всех ключевых бизнес-процессах должны быть прописаны требования к анализу рисков на этапе принятия существенных решений. При этом анализ рисков должен проводиться не для принятия к сведению, а непосредственно и напрямую влиять на принимаемое решение. Например, на моем прошлом месте работы, NPV проекта считался условно по разным формулам в зависимости от уровня риска проекта.

Материалы и протоколы принятия решений

Второе на что необходимо обратить внимание это материалы, повестки и протоколы заседаний, на которых принимаются решения с учетом рисков. Если в материалах Правления или Инвестиционного комитета информация о рисках в явном виде не раскрывается, это скорее всего говорит о том, что риск менеджмент 2 делается не системно или является неэффективным.

Интересное наблюдение, что если принципы риск-ориентированности добавить во все аудиты в течение года, то тогда внутренним аудиторам не придется вообще отдельно проверять риск менеджмент 2.

Роль риск менеджмента в процессе принятия решения

Последнее на что необходимо обратить внимание, это то, как руководители воспринимают риск менеджмент в процессе принятия решений. Для этого возможно проведение нескольких интервью с ключевыми руководителями, чтобы оценить как они видят роль и в чем видят пользу от анализа рисков в процессе принятия решений.

Для всесторонней оценки эффективности управления рисками в нефинансовых компаниях необходимо оценить не только достаточность риск менеджмента 1 и внедрение риск менеджмента 2 (смотрите статью в предыдущем номере), но и уровень культуры управления рисками и самой команды риск менеджеров, ответственной за внедрение.

Культура управления рисками

Для целей данной статьи не важно привычнее вам использовать термин культура управления рисками или риск-ориентированная корпоративная культура или просто корпоративная культура. В этом разделе мы поговорим о менее осязаемой части управления рисками, включая компетенции, закрепление ролей и обязанностей, коммуникации, отчетность и раскрытие информации.

Насколько роли и обязанности по управлению рисками задокументированы и доведены до сотрудников?

Обычной практикой является описание ролей и обязанностей по управлению рисками в политике или положении об управлении рисками. Такой подход специалистам АНО ДПО «ИСАР» кажется заведомо провальным, так как бизнес подразделения чаще всего рассматривают подобные документы как “технические документы риск- менеджмента”, которые не имеют отношения к каждодневному управлению бизнесом. Сотрудники не считают подобные нормативные документы «своими». Более действенный способ — это описание ролей и обязанностей в области управления рисками в существующих должностных инструкциях, положениях о подразделениях, положениях и уставах различных комитетов и рабочих групп. Роли и обязанности по управлению рисками должны пронизывать все уровни управления. При этом роли в части управления рисками это не привычные всем выявление, оценка и управление рисками, а принятие решений с учетом рисков, формирование планов и оценка с учетом рисков.

Насколько развиты компетенции по управлению рисками среди сотрудников и руководителей, принимающих решения?

Управлением рисками может показаться простым, однако далеко не все сотрудники, принимаемые в компанию, обладают необходимыми навыками и компетенциями. Новые сотрудники приходят с различным образованием и опытом, а главное каждый новый сотрудник имеет свое собственное представление о том, что такое «приемлемый риск» для компании. Риск-менеджерам важно сотрудничать с отделом кадров или подразделением, ответственным за обучение, чтобы совместными усилиями проводить обучение основам управления рисками для новых сотрудников.

Не менее важно проводить обучение основам риск-ориентированного принятия решений и психологии риск-менеджмента для высшего руководства и членов совета директоров. Необходимо, чтобы руководители компании говорили не просто на языке рисков, а на языке риск-ориентированного управления. Как отмечали все опрошенные нами риск-менеджеры, это является ключевым этапом развития культуры управления рисками в организации. В АНО ДПО «ИСАР» множество таких программ обучения. При этом не обязательно делать отдельное обучение по управлению рисками, можно включать модули по риск-ориентированному принятию решений в существующие корпоративные программы обучения по другим тематикам.

Некоторые риск менеджеры размещают методики и шаблоны на внутреннем портале компании, размещают презентации и видео с конференций и мастер-классов, делают короткую, но регулярную информационную рассылку для сотрудников организации. Создавая условия, чтобы сотрудники могли сами получить базовые навыки управления рисками.

Налажены ли каналы для обмена информацией о рисках?

Важным критерием зрелости управления рисками является включение информации о рисках в повестку дня совета директоров и других коллегиальных органов. При этом, гораздо более эффективным будет не включать обсуждение рисков как отдельный пункт в повестку, а сделать раскрытие информации о рисках частью каждого вопроса, который обсуждается на совете или коллегиальных органах. Риск-менеджер должен, совместно с секретарем комитета, внести необходимые дополнения в шаблоны презентаций с целью включения информации о рисках, их влиянии на принимаемые решения и способы нивелирования. Риск менеджер также, совместно с внутренним аудитом, должен убедиться, что информация о рисках, предоставляемая совету директоров и членам коллегиальных органов является полной, правдивой и своевременной. Несмотря на то, что обучение сотрудников позволит повысить качество предоставляемой информации o рисках и их управлении, постоянный контроль качества — важная задача для риск-менеджера.

Большинство опрошенных нами риск-менеджеров утверждают, что наличие консультационного органа по управлению рисками на уровне правления (Комитета по управлению рисками) оказывает существенный положительный эффект на развитие культуры управления рисками в организации.

Дополнительным индикатором зрелой культуры управления рисками является участие риск менеджера во внутренних рабочих группах, презентации на корпоративных мероприятиях и выступления перед коллективом.

Насколько регулярно и открыто раскрывается информация о рисках?

Раскрытие информации по управлению рисками также является важным элементом культуры управления рисками. Наиболее эффективно раскрывать информацию о риск-ориентированном управлении компанией на протяжении всего годового отчета, в соответствующих информационных блоках (например, стратегические цели могут описываться с учетом рисков в одном разделе, а описание бюджетных рисков в другом), а не создавать отдельного, обобщающего раздела по управлению рисками. Выделение управления рисками в самостоятельную, самодостаточную систему противоречит принципам, описанным в ГОСТ Р ИСО 31000.

Многие практикующие риск-менеджеры на своем опыте доказали, что распространение реестров рисков или отчетов о рисках между подразделениями вряд ли способствует эффективному обмену информации. Более эффективный способ добиться качественного и эффективного обмена информацией о рисках внутри компании, подтолкнуть бизнес самостоятельно делиться этой информацией, говорить о рисках не по поручению раз в квартал, а каждый день. Вряд ли этого можно добиться личным присутствием риск-менеджера на всех внутренних совещаниях в компании, поэтому есть несколько способов как наладить обмен информации о рисках внутри компании:

  • Интеграция информационных блоков о рисках, связанных с достижением целевых показателей КПЭ, в шаблоны внутренней управленческой отчетности;
  • Разработка несложных методик для подготовки соответствующих информационных блоков о рисках самостоятельно бизнесом или при методической поддержке риск менеджера;
  • Включение требования по анализу рисков во внутренние политики и процедуры, а требования по анализу рисков в критерии принятия внутренних корпоративных решений.

Команда риск менеджеров

Риск-менеджмент – это динамичная дисциплина, и профессионалам в области управления рисками необходимо оставаться в курсе текущих событий. Постоянная шлифовка навыков управления рисками – это изучении новых методик количественной оценки, принятия решений, поведенческой экономики и, что не менее важно, изучение специфики работы бизнеса в целом. Дни гуру методологии, не понимающих нюансов бизнеса и особенностей человеческой психологии, канули в лету. Высшее руководство сегодня ожидает, что менеджеры по управлению рисками будут участвовать непосредственно в процессе принятия решений, разделяя часть ответственности за результат принимаемых решений. В результате риск-менеджеры должны разбираться в специфике бизнеса и промышленности, в которой они работают, не меньше, чем в особенностях имитационного моделирования рисков и психологии восприятия рисков. Это означает, что участие в конференциях, связанных с отраслевой спецификой компании, является столь же важным, как участие в мероприятиях и сообществах для риск-менеджеров.

Для оценки компетенций команды риск менеджеров необходимо изучить:

  • Образование и компетенции сотрудников команды риск менеджеров
  • Наличие в команде отраслевого опыта
  • Наличие национальных и международных сертификатов по управлению рисками
  • Инструменты и способы автоматизации анализа рисков, например, бесплатные

Автор:

Теги: корпоративное управление рисками  оценка эффективности управления рисками  цели управления рисками  АНО ДПО “ИСАР”  управление рисками  внутренний аудитор  эффективность управления рисками  принятие решений  риск-менеджмент  intelligent risk taking  культ