Интегрированное управление рисками появилось в нашей компании в конце 2006 года – более 14 лет назад. За это время в мире и в России произошли серьезные финансово-экономические изменения, компания столкнулась с новыми вызовами, вышла на новые рынки, что нашло свое отражение в эволюции функции управления рисками.
Мы не будем подробно останавливаться на стандартных шагах – они во многом схожи для различных компаний. Гораздо больший интерес представляют нюансы и дальнейшее развитие управления рисками. Прежде, чем перейти к описанию этих моментов, отметим, что функция риск-менеджмента изначально создавалась по инициативе президента компании при поддержке вице-президента по финансам. В течение всех этих лет отдел существует в финансовом блоке. Опыт показывает, что это достаточно сбалансированное решение, позволяющее риск-менеджменту получать оперативный доступ к финансовой информации, вместе с тем гарантирующий достаточный уровень независимости и возможность участвовать в принятии решений.
Общая схема управления рисками соответствует общепринятым стандартам: на ежеквартальной основе отдел управления рисками опрашивает руководителей департаментов на предмет наличия новых рисков и обновления ранее идентифицированных. Помимо этого, любой сотрудник может сообщить об известных ему рисках риск-менеджеру, который поможет с оцифровкой последствий и разработкой мероприятий. Каждый квартал проводятся заседания комитета по рискам, на котором рассматриваются наиболее существенные риски компании в форме отчета и отдельных вопросов. Кроме того, отчет выносится на комитет по аудиту и совет директоров. Помимо этого, отдел управления рисками интегрирован в ключевые процессы принятия решений. Более подробно эти вопросы будут рассмотрены ниже.
Первичная идентификация рисков
Безусловно, одним из важнейших элементов для риск-ориентированной компании является своевременная идентификация и адекватная оценка рисков. Если говорить о первых шагах, то можно рекомендовать применение top-down подхода.
Основная его идея состоит в том, чтобы опросить топ-менеджеров о рисках, которые они считают значимыми, и проработать их более детально с использованием данных, полученных от финансовых, контрольных и прочих подразделений. Это очень важный шаг, который упускается из вида многими риск-менеджерами, начинающими внедрять риск-ориентированной подход в компании.
Объясняется это тем, что более традиционным является bottom-up подход. Действительно, обычно на этапе начальной идентификации рисков для обеспечения полноты рекомендуют опросить руководителей всех подразделений на предмет известных им риск-факторов. Безусловно, это правильный шаг, но, с нашей точки зрения, его надо делать только после детальной проработки рисков, известных топ-менеджменту. Причин для этого несколько:
- У руководителей различных уровней существует разное видение актуальных рисков в зависимости от зоны ответственности. Очевидно, что топ-менеджмент видит гораздо более полную картину бизнеса, он в большей степени склонен идентифицировать стратегические риски, которые не всегда могут идентифицировать линейные менеджеры.
- В начале процесса с проработки информации, полученной от топ-менеджмента, появляется т.н. “тон сверху”, упоминаемый в ISO 31000. Это означает, что конкретные сотрудники, с которыми будет проходить проработка рисков, будут гораздо в большей степени вовлечены процесс. Это также создаст правильное позиционирование процесса в будущем.
- Если ограничиться общением только с линейным менеджментом при идентификации рисков, это приведет, с одной стороны, к идентификации неочевидных рисков, что очень полезно, но, с другой стороны, может привести к неидентификации ключевых риск-факторов, которые волнуют руководство в настоящий момент.
Резюмируя, можно рекомендовать начинать с опроса топ-менеджмента, а на следующем этапе постепенно расширять скоуп, опрашивая все подразделения.
Мера риска
Практически сразу, в 2007 году, было принято решение использовать традиционную для финансового риск-менеджмента меру риска Value-at-Risk с уровнем доверия 95%. Это, казалось бы, техническое решение предопределило траекторию развития риск-менеджмента на долгие годы. Остановимся на данном тезисе более подробно. Зачастую на этапе внедрения риск-менеджмента в компаниях советуют ограничиваться «качественной» оценкой рисков, чтобы быстро понять, на чем именно должен сфокусироваться менеджмент. Звучит разумно, но на практике это приводит к очень поверхностной проработке вопросов, неэффективной трате временных ресурсов топ-менеджмента и, как следствие, к деприоритезации вопросов, связанных с рисками. Это вовсе не отменяет пользу от периодических опросов топ-менеджмента об основных угрозах. Однако польза состоит не в том, чтобы спросить топ-менеджеров о рисках, об их экспертных оценках, а затем вернуться к ним же, показав эту информацию в виде презентации. Первое, что может сделать риск-аналитик – это детально проанализировать каждый из потенциально значимых рисков, построить соответствующие финансовые модели, отражающие влияние каждого их сценариев. Однако, если основной мерой является экспертная оценка, представляющая собой, как правило, произведение вероятности и ущерба, то стимула для глубокого финансово-экономического анализа не возникает.
Есть ли альтернативные меры? Безусловно, да. Давайте рассмотрим наиболее популярные из них. Практика показывает, что наиболее понятной и знакомой большинству мерой является математическое ожидание, т.е. сумма произведений ущербов и вероятностей при различных сценариях. С одной стороны, это разумная метрика, которая представляет собой некий средний ущерб, с другой – ее экономическая интерпретация для единичного события затруднена. Кроме того, любая мера среднего (будь то математическое ожидание, медиана или мода) не учитывает размах вероятностного распределения. Более традиционной мерой риска принято считать среднеквадратическое отклонение, которое можно интерпретировать как усредненное отклонение различных сценариев от среднего значения. Действительно, в данном случае учитывается определенный разброс, однако т.н. «тяжелые хвосты», т.е. маловероятные сценарии с большим ущербом, оказывают незначительное влияние на значение данной метрики.
Коллегиальные органы
Если мы говорим о первоначальных этапах внедрения, то всегда встает вопрос выбора коллегиального органа для выработки мероприятий по управлению рисками в спорных случаях и для общей оценки полноты идентифицированных рисков. В нашем случае изначально это была рабочая группа, включающая представителей различных функциональных блоков, которая довольно быстро превратилась в комитет по рискам. Этот орган состоял преимущественно из представителей среднего менеджмента и экспертов. Он вырабатывал определенные рекомендации по управлению рисками, однако итоговые решения принимались на уровне правления. По мере развития риск-менеджмента появилась потребность уделять большее внимание управлению рисками со стороны топ-менеджмента. Было принято решение создать комитет под председательством президента компании, членами которого являются руководители всех функциональных блоков. Это привело к значительно большей вовлеченности сотрудников в процесс управления рисками, подняло эти вопросы на более высокий уровень. Опыт последующего внедрения риск-менеджмента в дочерних компаниях показал, что создание комитета по рискам во главе с генеральным директором является самым правильным путем, который обеспечивает не только правильный «тон сверху», но и быстрое принятие решений по открытым вопросам.
Интеграция риск-анализа в процессы принятия решений
Основным вопросом, который встает после внедрения риск-ориентированного мышления и оценки ключевых рисков, является введение риск-анализа в процессы принятия ключевых решений. Это позволяет использовать накопленный стратегический потенциал риск-анализа для операционализации процессов. Это, как и любая трансформация процессов, сложный шаг. Несмотря на то, что в профессиональном сообществе существует консенсус по поводу его необходимости, нет четких рецептов, с каких процессов стоит начать и как реализовать такую интеграцию. Что неудивительно, поскольку это серьезно зависит от таких факторов, как размер компании, степень развитости корпоративной культуры, управленческий стиль и т.д.
Рассмотрим вопрос интеграции риск-ориентированного подхода в конкретные подразделения/ процессы в компании:
Процессы планирования
Если говорить об интеграции, то на первом месте обычно идут процессы планирования: как стратегического, так и финансового. Одним из первых шагов в этой области стала интеграция в процесс стратегического и инвестиционного планирования. В части стратегического планирования речь идет об идентификации и оценке рисков, которые могут оказать существенное влияние на долгосрочное развитие компании. Это важный момент, однако наибольшее влияние на мышление сотрудников достигается за счет интеграции в каждодневные операционные процессы, хорошим примером которых может служить инвестиционное планирование. Для начала имеет смысл предусмотреть раздел по рискам в бизнес-плане проекта, а затем, в зависимости от возможностей, производить количественный анализ для наиболее материальных из них. В качестве полезной метрики используется следующая: NPV-at-Risk – минимальный уровень, ниже которого NPV проекта не опустится с вероятностью 95% и вероятность безубыточности, т.е. вероятность того, что NPV проекта с учетом рисков окажется больше нуля.
Корпоративно-правовые процессы
Деятельность любой компании зависит от регуляторного ландшафта. В крупных компаниях существуют подразделения, занимающиеся анализом законодательства. В этом случае полезно, используя экспертизу таких подразделений, производить финансовый анализ рисков регуляторных изменений.
Соответствие требованиям
Компании, в зависимости от отраслевой принадлежности, должны соответствовать различным требованиям законодательства. В данных процессах полезно использовать риск-ориентированный подход к разработке контролей и митигационных планов.
Управление закупками
Интеграция риск-менеджмента в процесс управления закупками полезна в части квантификации неценовых факторов, таких как технические сбои, задержки поставок и т.д.
Информационная безопасность
В последнее время особую актуальность приобретают т.н. кибер-риски, связанные с атаками на различные информационные системы. Как правило, в компаниях есть специальные подразделения, отвечающие за данный процесс, однако оценка возможных кибер-рисков не только в качественных, но и в количественных терминах помогает принимать взвешенные решения о запуске новых продуктов, переходе на новое программное обеспечение и т.д.
Выводы
Этот список процессов не является исчерпывающим. Помимо данных процессов, риск-анализ присутствует также в управлении качеством, риск-ориентированном планировании внутреннего аудита, оценке резервов и т.д. При таком подходе постепенно привычка оценивать риски проникает на все уровни управления, а запрос на разработку методик оценки рисков в новых процессах исходит от их владельцев. Надо отметить, что такой путь возможен при соблюдении следующих условий: поддержка руководства и практическая ценность внедряемых инструментов риск-анализа. Последнее означает, что подразделение по управлению рисками должно представлять собой центр компетенций по количественному анализу рисков различных процессов, обладающий единой, но гибкой и кастомизируемой методологией, которая позволяет удовлетворять потребности как традиционных сегментов бизнеса, так и инновационных.
Важной чертой эффективного риск-менеджмента является его гибкость и способность быстро реагировать на изменение как внутренних, так и внешних факторов. Последние изменения, связанные с пандемией, демонстрируют это как нельзя лучше. Безусловно, в первую очередь, повышается внимание к управлению непрерывностью деятельности, но и классический риск-анализ востребован в не меньшей степени. В данном случае речь идет о проведении стресс-тестов для рисков, связанных с дебиторской задолженностью, взаимодействием с контрагентами, продажами, уровнем потребления услуг и т.д. Следует отметить, что при наличии отработанной методологии оценки рисков это сделать довольно легко.