Оценка уровня зрелости системы риск-менеджмента

Управление рисками

Автор:
Источник: Ассоциация “Институт внутренних аудиторов”
Опубликовано: 14 Декабря 2020

В целях проведения аудита системы управления рисками в ПАО «МТС» была разработана методология, представленная в данной статье. И хотя она используется в крупной компании телекоммуникационного сектора, может быть адаптирована и для других отраслей.  

В нашей компании интегрированное управление рисками нацелено на обеспечение разумной гарантии достижения стратегических целей компании, поддержание уровня риска в соответствии с риск-аппетитом и представляет собой процесс, осуществляемый в рамках основного функционала всех сотрудников. Этот процесс включает идентификацию, анализ, оценку и приоритизацию рисков, а также выработку и реализацию процедур реагирования при наступлении риска, выбор методов управления рисками, контроль за исполнением планов мероприятий и мониторинг эффективности процесса управления рисками.

Необходимость проведения регулярного аудита системы управления рисками закреплена в Международных профессиональных стандартах внутреннего аудита. Оценка внутреннего контроля, управления рисками и корпоративного управления осуществляется на ежегодной основе. При проведении плановых аудитов особое внимание уделяется практическому управлению рисками объекта аудита.

Оценивая текущую степень зрелости и отслеживая ее прогресс, менеджмент получает возможность лучше понимать действия, которые необходимо предпринять для повышения уровня эффективности и результативности процесса управления рисками.

Блоком внутреннего контроля и аудита компании анализ системы управления рисками проводился в 2 этапа:

  1. Оценка организации и инфраструктуры функции управления рисками
  2. Оценка управления рисками в выбранных ключевых бизнес-процессах

Этап 1: Оценка организации и инфраструктуры функции управления рисками

С учетом специфики бизнеса и особенностей компании на основании профессионального суждения в качестве критерия оценки была выбрана модель зрелости системы управления рисками Risk Management Capability Maturity Model (Министерство финансов Австралии, 2017 г.)[1], согласно которой был составлен чек-лист по следующим параметрам:

- Формирование политики по риск-менеджменту:

  • устанавливает ли политика управления рисками связи между риском и стратегией внутри организации;
  • регулярность пересмотра и обновления политики;
  • измеряется ли риск-аппетит для каждой категории риска.

- Формирование системы управления рисками:

  • оценка методов идентификации и измерения рисков;
  • доступность в режиме реального времени информации о рисках, необходимой для принятия управленческих решений;
  • доступность и понятность информации о риск-аппетите;
  • требования к отчетности по рискам.

- Определение ответственности за управление рисками:

  • менеджеры среднего звена ведут профили рисков в своих сферах ответственности и обеспечивают, чтобы сотрудники были осведомлены и задействованы в процессе управления рисками.

- Внедрение систематического управления рисками в бизнес-процессы:

  • степень интеграции управления рисками в планирование и бюджетирование;
  • степень влияния анализа рисков на изменение целей и бюджета;
  • влияние анализа рисков на КПЭ;
  • степень интеграции управления рисками в основные операционные процессы.-
- Коммуникации и консультирование в отношении риска:

  • осознание важности донесения информации о рисках как до внутренних, так и до внешних заинтересованных сторон, а также общее понимание принципов управления рисками на всех организационных уровнях;
  • понимание всеми сотрудниками компании необходимости проинформировать ответственных лиц/ руководство о рисках при их возникновении.

- Поддержка способности управления рисками:

  • распределяются ли ресурсы на основе подробного анализа рисков;
  • включены ли расходы, связанные с системой управления рисками, в операционный бюджет компании.

- Обзор и постоянное совершенствование управления рисками:

  • собирается и анализируется ли соответствующая информация о результатах деятельности (отчеты внутреннего аудита, обзорных проверок, потери при реализации рисков, прочее);
  • руководство анализирует ли текущий уровень зрелости риск-менеджмента и распределяет ли ресурсы, необходимые для его повышения.

В ходе аудита системы риск-менеджмента мы рекомендуем дополнительно анализировать вопросы, специфичные для российской бизнес-среды:

  • регулярно ли вопросы риск-менеджмента обсуждаются на заседаниях коллегиальных органов;
  • является ли риск-менеджер полноправным членом ключевых коллегиальных органов;
  • основана ли деятельность внутреннего контроля и аудита на принципах риск-ориентированности (план проверок, структура отчетов);
  • используются ли современные инструменты моделирования и оценки рисков (имитационное моделирование, стресс-тестирование, сценарный анализ, дерево решений).

Также следует обратить внимание на проблемы, с которыми сталкивается большинство российских компаний, согласно исследованиям Deloitte[2], и оценить их влияние на объект аудита:

  • низкая заинтересованность руководства компании в анализе рисков и системном управлении рисками;
  • отсутствие компетенций для проведения количественной оценки влияния рисков на цели и бюджет компании;
  • низкий уровень интеграции управления рисками в операционную деятельность.

В современной динамично меняющейся среде компаниям недостаточно управлять традиционными рисками, такими как: рыночный риск, кредитный риск, риск ликвидности. Важное значение приобретает управление нефинансовыми рисками. Среди прочего множества нефинансовых рисков все больше компаний и государственных институтов выделяют киберриски как наиболее значимые.

Широко тиражируемые публикации о неподобающем поведении сотрудников, партнеров и клиентов, зачастую приводящие к финансовым и репутационным потерям, выявляют необходимость управления данными видами рисков.

Появление новых технологий, таких как: роботизация, big data, машинное обучение, облачные решения, когнитивная аналитика, не только позволяет сократить операционные расходы за счет автоматизации рутинных задач, но и улучшить эффективность тестирования до 100% транзакций, выявлять потенциальные риски в реальном времени и своевременно реагировать на них. Однако, одновременно необходимо учитывать и оценивать риски, возникающие в связи с применением новых технологий.

Эффективное управление нефинансовыми рисками и применение современных технологий приводят к необходимости пересматривать устоявшуюся систему управления рисками.    

Суммируя вышесказанное, мы считаем важным оценивать гибкость и актуальность самой системы управления рисками.

Также значимым элементом оценки является анализ «затраты-выгоды». В соответствии с лучшими практиками, затраты на поддержание инфраструктуры риск-менеджмента не должны превышать 10% общих затрат на управление рисками.

Этап 2: Оценка управления рисками в выбранных ключевых бизнес-процессах

После оценки общей инфраструктуры следует определить степень развития риск-культуры и интеграции процедур риск-менеджмента на операционном уровне.

Для цели определения уровня развития культуры мы проанализировали влияние оценки рисков на принятие решений, наличие открытого и проактивного подхода к управлению рисками, получив ответы на следующие вопросы:

  • информируется ли руководство о примерах надлежащей практики?
  • вознаграждаются ли лица, осуществляющие управление рисками в ходе выполнения своих повседневных обязанностей?
  • способствует ли менеджмент высшего исполнительного уровня развитию системы управления рисками в компании?

На основании нашего профессионального суждения для оценки интеграции риск-менеджмента были выбраны ключевые процессы телекоммуникационного сектора:

  • управление сетью;
  • инвестиционные проекты;
  • маркетинг;
  • казначейство;
  • планирование и бюджетирование;
  • слияния и поглощения.

По каждому выбранному процессу были проведены следующие аудиторские процедуры:

  • анализ политики по управлению рисками на уровне подразделения;
  • изучение распределения обязанностей и ответственности на всех уровнях подразделения в отношении идентификации и оценки рисков;
  • интервью с линейными менеджерами для определения степени осведомленности и участия в процессе управления рисками;
  • анализ отчетности по рискам и процесса ее формирования;
  • анализ полноты учитываемых рисков и мер реагирования;
  • проверка расчетов количественных характеристик рисков.

Отдельным пунктом мы оценили компетентность риск-менеджеров:

  • стандарты деятельности;
  • знания в таких областях как: моделирование, статистика, математика, корпоративные финансы;
  • психология и коммуникативные навыки;
  • понимание бизнеса.  

В результате проведенных процедур сделаны выводы о степени зрелости риск-менеджмента в компании, выявлены области для развития, даны рекомендации для конкретных процессов.

В завершение стоит отметить, что современная динамично меняющаяся бизнес-среда требует переосмысления традиционного подхода управления рисками и перехода на новый уровень эффективности. Основная задача нового подхода заключается в изменении роли риск-менеджмента с реагирующей на предупреждающую.

Комментарий начальника отдела управления рисками:

«В ПАО «МТС» интегрированное управления рисками появилось в 2006 году и с тех пор прошло длинный эволюционный путь, реагируя как на трансформацию бизнеса, так и на новые тенденции в области анализа рисков. Основная польза риск-менеджмента реализуется через интеграцию в ключевые бизнес-процессы, внедрение количественных методов анализа в принятие ключевых решений. Для этого недостаточно обладать компетенциями в области теории вероятностей, стохастических процессов и анализа данных. Важно также правильно коммуницировать преимущества риск-ориентированного мышления на всех уровнях. В таких вопросах очень важна независимая оценка, которую обеспечивает внутренний аудит. Это дает возможность воспользоваться широкой экспертизой коллег в других процессах, оценить эффективность управления отдельными видами рисков и повысить вовлеченность подразделений в процесс управления рисками».


[1] https://www.finance.gov.au/government/comcover/risk-services/management

[2] https://www2.deloitte.com/content/dam/Deloitte/ru/Documents/research-center/ocenka-urovnya-zrelosti-upravleniya-riskami-rossii.pdf    

Автор:

Теги: риск-менеджмент  управление рисками  эффективность процесса управления рисками  система управления рисками  внутренний контроль  Международные профессиональные стандарты внутреннего аудита  функция управления рисками  Risk Management Capability Maturity M