Оценка уровня зрелости системы риск-менеджмента

В целях проведения аудита системы управления рисками в ПАО «МТС» была разработана методология, представленная в данной статье. И хотя она используется в крупной компании телекоммуникационного сектора, может быть адаптирована и для других отраслей.  

В нашей компании интегрированное управление рисками нацелено на обеспечение разумной гарантии достижения стратегических целей компании, поддержание уровня риска в соответствии с риск-аппетитом и представляет собой процесс, осуществляемый в рамках основного функционала всех сотрудников. Этот процесс включает идентификацию, анализ, оценку и приоритизацию рисков, а также выработку и реализацию процедур реагирования при наступлении риска, выбор методов управления рисками, контроль за исполнением планов мероприятий и мониторинг эффективности процесса управления рисками.

Необходимость проведения регулярного аудита системы управления рисками закреплена в Международных профессиональных стандартах внутреннего аудита. Оценка внутреннего контроля, управления рисками и корпоративного управления осуществляется на ежегодной основе. При проведении плановых аудитов особое внимание уделяется практическому управлению рисками объекта аудита.

Оценивая текущую степень зрелости и отслеживая ее прогресс, менеджмент получает возможность лучше понимать действия, которые необходимо предпринять для повышения уровня эффективности и результативности процесса управления рисками.

Блоком внутреннего контроля и аудита компании анализ системы управления рисками проводился в 2 этапа:

1. Оценка организации и инфраструктуры функции управления рисками
2. Оценка управления рисками в выбранных ключевых бизнес-процессах

Этап 1: Оценка организации и инфраструктуры функции управления рисками

С учетом специфики бизнеса и особенностей компании на основании профессионального суждения в качестве критерия оценки была выбрана модель зрелости системы управления рисками Risk Management Capability Maturity Model (Министерство финансов Австралии, 2017 г.)[1], согласно которой был составлен чек-лист по следующим параметрам:

- Формирование политики по риск-менеджменту:

• устанавливает ли политика управления рисками связи между риском и стратегией внутри организации;
• регулярность пересмотра и обновления политики;
• измеряется ли риск-аппетит для каждой категории риска.

- Формирование системы управления рисками:

• оценка методов идентификации и измерения рисков;
• доступность в режиме реального времени информации о рисках, необходимой для принятия управленческих решений;
• доступность и понятность информации о риск-аппетите;
• требования к отчетности по рискам.

- Определение ответственности за управление рисками:

• менеджеры среднего звена ведут профили рисков в своих сферах ответственности и обеспечивают, чтобы сотрудники были осведомлены и задействованы в процессе управления рисками.

- Внедрение систематического управления рисками в бизнес-процессы:

• степень интеграции управления рисками в планирование и бюджетирование;
• степень влияния анализа рисков на изменение целей и бюджета;
• влияние анализа рисков на КПЭ;
• степень интеграции управления рисками в основные операционные процессы.-

- Коммуникации и консультирование в отношении риска:

• осознание важности донесения информации о рисках как до внутренних, так и до внешних заинтересованных сторон, а также общее понимание принципов управления рисками на всех организационных уровнях;
• понимание всеми сотрудниками компании необходимости проинформировать ответственных лиц/ руководство о рисках при их возникновении.

- Поддержка способности управления рисками:

• распределяются ли ресурсы на основе подробного анализа рисков;
• включены ли расходы, связанные с системой управления рисками, в операционный бюджет компании.

- Обзор и постоянное совершенствование управления рисками:

• собирается и анализируется ли соответствующая информация о результатах деятельности (отчеты внутреннего аудита, обзорных проверок, потери при реализации рисков, прочее);
• руководство анализирует ли текущий уровень зрелости риск-менеджмента и распределяет ли ресурсы, необходимые для его повышения.

В ходе аудита системы риск-менеджмента мы рекомендуем дополнительно анализировать вопросы, специфичные для российской бизнес-среды:

• регулярно ли вопросы риск-менеджмента обсуждаются на заседаниях коллегиальных органов;
• является ли риск-менеджер полноправным членом ключевых коллегиальных органов;
• основана ли деятельность внутреннего контроля и аудита на принципах риск-ориентированности (план проверок, структура отчетов);
• используются ли современные инструменты моделирования и оценки рисков (имитационное моделирование, стресс-тестирование, сценарный анализ, дерево решений).

Также следует обратить внимание на проблемы, с которыми сталкивается большинство российских компаний, согласно исследованиям Deloitte[2], и оценить их влияние на объект аудита:

• низкая заинтересованность руководства компании в анализе рисков и системном управлении рисками;
• отсутствие компетенций для проведения количественной оценки влияния рисков на цели и бюджет компании;
• низкий уровень интеграции управления рисками в операционную деятельность.

В современной динамично меняющейся среде компаниям недостаточно управлять традиционными рисками, такими как: рыночный риск, кредитный риск, риск ликвидности. Важное значение приобретает управление нефинансовыми рисками. Среди прочего множества нефинансовых рисков все больше компаний и государственных институтов выделяют киберриски как наиболее значимые.

Широко тиражируемые публикации о неподобающем поведении сотрудников, партнеров и клиентов, зачастую приводящие к финансовым и репутационным потерям, выявляют необходимость управления данными видами рисков.

Появление новых технологий, таких как: роботизация, big data, машинное обучение, облачные решения, когнитивная аналитика, не только позволяет сократить операционные расходы за счет автоматизации рутинных задач, но и улучшить эффективность тестирования до 100% транзакций, выявлять потенциальные риски в реальном времени и своевременно реагировать на них. Однако, одновременно необходимо учитывать и оценивать риски, возникающие в связи с применением новых технологий.

Эффективное управление нефинансовыми рисками и применение современных технологий приводят к необходимости пересматривать устоявшуюся систему управления рисками.    

Суммируя вышесказанное, мы считаем важным оценивать гибкость и актуальность самой системы управления рисками.

Также значимым элементом оценки является анализ «затраты-выгоды». В соответствии с лучшими практиками, затраты на поддержание инфраструктуры риск-менеджмента не должны превышать 10% общих затрат на управление рисками.

Этап 2: Оценка управления рисками в выбранных ключевых бизнес-процессах

После оценки общей инфраструктуры следует определить степень развития риск-культуры и интеграции процедур риск-менеджмента на операционном уровне.

Для цели определения уровня развития культуры мы проанализировали влияние оценки рисков на принятие решений, наличие открытого и проактивного подхода к управлению рисками, получив ответы на следующие вопросы:

• информируется ли руководство о примерах надлежащей практики?
• вознаграждаются ли лица, осуществляющие управление рисками в ходе выполнения своих повседневных обязанностей?
• способствует ли менеджмент высшего исполнительного уровня развитию системы управления рисками в компании?

На основании нашего профессионального суждения для оценки интеграции риск-менеджмента были выбраны ключевые процессы телекоммуникационного сектора:

• управление сетью;
• инвестиционные проекты;
• маркетинг;
• казначейство;
• планирование и бюджетирование;
• слияния и поглощения.

По каждому выбранному процессу были проведены следующие аудиторские процедуры:

• анализ политики по управлению рисками на уровне подразделения;
• изучение распределения обязанностей и ответственности на всех уровнях подразделения в отношении идентификации и оценки рисков;
• интервью с линейными менеджерами для определения степени осведомленности и участия в процессе управления рисками;
• анализ отчетности по рискам и процесса ее формирования;
• анализ полноты учитываемых рисков и мер реагирования;
• проверка расчетов количественных характеристик рисков.

Отдельным пунктом мы оценили компетентность риск-менеджеров:

• стандарты деятельности;
• знания в таких областях как: моделирование, статистика, математика, корпоративные финансы;
• психология и коммуникативные навыки;
• понимание бизнеса.  

В результате проведенных процедур сделаны выводы о степени зрелости риск-менеджмента в компании, выявлены области для развития, даны рекомендации для конкретных процессов.

В завершение стоит отметить, что современная динамично меняющаяся бизнес-среда требует переосмысления традиционного подхода управления рисками и перехода на новый уровень эффективности. Основная задача нового подхода заключается в изменении роли риск-менеджмента с реагирующей на предупреждающую.

Комментарий начальника отдела управления рисками:

«В ПАО «МТС» интегрированное управления рисками появилось в 2006 году и с тех пор прошло длинный эволюционный путь, реагируя как на трансформацию бизнеса, так и на новые тенденции в области анализа рисков. Основная польза риск-менеджмента реализуется через интеграцию в ключевые бизнес-процессы, внедрение количественных методов анализа в принятие ключевых решений. Для этого недостаточно обладать компетенциями в области теории вероятностей, стохастических процессов и анализа данных. Важно также правильно коммуницировать преимущества риск-ориентированного мышления на всех уровнях. В таких вопросах очень важна независимая оценка, которую обеспечивает внутренний аудит. Это дает возможность воспользоваться широкой экспертизой коллег в других процессах, оценить эффективность управления отдельными видами рисков и повысить вовлеченность подразделений в процесс управления рисками».

---

[1] https://www.finance.gov.au/government/comcover/risk-services/management

[2] https://www2.deloitte.com/content/dam/Deloitte/ru/Documents/research-center/ocenka-urovnya-zrelosti-upravleniya-riskami-rossii.pdf