По материалам: CFO
Часто используемая аббревиатура “ERM” (Enterprise Risk Management) обозначает интегрированную систему обнаружения и управления широким спектром существенных для организации рисков. Это необходимость для всех, ведь даже крупнейшие организации полностью избежать рисков не в состоянии. Недавно был опрос среди руководителей, который показал, что больше половины из них столкнулись на протяжении последних двух лет хотя бы с одним риском, который они раньше вообще для себя не определяли (и – нет, это не пандемия COVID-19, которая, как говорится, “само собой ”). Таким образом, даже у крупных организаций ERM, при всем своем развитии, не может считаться идеальной, поскольку всегда есть куда развиваться, и всегда есть, чего опасаться.
А уж если риск реализовался, он может нанести ущерб гораздо более широкого профиля, нежели просто итоговая прибыль за период. На кону способность организации сохранять конкурентоспособность. Система управления рисками организации не только о том, как минимизировать риски, но и о том, как быть в состоянии воспользоваться возможностями, поскольку некоторые ситуации стоят того, чтобы рискнуть и выиграть. Примеров тому множество – например, запуск новой продуктовой линейки, благодаря которой удастся выделиться на фоне конкурентов.
Определение, оценка и адекватный ответ на угрозы критически важны для непрерывной устойчивой деятельности, особенно сейчас, когда мировая экономика оправляется от хаоса прошлого года. Чтобы разобраться, как именно справляется с этим бизнес, APQC - хорошо известная нашим постоянным читателям исследовательская организация из США - провела исследование совместно с доктором Полом Уолкером (Paul Walker), руководителем ERM в Schiro/Zurich и директором научно-инновационного центра в Университете Сент-Джонс. В нем приняли участие 229 представителей организаций, представляющих различные отрасли. В довесок были использованы материалы интервью с риск-менеджерами восьми организаций, позволившие получить более детальное представление о ежедневных особенностях их работы.
Хотя известные и неизвестные риски всегда будут неотъемлемой частью любого бизнеса, залог успеха кроется в систематизированной системе управления рисками на уровне всей организации. Потраченные на ее построение ресурсы снижают риски и приносят другие неоспоримые преимущества в виде более четких бизнес-стратегий, более эффективного принятия деловых решений и большей гибкости в реакции на внешние стрессы.
Самое основное
Итак, для эффективной системы управления рисками необходимо смотреть на риск с точки зрений всей организации, поскольку без этого теряется целостность подхода, а сама ERM будет изолированной на уровне отдельных подразделений. Хотя на уровне самого подразделения она еще и может справляться со своими задачами, в совокупности это может привести к несогласованности множества систем и дублировании рабочих усилий. Один из участников интервью по этому поводу отметил, что управление рисками на уровне всей организации помогает обеспечивать единообразие в определении риска различными подразделениями и использовать лучшие практики управления рисками “программируемым” образом.
Внедрение организационного подхода к ERM возможно через качественные практики корпоративного управления, стандартизированный подход к анализу риска и корпоративную культуру, подразумевающую осведомленность о рисках – так удается добиться целостного подхода, подняв систему управления рисками на уровень всей организации.
Странно при этом, что, даже понимая справедливость этой логики, далеко не все организации внедрили у себя именно этот интегрированный подход к управлению рисками. Как показали результаты исследования, 37% используют ERM в той или иной форме, но лишь у четверти из них она оптимизирована. Более того, довольно у многих участников опроса система управления рисками как таковая действует относительно недавно: опять же, у четверти ответивших таким образом она моложе трех лет, а у большинства – не насчитывает и пяти.
Источник: APQC
Команды по управлению рисками и поддержка руководства
Практически у всех (96%) управление рисками в рамках ERM осуществляется специально выделенной на это командой риск-менеджеров. Какого именно размера – зависит от размера организации и отрасли, однако, при прочих равных, они скорее небольшие, с медианным значением по всем отраслям всего лишь в 5 человек на полной ставке.
Далее, вместо того чтобы управлять каждым возможным риском по отдельности, роль ERM-команды несколько иная: стимулировать организационный процесс, оказывать консультационную поддержку и осуществлять руководство. Директор по направлению анализа капитала и инвестиций в Highmark Health Джон Симинерио (John Siminerio) объясняет это так: “(Хотя) некоторые сложные организационные риски должны управляться и отслеживаться непосредственно ERM-командой”, во многих случаях ее задача заключается просто в том, чтобы “обеспечить владельцев бизнеса правильным ноу-хау, навыками и инструментами, чтобы те управляли своими рисками”.
Во многих организациях бизнес-партнеры несут ответственность за риски в своих специфических бизнес-направлениях и отчитываются по этим рискам перед ERM-командой, а уже та, в свою очередь – перед главным директором по управлению рисками. Очень многие принявшие участие в опросе риск-менеджеры отметили при этом ключевую роль лидерства в обеспечении эффективности работы всей структуры управления рисками: исполнительные директоры не просто задают “тон на самом верху”, но также обеспечивают достаточность ресурсной поддержки. Это определяет и то, насколько быстро ERM будет внедрена в организации.
Поддержка со стороны высшего руководства означает также активное участие исполнительных лиц (и финансовых директоров в том числе) в координации процессов управления рисками. Они, как вариант, могут брать на себя роль ответственных за определенные риски, либо же назначать ответственных из своих подчиненных. Вот некоторые реальные примеры из американской практики:
- Министерство здравоохранения и соцобеспечения США (Department of Health and Human Services - HHS) организовало у себя совет по управлению рисками, в который вошли исполнительные директоры от каждого из 10 основных агентств, а также от функциональных департаментов всей организации. Он выполняет роль консультанта для ERM и помогает с проведением оценки риска на уровне всей организации.
- У производителя полупроводников ON Semiconductor насчитывается 27 ответственных за риски в каждой функциональной области, которые обновляют информацию по ним на ежеквартальной основе. Назначение этих ответственных за риски осуществляется руководством в каждой из функциональных областей. Они являются экспертами по рискам в своей сфере деятельности.
- У медицинской организации Highmark Health используется практика совместной работы стратегических партнеров по рискам с владельцами бизнеса, поскольку те реализуют стратегические инициативы и ключевые операции.
- Налоговая служба США (IRR) использует рабочие группы по рискам, куда входят представители каждого делового подразделения, которые дают свои рекомендации исполнительной комиссии по рискам.
Таким образом, высшее руководство оказывается действительно эффективным в оказании поддержки системе управления рисками с самого верха и до низов, обеспечивая также согласованность процедур оценки риска. Тем странно, что более чем половина респондентов (а в случае некоторых отраслей – до двух третей) не пользуются этим в своих ERM.
Источник: APQC
Приоритеты
Руководители по рискам могут идентифицировать и отслеживать одновременно много рисков, но это не означает, что они сами, или же ERM-команда выставит им всем наивысший приоритет. Кристин Джонс (Christine Jones), заместитель секретаря по операциям и управлению в Министерстве здравоохранения и соцобеспечения США, говорит по этому поводу: “Не все может стать приоритетным риском. ERM означает нахождение компромиссов и баланса в том, что имеет смысл для организации в целом”.
Вместо того чтобы прямо заниматься отслеживанием и планированием по каждому виду риска, эффективные в этом плане организации обычно оперируют “портфелями” самых приоритетных для себя рисков. Они используют широкий и инклюзивный подход к оцениванию – например, определяют в качестве самых приоритетных для себя стратегические, операционные и финансовые риски, хоть при этом киберриски, репутационные риски и других их виды не так уж далеко позади.
Источник: APQC
Примерно четверть всего времени, уходящего на оценку рисков, уделяется стратегическим рискам – показало исследование. Это имеет смысл, потому что данная конкретная категория включает в себе риски, способные привести к краху бизнеса в случае реализации, так что дополнительно затраченное на них время того стоит.
Оценка риска
Это одна из традиционных составляющих ERM видов деятельности. Оценка риска обычно проводится раз в месяц или раз в квартал. Самый распространенный подход – скоринг, или ранжирование рисков в зависимости от определенных критериев, таких как вероятность реализации и/или влияние. Это позволяет рассортировать все виды риска по категориям высоких, средних или низких. При этом могут использоваться различные методы анализа и оценки рисков, включая “мозговой штурм” (его назвали 54% респондентов) и расчет негативного влияния на бизнес (50%).
Очень часто оценка риска – совместное мероприятие, осуществляемое путем групповых обсуждений и поиска консенсуса. В той же национальной службе здравоохранения США HHS все начинается с ежегодного опроса среди сотрудников, что помогает определить риски на всех организационных уровнях. По его завершении ERM-команда направляет общий “портфель” рисков на обсуждение в совет по ERM, который использует обсуждения, а также специальные мобильные приложения для голосования с целью провести рэнкинг. Голосование анонимное, но члены совета по ERM находятся в достаточно хороших отношениях друг с другом, чтобы открыто обговаривать далее полученные рэнкинги и совместными силами составлять итоговый “портфель” самых приоритетных для организации рисков.
Новые виды риска
Передовые системы управления рисками организации способны обнаружить и оценить не только актуальные на данный момент, но также новые – нарождающиеся - виды риска, которые только показались на горизонте. Майкл Журав (Michael Zuraw), старший директор ERM в компании-производителе полупроводников ON Semiconductor, считает, что такие риски труднее определить, однако уверен при этом, что очень мало из них действительно никак нельзя обнаружить. “Я не верю в понятие “черный лебедь”, потому что считаю, что это слишком удобно – утверждать, будто никто не мог предвидеть этих рисков. Многие из них – очевидные риски, которые мы просто решили не замечать, а никакие не “черные лебеди!”
В компании проводятся ежегодные сессии сценарного планирования, целью которых является “заглянуть” в будущее лет на 10 или 20 и идентифицировать новые виды рисков. Такое сценарное планирование учитывает макроэкономические угрозы, например, изменение климата, приход искусственного интеллекта, геополитические события. После этого ON Semiconductor предпринимает действия в ответ на новые виды риска.
Результаты проведенного исследования в целом демонстрируют, что организации, уделяющие внимание нарождающимся рискам, статистически чаще относят свои ERP-системы к эффективным и действительно приносящим пользу.
Визуализация риска
В идеале визуализация и отчетность по рискам должны быть гибкими и динамичными, учитывать множество сценариев и возможных исходов. Как отметил по этому поводу уже упомянутый выше Джон Симинерио, “будущее не сингулярно, но множественно: есть много различных исходов у нас под контролем и вне его”.
Для упрощения графического представления – визуализации рисков в отчетности, которая идет на ознакомление руководителям бизнеса – многие используют специальные иллюстративные карты, подобные той, которая приведена ниже. В ON Semiconductor, как видим, показаны текущие уровни каждого вида риска (то есть оценка вероятности реализации и влияния), а также целевые уровни риска с учетом склонности к риску всей организации. Если какой-либо риск выпадает за границы целевого, то он автоматически получает более высокий приоритет для действий по его минимизации. И наоборот - в областях, относящихся к технологическим инновациям, ERM-команды могут решить, что их организация действует слишком осторожно, хотя ей стоит подумать над тем, чтобы принять на себя чуть больший риск ради возможностей, которые вместе с этим открываются.
Источник: APQC
Непрерывное улучшение
Организации опираются на широкий спектр различных индикаторов для отслеживания результативности своих ERM-систем, в том числе влияния ERM на финансовые результаты (пожалуй, самый распространенный индикатор, который назвало больше половины опрошенных), а также показатели затрат саму программу (отмеченные 46% опрошенных). Но вместе с количественными показателями, команды по управлению рисками также ориентируются на отклик со стороны широкого спектра стейкхолдеров.
Например, AARP обращается к совету директоров с просьбой оценить систему управления рисками каждый год в рамках традиционной самооценки. Это дает менеджерам важное представление о видении ситуации с рисками с точки зрения высшего руководства, благодаря чему в организации удалось создать более продуманную культуру в отношении риска и обеспечить большую осведомленность по рискам самих директоров.
Более “зрелые” системы активно инвестируют в обучение и непрерывное развитие. Один неназванный руководитель направления организационных рисков довольно точно подметил: “Хорошее управление организационными рисками требует от каждого понимания своей роли в управлении рисками, и от каждого – исполнения этой роли одинаковым образом, используя одинаковые определения. Это задача для всей организации, и это пугающая задача, потому что требует от каждого работать в направлении общей цели”.
Чтобы привести все к общему “знаменателю” на уровне всей организации, требуется регулярно проводить обучение и запускать информационные кампании, а также давать сотрудникам готовые практические инструменты, которые можно использовать в повседневных задачах.
- Для примера, в ON Semiconductor ERM-команда работает в связке с корпоративными тренерами, разрабатывая курсы специально для действующих и будущих членов команды по управлению рисками.
- Highmark Health проводит презентации по теме ERM и осуществляет обучение деловых партнеров методам управления рисками, потому что итоговое принятие деловых решений базируется на поддержке именно этих людей.
- Аналогичным образом, деловые презентации и даже мастер-классы по ERM стали для Chillicothe Municipal Utilities залогом успешного внедрения системы управления рисками.
- А в AARP составлен список ключевых вопросов по ERM, которые помогают приходящим руководителям быстрее начинать думать в контексте управления рисками, размышляя над новыми стратегиями развития бизнеса.
Где-то в мире можно найти примеры и более широкого участия на уровне целых сообществ, где делятся между собой наилучшими практиками и руководствами. Американская налоговая служба, например, работает вместе с Организацией экономического сотрудничества и развития (ОЭСР), что позволяет ей играть лидирующую роль в обучении принципам ERM налоговых служб других стран.
Полностью избежать рисков не удается никому, однако годы практики позволили многим деловым организациям наработать у себя эффективные системы управления рисками, благодаря которым они готовы реагировать, если риск становится реальностью. Но и помимо самой готовности к неприятностям, ERM приносит им другие преимущества в виде более эффективного принятия решений, экономии на страховании и множества других выгод.
“Я не думаю, что ERM когда-нибудь уйдет: она несет пользу организации, сотрудникам и обществу”, - уверена Кэти Боллинг (Katie Bolling), финансовый директор Chillicothe Municipal Utilities.
Авторы оригинальной статьи: Рейчел Коллинс (Rachele Collins), главный руководитель исследований по направлению финансового менеджмента в APQC, Наталиэль Влахос (Nathanael Vlachos), писатель и аналитик в APQC, Пол Уолкер (Paul Walker), руководитель ERM в Schiro/Zurich, директор научно-инновационного центра в Университете Сент-Джонс.