Эксперты оценили зрелость управления рисками в России

Во многих компаниях по‑прежнему не рассматривают анализ рисков как важный критерий принятия управленческих решений

98
Фото: www.freepik.com

Компания «Делойт», СНГ совместно с Институтом стратегического анализа рисков представила результаты исследования по оценке уровня зрелости управления рисками в России в 2019 году. Несмотря на то что 88 % компаний имеют утвержденную генеральным директором или советом директоров политику по управлению рисками, а 31 % закрепили ответственность за выявление, анализ и управление рисками в уставе, регламентирующих документах, положениях о подразделениях и должностных инструкциях, всего 19 % организаций проводят анализ рисков при принятии решений и документируют его результаты.

 

Требуется «команда сверху»

Управляющий партнер, руководитель департамента управления рисками «Делойт», СНГ Наталья Капризина отмечает, что в 2019 году существенно возросла доля организаций – участников исследования, в которых подразделение по управлению рисками было создано менее года назад, что, вероятно, является ответом на появление новых требований федерального законодательства по управлению рисками и внутреннему контролю для публичных обществ.

Кстати, в 2019 году впервые на вопросы отвечали не только риск-менеджеры, но и ключевые руководители и члены советов директоров.

– Наше исследование показало, что у «молодых» подразделений по управлению рисками не получается оперативно встраиваться в процессы управления и принятия решений, многие из соответствующих показателей значительно снизились к 2018-му. В частности, в 2019 году в два раза (до 12 %) сократилась доля организаций, в которых анализ рисков влияет на пересмотр стратегических целей и бюджетов организации, и на 10 процентных пунктов (до 17 %) снизилась доля организаций, которые принимают все существенные управленческие решения с учетом рисков, – уточняет Наталья Капризнина. – Внедрение риск-ориентированного подхода и развитие риск-культуры во многих российских организациях является длительным и сложным процессом, нередко требующим «команды сверху». При этом, как мы видим по ответам представителей топ-менеджмента, их понимание эффективности управления рисками существенно обгоняет аналогичную оценку риск-менеджеров. 47 % опрошенных руководителей считают, что в их организациях все существенные управленческие решения принимаются с учетом рисков, в то время как доля ответивших аналогично риск-менеджеров составляет 17 %.

Кто управляет рисками?

Если посмотреть портрет современного подразделения по управлению рисками, выходит, что в 2019 году на 10 процентных пунктов выросло количество организаций, у которых функция по управлению рисками осуществляется отдельным подразделением. Доля организаций, где данная функция выведена в подчинение финансовому директору, выросла на 3 процентных пункта.

При этом все многоотраслевые холдинги, участвовавшие в опросе, заявляют, что в их организациях функции по управлению рисками осуществляет отдельное подразделение. В 40 % организаций с выручкой до 100 миллионов долларов США функции по управлению рисками осуществляются специалистами смежных подразделений (внутреннего аудита, финансов или других), среди организаций с численностью сотрудников до 500 человек таких 33 %.

По сравнению с 2018 годом в новом опросе на 11 процентных пунктов увеличилась доля организаций с «молодыми» подразделениями по управлению рисками, созданными менее года назад. Исходя из чего исследователи сделали вывод, что организации активно создают собственные подразделения, ответственные за сопровождение и методологическую поддержку процессов управления рисками.

Что интересно, лидерами в области продолжительности работы подразделений по управлению рисками являются металлургические организации: 67 % сформировали такое подразделение более пяти лет назад. В нефтегазовых же организациях, участвовавших в опросе, подразделения, ответственные за сопровождение и методологическую поддержку процессов управления рисками, существуют менее пяти лет. У организаций с выручкой от 5 миллиардов долларов США нет молодых подразделений, лишь 20 % создали собственные подразделения менее пяти лет назад.

Проект реализован «Делойт», СНГ в партнерстве с АНО ДПО «ИСАР» и информационным порталом www.risk-academy.ru, а также при информационной поддержке Некоммерческого партнерства «РИД».

Остается открытым вопрос относительно того, сколько сотрудников должны отвечать за управление рисками в компании. В рамках исследования выяснилось, что с 2018 года на 11 процентных пунктов снизилась доля организаций, держащих в штате более пяти сотрудников, ответственных за управление рисками, а доля организаций, у которых эту функцию выполнял только один человек, увеличилась в два раза (на 16 процентных пунктов). Доля организаций, где за сопровождение и методологическую поддержку процессов управления рисками ответственны два или три человека, осталась на уровне 42 %.

Данная тенденция, полагают аналитики, обусловлена принятием участия в опросе организаций с «молодым» подразделением по управлению рисками, для которых характерен небольшой штат сотрудников.

Между тем в 40 % организаций сектора TMT (телекоммуникации, медиа и технологии) и нефтегазовой промышленности за сопровождение и методологическую поддержку процессов управления рисками отвечают более пяти сотрудников, включая руководителя. В 80 % организаций с выручкой от 5 миллиардов долларов США за это отвечают четыре или пять сотрудников.

Почти треть организаций (29 %) не сформировали Комитет по управлению рисками и не выносят на рассмотрение вопросы в части управления рисками на Комитет по аудиту. Лишь 27 % организаций для управления рисками задействуют оба комитета, остальные привлекают лишь один из них.

По сравнению с 2018 годом на 5 процентных пунктов увеличилась доля организаций, в которых ответственность за процессы управления рисками закреплена на каждом отдельном административном уровне. При этом число организаций, где за управление рисками отвечает только риск-менеджмент, сократилась на 6 процентных пунктов, до 12 %.

Во всех опрошенных многоотраслевых холдингах, а также среди организаций с выручкой от 2 миллиардов долларов США в 91 % ответственность в рамках управления рисками закреплена за руководством, советом директоров, комитетами при совете директоров и за риск-менеджерами.

Представители компании «Делойт», СНГ уже второй год наблюдают устойчивую тенденцию к росту доли компаний, в которых ответственность за управление рисками распределена среди всех уровней организации. Эксперты рекомендуют закрепить данный принцип работы в политике, в том числе организациям, где формальная функция управления рисками только формируется, чтобы внедрить риск-ориентированный подход с вовлечением руководителей и сотрудников всех организационных уровней.

Немаловажным индикатором является осведомленность о последних изменениях в стандартах ISO 31000 и концепции COSO ERM. 49 % организаций – участниц опроса слышали об изменениях в стандартах ISO 31000 и концепции COSO ERM и частично знают о них, а 46 % хорошо с ними знакомы. Всего 5 % респондентов не имеют представления об актуальной версии документов. 31 % организаций уже актуализировали свою методологию управления рисками согласно последним изменениям в стандартах, а 46 % планируют сделать это в ближайшее время.

В отличие от остальных отраслей, где об изменениях хорошо осведомлены более половины организаций, в потребительском секторе и транспорте эта доля составляет лишь 33 %. В секторе TMT не знают про изменения в стандартах 10 % опрошенных.

Возможно, нужно менять подход

Переходя непосредственно к оценке уровня зрелости управления рисками, стоит отметить, что в 2019 году в рамках процесса годового бюджетирования анализ рисков проводился более детально, чем в рамках стратегического планирования. Так, 19 % организаций анализируют риски при годовом бюджетировании и при этом регламентируют порядок проведения анализа рисков в политике / регламенте, в то время как полный анализ рисков при стратегическом планировании проводят 12 % организаций.

По мнению руководителя направления международного сотрудничества АНО ДПО «Институт стратегического анализа рисков» и основателя портала www.risk‑academy.ru Алексея Сидоренко, это один из самых важных трендов исследования:

– По сравнению с 2018 г. не наблюдается роста числа компаний, где управление рисками по праву рассматривается как важный элемент планирования и бюджетирования. Это является существенным недостатком и сигналом к тому, что, возможно, подход к внедрению управления рисками нужно менять. Мы, например, для внедрения анализа рисков в планирование и бюджетирование используем такие инструменты, как «проверка допущений» и имитационное моделирование, которые активно применяются аналитиками спецслужб, – подчеркнул он.

Кроме того, в 2019 году в два раза (на 12 процентных пунктов) сократилась доля организаций, в которых анализ рисков непосредственно влияет на пересмотр стратегических целей и бюджетов организации, а также увеличилась (на 5 процентных пунктов) доля организаций, в которых анализ рисков не имеет влияния на данные аспекты. Доля организаций, в которых анализ влияния рисков оказывает косвенное влияние на изменение целей и пересмотр бюджета, увеличилась (на 7 процентных пунктов).

Выходит, более половины организаций потребительского сектора и транспорта не рассматривают анализ рисков как фактор, влияющий на изменение целей и пересмотр бюджета. Среди опрошенных металлургических организаций нет тех, где анализ рисков напрямую влияет на пересмотр стратегических целей и бюджетов.

В организациях с выручкой до 100 миллионов долларов США среди 20 % и в организациях с численностью сотрудников от 500 до 5 тысяч человек среди 19 % опрошенных анализ рисков напрямую влияет на пересмотр стратегических целей и бюджетов.

Алексей Сидоренко, руководитель направления международного сотрудничества АНО ДПО «Институт стратегического анализа рисков» и основатель портала www.risk‑academy.ru:
– Мы наблюдаем, что ряд проблем, связанных с внедрением управлением рисками, остается неизменным и требует особого внимания. Вопреки мнению ряда респондентов, я твердо уверен, что для изменений не нужно ждать поручения от топ-менеджмента. Так как подразделения по управлению рисками являются поддерживающими функциями, формирующими спрос на собственные услуги, риск-менеджеры должны сами стремиться доказать полезность риск-менеджмента как инструмента принятия решений.

– Когда мы говорим о риске, всегда подразу-меваем неопределенность его влияния именно на цели нашей компании, а не какое‑то абстрактное событие, – комментируют эксперты компании «Делойт», СНГ. – Если мы не даем обратную связь по рискам и не корректируем цели, тем самым ограничиваем управление рисками операционным уровнем и не используем риск-менеджмент «на полную мощность».

Мониторить риски нужно эффективно

Яркий тренд минувшего года – доля организаций, у которых для ключевых сотрудников на основании результатов анализа рисков установлены и отслеживаются ключевые показатели эффективности, снизилась на четыре процентных пункта. Одновременно на 11 процентных пунктов увеличилась доля организаций, в которых действующая система КПЭ напрямую не связана с деятельностью по управлению рисками. При этом на 7 процентных пунктов снизилась доля организаций, в которых КПЭ по управлению рисками установлены для менеджеров и некоторых сотрудников.

Выяснилось, что все нефтегазовые организации, принявшие участие в опросе, не связывают действующую систему КПЭ с деятельностью по управлению рисками. Среди организаций с выручкой от 5 миллиардов долларов США 18 % устанавливают и отслеживают целевые показатели для ключевых сотрудников на основании результатов анализа рисков. Слабая взаимосвязь между системой КПЭ и деятельностью по управлению рисками наиболее часто встречается в организациях с выручкой от 2 до 5 миллиардов долларов США, а также в организациях со штатом более 5 тысяч сотрудников.

На 6 процентных пунктов увеличилась доля организаций, которые не привлекают риск-менеджеров к принятию высшим руководством стратегических и инвестиционных решений в течение года. Также на 10 процентных пунктов снизилась доля организаций, которые привлекают риск-менеджеров и проводят анализ рисков при принятии всех существенных решений.

Оказывается, половина организаций потребительского сектора принимает стратегические и инвестиционные решения в течение года без привлечения риск-менеджеров. Анализ рисков оказывает наибольшее влияние на принятие существенных стратегических, бюджетных и инвестиционных решений в организациях с выручкой от 5 миллиардов долларов США (27 %).

– К сожалению, большинству риск-менеджеров по‑прежнему приходится прилагать очень много усилий, прежде чем анализ рисков становится одним из критериев принятия управленческих решений. Особенно тяжело это дается компаниям, которые только начинают внедрение риск-ориентированного управления, – отмечает директор АНО ДПО «ИСАР», начальник отдела управления рисками АО «Технодинамика» Любовь Фролова. – Совет, который помог мне, это использовать различные методики анализа рисков для разных типов решений – например, скоринг при выборе поставщиков или взаимодействии с клиентами и сценарный анализ для расчета сроков и стоимости инвестиционных проектов.

В 36 % организаций не используется понятие риск-аппетита, однако лимиты и критерии принятия решения руководством установлены. При этом почти каждая третья организация использует данное понятие, понимая его, как набор количественных или качественно количественных показателей.

Вместе с тем, в 2019 году стало меньше организаций, которые не проводят последующий мониторинг рисков (падение на 4 процентных пункта). Также выросла (на 8 процентных пунктов) доля организаций, которые его реализуют нерегулярно. Наилучшим образом процедуры последующего мониторинга реализованы в многоотраслевых холдингах: 75 % этих организаций установили подобные процедуры и проводят их в соответствии с установленной периодичностью. С другой стороны, 40 % организаций с выручкой от 100 до 500 миллионов долларов США не ввели процедуры последующего мониторинга рисков.

Эксперты компании «Делойт», СНГ уточняют: доля компаний, которые внедрили эффективные процедуры мониторинга рисков, связанных с принимаемыми решениями, по‑прежнему невысока – только около трети опрошенных выполняют такой мониторинг регулярно. При этом только каждая пятая компания проводит анализ рисков при принятии решений и документирует его результаты. В случае существенного изменения уровня риска отсутствие мониторинга (желательно на непрерывной основе) не позволит своевременно отреагировать на инциденты, а отсутствие задокументированных результатов проведенного анализа риска при расследовании инцидентов может снизить доверие к имеющимся процедурам риск-менеджмента. В целом это снижает риск-культуру и формирует отношение сотрудников к анализу рисков, как к чему‑то необязательному и неэффективному.

Подготовила Елена ВОСКАНЯН