Риск-менеджмент как эффективный инструмент трансформации бизнеса
На конференции «Корпоративные системы риск-менеджмента» были представлены практические кейсы
18–19 апреля 2019 года в Москве состоялась XIII конференция «Корпоративные системы риск-менеджмента». В мероприятии, организованном группой Prosperity Media при поддержке портала CFO Russia, приняли участие представители крупных российских компаний: Росатома, Северстали, МТС, Аэрофлота, Tele2, OBI, ИНВИТРО, АФК Системы и других. Ведущие эксперты отрасли представили лучшие практические кейсы, обсудили вопросы позиционирования риск-менеджера в компании, разграничения зоны ответственности между риск-менеджерами и специалистами по внутреннему контролю и аудиту, а также между риск-менеджерами и специалистами по безопасности.
Лучшие мировые практики как ориентир
Во время панельных дискуссий и заседаний эксперты делились знаниями, информацией и примерами из собственной практики. В частности, можно отметить доклад директора департамента рисков и внутреннего контроля казахстанской компании АО «Центрально-Азиатская электроэнергетическая корпорация» (ЦАЭК) Айжан Станбаевой. В своем выступлении она подробно рассказала об эффективной организации внутреннего контроля в энергетическом холдинге.
В Группе компаний АО «ЦАЭК» система управления рисками и система внутреннего контроля находятся в стадии активной реализации согласно лучшим международным практикам. Поэтапно внедряются риск-ориентированные подходы при принятии управленческих решений. На данном этапе проанализированы и даны рекомендации по двадцати бизнес-процессам (8 из них – бизнес-процессы финансового учета, 12 –
бизнес-процессы операционной деятельности).
Благодаря системе внутреннего контроля в Группе компаний АО «ЦАЭК» решено несколько поставленных задач. Во-первых, проведен реинжиниринг процессов дочерних организаций, в результате чего внедрены автоматизированные системы, позволившие снизить риски в бизнес-процессах и усилить контроль. Это новая биллинговая система в сбытовых организациях, автоматизированная система управления процессом технического присоединения, мобильное приложение для контроля объема трудозатрат на ремонт и обслуживание электроустановок.
Во-вторых, улучшилось качество обслуживания потребителей: созданы комфортные условия, работает система электронной очереди в целях обеспечения качественного и быстрого обслуживания. В-третьих, снижены риски травматизма и несчастных случаев. В компании проводится постоянная работа по созданию безопасных условий труда, предупреждению травматизма и улучшению производственных условий труда работников: организованы взаимные аудиты по требованиям техники безопасности между дочерними предприятиями; ужесточены требования к подрядным организациям в части соблюдения техники безопасности и правил охраны труда; организованы видеоинструктажи по правилам техники безопасности для сотрудников и подрядных организаций; установлены требования по соблюдению правил дорожного движения на территории производственных предприятий; установлены видеорегистраторы на касках производственного персонала; проводятся мотивационные мероприятия для повышения культуры соблюдения техники безопасности и правил охраны труда среди населения. Также среди достигнутых результатов можно отметить унификацию многих бизнес-процессов в дочерних организациях холдинга.
– Работа над улучшением системы управления рисками и системы внутреннего контроля в «ЦАЭК» продолжается. Снижение рисков – актуальная задача, поскольку энергетический бизнес сталкивается с новыми вызовами, требующими своевременных решений, в том числе новых подходов в части риск-менеджмента, – сказала Айжан Станбаева. Она также отметила, что участие в конференции можно назвать эффективным, благодаря обмену актуальной информацией и представленным практическим кейсам.
Иммунитет против кибератак
Важный вопрос – как минимизировать кибер-угрозы – поднял руководитель по управлению рисками компании «МегаФон» Сергей Бузиков. Сославшись на аналитические источники, он заметил, что 50% российских компаний уже сталкивались с такими вызовами, из них 22% понесли финансовые потери. Средний ущерб средних российских компаний от кибератак составил 300 тысяч рублей, крупных – 867 тысяч рублей. При этом общий ущерб российских компаний от подобных атак в 2017 году достиг отметки 116 миллиардов рублей. Наиболее распространенными угрозами на тот момент были: заражение вирусом рабочих компьютеров, взлом почтовых ящиков работников и атака на сайт организации.
Также Сергей Бузиков рассказал о мифах, с которыми сталкиваются компании при построении эффективной киберзащиты. Например, миф о стремлении к достижению 100%-ной безопасности: спикер считает, что абсолютная безопасность не является ни возможной, ни адекватной целью. Другое распространенное заблуждение связано с тем, что инвестиции в лучшие в своем классе технические средства могут защитить от абсолютно всех угроз. На самом деле эффективная кибербезопасность достигается за счет баланса технологий и организационных мер. Кроме того, некоторые компании уверены: чтобы защититься от киберпреступлений, достаточно нанять лучших профессионалов, по факту же за кибербезопасность должен отвечать не конкретный отдел, а все сотрудники – в самой организации должно быть сформировано соответствующее отношение.
Спикер отметил: для успешной защиты в компании нужно заранее разработать план обеспечения устойчивости. Он должен быть четким, достаточно кратким и подробным, чтобы люди могли легко понять его в случае атаки. Типовые элементы плана:
– Управление: межфункциональная координация, документация и взаимодействие со стейкхолдерами;
– Стратегия: сильная и согласованная организационная стратегия для борьбы с киберинцидентами, включая взаимодействие с руководителями, правлением и партнерами;
– Технология: понимание технических элементов реагирования на инциденты;
– Бизнес-операции: интегрированные процессы обеспечения непрерывности бизнеса и аварийного восстановления;
– Риск и комплаенс: план обеспечения устойчивости должен включать участие в управлении рисками и соблюдении нормативных требований, например, в работе с регулирующими органами, юрисконсультами и правоохранительными органами.
Полезное упражнение – проверить свои силы путем симуляции кибератаки. Такие проверки можно проводить периодически в течение года. Речь идет о санкционированном скрытом хакерстве – обычно инициируемом и одобренном руководством для проверки защиты и выявления слабых мест.
Последним рубежом обороны от актуальных и перспективных вызовов века тотальной цифровизации, когда все прочие средства защиты могут оказаться бессильны, Сергей Бузиков назвал киберстрахование. Этот инструмент подходит для всех, кто использует компьютерные системы в своей деятельности, а особенно для операторов персональных данных, провайдеров услуг, финансовых, промышленных, торговых и логистических компаний.
Эксперт по информационной безопасности Сергей Рысин дал коллегам рекомендации, как минимизировать человеческий фактор при рисках утечки конфиденциальной информации. Он отметил, что в данном случае в зоне риска находятся бизнес-процессы (сервисы, достоверность данных и вероятность их потери), конфиденциальная информация (конкурентные преимущества, перспективные проекты, базы контрагентов) и деньги компании.
Спикер привел несколько реальных примеров целевых атак с использованием социальной инженерии, уточнив, что основными средствами защиты на данный момент являются:
– технические средства (антивирусы, firewall, системы контроля за утечками информации, виртуальные комнаты данных, MDM-решения);
– сам человек (его опыт);
– компания (она может обезопасить себя локальными нормативными актами, федеральными законами, кодексами – уголовным, налоговым, трудовым и т.д.).
Сергей Рысин посоветовал акцентировать внимание на изучении персонала (определить группы интересов, составить психологические портреты), провести тестовую рассылку фишинговых писем, проанализировать полученные результаты по тому, как пользователи реагируют на такие письма, провести обучение персонала (причем на реальных, а не на лабораторных задачах) и сделать повторную рассылку с целью закрепления материала. При этом рассылки не должны выглядеть синтетическими, их основная задача – имитация реального сообщения, что позволит привить иммунитет пользователей к действиям мошенников.
Двухуровневая система
Директор по управлению рисками ПАО АФК «Система», Юрий Костенко рассказал о процессе управления рисками в Группе компаний. Докладчик уточнил, что образованная в 1993 году, сегодня АФК «Система» является крупным частным инвестором в реальный сектор экономики России. Инвестиционный портфель АФК «Система» состоит преимущественно из российских компаний в различных секторах экономики. В компаниях, входящих в периметр Группы, работает около 150 тысяч сотрудников.
– Наш инвестиционный портфель состоит из уникальных бизнесов, включая зрелые компании, генерирующие стабильный денежный поток, а также компании на ранних стадиях развития с потенциалом роста, – пояснил Юрий.
В ПАО АФК «Система» построена двухуровневая система управления рисками с учетом лучших практик, охватывающая наиболее существенные риски Корпоративного центра и компаний под управлением. Функционал управления рисками в основном находится в сфере ответственности финансовых директоров компаний. Первоначальная оценка рисков строится на простой методологии VaR, далее наиболее существенные риски компаний под управлением и Корпоративного центра оцениваются с использованием финансовых моделей и имитационных методов моделирования, в том числе Монте-Карло, определяется их влияние на денежные потоки отдельных компаний и на стоимость Корпорации в целом. Рисковый профиль Группы в большей степени формируют внешние и внутренние стратегические риски.
Серые зоны или возможности роста?
Как определить экономический эффект от внедрения риск-ориентированного подхода в компании и можно ли оценить эффективность управления рисками, рассуждала директор департамента управления рисками, куда входит юридический отдел и риск-менеджмент, L’Occitane Светлана Мочалина.
По ее словам, работа в данном направлении должна вестись ежедневно. Прежде всего, необходимо определить, какие риски могут оказать влияние на конкретный бизнес (это зависит от типа бизнеса и стратегии его развития). Однако нужно учитывать, что любой риск потенциально является зоной возможного роста и исследование серых зон в будущем может принести прибыль для бизнеса.
В то же время риск-ориентированный подход может применяться как в конкретных направлениях бизнеса, так и в отдельных бизнес-процессах и затрагивать цепочки взаимодействия (точечно: человек–человек, человек–компьютер, человек–система; сообщество: бизнес-подразделение, между бизнес-подразделеними; глобально: бизнес и внешняя среда – клиенты, государственные органы). Риск-ориентированный подход позволяет определить конкретную зону риска (путем постоянного мониторинга), выявить рисковость, определить глубину риска и рассчитать экономический эффект от работы с данной зоной. Следовательно, эффективность управления рисками оценить действительно реально.
Работа на результат
C большим интересом аудитория слушала доклад члена Экспертного совета ТПП по совершенствованию налогового законодательства, директора по организационному развитию ООО «Эталон-Инвест» Алексея Дыкова об эффективном управлении налоговыми рисками в современных условиях.
Прежде всего, эксперт обозначил ключевые тенденции и тренды налогового администрирования. В частности, было отмечено, что число ВНП (выездных налоговых проверок) за 10 лет снизилось более чем в четыре раза, с 87,9 тысячи до 20,2 тысячи. За 9 месяцев 2018 года – на 4,7 тысячи, или на 30% (с 15,6 тыс. до 10,9 тыс. проверок). Проверяют 2 из 1000, малый бизнес 1 из 4000. При этом все ВНП подготовлены, проводится глубокий предпроверочный анализ. Ключевой принцип, которого придерживаются проверяющие органы, – риск-ориентированный подход при назначении и проведении ВНП, ведь налоговые органы знают структуру бизнеса, взаимозависимых лиц, схемы работы и т.д.
Результативность растет: за 9 месяцев 2018 года этот показатель увеличился на 30% по сравнению с аналогичным периодом 2017 года. За 5 лет (с 2012 по 2017 год) средний размер доначислений составляет: 5,6 миллиона рублей в 2012 и 15,7 миллиона рублей в 2017‑м.
– Эта работа нацелена строго на результат. Идет борьба за реальное взыскание, а не формальное доначисление. В зоне риска – реально работающий бизнес, – подчеркнул докладчик.
Еще одна тенденция связана с использованием комплексных систем обработки данных, что обеспечивает полное информирование налоговых органов о налогоплательщиках. Автоматизированная система контроля за возмещением НДС АСК НДС-2 фиксирует 15 млрд операций в год. Разрыв по НДС сокращен до 1% (с 8% в начале 2016‑го). На данный момент внедрены: Федеральный электронный реестр ЗАГС, АИС «Налог 3», осуществляется информационный обмен с налоговыми органами иностранных государств.
Увеличивается количество совместных проверок с правоохранительными органами: за 9 месяцев 2018 года результативность таких мероприятий составила 37 млн рублей, на 20% больше, чем годом ранее. Возмещено более 15 млрд рублей.
Важный тренд – побуждение налогоплательщиков к добровольной уплате налогов – без проведения проверок дополнительно поступило в бюджет 56 млрд рублей (рост на 27%; 25% от поступлений в результате контрольных мероприятий).
Также в 2018 году зафиксирован максимальный рост налоговых доходов с 2013 года – в консолидированный бюджет +23%, в федеральный +30,2% относительно 2017‑го. Например, рост НДФЛ составил 12,4% (на 2,5 пункта выше темпов роста зарплаты).
Не оставил без внимания Алексей Дыков и такие тренды, как: приоритет защиты бюджета; криминализация налоговых споров (использование уголовных дел как способа давления на налогоплательщиков, а также для пересмотра положительных для налогоплательщика результатов арбитражных дел); презумпция виновности налогоплательщика; использование любых возможностей для снижения нагрузки на бюджет (максимальные затруднения в получении вычетов и льгот по законным операциям); расширительное толкование норм налогового законодательства в пользу налоговых органов; игнорирование института «юридического лица».
– Управление налоговыми рисками представляет собой ежедневную рутинную задачу на каждом уровне. Эффективность будет тем выше, чем выше профессиональные компетенции сотрудников, способных сегодня предсказать проблемы, которые возникнут в будущем. Необходимо искать баланс между здоровым консерватизмом в уплате налогов и экономической эффективностью, – резюмировал докладчик.
Помнить про цель
Начальник отдела управления рисками ПАО «МТС», доцент, к.э.н. Александр Красильников поделился мнением о том, как оценивать и ранжировать риски разной природы. Спикер заметил, что одним из способов управления рисками является осознанное принятие. Менеджмент может решить принять некоторые риски, затраты на управление которыми неоправданно велики или которые невозможно снизить в принципе (например, некоторые риски внешней среды). В этом случае в бюджет должен быть включен определенный резерв или же будущие поступления должны быть уменьшены на величины возможных потерь от принятых рисков. Это позволяет повысить точность бюджетирования и вовремя нейтрализовать последствия реализации рисков. Мера риска должна быть полностью совместима с финансовыми показателями, используемыми в процессе бюджетирования.
Директор департамента риск-менеджмента Россия и СНГ, Danone Россия Олег Скородумов дал несколько советов по подготовке к финансовой оценке нефинансовых рисков. Эксперт рекомендует, в первую очередь, запастись здравым смыслом, помнить про цель оценки (требуемую точность) и качественно охарактеризовать риск (степень толерантности / приемлемость).
Интеллектуальная собственность: своя и чужая
Об управлении рисками в области интеллектуальной собственности на примере фармацевтики говорил руководитель направления по юридическим вопросам «АстраЗенека Фармасьютикалз» Константин Пануровский. Он обратил внимание коллег на то, что интеллектуальная собственность – один из важнейших активов в фармацевтике, к которому относятся: результаты исследований (доклинических, клинических и т.д.); средства индивидуализации (товарные знаки); секреты производства (ноу-хау); базы данных; изобретения (действующие вещества и их композиции, способы производства, способы применения и т.д.)
Успешной инновационной фармацевтической компании требуется поддерживать непрерывный процесс разработки и внедрения изобретений, относящихся к лекарствам, в том числе управлять портфелем препаратов на разных стадиях разработки и на разных рынках. Этот непрерывный процесс – пайплайн.
С другой стороны, пайплайн – это «трубопровод», поддерживать давление в котором очень дорого: путь от начала разработки до аптеки составляет 10–15 лет; из тысяч начатых разработок до стадии готового препарата доходят десятки, а успешными и прибыльными станут единицы; во многих странах требуется проведение локальных клинических исследований; не последнюю роль играют сложные и отличающиеся в разных странах условия выхода на рынок.
– Интеллектуальная собственность – узаконенная монополия, использование которой позволяет восполнить расходы, связанные с разработкой новых препаратов, – подчеркнул докладчик.
Российское законодательство содержит достаточный набор норм для использования чужой интеллектуальной собственности без согласия правообладателей: Россия – член ВТО, для которого обязательную силу имеет Соглашение ТРИПС; Пункт 29 Протокола об охране и защите прав на объекты интеллектуальной собственности к Договору ЕАЭС; Статья 12 Евразийской патентной конвенции: Использование при чрезвычайных обстоятельствах (п.3 ст.1359 ГК); Использование в интересах национальной безопасности (ст.1360 ГК); Принудительная лицензия (ст. 1362 ГК). Появляются и новые инициативы. В частности, идея ФАС об отмене антимонопольных иммунитетов, проект постановления правительства РФ о порядке принятия в интересах обороны и безопасности решений об использовании чужой интеллектуальной собственности.
Среди основных направлений деятельности по минимизации рисков в данной области спикер назвал отстаивание интересов владельцев интеллектуальной собственности в рамках нормотворческого процесса путем участия в общественных обсуждениях проектов нормативных актов, представления позиции правообладателей на различных дискуссионных площадках и в СМИ, направления предложений о доработке законодательства. Второе важное направление – создание и реализация патентной стратегии, включает: принятие мер по обеспечению патентной защиты собственных изобретений, патентный поиск для выявления угрожающих патентов (зависимых и пр.) и их последующего оспаривания (если необходимо), мониторинг патентных заявок третьих лиц и подача возражений по ним. Третье направление – внедрение в законодательство об обращении лекарств инструментов защиты интеллектуальной собственности.
Корпоративный подход
В докладе директора Департамента внутреннего аудита ПАО «Аэрофлот», члена АНД, РИД, Национального реестра независимых директоров при РСПП Леонида Душатина речь шла о развитии корпоративной системы управления рисками в ПАО «Аэрофлот» – самом узнаваемом авиационном бренде в мире по данным агентства Brand Finance (UK). К слову, авиакомпания занимает четвертое место по цифровизации среди всех авиакомпаний мира по данным американской консалтинговой компании Bain & Company. Более того, Группа Аэрофлот – современный авиационный холдинг, крупнейший авиаперевозчик России, входит в топ-20 авиаперевозчиков мира по пассажиропотоку. По итогам 2018 года Группа занимает 40,7% российского рынка по пассажиропотоку. В состав Группы Аэрофлот входят авиакомпании «Аэрофлот», «Россия», «Победа» и «Аврора».
По словам Леонида Душатина, управление рисками в Группе Аэрофлот реализуется на основе единой методологии управления рисками. Проводится обучение работников ПАО «Аэрофлот» и подконтрольных организаций. Советом директоров ежегодно утверждаются Реестр, Карта рисков и Декларация риск-аппетита Группы. В Группе организована оперативная коммуникация и периодическая отчетность о реализовавшихся рисках.
– В Группе Аэрофлот ведется системная работа по повышению эффективности функционирования КСУР. Внутренние аудиторы и риск-менеджеры являются союзниками и партнерами в работе по сохранению и повышению стоимости бизнеса компаний Группы, – уточнил спикер.
При этом Департамент внутреннего аудита и Департамент управления рисками осуществляют ежемесячный анализ реализовавшихся рисков и мониторинг Карты рисков Группы Аэрофлот, в том числе на основе KRI (ключевых индикаторов операционного риска) по ключевым бизнес-процессам. При необходимости ДВА актуализирует свою Модель аудита и корректирует План. Такой ежемесячный анализ и мониторинг Карты рисков позволяет эффективно и своевременно управлять рисками, проводить необходимые аудиторские и корректирующие мероприятия.
Объединить ресурсы для управления рисками
О том, как внедрить интегрированный подход к управлению рисками, говорила начальник отдела риск-менеджмента АО «Объединенная зерновая компания» Наталья Квитко. Она напомнила, что АО «ОЗК» является крупнейшей инфраструктурной и трейдинговой компанией, которая обеспечивает экспортный потенциал российского зерна на мировом рынке и осуществляет торгово-закупочную деятельность на внутреннем зерновом рынке в рамках реализации программы национальной продовольственной безопасности и поддержки сельского хозяйства России. Мощности по хранению зерна АО «ОЗК» представлены 17 элеваторами и хлебоприемными предприятиями с общей паспортной емкостью хранения 2,1 миллиона тонн. Мощности по переработке зерна также серьезные: 8 перерабатывающих предприятий мощностью 1,2 миллиона тонн в год. Кроме того, компания имеет 2 портовых элеватора мощностью перевалки 6,4 миллиона тонн зерна в год. Чистая прибыль ОЗК на 2017 год составила 2,1 миллиарда рублей.
– Интегрированный подход к управлению рисками – это целесообразное объединение всех организационных, материальных, интеллектуальных, информационных и других ресурсов организации для предвидения, выявления и оценки неопределенностей и управления всей динамично изменяющейся совокупностью рисков процесса создания ценностей, ради которого существует организация, – уточняет Наталья.
Такой подход предполагает, что работники управляют рисками в рамках своей деятельности, что позволяет своевременно идентифицировать риски и свести их к минимуму. Сведенные к минимуму риски позволяют выполняться драйверам, влияющим на достижение стратегических целей. Чтобы внедрить интегрированный подход, нужно мотивировать работников управлять своими рисками и участвовать в процессе, а именно: убедить их, что риск-менеджмент – эффективный инструмент для отстаивания своих интересов; завязать ответственность за управление рисками с ключевыми показателями эффективности; продемонстрировать связь каждого риска с достижением стратегических целей; произвести оценку влияния каждого риска на финансовый результат; выносить статус по рискам на совет директоров. При этом в данной модели Комитет по рискам является коллегиальным органом, принимающим управленческие решения по операционным вопросам. В состав Комитета должны входить руководители всех ключевых бизнес-процессов.
Алгоритм от FM Logistic
Директор фармацевтического отдела (департамента) FM Logistic Ирина Вальтер прокомментировала алгоритм управления рисками в представляемой ею компании. Важным этапом является переоценка рисков (мониторинг идентифицированных рисков, периодический анализ рисков на предмет их актуальности, важности, влияния на бизнес, который помогает определиться с дальнейшими действиями с данными рисками) и принятие решения на уровне ежегодной оценки (Management review в целом на уровне компании – это оценка деятельности компании за прошедший период – год и постановка новых целей). Также именно на уровне сервиса – бизнес-юнита определяются действия по снижению рисков и внедрению улучшений. После внедрения действий осуществляется контроль их реализации, а также контроль целей, процессов, ключевых показателей эффективности. Фокус делается на потребности рынка и внедрение изменений. Проводится анализ контекста бизнеса в каждом бизнес-юните для внедрения изменений. Применяются такие инструменты, как: Statutory Watch (оценка законодательных требований, изменений в законодательной базе), оценка рисков в проектах, процессах, пре-старт, пост-старт аудиты и внутренние аудиты.
Кроме того, осуществляется поддержка проектным менеджером при запуске проекта, далее – операционным менеджером и менеджером по качеству в процессе деятельности клиента) по оценке рисков проектов и процессов, выявляются риски и возможности на уровне сервиса владельцем процесса. После этого задается вопрос: требуются ли акции по снижению рисков / поиску возможностей на уровне сервиса? Если ответ на него положительный, то определяются действия по снижению рисков и внедрению улучшений; если отрицательный – процесс реализуется без изменений.
– Такой подход мы применяем к каждому клиенту, – уточнила Ирина Вальтер.
Участники конференции высоко оценили прошедшее мероприятие. По их словам, подобный обмен опытом, представляющий двухдневный интенсивный курс лучших практик и наработок, является достаточно эффективным и позволяет реализовывать приобретенные знания на практике.
Елена Восканян. Фото предоставлено организаторами конференции