Сейчас риски приходят и уходят с калейдоскопической скоростью. И те компании, где управление рисками является философией, встроено в организацию, справляются с кризисами лучше и эффективнее. Как это сделать, что сегодня ждет руководство от подразделений внутреннего контроля, внутреннего аудита, управления рисками в реалиях сегодняшнего дня и как должна измениться роль этих подразделений? Дискуссия на эту тему состоялась на круглом столе в рамках XIX Международного профессионального форума-2022 «Управление рисками – новые вызовы».
Лейла Барахнина, вице-президент управления рисками АО «Группа Ренессанс Страхование»:
– Если каждый из сотрудников на своем месте работы осознает персональную ответственность за управление рисками в своей конкретной области, это приводит к тому, что компания оперативно реагирует на все вызовы, вовремя и правильно принимает решения. И тогда управление рисками является не какой‑то очень узкой компетенцией одного риск-менеджера. Эта компетенция как soft skills, которые мы постоянно развиваем в себе путем переговоров, публичных выступлений и так далее. Управление рисками и работа с данными – это такая же встроенная компетенция любого топ- и мидл-менеджера. Когда это часть профиля позиции, это приводит к повышению зрелости системы управления рисками и внутреннего контроля, она переходит на совершенно другой уровень.
Например, в нашей компании, где трудится чуть более двух тысяч сотрудников, всего два риск-менеджера. Несмотря на то что наша отрасль регулируется Банком России, то есть действуют очень жесткие требования к построению систем управления рисками и внутреннего контроля, нам хватает двух специалистов, чтобы поддерживать сильную культуру управления рисками и сопровождать необходимые процедуры. По сути, наша миссия в том, чтобы делиться своей экспертизой и выступать больше координаторами, изучать лучшие практики и внедрять их в компании.
Почему так случилось? Все 25 лет существования компании ее культура и философия ведения бизнеса основывались на лучших практиках корпоративного управления.
Второй фактор – это наличие регулятора. Центробанк регулирует деятельность компаний на рынке страхования, и это тоже влияет на систему управления рисками.
Когда менеджмент принимает решения, в том числе и стратегические, учитываются разнообразные риски, прежде всего самые значимые и ключевые. При реализации стратегии большую роль играет управление рисками, комплаенс и внутренний аудит. Мы оказываем поддержку топ- и мидл-менеджменту. К примеру, у нас действует система отчетности по рискам, какие‑то отчеты составляются ежедневно, какие‑то ежемесячно. Функционируют комитеты по рискам, инвестиционный, комплаенс-комитет, а также комитет по аудиту при совете директоров.
Совокупная стоимость рисков после событий 24 февраля существенно возросла. В этой ситуации важно, как компания реагирует.
Наша компания продолжает стратегию интенсивного роста. Мы продолжаем инвестировать в цифровизацию бизнеса и трансформацию культуры, которую начали в 2019 году.
Функции, Риски, Комплаенс, Аудит должны, во‑первых, быть актуальными. К примеру, только во втором квартале 2022 года мы провели шесть внеплановых аудитов из‑за ряда возросших рисков, в части связанных с убыточностью страхового портфеля и инвестиционной деятельностью.
Второе – быть предельно полезными для бизнеса, не мешая ему адаптироваться. Это очень важно. Например, еще в марте 2020 года мы начали проводить аудит ИТ-безопасности при удаленной работе сотрудников – проверяли, нет ли рисков утечки данных. Сейчас провели аудит управления санкционными рисками в части невозможности пользоваться иностранным софтом и закупать иностранное оборудование. Мы оценивали, насколько мы зависимы от этого, какие планы и возможности есть для решения возникших проблем.
Третье – быть очень быстрыми. Сейчас нет возможности два месяца проводить аудит или неделю ждать отчет по рискам, бизнес не будет ждать, ему нужна актуальная информация, потому что скорость изменения внешней и внутренней среды высокая.
Для этого мы идем по пути цифровизации. Например, автоматизируем необходимые расчеты и контроль риск-аппетита, внедряем дэшборды с индикаторами рисков, чтобы у нас всегда была актуальная информация.
В части внутреннего аудита изменился подход к планированию. Раньше мы составляли годовой план и работали по нему. В этом году уже дважды его поменяли. По окончании каждого аудита план пересматривается, определяем, что сейчас наиболее актуально и что мы сможем сделать, чтобы помочь бизнесу адаптироваться.
Стремимся как можно меньше отвлекать бизнес в части его участия в проведении аудиторских процедур. Этому помогла пандемия, во время которой мы стали практиковать дистанционные аудиты, сейчас активно пользуемся разнообразной углубленной аналитикой, анализируем все данные самостоятельно в удаленном режиме.
Сейчас нет возможности два месяца проводить аудит или неделю ждать отчет по рискам, бизнес не будет ждать, ему нужна актуальная информация, потому что скорость изменения внешней и внутренней среды высокая.
Мы изменили подход даже в работе с аудиторскими рекомендациями – за последние два года вообще отказались от них. Аудитор, считаю, не должен приходить с готовой рекомендацией. Но когда аудит подсвечивает высокорисковые области и рассказывает об этом менеджменту, тот сам разрабатывает планы действий, направленные на устранение выявленных негативных обнаружений. Тем самым растет вовлеченность менеджмента, понимание и ответственность за управление своими рисками.
Планы действий мы сейчас пересмотрели, поскольку мониторинг мер по итогам аудита, которые менеджмент внедряет, это тоже достаточно сильная нагрузка. Так, мы провели актуализацию этих планов: какие‑то отложили, от чего‑то отказались совсем. Считаю, что сейчас нужно снизить частоту и даже увеличить цикл ряда традиционных аудитов, то есть аудиторские проверки проводить реже, сфокусировав усилия на новых или выросших рисках.
Алексей Ковешников, директор по внутреннему контролю ПАО «АВТОВАЗ»:
– У нас поменялся акционер, сменилась управленческая команда. Раньше оценка рисков у нас осуществлялась относительно стратегии и целей компании и в соответствии с требованиями группы «Рено». В наши задачи входил опрос менеджмента и вовлечение его в оценку рисков, чтобы сотрудники более активно и открыто говорили, что может пойти не так. Это всегда проводилось в ходе встреч лицом к лицу, анонимные результаты компилировались и представлялись уже коллективному менеджменту. Цель была в том, чтобы повысить осведомленность о тех рисках, что у нас есть. И решить, что мы с ними делаем – просто мониторим или предпринимаем какие‑то дополнительные мероприятия по их снижению.
Сейчас я считаю, что надо максимально упрощать существовавший процесс, потому что когда мы показываем 20–30 паспортов рисков, пытаемся получить обратную реакцию и вовлеченность, они появляются только у тех, чья фамилия обозначена в графе «владелец риска», либо от ответственных за дополнительные мероприятия. Для того чтобы получить более вовлеченное отношение, мы будем стараться упрощать процесс.
Менеджмент надо заинтересовывать, чтобы они понимали, что это важно и интересно. И мы планируем ввести рисковые показатели для обозначения менеджменту ситуаций, требующих дополнительных действий с их стороны.
У нас российские автомобили. Но зачастую комплектующее изделие, которое произведено в России, – практически это подсборка элементов, поставленных со всего мира. Поэтому сейчас цепочки поставки для нас – страх и ужас. И каждый день появляется новая проблема. Оценить их, систематизировать, спрогнозировать – крупными мазками возможно, но возникают точечные проблемы, которые не дают делать это системно. Приходится «тушить пожары» каждый день. То есть системная работа тоже ведется, как и прежде, но решаются и новые задачи.
Сегодня от нас ждут данных по возможным рискам и способам решения проблем. Каждый должен пытаться помочь компании. Внутренний аудит и риск-менеджмент переходит на рельсы консалтинга. Например, во время простоев внутренний аудит занимался консультациями по выполнению санкционного законодательства: что мы можем ввезти, что нет – по конкретным ситуациям, поставщикам. Да, это не совсем их задача, но они могут быстро мобилизоваться на решение этой задачи, получить информацию от различных функциональных подразделений, у них есть хорошее понимание процессов в организации. Такая экспертиза очень полезна для компании.
Многие процессы существенно меняются, и надо действовать быстрее, чем раньше. Подразделениям нужны варианты более оперативного решения проблем.
Сейчас серьезная волна кризиса, и надо ее преодолеть, чтобы затем уже сделать выводы, извлечь уроки и систематизировать работу, чтобы процессы шли быстрее на постоянной основе.
Ведь риск-менеджмент не значит заблокировать все риски. Это значит правильно их использовать.
Мария Клевцова, директор по внутреннему аудиту ООО «Лента»:
– В компании сейчас этап бурного роста и развития. У нас успешная сеть гипермаркетов, сейчас мы развиваем сеть магазинов малых форматов, развиваем онлайн, приобретаем другие бизнесы. Целеполагание отражает эту стратегию, то есть менеджмент ставит цели по всем направлениям. И роль риск-менеджмента заключается в том, чтобы дать overview по ключевым рискам, помочь руководству всех уровней думать о них и не забыть о рисках, которые из‑за такого бурного развития могут уйти из зоны внимания. Сделать детальные расчеты по каким‑то специфическим рискам.
Компания держит фокус на повышении эффективности, и функция риск-менеджера также развивается и меняется. Со стороны внутреннего аудита очень востребованы аудит и консультации, направленные на эффективность бизнес-процессов. То есть мы заходим в то, что традиционно не является основной сферой внимания аудита, это эффективность организации, централизация, цифровизация процессов. Также мы как аудит сейчас склонны какие‑то менее значимые вещи отметать, выносить за рамки и поменьше копаться в мелочах. Сейчас мы не можем себе позволить тратить на это время и средства.
Cейчас цепочки поставки для нас – страх и ужас. И каждый день появляется новая проблема.
Вторая тенденция – это скорость. То есть состояние процессов в 2021 году по большей части уже не так интересно, зато интересно, что происходило месяц или два назад. И это тоже накладывает свой отпечаток на нашу работу.
Третья тенденция – становится больше функций консалтинга. Например, если приобретается новая компания и идет реорганизация бизнес-процессов, наши предложения и анализ в форме консалтинга, рекомендации по возможным действиям, сейчас очень востребованы.
Алла Лиджиева, директор Дирекции банковских рисков АО «Банк Санкт-Петербург»:
– Нам повезло, собственники бизнеса, безусловно, понимают значимость риск-менеджмента и всего того, что мы делаем. Может быть, это связано, с тем, что с момента создания Дирекции банковских рисков в 2006 году первое, чем мы стали заниматься, это «засеванием» культуры управления рисками. Мы объясняли, что управлять рисками такой большой структуры, как Банк Санкт-Петербург в одном кабинете, силами пяти человек, просто невозможно. Что каждый сотрудник способен либо создать риск, либо предотвратить его, что у каждого сотрудника своя зона ответственности в контексте управления тем или иным риском по тому или иному направлению рисками. Рисковики же дают инструменты управления рисками, всегда готовы прийти на помощь, но управляют рисками все. И нас услышали.
Минимум раз в квартал я бываю на правлении с отчетом по рискам, много лет в годовом отчете я освещаю не только локальные, но и глобальные риски, делюсь с собственниками и топ-менеджментом информацией о том, какие проблемы прогнозируют ведущие экономисты. Возможно, поэтому мы всегда готовы к реализации рисков. Например, все мы помним, что пандемия коронавируса в РФ началась в начале марта 2020 года, а уже 13 марта в Банке вышел приказ о формировании штаба по координации работы в условиях пандемии. Дважды в неделю мы собирались и обсуждали текущие проблемы: как мы работаем в новых условиях, как, сохраняя персонал, уводим его на «удаленку», как защищаемся от киберрисков, как изменяем клиентские потоки внутри отделений Банка и между отделениями – с целью противодействия распространению коронавируса. Мы не растерялись в этой ситуации, поскольку сценарии минимизации рисков были у нас до того, как произошла эта нештатная ситуация.
Так, в течение двух недель почти две тысячи сотрудников были переведены на дистанционную работу с учетом обеспечения кибербезопасности Банка и с соблюдением требований сохранности банковской тайны. Тогда все те процедуры, которые у нас прорабатывались годами применительно к критичным рабочим местам, от которых зависела непрерывность деятельности Банка, были спроецированы на большее количество сотрудников. Наличие сценариев, их постоянное тестирование и актуализация, безусловно, помогли нам справиться с новым вызовом.
Сценарий «Черный лебедь» в нашем понимании остался только как публицистический термин. С момента выхода Положения 242‑П (Положение Банка России от 16 декабря 2003 года № 242‑П «Об организации внутреннего контроля в кредитных организациях и банковских группах». – Прим.) в части обеспечения непрерывности деятельности мы практически изъяли понятие «форс-мажор» из нашей деятельности. Все, что можно прописать как возможный сценарий нестандартной ситуации, у нас прописано во внутренних документах, а частично и в соглашениях с поставщиками и подрядчиками.
Для рисковиков понятия «нестандартная ситуация» или «форс-мажор» не должны существовать.
Например, группа по противодействию отключению SWIFT (международная межбанковская система передачи информации и совершения платежей) стартовала в нашем Банке в 2020 году, как только в газетах появилось упоминание о возможности реализации такого риска. Мы, как обычно, начали формировать возможные сценарии того, как мы поступаем в случаях, когда от системы отключают все российские банки, когда отключают отдельные банки, Центральный банк. Это пять-шесть очень понятных прозрачных сценариев, которые содержат максимум конкретной информации: кто мониторит ситуацию, каковы триггеры ввода в действие плана «Ч», кто куда бежит или едет, кто и какие сделки закрывает в первую очередь, чтобы предотвратить убытки Банка, каковы критичные рабочие места в части непрерывности деятельности и предотвращения операционных рисков. Я хочу сказать, что для рисковиков понятия «нестандартная ситуация» или «форс-мажор» не должны существовать.
Если говорить о текущей деятельности, то основная история у нас, как риск-менеджеров, разворачивается с бизнес-подразделениями. Мы никогда не ждем, когда уже что‑то случится. Когда в Банке появляется что‑то новое, приходим и начинаем работать с бизнесом совместно: рассматриваем новые продукты, услуги, проекты, локации филиалов, формируем профили риска объекта и прорабатываем пути минимизации этих рисков.
Cостояние процессов в 2021 году по большей части уже не так интересно, зато интересно, что происходило месяц или два назад.
Мы пытаемся просчитать все, что может случиться в результате какого‑то нововведения. Оцифровываем риски – операционные, регуляторные, правовые, репутационные. Сейчас Банк России издал много новелл по рискам информационной безопасности и информационных систем, рискам аутсорсинга и непрерывности деятельности, недобросовестному поведению банков в отношении клиентов. Если мы понимаем, что могут реализоваться какие‑то риски, мы делаем профиль риска: в чем именно, в каких последствиях он выражается, во что обойдется в деньгах, включая прямые и косвенные потери. В результате анализа по этому профилю риска Банк принимает решение: реализуем нововведение или нет, закрываем или принимаем описанные риски. В любом случае мы все подготовлены. И я хочу сказать, такой подход работает.
Как мы реагируем на текущую ситуацию? Сегодня у нас есть сценарии практически на все случаи жизни. Поэтому в моменте мы, риск-менеджеры, выступаем модераторами обсуждений внутри Банка, организовывая доработку сценариев с учетом текущей действительности, чтобы быть готовыми к дальнейшему развитию ситуации.
Второй момент – я сама как риск-менеджер предлагаю поставить на паузу какие‑то рисковые процедуры, которые в моменте не имеют большой эффективности. Например, у нас много лет проводится стандартная процедура стресс-тестирования Банка по всем значимым видам риска. В той волатильности, которая существует сейчас на рынке, когда каждый день все меняется, делать стресс-тест, то есть вовлекать половину Банка в аналитические процедуры, не имеет смысла. И мы предлагаем подождать два-три месяца, посмотреть, что будет дальше, перенаправим наши усилия на текущую деятельность. То есть мы адаптируемся к ситуации, и в данном случае выступаем не как рисковики, которые жестко стоят на необходимости соблюдения привычных процедур, а продумываем свои действия дополнительно: что эффективно – делаем, что неэффективно – откладываем. И надеюсь, что в данном случае Центробанк займет понимающую банковское сообщество позицию.
В той волатильности, которая существует сейчас на рынке, когда каждый день все меняется, делать стресс-тест, то есть вовлекать половину Банка в аналитические процедуры, не имеет смысла.
Считаю, что хороший рисковик, особенно в такой ситуации, как сейчас, не должен оставаться в стороне, а давать какие‑то предложения: что можно сделать, как нужно развиваться, как минимизировать риски, какие риски возможно принять.
Галина Дельвиг, директор Дирекции внутреннего аудита ПАО «Газпром нефть»:
– У нас крупный холдинг с большим количеством бизнесов, поэтому наша основная цель – создать системный подход к управлению рисками. Мы им занимаемся давно, начинали на уровне корпоративного центра, потом двинулись в дочерние компании. Подход – источники информации о процессах, деньгах, интервью. Система достаточно долго развивалась, немного модифицировалась в развитии.
Сейчас мы поделили риски на большие группы. Основная триада, которая эти группы пронизывает и работает на любом уровне: цели, риски, контроль.
Риски мы поделили на стратегические, проектные, влияющие на бизнес-план (срок жизни 1 год) и процессные. На четвертую группу – процессных рисков – мы начали системно заходить не так давно. Здесь сразу возникает вопрос: где границы контроля между управлением рисками и внутренним контролем, это одна функция или две? Мы решили этот вопрос в пользу одной функции. Определенные группы ресурсов нужны на каждую старату, прежде всего в бизнесе, который поддерживает такую нашу систему.
В международных компаниях изначально поставлено управление непрерывностью, там есть наработки, позволяющие мобилизовать определенные ресурсы, когда прилетает «черный лебедь». В нашей компании заранее готовить перестройки процессов, управленческих моделей не нужно и невозможно. Поскольку система непрерывности начинает затачиваться под конкретный риск, начинает работать бизнес с удесятеренной скоростью, создаваться ИТ-программы днями и ночами. То есть начинается бег, когда компания очень быстро перестраивается и подстраивается под «черного лебедя». Готовиться к этому заранее невозможно. Но нужно создавать систему управления непрерывностью деятельности.
Для меня новая реальность – это «цифра», она включает нашу деятельность, подход, систему, вклад. Года три назад мы занялись цифровизацией, и это не какой‑то ИТ-продукт, это концепция.
Мы создали единую матрицу для оценки рисков, а это огромные массивы данных с единым ранжированием этих рисков. Мы делаем интервальную оценку, причем можем оценивать как сам риск – положительный интервал, так и можем оценивать процесс. А потом в процессе делать оценку рисков. Это наше ноу-хау, и это очень хорошо работает.
То есть мы можем сделать единую матрицу, которая внутри себя имеет еще матрицы в зависимости от того, с какой стороны мы смотрим. Когда мы создавали эту систему, эта идея стала ключевой находкой, она позволила объединить все риски в один, но в зависимости от того, на каком уровне пирамиды вы стоите, у вас будут совершенно разные риски. Например, розница имеет определенный лимит рисков.
Начинается бег, когда компания очень быстро перестраивается и подстраивается под «черного лебедя». Готовиться к этому заранее невозможно. Но нужно создавать систему управления непрерывностью деятельности.
Что касается текущей ситуации, у нас очень диверсифицированный бизнес. Невозможно отдельно учить буровиков, геологов, специалистов по переработке что и как им делать. Им нужно дать систему, единый подход. Создать единый порядок во всей этой огромной деятельности.
Сейчас наша цель – вовлечь бизнес в управление рисками, и в этом участвуют все. Мы начинаем аудит со встречи-сессии. Собираем ключевые фигуры и начинаем мозговой штурм: какие риски есть в процессе, который мы аудируем. Все прекрасно на это реагируют, бизнес доволен. После внутреннего аудита, который подсвечивает нужные проблемы, матрица идет в систему, все это тестируем, получаем новую матрицу, согласуем ее с бизнесом.
В результате сейчас наш формат отчета – это матрица рисков, которую мы заводим в общую для всех систему, и ближайшая наша задача – сделать эту систему в режиме реального времени. Пока, например, данные в матрице по добыче обновляются раз в две недели.
Славяна РУМЯНЦЕВА
