Управление рисками: переход на новый уровень

Оценка рисков – это, в первую очередь, выявление всех возможных событий и потенциальных возможностей

Русское общество управления рисками (РусРиск) развивает традицию проведения мастер-классов с наиболее авторитетными в мире риск-менеджерами. В конце октября по инициативе РусРиска и при поддержке ОАО «Росгосстрах» в московском офисе этой компании состоялась встреча профессионалов риск-менеджмента России с Гертом Крайвэгеном (ЮАР), директором по рискам Tsogo Sun Group.

Герт Крайвэген – основатель и первый президент Ассоциации по управлению рисками и страхованию Южной Африки (SARIMA), член совета директоров IFRIMA (Международная федерация ассоциаций риск-менеджмента), один из авторитетнейших мировых специалистов по управлению рисками с 30-летним опытом, или, как его называют коллеги, настоящий гуру риск-менеджмента.

Практика и теория риск-менеджмента в ЮАР очень сильна. Господин Крайвэген выступает с лекциями по всему миру и имеет несколько наград как лучший риск-менеджер года. Во время визита в Москву он был удостоен памятного знака РусРиска за личный вклад в развитие управления рисками в России. Награду гостю вручил президент РусРиска Виктор Верещагин.

На мастер-классе The Governance of Risk Герт Крайвэген рассмотрел отличия традиционного управления рисками от управления рисками на более высоком уровне. В основе обновленного подхода лежит профессиональный кодекс, получивший название King III.

Журнал «Эффективное антикризисное управление» предлагает вашему вниманию основные тезисы, прозвучавшие на мастер-классе Герта Крайвэгена.

Риск: опасности и возможности

Мир все больше и больше полон всевозможных рисков. При этом, по определению Уоррена Баффета, одного из богатейших людей мира, «риск проистекает из того, что мы не знаем, что делаем».

Риск – это не только плохие вещи, которые случаются, но это и хорошие вещи, которые не происходят. Упустить возможность – это такой же риск, как подвергнуться какой-то неприятности.

Некоторые риски имеет смысл принимать такими, какие они есть. Риски не всегда должны быть управляемыми, и не всегда нужно ими управлять, но, по крайней мере, их нужно понимать. Процесс управления рисками должен предоставлять высшему руководству возможность правильно принимать решения.

Еще в 1916 году увидела свет книга под названием «Общее управление и управление бизнесом», и она как раз касалась вопросов управления рисками. Сейчас риск-менеджмент – одна из восьми ключевых дисциплин при подготовке бизнесменов. Эта дисциплина развивалась одновременно с ростом бизнеса и с индустриализацией. Во время промышленной революции компании использовали паровые двигатели, при этом очень часто случались взрывы. Впоследствии эта проблема была решена, но возникла новая – высокая травматичность и нанесение вреда здоровью людей. В 1970-х годах в центре внимания оказался терроризм и, соответственно, вопросы безопасности. Конец 80-х – начало 90-х годов ознаменовались крупными корпоративными скандалами. Дальше развитие управления рисками было связано с разработкой кодекса корпоративного управления компаниями.

Со временем возникли новые методы анализа рисков и способы измерения акционерной стоимости компании. Свою лепту внесло развитие компьютеров, появились различные базы данных и возможность с ними работать. Получила развитие дисциплина, которая называется «управление риском предприятий», и сегодня она добавляет дополнительную стоимость любой компании.

King III: новый уровень риск-менеджмента

ЮАР – это признанная страна в сфере управления рисками, потому что учитывает факторы влияния со всего мира и открыта новому опыту, который есть в США, в Европе, в Азии, в Австралии.

«Мы берем самое лучшее, что у них есть, и добавляем свое. Наиболее признаваемый на сегодняшний день кодекс корпоративного управления называется King III. Он основывается на кодексе King I 1994 года и King II 2002 года. Важное отличие кодекса King III от предыдущих – он перешел от простого управления рисками к управлению рисками на более высоком уровне», – подчеркивает Герт Крайвэген.

Обычный риск-менеджмент состоит из трех или четырех шагов. Governance of Risk (управление рисками на более высоком уровне) состоит из десяти шагов. Governance включает Management.

Первый принцип, заложенный в кодексе управления King III, гласит: за риск отвечает совет директоров. Совет директоров должен продемонстрировать, что он способен это делать, а ответственность, возложенная на совет директоров, должна быть прописана в уставе компании.

Второй принцип. Совет директоров определяет уровень допустимости риска.

Третий принцип. Совет директоров должен брать на себя обязательства по управлению рисками. Кодекс King III предполагает, что совет директоров создает специальный комитет по управлению рисками, хотя при этом признает, что практически это не всегда возможно. И эти обязанность и ответственность может взять на себя комитет по аудиту. Такой комитет должен состоять как из исполнительных директоров, так и из директоров, которые не являются исполнительными. Если требуется, в такой комитет должны входить руководство компании и эксперты со стороны.

Четвертый принцип. Совет директоров должен делегировать руководство и ответственность по разработке, внедрению и отслеживанию планов по управлению риском. Это означает, что совет директоров может назначить вице-президента по рискам или главного менеджера по рискам. Это сокращение – CRO (Сhief Risk Officer)означает «главный исполнительный директор по управлению рисками». Эта должность выше по уровню, чем менеджер по управлению рисками. Человек, назначенный на такую должность, не может управлять рисками от имени совета директоров, он может только облегчать эту работу.

Пятый принцип. Совет должен гарантировать, что оценка рисков осуществляется постоянно, на длительной основе. Оценивать риски раз в год – это явно недостаточно. Риски меняются постоянно, и их оценка должна выявлять в том числе и новые возможности. Она не должна базироваться только на мнении тех людей, которые входят в группу оценки. Этот процесс необходимо дополнять аналитикой, рыночными данными, внешними данными. Принципы оценки рисков – это не только список разных факторов и категорий, на которые следует обращать внимание. Процесс должен быть нацелен на достижение стратегических бизнес-целей, на разные источники получения доходов для бизнеса, на критические взаимозависимости между бизнес-процессами. Это фактор, который часто упускают из внимания.

Часто такие простые вещи, как обеспечение электроэнергией, водой или вывоз мусора, упускаются из внимания. Совет директоров должен регулярно получать и рассматривать ключевые риски. Нужно также учитывать такие факторы, как накапливающийся риск и концентрация рисков.

Шестой принцип. Совет директоров должен обеспечить такие рамки управления рисками и методологию их внедрения, чтобы увеличить вероятность предвидения непредвиденных рисков. Звучит совершенно невероятно – предвидеть непредвиденные риски, но это возможно.

Седьмой принцип. Совет директоров должен обеспечить, чтобы руководство рассматривало и внедряло соответствующие и правильные ответы на риски. Кодекс King III избегает выражения «исключение рисков». Смягчение рисков – это только один из подходов, необходимых при работе с рисками.

Обычно речь идет о четырех ветвях в управлении рисками: работа с рисками, перевод рисков, прекращение рисков или допущение рисков.

Первый фактор – это работа с риском, когда вы делаете все, чтобы снизить вероятность возникновения рисков. Второй фактор – вы переводите риск на кого-то другого, точно так же, как, например, переводите деньги на другой счет. Прекращение риска означает буквально прекращение какого-то вида деятельности. Допустимость риска означает, что его вероятность настолько низка, что мы просто миримся с его существованием – например, возможность цунами в Москве.

Существуют дополнительные способы реакции на риски. Если вы правильно осуществляете оценку риска, вы можете выбрать такое поведение, как избегание риска. Еще одним ответом на риск может быть его изучение – точнее, изучение не самого риска, а возможностей, которые он несет. Профессионалы в области управления рисками никогда не выбирают только один возможный вариант реакции на риск – они используют всю совокупность мер.

Восьмой принцип. Совет директоров должен обеспечить постоянное отслеживание рисков руководством. Формулировка достаточно прямолинейная, и специалисты по управлению рисками встречаются с ней каждый день.

Девятый принцип – это нечто новое для специалистов по управлению рисками. Он звучит так: совет директоров должен получать определенные гарантии по поводу эффективности процессов управления рисками. Гарантии совета директоров должен обеспечивать независимый гарант. В то же время отдел внутреннего аудита не должен заниматься работой, которой занимается отдел управления рисками. Он не должен брать на себя функции, процессы или системы управления рисками. Никто не может быть одновременно игроком и судьей. Отдел по управлению рисками ведет работу, а отдел внутреннего аудита оценивает, насколько она хороша.

Десятый принцип: совет директоров должен обеспечить, чтобы процессы, имеющиеся в компании, обеспечивали всеохватывающее, своевременное, надежное, точное и приемлемое раскрытие рисков тем, кто несет эти риски. Акционеры – это только часть тех людей, которые рискуют и несут риски. Люди, которые несут риски, важны для компании не в равной степени. В таких компаниях, как, например, банки, акционеры более важны, чем другие. Когда речь идет о горнодобывающей отрасли, о шахтах, то местные сообщества могут оказаться важнее, чем акционеры.

Как измерить риск-аппетит

Риск-менеджеры в своих отчетах прописывают самые важные риски и процессы управления этими рисками. Есть три понятия – Risk Appetite (риск-аппетит, или склонность к риску), Risk Tolerance (допустимость риска) и Risk Bearing Capacity (возможность компании нести риски). Иногда их путают, но это не одно и то же.

Склонность к риску – это предрасположенность к рискованности. Допустимость риска – это способность брать на себя риск. Способность компании нести определенные риски – это выраженный в абсолютных цифрах финансовый показатель, который отображает способность компании пережить риск.

Есть очень простой способ показать разницу между этими тремя показателями. Водители, которые любят передвигаться на автомобиле на большой скорости, – это люди, у которых есть склонность к риску.

Но при этом такой человек может заявить, что не хочет платить штрафы больше, чем, к примеру, 5 тысяч рублей в месяц. Это допустимость риска.

Есть еще другой показатель – это способность человека выплачивать такую сумму штрафов. То есть его способность платить 5 тысяч рублей в месяц будет той самой способностью нести определенные риски. Получается, что склонность к риску – совершенно субъективная вещь, основанная на нашем восприятии. Это очень личное понятие: какие-то люди рисковые, а какие-то, наоборот, осторожные. Люди с высокой склонностью к риску любят, например, играть в азартные игры, носиться на машине с огромной скоростью и прыгать с парашютом. Другие люди очень осторожные, они вообще не любят предпринимать какие-то рискованные действия. Склонность к риску можно измерить, а можно и не измерять. Эта характеристика человека меняется в зависимости от того, как меняется его окружение. Человек может в один день рисковать, а на следующий день быть очень осторожным. Он может купить акции на бирже на основании того, что он где-то что-то услышал, но на следующий день прочесть в газете нечто, что его напугает, и продать эти акции.

Допустимость риска – тоже субъективная характеристика, и, для того чтобы ее измерить, нужно сначала выявить, а потом согласовать определенные критерии. При этом надо понимать текущую динамику бизнеса. Обычно допустимость риска измеряется как отклонение от цели бизнеса, от цели компании. Можно расставить приоритеты в зависимости от того, что для компании является наиболее критичным.

Чтобы измерить допустимость риска, Герт Крайвэген предлагает сначала посмотреть на бизнес, на всю компанию целиком. Потом посмотреть на бизнес-единицу, бизнес-подразделение или регион, потом на продукты или на проект, а потом на клиентов.

Есть и другие измерения допустимости рисков. Например, время, тип риска, изменение, стоимость, результат, цель, награда, процент, активы. Еще несколько возможных критериев для измерения – время, вероятность, позиция и информация.

Допустимость финансовых рисков может определяться как уровень по отношению к выручке или как процент прибыли, процент, касающийся обслуживания долга, или процент заемных средств. Нефинансовые измерения касаются допустимости риска, безопасности сотрудников, текучести персонала. Текучесть кадров среди руководства иногда бывает выше, чем среди обычных сотрудников компании. В этом есть и положительный смысл – иногда компании требуется такая текучесть, чтобы получить новые идеи.

Еще один пример – это число инцидентов, связанных с нанесением вреда окружающей среде. Для компании, которая является цепочкой отелей, например, это не самый важный показатель. Но для предприятий сталелитейной или горнодобывающей промышленности, где возможны инциденты с выходом из строя определенной техники, этот показатель важен. Например, компания решит, что не может себе позволить иметь больше десяти или пятнадцати таких случаев в год.

Еще один возможный показатель – это расходы на обучение как процент к выручке. Это также могут быть баллы, которые измеряют вовлеченность сотрудников в ту или иную деятельность, и здесь тоже можно задать определенный уровень.

Если компания производит какую-то технику, то хорошим показателем может быть жизненный срок использования или существования того или иного оборудования. Например, в казино это средний возраст «одноруких бандитов». В технологической компании это сумма, которую она тратит на исследования и изыскания, как процент от оборота.

Способность компании нести те или иные риски можно описать как ее способность выдержать удар кулаком в лицо. Сколько компания может позволить себе потерять до того, как ей придется закрыть, например, свои магазины или склады? Здесь есть целый ряд показателей. Большинство из них было разработано финансистами либо внутри страховых компаний.

Среди преимуществ этих показателей – то, что они существуют, их можно увидеть и получить. Например, показатель может равняться 25 процентам чистого оборотного капитала (стоимость текущих активов минус сумма текущих пассивов).

Герт Крайвэген предлагает взять столько возможных индикаторов или показателей, сколько необходимо, игнорируя тот факт, что некоторые из них являются негативными, и подсчитать среднее значение этих показателей. Таким образом, получается настолько точная цифра способности компании нести риски, насколько аккуратно и точно хотят ее получить. Обычно средняя компания использует от пяти до восьми таких показателей. Это дает возможность достаточно точно проверить показатель способности компании нести риски.

Когда Герт Крайвэген работал в сталелитейной компании в ЮАР, на каждом заводе стояла только одна плавильная печь. Риск-менеджеры подсчитали, что способность такого предприятия нести риски была равна 30 миллионам. Самый большой возможный убыток, который был связан с плавильной печью, составлял 70 миллионов. Страховая сумма составляла 50 миллионов. В случае катастрофы страховой суммы было бы недостаточно для того, чтобы сохранить бизнес, и компании пришлось бы прекратить существование. В итоге было принято решение купить еще одну страховку.

Пишем сценарий

Одна из современных техник управления рисками называется Scenario Analysis («анализ сценария»). Компании, которые занимались парусными судами и дилижансами, управляли паровозами на железных дорогах, производили кассетные видеомагнитофоны – все они вылетели из бизнеса, потому что своевременно не выявили риски. Самый свежий пример – это компания Nokia, производитель мобильных телефонов. Если бы пять лет назад в аудитории спросили, у кого НЕТ телефона Nokia, то руки бы подняли один-два человека. Если сегодня спросить, у кого ЕСТЬ телефоны Nokia, то, пожалуй, только два-три человека поднимут руки. Nokia не сделала ничего неправильного, но Apple, Blackberry и Sumsung опередили эту компанию.

То же самое произошло в ЮАР, Великобритании и США с принадлежащими греческим и португальским эмигрантам магазинчиками на углах улиц. В этих лавочках продавались хлеб, сигареты и всякие мелочи. Все они постепенно были вытеснены из бизнеса, потому что открылись магазины с похожим ассортиментом товаров на автозаправках. Эмигранты работали очень интенсивно, но вокруг них изменялась бизнес-среда, а они не обращали на это внимания.

Любая компания должна понимать: стратегические риски – это неправильная стратегия, изменение спроса, изменение технологии, растущая конкуренция. Все это можно применить и к компании Nokia, и к тем магазинчикам, которые существовали на углах улиц. Категория финансового риска – это потеря поставщиков, изменение учетной ставки, изменение цен на сырье. Операционные риски – например, неудача в работе сети поставок, низкая производительность, проблемы с контрактами.

Во всем деловом сообществе существуют большие ожидания. Риски нужно вовремя выявлять и оценивать, нужны разработанные планы, как справляться с происходящими событиями, и специальные фонды для преодоления последствий этих событий. Ученые Оксфордского университета провели специальное исследование. Они проанализировали огромное количество катастроф, в частности, таких компаний, как EXXON, Тylenol, Pirelli и т. п. Выяснилось, что то, как вели себя акции, определялось исключительно восприятием рынка, тем, как рынок видел и оценивал способности руководства компании справляться с катастрофами.

Оценка рисков – это, в первую очередь, выявление всех возможных событий и потенциальных возможностей. Конечным результатом оценки рисков должно стать создание определенного профиля рисков, измеряющего их с точки зрения отклонения компании от поставленных ею для самой себя целей. При этом выявляются положительные и отрицательные стороны риска, и, кроме того, к этому профилю добавляются потенциальные или возможные ответы на разные виды рисков.

Есть пять важных областей для создания бизнес-плана по управлению рисками – это управление, оценки, выявление и интеграция, отчетность и отслеживание (контроль). Все это развивается во времени и состоит из пяти этапов, каждый из которых может длиться до пяти лет. Эти этапы – это выявление риска, моделирование сопротивляемости и упругости бизнеса, анализ проблем, анализ данных и анализ портфеля.

На раннем этапе управление риском это всегда соблюдение каких-то требований – например, законов, подзаконных актов. Потом это становится необходимостью для развития бизнеса. Затем риск-менеджмент смотрит на лучшие практики, которые есть за рубежом. И в конце концов управление рисками становится стратегическим инструментом, который добавляет стоимости компании.

Яна ЛИСИЦЫНА