Как воспитать культуру управления рисками?

1232

 

 

 

Как воспитать культуру управления рисками?

Чем детальнее и четче описан бизнес-процесс, тем меньше шансов, что какой-то риск останется в тени

Ежегодная конференция «Риск-менеджмент-2013: перезагрузка», которая состоялась в середине мая в Москве, собрала риск-менеджеров крупнейших компаний России и СНГ. Слово «перезагрузка» в названии конференции не случайно: в этом году ее организатором – компанией IC Energy – был задан совершенно новый вектор для мероприятий подобного рода. На протяжении двух дней участники делились практическим опытом, обсуждали и вместе решали наболевшие темы и проводили деловые игры.

Основными темами для обсуждения на конференции стали вопросы культуры управления рисками, моделирования наиболее существенных рисков, связи между управлением рисками и бюджетированием с помощью сценарного анализа и моделирования, автоматизации управления рисками, а также ключевые индикаторы рисков для операционных рисков. Как отметили организаторы конференции, в ходе ее проведения выявились две интересные тенденции. Во-первых, риск-менеджеры все больше и больше внимания уделяют развитию культуры управления рисками. А во-вторых, появилась острая необходимость в квалифицированных кадрах, способных моделировать и финансово оценивать риски.

Почему не замечают розового слона

Тема культуры управления рисками, по мнению ведущего конференции – менеджера по управлению рисками Фонда «Сколково» Алексея СИДОРЕНКО, на сегодняшний день является, пожалуй, самой важной в риск-менеджменте. Говоря о риск-культуре как о человеческой стороне риск-менеджмента он, в частности, отметил: «Мы много говорим о современных методиках, новых инструментах и модных подходах к управлению рисками в компаниях. Но мы как будто бы специально не замечаем «розового слона в углу комнаты». Это английское выражение применяется, когда все в аудитории прекрасно понимают, что есть одно «но», но это «но» никто не озвучивает и оно висит в воздухе. В нашем случае под гигантским розовым слоном подразумевается культура управления рисками. Все подходы риск-менеджмента эффективны настолько, насколько развита культура управления рисками в организации и насколько значима роль, которую мы, риск-менеджеры, играем в развитии этой культуры».

Проблема заключена в слабой поддержке риск-менеджмента сверху, со стороны руководства компании. Руководство может понимать важность внедрения, но не все понимают, что процесс нужно постоянно поддерживать, подпитывать энергией и финансами.

Линейные менеджеры компании не очень заинтересованы в том, чтобы делиться информацией о рисках. Риск-менеджерам приходится преодолевать нежелание сотрудников раскрывать такую информацию, потому что слово «риск» многими воспринимается негативно и они боятся понести ответственность за то, что этот риск проявится.

Еще одна проблема связана с тем, что риск воспринимается каждым человеком по-разному: отсутствует единая терминология и классификация рисков. Нужно пройти очень большой путь для того, чтобы все начали говорить на одном языке.

Существует мнение, что управление рисками – это прерогатива только крупных корпораций. И даже если делаются заявления о том что управлять рисками должны все организации, – много ли известно компаний малого и среднего бизнеса, которые управляют рисками? Статистика выживаемости малого и среднего бизнеса наталкивает на грустные мысли, отметил Алексей Сидоренко.

По его мнению, культуру риск-менджмента можно и нужно развивать. Один из труднопреодолимых барьеров состоит в том, что люди бизнеса не очень позитивно воспринимают ситуацию, когда к ним кто-то приходит и пытается разобраться в их делах. «Это воспринимается как некое посягательство на их территорию. Такая реакция иногда возникает из-за страха. Люди психологически не готовы к тому, чтобы оценить риск в сфере своей деятельности. Они считают, что если они озвучат риск, который существует, то им будет вменено в вину, что они допустили этот риск. Людям нужно просто объяснять, что работа по выявлению рисков как раз предотвращает наказание, – отметил Алексей Сидоренко. – Чем детальнее и четче описан бизнес-процесс, тем меньше шансов у владельца рисков, что какой-то риск останется в тени. К сожалению, в нашей стране компаний, где существует четкая формализация бизнес-процессов, пока еще очень мало. Ошибка заключается в подходе: мы часто начинаем заниматься рисками, но при этом мы очень слабо представляем сам бизнес-процесс. Это не только особенность России, но и проблема, существующая во всем мире».

Как обеспечить вовлеченность

Доклад Алексея КОСАРЕВА, руководителя департамента управления рисками КЭС-Холдинга (ЗАО «Комплексные энергетические системы»), был посвящен управлению рисками инвестиционных проектов – объектов капитального строительства. По его мнению, ключевыми задачами в управлении рисками являются обеспечение вовлеченности менеджмента в процессы риск-менеджмента, своевременная, полная идентификация и объективная оценка рисков, а также формирование и контроль применения инструментария по снижению рисков.

Система управления рисками состоит из нескольких этапов в определенной последовательности. Первый этап заключается в выявлении рисков (нарушений). Второй этап включает в себя анализ рисков и оценку влияния рисков на параметры проекта. Третий этап – это принятие решений о выполнении/разработке мероприятий по снижению рисков (устранению нарушений). Четвертый – контроль выполнения мероприятий по снижению рисков (устранению нарушений).

Алексей Косарев предложил следующий порядок идентификации рисков: за каждым работником подразделения риск-менеджмента закрепляется инвестиционный проект (объект). Риск-менеджер идентифицирует риски каждого объекта профессиональным образом – с помощью анализа документов, визуального осмотра с целью контроля соответствия объема и качества работ требованиям проектно-сметной документации, контроля соблюдения требований к проведению работ и т. д.; интервью с работниками, задействованными в ходе реализации проекта, а также со специалистами смежных подразделений; анкетирования работников; организации «горячей линии».

Затем риск-менеджер формирует отчет о результатах проверок: описываются выявленные нарушения, риски, причины нарушений (факторы рисков), последствия, вероятность возникновения риска (экспертно) и ущерб от реализации, меры по устранению риска.

Выявленные риски, сформулированные «техническим языком», должны быть «переведены» на «язык финансов» для оценки их влияния на параметры проекта.

На этапе анализа и оценки рисков риск-менеджеры определяют и анализируют прямые и косвенные последствия выявленного риска. Они производят стоимостную оценку ущерба в случае реализации риска, а также рассчитывают влияние риска на стоимость и параметры проекта (срок реализации, изменения по вехам внутри проекта и т. д.). Кроме того, они проводят анализ процессов – как в рамках конкретных объектов, так и в инвестиционной деятельности в целом. Это включает в себя планирование и организацию работ, выбор подрядчиков, контроль выполнения работ и для целей совершенствования бизнес-процессов управление инвестициями и формирование мероприятий по снижению рисков.

Мероприятия по снижению рисков формируются в двух направлениях. Первое – это устранение (недопущение) выявленных рисков (нарушений) в рамках конкретных проектов. Второе – проведение мероприятий по снижению рисков в рамках инвестиционной деятельности в целом.

Разработка/контроль выполнения мероприятий по снижению рисков проводится по результатам рассмотрения отчетов о рисках проектов. Органы руководства выдают поручение на устранение конкретных рисков (нарушений) либо выдают поручение разработать меры по устранению (недопущению в будущем) рисков. Риск-менеджер консолидирует решения органов управления и организует контроль выполнения мероприятий по снижению рисков.

Платформа для комплексного управления рисками

Дарья НЕХОРОШИХ, представитель по риск-аналитике IBM Восточная Европа/Азия, в своем докладе рассказала о решениях для автоматизации управления рисками, которые использует компания IBM.

«Когда мы смотрим то, как оцениваются системы рыночными аналитиками, мы понимаем, что есть системы, которые лучше или хуже подходят к той или иной ситуации. Я опишу ситуацию, для которой, с моей точки зрения, система, предлагаемая IBM Open Pages, подходит наиболее удачно», – подчеркнула она.

Концепция реализуется с помощью платформы GRC: Governanance (управление в целом), Risk (управление рисками), Compliance (управление исполнением требований и стандартов). В целом GRC-платформа означает комплексный подход к управлению рисками. Эта глобальная концепция предполагает, что необходимо управлять рисками и соответствием требованиям внешних и внутренних стандартов.

По словам Дарьи Нехороших, интегрированная платформа управления рисками и соответствия требованиям и стандартам состоит из пяти стандартных модулей решения.

Первый модуль – управление операционными рисками (Operational Risk Managenent – ORM). Информационные панели Open Pages предоставляют отчетность о текущем состоянии уровня риска. Они используют сценарный анализ, ключевые индикаторы рисков (KRIs), базу данных реализовавшихся потерь и корректирующие действия.

Второй модуль – это управление внутренним аудитом (Internal Audit Management – IAM). К ключевым возможностям IAM-модуля относятся определение, планирование, проведение и отчетность по аудиту в рамках всего бизнеса; отслеживание и управление аудитом, этапами аудита, рабочими документами и размещениями: автоматизация всех операций за счет полностью настраиваемых отчетности и документооборота; ранжирование рисков, выполняемое согласно методологии аудита.

Третий модуль – управление IT-рисками и стандартами (IT Governance – ITG). Модуль OpenPages Information Technology Governance (ITG) отвечает за соответствие управления IT-рисками бизнес-целям.

Четвертый модуль – управление финансовым контролем (Financial Control Management – FCM). Это решение для управления рисками финансовой отчетности. Ключевые возможности FCM-модуля: автоматизированный жизненный цикл выполнения требований, включающий разработку и документирование всех этапов от тестирования до сертификации.

Пятый модуль – управление политиками и соответствием требованиям регуляторов (Policy and Compliance Management – PCM). Это интегрированное решение для управления соответствием как регуляторным, так и внутренним политикам; поддержка оценки степени соответствия требованиям и нормам на всех уровнях (предприятия в целом, процесса, бизнес-единицы и пр.); управление политиками и процедурами; обучение и взаимодействие; поддержка нормативной сертификации и процесса аудита.

В рамках системы возможны также «расширения» конфигурации платформы, касающиеся конфиденциальности, управления непрерывностью бизнеса, управление рисками поставщиков и т. п.

Страхование как часть общей корпоративной системы риск-менеджмента

Производственная деятельность компаний сопровождается наличием широкого спектра рисков, реализация которых не должна влиять на устойчивую работу компаний. Это в полной мере относится и к компаниям нефтегазового сектора. По мнению Андрея ЕЛОХИНА, начальника отдела страхования ОАО «ЛУКОЙЛ», вице-президента РусРиска, степень защищенности активов компании влияет также на возможность привлечения инвесторов: «Любой инвестор, помимо обычных сведений о предприятиях компании, должен знать, насколько предприятия безопасны и в какую сумму может обойтись удовлетворение исков третьих лиц при возможной аварии. В рыночной экономике страхование традиционно является составной частью управления промышленными рисками и позволяет существенно уменьшить зависимость экономико-финансового состояния компании от них. Поэтому в любой крупной промышленной компании возникает необходимость разработки стройной и надежной системы обеспечения страховой защиты».

В компании «ЛУКОЙЛ» основные требования к системе обеспечения страховой защиты определены корпоративным документом. В настоящее время система представляет собой совокупность специально разработанных экономически обоснованных процедур, закрепленных в виде корпоративных норм и стандартов, обязательных для всех органов управления компании. Процедуры включают в себя выявление всех (без исключения) рисков, которые способны представлять угрозу бизнесу, то есть стабильности, устойчивости компании. Это означает выявление и получение количественных характеристик рисков с точностью, необходимой для их использования в процессе бюджетного управления и непосредственно процедуры управления рисками.

По мнению докладчика, преимущества количественного анализа риска состоят в том, что и страхователь, и страховщик видят размер максимально возможного ущерба, а страхователь ясно понимает, почему размер страховой премии равен определенной величине. Кроме того, и страхователь, и страховщик могут объективно оценить влияние франшизы на величину премии.

По словам Андрея Елохина, сегодня в компании «ЛУКОЙЛ» сформировались гораздо более жесткие, по сравнению с общепринятыми, требования к расчету рисков. В компании разработаны и прошли государственную экспертизу свыше 500 деклараций промышленной безопасности.

Организация эффективной страховой защиты невозможна без идентификации и количественной оценки рисков; тесного сотрудничества с корпоративной службой промышленной безопасности; оценки эффективности превентивных организационных и инженерно-технических мероприятий по промышленной безопасности; оценки имущества для целей страхования; эффективной процедуры урегулирования убытков. Такая система страховой защиты обеспечивает устойчивое функционирование и развитие компании и предотвращает риски, представляющие угрозы бизнесу, здоровью персонала, а также имущественным интересам акционеров и инвесторов, подчеркнул вице-президент РусРиска.

В целом конференция показала, что риск-менеджмент в России в процессе развития вышел за рамки отдельных отраслей. В банках, инвестиционных компаниях и на промышленных предприятиях зачастую используются одни и те же определения и методы оценки и управления рисками. Это позволяет говорить о том, что риск-менеджмент стал самостоятельным междисциплинарным направлением и компании различных секторов экономики, объединяя усилия, вносят свой вклад в развитие риск-менеджмента в России и в мире в целом.



 

Яна ЛИСИЦЫНА