Управление рисками: приоритеты изменились
Риск-менеджеры готовы к вызовам
Экономический кризис дает риск-менеджерам уникальную возможность полностью пересмотреть и переформатировать систему управления рисками. В то же время изменилась и роль самого риск-менеджера: все чаще руководители компаний хотят видеть на этой позиции не просто методолога, разбирающегося в рисках, но и хорошего финансиста, психолога, отраслевого эксперта. Об этом говорили участники Седьмой международной конференции «Корпоративные системы риск-менеджмента: лучшие практики», прошедшей в конце марта в Москве. Ее организовали CFO-Russia и Клуб финансовых директоров.
Классический риск-менеджмент уходит в прошлое
Открывая конференцию, директор по управлению рисками ООО «УК «РОСНАНО», основатель портала по управлению рисками www.risk-academy.ru, обладатель звания «Лучший риск-менеджер России 2014 года» Алексей Сидоренко предупредил, что насыщенную двухдневную программу стоит рассматривать как единую, целостную историю. А отдельные доклады лучших риск-менеджеров России – как кусочки паззла, каждый из которых важен для формирования сильной культуры управления рисками.
В своем докладе Алексей Сидоренко поднял одну из наболевших тем современного риск-менеджмента в России – слабую культуру управления рисками.
– Культура управления рисками не может сформироваться благодаря одной крупной инициативе или программе, которая якобы должна перевоспитать руководство компании. Ее можно зародить только через большой набор маленьких инициатив, каждая из них отдельно важна, хотя изначально может показаться вполне тривиальной. В сумме они дадут эффект, к которому вы стремитесь. После конференции постарайтесь реализовать хотя бы по одной маленькой инициативе из каждого доклада, и вы увидите, как изменится сознание вашей команды и руководства, – обратился к коллегам эксперт.
Алексей Сидоренко уверен: риск-менеджер больше не может быть просто фасилитатором. Он должен иметь собственную позицию по поводу рисков того или иного инвестиционного и управленческого решения и участвовать в процессе их принятия. Кроме того, риск-менеджер должен работать в сотрудничестве с другими подразделениями компании для формирования единого мнения. Только совместно с финансистами, стратегами, юристами, службой безопасности, аудиторами и контролерами можно выработать некую объективную позицию по поводу рисков и донести ее до высшего руководства.
– При этом уровень компетенций самих риск-менеджеров должен постоянно эволюционировать, ведь запрос руководства к риск-менеджменту в последнее время заметно изменился. Сообщество риск-менеджеров должно занять активную позицию в обучении и сертификации профессионалов в области управления рисками, – считает Алексей Сидоренко.
Он убежден, что в будущем нас ожидает революция риск-менеджмента:
– Мы наконец уйдем от классического управления рисками и начнем выстраивать риск-ориентированное управление бизнесом. Надеюсь, вскоре такие привычные элементы системы управления рисками, как карта рисков, планы мероприятий по рискам и отчетность о рисках, уйдут в небытие, – отметил лауреат премии «Лучший спикер CFO-Russia 2014».
Заместитель председателя наблюдательного совета «РусРиска» Артем Ворончихин согласился с тем, что приоритеты в управлении рисками меняются и в текущих условиях заметно возрастает роль риск-менеджера.
– Поскольку компания заинтересована в поиске новых ниш, направлений, точек роста и возможностей вытеснения конкурентов, очевидно, что риск-оценщики, риск-классификаторы, риск-консультанты и риск-методологи остались в прошлом. Требуются эффективные риск-менеджеры, которые смогут не только оценить последствия текущего кризиса, но и приготовиться к следующему – выявить будущие риски, – убежден эксперт.
А их, по прогнозу Артема Ворончихина, будет немало, в том числе инфраструктурные, кредитные и киберриски.
– Суммарный ущерб, который они приносят, в мире доходит до 1 трлн долларов в год, в России – до 60 млрд долларов. Средний размер ущерба за одну «атаку» в России составляет 3,3 млн долларов. Хотя принято считать, что киберриски важны только для банков и IT-компаний, в наши дни от IT-систем зависит все управление производством и финансами, – заметил специалист.
О системе управления рисками как инструменте повышения эффективности бизнес-процессов рассказал руководитель службы внутреннего контроля и управления рисками компании «Миле СНГ» Алексей Инюткин. Эксперт представил реестр рисков, который является хорошим инструментом для формирования годового плана внутреннего аудита, а также эффективным рабочим инструментом менеджмента компании для описания и внедрения контрольных процедур.
Лучшие инвестиции – в себя
Требования, предъявляемые сегодня к риск-менеджеру, изменились. Чтобы соответствовать им, специалист должен инвестировать в свое образование, развивать профессиональные компетенции.
– Пожалуй, инвестиции в себя – самые лучшие инвестиции. После окончания кризиса у работодателей будут новые требования к специалистам. Скорее всего, они изменятся с учетом кризисных явлений, и если риск-менеджер не развивается, то вряд ли будет востребован, – считает член наблюдательного совета некоммерческого партнерства «РусРиск», руководитель направления по управлению рисками ООО «Евросеть-Ритейл» Любовь Фролова.
Уже сейчас руководители хотят видеть на этой позиции не просто методолога со знаниями в области построения процесса управления рисками, а междисциплинарного эксперта – психолога, юриста, проектного менеджера, продавца, который сможет продать такой специфический продукт, как система управления рисками. Поэтому риск-менеджер должен развивать свои профессиональные навыки быстрее, чем другие специалисты компании. В этом ему призвана помочь специальная система сертификации.
– В перспективе в России будет внедрена панъевропейская система сертификации Федерации европейских ассоциаций риск-менеджеров FERMA. Пока этого не произошло, мы решили самостоятельно развивать систему сертификации в нашей стране. В мае 2013 года в Росстандарте зарегистрирована система добровольной сертификации «РусРиск», разработаны правила функционирования этой системы, в соответствии с которыми мы сейчас работаем, – рассказала Любовь Фролова.
Уже разработаны два уровня сертификации: «профессионал» (для специалистов с опытом работы в рисках или смежных областях не менее трех лет) и «специалист» (для молодых специалистов и студентов без опыта работы). Сертификация риск-менеджеров на уровень «профессионал» началась в прошлом году и продолжится в текущем, а со следующего займутся желающими получить уровень «специалист». Обучение для подготовки к сертификации планируется сделать очным и дистанционным с помощью видео-материалов и материалов для самостоятельной подготовки.
Любовь Фролова уточнила, что российская программа сертификации на 80% соответствует требованиям, которые предъявляет FERMA к своей системе сертификации.
– Нас нередко спрашивают: почему бы не дождаться внедрения сертификации FERMA и не выдавать сразу единый европейский сертификат? Дело в том, что FERMA еще не определилась ни с порядком, ни с критериями лицензирования своих национальных ассоциаций, к которым относится «РусРиск», и сколько придется ждать их – неизвестно, конкретные сроки не названы, – комментирует она. – Конечно, мы заинтересованы в том, чтобы унифицировать две системы и выдавать риск-менеджеру один сертификат, который будет легитимен и в России, и в Европе.
Тем не менее отечественная система сертификации имеет ряд преимуществ: в частности, важное место в ней занимает поддержание квалификации специалиста уже после получения им сертификата.
– Это одна из наших уникальных разработок. Мы не хотим организовывать семинары только для поддержания основных знаний по процессу управления рисками. Мы планируем развивать у риск-менеджеров новые компетенции, например управление IT-рисками, комплаенс-рисками, непрерывностью бизнеса, психологию риска, автоматизацию управления рисками, – пояснила Любовь Фролова. – Для написания программ, развития сертификации приглашаем лучших риск-менеджеров России. Наши программы разработаны совместно с Алексеем Сидоренко, лучшим риск-менеджером 2014 года, а его портал Риск-Академия в 2014 году признан лучшим образовательным достижением в области риск-менеджмента. Мы стремимся сделать систему сертификации уникальной и востребованной, чтобы она стала платформой для развития компетенций как начинающих риск-менеджеров, так и опытных профессионалов.
Любовь Фролова напомнила, что в конце 2014 года Национальным советом при Президенте по профессиональным квалификациям утвержден профессиональный стандарт специалиста по управлению рисками. Профстандарт планируется сделать обязательным для компаний с долей участия Российской Федерации в уставном капитале более 50%. Сейчас идет активный процесс по сопряжению этого профстандарта с образовательными стандартами и программами вузов, чтобы у выпускников, выбравших профессию риск-менеджера, уже со студенческой скамьи развивались необходимые компетенции.
Получение новых знаний как начинающими риск-менеджерами, так и опытными специалистами стало не просто формальностью, а реальным и необходимым мероприятием для развития новых профессиональных компетенций риск-менеджера.
Мастер-класс от эксперта
В рамках конференции руководитель управления по риск-контролю ОАО «Фортум», лауреат премии «Лучший спикер CFO-Russia 2014» Эдуард Сафиуллин провел мастер-класс, во время которого рассказал об особенностях западной модели управления рисками, их адаптации к российским условиям ведения бизнеса на примере своей компании, поскольку ОАО «Фортум» входит в группу Fortum со штаб-квартирой в Эспоо (Финляндия).
Эдуард поделился принципами управления рисками, сформулированными штаб-квартирой Fortum. Слушатели обсудили их в группах и подготовили доклады о том, как внедрять западные корпоративные принципы управления рисками в российских компаниях.
Лучший спикер CFO-Russia 2014 сделал акцент на том, что хорошо работающие на Западе принципы и методы управления рисками так же работают и в российских компаниях.
– Часто слышимые претензии к западным «лучшим практикам», которые не работают в наших условиях, относятся к практикам, в действительности не работающим на Западе и вообще нигде! Можно быть уверенным: если принцип управления рисками не удается внедрить в российской компании – этот принцип почти наверняка не заработает нигде в мире, – подчеркнул Эдуард Сафиуллин.
По его словам, важно определить работающие «лучшие практики», для этого надо изучить опыт реального их внедрения. И не следует изобретать велосипед – какого-то уникального пути развития риск-менеджмента в наших условиях не существует.
Кроме того, эффективна только хорошо сбалансированная система управления рисками. На практике для управления каким-либо крупным риском предпринимается одно обособленное мероприятие, после чего делается вывод о снижении такого риска для организации «до нуля» – почти всегда ошибочный. Эдуард разобрал несколько кейсов, когда организации сталкивались со значительными рисками, будучи уверенными, что риски полностью под контролем. «Закрыв» риск в одной точке бизнес-процесса, организация получала аналогичный риск на другой стадии.
– Поэтому вместо единой и всеобъемлющей политики по управлению рисками надо внедрять управление рисками непосредственно в бизнес-процессы организации, охватывая бизнес-процесс полностью. Нужны отдельные процедуры управления рисками в закупках, в инвестиционной деятельности, в процессе продаж. И не следует расслабляться – риски никогда не удастся снизить до нуля, – уверен докладчик.
Эдуард отметил, что принцип независимости риск-менеджеров от операционной деятельности не оправдал себя. Пришло время риск-менеджерам самим активно браться за управление рисками.
– Полная независимость риск-менеджера нисколько не лучше встречающейся иногда ситуации, когда руководство воспринимает риск-менеджера как ответственного за управление всеми рисками организации. Риск-менеджеры должны входить в составы управляющих комитетов организаций, активно участвовать в их работе, принимать решения с учетом рисков и нести за эти решения ответственность, – считает руководитель управления по риск-контролю ОАО «Фортум». – Эффективность риск-менеджера, принимающего решения и несущего за них ответственность, значительно выше полностью независимого управленца в текущих экономических реалиях.
Достойный конкурент
Об опыте автоматизации системы управления рисками рассказал главный эксперт дирекции по управлению рисками «РусГидро» Максим Сухарин.
– Мы начали работу над этим проектом в 2011 году. На тот момент на российском рынке уже были представлены подобные системы, но они не соответствовали нашим требованиям. Дело в том, что у нас довольно большая компания, включающая более сотни дочерних и зависимых обществ и имеющая девятнадцать филиалов, – рассказывает эксперт. – Безусловно, было очень сложно «переварить» поступающий со всей России массив отчетности, не говоря уже о том, чтобы выявить риски и управлять ими.
Так и родилась идея создания модуля по сбору отчетности (один из модулей автоматизированной системы управления рисками), позволяющего оперативно собирать информацию и составлять «карту рисков», включая оценку худших сценариев, текущий статус рисков, что дает возможность проанализировать каждый риск более подробно и системно.
– Внедрив данный модуль, мы смогли реализовать одну из важнейших задач, связанную с созданием и наполнением базы данных о рисках. Это позволяет легко выявить и предупредить типовые риски. Ведь раньше нам приходилось заносить всю информацию в таблицы excel, возникала сложность с их обработкой и анализом, – пояснил Максим Сухарин.
Модуль по сбору отчетности состоит из нескольких блоков: вкладка «справочники» помогает избежать хаотичности за счет предварительной настройки структуры хранения данных (данные вносят только администраторы системы); во вкладке «реестр рисков» сводятся все риски, и можно посмотреть риски по выбранному объекту или проекту; вкладка «планы мероприятий, отчет» содержит информацию о мероприятиях по рискам и отчетность о статусе их выполнения; вкладка «карта рисков» позволяет автоматически отображать интерактивную карту рисков по выбранному объекту или владельцу рисков. Также в системе организован механизм автоматической рассылки уведомлений, который сообщит администратору или ответственному лицу (владельцу рисков) о внесении изменений в карточку риска и напомнит о запланированных и пока не реализованных мероприятиях.
Максим Сухарин уточнил, что оценка рисков реализована двумя методами – количественным и качественным. Количественный метод оценки реализован на основе методологии Value at Risk, в программу «зашиты» основные алгоритмы расчета VaR историческим и дельта-нормальным методами, а также имитационное моделирование методом Монте-Карло. Исходными данными для расчетов являются исторические данные о реализации рисков либо данные о вероятности или частоте реализации рисков, вводимые экспертами. Для качественных оценок реализован функционал формирования в модуле произвольных шкал оценок, например классических 3*3, 5*5, где по осям откладываются вероятность и ущерб от рисков с возможностью внесения текстовых пояснений для каждого балла шкалы.
– Разработанный нами продукт имеет множество преимуществ. В частности, модуль по сбору отчетности позволяет избежать различного интерпретирования «похожих» рисков и четко структурировать информацию по объектам, рискам, мероприятиям, а также наглядно отобразить все риски на карте рисков. Основной акцент нами сделан на формировании постоянно пополняемой «Базы знаний» о рисках и мероприятиях. Это позволяет быстро сформировать реестр рисков и план управления ими для новых объектов/проектов, а также использовать «Базу знаний» в качестве своеобразной шпаргалки для оценки полноты и качества выявления рисков и формирования планов мероприятий для существующего объекта или проекта. Еще одним преимуществом является использование лучших международных и российских практик в области управления рисками, что позволяет при внедрении данного модуля на ДЗО/ВЗО общества (при существующих ограничениях в ресурсах) сразу соответствовать большинству предъявляемых требований к организации риск-менеджмента. Дополнительно хотелось бы отметить, что данный модуль – это уникальный проект для России, он является полностью отечественной разработкой, адаптирован под российского пользователя и составляет прямую конкуренцию западным аналогам, представленным в России, – подчеркнул докладчик.
В 2014 году автоматизированную систему управления рисками признали лучшим инновационным решением использования IT в риск-менеджменте на конкурсе «Лучший риск-менеджмент в России и СНГ-2014», организованном «РусРиском».
В настоящее время проводится работа по замене средства отображения информации (Business intelligence) на аналогичный отечественный продукт. В планах – развитие модулей, связанных с прогнозированием и оценкой производственных рисков на основе методологии RCM-анализа, модулей оценки рисков, связанных с волатильностью цен на продукцию (в данном случае – рисков негативных колебаний цен на электроэнергию на ОРЭМе), модулей управления рисками инвестиционных проектов и оценки рисков мошенничества.
– Тиражирование разработанных нами модулей системы по затратам не превышает по стоимости подписки на известные информационные ресурсы типа СПАРК, БИР-Аналитик и т. п., – заключил докладчик.
Кодекс нельзя воспринимать как панацею
Одним из наиболее ожидаемых стал доклад начальника отдела методологии моделирования рисков Центрального банка РФ Юрия Полянского, который рассказал о планируемых для внедрения новых требованиях ЦБ РФ к качеству данных и информационным системам, используемым банками для управления рисками при внедрении ими Базельских IRB-подходов. Эксперт обратил внимание: в банковской сфере пока не сформировано единого представления, что именно подразумевается под качеством данных, в разрезе каких характеристик его рассматривать и какими показателями измерять, из-за чего возникают разногласия участников рынка.
– Если сформулировать коротко, то качественные данные – это необходимые правильные данные, предоставленные нужным людям в нужное время. Качество данных является ключевым компонентом качества информации и знаний, полученных из этих данных. Именно от качества данных зависит значительная часть многих бизнес-процессов и, главное, их результаты, – подчеркнул Юрий Полянский.
Он остановился на некоторых международных стандартах качества данных и пояснил, почему в нашей стране возникают сложности с их внедрением. Одна из основных проблем, связанных с внедрением требований к качеству данных в России, заключается в том, что в этой сфере недостаточно современных российских стандартов, а переводить и адаптировать к нашей действительности международные – не так уж просто. Кроме того, требования в этой сфере носят, как правило, лишь рекомендательный характер.
– Конечно, существует ряд неофициальных переводов международных стандартов на русский язык, но они не подтверждены официально и не адаптированы к нашим реалиям. Наша система ГОСТов должна работать над этим. Сейчас не просто найти не только российскую версию этих стандартов, но даже английский вариант. Еще сложнее его перевести, не потому что мы не знаем английского языка, а потому, что в документе содержится масса нюансов и в описании каждой характеристики можно найти многообразие смыслов. Тесно связанный с этим вопрос корректной классификации характеристик качества данных также непрост, – уточнил Юрий Полянский.
Не меньший интерес участников конференции вызвало «интервью со сцены», во время которого начальник управления внутреннего аудита компании «НефтеТрансСервис» Анна Корбут побеседовала с директором Российского института директоров Игорем Беликовым.
Обсуждая Кодекс корпоративного управления, Игорь Беликов заметил: ни один документ нельзя воспринимать как панацею и, тем более, надеяться, что он откроет перед компанией горизонты прекрасного будущего. Кодекс, безусловно, является полезным и важным документом, содержащим обобщения российской и зарубежной практики в отношении различных аспектов практики корпоративного управления, включая риск-менеджмент. Однако не стоит ожидать, что он сам по себе совершит революцию в отечественном риск-менеджменте. Главное – какие реальные усилия будут предпринимать советы директоров для обеспечения создания и успешного функционирования в компаниях системы управления рисками. Данное направление работы, как подчеркнул Игорь Беликов, должно стать одним из ключевых в деятельности советов директоров в целом и их комитетов по аудиту в частности.
Анна Корбут добавила, что сообщество риск-менеджмента поддерживает такие документы, как Кодекс корпоративного управления, поскольку их появление подтверждает востребованность и существующий заказ на данных специалистов.
Больше стимулов для мошенничества
О том, как меняются приоритеты в карте рисков компании в текущих условиях, рассказал старший аудитор департамента внутреннего аудита ОАО «Волжская ТГК» Тимур Баязитов. По мнению докладчика, важно провести диагностику действующих методов риск-менеджмента в компании, рассмотреть как внешнюю, так и внутреннюю среду.
– Диагностика внешней среды включает мониторинг деятельности других компаний. Мы встретились с риск-менеджерами компаний, находящихся на разных стадиях развития риск-менеджмента, чтобы понять общие направления движения и тенденции в области управления рисками. Затем на основе информации по компаниям отрасли, исследований по рискам, регистров рисков компании 2010–2012 годов собрали для себя реестр возможных рисков. Для лучшего понимания корпоративной культуры, готовности компании и работников, определения приоритетов в развитии риск-менеджмента провели встречи с высшим руководством компании, обсудили ключевые риски, также пообщались с предыдущим директором по рискам компании. Это помогло нам взглянуть с нескольких сторон на риск-менеджмент в том виде, в котором он существовал, и понять, что необходимо изменить, настроить, – отметил Тимур Баязитов.
По его словам, с учетом объединения компании, проходящих и планируемых изменений принято решение сосредоточиться на небольшом перечне стратегических рисков компании. Каждому из стратегических рисков назначен владелец риска, и планируются мероприятия по управлению факторами рисков. Одновременно будут поддерживаться и развиваться успешно применяемые подходы к оценке и управлению рисками в ходе бюджетирования и планирования, управлению рисками реализации инвестиционных проектов. Риски на уровне бизнес-процессов выявляются при актуализации нормативной и распорядительной документации объединенной компании и включаются в эту документацию в форме матрицы рисков и контролей.
Тему оценки рисков мошенничества поднял заместитель директора департамента внутреннего аудита холдинга «Вертолеты России» Андрей Мишанов. Он подчеркнул, что в условиях кризиса деятельность по снижению риска мошенничества становится более актуальной, поскольку у работников появляется больше стимулов и возможностей для совершения мошенничества, а также оправдания своих действий.
Докладчик назвал внешние и внутренние факторы, влияющие на уровень риска мошенничества. К внешним отнес в том числе состояние экономики в регионе, тенденции отрасли, рыночные тенденции для специфических активов, новые законы или правила регулирующих органов, ужесточение кредитной политики финансовыми институтами, что затрудняет заимствования. Среди внутренних факторов выделил: стиль управления и общую атмосферу в организации, привычки и поведение руководителей и собственников, подход к стратегическому планированию, планы или действия организации в условиях кризиса, наличие подразделений, осуществляющих функции независимого мониторинга и контроля.
Андрей Мишанов сделал акцент на том, что чаще всего раскрытие мошенничества происходит случайно, реже – на основе анонимной информации, еще реже – в результате внезапных проверок.
– Виновные сотрудники должны привлекаться к дисциплинарной, административной или уголовной ответственности, иначе расследование мошенничества просто превратится в красивые, но бесполезные отчеты, – убежден специалист. – На мой взгляд, одна из самых страшных вещей в ситуации с мошенничеством – не замечать его или относиться к нему недостаточно серьезно. В таком случае сотрудники понимают, что им ничего не угрожает, и могут спокойно мошенничать дальше. Иногда происходят и вовсе недопустимые вещи, человека, уличенного в мошенничестве, не наказывают, а просто переводят на другую должность. Но если это «крыса», как бы незначительна ни была должность, он все равно придумает, как украсть у компании немного денег.
Завершая работу конференции, участники поблагодарили организаторов за насыщенную и, что не менее важно, актуальную программу и договорились встретиться в следующем году, чтобы поделиться реализованными практиками и достигнутыми успехами.
Елена ВОСКАНЯН