Семь факторов успеха. Ключ к созданию эффективной системы управления рисками (С. Игнатьева, "Риск-менеджмент", N 11-12, ноябрь-декабрь 2007 г.)

Семь факторов успеха.
Ключ к созданию эффективной системы управления рисками

Глобализация, волна корпоративных скандалов и ужесточение законодательных требований заставляют топ-менеджеров задуматься о том, как повысить иммунитет компании в нестабильной среде. Тем не менее лишь 14% организаций используют для этого комплексные системы управления рисками (ENTERPRISE RISK MANAGEMENT ИЛИ ERM)*(1). Речь идет в основном о компаниях, которые работают в финансовом секторе и других отраслях, подверженных жестокому законодательному регулированию. в чем факторы успеха внедрения эффективной системы управления рисками в компаниях реального сектора?

Первая и главная задача при создании ERM - это разработка концепции. Ни одна система управления рисками не может дать стопроцентного ответа на запросы компании. В последние годы используются различные концепции внутреннего контроля, соблюдения требований и управления рисками. Зачастую организации выстраивают систему РМ исключительно во имя регламентирующих требований. К счастью, сейчас компании могут разработать свою концепцию и настроить ERM под конкретные бизнес-задачи, а не просто для галочки. Второй фактор успеха - это определение и понимание риска. Топ-менеджмент, директора и члены комитета по аудиту прилагают немалые усилия, чтобы описать актуальные риски. Зачастую эти усилия не приносят никакого результата. Первоначальным решением может стать сводная таблица.

В третью очередь нужно обеспечить защиту стоимости компании. Необходимо определить факторы повышения стоимости и риски, влияющие на этот процесс. Четвертый шаг - это отказ от управления списком рисков. Многие фирмы занимаются составлением списка опасных факторов, вместо того чтобы внедрять ERM. Критерии оценки настроены соответствующим образом - вместо конкретных действий предполагается постоянная опись рисков. Ведущие компании практикуют точечный подход к оценке и отслеживанию проблем, составлению отчетности по рискам. Пятый принцип - это игра на опережение. Многие руководители признаются, что больше всего их беспокоят те риски, о которых они еще не знают. К сожалению, традиционные методы не всегда позволяют обнаружить новые угрозы. Нужно играть на опережение: использовать механизмы обратной связи, проводить семинары, работать с внешними источниками. Шестой пункт - это внутренняя процедура оценки рисков. Стратегическое, аудиторское и бизнес-планирование должно включать в себя последовательные подходы к оценке риска. Достаточно один раз внедрить подобную процедуру, и она навсегда останется структурным элементом компании. Седьмой фактор успеха - это распространение внутреннего аудита на все ключевые области риска. Многие службы внутреннего аудита сосредоточены на финансовой отчетности. Такое положение дел может отрицательно сказаться на других областях деятельности. Следует правильно расставлять акценты и контролировать все бизнес-процессы.

Идти своим путем

Прежде чем разработать концепцию ERM, необходимо описать бизнес-окружение. Это станет отправной точкой создания комплексной системы управления рисками. Затем разрабатывается концепция РМ. Как отмечалось, существуют различные концепции ERM, которые появились в результате глобальных кризисов. Тем не менее не стоит принимать готовые концепции - следует тщательно изучить имеющийся опыт и разработать свою собственную методику внедрения.

Многие компании (в том числе включенные в листинг американских фондовых бирж) кардинально пересмотрели систему внутреннего контроля за составлением финансовой отчетности в соответствии с положениями закона Сарбейнса - Оксли. Внедрение процедур для соблюдения этого закона создает основу для более детального анализа рисков во всех областях деятельности компании. Есть несколько факторов, которые влияют на выбор, построение и/или адаптацию концепции. Прежде всего необходимо сделать акцент на областях, где результат будет незамедлительным и ощутимым. Кроме того, надо иметь в виду актуальность и ценность концепции для участников. Помимо этого, требуется точная адаптация к существующим системам внутреннего контроля, управления рисками и к бизнес-процессам. Также следует использовать понятную и последовательную терминологию для описания и обсуждения рисков.

На одной странице

Вне зависимости от выбранной концепции руководство компании и специалисты по РМ хотят получить краткий отчет о ключевых рисках. Этот документ - главный результат мониторинга в рамках эффективного подхода к ERM.

Краткий отчет дает директорам сжатую информацию о ключевых рисках компании. Пользуясь этим документом, исполнительное руководство может контролировать ситуацию, а линейное руководство, в свою очередь, определять приоритеты и представлять отчеты.

Чтобы подготовить эффективный и краткий отчет о рисках на одной странице, рекомендуется действовать по модели со следующими компонентами: тип риска (финансовый, операционный, нормативный, стратегический), описание риска, общий рейтинг (последствия, вероятность, эффективность контроля), ключевые процессы управления риском, мониторинг и результаты (внутренний аудит, самооценка и т.д.), недостатки/проблемы/действия, владелец риска/ответственная сторона, влияние на процессы, проекты и/или стратегические цели.

Не продешевить

Ключевые риски публичных компаний связаны с их стоимостью. У многих фирм оценка негативных сценариев происходит на уровне процессов.

Это ограничение не дает уверенности в том, что учтены все основные бизнес-риски. Для публичной компании принципиальны риски, которые влияют на ее капитализацию. Цена акции нередко определяется двумя факторами - потенциалом роста и основными направлениями деятельности. Потенциал роста - это цели и стратегия их достижения. Для многих компаний эти возможности представляют собой более половины общей стоимости акций. Риски, связанные с ними, зачастую выпадают из поля зрения экспертов.

В то же время возможности будущего роста подробно представлены в публичных отчетах компании, а также во внутренних документах планирования. Эти документы могут быть полезными для руководства при разработке концепции оценки рисков. Наиболее существенные опасности можно выявить, сопоставив каждый риск с заявленными целями.

Основные направления деятельности - это активы, которые генерируют или поддерживают самую большую долю дохода и/или прибыли. Следует определить ключевые риски по данным направлениям. Кроме того, необходимо рассматривать и будущие возможности роста. ERM должна контролировать как актуальные, так и перспективные направления деятельности. Только так можно получить исчерпывающую информацию о том, что имеет наибольшую ценность для акционеров.

Риски на карте

Во многих компаниях инициативы в области ERM терпят фиаско, поскольку управление рисками сводится к составлению их перечня. Этот документ не ориентирован на практические рекомендации и лежит мертвым грузом. В результате многие компании управляют этим списком, а не рисками как таковыми.

Подобная ситуация складывается из-за плохо продуманных и неудачно применяемых критериев оценки. Зачастую используется только два критерия: степень воздействия и вероятность возникновения. При этом никто не думает о конкретных действиях в случае реализации негативного сценария. Результатом оценки должна стать карта рисков, на которой они будут ранжированы по степени влияния.

Сыграть на опережение

Неизвестные риски пугают директоров и риск-менеджеров больше всего. Особенно это характерно для компаний, переживающих существенные изменения. Многие руководители задумываются о том, как сыграть на опережение и упредить удары с неожиданной стороны. Следует расширить зону охвата, степень открытости и качество данных с помощью опросов, семинаров и аналитики.

Опросы можно проводить с помощью интернета, что весьма облегчает последующую обработку результатов. Вопросы должны быть простыми и открытыми, например: "Назовите три риска, которые влияют на достижение целей компании?" Для получения честных ответов исследование должно проводиться анонимно, в идеале - с привлечением независимых экспертов. Необходимо привлекать к участию в опросе подразделения, где есть первичная информация о рисках: отделы продаж, сервиса, производства и т.п.

Семинары также должны включать в себя анонимные голосования. Следует тщательно подходить к организации подобной встречи, чтобы она не превратилась в пустую и утомительную формальность для участников.

Взгляд изнутри

Внедрение ERM нередко прерывается из-за отсутствия ресурсов, заинтересованности или предполагаемого результата. Этот сценарий - следствие изолированного, факультативного внедрения системы управления рисками. Для того чтобы избежать такого развития событий, ERM должна разрабатываться как внутренний механизм, который интегрирован в общую систему стратегического, бюджетного, аудиторского и бизнес-планирования.

Технологические платформы для управления рисками стремительно развиваются в последние годы. Их бурная эволюция стала ответом на принятие Закона Сарбейнса-Оксли и других регламентирующих положений. Эти платформы уже сегодня можно использовать в качестве базы данных. В то же время складывается тенденция интеграции РМ и внутреннего аудита с активными отчетами. Это позволяет взаимодействовать в режиме реального времени по наиболее важным рискам.

Все включено

Внутренний аудит - один из самых мощных инструментов, которыми располагает совет директоров для определения ключевых рисков. И зачастую это единственный механизм, позволяющий оценить риски в рамках всей компании.

Тем не менее служба внутреннего аудита сталкивается с большими трудностями в оценке, что связано с рядом факторов. Прежде всего, это недостаточное участие службы в корпоративных процессах стратегического и бизнес-планирования. Кроме того, зачастую не хватает времени, навыков и бюджета для проведения тщательной оценки рисков по всем подразделениям и рисковым областям. Помимо этого служба внутреннего аудита нередко вынуждена полностью концентрироваться на рисках финансовой отчетности. Ведущие компании стараются исправить эту ситуацию и принимают ряд мер: аутсорсинг, ротацию и обучение внутренних аудиторов смежным профессиям. Влияние службы внутреннего аудита должно быть ощутимым. Не всегда специалисты службы могут непосредственно провести оценку рисков по всей компании, но тем не менее они могут быть инициаторами, посредниками, обработчиками информации. Нередко служба внутреннего аудита не располагает достаточными знаниями или ресурсами для покрытия всех рисков. В этом случае имеет смысл положиться на аутсорсинг или привлечение сторонних консультантов. Чтобы сохранить ресурсы и подготовить будущих лидеров, многие службы внутреннего аудита привлекают работников из других подразделений. В свою очередь, сотрудники службы проходят ротацию по различным областям риска и сферам ответственности.

С. Игнатьева,

менеджер компании "Эрнст энд Янг"

"Риск-менеджмент", N 11-12, ноябрь-декабрь 2007 г.

-------------------------------------------------------------------------

*(1) По данным исследования, проведенного компанией "Эрнст энд Янг" в 2007 году.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.