"ERM не внедрить за год" (интервью с О. Мележниковым, руководителем службы управления рисками ОАО "ВымпелКом") (А. Хавина, "Риск-менеджмент", N 1-2, январь-февраль 2008 г.)

"ERM не внедрить за год" (интервью с О. Мележниковым,
руководителем службы
управления рисками ОАО "ВымпелКом")

ОАО "ВымпелКом" стало первой российской компанией, включенной в листинг Нью-Йоркской фондовой биржи (NYSE). В начале 2006 года компания начала готовиться к сертификации на соответствие требованиям раздела 404 закона Сарбейнса - Оксли. Одновременно было принято решение создавать в компании службу по управлению рисками и внедрять ERM. В 2007 году "ВымпелКом" успешно прошел сертификацию и завершил первый цикл внедрения ERM. О том, как проходила эта работа, рассказал руководитель службы управления рисками ОАО "ВымпелКом" Олег Мележников.

- Олег, скажите, в чем заключаются задачи вашей службы?

- Наша цель - построить в компании эффективную систему управления рисками, предусматривающую их идентификацию и оценку, создание корпоративного реестра рисков, формирование и постоянный мониторинг планов по минимизации угроз, согласование ответственных за их выполнение лиц - владельцев рисков.

- Велика ли численность службы?

- В моем подчинении находятся два сотрудника. Первый занимается операционными рисками. В его компетенции вопросы, связанные с эксплуатацией IT-систем и ключевых элементов сетевого оборудования, логистики и управления недвижимостью. Следует отметить, что страхованием этих рисков занимается другое подразделение. Второй эксперт имеет большой опыт в области финансового анализа, построении математических и статистических моделей и занимается количественной оценкой рисков. Кроме того, в компании создан комитет по управлению рисками, который возглавляет исполнительный вице-президент - главный финансовый директор. В комитет входят ключевые менеджеры различных функциональных направлений, которые принимают решения по наиболее критичным рискам.

- С чего началось внедрение ERM?

- Первым шагом стал сбор информации о рисках. Мы провели 47 интервью с руководством компании. В ходе рабочих встреч с менеджерами среднего звена были выявлены более 350 проблемных моментов. Затем риски были проранжированы по функциям, в результате сформировался их исчерпывающий перечень и понимание, кто является владельцем того или иного риска.

- Как показывает практика, определить владельца риска бывает довольно сложно, например если риск затрагивает несколько бизнес-процессов.

- В таких случаях мы старались определить, где находится риск-драйвер - причина возникновения риска. Например, мы выяснили, что драйвером рисков, связанных с исполнением налоговых обязательств, может оказаться IT-система: сбой в программе приводит к формированию неверного отчета. Значит, владельцем риска является не главный бухгалтер, а системный администратор, который должен ежедневно контролировать работоспособность программы, генерирующей отчет. Причина может быть еще глубже: сбой возникает из-за того, что компания вовремя не обеспечила запас мощности серверов, в результате чего работоспособность программы, создающей отчет, постоянно снижается. Следовательно, необходимо было профинансировать расходы на увеличение аппаратных ресурсов. Таким образом, владельцем рисков оказывается руководство высшего звена, которое принимает решение о закупке оборудования.

- Логично предположить, что в любом случае наибольшая опасность для телекоммуникационной компании - это нестабильная работа оборудования и IT-систем.

- Это действительно так, но для получения полной и объективной картины я бы предложил рассматривать проблему уязвимости бизнеса комплексно. Дело в том, что на риски, связанные с техникой, мы как раз можем повлиять, поэтому они не так опасны. По крайней мере, мы о большинстве операционных рисков знаем и понимаем, как на них влиять. Например, мы организовали резервный вычислительный центр (ВЦ), который территориально отделен от главного ВЦ Москвы (расположен в другой части города) и дублирует IT-системы главного вычислительного центра.

- В чем, по-вашему, заключаются главные угрозы?

- Наиболее существенны для нас риски, которые угрожают стратегии компании. Организация должна увеличивать свою капитализацию путем достижения стратегических целей, поставленных акционерами. На этом пути встает огромное количество угроз, и нужно суметь их предвидеть и избежать. Так, например, одна из стратегических задач для "ВымпелКома" - увеличить выручку от неголосовых услуг. Поэтому для нас ключевыми являются риски, которые могут негативно повлиять на успешное внедрение востребованных на рынке дополнительных сервисов.

- Какими методами оценки рисков вы пользуетесь?

- Мы используем как количественные методы (например, метод Монте-Карло), так и качественную оценку рисков. Так, на этапе предварительного исследования угроз по рекомендации консультантов мы провели коллективную экспертную оценку рисков с помощью рабочих совещаний: по каждому из функциональных направлений мы собрали всех владельцев рисков не ниже менеджера среднего звена. Кроме того, на встречи были приглашены сотрудники, деятельность которых пересекается с основной функцией (например, маркетинг и IT, закупки и эксплуатация сетевого оборудования). После обсуждения мы предложили экспертам с помощью устройств анонимного голосования оценить обнаруженные риски по пятибалльной шкале с точки зрения вероятности и масштаба ущерба. Такой подход позволяет, с одной стороны, учесть мнение наиболее сведущих сотрудников, с другой - обеспечить независимость оценок, так как анонимное голосование дает возможность не оглядываться на мнение коллег и начальства.

- И этого оказалось достаточно?

- Не могу сказать, что я был удовлетворен эффективностью исследования на сто процентов. По пятибалльной шкале результат можно оценить на четверку с минусом. Сейчас понятно, что качество голосования зависит от грамотного подбора респондентов и их осведомленности о сути происходящего. Не все голосовавшие были теми специалистами, которых мы хотели опросить. Некоторые приглашенные из-за общей занятости или командировок делегировали своих подчиненных, которые не владели информацией о проекте ERM в достаточном объеме. Сейчас я бы организовал для участников встреч погружение в тему - тренинг, так как одной коммуникации явно недостаточно. Кроме того, стоит ограничиться приглашением не более чем 10-12 человек, потому что полноценно управлять большей аудиторией достаточно сложно.

- Какие методы используются службой сегодня?

- В настоящее время мы стараемся оценивать риски количественно, чтобы иметь возможность их проранжировать и разместить на карте рисков. Для этого введена пятибалльная шкала, которая в процентном соотношении привязана к потерям или недополученной в результате реализации риска выручке, выраженным в долларах США. Это, пожалуй, самый сложный момент в ЕRM, прежде всего, из-за трудностей при получении исходных данных. Чтобы собрать в организации необходимые для анализа цифры, требуется очень много усилий и времени. Так, мы столкнулись со сложностью сбора и обработки статистических данных. Поэтому чаще всего мы можем дать количественную оценку только операционным или финансовым рискам. Для других рисков сбор количественных данных может оказаться неоправданно сложным и дорогим. Это относится к рискам, влияние которых растянуто во времени, например, если речь идет о выборе технологии. В таких случаях мы прибегаем к экспертному анализу: опрашиваем владельцев риска, аналитиков, других участников рынка. Изучаем историю реализации подобных рисков за последние 5-10 лет, отслеживаем тренды, связанные с рисками в нашей отрасли, иногда в других регионах, в том числе в Западной Европе.

- Какие риски труднее всего просчитать?

- Наверное, стратегические и имиджевые риски. Но их нужно принимать во внимание при развитии стратегии компании. Мы всегда информируем о них акционеров и высшее руководство компании. В своем отчете для инвесторов по форме 20-F "ВымпелКом" раскрывает все возможные варианты развития событий, в том числе и связанные с изменением экономической и политической ситуации в стране.

- Вы использовали специальное программное обеспечение при внедрении ERM?

- Я считаю, что на первом этапе внедрения неоправданно закупать специальные программы. Сначала нужно собрать информацию, а уже потом, когда создан работоспособный реестр рисков, можно использовать профессиональные программные приложения для работы с большими массивами данных. Как правило, все начинают с Microsoft Exсel. Так же поступили и мы. После того как мы наполнили данными наш реестр, было приобретено недорогое программное обеспечение для количественной оценки рисков - британская программа @risk. С ее помощью мы моделируем худшие, оптимальные и оптимистичные варианты сценария развития событий. И можем генерировать любые варианты сценариев, разумеется, если у нас есть для этого статистика.

- Можно ли утверждать, что система управления рисками в вашей компании введена в эксплуатацию?

- Я не верю в заявления о том, что можно внедрить комплексную систему управления рисками за один год. Особенно когда речь идет о крупных организациях, сравнимых по размеру с "ВымпелКомом". Мы предприняли такую попытку, но опыт показал, что работа должна вестись не наскоком, а постепенно, шаг за шагом. Совсем не обязательно организовывать риск-менеджмент везде и сразу. Лучше всего сначала внедрить его в некоем пилотном бизнес-процессе или региональном подразделении. Успех внедрения принципов ERM в отдельной функции или регионе станет положительным примером и импульсом для внедрения программы во всех структурах организации.

Только когда компания несколько раз пройдет цикл ЕRM от идентификации рисков до выработки мер противодействия и убедится, что количество угроз уменьшилось, а оставшиеся риски из текущих стали целевыми (то есть их влияние приемлемо для риск-аппетита компании), можно утверждать, что корпоративная система управления рисками действует. Наша компания пока прошла только один цикл.

- Многие компании при внедрении комплексной системы управления рисками столкнулись с противостоянием сотрудников. Например, функциональные менеджеры часто воспринимают мероприятия риск-менеджмента как ненужные им бюрократические процедуры. Удалось ли вам преодолеть внутреннее сопротивление?

- Ключевую роль в преодолении сопротивления внутри организации играет поддержка высшего руководства. Эффективные коммуникации из уст первых лиц компании на интернет-сайте также важны. Кроме того, на первом этапе проекта нам помогло вышеупомянутое упражнение по экспертной оценке рисков, выполненное менеджерами среднего звена. Оно заинтересовало и вовлекло в процесс более 100 сотрудников компании. И хотя цель рабочих встреч была совсем иной, это придало мощный импульс проекту: о нас заговорили. Получилась косвенная внутренняя PR-акция. Самое сложное - заставить людей исполнять на практике те меры по минимизации угроз, которые выработаны в результате анализа рисков. Если план реагирования на риски остается лишь на бумаге, то компания просто обманывает себя - никакого корпоративного управления рисками у нее нет. Только если каждый сотрудник, занимаясь своей непосредственной деятельностью, задается вопросом: "а что, если?" и руководствуется принципами риск-менеджмента, можно сказать, что ERM работает. Если этого не происходит, риск-менеджмент становится реактивным и превращается во внутренний контроль. Ведь суть управления рисками в том, чтобы компания могла предвидеть наступление опасных событий и заранее предпринимать шаги по снижению их влияния. Внедрение риск-менеджмента - это создание новой культуры ведения бизнеса. Успех работы зависит от уровня зрелости компании и степени поддержки руководства. Если ее нет, то я бы не рекомендовал начинать этот процесс: приложенные значительные финансовые, организационные и моральные усилия все равно не принесут успеха. Важно, чтобы владелец каждого субриска понимал, что его работа будет считаться успешной только в том случае, если он сможет быстро и правильно минимизировать вероятность и влияние угрозы. Но люди опасаются изменений и крайне негативно воспринимают введение дополнительных нагрузок. Сначала нужно повлиять на отношение сотрудников к вопросу управления рисками, продемонстрировать успех на отдельных участках или направлениях бизнеса. Тогда постепенно изменится и поведение людей, и корпоративная культура. Если пытаться внедрить ERM бюрократическими методами - с помощью приказов, распоряжений, контрольных процедур, - эффект может быть минимальным и даже отрицательным.

Беседовала

А. Хавина

"Риск-менеджмент", N 1-2, январь-февраль 2008 г.