Культура управления (Е. Демьянова, А. Обермейстер, "Риск-менеджмент", N 1-2, январь-февраль 2008 г.)

Культура управления

Правильно организовать процесс определения стратегических, оперативных целей, ключевых бизнес-процессов и связанных с ними рисков поможет концепция COSO ERM Framework.

Руководство COSO Internal Control - Integrated Framework (Внутренний контроль - интегрированная система, или COSO IC), разработанное Комитетом спонсирующих организаций комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, или COSO), широко используется с 1992 года. В 2004 году Комитет выпустил новый документ - COSO Enterprise Risk Management (ERM). Концепция COSO ERM предусматривает ряд существенных отличий от Internal Control - Integrated Framework. Так, в соответствии с COSO ERM, цели управления рисками затрагивают не только финансовую, но и любые другие виды отчетности. Кроме того, в документе присутствует еще одна группа целей - стратегические, основа которых - миссия компании. Риск-менеджмент применяется как на стадии создания стратегии, так и для дальнейшего достижения целей трех других групп: операционных целей, целей, связанных с отчетностью, и целей, связанных с выполнением требований применимого законодательства.

Различает две системы и то, что в COSO IC отсутствует портфельный подход к риску, в то время как COSO ERM анализирует не только индивидуальные риски, но и их совокупность. COSO ERM дает более полный ответ на вопросы, как образуется риск, как формируется культура риска в организации*(1), также здесь вводится понятие склонности к риску. Обе системы рассматривают механизм появления рисков, однако в COSO ERM есть понятие события, имеющего внешний или внутренний источник, которое может повлиять на достижение поставленных целей. При оценке угроз в системе COSO ERM используется понятие внутреннего и остаточного риска, а также подчеркивается, что взаимозависимые риски могут появляться при одном и том же событии.

Особенности COSO ERM Цель внедрения ERM в компании - способствовать созданию, защите и повышению ценности организации с помощью управления неопределенностью среды, которая может негативно или позитивно влиять на достижение организацией своих целей. Компания должна определить цели на стратегическом уровне и идентифицировать риски и возможности, которые воздействуют на деятельность организации. После этого риски должны быть оценены и снижены посредством избегания, уменьшения, разделения или принятия. Рассмотрим элементы COSO ERM (рисунок) подробнее.

Внутреннее окружение

Внутреннее окружение включает в себя организационную культуру, философию риск-менеджмента, склонность организации к риску и культуру риска, систему надзора совета директоров, организационную структуру, систему распределения обязанностей и полномочий, политику в области управления человеческими ресурсами.

Философия риск-менеджмента объясняет, каким уровнем риска организация может управлять при заданных возможностях и ожиданиях различных заинтересованных лиц. Ресурсы компании - это ключевые компетенции сотрудников, используемая технология и капитал. Склонность к риску, в свою очередь, определяет организационную культуру, стратегические решения и стиль оперативного управления. Лица, заинтересованные в деятельности фирмы (акционеры, менеджмент, работники, кредиторы) имеют определенные ожидания в отношении уровня риска, который может быть принят организацией. При этом существует еще и индивидуальная склонность к риску, которая у акционеров выше, чем у менеджеров, а у менеджеров выше, чем у сотрудников. В то же время и ожидание выгод у руководства выше, чем у рядовых сотрудников. У разных операционных единиц может быть различный уровень склонности к риску, но совокупность всех уровней в целом должна находиться в рамках общей склонности компании к риску (risk appetite), установленной высшим менеджментом и советом директоров. Вообще, склонность к риску - ключ к эффективному риск-менеджменту. Склонность к риску рассматривается в зависимости от того, как оценивается риск - как угроза или как возможность. Например, информация о готовящемся выводе нового конкурирующего продукта может быть рассмотрена как угроза потери доли рынка, однако может быть воспринята менеджерами и как возможность убедить акционеров в необходимости вложения в собственные разработки или в необходимости улучшения качества производственного оборудования (реинвестировании существенной доли прибыли). При рассмотрении риска, как с позиции угрозы, так и с позиции возможности, склонность к нему - это границы, установленные менеджментом и позволяющие работникам иметь четкое представление о пределах, в которых они могут принять риск. Как правило, устанавливается контрольный измеритель. К примеру, все контракты свыше 500 тыс. руб. подлежат согласованию с отделом внутреннего контроля*(2). Либо, например, устанавливается порог для платежей - все платежи свыше 1 млн руб. подписываются строго генеральным директором. Склонность к риску не является статичной, и совет директоров может изменить ее в зависимости от ситуации. Так, в периоды бурного роста часто возникает повышенная потребность в наличности, поэтому на год-полтора можно установить более жесткие пределы.

"Рис. 1."

Наконец, хочется отметить, что одна из предпосылок успешного внедрения риск- менеджмента заключается в том, что инициатива по его внедрению должна принадлежать высшему руководству компании. Пока генеральный директор и совет директоров не поймут насущной необходимости в структурированном подходе, все попытки выстроить систему управления рисками "снизу" обречены на провал.

Установление стратегии и целей COSO

ERM предполагает, что стратегия должна последовательно раскрываться через цепочку "миссия - стратегические цели - стратегии - связанные цели (операции) - отчетность - выполнение нормативно-правовых требований". Миссия и стратегические цели соотносятся со способами, которыми будет формироваться и повышаться ценность компании для заинтересованных лиц. Связанные цели корректируются в зависимости от изменения внешних и внутренних условий. Цели определяются как для подразделений компании, так и для конкретных бизнес-процессов. Прежде чем проводить идентификацию рисков, которые угрожают достижению целей, нужно обеспечить их ясность и доступность для всех работников. Многие компании отводят значительное количество времени и усилий этому этапу. Так, в нашем холдинге мы потратили год на формулировку практически применимых целей для каждого подразделения, составление измерителей, подготовку системы сбора и обработки информации. В процессе разъяснения стратегии "сверху" для уточнения целей использовались пожелания и предложения "снизу". Такой подход позволил через год донести до каждого сотрудника, как именно он способствует росту стоимости компании, где зона его персональной ответственности и какими рисками он управляет.

Идентификация рисков

Цель идентификации рисков - создание перечня рисков и их дальнейшая оценка. События, способные негативно повлиять на достижение целей - это и есть риски, требующие оценки и соответствующей реакции от менеджмента. События с возможным положительным исходом могут уменьшить отрицательные результаты или предоставить новые возможности. Конечно, на практике абсолютно все риски описать невозможно, да и не нужно. Мы пошли по пути составления риск-карты, состоящей из трех - пяти ключевых измеримых рисков по каждому бизнес-процессу. Примеры измеримых рисков:

сроки выполнения этапа в днях;

качество выполнения этапа (например, при разработке программного продукта - какие конкретно операции программа должна совершать);

денежные средства, потраченные на внешних консультантов в ходе проекта.

У каждой риск-карты есть владелец, который регулярно по ней отчитывается. При этом организация, как правило, склоняется к матричному типу управления (по крайней мере, в области риск-менеджмента) поскольку часто бизнес-процесс проходит через несколько функциональных подразделений. Подобная риск-карта составляется и при инициализации новых проектов. Например, когда в нашем холдинге внедряли систему time-sheeting (учет рабочего времени), вместе с обоснованием выгод проекта была подготовлена риск-карта для оценки потенциальных рисков во время внедрения проекта, а также отдельная риск-карта для оценки рисков во время эксплуатации новой системы. На этом этапе были обнаружены следующие опасности:

недостаточно обученные пользователи, отсутствие документированного руководства для пользователя;

перерасход денежных средств, потраченных на консультантов.

Приведу еще один случай: в течение нескольких месяцев мы внедряли программы 1С 8.0 и Navision. Каждую неделю готовился доклад о текущем состоянии проекта, при этом идентифицировались текущие, будущие риски и предложения по их устранению/снижению/ предотвращению.

Информирование об угрозах в ходе внедрения каких-либо новых систем, в том числе и самой системы риск-менеджмента, крайне важно, поскольку позволяет избежать неожиданностей. В качестве иллюстрации этой рекомендации приведем выдержку из реального документа, в котором были отражены риски внедрения системы. Открытые риски:

а) Перенос запланированных сроков завершения работ на более поздний период, в среднем на один месяц. Данный перенос обусловлен следующими факторами:

существенно большим по сравнению с запланированным объемом работ по некоторым позициям (маппинг, формирование корректного начального сальдо на основе данных Navision, перенос исходных данных из Navision);

изменением законодательства в течение проекта, что повлияло на формирование и перенос исходных данных в 1С 8.0;

недостатком физических ресурсов для выполнения возросшего объема работ. Проект выполняется в основном силами финансового отдела и отдела информационных технологий, количество людей, работающих по проекту, ограничено, и, помимо проекта, работники должны выполнять текущие обязанности, объем которых в последнее время также возрос. Передать часть работ по проекту внешним ресурсам не представляется возможным, так как в этом случае необходимо провести обучение работающими сотрудниками, что сравнимо по временных затратам с самостоятельным выполнением этих работ.

б) Как следствие переноса сроков, основными рисками являются:

невозможность к определенному сроку сформировать в автоматическом режиме отчетность для инвесторов по всем компаниям, в результате возможны отсрочки в предоставлении отчетности;

ошибки или неточности в формировании налоговой и бухгалтерской отчетности к определенному сроку: возможны дополни тельные ручные корректировки отчетности.

В COSO ERM при идентификации рисков во внимание принимаются следующие внешние факторы, которые делятся на ряд групп:

экономические и бизнес-факторы (микроэкономические и макроэкономические факторы);

естественные (наводнения, пожары, землетрясения и т.п.);

политические (смена членов правительства, принятие новых законов и регулирующих актов);

социальные (изменение демографической обстановки, изменение структуры семей);

технологические (расширение электронной торговли, рост доступности информации и сокращение инфраструктурных затрат).

Одновременно существуют и внутренние факторы, которые отражают выбор альтернатив менеджментом компании:

инфраструктурные (незапланированные расходы на ремонт, неспособность эксплуатируемого оборудования удовлетворить спрос);

кадровые (увеличение несчастных случае на производстве, повышение количества ошибок или склонность персонала к мошенническому поведению);

процессные (неудовлетворительное качество продукции, внеплановые простои);

технологические (нехватка производственных мощностей).

При идентификации угроз важно в первую очередь определить каскадные риски (при устранении одного риска почти автоматически ликвидируется цепочка других). К каскадному риску можно отнести, например, плохо структурированный процесс подписания контрактов. Если не определен "хозяин" данного процесса и никто не несет ответственности за его успешное выполнение, компания может понести убытки. Причинами убытков могут быть:

неправильно прописанные в контракте условия и штрафные санкции (эти параметры согласовываются с менеджерами отдела продаж);

противоречие положений контракта налоговому законодательству (отслеживается налоговым консультантом или главным бухгалтером). Очень важно идентифицировать и оценить такие "грозди" и работать с ними в первую очередь. Начать выявление таких рисков нужно с косвенных факторов: следует обратить внимание на проблемные подразделения, где недовыполняются текущие планы или самая большая текучесть кадров. Вероятно, что в таких подразделениях плохо структурированы бизнес-процессы и размыты границы ответственности персонала.

Все идентифицированные риски должны иметь "владельца", то есть должно быть определено лицо, ответственное за мониторинг и управление риском и наделенное соответствующими полномочиями.

Для идентификации рисков можно использовать два подхода. Первый: создать независимую команду. Можно внешнюю - заключив договор со сторонней организацией, можно внутреннюю - из сотрудников компании. Команда проводит ряд интервью с ключевым персоналом на всех уровнях организационной иерархии, затем готовит риск-профайл. Второй способ - это самооценка, в рамках которой фокус-группы, в том числе под руководством привлеченных консультантов, определяют ключевые бизнес-процессы, цели и связывают с ними риски. При этом "владельцы" рисков, сопряженных с ключевыми бизнес-процессами, получают более глубокое видение своей роли. Мы убедились, что второй вариант чаще оказывается предпочтительным, поскольку позволяет получить более точное описание риск-профайлов и их связи с ключевыми бизнес-процессами и стратегическими целями.

Таблица. Варианты реакции на риск

Реакция на риск	Описание
Избегание риска	Действие, предпринятое для прекращения участия в деятельности, приводящей к появлению риска (например, сокращение географической экспансии на новые рынки, продажа подразделения)
Уменьшение риска	Действие, предпринятое для уменьшения либо вероятности появления риска, либо масштаба последствий его реализации, либо того и другого. Примером могут служить инвестиции в создание метода резервирования данных информационных систем для минимизации риска их потери
Разделение (распреде- ление) риска	Действие, предпринятое для уменьшения вероятности или масштабов последствий реализации риска с использованием механизма разделения или передачи риска. Наиболее часто используемые техники в этой группе включают приобретение страховых продуктов, объединение рисков, хеджирование транзакций или аутсорсинг транзакций
Принятие риска	Отсутствие активных действий в отношении воздействия на вероятность появления или масштаб последствий реализации риска. Принятие риска обычно происходит в случае высокой устойчивости к риску, либо отсутствия (ограничения) возможности реагирования, либо в случае, когда затраты на осуществление какого-либо действия значительно выше потенциальных выгод

Оценка рисков

Оценка рисков позволяет определить границы влияния потенциальных событий на достижение целей организации. Менеджмент оценивает события с двух позиций - вероятность появления и масштаб влияния - и соответствующе использует комбинацию качественных и количественных методов оценки рисков. Положительное и отрицательное влияние потенциальных событий должны быть изучены в отдельности или по однородным категориям. Потенциально отрицательные события оцениваются с точки зрения внутреннего и остаточного уровня (an inherent and a residual basis). Внутренний риск - это подверженность специфической угрозе до принятия каких-либо действий по управлению ею. Остаточный риск - подверженность специфическому риску после принятия действий по управлению им и при предположении, что действия были эффективными.

При оценке рисков следует учесть три важнейших принципа:

стоит убедиться, что в бизнес-процессе вероятность и значимость определены для каждого риска;

необходимо документировать оценку рисков для дальнейшего мониторинга и идентификации риск-приоритетов;

нужно учесть разницу между остаточным и внутренним риском.

На практике чаще всего используются методы моделирования риска и результаты деятельности специальных рабочих групп по оценке опасностей.

После первичной оценки рисков компания может определить их приоритетность. Рекомендуем начать с самых крупных или наиболее повторяющихся рисков. Чем меньше допустимая подверженность риску, тем более высокий приоритет должен быть присвоен угрозе. Риски с наивысшей приоритетностью (ключевые риски) должны находиться под постоянным вниманием менеджмента организации и совета директоров.

Реакция на риск

Оценив значимые риски, менеджмент определяет свои ответные действия: избегание, уменьшение, разделение и принятие (таблица).

При выборе способа реагирования на риск менеджмент взвешивает затраты и выгоды и выбирает способ исходя из того, что вероятность и значимость события должна находится в границах желаемой устойчивости к риску. К примеру, можно страховать профессиональный риск, то есть разделять риск со страховой компанией. Однако на практике были случаи, когда склады и товар страховались от пожара, а офисное оборудование - нет. Оцененная вероятность пожара в офисе, в котором круглосуточно находится охрана, была признана низкой, поэтому данный риск был принят. Также можно избежать риска. Предположим, посчитать затраты на проект, вычислить расходы на выход из проекта и определить, что риск наступления событий, ведущих к необходимости выхода, пока слишком низок. Занять выжидательную позицию и тем самым избежать риска в текущий момент. Приведем пример. Наша компания рассматривает возможность разработки принципиально нового программного продукта. Мы рассчитали, что потребуется вложить 500 тыс. руб. в течение трех месяцев на первой стадии, по завершении которой нужно принять решение, продолжать проект или выходить из него. На принятие решения о выходе из проекта через три месяца может повлиять конкурентная среда, готовность рынка, наличие финансирования, техническая возможность и т.д. Поэтому до начала финансирования первой стадии необходимо оценить риск выхода из проекта через три месяца.

Контрольные процедуры и политики

Контрольные процедуры и политики помогают убедиться в том, что ответные реакции менеджмента на риски приведены в действие и выполняются. Контрольные процедуры проводятся на всех уровнях организационной иерархии для всех четырех категорий целей. Контрольные процедуры можно подразделить на следующие группы:

Превентивные: используются для заблаговременного снижения возможности неблагоприятного исхода, если риск еще не реализовался. Большинство контрольных процедур относятся к этой группе (в том числе адекватное разграничение трудовых обязанностей или предоставление полномочий на совершение определенных действий узкому кругу лиц и пр.). На практике мониторинг контрольных процедур осуществляет КРУ или внутренний аудит. В нашей компании внутренний аудитор следит за исполнением контрольных процедур, гарантирующих достоверность финансовой отчетности. Он не подтверждает отчетность, но сигнализирует об отклонениях, выявленных в ходе выполнения контрольных процедур. Есть также и отдел качества, в обязанности которого входит создание самих процедур.

Корректирующие: применяются для корректировки последствий событий, которые уже произошли. Обычно эти процедуры нацелены на восстановление от повреждений и убытков. К этой группе относится страхование. Директивные (указывающие) контрольные процедуры служат для достижения уверенности в том, что конкретный результат был получен. Примером директивного контроля можно назвать требование прохождения специального обучения сотрудниками для их допуска к работе.

Обнаруживающие: направлены на выявление случаев реализации негативных событий. К ним относятся инвентаризация активов, выявление неавторизованных транзакций и мониторинговая деятельность.

Информация, коммуникации и мониторинг

Собранная "владельцем" риска информация об угрозе должна быть своевременно и в надлежащем виде передана руководству и сотрудникам, чтобы они смогли на нее отреагировать. Сбор информации может осуществляться с помощью информационных систем, которые используют внутренние данные и сведения о внешних событиях и условиях. Ключевой результат внедрения ERM заключается в том, что решения на всех уровнях компании принимаются с учетом информации о риске, то есть менеджеры должны целенаправленно использовать информацию об угрозе при принятии решений. Соответственно, передача информации, связанной с рисками, должна происходить как сверху вниз, так и снизу вверх. Коммуникация внутри группы относительно рисков необходима для того, чтобы:

убедиться, что сотрудники организации понимают, какова риск-стратегия организации и каковы приоритеты рисков применительно к их функциям;

обеспечить передачу специфических знаний о рисках и способах реагирования на них из одного подразделения организации в другое;

удостовериться, что каждый уровень менеджмента, включая совет директоров, играет активную роль в управлении рисками и имеет всю необходимую информацию для контроля опасностей на своем уровне.

Кроме этого, по поводу ключевых рисков важно наладить коммуникации с заинтересованными лицами - это позволит увеличить их доверие к организации.

Мониторинг соответствия - это процесс проверки наличия и оценки функционирования компонентов риск-менеджмента на протяжении времени. Текущий мониторинг производится в ходе повседневной управленческой деятельности. Характер и частота отдельных проверок зависят от уровня оценки риска и эффективности текущих мониторинговых процедур. Выявленные недостатки должны сообщаться вышестоящему руководству, а наиболее существенные случаи обязаны доводиться до сведения генерального директора и совета директоров. Перечень наиболее опасных для компании угроз определяется советом директоров и отражается в положении о риск-менеджменте.

Специальные роли и обязанности в системе риск-менеджмента

Для каждого сотрудника организации определены функциональные обязанности, связанные с риск-менеджментом. Руководитель организации несет высшую ответственность за функционирование системы управления рисками, а все остальные менеджеры поддерживают философию риск-менеджмента, установленный уровень склонности к риску и способствуют эффективному функционированию всех элементов и компонентов системы в рамках их полномочий. Все работники должны осуществлять свои функции в соответствии с утвержденными в организации директивами и протоколами системы управления рисками. Следует обратить внимание на то, что COSO ERM уточняет роль совета директоров по сравнению с COSO IC. Менеджмент компании подотчетен совету директоров. Оставляя за собой окончательное решение по ключевым вопросам, совет директоров устанавливает стратегию и цели. В отношении риск-менеджмента совет директоров при осуществлении надзорных функций:

информируется о наиболее существенных рисках и определяет адекватность реакции менеджмента на риски;

оценивает, насколько менеджменту удалось сформировать в организации эффективную систему управления рисками;

определяет и соглашается с установленной общей склонностью к риску;

пересматривает портфель рисков и сопоставляет его со склонностью к риску.

COSO ERM уделяет значительное внимание роли риск-менеджера (chief risk officer), который выполняет свои обязанности в отдельно функционирующем централизованном департаменте организации и способствует созданию системы риск-менеджмента. Отмечено, что иногда эта функция закрепляется за другими должностными лицами, например за финансовым директором или главным аудитором. Но это, как правило, на первоначальном этапе. В дальнейшем появляется необходимость создания независимой от финансового директора службы управления рисками с прямым подчинением совету директоров. Именно совету, а не генеральному директору.

Е. Демьянова,

управляющий директор

по финансам группы Intercomp

А. Обермейстер,

заместитель генерального директора по экономике

и финансам ЗАО "Видео Интернешнл - Санкт-Петербург"

"Риск-менеджмент", N 1-2, январь-февраль 2008 г.

-------------------------------------------------------------------------

*(1) Под культурой риска подразумевается набор общих (разделяемых всеми сотрудниками) ценностей, взглядов и обычаев, характеризующих отношение компании к риску в ходе выполнения обычных видов деятельности.

*(2) Если такой службы нет, то функции риск-менеджера на первых порах можно предоставить внутреннему аудитору или финансовому контролеру, а затем выделить для этого отдельного сотрудника по риск-менеджменту.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.