В поисках идеального стандарта (А. Шишаков, "Риск-менеджмент", N 5-6, май-июнь 2008 г.)

В поисках идеального стандарта

Российская экономика получила в наследство от СССР множество отраслевых стандартов. Многие советские нормы и рекомендации по трудовой и производственной безопасности, поддержанию безотказной работы оборудования, охране окружающей среды, ликвидации последствий аварийных ситуаций и прочим специфическим аспектам деятельности предприятий до сих пор применяются. И только корпоративное управление рисками оказалось обделено советским багажом, поскольку даже понятия такого в СССР не существовало. Может ли международный опыт помочь в поиске идеала корпоративного риск-менеджмента?

Печать происхождения

Единый мировой стандарт по корпоративному управлению рисками пока не создан, и вряд ли стоит ожидать его появления в ближайшее время. Существует несколько десятков национальных и региональных стандартов и рекомендаций по корпоративному риск-менеджменту, некоторые из них представляют собой руководства по управлению рисками или корпоративному управлению с элементами управления рисками, другие посвящены внутреннему аудиту или внутреннему контролю, большая же часть является более или менее успешным сочетанием перечисленных методик. Их отличия объясняются разницей национальных бизнес-традиций, периодом создания и профессиональным профилем авторов.

Время разработки и публикации

Как правило, на содержание стандарта оказывают влияние наиболее яркие или "болезненные" события: террористические акты, банкротства крупных компаний, корпоративные скандалы и мошенничества. Вновь разработанные стандарты оказываются более полными, комплексными и жесткими по сравнению с предыдущими, так как в них аккумулируется полученный профессионалами опыт.

Профессиональная принадлежность авторов и разработчиков

При выборе стандарта необходимо учесть профессиональную специализацию его авторов, поскольку именно из-за этого фактора тот или иной стандарт может не подойти для внедрения в данной компании. В бухгалтерских и аудиторских стандартах большое внимание уделяется рискам, связанным с достоверностью отчетности, включая отчетность менеджеров владельцам бизнеса.

При этом вниманием могут быть обойдены риски, связанные с природными и техногенными катастрофами.

В стандартах, созданных при участии страховщиков и страховых посредников, наблюдается перекос в сторону рисков, которыми можно управлять с помощью страхования при слабо прописанных процедурах и принципах корпоративного управления. Часть стандартов великолепно отражает вопросы социальной ответственности и деловой этики, но не затрагивает вопросы управления рисками, препятствующими реализации стратегии бизнеса.

Деловые традиции и культура места происхождения

Различные комбинации национальных, исторических, законодательных и культурных факторов наглядно проявляются во взаимоотношениях собственников бизнеса и управленцев, и поэтому дух и буква стандартов зависят от региона их возникновения.

В стандартах Азиатско-Тихоокеанского региона парадигма отношений между менеджером и собственником может быть определена как "доверие". Ее можно изложить следующим образом: играй по правилам - мы тебе доверяем, но не забывай периодически отчитываться владельцам. По мере движения к Западу управленческая парадигма отношений ужесточается. В Европейском регионе она формулируется как "частичное доверие", что можно трактовать так: играй по правилам и уведомляй собственника о возможном возникновении проблем, не уведомишь сам - за тебя это сделают твои коллеги или подчиненные. В Северной Америке парадигма строится уже на изначальной презумпции виновности менеджеров. Здесь девиз корпоративных отношений - "недоверие", которое можно выразить требованием собственника к менеджеру: постоянно доказывай обоснованность всех своих действий и по возможности стучи сам на себя и на всех вокруг.

С усилением глобализации новые стандарты во всех регионах вбирают в себя лучшую международную практику (как правило - западную) и становятся по отношению к наемным управленцам все более требовательными.

Шедевр своими руками

Выбор стандарта корпоративного риск-менеджмента становится значимым при выходе на глобальные рынки заимствований. Требования к наличию и действенности систем управления рисками и внутреннего контроля Нью-Йоркской, Лондонской, Гонконгской и прочих фондовых бирж стоит изучать через призму упомянутых выше культурных, профессиональных и временных факторов. Тогда вам станут понятны требования и ожидания регуляторов, инвесторов и рейтинговых агентств, и стандарт будет выбран адекватно.

Если же возникает необходимость фондироваться более чем в одном регионе, имеет смысл попытаться создать собственный универсальный стандарт по корпоративному управлению рисками, в котором бы четко прослеживались черты широко используемых международных образцов.

Разработка собственного стандарта корпоративного управления рисками - задача увлекательная и несложная. Общепризнанных в рисковой индустрии стандартов десятки, а не сотни, и их изучение не займет много времени. Важно не упустить ключевые положения, содержащиеся в большинстве из них. Для этого следует учесть несколько рекомендаций.

1. Высшее руководство и представители владельцев бизнеса должны быть в полной мере вовлечены в управление рисками и осознавать свою ответственность и лидирующую роль в риск-менеджменте. Если на предприятии единственным подвижником системы управления рисками окажется риск-менеджер (страховой офицер или внутренний контролер) - внедрение системы не будет успешным. Именно поэтому консультанты редко воспринимают всерьез запросы на разработку и внедрение систем управления рисками, поступающие не от владельцев бизнеса или первых лиц компаний.

2. Управление рисками предприятия не должно быть замкнуто само на себе и жить увлекательной, интересной, но оторванной от всего остального бизнеса жизнью. Риск-менеджмент должен быть синхронизирован с другими процессами (стратегическим планированием, бюджетированием, инвестициями, страхованием и проектным управлением) и являться неотъемлемой частью системы корпоративного управления. Риск-менеджмент ради риск-менеджмента - пустая трата времени и ресурсов.

3. В стандарте должен быть зафиксирован классический - замкнутый - цикл управления рисками: выявление, оценка, приоритезация рисков, сравнение индивидуальных рисков и общего капитала под риском с рассчитанной и установленной толерантностью, планирование мероприятий по управлению рисками, назначение ответственных за исполнение и собственно исполнение мероприятий. Цикл должен быть поставлен под контроль компетентных корпоративных органов с обязательным отслеживанием сроков выполнения тех или иных мероприятий, количественных и качественных параметров работы системы управления рисками, выраженных специальными показателями*(1).

Итоговые показатели важно привязать к циклу с помощью системы мотивации: они могут стать основанием для поощрения либо взыскания с участников системы управления рисками.

К сожалению, даже после более чем десятилетней практики применения риск-менеджмента в России достаточно часто приходится видеть счастливые и гордые лица руководителей, держащих в руках карту рисков своего предприятия и искренне полагающих, что это и есть венец деятельности их системы управления рисками. На самом деле наличие карты рисков - лишь первый этап, осознание руководством и владельцами предприятия своих рисков. Собственно управление рисками и контроль, как видно из приведенного выше цикла, далеко впереди.

4. Руководство и владельцы бизнеса должны быть своевременно и в полной мере осведомлены об обстоятельствах возникновения рисков и угроз предпочтительно до их реализации. Современная практика риск-менеджмента выделяет как наиболее адекватное проактивное управление рисками (работа по рискам до их реализации) в противовес реактивному (работа с последствиями реализации рисков), поэтому мониторинг рисков приветствуется. Стандарт должен содержать раздел, посвященный циклической отчетности по рискам (обслуживающей описанный цикл управления рисками и охватывающей все уровни управления бизнесом). Кроме того, следует предусмотреть отчетность по рискам вне цикла, так как новые риски могут возникать внезапно, между созывами правления или заседаниями совета директоров.

5. В стандарте имеет смысл прописать развитие культуры управления рисками, накопление и пути передачи информации о рисках между подразделениями. Важно предусмотреть, каким образом сотрудники и руководство компании будут вовлечены в обучение и инструктаж по различным рисковым тематикам.

6. Одной из важнейших частей стандарта по управлению рисками должен стать раздел об информировании внешних и внутренних заинтересованных лиц. Например, инвесторов следует всесторонне информировать о рисках, которые они принимают на себя, осуществляя вложения в бизнес. И поверьте, несколько неубедительных страниц про риски в годовом отчете предприятия серьезных инвесторов, скорее всего, не впечатлят. Инвесторы и рейтинговые агентства не приветствуют поверхностное описание рисков. Опытные инвесторы привыкли к тому, что у успешных компаний информация о рисках занимает около 60-70% объема годового отчета, и понимают, что описанные на нескольких "потемкинских" страницах угрозы - это уже побежденные, некритические риски, так называемые "шкурки убитых животных".

7. Стандарт должен устанавливать процедуры по управлению рисками, которые предприятие применяет при взаимодействии с контрагентами. Например, "хорошим тоном" считается установленное стандартом требование к оценщикам, аудиторам, консультантам и прочим поставщикам услуг страховать профессиональную ответственность. Еще более "продвинутое" требование - обозначать в стандарте лимит застрахованной ответственности и рейтинг страховых компаний, в которых может быть застрахована ответственность поставщиков услуг.

А. Шишаков,

руководитель "Марш Риск Консалтинг" по России и СНГ,

вице-президент Русского общества управления рисками ("РусРиск")

"Риск-менеджмент", N 5-6, май-июнь 2008 г.

-------------------------------------------------------------------------

*(1) Такими показателями могут служить релевантные KPI (ключевые показатели эффективности) либо специально разработанные для системы управления рисками KRI (ключевые индикаторы риска).