Эффект внедрения (Д. Зубахина, "Риск-менеджмент", N 7-8, июль-август 2008 г.)

Эффект внедрения

Компании, не использующие специализированные программные продукты при построении систем риск-менеджмента, обычно сталкиваются с тремя основными проблемами: низкая динамичность процесса управления рисками, отсутствие достаточной прозрачности информации, высокие затраты. Это обусловлено тем, что данные о рисках и статусе их управления обновляются неоперативно: при согласовании и оценке идентифицированных угроз достаточно много времени занимает коммуникация между специалистами головной компании и региональных подразделений. Порой отсутствует единая база данных по фактическим рисковым событиям, нарушениям, выявленным в результате аудиторских проверок, и идентифицированным потенциальным угрозам. Часто отсутствуют гибкие шаблоны отчетности, а часть информации фиксируется лишь на бумажных носителях. Подобная нерациональность и несвоевременный обмен информацией ведут к снижению оперативности получения данных, к невозможности быстро и качественно сделать срез по однородным запросам, предоставить руководству статистический анализ или динамику показателей, а также к риску потери уже полученных результатов. На аудит деятельности по управлению рисками приходится затрачивать значительные ресурсы, часто процесс риск-менеджмента становится неэффективным. Как следствие, в компании возникает потребность в комплексной электронной системе мониторинга и оценки рисков.

Первоначально необходимо определить критерии выбора должной информационной системы, в качестве которых могут выступать:

простота интерфейса, в том числе наличие его русскоязычной версии;

возможность удаленного доступа к единой базе данных и управленческим инструментам в различных подразделениях (центральных и региональных);

возможность проведения как качественной, так и стоимостной оценки рисков;

наличие встроенных шаблонов описания рисков и мероприятий по их устранению;

наличие хранилища методологических и нормативных документов, стандартных и гибких отчетов;

разделение прав доступа;

соблюдение требований по безопасности;

полнота и гибкость настройки справочников;

возможность прохождения всех этапов управления риском - от идентификации до контроля исполнения мероприятий и мониторинга эффективности процесса;

максимальная стоимость программы;

ожидаемые сроки внедрения;

возможность индивидуальной настройки. В каждой организации составляется свой список критериев в зависимости от объема выделенных ресурсов, сроков реализации, специфики бизнеса и уровня развития системы управления рисков на текущий момент. Нередко программный продукт предоставляется исключительно на английском языке, что не всегда приемлемо в российских условиях. Это особенно актуально для компаний, где работа с системой предполагает вовлечение сотрудников разных уровней региональных подразделений.

Для полного цикла внедрения ПО зачастую необходимы солидные временные, кадровые и денежные ресурсы. Например, зарубежные готовые пакеты программных продуктов стоят от нескольких сот тысяч долларов, выделить которые готовы далеко не все компании. Рекомендуется рассмотреть максимально возможное число предложений, чтобы, исходя из индивидуальных параметров, выбрать наиболее оптимальное.

Процесс внедрения автоматизированной системы управления рисками, как правило, занимает от двух до семи месяцев и проходит по заранее определенным последовательным этапам. Помимо IT-специалистов, процесс автоматизации требует участия ключевых менеджеров, вовлеченных в процесс управления рисками. Поэтому необходимо предусмотреть централизованные расходы на конкретные мероприятия и обучающие семинары, сформировать команды для внедрения со стороны бизнес-подразделений и IT-служб в головном офисе и в региональных подразделениях.

Новое программное обеспечение принесет эффект только при целесообразном наполнении, поэтому еще до этапа инсталляции необходимо сформировать регламенты сбора данных и приступить к созданию комплексных форм информации о рисках (источник риска, характеристики бизнес-процессов, сводные данные о проводимых мероприятиях и т.д.). Немалую пользу для компании может принести возможность интеграции выбранного программного продукта с другими корпоративными информационными системами и импортирование в него уже имеющихся стандартов данных (например, использование сведений об организационной структуре и сотрудниках компании из действующих кадровых систем). Это сэкономит время и снизит вероятность ошибок или дублирования при дальнейшем вводе данных.

Большинство корпоративных автоматизированных систем управления самого разного назначения, от ERP до Business Intelligence, комплектуется риск-модулями. Однако в последнее время стали появляться и специализированные программные решения для риск-менеджмента. На данный момент таких систем разработано сравнительно немного, и они в основном зарубежного производства. Американская компания RiskMetrics Group специализируется в первую очередь на средствах управления рыночными, инвестиционными и кредитными рисками. Разработчик представляет информационные системы по риск-менеджменту и методы аналитики для осмысления ситуации на рынке и в кредитном секторе, для управления финансовыми ресурсами. Программы позволяют оптимизировать использование капитала заказчиков, тестировать и анализировать риски, проверять и оценивать надежность. Система RiskManager применяет моделирование базового VaR, анализов прогнозируемых сценариев, стресс-тестирование и динамическую отчетность и ранжирование. Продукт используется брокерскими, страховыми, инвестиционными компаниями и банками. Программа предоставляется на английском языке. Корпорация Microsoft продает решения Microsoft Operations Framework (MOF), ориентированные на обнаружение, оценку и предотвращение рисков в IT-операциях. Помимо MOF, компания предлагает MOSASO (Microsoft Office Solution Accelerator for Sarbanes-Oxley) - программный продукт, помогающий компаниям, которые подпадают под действие SOX, отслеживать внутренние финансовые процессы и ключевые элементы управления, проводить их аудит, а также обеспечивать внутренний контроль критически важных данных в масштабе предприятия при минимизации риска несоответствия законодательным требованиям США. У программы есть русскоязычная версия. Российский разработчик ISG предлагает АСУР - автоматизированную систему управления рисками. Программа разработана для риск-менеджмента в телекоммуникационных, промышленных и торговых компаниях. Она также может применяться с целью соблюдения требований закона Сарбейнса - Оксли. Система учитывает специфику деятельности предприятий нефинансового сектора с учетом методологии COSO, осуществляя комплексный контроль рисков по замкнутой цепочке этапов процесса. Программа позволяет оценивать риски несколькими способами: статистическим методом с учетом качественных и стоимостных параметров и экспертным, с помощью вопросника. База данных и инструменты АСУР позволяют хранить сведения о методиках управления рисками, вести статистику нарушений, рисковых событий и факторов. Аналитический блок помогает своевременно проводить мониторинг и анализ отклонений с применением KPI, графиков, отчетов. Веб-версия рассчитана на управление информацией с удаленных филиалов в режиме реального времени. Программа предоставляется на русском языке.

Британская компания Istria Risk Management Solutions поставляет программу IRIS, которая предназначена для работы со стратегическими, операционными, кредитными, рыночными, юридическими рисками нефинансовых компаний. Этапы риск-менеджмента распределены следующим образом: идентификация риска, оценка и планирование мероприятий, исполнение мероприятий и контроль, мониторинг рисков. При оценке рисков используется статистический анализ по методу Монте-Карло, полученные результаты сравниваются с установленным риск-аппетитом. Программа также дает расчет эффективности мероприятий по снижению рисков. Существует только англоязычная версия программы. Компания Methodware (Новая Зеландия) предлагает программу ERA, разработанную с учетом требований закона Сарбейнса - Оксли и COSO. Система позволяет управлять рисками комплексно: имеется возможность присваивать тип риска, назначать владельца, контрольные процедуры, области, бизнес-процессы, применять метод Монте-Карло, использовать ключевые индикаторы риска, определять стоимость и сроки исполнения контрольных процедур. Риск можно оценить по качественной пятиуровневой шкале. В программе есть отчетный модуль, содержащий цветные матрицы рисков, диаграммы, графики. Однако в системе сложно оперировать рисками по определенным областям, так как они даются общим списком. Программа предоставляется на английском языке. Line International (Великобритания) продает программу для управления корпоративными рисками RisGen. Она также разработана с учетом требований закона Сарбейнса - Оксли. RisGen позволяет описывать и оценивать риски качественным способом, назначать контрольные процедуры (совокупность мероприятий, ответственные лица, плановые даты, стоимость), оценивать остаточный риск, а также позволяет получить отчетность в виде таблиц и диаграмм. RisGen имеет модуль Balanced Scorecard (сбалансированная система показателей), где изменение показателей указывает на возможные рисковые события. Программа предлагается на английском языке.

Д. Зубахина,

ведущий консультант департамента рисков ISG

"Риск-менеджмент", N 7-8, июль-август 2008 г.