Как создать на предприятии эффективную систему риск-менеджмента

В материале рассматриваются современные подходы к управлению рисками промышленных предприятий и компаний, в том числе вопросы, связанные с повышением эффективности риск-менеджмента. В частности, освещаются такие темы, как интеграция риск-менеджмента в процессы принятия управленческих решений, внедрение «умного» риск-менеджмента и риск-ориентированных инструментов в области надежности, охраны труда и промышленной безопасности.

 

Риск-менеджмент является инструментом, который позволяет компаниям более уверенно управлять рисками для достижения стратегических и бизнес-целей. Кроме того, руководители компаний все чаще стремятся к тому, чтобы использовать управление рисками не только для сохранения стоимости за счет предотвращения рисков и готовности на случай реализации рисков, но и для создания дополнительной стоимости за счет оперативной реакции на появляющиеся возможности.

На рынках, характеризующихся высокой конкуренцией и волатильностью, риск-менеджмент становится для компаний инструментом создания дополнительного конкурентного преимущества, позволяющим снизить изменчивость показателей эффективности деятельности и быстрее реагировать на появляющиеся возможности.

Согласно исследованию PwC 2017 г., наиболее успешные компании различных секторов промышленности применяют передовые практики управления рисками, среди которых можно отметить следующее:

- Система управления рисками рассматривается руководством как катализатор роста, а не как сдерживающий фактор.

- Руководство, выступая в качестве первой линии защиты, играет основополагающую роль в управлении рисками.

- Бизнес-подразделения обладают необходимыми полномочиями, ресурсами и поддержкой со стороны руководства для эффективного управления рисками.

- Функция управления рисками является надежной опорой для бизнес-подразделений, обеспечивая необходимый инструментарий и методологическую поддержку.

- Существует четко сформулированная концепция риск-аппетита, доведенная до сведения всех подразделений и используемая при принятии решений.

- Три линии защиты (руководство, функция по управлению рисками и функция внутреннего аудита) взаимодействуют как единый партнерский альянс, ориентированный на достижение стратегических целей.

Внедрение передовых практик управления рисками направлено на повышение способности менеджмента прогнозировать изменения и обеспечивать реагирование на них, чтобы организация не просто выживала в условиях неопределенности, а развивалась и показывала более высокие результаты. Способность заглядывать в будущее и извлекать пользу из управления рисками все чаще признается конкурентным преимуществом.

Раннее выявление рисков и реагирование на них становится дополнительным конкурентным преимуществом для компаний в условиях растущей конкуренции. Вместе с тем регуляторы уделяют все больше внимания вопросам управления рисками, а заинтересованные стороны ожидают повышения прозрачности деятельности компаний и ответственности руководства за результат.

Кроме того, анализ крупных техногенных катастроф, произошедших за последние десятилетия и приведших к огромным разрушениям и жертвам (например, авария на Саяно-Шушенской ГЭС в 2009 г., прорыв плотин на руднике Samarco Mineracao (Vale SA & BHP Billiton) в 2015 г., взрыв на заводе BASF в 2016 г.), дает четкое понимание необходимости перехода от «бумажного» характера процессов управления рисками к проактивному подходу, направленному на предиктивное выявление рисков и планирование мер по управлению рисками и реализацию конкретных мероприятий в области надежности, а также охраны труда и промышленной безопасности (ОТ и ПБ).

КОМПЕТЕНТНОЕ МНЕНИЕ

«Сегодня компании сталкиваются с беспрецедентными темпами изменений во внешней среде и необходимостью адаптироваться к этим изменениям, сохраняя и создавая конкурентные преимущества. Раннее выявление рисков и реагирование на них становится дополнительным конкурентным преимуществом для компаний в условиях растущей конкуренции. Вместе с тем регуляторы уделяют все больше внимания вопросам управления рисками, а заинтересованные стороны ожидают повышения прозрачности деятельности компаний и ответственности руководства за результат.

Тенденции последних лет свидетельствуют о том, что обсуждение рисков приобретает все большее значение на уровне совета директоров. Члены советов директоров ожидают от менеджмента как минимум регулярного предоставления информации о ключевых рисках и соблюдении уровня риск-аппетита. Кроме того, растут и ожидания менеджмента от служб управления рисками. Это касается способности функции по управлению рисками не только осуществлять эффективную координацию процесса управления рисками, но и продвигать риск-ориентированные подходы к управлению бизнесом и содействовать созданию дополнительной стоимости».

Тим Клау, партнер, руководитель отдела анализа и контроля рисков компании PwC

ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ

Процесс управления рисками — это непрерывный и цикличный процесс, включающий идентификацию рисков, их анализ и оценку, разработку и реализацию мероприятий по управлению рисками, мониторинг и пересмотр процессов управления рисками и направленный на достижение целей организации.

СOSO ERM 2004

Связь рисков с целями компании

Последние версии стандартов и руководств по управлению рисками (COSO ERM 2017, ISO 31000 2018) акцентируют внимание на взаимосвязи управления рисками и результативности деятельности компании. Такая взаимосвязь подразумевает, что анализ рисков является неотъемлемой частью процессов принятия решений, а риски рассматриваются в контексте достижения поставленных целей.

Если организация не управляет своими рисками и не проводит мероприятия по воздействию на риски, то это может привести к недостижению организацией поставленных целей, финансовым потерям и/или репутационному ущербу.

Длительное время управление рисками рассматривалось как отдельный процесс, осуществление которого происходит независимо от основной операционной деятельности, со своей периодичностью, не связанной с точками принятия управленческих решений. Сегодня при построении системы управления рисками компании уделяют гораздо больше внимания интеграции процессов и процедур управления рисками в операционную деятельность и процессы стратегического и бизнеспланирования.

СИСТЕМА УПРАВЛЕНИЯ РИСКАМИ

Система управления рисками (СУР) — это культура организации, компетенции и практические аспекты управления рисками, интегрированные со стратегическим планированием и процессами управления деятельностью и направленные на создание, реализацию и сохранение ценности.

COSO ERM 2017

Однако, несмотря на довольно развитые системы управления рисками в отдельных российских компаниях, в современной практике сохраняют актуальность следующие фундаментальные вопросы применения риск-менеджмента:

- Какие выгоды получает компания и ключевые заинтересованные стороны от существующих процедур управления рисками?

- Как встраивать процессы управления рисками в процессы функциональных подразделений?

Одним из главных препятствий для продвижения риск-менеджмента как инструмента создания дополнительной стоимости является недоступность информации по рискам в режиме реального времени ввиду низкого уровня цифровизации и автоматизации процессов управления рисками.

Сегодня компании имеют возможности не только «коллекционировать» риски, но и работать с большими данными и предиктивной аналитикой с целью перехода на использование проактивного подхода, позволяющего привязывать процессы управления рисками не к прописанной в нормативной документации по СУР периодичности, а к реальным точкам принятия управленческих решений.

РИСК-МЕНЕДЖМЕНТ И ПРИБЫЛЬНОСТЬ КОМПАНИИ

Согласно исследованию PwC, компании, которые чувствительны к рискам, т. е. способны к быстрой адаптации риск-менеджмента для своевременного реагирования на запросы клиентов и рыночные изменения, более прибыльны по сравнению с компаниями, менее чувствительными к рискам.

Согласно опросу PwC* , компании, применяющие передовые подходы к управлению рисками, с большей уверенностью прогнозируют рост выручки и прибыли.

В опросе принял участие 1581 респондент из компаний, представляющих 30 отраслей более чем в 80 странах мира, включая членов совета директоров, руководителей высшего звена, финансовых директоров и директоров по управлению рисками.

Кроме того, на современном этапе развития управление рисками не ограничивается традиционным инструментарием риск-менеджера, таким как консолидированная отчетность по рискам, а представляет собой применение риск-ориентированных подходов в различных функциях: стратегическое и бизнес-планирование, надежность, охрана труда и промышленная безопасность, непрерывность бизнеса, управление проектами, управление цепочками поставок и прочие.

Внедрение и надлежащее исполнение процедур управления рисками в бизнес-функциях компаний помогает избежать серьезных инцидентов, ведущих к перерывам в производстве, и обрести уверенность в достижении целей бизнес-подразделений и компании в целом.

Универсальных инструментов управления рисками не существует — в зависимости от специфики деятельности компании необходимо выработать наиболее подходящий подход к управлению рискам. Среди драйверов повышения эффективности риск-менеджмента: внедрение риск-ориентированных подходов в бизнес-функциях с использованием таких инструментов, как исследование опасности и работоспособности (HAZOP), анализ видов и последствий отказов (FMEA), «5 почему», структурированный анализ сценариев методом «Что, если?» (SWIFT), анализ первопричин (RCA), анализ опасности и критических контрольных точек (HACCP), обеспечение непрерывности бизнеса (BCM, создание планов BCP & DRP).

Сегодня управление рисками выходит за рамки функционального подразделения по риск-менеджменту и охватывает весь периметр организации, не ограничиваясь формальным исполнением этапов цикла управления рисками.

Внедрение и надлежащее исполнение процедур управления рисками в бизнес-функциях компаний (например, процедур идентификации и раннего реагирования на риски посредством своевременной диагностики оборудования, проведения поведенческих аудитов безопасности и иных мер повышения уровня риск-культуры) помогает избежать серьезных инцидентов, ведущих к перерывам в производстве, и обрести уверенность в достижении целей бизнес-подразделений и компании в целом.

Система управления рисками

Система управления рисками (СУР) как совокупность элементов, методов и процессов управления рисками должна быть выстроена таким образом, чтобы риск-менеджмент являлся неотъемлемой частью стратегического планирования и операционного управления компанией и существовал во взаимосвязи со всеми процессами и функциями компании.

Это позволит реализовать такие преимущества корпоративного риск-менеджмента, как:

- выявление и управление рисками по всей организации;

- снижение волатильности показателей;

- оптимизация распределения ресурсов;

- повышение устойчивости организации;

- расширение возможностей организации.

Зрелая система управления рисками характеризуется следующим:

- Определена стратегия и цели управления рисками, которые согласуются со стратегией развития организации.

- Разработана детальная нормативно-методическая документация по СУР, при этом верхнеуровневый документ утвержден Советом директоров.

Риск-менеджмент является инструментом, который позволяет компаниям более уверенно управлять рисками для достижения стратегических и бизнес-целей. Управление рисками используется не только для сохранения стоимости за счет предотвращения рисков и готовности на случай реализации рисков, но и для создания дополнительной стоимости за счет оперативной реакции на появляющиеся возможности.

- Закреплена и используется единая терминология в области управления рисками.

- Определены и закреплены в нормативных документах организации роли, полномочия и ответственность участников процесса управления рисками в рамках СУР.

- Система мотивации руководства включает цели по управлению рисками.

МЕТОДЫ ПРОАКТИВНОГО УПРАВЛЕНИЯ РИСКАМИ

Среди мер, направленных на проактивное управление рисками: исследование опасности и работоспособности (HAZOP), анализ видов и последствий отказов (FMEA), «5 почему», структурированный анализ сценариев методом «Что, если?» (SWIFT), анализ первопричин (RCA), анализ опасности и критических контрольных точек (HACCP), обеспечение непрерывности бизнеса (BCM, создание планов BCP и DRP).

- Определены задачи, шаги и ожидаемые результаты в рамках процесса управления рисками.

- Определена система отчетности по рискам и выстроен непрерывный мониторинг уровня риска и ключевых рисков.

- Разрабатываются, реализуются и по мере необходимости пересматриваются мероприятия по управлению рисками, на реализацию мероприятий выделяются необходимые ресурсы в соответствии с приоритетностью рисков и мероприятий.

СПРАВКА

Терминология риск-менеджмента определена в международных стандартах и руководствах по управлению рисками. Отдельные термины, касающиеся управления рисками, также присутствуют в стандартах, касающихся смежных областей, таких как внутренний контроль, внутренний аудит, корпоративное управление. Определение терминов может различаться в зависимости от документа.

При закреплении терминов риск-менеджмента компании чаще всего ссылаются на следующие международные документы в области управления рисками: стандарт ISO 31000 и концепция управления рисками COSO ERM.

В отдельных странах на базе данных документов выпускается национальный стандарт по управлению рисками. В России примерами таких документов являются ГОСТ Р ИСО 31000 и ГОСТ Р 51897/Руководство ИСО.

- Риск-аппетит утвержден, пересматривается при необходимости, доведен до сведения всех бизнес-функций и используется при принятии управленческих решений.

- Осуществляется оценка эффективности СУР и принимаются меры по развитию риск-ориентированной культуры.

Цели системы управления:

- Обеспечение устойчивости и непрерывности всех видов деятельности организации.

- Обеспечение процессов принятия операционных и стратегических решений на основе полной и актуальной информации об основных рисках организации.

- Организация целенаправленной деятельности по управлению рисками, а также повышение эффективности использования и распределения ресурсов организации на мероприятия по управлению рисками.

- Способствование повышению уровня корпоративного управления, укреплению доверия инвесторов и заинтересованных сторон, созданию, реализации и сохранению стоимости.

Для функционирования СУР в стандартах по управлению рисками явно упоминается лишь один нормативный документ: политика по управлению рисками (или аналогичный документ, например, стратегия управления рисками), раскрывающий цели, принципы и процессы управления рисками, роли, ресурсы и применяемые методы в рамках СУР.

Тем не менее в компаниях со зрелой СУР разработаны следующие документы:

- Заявление о риск-аппетите.

- Детальные методологии, регламенты.

- Должностные инструкции и положения о структурных подразделениях и органах управления, с учетом функций по управлению рисками, а также формально закрепленные КПЭ участников СУР, связанные с управлением рисками.

- Формы отчетности по рискам.

Также компания может разрабатывать следующие документы:

- Перечень категорий рисков / перечень типовых рисков.

- План развития СУР, определяющий целевое состояние СУР и мероприятия по развитию СУР.

Интегрированный характер СУР предполагает переход от нормативно-правовой документации исключительно по управлению рисками к встраиванию положений, касающихся управления рисками, в нормативно-правовую документацию профильных подразделений: стратегическое планирование, ИT-безопасность, техническое обслуживание и ремонт, охрана труда и промышленная безопасность.

Модель «Три линии защиты»

Управление рисками осуществляется на всех уровнях организации и подразумевает вовлечение всех сотрудников компании. При этом для слаженного функционирования системы управления роли участников СУР должны быть разграничены и в то же время должны дополнять друг друга.

Уровни управления рисками и различные роли участников СУР можно продемонстрировать, используя модель «трех линий защиты». В рамках данной модели «три линии защиты» определены в соответствии с основным функционалом и вкладом в управление рисками организации.

Универсальных инструментов управления рисками не существует — в зависимости от специфики деятельности компании необходимо выработать наиболее подходящий для нее подход к управлению рискам.

Ведущая роль в управлении рисками возложена на первую линию защиты — высшее руководство и бизнес-подразделения, ежедневно сталкивающиеся с рисками в своей основной деятельности.

Первая линия защиты принимает решения по рискам, выявляет бизнесриски, интегрирует систему управления рисками в процессы реализации стратегических и тактических целей, а также обеспечивает применение надлежащих методов управления рисками.

Вторая линия защиты (функции управления рисками и комплаенса) работает совместно с первой линией, выступая в роли координатора и бизнес-партнера процесса управления рисками, обеспечивает поддержание и оптимизацию эффективной практики управления рисками.

В свою очередь, третья линия защиты (функция внутреннего аудита) выполняет независимую оценку эффективности системы управления рисками для подтверждения надежности и достаточности мероприятий по рискам, проводимых первой и второй линиями защиты.

Хорошей практикой считается ежегодная оценка СУР функцией внутреннего аудита, с возможным привлечением внешних экспертов.

Система управления рисками (СУР) как совокупность элементов, методов и процессов управления рисками должна быть выстроена таким образом, чтобы риск-менеджмент являлся неотъемлемой частью стратегического планирования и операционного управления компанией.

Налаженное сотрудничество и совместная ответственность всех трех линий защиты позволяет компании эффективно отвечать на вызовы времени в текущих условиях дестабилизации бизнеса и непрерывных изменений. Налаженное сотрудничество и совместная ответственность всех трех линий защиты позволяет компании эффективно отвечать на вызовы времени в текущих условиях дестабилизации бизнеса и непрерывных изменений.

Для реализации подобного подхода необходимо:

- Четко определить общекорпоративную риск-культуру, которая должна начинаться с совета директоров и CEO и охватывать всю организацию.

- Обеспечить согласованность процесса у прав лени я рисками со стратегическими целями компании в точках принятия решений, чтобы первая линия защиты могла предвидеть бизнес-риски при выборе тактических приоритетов.

- Пересмотреть роли и задачи каждой линии защиты в свете обеспечения эффективного функционирования системы управления рисками, когда первая линия несет ответственность за принятие решений по управлению рисками, вторая линия осуществляет мониторинг первой, а третья линия — выполняет независимую оценку эффективности системы управления рисками.

- Внедрить четко сформулированную концепцию риск-аппетита в рамках всей организации.

- Разработать систему отчетности по рискам, позволяющую руководителям и членам совета директоров эффективно выполнять свои надзорные функции в области управления рисками.

По мнению респондентов опроса PwC 2017 г., когда у руля принятия решений по рискам стоит первая линия защиты, повышается общая эффективность системы управления рисками, что, в свою очередь, дает больше уверенности в росте выручки и прибыльности организации.

Согласно исследованию PwC* , наблюдается тенденция смещения ответственности за принятие решений по управлению рисками со второй на первую линию защиты в таких отраслях, как производство потребительских и промышленных товаров и услуг, здравоохранение, финансовый сектор, технологии и коммуникации, государственный сектор, образовательные и некоммерческие организации. В частности, с 2015 по 2017 г. уровень ответственности за управление рисками первой линией защиты по отношению ко второй линии защиты повысился по таким рискам, как:

• операционные риски;

• риски персонала;

• ИТ-риски;

• экологические риски;

• риски, связанные со снижением доходности и волатильностью (рыночные риски и пр.).

Четвертая и пятая линии защиты

Четвертой линией защиты принято считать независимого аудитора. Проведение независимым аудитором проверки финансовой отчетности компании на соответствие требованиям применимых стандартов и законодательства с целью подготовки заключения о достоверности финансовой отчетности.

Пятой линией защиты являются регулирующие органы.

Одним из направлений акционерного контроля за деятельностью компаний с государственным участием является организация и осуществление проверочной деятельности ревизионными комиссиями.

Целью деятельности ревизионных комиссий является предоставление независимых и объективных гарантий относительно финансовой и операционной эффективности деятельности организации, достоверности отчетности, сохранности активов, соблюдения законодательства и нормативных документов организации.

Окончание в следующем номере.

  1. * Взгляд на риски, 6-е ежегодное исследование PwC по рискменеджменту: Управление рисками «на передовой», 2017 г.
  2. * Взгляд на риски, 6-е ежегодное исследование PwC по риск-менеджменту: Управление рисками «на передовой», 2017 г.

Подготовлено по материалам издания «Актуальные вопросы риск-менеджмента», выпущенного компанией PwC