Что включает в себя управление рисками
Управление рисками организации
Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.
Управление рисками организации: основные направления
Процессы управления рисками охватывают 4 основные области:
Управление рисками угроз
Для оценки угроз, риск менеджеры следуют следующим пяти шагам:
Этот процесс ориентирован на превентивное и на антикризисное управление рисками.
В управлении рисками следует различать понятия риска, угрозы и воздействия:
Внутренний контроль
Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.
Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.
Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.
Внутренний аудит
Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.
Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.
Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.
Соответствие регуляторным требованиям
Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.
Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.
Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.
Примеры подходов к управлению рисками организации
В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.
ISO 31000
ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.
Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.
ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.
Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.
Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.
В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.
О ERM они сказали следующее:
…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management
Примеры типов рисков
Процессы управления рисками
COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:
Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance
COSO акцентирует внимание на пяти компонентах системы управления рисками организации:
Руководство и культура
Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.
Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.
Стратегия и постановка целей
Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.
Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.
Производительность
Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.
В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.
После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.
Анализ и пересмотр
Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.
Информация, коммуникация и отчетность
ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.
Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.
Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):
Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.
Процесс управления рисками организации
Процесс управления рисками организации состоит из пяти элементов:
Определение целей и обеспечение согласованности ERM со стратегией бизнеса
В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.
Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.
Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.
Идентификация и документирование рисков
Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.
Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.
Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.
Оценка документированных рисков
Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.
После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.
Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.
Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.
Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.
Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.
Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.
Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:
Ответ на риск
Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.
Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.
Ответ на риск подразделяется на четыре собственные категории:
Уклонение
Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.
Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.
Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.
Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.
Снижение
Часто риски могут быть снижены различными способами.
Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.
Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.
Разделение
Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.
На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.
Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.
По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.
Принятие
Принять риск это значит не предпринимать никаких действий.
Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.
Мониторинг рисков
Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.
Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.
Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.
Как управлять рисками
Политика по управлению рисками должна быть одобрена и принята высшим руководством или акционерами компании. Рассмотрим более подробно все разделы этого документа.
Определение понятия «риск»
Каждый финансовый менеджер имеет свое представление о риске, методах его оценки и способах определения его размеров. В толковом словаре русского языка С. Ожегова риск определяется как «возможная опасность; действие наудачу в надежде на счастливый исход».
Личное мнение
Юрий Костин, риск-менеджер Департамента корпоративных финансов ОАО «Сибнефть» (Москва)
Риск — это невозможность предсказать наступление того или иного события и его последствий.
Следует отметить, что понятие «риск» трактуется по-разному в зависимости от сферы обращения риска. Для математиков риск — это функция распределения случайной величины, для страховщиков — объект страхования, размер возможного страхового возмещения, связанного с объектом страхования. Для инвесторов же риск — это неопределенность, связанная со стоимостью инвестиций в конце периода, вероятность не достичь цели и т. д.
Цели управления рисками
В зависимости от сферы деятельности, деловой среды, стратегии развития и других факторов компания может сталкиваться с различными видами рисков. Тем не менее существуют общие цели, достижению которых должен способствовать эффективно организованный процесс управления рисками.
Как правило, основная цель, которую преследуют компании при создании системы управления рисками, — это повышение эффективности работы, снижение потерь и максимизация дохода. По мнению Юрия Костина, основная цель управления рисками — наиболее эффективное использование капитала и получение максимального дохода. Директор Российского института директоров 1 Игорь Беликов считает, что одна из главных целей управления рисками — это повышение устойчивости развития компании, снижение вероятности потери части или всей стоимости компании.
Как наличие системы управления рисками влияет на условия кредитования компании?
Александр Брычкин, заместитель начальника кредитного управления ОАО АКБ «ЕВРОФИНАНС» (Москва)
Наличие системы управления рисками на предприятии несомненно учитывается при рассмотрении вопроса о предоставлении ему кредита, но влияет на величину процентной ставки опосредованно, через оценку результатов работы этой системы.
Все эти факторы влияют на уровень кредитного риска. Соответственно чем эффективней система управления рисками на предприятии, тем меньше кредитный риск банка и тем ниже может быть процентная ставка по выдаваемому кредиту.
Классификация основных видов риска
Для достижения вышеуказанных целей необходимо подробно раскрыть суть основных видов риска, с которыми сталкивается компания. Автор предлагает следующую классификацию рисков: кредитные, рыночные, риски ликвидности, операционные, юридические.
Кредитный риск
Под кредитными рисками подразумевают вероятные потери, связанные с отказом или неспособностью контрагента полностью или частично выполнить свои кредитные обязательства. Доверяя кому-либо свои средства, компания принимает на себя кредитный риск. Например, покупатель может не выполнить обязательства по оплате товаров, после того как они были ему поставлены. Размер ущерба в результате наступления рискового события определяется как стоимость всех непокрытых обязательств контрагента перед компанией в денежном выражении, включая возможные расходы, связанные с возвратом его долга.
Рыночные риски
Рыночные риски характеризуют возможные потери, возникающие в результате изменения конъюнктуры рынка. Они связаны с колебаниями цен на товарных рынках и обменных курсов валют, курсов на фондовых рынках и т. д. К примеру, компания заключила договор на поставку товаров покупателю через определенное время и зафиксировала в договоре цену поставки. Когда подошел срок исполнения обязательств по договору, покупатель отказался от выполнения условий сделки. К этому времени цена на рынке на этот товар значительно снизилась, в результате из-за реализации товаров по более низкой цене другому покупателю компания понесла убытки.
Рыночным рискам в наибольшей степени подвержены волатильные активы компании (товары, денежные средства, ценные бумаги и т. д.), так как их стоимость во многом зависит от сложившихся рыночных цен.
Риски ликвидности
Риски ликвидности — вероятность получения убытка из-за нехватки денежных средств в требуемые сроки и, как следствие, неспособность компании выполнить свои обязательства. Наступление такого рискового события может повлечь за собой штрафы, пени, ущерб деловой репутации фирмы, вплоть до объявления ее банкротом. К примеру, компания должна рассчитаться по своим кредиторским обязательствам в течение двух недель, но из-за задержки платежа за отгруженную продукцию она не располагает наличными денежными средствами. Очевидно, что со стороны кредиторов к предприятию будут применены штрафные санкции.
Как правило, риск ликвидности наступает по причине непрофессионального управления денежными потоками, дебиторской и кредиторской задолженностями.
Операционные риски
Под операционными рисками подразумеваются потенциальные потери компании, вызванные ошибками либо непрофессиональными (противоправными) действиями персонала компании, а также сбоями в работе оборудования. В качестве примера можно привести риск выпуска бракованной продукции в результате нарушения технологического процесса. По словам риск-менеджера компании «РУСАЛ-УК» Дениса Камышева, к операционным рискам промышленной компании необходимо относить и так называемые форс-мажорные риски (например, риски воздействия природных катастроф).
Базельский комитет по надзору за банковской деятельностью 2 характеризует операционный риск как «риск прямых или косвенных потерь из-за неэффективных или разрушенных внутренних процессов, действий людей и систем».
Юридические риски
Юридические риски представляют собой возможные потери в результате изменения законодательства, налоговой системы и т. д. Юридический риск может возникнуть из-за несоответствия внутренних документов компании (клиентов и контрагентов) существующим законодательным нормам и требованиям. К примеру, сделка будет признана недействительной, если договор между организациями оформлен с нарушением юридических норм и правил.
Принципы управления различными видами рисков
Общие принципы управления рисками
Управление рисками начинается с выявления и оценки всех возможных угроз, с которыми компания сталкивается в процессе своей деятельности. Затем осуществляется поиск альтернатив, то есть рассматриваются менее рискованные варианты осуществления деятельности с возможностью получения тех же доходов. При этом необходимо сопоставлять затраты на реализацию менее рискованной сделки и размеры риска, который удастся снизить. Другими словами, не должно получиться так, что компания избежала риска потерять 100 тыс. долл. США, потратив на это 200 тысяч.
После того как риски выявлены и оценены, руководство должно решить, принимать эти риски или уклоняться от них. Принятие рисков подразумевает, что компания берет на себя ответственность по самостоятельному предотвращению и ликвидации последствий этих рисков. Руководство компании также может уклоняться от рисков, то есть либо избегать видов деятельности, связанных с данными рисками, либо страховать их.
Решение о принятии или уклонении от тех или иных рисков во многом зависит от реализуемой компанией стратегии и так называемого отношения к риску. По словам начальника отдела управления рисками ОАО «Магнитогорский металлургический комбинат» Игоря Тарасова, «управление рисками — это не столько разработка мероприятий противодействия факторам риска, сколько изменение системы принятия управленческих решений в организации».
Мнение эксперта
Юрий Костин, риск-менеджер Департамента корпоративных финансов ОАО «Сибнефть» (Москва)
На практике существует много различных классификаций рисков. Помимо кредитных, рыночных, операционных, правовых и других рисков нередко выделяют стратегические и информационные.
Стратегические риски представляют собой опасность убытков из-за неопределенности, обусловленной долгосрочными стратегическими решениями компании.
Под информационными рисками понимают вероятность ущерба в результате потери значимой для компании информации.
Личный опыт
Большинство компаний стремятся сделать управление рисками вспомогательной функцией. Наиболее распространенными видами деятельности подразделения по управлению рисками являются идентификация и ранжирование рисков. Менее распространено комплексное управление рисками, например разработка стратегии предприятия с учетом соотношения риск–прибыль.
Управление кредитными рисками
При управлении кредитными рисками компания предварительно определяет приемлемый размер потерь, который она может себе позволить (лимит потерь). В том случае, если та или иная сделка характеризуется риском потерь, размер которых превышает установленный лимит, она отклоняется. Тем самым компания регулирует уровень риска по осуществляемым сделкам.
Предполагается, что вероятность дефолта со стороны сразу нескольких покупателей (заемщиков) довольно низка, поэтому в качестве основного показателя рассматривается объем убытков на одного клиента. В мировой практике максимальный размер кредитного риска на одного клиента варьируется в пределах 15–25% от собственного капитала компании. Каждая организация выбирает для себя эту величину в зависимости от отношения к риску. Если у компании большое количество клиентов, то устанавливается граница стоимости сделки, ниже которой предприятие считает нецелесообразным управлять риском.
После определения максимально допустимого размера кредитного риска на одного клиента необходимо оценить вероятность неисполнения каждым конкретным покупателем (заемщиком) своих обязательств. Сделать это можно путем анализа внутренних факторов, влияющих на кредитоспособность клиента, таких как стабильность денежных потоков, величина собственного капитала, кредитная история, качество управления и т. д. Каждому из вышеперечисленных факторов риск-менеджер присваивает определенный вес (оценку значимости показателя в процентах) и балл (качественную оценку). По результатам кредитного анализа составляется сводная рейтинговая таблица, в которой каждому контрагенту присваивается риск-класс (рейтинг кредитоспособности).
Рассмотрим упрощенный пример рейтинговой таблицы, используемой в компании «Объединенная финансовая группа» (см. таблицу). В рейтинговой таблице представлена трехуровневая структура факторов, влияющих на кредитоспособность клиента.
Все факторы делятся на внутренние и внешние. Балл группы факторов определяется как сумма произведений оценок факторов и их веса. Так, балл качественных факторов определяется следующим образом: 8х0,25+4х0,15+1х0,5+3х0,2+5х0,15=4,2. При этом качественным факторам присваивается вес 55%.
Аналогично определяются балл и вес количественных, отраслевых и страновых факторов.
Итоговый балл является суммой оценок внешних и внутренних факторов.
Риск-класс устанавливается на основе рассчитанного итогового балла оценки клиента. Каждое предприятие разрабатывает свою шкалу, в которой итоговому баллу соответствует определенный риск-класс. В рассматриваемом случае для итогового балла от 10 до 12 единиц соответствует риск-класс 4, от 12 до 14 — риск-класс 5 и т. д.
Затем на основе каждого риск-класса определяется размер кредитных лимитов, который может варьироваться от максимально возможного до нуля.
Таким образом, определенному риск-классу соответствует определенный размер лимита. Чем выше риск-класс, тем ниже вероятность дефолта со стороны покупателя и тем больший кредитный лимит ему будет установлен.
Личный опыт
Андрей Новицкий, риск-менеджер Департамента управления рисками и страхования компании «Аэрофлот»
В данном случае динамика показателя risk/profit показывает изменение потенциальных потерь компании, loss/profit — фактических.
Исходя из стратегии, реализуемой на рынке, компания определяет для себя приемлемое соотношение убытков (риска) к получаемому доходу. Если объем убытков превышает установленный компанией уровень либо динамика loss/profit ухудшается, то принимаются меры, направленные как на снижение общего риска и убытков компании, так и в отношении группы контрагентов с наибольшим кредитным риском.
Основным инструментом для снижения кредитного риска стало использование банковских гарантий при организации продажи авиаперевозок через агентскую сеть компании. То есть банк гарантирует исполнение части обязательств, принятых на себя контрагентом. Такой подход позволил нам как значительно снизить кредитный риск и потери компании, так и дать нашим контрагентам удобный инструмент для осуществления взаиморасчетов, поскольку отпадает необходимость в отвлечении из оборота значительных денежных средств на осуществление предоплаты, что в результате стимулирует продажу авиаперевозок.
Для эффективного управления кредитными рисками не достаточно установить кредитные лимиты для клиентов — необходимо осуществлять регулярный мониторинг клиентской кредитоспособности, периодически корректировать рейтинговые таблицы и пересматривать установленные лимиты. Делать это целесообразно раз в квартал либо при наступлении любого значительного события, которое прямо или косвенно может повлиять на кредитоспособность клиента.
Управление рыночными рисками
Управление рыночными рисками, как и кредитными, осуществляется с помощью системы лимитов. Иными словами, при реализации продукции, формировании валютного или инвестиционного портфеля вероятные максимальные потери не должны превышать установленных лимитов.
При определении лимитов за основу берется максимально допустимый единовременный размер потерь, который не повлечет за собой нарушения нормальной деятельности компании. Размер возможных потерь по конкретному активу компании (готовая продукция, валютные портфели, инвестиционные портфели и т. д.), подверженному влиянию рыночного риска, может быть определен как на основании «исторического» анализа, так и путем экспертных оценок.
Рассчитаем лимит на сумму сделки по реализации продукции. По условиям сделки компания должна поставить продукцию покупателю через несколько месяцев после заключения договора по заранее оговоренной цене.
Капитал компании составляет 100 млн долл. США; максимально допустимый утвержденный размер единовременных потерь компании — 20% от капитала, то есть 20 млн долл. США. На основании исторического анализа, проведенного риск-менеджером, было определено, что максимальный размер потерь при заключении подобной сделки может составлять 50% от размера сделки.
Лимит сделки будет равен 40 млн долл. США (100 млн долл. США х 20% : 50%).
Таким образом, максимальный размер потерь по сделке в случае наступления наихудшего из возможных рыночных сценариев мы определили как 50%. Другими словами, при максимально допустимом размере потерь в 20 млн долл. США мы можем заключить сделку на сумму 40 млн долл. США.
Окончательный размер лимита корректируется высшим руководством компании исходя из стратегии развития, наличия свободных денежных средств и отношения компании к риску.
Необходимо также регулярное проведение так называемых стресс-тестингов, то есть моделирование последствий наиболее неблагоприятных событий. К примеру, моделируется ситуация значительного роста цен на сырье и материалы и проводится анализ последствий такого роста для предприятия, делаются выводы и разрабатываются соответствующие меры.
Управление рисками ликвидности
Основой управления рисками ликвидности является анализ планируемых денежных потоков компании. Данные о сроках и размерах поступлений и выплат при составлении бюджета движения денежных средств корректируются с учетом выявленных рисков. Например, при выявлении кассовых разрывов менеджмент компании должен ликвидировать их путем перераспределения денежных потоков либо запланировать получение краткосрочного кредита или займа на покрытие таких разрывов.
Управление операционными рисками
Операционные риски неразрывно связаны с деятельностью предприятия, и управляют ими, как правило, руководители структурных подразделений. К примеру, начальник производственного подразделения контролирует изношенность оборудования и определяет необходимые мероприятия для предотвращения сбоев, связанных с выходом из строя оборудования. По мнению Андрея Новицкого, служба по управлению рисками не может и не должна полностью заменять ту часть работы по управлению рисками, которую фактически осуществляют другие структурные подразделения компании в процессе своей ежедневной деятельности. Риск-менеджер не только сам управляет рисками, но и помогает в этом другим менеджерам.
Личный опыт
Михаил Рогов, риск-менеджер автопромышленного холдинга «РусПромАвто» (Москва), член GARP (Global Association of Risk Professionals), член Правления российского отделения PRMIA (The Professional Risk Managers International Association), канд. экон. наук, доцент.
В отличие от инвестиционных и банковских учреждений на промышленных и торговых предприятиях преобладают операционные риски. Управление рисками осуществляет руководство — генеральный и финансовый директора, главный бухгалтер, а при постепенном росте компании функции по управлению рисками распределяются между службами безопасности, юридическим отделом, контрольно-ревизионными службами или отделом внутреннего аудита. В любом случае вопросы управления рисками должны контролироваться топ-менеджерами компании, финансовым директором или представителями собственника.
Принципы управления операционными рисками аналогичны способам управления другими видами рисков: выбор критерия управления (установление лимитов или нормы соотношения риска к доходу), идентификация и измерение рисков, а также проведение мероприятий по их оптимизации. В процессе анализа операционных рисков могут использоваться «деревья вероятностей», то есть детальные сценарии возможных исходов событий, которые помогают рассчитать количественные оценки рисков.
Для управления операционными рисками необходимо контролировать сигналы о рисках. В качестве таких сигналов могут выступать и служебные записки об осложнившейся обстановке на каком-либо участке, о частых поломках различных узлов одного и того же станка, свидетельствующие о высокой вероятности его выхода из строя.
Управление юридическими рисками
Управление юридическими рисками основано на формализации процесса юридического оформления и сопровождения деятельности компании. Для того чтобы минимизировать юридические риски, любые бизнес-процессы компании, подверженные этим рискам (например, заключение договора поставки), должны проходить обязательную юридическую проверку.
Для минимизации юридических рисков при осуществлении большого количества одинаковых операций целесообразно использовать типовые формы документов, разработанные юридическим отделом.
Личный опыт
Одна из задач риск-менеджера в процессе управления любыми рисками — отслеживать их концентрацию. Так, для управления юридическими рисками следует ежемесячно запрашивать у юридического отдела реестр незакрытых юридических дел, исков и проблем с указанием «цены вопроса». Таким образом, у риск-менеджера будет не только информация о проблемах, но и данные о возможных убытках из-за несвоевременного решения этих проблем. Для снижения юридических рисков в компании необходима отлаженная процедура прохождения документов (визирование и согласование), а также разделение полномочий ответственных сотрудников.
Организации управления рисками
Важным моментом организации управления рисками на предприятии является разграничение полномочий риск-менеджера и топ-менеджмента компании или собственников бизнеса. Как правило, полномочия разделяются в зависимости от величины наиболее вероятных потерь в случае наступления рискового события или размера лимита. К примеру, лимит, не превышающий 10 тыс. долл. США, может быть утвержден риск-менеджером, а лимит свыше этой суммы — финансовым директором.
Для обеспечения непрерывности бизнес-процессов при отсутствии или недостаточности какого-то лимита в программе по управлению рисками необходимо прописать полномочия соответствующих лиц компании (а также лиц, замещающих их в случае отсутствия) на одобрение превышения лимитов, сроки ответа на запрос о превышении лимитов, формы соответствующей заявки и т. д.
Также необходимо определить место подразделения по управлению рисками в организационной структуре предприятия и принципы его взаимодействия с другими подразделениями.
Личный опыт
На мой взгляд, существуют два основных подхода к организации управления рисками. Первый — так называемая концентрированная модель: все вопросы управления рисками концентрируются в рамках одного структурного подразделения, в которое входят юристы, экономисты, производственники, страховщики и т. д. Второй подход — управление рисками в рамках «распределенной» системы, когда создается относительно небольшое подразделение мониторинга рисков, а функции по непосредственному управлению рисками передаются в другие отделы. При таком подходе отдел мониторинга рисков разрабатывает корпоративную политику и специфические методики управления рисками, осуществляет мониторинг всего процесса управления рисками компании и передает функции по оперативному управлению в структурные подразделения компании, которые на основании разработанных методик управляют характерными для своего направления деятельности рисками, что часто позволяет избежать дублирования функций в рамках компании.
Приступая к разработке политики по управлению рисками, необходимо быть готовым к кропотливой и сложной работе, в процессе которой предстоит тесно взаимодействовать с различными структурными подразделениями компании. Поэтому руководители всех служб компании должны хорошо понимать цели разработки системы управления рисками.
«Создание системы риск-менеджмента позволит обеспечить стабильность бизнеса и максимизировать прибыль»
Интервью с начальником Управления анализа кризисных ситуаций и рисков компании «Норильский никель» Шамилем Курмашовым
— Какие задачи решает риск-менеджер?
— На мой взгляд, риск-менеджер должен выявлять и анализировать возможные проблемы предприятия, а также определять, в какой области искать пути их решения (математика, экономика, логика). Основные задачи риск-менеджера — обеспечение руководства компании объективной и полной информацией о ее бизнес-позиционировании, разработка эффективных управленческих решений, направленных на предотвращение кризиса или минимизацию воздействия риск-факторов, что реализуется в корпоративной системе управления рисками.
— Для чего разрабатывается система управления рисками?
— Основная цель — это обеспечение оптимального для акционеров компании и инвесторов баланса между максимизацией прибыли и долгосрочной стабильностью бизнеса. Я считаю, что для достижения этой цели основой системы управления рисками должны стать принципы комплексности, непрерывности и интеграции.
Принцип комплексности подразумевает взаимодействие всех подразделений компании в процессе выявления и оценки рисков по направлениям деятельности. При этом передача функций управления подразделению, риски которого контролируются, может нейтрализовать положительный эффект от внедрения процедур управления рисками. Например, отдел сбыта не должен устанавливать лимиты на кредитование покупателей. Такая ситуация создает массу возможностей для злоупотреблений и аналогична той, когда человек сам у себя спрашивает разрешение и сам себе его дает.
Не менее важным принципом системы управления рисками предприятия является непрерывность, то есть постоянный мониторинг и контроль рисков предприятия. Это необходимо, поскольку условия, в которых работает предприятие, постоянно меняются, появляются новые риски, которые тоже требуют тщательного анализа и контроля.
Также следует соблюдать принцип интеграции, то есть оценивать интегральный риск компании — давать взвешенную оценку воздействия на бизнес всего спектра рисков, начиная от вероятного снижения цен на продукцию и заканчивая возможным ущербом от технологических аварий. На наличие такого риска может указывать неустойчивость ключевых показателей деятельности компании: прибыль, денежный поток и т. д. Этот принцип позволяет учесть взаимосвязь отдельных рисков. Как показывает практика, выявление таких связей между рисками дает возможность сформировать более взвешенную оценку ситуации и соответственно оптимизировать потребность в объеме средств, необходимых для обеспечения сбалансированной непрерывной деятельности компании.
Помимо этого руководство компании, как правило, интересует, на сколько может снизиться, например, денежный поток от основной деятельности по сравнению с принятым на год планом и что нужно предпринять для устранения негативного эффекта. Для ответа на этот вопрос нужно оценить все риски компании и в первую очередь интегральный.
— Какие шаги необходимы для построения системы риск-менеджмента?
— Основываясь на опыте нашей компании, могу выделить следующие этапы.
Во-вторых, для контроля за текущими рисками нужно создать и внедрить систему текущего мониторинга рисков, основанную на системе операционных риск-индикаторов в разрезе всех направлений деятельности компании.
В-третьих, необходимо разработать принципы оценки и прогнозирования рисков и протестировать их на достоверность методом бэк-тестинга, который заключается в следующем. К реальным историческим данным применяются разработанные принципы оценки и прогнозирования рисков, а полученные результаты сопоставляются с реальными событиями, произошедшими в компании. На основании такого сопоставления делается вывод об адекватности системы.
В-четвертых, разрабатываются системы управления рисками, позволяющие осуществлять профилактику их возникновения. Создаются кризис-сценарии — алгоритм действий подразделений компании в кризисных ситуациях. Хочу отметить, что не следует смешивать риск-менеджмент и кризис-менеджмент. Если риск — это возможность наступления какого-нибудь события, то кризис — результат уже состоявшегося события.
И наконец, в-пятых, следует отслеживать, насколько хозяйственная деятельность предприятия с учетом внедрения системы риск-менеджмента соответствует стратегическим целям, определенным руководством предприятия (приводить параметры хозяйственной политики в соответствие с принятой стратегией).
В итоге сотрудники, которые занимаются созданием системы риск-менеджмента, должны выработать четкую политику по управлению рисками, которая обеспечит прозрачность, устойчивость и непрерывность бизнеса.
Беседовал Александр Афанасьев
1 Некоммерческое партнерство «Российский институт директоров» учреждено в ноябре 2001 года ведущими компаниями — эмитентами России. Учредителями партнерства стали ОАО «СУАЛ-ХОЛДИНГ», ОАО «Горно-металлургическая компания «Норильский никель», ОАО «Объединенные машиностроительные заводы (Группа «Уралмаш-Ижора»)», ОАО «Сургутнефтегаз», ОАО «НК «ЮКОС». Цель института — разрабатывать и внедрять классификационные и профессиональные стандарты деятельности корпоративных директоров, формировать эффективную российскую модель корпоративного управления. – Примеч. редакции.