Справочник от Автор24
Менеджмент

Конспект лекции
«Риск-менеджмент»

Справочник / Лекторий Справочник / Лекционные и методические материалы по менеджменту / Риск-менеджмент

Выбери формат для чтения

pdf

Конспект лекции по дисциплине «Риск-менеджмент», pdf

Файл загружается

Файл загружается

Благодарим за ожидание, осталось немного.

Конспект лекции по дисциплине «Риск-менеджмент». pdf

txt

Конспект лекции по дисциплине «Риск-менеджмент», текстовый формат

Министерство образования и науки Российской Федерации Южно-Уральский государственный университет Кафедра «Экономика промышленности и управления проектами» Матвеев Б. А. РИСК-МЕНЕДЖМЕНТ Курс лекций Челябинск 2020 ОГЛАВЛЕНИЕ Введение Тема 1. Основные принципы и этапы управления рисками Тема 2. Организация подразделений риск-менеджмента в соответствии со стандартами Тема 3. Политика управления рисками Тема 4. Положение о подразделении риск-менеджмента Тема 5. Регламент управления рисками Тема 6. Риск-менеджмент. Введение Тема 7. Идентификация рисков 7.1. Методы идентификации рисков 7.2. Получение информации о рисках 7.3. Проведение интервью 7.4. Поиск рисков 7.5. Формирование итогового реестра рисков 7.6. Пример перечня рисков условного предприятия Тема 8. Расчёт и оценка рисков 8.1. Подходы к расчёту риска 8.2. Методы и особенности расчёта рисков 8.3. Расчёт рисков условного предприятия 8.4. Оценка рисков Тема 9. Визуализация рисков Тема 10. Разработка мероприятий по управлению рисками 10.1. Типовые мероприятия 10.2. Выбор мероприятий 10.3. Пример программы мероприятий для условного предприятия 10.4. Визуализация и анализ результатов исполнения мероприятий Тема 11. Отчётность. Мониторинг рисков Тема 12. Общие подходы к процессам управления рисками Приложения Приложение 1. FERMA: Стандарт управления рисками Приложение 2. ISO 31000–2018: Управление рисками. Международный Стандарт Приложение 3. Политика управления рисками в ОАО «МРСК Центра» Приложение 4. Регламент по управлению рисками ликвидности ОАО «Управляющая компания «Еврофинансы» Основные термины, определения и сокращения Библиографический список ВВЕДЕНИЕ Риск-менеджмент – это дисциплина, которая изучает воздействие случайных событий на различные сферы деятельности человека. Рискменеджмент определяет возможности и методы обеспечения устойчивого развития предприятий и бизнеса, возможности противостоять неблагоприятным событиям. Избежать риска невозможно, однако научиться управлять им необходимо. Управлять риском – значит осуществлять некоторые действия, позволяющие прогнозировать наступление рисковых событий и принимать меры по оптимизации риска. Эффективность организации управления риском во многом зависит от того, к какому классу он относится. Для каждой группы рисков используется свой метод управления. Курс лекций составлен в соответствии с учебной программой подготовки бакалавров по дисциплинам «Риск-менеджмент», «Регламенты управления рисками» – направление «Менеджмент» и «Экономика», «Рискменеджмент» – направление «Эксплуатация транспортно-технологических машин и комплексов». Материал лекций соответствует требованиям государственного образовательного стандарта высшего профессионального образования поколения 3+, предъявляемым к учебной литературе, позволяет разработать политику и регламент управления рисками на предприятии и в бизнесе, выбрать наиболее эффективные управленческие решения с учётом риска. Значительная часть курса построена на материалах сайта http://svk4u.ru/ – «Риск-менеджмент, внутренний контроль и аудит» [1]. Благодаря авторам сайта данный курс приобрёл необходимую практическую направленность. 5 ТЕМА 1. ОСНОВНЫЕ ПРИНЦИПЫ И ЭТАПЫ УПРАВЛЕНИЯ РИСКАМИ В условиях объективного существования риска необходимым условием успешного функционирования организации и бизнеса является формирование системы управления рисками (риск-менеджмента), которая позволяет, с одной стороны, уменьшить неблагоприятное воздействие риска, а с другой – использовать возможности роста и развития бизнеса. На рис. 1.1 приведена общая схема управления рисками (УР) организации [2]. Рис. 1.1. Общая схема процесса управления рисками на предприятии Первым этапом в большинстве случаев является анализ рисков, который включает их идентификацию и оценку. Он может проводиться с помощью статистических, экспертных и расчетно-аналитических методов. На этом этапе составляется перечень рисков, устанавливаются их источники и взаимосвязи, ситуации, в которых они могут возникать, содержание возможных последствий. На втором этапе разрабатывается стратегия УР, определяющая цели и направления деятельности, связанной с риском. Выбор стратегии 6 обусловлен отношением к риску, приверженностью той или иной концепции управления рисками, на понимании риска как опасности либо как возможности. В зависимости от понимания сущности риска и концепции УР (обеспечение экономической безопасности или достижение оптимального соотношения «риск-доходность») выбирается один из трех вариантов стратегии управления риском: осторожный, взвешенный и рискованный. Осторожный (консервативный) вариант предполагает максимальное уклонение от риска, снижение возможных убытков, избежание дополнительных расходов. Этого варианта вынуждены придерживаться фирмы, находящиеся в сложном финансовом положении, общая стратегия которых ориентирована на цели выживания. Рискованный вариант выбирают фирмы, общая стратегия которых носит агрессивный характер (завоевание рынка, резкий и значительный рост конкурентных преимуществ). Такой выбор предполагает высокую склонность к риску. Система управления рисками (СУР) ориентирована на максимизацию прибыли. Несмотря на очевидную опасность этого варианта, именно такие стратегии позволяют существенно повысить конкурентоспособность, обеспечивают прогресс в экономическом развитии. Взвешенный (умеренный) вариант является промежуточным – склонность к риску при этом сохраняется, однако авантюризм отсутствует: крупные, наиболее опасные риски передаются во внешнюю среду (уклонение от риска или его передача), а приемлемые (допустимые) риски удерживаются и УР ориентировано на оптимизацию прибыли. Взвешенная стратегия не исключает реализации рискованных хозяйственных операций или проектов (в частности, инновационных). Он в наибольшей степени адекватна целям развития. Если фирма в целом придерживается агрессивной стратегии развития, то возможными вариантами УР могут быть как рискованный, так и взвешенный. Если общая стратегия фирмы консервативна, варианты стратегии УР – осторожный или взвешенный. На наш взгляд, взвешенный вариант УР во всех случаях представляется более предпочтительным. Вариант стратегии УР оказывает решающее влияние на выбор методов, политику и программу УР (рис. 1.2). Существует, как минимум, три подхода к классификации и определению методов УР. Первый – наиболее распространенный и, как представляется, наиболее логичный, основан на характере возможных действий по отношению к риску: 1) уклонение от риска (полный отказ от любых действий, приводящих к риску); 7 2) снижение риска (снижение вероятности риска, снижение размера потенциального ущерба, резервирование, диверсификация, покрытие убытка из собственных или привлечённых средств); 3) передача риска (страхование, хеджирование, факторинг, франчайзинг, аутсорсинг); 4) принятие риска (осуществление рискованных хозяйственных операций без принятия каких-либо дополнительных мер по устранению возможных негативных последствий или создание резервных источников для компенсации возможных убытков). Рис. 1.2. Построение системы УР, основанной на принципиальном понимании сущности риска 8 На третьем этапе управления рисками (рис. 1.1) анализируются возможные методы управления рисками. Различают дособытийные и послесобытийные методы управления. Дособытийные методы основаны на заблаговременном планировании и реализации мероприятий по управлению рисками и направлены на снижение вероятности реализации рисков или уменьшение размеров возможного ущерба. Эти методы предполагают осуществление превентивных мер: установка противопожарной сигнализации, отгрузка продукции только на условиях авансовой оплаты и т. д. Послесобытийные методы направлены на возмещение и ликвидацию последствий неблагоприятного события. Методы этой группы предполагают использование различных источников финансирования для покрытия убытков: самострахование, займы, страхование, государственная поддержка. Четвертый этап управления рисками включает формирование политики (тактики) и разработку регламента управления рисками. Можно выделить три формы политики риск-менеджмента (РМ): профилактики, нейтрализации и стимулирования. Рискованной стратегии в наибольшей степени соответствует политика стимулирования, направленная на получение максимальной прибыли за счет реализации проектов и операций с высокой степенью риска. Осторожной стратегии – политика профилактики, в рамках которой принимаются все меры для устранения рисков, а основной целью является минимизация возможных потерь и убытков. Политика нейтрализации адекватна для умеренной стратегии, она может быть направлена на оптимизацию соотношения риск-доходность, снижение вариации результата, полную или частичную компенсацию потерь и убытков. Когда определены стратегия и политика управления рисками, проанализированы возможные методы и выбраны те из них, которые соответствуют стратегическим целям организации, необходимо разработать конкретный план и последовательность действий по УР – регламент управления рисками (РУР). СУР в структуре управления предприятием может быть обособлена. В этом случае требуются специальные меры по согласованию управленческих решений (в форме совещаний, обсуждений, планерок). При формировании обособленного подразделения РМ возникает вопрос о разработке ее собственной внутренней структуры, разработке положения о подразделении, разделении функций, обязанностей, полномочий, установлении взаимосвязей службы риск-менеджмента с другими подразделениями организации. Несмотря на то, что этот вариант, очевидно, 9 является наиболее затратным, он является одновременно и наиболее эффективным. Система РМ может не выделяться в самостоятельную службу, в этом случае решения по УР принимаются менеджерами на каждом уровне (например, руководители производственных подразделений ответственны за снижение технических рисков, принимают меры по профилактике аварий, предотвращению брака и т. д.) В такой ситуации решения в области УР сочетаются с решениями по общему менеджменту. Одним из вариантов УР является аутсорсинг, предполагающий передачу отдельных функций или всей совокупности функций по управлению риском конкретного вида сторонней организации. Так, например, могут быть переданы функции по оценке степени риска, полностью передано управление имущественными рисками страховой компании, УР неплатежеспособности дебиторов факторинговой компании. В регламенте УР рисками устанавливаются пороговые значения степени риска: его вероятности и максимального ущерба. Для каждой рисковой ситуации рекомендуется метод управления рисками. Пороговые значения риска и показатели финансовых возможностей для его компенсации используются в дальнейшем для оценки эффективности СУР. Содержанием пятого этапа является непосредственно реализация разработанным мероприятий по УР. Этот этап, как и весь процесс УР должен подвергаться непрерывному мониторингу и контролю с целью оценки эффективности всей системы РМ. 10 ТЕМА 2. ОРГАНИЗАЦИЯ РИСК-МЕНЕДЖМЕНТА В СООТВЕТСТВИИ СО СТАНДАРТАМИ На русском языке в области УР есть 4 стандарта. 1. Стандарт COSO ERM Здесь как такого определения риска нет. В определении «управления рисками» упомянут риск-аппетит: «Управление рисками организации – это процесс, осуществляемый Советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации». 2. ГОСТ Р 51897-2011 / Руководство ИСО 73:2009. Менеджмент риска. Термины и определения [3] Риск – следствие влияния неопределённости на достижение поставленных целей. Менеджмент риска – скоординированные действия по руководству и управлению организацией в отношении риска. 3. Стандарт руководства [4] ISO31000:2018. Риск-менеджмент, принципы и Риск – влияние неопределенности на цели. Риск-менеджмент – скоординированные действия по руководству и управлением организацией в области риска. 4. Стандарт FERMA [5] Риск – комбинация вероятности события и его последствий. Риск-менеджмент – центральная часть стратегического управления организацией. Это процесс, следуя которому, организация системно анализирует риски каждого вида деятельности с целью максимальной эффективности каждого шага и, соответственно, всей деятельности организации в целом. 11 Распространённое утверждение, что УР применимо только для банков, финансовых и страховых компаний является заблуждением. РМ может (а в крупном бизнесе – должен) быть внедрен в любом бизнесе. Стратегические риски являются самыми важными и оценить их с помощью разного рода математического моделирования невозможно. Проще управлять операционными рисками. Менеджмент обычно этим и занимается. Но основная полезность РМ – в изменении стратегии, подходов к управлению, то есть в принятии управленческих решений с учётом риска. Стандарты, если кратко, сообщают нам о следующем: управление рисками – процесс, осуществляемый Советом директоров, менеджментом и другими сотрудниками (Стандарт COSO ERM). РМ – дело генерального директора. Есть два принципиальных варианта организации подразделений РМ. Первый принципиальный вариант (рис. 2.1): Рис. 2.1. Организация риск-менеджмента на предприятии (первый вариант) При этом нужно отметить, что дирекция по РМ даже в больших организациях частенько ограничивается двумя людьми, один из которых – ассистентка. Подвариант – объединить дирекции по РМ и внутреннему контролю (ВК) в одну. Второй вариант – не создавать отдельные подразделения по ВК и РМ. РМ можно заниматься в рамках комитета по рискам и ВК (в частности, регламентацией процессов) – с помощью подразделения организационного развития / системы менеджмента качества. Функции секретаря (для РМ) 12 должен в этом случае выполнять кто-то из финансово-экономического подразделения. Организация риск-менеджмента в России Если на предприятии есть подразделение внутреннего аудита (ВА), то пусть оно и занимается рисками. В этом случае рабочей структурой может служить следующая (рис. 2.2): Рис. 2.2. Организация риск-менеджмента на предприятии (второй вариант) В такой ситуации каждый внутренний аудитор становится рискменеджером, к тому же в МПСВА (Международные профессиональные стандарты внутреннего аудита) прямо написано, что «если такой концепции (управления рисками) нет, то руководитель внутреннего аудита применяет собственное суждение о рисках». Последовательность создания подразделения риск-менеджмента Каноничным является подход «цели-риски-контрольные процедуры». То есть вроде как сначала должно возникнуть подразделение рискменеджмента, потом – постановки СВК (служба внутреннего контроля), потом – внутренний аудит. На самом деле всё должно быть ровно наоборот. 13 То есть сначала – внутренний аудит, потом другие подразделения. Почему так? Возможно, что без подразделения риск-менеджмента и постановки СВК вполне можно обойтись. А внутренний аудит, если следовать МПСВА, все-таки независимая от менеджмента функция, ее кто-то должен выполнять. Риск-менеджер вообще не является какой-то очень специфической профессией (если речь не идет о риск-инженере в страховой организации либо же риск-менеджере в банке). Фактически функции риск-менеджера в промышленных и торговых предприятиях должен уметь выполнять как генеральный, так и финансовый директор (хотя в некоторых случаях может этот процесс инициировать и внутренний аудитор). Риск-менеджер не должен обладать экспертными знаниями налогового учёта, ГК РФ, техники безопасности, капитального строительства и пр., за исключением случаев, когда он занимается только одной из перечисленных тем. Традиционно на руководителя подразделения РМ возлагается ответственность за разработку, согласование и поддержание определенного набора документов. Первый тип – это целеполагающий (высокоуровневый) документ. Можно выделить два подтипа. 1. Политика. Содержит цели, принципы, подходы, ключевые особенности и пр.; 2. Стратегия развития. Более конкретный по сравнению с политикой документ, в котором дополнительно указываются если не путь, по которому нужно двигаться, то хотя бы сроки достижения определённых целей. Второй тип – это документ, определяющий статус подразделения, то есть положение о подразделении. Содержит права, обязанности, ответственность и прочие необходимые для дальнейшего функционирования детали. Третий тип документов – это регламенты процессов, то есть регламенты взаимодействий. Эти документы отвечают на вопросы кто? когда? кому? чего? что будет, если? Четвертый тип документов – это должностные инструкции. Чем конкретнее документ, тем он полезней. Поэтому с точки зрения руководителя подразделения риск-менеджмента: 14 1) регламент (управления рисками, проведения проверок) должен стать основным документом; 2) положение о подразделении нужно «на всякий случай». Обойтись без него можно, но наличие прописанных прав и ответственности желательно; 3) должностные инструкции. Отсутствие данного документа не позволяет даже чисто теоретически уволить сотрудников, не прошедших испытательный срок. С точки зрения развития функций высокоуровневые документы не нужны. Существует достаточно большое количество подразделений внутреннего контроля и внутреннего аудита, успешно функционирующих без политик и стратегий. Для разработки документов, регламентирующих РМ, в первую очередь рекомендуется использовать стандарты: FERMA [5] и ISO31000 [4]. Все целеполагающие документы – это сокращенные версии стандартов с уточнениями относительно реализации в каждом конкретном случае. Но политика по управлению рисками выглядела бы странно, если написать ее одной фразой «Мы строим управление рисками исходя из ISO31000». Соответственно, нужно взять только главное. Для остальных документов используются фразы из стандартов: 1) для положения о подразделениях – цели, задачи, функции (положения о подразделениях трансформируются в должностные инструкции). Права и обязанности подразделений – это следствие необходимости исполнения задач и функций; 2) для регламентов – последовательность действий, описанных в стандартах. Документы для РМ затрагивают практически всех сотрудников. И у каждого пользователя есть свое видение целей функционирования, а также как набора, так и состава документов. Выделим три группы заинтересованных сторон. Группа 1. Заказчики (спонсоры) процессов Как правило, это акционеры либо совет директоров, но в некоторых случаях в роли заказчика процесса могут выступать генеральный директор, финансовый директор, директор по корпоративному управлению. Данную группу интересует, чтобы все работало, документы – это побочно. 15 Группа 2. Ответственные за процесс Это руководители подразделений риск-менеджмента. Их основная цель – обеспечить себе разумные условия для функционирования. Достигается тем, что должны быть регламентированы права этой группы и некие обязанности других участников процесса. Под обязанностями подразумевается работа в части развития риск-менеджмента. Группа 3. Участники процесса Подчеркнем, что выбор документов зависит от множества факторов: запросы заказчиков, сложившаяся корпоративная культура, масштабы организации и пр. Чем меньше по объему документ, тем лучше. Из всего перечня возможных документов можно создать один – «Регламент рискменеджмента», включив наиболее ценные для конкретного бизнеса мысли страниц на 5-10. 16 ТЕМА 3. ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ В настоящем разделе мы познакомимся со структурой и содержанием одного из высокоуровневых документов РМ – «Политика управления рисками» (ПУР). Общие положения 1. Политика управления рисками (далее – Политика или ПУР) определяет термины и определения, цели и задачи, ограничения, принципы, требования к инфраструктуре и процессу УР в Компании. 2. Политика является обязательной для исполнения всеми сотрудниками Компании. 3. При разработке документов по УР необходимо следовать Политике. Термины и определения 1. Компания. Определяется в каждом конкретном случае. 2. Риск – влияние неопределенности на цели. Другие варианты: 1) комбинация вероятности события и его последствий (из FERMA); 2) событие, негативно или позитивно влияющее на деятельность компании, вероятность и последствия наступления которого можно оценить. 3. Управление рисками или риск-менеджмент – скоординированные действия по управлению организацией с учетом риска. 4. Владелец риска – лицо, которое имеет полномочия и несет ответственность за УР. Или: руководитель подразделения, на достижение целей которого влияет риск. 5. Инфраструктура управления рисками – набор компонентов, обеспечивающих организационные меры и структуру для разработки, внедрения, мониторинга, пересмотра и постоянного улучшения УР в масштабе Компании. 6. Процесс управления рисками – систематическое применение политик, процедур и практик Компании к деятельности по обмену информацией и консультированию, анализу внешней и внутренней среды, идентификации, анализу, оценке, воздействию на риск, мониторингу и пересмотру риска. 17 Цели управления рисками 1. Компания имеет современное, правильное и всестороннее понимание своих рисков. 2. Риски Компании находятся в пределах установленных Компанией критериев. Задачи управления рисками 1. Построение инфраструктуры управления рисками. 2. Создание и поддержание процесса управления позволяющего обеспечить достижение целей Компании. рисками, Ограничения настоящей политики 1. ПУР направлена на обеспечение разумной, но не абсолютной гарантии достижения целей РМ, по следующим причинам: 1) выявление и оценка рисков не могут быть абсолютно точными ввиду неопределенности будущих событий; 2) некоторые риски находятся за пределами воздействия со стороны Компании, и поэтому не могут быть полностью устранены; 3) эффективность некоторых контрольных процедур, внедренных для УР, может не быть достигнута ввиду человеческого фактора. Принципы управления рисками 1. Использование лучших практик. В УР Компании используются стандарты FERMA и ISO31000. При этом возможно неполное следование лучшим практикам, если этого требуют интересы Компании. 2. Эффективность. Риск-менеджмент создает и защищает стоимость Компании. 3. Непрерывность. РМ осуществляется на постоянной основе. 4. Комплексность. РМ охватывает всю деятельность Компании. 5. Вовлеченность. Руководство Компании всех уровней считает РМ существенным для достижения целей Компании. 6. Интеграция. РМ является неотъемлемой частью всех организационных процессов и используется при принятии решений. 7. Ответственность. Ответственность за риски означает наличие всесторонней, полностью определенной и принятой ответственности за риски как со стороны коллегиальных органов управления, так и со стороны владельцев риска. 18 8. Ресурсное обеспечение. Компания обеспечивает владельцев риска всем необходимым для выполнения своей роли, им предоставлены полномочия, время, обучение и ресурсы для УР. 9. Использование лучшей информации. В процессе РМ принимается во внимание вся доступная информация: исторические данные, опыт, обратная связь от заинтересованных сторон, наблюдения, прогнозы, экспертные оценки и пр. 10. Раскрытие информации. Информация о РМ регулярно раскрывается всем заинтересованным сторонам. 11. Непрерывное совершенствование. Имеет место постоянное улучшение процессов УР. Инфраструктура процесса управления рисками 1. В соответствии с принципом вовлеченности в УР вовлечены все органы управления компании. 1.1. Ответственность на уровне Совета директоров возлагается на … . В обязанности Совета директоров входит: 1) 2) 3) 4) определение критериев риска; определение критериев эффективности РМ; рассмотрение результатов мониторинга РМ; оценка эффективности РМ. 1.2. При Правлении Компании создается Комитет по рискам. При этом: 1) функции Комитета по рискам определяются положением о нем; 2) в обязанности Комитета в обязательном порядке входят: a) обеспечение инфраструктуры УР; b) обеспечение процесса УР; c) рассмотрение реестра рисков, определение методов воздействия на риски и утверждение планов мероприятий по УР; d) рассмотрение конфликтов интересов при УР. 1.3. Ответственность за УР в Компании возлагается на Генерального директора. Ответственность за УР включает, как минимум: 1) установление / назначение владельцев рисков, ответственных и уполномоченных управлять рисками; 19 2) установление других видов ответственности сотрудников на всех уровнях Компании; 3) назначение ответственного за координацию УР; 4) ответственность за проведение регулярных встреч по рискам и ведение соответствующей отчетности; 5) ответственность за достигнутые результаты РМ. 2. Для функционирования РМ разрабатываются и поддерживаются следующие документы: 1) настоящая Политика; 2) Положение о Комитете по рискам при Правлении; 3) Регламент управления рисками. 3. В соответствии с принципом интеграции: 1) РМ в обязательном порядке встраивается в процессы стратегического планирования, бюджетирования, инвестиционного планирования, закупок и изменения деятельности; 2) интегрирование означает непрерывное использование результатов РМ в процессах, в том числе в документах процессов (стратегии, бюджеты, планы). 4. При внедрении и улучшении инфраструктуры РМ формируются соответствующие планы. 5. Эффективность РМ (как инфраструктуры РМ, так и процесса УР) не реже одного раза в год оценивается подразделением ВА в рамках мониторинга. Процесс управления рисками Детально процесс УР представлен в регламенте, в политике достаточно описать только действительно важные требования. А. Процесс управления рисками состоит из: 1) анализа рисков (идентификация, расчет, оценка риска); 2) воздействия на риски (определение и разработка методов воздействия, определение источников финансирования, реализация программы мероприятий с последующим контролем внедрения); 20 3) отчетности о рисках; 4) мониторинга и изменения инфраструктуры и процесса УР. Б. Принципы риск-менеджмента, сопровождающие процесс УР. 1. Идентификация рисков 1) классификация рисков в Компании не применяется; 2) идентификация рисков сопровождается их описанием для проведения дальнейшего анализа; 3) идентифицируются как риски, которые Компания контролирует, так и риски, которые Компания не может контролировать, но которые оказывают влияние на деятельность Компании; 4) приоритетным является выявление рисков на ранней стадии их возникновения; 5) при идентификации рисков рассматривается максимально широкий спектр последствий. Однако приоритетными является потенциальное влияние рисков: a) b) c) d) e) на репутацию и имидж компании; на капитализацию; на соответствие требованиям регуляторов; на себестоимость производства и продаж; на непрерывность производства (которое может быть оценочно выражено в деньгах); 6) идентифицируются не только негативные, но и позитивные риски. Под последними понимаются риски, связанные с решениями использовать благоприятные возможности. 2. Расчет рисков 1) в расчете рисков используются следующие шкалы: a) для расчета вероятности – … ; b) для расчета ущерба – … . 2) риски рассчитываются экспертным, стохастическим и статистическим методами. Преимущественным методом расчета является статистический. 21 3. Оценка рисков 1) по результатам оценки рисков каждому риску присваивается дно из трех значений: критический, приемлемый, незначительный; 2) риски ранжируются в соответствии с присвоенными значениями; 3) невзаимосвязанные риски оцениваются по отдельности, взаимосвязанные риски – по совокупности; 4) результаты оценки рисков сводятся в реестр рисков; 5) для удобства восприятия для рассмотрения рисков на Правлении и Совете директоров формируется карта рисков. 4. Воздействие на риск 1) При рассмотрении методов воздействия на риск рассматриваются следующие варианты воздействия: a) избежание риска посредством решения не начинать или не продолжать деятельность, в результате которой возникает риск; b) принятие или увеличение риска для использования благоприятной возможности; c) устранение источника риска; d) снижение вероятности; e) изменение последствий; f) разделение риска с другой стороной или сторонами (включая контракты и финансирование риска); g) осознанное удержание риска. 2) Мероприятия по УР могут быть: a) превентивными, т.е. влияющими на причины (факторы) рисков и служащие для предотвращения последствий; b) направленными на устранение последствий реализовавшегося риска. Преимущественными должны стать превентивные мероприятия; 22 3) Планы воздействия на риск оформляются в виде программ мероприятий по УР. Если программа требует финансирования, то источник финансирования определяется при подготовке, рассмотрении и утверждении программы; 4) Программа мероприятий содержит только мероприятия проектного характера, которые имеют срок, бюджет и ответственного (владельца риска); 5) Стоимость мероприятий по каждому риску должна быть значительно меньше потерь от риска с учетом вероятности его возникновения. Если затраты на указанные мероприятия сопоставимы с возможными потерями (критические риски), то необходимость их проведения должна рассматриваться на Совете директоров. 5. Отчетность о рисках 1) отчетность о рисках рассматривается: a) на уровне Совета директоров – не менее двух раз в год; b) на уровне Правления (Комитета по рискам) – ежеквартально. 2) форма отчетности определяется пользователями отчетности и подлежит утверждению. 6. Мониторинг управления рисками 1) Комитет по рискам на каждом заседании осуществляет мониторинг УР, в частности, оценивает: a) достижение результатов; b) адекватность использованных процедур; c) адекватность использованной информации. 2) результаты мониторинга являются входящей информацией для идентификации рисков. 7. Мониторинг инфраструктуры и процесса управления рисками 1) Комитет по рискам не реже одного раза в год проводит оценку инфраструктуры и процесса УР; 23 2) по итогам мониторинга, при необходимости, вносятся изменения как в инфраструктуру, так и в процесс УР. Прочие положения 1. Политика утверждается Советом директоров. 2. Политика пересматривается не реже одного раза в три года. 3. Инициаторами внесения изменений в Политику могут быть все члены Совета директоров и Правления, генеральный директор и его заместители, а также руководители подразделений РМ, ВК и ВА. Пример разработки Политики управления рисками в одной из организаций приведён в Приложении В. 24 ТЕМА 4. ПОЛОЖЕНИЕ О ПОДРАЗДЕЛЕНИИ РИСК-МЕНЕДЖМЕНТА Рассмотрим Положение о подразделении управления рисками, разработанное на основе ПУР. То есть, подразделение создается для того, чтобы реализовывать политику. Идеальной является ситуация – когда любое действие находит отражение в политике, регламенте, положении о подразделении и в должностной инструкции. Общие положения 1. Подразделение риск-менеджмента (далее – ПРМ) является самостоятельным структурным подразделением Компании и подчиняется непосредственно генеральному директору. 2. ПРМ создается, реорганизуется и ликвидируется в соответствии с общепринятым порядком. 3. Настоящее Положение, изменения и дополнения к нему вводятся в действие приказом генерального директора Компании. Задачи подразделения: содействие реализации ПУР. Функции 1. Поддержание в актуальном состоянии регламентирующих документов Компании по УР. 2. Исполнение в Компании функции координатора по УР. 3. Содействие Правлению и менеджменту Компании в постановке систем управления рисками (СУР). 4. Анализ документов Компании на соответствие ПУР. 5. Сопровождение СУР: 1) поддержание в актуальном состоянии информации о реализации рисков; 2) проведение на основании собственной методологии регулярной независимой от менеджмента идентификации рисков; 3) ведение статистики для расчета рисков; 4) поддержание в актуальном состоянии реестра рисков; 5) формирование карт рисков; 6) поддержание и актуализация программ мероприятий по УР с текущим статусом исполнения мероприятий; 25 7) контроль выполнения планов по улучшению инфраструктуры и процесса УР. 6. Подготовка отчетности о состоянии СУР. Права 1. Инициировать изменения в процессы УР. 2. Запрашивать и получать информацию (в т. ч. пояснения в письменной и устной форме) непосредственно от сотрудников Компании с уведомлением их руководителя. Срок предоставления информации с момента получения запроса – не более 5 рабочих дней. 3. Получать доступ к информации в электронном виде (в т. ч. электронным файлам, базам данных, архивным хранилищам и т. п.) без права изменения доступа. 4. Участвовать в совещаниях, проводимых в Компании, в т. ч. по собственной инициативе. 5. Привлекать сотрудников других подразделений для получения консультаций. 6. Привлекать внешних специалистов (физические и юридические лица) для осуществления функций ПМР с учётом имеющегося бюджета и в соответствии с положением о закупках. 7. Принимать участие в расследовании фактов нарушения охраны труда, промышленной безопасности, аварий, а также коррупционных проявлений. 8. Передавать результаты работы ПРМ в Службу безопасности для проведения дополнительных расследований. Относительно обязанностей, ответственности и взаимодействия с другими подразделениями, отметим следующее: 1) обязанности описываются функционалом; 2) ответственность традиционна для любого положения о подразделении; 3) взаимодействие с другими подразделениями описывается регламентами; 4) заключительные положения одинаковы для всех, само наличие раздела зависит от компании. Рассмотренных вопросов достаточно для нормального функционирования ПРМ. При этом следует помнить том, что УР – дело всех и каждого, а не конкретного подразделения. 26 27 ТЕМА 5. РЕГЛАМЕНТ УПРАВЛЕНИЯ РИСКАМИ В приведенном регламенте преследуются две цели: 1) обязать на некой регулярной основе обмениваться информацией и писать документы, сопутствующие процессу УР. Формы документов здесь не рассматриваются; 2) при принятии решений реализовать в процессе УР «принцип четырех глаз»: эффективность принятия решения зависит от другой пары глаз («контролирующей»). Для этого координатор. Он может оппонировать менеджменту, который традиционно видит риски в удобном для себя свете и который не всегда выгоден организации. В дополнении к стандарту ISO31000:2018 [4] рекомендуется почитать ГОСТ Р ISO/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» [6], который определяет взаимодействие подразделений, и из которого можно почерпнуть информацию для приложений к регламенту (например, методы оценки и др.). Общие положения 1. Целью настоящего регламента является определение порядка взаимодействия подразделений Компании при УР. 2. Исполнение данного регламента обязательно для всех сотрудников Компании. 3. Актуальная версия регламента размещена на интернет-сайте в папке «…». 4. Основные термины и определения приведены в ПУР. 5. Для настоящего регламента вводится понятие координатор – подразделение /специалист, ответственное за поддержку процесса УР. Анализ рисков 1. Комитет по рискам не реже одного раза в год пересматривает подходы к оценке риска, в т. ч. определяет критерии отнесения рисков к критическим, приемлемым и незначительным. 2. Анализ рисков (в т. ч. идентификация, расчет и оценка) выполняется, как минимум: 1) при принятии ключевых решений. Порядок анализа: 28 a) перед принятием ключевых решений документы, на основании которых принимаются решения, передаются координатору не позднее, чем за пять рабочих дней до рассмотрения; b) координатор оценивает качество анализа рисков в поступивших документах и не позднее, чем за два рабочих дня до рассмотрения, направляет письменную информацию по итогам оценки проведенного анализа лицам, принимающим решение. 2) в рамках регулярной деятельности. Все менеджеры Компании в рамках регулярной деятельности при выявлении новых рисков / необходимости изменения подходов к оценке существующих рисков информируют об этом координатора; 3) в рамках деятельности координатора. Порядок анализа: a) координатор на основании собственной методологии проводит дополнительные процедуры оценки рисков; b) координатор на основании всей имеющейся информации (в т. ч. полученной от менеджеров Компании и ВА) принимает решение о необходимости актуализации текущей оценки рисков. 3. Координатор поддерживает в актуальном состоянии реестр и карты рисков. Воздействие на риски 1. При определении метода воздействия на риск рассматриваются варианты, предусмотренные ПУР. 2. Решения о воздействии на риски могут приниматься: 1) одновременно с принятием ключевых решений на основании проведенной оценки рисков менеджментом Компании и заключения координатора; 2) одновременно с утверждением документов, регламентирующих деятельность Компании. Порядок принятия решения: a) перед утверждением документов, регламентирующих деятельность Компании, проекты документов направляются координатору; b) координатор в течение пяти рабочих дней письменно направляет свои предложения по учету рисков в документах, регламентирующих деятельность Компании; 29 c) лицо, утверждающее документ, регламентирующий деятельность Компании, имеет право не принимать предложения координатора. 3) в рамках регулярной деятельности Комитета по рискам. Порядок принятия решений: a) не позднее, чем за пять рабочих дней до заседания Комитета по рискам координатор направляет актуальный реестр рисков вместе с вариантами воздействия на риски; b) Комитет по рискам на очередном заседании принимает решения о воздействии на риски. 3. Координатор поддерживает в актуальном состоянии программу мероприятий по УР с текущими статусами исполнения мероприятий. 4. В программу мероприятий по УР включаются, в том числе, и мероприятия, рассмотренные при принятии ключевых решений. Мониторинг управления рисками 1. Координатор ежемесячно рассылает программу мероприятий по УР с актуальными статусами исполнения мероприятий. 2. Владельцы рисков и координатор имеют право вносить предложения по пересмотру программы мероприятий по УР путем направления координатору предложений. 3. Владелец риска не позднее пяти рабочих дней после окончания срока, указанного в программе мероприятий, предоставляет координатору отчет в произвольном виде о выполнении программы с приложением документов, обосновывающих отчет. 4. Координатор в течение пяти рабочих дней после получения отчета о выполнении программы мероприятий на основании представленного отчета имеет право: 1) подтвердить выполнение мероприятия; 2) не подтвердить выполнение мероприятия. В этом случае: a) при несогласии владельца риска вопрос о статусе исполнения выносится на Комитет по рискам; b) при согласии владельца риска срок выполнения мероприятия переносится. Новый срок выполнения определятся владельцем риска и координатором, в случае не достижения согласия окончательное решение принимается генеральным директором Компании; 30 3) передать подтверждение выполнения мероприятия другому подразделению по согласованию с Генеральным директором Компании. В этом случае Генеральный директор принимает окончательное решение о признании мероприятия выполненным. 5. Комитет по рискам на каждом заседании рассматривает исполнение программы мероприятий по УР. При этом: 1) координатор не позднее, чем за пять рабочих дней до заседания Комитета по рискам направляет: a) программу мероприятий по УР с актуальными статусами исполнения мероприятий; b) свод предложений по изменению программы мероприятий по УР. 2) Комитет по рискам может вносить изменения в программу мероприятий как по поступившим предложениям, так и по собственной инициативе. Мониторинг инфраструктуры и процесса риск-менеджмента 1. Мониторинг инфраструктуры и процесса РМ осуществляется не реже одного раза в год. 2. Руководитель ВА включает в план работы анализ инфраструктуры и процесса РМ на ежегодной основе. 3. Инициаторами изменения инфраструктуры и процесса РМ могут выступать: 1) 2) 3) 4) 5) 6) Совет директоров и его комитеты; Комитет по рискам; Генеральный директор Компании; руководитель ВА; владельцы рисков; координатор. 4. Инициаторы изменения инфраструктуры и процесса РМ в течение года направляют свои предложения координатору. Инициатор имеет право отозвать свои предложения до их рассмотрения в любое время. 5. Координатор: 1) ведет актуальный свод предложений инфраструктуры и процесса РМ; 31 по изменению 2) предоставляет свод предложений по изменению инфраструктуры и процесса риск-менеджмента не позднее пяти рабочих дней до заседания: a) Совета директоров – при наличии предложений об изменении ПУР; b) Комитета по рискам – при наличии предложений по изменению настоящего регламента. Заключительные положения 1. Регламент вступает в силу с момента издания приказа о его введении. 2. Изменения в регламент вносятся приказом Генерального директора Компании по итогам решения Комитета по рискам. 3. Для взаимодействия используются личные электронные адреса сотрудников с копией писем на официальный электронный адрес подразделения. Замечание. Регламент можно объединить с политикой. Но этого делать не стоит, т. к., Политика разрабатывается – для Совета директоров, а регламент – для исполнителей. Пример РУР для конкретной компании приведён в Приложении Г. 32 ТЕМА 6. РИСК-МЕНЕДЖМЕНТ. ВВЕДЕНИЕ Стандарты Проблема стандартов по РМ состоит в том, что они разработаны с акцентом на финансовые риски. Наиболее известными стандартами по УР являются: 1) стандарт FERMA (Федерация европейских ассоциаций рискменеджеров) [5]; 2) стандарт COSO ERM (COSO – Комитет организаций-спонсоров Комиссии Тредвея, ERM – Управление рисками). На русском языке в свободном доступе есть «концептуальные основы»: сайт – www.coso.org. Перевод COSO ERM расположен в закрытой части сайта Института внутренних аудиторов: сайт – http://iia-ru.ru; 3) стандарт ISO 31000 разработан Техническим комитетом «Менеджмент риска» Международной организации по стандартизации (ISO). Российским аналогом является ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство». В 2018 году вышла новая версия стандарта: ISO 31000:2018 [4]. Первым появился стандарт COSO IC IF. COSO очень любит всякие кубы (рис. 6.1). Более разумным является представление о процессе РМ, изображённое на рис. 6.2. Принципиальная схема УР по стандарту FERMA показана на рис. 6.3, а классификация рисков – на рис. 6.4. Стандарт FERMA не содержит акцента на отчетность организации в виде ключевой компоненты (например, природы риска), поскольку европейские риск-менеджеры (FERMA – их организация) выросли не из аудиторов отчетности, а из страховщиков и финансистов. Банкиры и страховщики выделяют в отдельную категорию финансовые риски и опасности. Все же остальные (и внутренние аудиторы, и COSO) росли из отчетности, поэтому в стандартах COSO в обязательном порядке встречаются цели в области достоверности отчетности и соответствия законодательству. 33 Рис. 6.1. Стандарт COSO IC IF Рис. 6.2 34 Рис. 6.3. Принципиальная схема управления рисками по стандарту FERMA Рис. 6.4. Классификация рисков по стандарту FERMA 35 Дальше творческий коллектив COSO нарисовали очередной кубик (рис. 6.5), написав стандарт COSO ERM (2004 год). Рис.6.5. . Стандарт COSO (версия 2004 год) Чтобы было понятно, откуда дополнительную картинку (рис. 6.6). взялись изменения – приведём В 2009 году Международная организация стандартизации (ISO) выпустила свой стандарт по управлению рисками. Документы ISO разрабатываются с точки зрения дела (а не продаж консультационных услуг), поэтому ISO31000:2009 – оптимальный стандарт с точки зрения соотношения объем / полезность. ISO внедрила принцип управления рисками и в наиболее известный в России стандарт ISO9000. При постановке риск-менеджмента лучше использовать FERMA, а ISO31000 – если в FERMA что-то не прописано. 36 Рис. 6.6. Основные идеи риск-менеджмента РМ – это один из важных инструментов в системе управления. Самое главное – это ранжирование рисков и, как следствие, концентрация управленческих усилий на наиболее важных проблемах и возможностях. Если спросить у руководителя либо владельца, какой для него самый существенный риск, он, скорее всего, ответит исходя из собственного субъективного взгляда на бизнес. И взгляд этот сильно зависит от того, с кем этот человек общается. Если общение в основном происходит с директором по маркетингу, то основные проблемы руководитель будет видеть в рынках. Если лицо, принимающее решения, часто проводит время в производственных совещаниях – то в старом оборудовании, инфраструктуре, качестве и т. д. Если же – с начальником кадровой службы, то скорее всего проблема будет – в кадрах. 37 РМ позволяет оценить, какой же из этих рисков может создать наибольшие проблемы для организации. И, направив усилия на ограниченное число наиболее значимых рисков, владелец сможет заниматься остальными, важным для бизнеса вопросами. Риск-менеджмент будет полезен в любом бизнесе. Каждый предприниматель независимо от масштабов бизнеса должен принимать решение с учетом рисков. Карту рисков можно сформировать для любого бизнеса. Часто причинами банкротства, особенно малого бизнеса, является непонимание возможных рисков. Возможности организации по УР сильно зависят от масштаба бизнеса. Для малого бизнеса карта рисков – это только осознание того, что ему грозит. При этом реализация многих рисков может привести к потере бизнеса. Средний бизнес имеет больше возможностей для УР. Например, по ограничению конкуренции в регионе, по снижению риска, связанного с отсутствием квалифицированного персонала, для установки дорогостоящей системы пожаротушения и др. Но ни малому, ни среднему бизнесу недоступны возможности, которые имеются у транснациональных компаний: влияние на государственные органы, поглощение конкурентов, перенос производств в другие страны и т. д. Именно поэтому, чем крупнее организация, тем полезнее для нее РМ. Большая часть книг по РМ содержит многоэтажные формулы. Однако, на практике самая большая формула, которая требуется, – это умножение вероятности на ущерб для расчета математического ожидания. И вот почему: опыт передовых компаний, попробовавших на себе множество подходов для идентификации, описания, анализа и снижения последствий («митигации») рисков, показал, что работает все это только тогда, когда всё, что связано с риском, описано и нарисовано просто, наглядно и выносится на обсуждение сжато: есть риск № 1, 2 и 3. Сотрудник с ним работает такто и так-то. Все. Правда, в финансовых организациях все обстоит гораздо сложнее. Ведь здесь речь идет преимущественно о бизнес-рисках. Вряд ли высокое руководство поймет, что надо радоваться, когда увидит, что VaR был 1 миллиард рублей, а стал 0,8. И неважно, сколько потратили на “митигацию”. Сам-то РМ абстрактен, большинство людей, даже с техническим образованием, не очень понимают, что такое вероятность, дисперсия и математическое ожидание. А VaR, конечно, понятен. РМ – штука не очень сложная, но долгая. Результаты управления стратегическими рисками Вы можете даже и не почувствовать. К примеру, ограничили риск-аппетит при развитии и бизнес в кризис выжил. В этом и есть прелесть РМ: любой бизнесмен на подсознательном уровне управляет рисками. Тем не менее, первых результатов вполне можно ожидать лишь 38 через год после начала осуществления мероприятий. При этом полностью избавиться от рисков невозможно. РМ необходим при принятии не только стратегических, но и тактических решений. Принятие решений без учета рисков может привести к значительным потерям, а хороший РМ делает бизнес более устойчивым. 39 ТЕМА 7. ИДЕНТИФИКАЦИЯ РИСКОВ Система управления рисками должна начинаться с идентификации рисков. Построить карту рисков можно примерно за 2 недели. Если про технологии анализа рисков можно прочитать в интернете, то информацию о том, что нужно запросить, и тем более перечень людей с темами для разговоров, найти непросто. Какие ключевые задачи при идентификации? 1. Определить, со сколькими картами рисков и на каком уровне мы будем работать. 2. Агрегировать потенциальные опасности в как можно меньшее количество рисков. Разумное количество – от 30 до 100 [1]. С хорошей вероятностью у риск-менеджера может оказаться база рисков самого разного авторства. Если база представляет из себя не некие универсальные формулировки для любого предприятия отрасли, а просто «направления поиска» с примерами рисков – это реально может помочь. Чем плохи базы рисков: есть шанс «пропустить» реальное изучение собственного бизнеса и объявить, что предприятию присущи только риски, которые есть в базе. В результате – мы будем работать не с рисками своего предприятия, а с рисками какого-то другого. То есть шанс пропустить что-то велик. В разных стандартах есть разные классификации. На самом деле любая классификация условна и в карту (реестр) рисков попадут все. Наиболее сложно разделить события, которые происходят при взаимоотношении с внешними контрагентами, между операционными рисками и рисками опасностей. Если договор заключен на невыгодных условиях, то, как правило, непонятно – это был злой умысел, или неверное управленческое решение на основе неправильной оценки ситуации. Большинство людей, связанных с РМ, в разные моменты времени могут отнести данный пример либо к неэффективности, либо к воровству. Зависит от последних проверок. Конечно, есть (морально устойчивые) люди, которые всегда скажут, что это воровство, но таких всё-таки меньшинство. Такое разделение для карты рисков, на самом деле, не очень важно. Если природа риска одинакова (недостаточный контроль), то следует рассматривать один риск. Соображения, высказанные выше, не относятся к рискам, имеющим одинаковое название, но по сути являющихся разными рисками: операционным и стратегическим. И для постановщика РМ очень важно не допустить смешения стратегических и операционных рисков. Иначе 40 менеджмент будет управлять только операционным риском, делая вид, что управляет стратегическим. Вот несколько примеров: 1) потерю доли рынка директору по продажам проще объяснить недостатком логистики, чем искать системные проблемы (хотя доставка также может быть важна); 2) проще повышать отпускные цены и говорить, что ниже себестоимости мы продавать не можем, чем искать новых клиентов, снижать постоянные расходы и заниматься разумным энергосбережением; 3) проще просить денег на уже начатые проекты, чем заранее рассчитывать потребности в финансировании на основании стратегии и, соответственно, отказываться от неэффективных проектов на стадии планирования и т. д. Такое отношение к РМ, то есть управление только операционными рисками в ущерб стратегическим, очень снижает его пользу для компании. Существует два принципиальных пути идентификации рисков. 1. «Сверху-вниз» – предусматривает формирование базы рисков, и потом их распределение между подразделениями. 2. «Снизу-вверх» – поиск рисков, связанных с деятельностью конкретных отделов. Второй подход подразумевает анализ рисков, которые возникают в текущей работе всех подразделений. Но в «неразвитых» структурах этот подход может не сработать: ведь в них возможны функциональные пробелы. Соответственно, нет функции, нет и риска. Но для огромных структур, к примеру, с численностью компании более 500 человек, второй подход безусловно более разумен. При применении первого может оказаться, что какое-то подразделение будет обделено, а здесь недалеко и до вопроса: «А чем оно, собственно, занимается?», если никаких рисков в его деятельности нет. Все риски можно разделить на два типа. К первому типу рисков относятся риски, в выявлении которых сотрудники всячески заинтересованы. Это риски, связанные с рыночной позицией компании, давлением всяческих государственных органов, нехваткой инвестиций, износом оборудования, ростом стоимости товаров и услуг, нехваткой квалифицированного персонала, низкой зарплатой и т. д. Эти риски сотрудники быстро выявляют и быстро рассчитывают / оценивают. 41 Второй тип рисков связан с неэффективностью работы организации. К примеру, возможную потерю доли рынка дешевле списать на конкурентов, а не на пробелы в маркетинге, возможную остановку производства по предписанию – на происки Ростехнадзора, а не на забывчивость при формировании инвестиционной программы, нехватку инвестиций – на их малое количество, а не на неэффективное расходование средств и т. д. Ни один разумный человек не будет себя оговаривать, особенно с учетом сложностей в определении потенциальных причин реализации того или иного риска. И для такого типа рисков риск-менеджер должен быть максимально внимателен и практически «не доверять» сотрудникам. На 100% это касается рисков, связанных с внутренним контролем. Выход – использование принципа «четырех глаз». 7.1. Методы идентификации рисков Стандарт FERMA разделяет технологии анализа и методы идентификации рисков. FERMA рекомендует рассматривать не только негативные риски, но и позитивные. Детальный анализ позитивных возможностей встречается редко. Действительно, над увеличением объема продаж думает каждый бизнес, над сокращением себестоимости – почти каждый, но вот строить дерево позитивных событий «вообще» сложно. Поэтому, если есть что-то явное, то в карту рисков оно должно попасть. Методы идентификации условно можно разделить на три вида. 1. Основанные на анализе бизнеса. 2. Основанные на анализе производства. 3. «Организационные» методы. 1. Методы идентификации рисков, основанные на анализе бизнеса Это традиционные методы, большинство из которых встречается не только в РМ. Каждый из методов определяет некоторые наборы подходов к поиску проблем либо же возможностей, которые, в свою очередь, могут привести к неким событиям. Представленные ниже методы можно использовать, в первую очередь, для идентификации стратегических рисков. 42 Рассмотрение каждого бизнес-процесса приводит, как правило, к выявлению операционных рисков, а планирование непрерывности бизнеса – к выявлению рисков опасностей. Рассмотрим основные методы данной группы. 1. SWOT- анализ (сильные и слабые стороны, возможности, опасности). Это традиционный метод. Грамотно выявленные опасности и есть негативные риски, а возможности – позитивные. Метод хорош при значительном углублении по сравнению с «типовым» SWOT-анализом. 2. BPEST-анализ (бизнес, политический, экономический, социальный, технологический) и PESTLE-анализ (политический, экономический, социальный, технологический, юридический, экологический). Тоже традиционные методы. Анализируются риски и возможности, связанные с каждым из аспектов, приведенных в названии. По итогам анализа возникает перечень угроз, которые могут помешать достижению целей. PESTLE-анализ можно расширить до STEEPLED (PESTLE + образовательный и демографический). В России последние два дополнения очень актуальны: бизнес должен быть обеспечен квалифицированным персоналом, с чем есть проблемы. Демографические данные можно найти на сайте Росстата. 3. Анализ сценариев. При разработке стратегии развития компании, естественно, рассматривают различные сценарии развития. Выбрать приемлемый с точки зрения риска вариант позволяет метод анализа сценариев. В нем последовательно рассматриваются все возможные комбинации и анализируются потенциальные риски, которые сопоставляются с ожидаемой доходностью. Метод используется при выявлении негативных рисков для определения событий, реализация которых в совокупности приводит к невозможности достижения стратегических целей. 4. Планирование непрерывности бизнеса. Метод основан на выявлении возможных проблем, которые могут привести к кризису, связанному с невозможностью осуществлять деятельность на тех же условиях, что и раньше. Существуют стандарты по планированию непрерывности бизнеса, к примеру, британский BS25999. В нем представлены типовые угрозы: эпидемии, пожары, наводнения, землетрясения, перебои в энергоснабжении, хакерские атаки, терроризм и т. д. Этот перечень не исчерпывающий, поэтому риск-менеджер должен проанализировать, что именно грозит 43 бизнесу. В России традиционно – это административное давление, PR-атаки, для небольших бизнесов – уход ключевых сотрудников и т. д. 5. Рассмотрение каждого бизнес-процесса. Это – самый эффективный способ для выявления операционных рисков. Основан на том, что все процессы подвергаются подробнейшему изучению на предмет «как бы чего не вышло» и «что может пойти не так». 2. Методы идентификации рисков, основанные на анализе производства Эта группа методов позволяет проанализировать любую сложную систему и выявлять риски опасностей. 1. HAZOP (исследование опасностей и функционирования). Исследование HAZOP – это процесс детализации и идентификации опасностей и изучение проблем работоспособности системы. При этом под системой подразумевается промышленный объект. Основная задача – найти потенциально опасные процедуры, которые могут привести к нарушению функционирования системы, например, к взрыву. 2. Анализ видов и последствий отказов. Метод предполагает рассмотрение всех возможных отказов и оценку их последствий. Для этого все возможные отказы классифицируются по величине последствий, и дальше следует их подробное рассмотрение. 3. Анализ дерева неисправности. Метод основан на анализе комбинаций событий нижнего уровня, которые могут привести к нежелательному состоянию. Рассмотрение идет сверху вниз для каждого из событий, то есть для определенного события, например, взрыва, рассматриваются все шаги, приводящие к нему. 3. «Организационные» методы идентификации рисков 44 1. Рабочие группы по оценке рисков. Самый эффективный метод для быстрого и успешного старта РМ. Таких групп должно быть несколько. Численность каждой не должна превышать 6-8 человек. Лучше вовлекать в такие группы «замов», т. к. собрать в одном месте всех главных специалистов бывает трудно (эти люди обычно очень занятые). 2. Анкетирование. Самый простой способ. Если удастся выявить 3-4 риска, то время потеряно не зря. Анкетирование может быть, как анонимным, так и индивидуальным. В последнем случае заполнение анкеты – повод поговорить с человеком. Форма анкеты может быть разной – от самой простой (название риска и его описание) до более сложной (например, оценка вероятности и величины ущерба, возможность управления риском и т. д.). Индивидуальное анкетирование позволяет сделать определенные выводы о понимании РМ участниками процесса. 3. Мозговой штурм. Традиционный прием. Может быть очень эффективен в случае сильной рабочей группы и мало эффективен, когда участники не очень понимают, «зачем это нужно». Применение возможно в случае сильного модератора. 4. Расследование причин события. Метод, основанный на анализе прошлого. Полезный метод для исключения повторного взаимодействия с известными рисками. 5. Аудит и инспекция. При наличии сильного внутреннего аудита и службы производственной безопасности и охраны труда риски можно идентифицировать на основе интервью с руководителем ВА. Резюме Можно использовать все рассмотренные выше методы идентификации. Часто для выявления 90–95 % рисков достаточно использовать STEEPLEDанализ с добавлением анализа рынков, анализа бизнес-процессов и мозгового штурма. 45 Методы, основанных на анализе производства, особенно полезны для страховщиков, которые в итоге определяют стоимость и условия страхования. Важно, чтобы результатом всей проделанной работы стало определение ключевых рисков и управление ими, а не написание многотомных противоречащих друг другу трудов, которые ставят любого исполнителя в затруднительное положение. 7.2. Получение информации о рисках Типовой консультантский информационный запрос при анализе рисков предприятия редко содержит менее двух страниц и что-нибудь всегда приходилось запрашивать дополнительно. Самое первое, что нужно узнать – это стратегия бизнеса. Отсутствие стратегии затрудняет выявление рисков: тяжело сказать, что ждет на пути, если не знать, куда идешь. Лучше, если стратегия формализована. Если же нет, то необходимо её узнать в ходе интервью. Отсутствие стратегии может привести к негативным последствиям: от потери рынков в результате распыления ресурсов до лишних трат на инновации. А разное видение развития, особенно среди собственников бизнеса, тоже может привести к значительным проблемам. Этой информацией обычно располагают в стратегических отделах. Понадобится маркетинговый обзор рынков, а также информация о специфике стран, в которых работает или планирует работать компания. Ситуация проста, если компания работает только в России. Если же компания – мировой игрок, то придется анализировать множество регионов. Такого рода обзоры должны быть в маркетинговом либо в стратегическом подразделении. В случае, если решение о запуске крупных проектов (покупка бизнеса, выход на новые рынки / новые ниши, инвестиционные программы и т. д.) уже принято, либо находится в процессе обсуждения, необходимо собрать всю информацию об этих проектах, начиная с итоговых публичных документов (к примеру, бизнес-планов) и заканчивая внутренними расчетами. При отсутствии элементов проектного управления необходимая информация, скорее всего, окажется распределенной между значительным количеством подразделений. В этом случае на первом этапе, скорее всего, достаточно только документов, на основании которых принимаются решения. 46 Однако при дальнейшей проработке существующих рисков будет необходимо не только собрать необходимую информацию, но и проанализировать процесс ее подготовки. Следующее, на что необходимо обратить внимание – это юридическая структура и схема финансово-хозяйственной деятельности (ФХД). Такие схемы должны быть у финансовых директоров. Если она «в голове» – обязательно попросите изобразить. К схеме ФХД будет полезным дополнительно попросить структуру материальных и финансовых потоков с указанием тонн, рублей и т. д. Желательно на эту схему взглянуть лично, то есть посетить предприятие, или, как минимум, запросить план расположения объектов. Финансовые потоки может изобразить финансист, а про материальные потоки с отражением на схеме предприятия лучше всего расскажет кто-нибудь в подчинении директора по производству либо главного инженера. Очень важно понимание системы управления, поэтому в обязательном порядке необходима информация о корпоративном управлении, организационно-функциональная структура и описание существующих процессов. Под информацией о корпоративном управлении подразумевается не только содержание регламента и положения (об общем собрании акционеров, о совете директоров и т. д.), но и персональные данные о ключевых фигурах. Организационно-функциональной структуры в требуемом виде, как правило, не существует, но есть организационная, а функции прописаны в положениях. Не обязательно анализировать положения о подразделениях, достаточно понять укрупненное распределение функций. В части процессов облегчить работу риск-менеджера поможет система менеджмента качества. На первом этапе будут нужны только наиболее важные процессы, остальные можно оставить «на потом». Если же процессы не описаны, то требуется напряженная работа по их пониманию. Необходимо запросить информацию об оборудовании: назначенный и фактический сроки службы, наличие предписаний надзорных органов, соответствие проектной документации и пр. Эта информация должна быть у главных специалистов (инженеров, механиков, энергетиков, метрологов и технологов). При необходимости потребуется запрос в архив. Также необходимо описание информационных систем, причем не только учетных, но и используемых в проектировании, хранении данных и т. д. Обязательна справка об имевших место происшествиях: начиная от «падения» сервера и заканчивая производственными авариями. Кроме того, могут оказаться полезными данные о системе бюджетирования, заключения как внешних, так и внутренних аудиторов (отчетности, экологических, процедурных, IT и пр.), дайджесты прессы и т. д. 47 Таким образом, узнать на самом деле нужно многое. Но в случае, если чего-то не предоставлено, это не останавливает процесс – все узнается в процессе интервью. Внимательное изучение существующих документов поможет подготовке к интервью, а также определить большое количество потенциальных рисков. Ниже, в качестве примера, приведен наименьший перечень информации, необходимой для идентификации рисков. Минимальный перечень информации, необходимой для идентификации рисков Требуемая информация На что обратить внимание Стратегия бизнеса Все аспекты (рынки, продукты, инновации, персонал и т. д.) Риски, выявляемые в SWOT и PEST (PESTLE, STEEPLED) – анализах Данные о регионе Специфика взаимоотношений власти и бизнеса Социально-экономическое положение Динамика развития Действия всех органов власти Отношение к бизнесу и потенциальным инвесторам Наличие региональных групп влияния. Бизнес-среда региона Планы по развитию региона Наличие или отсутствие необходимых для ведения бизнеса компонент инвестиционного климата Демографическая ситуация Ситуация с образованием Маркетинговый анализ Соответствие маркетинговой активности и достигнутых показателей стратегии развития Несоответствие стратегии бизнеса прогнозам развития рынков, в которых он функционирует Информация о проектах Учет рисков Глубина анализа Порядок принятия решений о запуске проектов Риски проектов Соответствие стратегии развития Аффилированность юридических лиц. Трансфертное ценообразование Отсутствие инвестиционной привлекательности Отсутствие защиты от поглощения Налоговые претензии и их последствия для активов и стоимости бизнеса Юридическая структура и схема ФХД 48 Что выявляется Организационнофункциональная структура Соответствие масштабу бизнеса Отсутствие функциональных пробелов Дублирование функций Проблемы СВК Риски системы управления Функциональные пробелы. Неверный выбор роли управляющей компании Информация о корпоративном управлении Соответствие законодательству Подробность документов Несоответствие требованиям регуляторов Отсутствие защиты от поглощения Регламенты процессов и процедур Информация об оборудовании Информация об информационных системах Аудиторские отчеты Распределение обязанностей Описание действий в нестандартных ситуациях «Дыры» во внутреннем контроле Неэффективность процессов и процедур Избыточность персонала Сроки службы (назначенные, фактические, порядок продления и т. д.) Аварии, отказы Опасности Несвоевременная замена (отсутствие инвестиций) Рост стоимости эксплуатации Порядок доступа Порядок резервирования. Максимальное количество пользователей системы Несанкционированный доступ к информационным системам Потеря данных (не только учетных) Нефункциональность АСУ Замечания, рекомендации, результаты их исполнения. Практически все (при квалифицированном аудите) 7.3. Проведение интервью Есть два варианта организации интервью. Вариант первый, когда риск-менеджер находится внутри организации – это предварительное интервью для знакомства с уточнением, как именно называются документы, потом запросы, потом углубленное интервью. Вариант второй, когда риск-менеджер внешний – это подготовка к интервью на основании анализа полученной информации. Естественно, что к интервью (финальному, если риск-менеджер находится внутри организации) желательно подготовиться. Подготовиться – это значит определить потенциальные риски, а задачей интервьюера должно стать получение у интервьюируемого их подробного описания. 49 В процессе интервью к предоставляемой информации нужно отнестись критически. Для упрощения задачи по проверке рассказанного составляется таблица, в которую включается перечень подтверждающих либо опровергающих источников информации. Для чего нужна эта таблица. Если спросить у начальника цеха, возможны ли хищения крупных партий готовой продукции, то ответ будет строго отрицательным. Однако если поинтересоваться у экономической безопасности, а также у директора по производству, то ответ может оказаться другим. Более того, иногда даже приведут данные о машинах, задержанных ГИБДД на выезде из области. Аналогично с персоналом: если интересоваться у службы персонала, есть ли проблемы с квалифицированными специалистами, то ответ будет «небольшие есть, но это текущие проблемы, решаемые в оперативном порядке». Поинтересовавшись в других подразделениях, можно услышать противоположное мнение, а именно «на работу ходить некому». Для обеспечения корректности данных о рисках в некоторых случаях необходимо использовать внешние источники информации. Типовой пример, связанный с рынками: по данным отдела маркетинга, рынок растет на 10 %, а по внешним данным – на 70 %. Ежегодный рост на 40 % в этих случаях может быть интерпретирован по-разному. Использование подхода, основанного на принципе «четырех глаз», позволит включить в рассмотрение значительно больше рисков, чем без него. При наличии времени для составления таблицы строго желательно поговорить практически с каждым начальником отдела. Ниже приведём пример таблицы, составленной по результатам проведённого интервью. Подразделение Примеры рисков Подтверждающие / опровергающие источники Усиление конкуренции Отсутствие новых продуктов (после окончания жизненного цикла старых) Несоответствующая технология Внешняя информация (прогнозы рынков, данные о новых продуктах, риски бизнес-среды и т. д.) Отдел маркетинговых исследований Отдел перспективных разработок Отдел перспективных разработок Потеря конкурентоспособности Отсутствие новых продуктов Внешняя информация (данные о новых продуктах) Отдел стратегического планирования Отдел маркетинговых исследований Отдел маркетинговых исследований Действия конкурентов Долгосрочное снижение маржи Потери рынков и ниш Внешняя информация (маркетинговые исследования) Отделы продаж Отдел стратегического планирования Отдел стратегического планирования 50 Отделы продаж Снижение выручки Снижение маржи Внешняя информация (маркетинговые исследования) Отдел маркетинговых исследований Отделы закупок Зависимость от поставщиков Невозможность обеспечения сырьем и материалами Рост цен Внешняя информация (маркетинговые исследования, ориентировочные данные о росте цен) Производственные отделы Производственные подразделения Службы главного инженера Директор по качеству Старение оборудования (нехватка инвестиций) Нехватка персонала. Несоблюдение нормативов расхода Рост расходов на ремонты Приостановление деятельности предприятия Те же (принцип «четырех глаз») Архив (документация на оборудование) Отдел персонала Планово-экономический отдел Отдел подбора персонала Нехватка персонала Старение персонала Трудовые споры Усиление профессиональных союзов Руководители производственных подразделений (производственный персонал) Руководители других подразделений (остальной персонал) Юридический отдел Отдел разработок Отдел АСУТП Несанкционированный доступ к информации Потеря информации Моральное старение АСУТП Замедление работы Некорректная работа КИП и ее причины Служба безопасности Планово-экономический отдел Бухгалтерия Дирекция по производству Службы главного инженера Юридический отдел Недружественное поглощение Потеря капитализации Текущие судебные споры Проблемы в учете обязательств Финансовый директор Главный бухгалтер Финансовый отдел Потеря ликвидности. Отсутствие контроля расходования средств Планово-экономический отдел Бухгалтерия Бухгалтерия Недостоверность отчетности Срыв сроков предоставления отчетности Налоговые претензии Внешний аудит Дирекция по внутреннему аудиту Падение эффективности бизнеса Планово-экономический отдел Недостоверность управленческой информации Директор по продажам Директор по снабжению Директор по логистике Производственные подразделения Директор по качеству Служба безопасности Злоупотребления сотрудников Хищения активов 51 Дирекция по внутреннему аудиту Отдел охраны окружающей среды Загрязнение окружающей среды Производственные Приостановление деятельности подразделения предприятия Отдел охраны труда и техники Несоблюдение правил ОТиТБ безопасности Производственные подразделения Следует сказать, что внутренний аудит может знать абсолютно всё и, более того, в соответствии со стандартами должен иметь некое видение рисков. Поэтому при постановке РМ необходимо начинать именно с внутреннего аудита, даже если он существует относительно недолго. При постановке РМ целесообразно использовать внутренних аудиторов как экспертов, которые, с одной стороны, независимы, а с другой – отлично представляют бизнес. Дополнительный совет по организации интервью: иногда целесообразно переговорить об общей картине с большим руководителем, а потом уточнять детали у начальников отделов. Кроме того, очень важно, чтобы владелец бизнеса либо его представитель озвучил наиболее беспокоящие риски. Возможно, они будут не самыми большими, однако его видение ценно: возможно, что он рынок понимает лучше, чем наемный менеджмент. 7.4. Поиск рисков Прежде, чем перейти к поиску рисков, необходимо определиться с количеством карт рисков. Это первоочерёдная задача при идентификации. Вопрос не столь прост, как может показаться на первый взгляд. Во-первых, большой бизнес представлен разными направлениями, продукты могут производиться на разных производствах даже в рамках одного предприятия и т. п. Во-вторых, у каждого бизнеса существуют несколько потенциально значимых проектов. Рассмотрим самый сложный случай, когда бизнес представляет собой несколько примерно равномощных (то есть не различающихся на порядок, например, по стоимости чистых активов либо прибыли) бизнеснаправлений. При этом владелец готов инвестировать как в эти, так и в другие направления. В этом случае целесообразно рассматривать отдельно риски по каждому бизнес-направлению и отдельно риски новых проектов. 52 Отдельный вопрос: как рассматривать риски проектов в существующих бизнес-направлениях. Рекомендация такая: если стоимость проекта невелика, либо проект связан с заменой оборудования без остановки производства, а инвестиционные решения приняты, то это – риски бизнеснаправления. Если же стоимость проекта сопоставима со стоимостью чистых активов существующего бизнеса, значительно изменяется конфигурация производства (к примеру, строится завод в чистом поле) либо требуется продолжительная остановка производства, то риски такого проекта необходимо рассмотреть отдельно. Кроме того, отдельно нужно рассмотреть риски на уровне всего холдинга. Для более простых случаев можно использовать те же рекомендации: одно бизнес-направление – одна карта рисков, включая риски небольших инвестиционных проектов, для больших проектов – отдельное рассмотрение. Все возможные риски можно разделить на риски холдингов, риски бизнес-направлений и проектные риски. Если формируется только одна карта рисков, риски нужно искать по всему потенциальному перечню. Если же карт будет несколько, нужно за основу взять один из списков, а «пограничные» риски отнести либо к проекту, либо к рискам бизнеснаправления. 7.5. Формирование итогового реестра рисков Сокращение количества рисков Самое важное при формировании итогового реестра рисков – это вторая задача, поставленная на этапе идентификации, а именно достичь оптимального количества рисков. Даже при анализе одного бизнес-процесса количество рисков может превысить сотню. Даже 50-ти рискам уделить внимание проблематично. Нижний предел количества рисков вряд ли будет меньше 20. С верхним пределом сложнее. Если рисков получилось больше 100, их необходимо укрупнить. «Свои» и «чужие» риски Наиболее распространенная проблема – это включение в реестр рисков «чужих» рисков. Поясним на примерах. Если бизнес представлен тремя арендованными магазинами, то нецелесообразно рассматривать риски макросреды. Конечно, вступление в ВТО, рост цен на нефть в мировом масштабе может опосредованно 53 отразиться на таком бизнесе. Однако на стоимость бизнеса он вряд ли повлияет существенно: эта стоимость скорее будет определена как мультипликатор к EBITDA, а влияние перечисленных факторов на текущие результаты такого бизнеса условны. Обратно, если бизнес достаточно большой и является крупным игроком на рынке, а компания является публичной, нецелесообразно рассматривать в качестве его рисков наложение штрафов за нарушение правил розничной торговли, повышение цены аренды в конкретном магазине и на установку ларька, торгующего товаром у ближайшей остановки транспорта. Для такого бизнеса явно существует что-то более значимое, и именно на это нужно обратить внимание. Фактически перечисленные события могут оказывать влияние на жизнь компании. Но риски целесообразно рассматривать немного по-другому: штрафы на конкретный магазин для нашего бизнеса – это не жалость потери 80 тыс. руб. (в отличие от ИП, который отдаст месячную прибыль от магазина), а репутационный риск, который может снизить покупательский поток по всей сети. Установка одного ларька нам бизнес не изменит, но вот «Усиление конкуренции» в целом – рассматривать, конечно, нужно. В общем, нужно рассматривать именно «свои» риски. А «штрафы за нарушение правил розничной торговли» и «усиление роли ларьков» лучше перенести в описание как один из возможных вариантов причин возникновения действительно важного для нас риска. Объединение рисков одной природы Эта процедура скорее близка к искусству, чем к ремеслу. Пример 1. Падения сотрудников предприятия со стремянок, наезды погрузчика на мирно идущих на обед работников и т. п. аналогичных происшествий нужно назвать «Травма сотрудника». Выбрав название, можно покрыть значительное количество более мелких рисков. Стоит отметить и то, что этот риск включает и другой риск, а именно несоблюдение техники безопасности. И хотя травмы в подавляющем случае происходят именно из-за несоблюдения правил ОТиТБ, рассматривать отдельно такой риск в случае, если он может привести только к травмам, не нужно. Пример 2. Каждый бизнес может быть проверен, поэтому можно рассматривать риски «претензий МЧС», «претензий СЭС», «претензий ФНС» и т. д. Однако причина претензий может быть разная: «по заказу» и «за дело». Первый вариант – это риск, связанный с оказанием на бизнес административного давления для целенаправленного снижения его 54 стоимости. Результатом проверки может стать приостановление деятельности предприятия. Для уменьшения числа рисков нужно рассмотреть отдельно именно его, то есть риск «препятствия со стороны органов власти» либо что-то под аналогичным названием. Второй вариант – это когда при проверках возможно возникновение обоснованных претензий, то есть когда деятельность компании даже в минимальной степени не соответствует утвержденным правилам. В этом случае, при сохранении рисков, связанных с административным давлением, можно рассмотреть и риски предъявления претензий со стороны конкретного органа. Результаты непредвзятой проверки совершенно не обязательно приведут к остановке предприятия. В описании рисков рискменеджер должен подробно объяснить, за что предприятие может быть наказано. Для этих целей идеально подходят отчеты внутреннего аудита с выявленными недостатками. Опять же, если по каждому из направлений любой проверяющий может потенциально приостановить деятельность, а компания привыкла откупаться от такого рода внешних проверок, можно и эти риски объединить и назвать «Проверки со стороны органов власти». Пример 3. Всё, что касается бизнес-процессов. Для каждого бизнеспроцесса есть рекомендации по укрупнению рисков для конкретной карты. Используя похожие алгоритмы, можно значительно сократить количество первоначально заявленных рисков. Формулировки и описание рисков Название рисков должно быть максимально коротким и понятным. Хотя бы из соображений удобства: карта рисков содержит легенду. Если риск будет называться «Выход на рынок иностранного конкурента с практически неограниченными финансовыми возможностями по сравнению с нашими, который сначала скупит маленькие производства, затем некоторое время будет демпинговать, отвоюет примерно половину нашего рынка за счет качества в высокодоходном сегменте и в итоге оставит нашему бизнесу только низкодоходный сегмент, где соревнование идет только за счет цены и обречет нас на медленную и верную гибель». Если наш бизнес ничего не предпримет, то на легенду такая сентенция явно не поместится. Поэтому для удобства необходимо давать рискам максимально короткое название, при этом из этого названия должно следовать однозначное понимание самого риска. В случае нашего примера риск нужно назвать «Выход на рынок иностранного конкурента». Назвать риск «Появление нового конкурента» или «Усиление конкуренции» будет не очень удобным. Причина – например, российский конкурент нам может быть и не страшен. Все последствия возникают 55 именно из-за наличия у иностранного конкурента. Значительного опыта и только финансовых ресурсов в данном случае будет недостаточно. Описание риска должно быть максимально подробным. Чем подробнее описание, тем проще в дальнейшем будет разрабатывать программу управления этим риском. Выбор названия для стратегических и операционных рисков Некоторые стратегические и операционные риски могут иметь одинаковое название. К примеру, если бизнес зависит от нескольких крупных клиентов (например, два из них обеспечивают 70 % выручки), то риск можно назвать «потеря крупного клиента». Однако причины стратегического и операционного риска будут разными. Стратегический риск потери крупного клиента возникает из-за усиления конкуренции, а причиной операционного риска, связанного с потерей крупного клиента является несовершенство бизнес-процессов. Если вы еженедельно срываете 10 % процентов поставок, большому клиенту это когда-нибудь надоест. Для того, чтобы не «потерять» риски в процессе управления, желательно их назвать по-разному. Например, «Потеря крупного клиента из-за усиления конкуренции» или «Потеря крупного клиента из-за несовершенства бизнеспроцессов». Выбор названия риска для частых либо произошедших событий Пример 1. Наблюдается падение добычи на старом месторождении в последние 2-3 года из-за отсутствия инвестиций. Факт, что падение продолжится. То есть риск «Падение добычи» будет иметь вероятность 100 %. Пример 2. Риск «ДТП» в большой логистической компании. Безусловно, в автотранспортной компании с сотней единиц техники можно рассматривать ДТП риском, однако вероятность того, что 100 машин в течение года не попадут в происшествие ни разу практически нулевая. Аналогично в случаях небольших производственных аварий, поломок оборудования, мелких хищений и т. п. они всегда будут. Чтобы не присваивать рискам вероятность в 100%, лучше рассматривать риски прогрессирующего падения добычи (то есть падения больше ожидаемого), роста ДТП, аварий, поломок, хищений по отношению «к достигнутому уровню». Именно это и будет риском. 56 Каноничным подходом в соответствии с COSO ERM является формулировка риска «как есть» и установление риск-аппетита. То есть, при рассмотрении рисков: «Падение добычи», «ДТП», «Аварии», «Поломки», «Хищения» одновременно устанавливаем риск-аппетит. Например, «допустимое падение добычи – 3 %», «количество ДТП – 20 в год без тяжелых травм», «количество внеплановых остановок производства – 2 раза в год не более 3 дней», «стоимость ремонтов – 100 млн. руб.», «хищения – не более 10 млн. руб. в год» и т. п. Такой подход допустим, но его тяжело отразить на карте рисков. Поэтому предлагается включить риск-аппетит в формулировку риска: «Падение добычи свыше 3%», «ДТП с тяжелыми травмами» и пр. Что делать при разных взглядах Возможна ситуация, когда одно подразделение, особенно потенциально ответственное за какой-нибудь риск, возражает против самого его наличия. Типичные примеры – это хищения либо закупки по завышенным ценам. Могут возникать сложности, например, в оценке действий конкурентов, в потере ликвидности и т. д. В этом случае можно поступить несколькими способами: Вариант 1. Попытаться прийти к консенсусу. Начать нужно с выслушивания аргументов противоположной стороны. Возможно мы оперируем неправильными исходными данными. Рискменеджер может предположить наличие риска на основании неполной информации, и уточнение исходной информации позволит это предположение опровергнуть. Далее следует продолжить диалог, попытаться уточнить формулировку риска. Может оказаться, что сотрудник на самом деле не видел риска именно в формулировке риск-менеджера, но не отрицал его существования. Ну и наконец можно использовать некие аргументы, основанные на природе риск-менеджмента, а именно: 1) никто никого не обвиняет, но «если бы на Вашем месте был другой человек», он бы мог злоупотребить; 2) мы говорим только о вероятностном подходе и не утверждаем, что это есть сейчас и обязательно произойдет в будущем, речь идет только о том, что оно все-таки возможно. Вариант 2. Выразить «особое мнение». То есть человеку, ответственному за формирование отчета по рискам и представляющему совету директоров карты рисков, не пытаться реализовать первый пункт, а, к примеру, в сносках указать на то, что он не согласен с существующей оценкой. 57 Формирование базы рисков Отдельно стоит упомянуть риски, которые уже имели место и в ближайшем будущем рисковое событие не должно повторится. Что будет в отдаленном будущем – пока непонятно. В этом случае не нужно «забывать» про такого рода риски, а необходимо включить их в некую базу. Это позволит не исключать эти риски из рассмотрения навсегда, а в какой-то момент можно будет их включить в общую карту. Само формирование базы – процесс длительный. Как правило, методы «наскока» позволяют выявить около 90–95 % рисков. Для первого раза, может и достаточно, но для управления действительно всеми рисками нужно будет стараться их выявлять в будущем. Формирование базы рисков – первый шаг на пути к тому, чтобы все риски в разумное время были выявлены, осознаны и управляемы. Контроль полноты сформированного реестра рисков Несмотря на то, что от первичной идентификации рисков не нужно ждать приближения к идеалу, больших ошибок все-таки лучше избегать. Для этого необходим свежий взгляд на сформированную карту рисков. Для контроля обеспечения полноты реестра рисков предлагается ответить на следующие вопросы: 1) есть ли про конкуренцию на уровне стратегии? 2) всё ли есть из STEEPLED-анализа? 3) всё ли есть из финансовых рисков? Если нет, то почему не включено? 4) есть ли риски по каждому из бизнес-процессов? Достаточно ли их? 5) не забыли ли про IT? 6) все ли группы опасностей есть в качестве одного из рисков в итоговом реестре? Если ответы разумные – реестр уже можно использовать. Применение данного нехитрого алгоритма позволит обеспечить приемлемую для первой карты рисков полноту. Как показывает практика, PESTLE-анализ (с вариациями в названии) – действительно мощный инструмент. 7.6. Пример перечня рисков условного предприятия 58 Приведём пример реестра рисков условного предприятия. Описание рисков в таблице приведено максимально короткое, т. к. за основу взято несуществующее предприятие. Краткие характеристики предприятия: достаточно большой производственный бизнес. Выручка – 5 млрд. руб. в год. Предприятие расположено в крупном городе и является монополистом в производстве некоторого изделия, которое может иметь разный типоразмер. № Наименование риска Краткое описание Стратегические риски 1 2 3 4 Выход на рынок иностранного конкурента Негативные последствия от вступления России в ВТО Усиление российских конкурентов Отсутствие новой продукции Иностранные изделия могут использоваться в России только в 30% самых простых случаев. Таким образом, потенциально иностранцы могут отвоевать до 20 % рынка На текущий момент действуют пошлины и квоты на иностранную продукцию, которые будут отменены через три года. Однако дальнейшие действия игроков рынка не полностью ясны, при выборе иностранной продукции по цене возможна потеря определенной маржи Существует два аналогичных завода, расположенных на Урале и в Сибири. Один из них перепрофилирован, но при покупке другого крупным игроком возможно усиление конкуренции. Однако основные потребители заинтересованы в наличии конкурентной среды, поэтому, несмотря на то, что цена на продукцию нашего завода уже на 20–25 % превышает стоимость других, усиление российских конкурентов вряд ли принесет очень большие проблемы В настоящее время широко используются изделия 4-ого поколения. Однако в мире уже появилось 5-ое поколение и идет разработка 6-ого. На основных рынках сбыта не готовы покупать 5-ое поколение, однако в будущем возможна ситуация быстрого перехода предпочтений потребителей. Наш НИОКР сосредоточен на доработке 4-ого поколения, 5ое поколение разработано только в виде проекта и не внедряется 59 № Наименование риска 5 Необходимость переноса производства 6 Неэффективные инвестиции Краткое описание Завод, в том числе литейный и гальванический цеха (вредные производства) расположен в промышленной зоне, но всего в 5 км от центра города. Вокруг идет массовая застройка коммерческой недвижимостью, и существует вероятность переноса производства (как минимум вредного) в новое место. Использовать полноценно земельный участок и находящиеся на нем строения не получится, так как большая часть завода – 1-2-3 этажные строения, являющиеся памятниками архитектуры. Кроме того, железнодорожная ветка находится на балансе ФГУП «ЗППП». Данный ФГУП уже фактически не функционирует в качестве производственного предприятия и железнодорожная ветка ему не нужна. Потеря ветки приведет к кратному росту затрат на логистику, кроме того, при введении дополнительных ограничений на проезд большегрузного автотранспорта возможны принципиальные ограничения на функционирование завода Инвестиционные решения принимаются спонтанно. Имелись случаи покупки вспомогательного производства, которые не привели к ожидаемому эффекту Средний возраст сотрудников НИЦ и КБ завода составляет более 60 лет, новая продукция давно не внедрялась. Отсутствует уверенность в том, что существующие сотрудники способны к эффективным НИОКР по новым продуктам, в частности, по изделиям 6-ого поколения. Качество подготовки молодых сотрудников в институтах упало, кроме того, большинство студентов профильных вузов не предполагают идти работать на производство. Результатом этого может стать невозможность осуществления НИОКР собственным путем 7 Разрушение системы НИОКР 8 Невозможность найма квалифицированных рабочих ПТУ в городе прекратили подготовку рабочих основных рабочих специальностей. Средний возраст рабочих составляет около 50 лет. При их физическом уходе существует риск возникновения значительных проблем с поиском замены Усиление профсоюза На заводе работает более 2 тысяч работников, при этом профсоюз стал активизироваться в последнее время. Это может привести к необходимости четкого соблюдения ТК РФ и невозможности сокращения персонала 9 10 Незаинтересованность менеджеров в реализации стратегии Стратегия сформулирована в письменном виде и утверждена советом директоров. Однако система сбалансированных показателей отсутствует. Мотивация менеджмента завязана только на текущие финансовые показатели и имеются случаи, когда при выборе между стратегическими и тактическими целями приоритет был отдан последним Финансовые риски 60 № 11 Наименование риска Валютный Краткое описание Долгосрочные экспортные контракты (продолжительностью 1– 2 года), в том числе контракты со странами СНГ (около 30 % в общей выручке) номинированы в долларах США. При падении курса возможны потери из-за курсов валют Кредитный Специфика взаимоотношений на рынке определяет условия отсрочки платежа на 90–120 дней после поставки. Фактически оплат приходится ждать около полугода. Таким образом, существует значительный кредитный риск 13 «Ножницы цен» В структуре себестоимости около 30 % приходится на энергозатраты и металл. При наличии риска и ухудшении положения потребителей возможно возникновение «ножниц цен» 14 Налоговые претензии Вывод всей прибыли еще год назад осуществлялся через технические фирмы. Из налоговой инспекции сообщили, что грядет выездная проверка 15 Увеличение стоимости ведущегося строительства Новый цех вспомогательного производства строится без проектно-сметной документации. Плановые затраты, по мнению начальника отдела капитального строительства, могут быть значительно превышены 12 Операционные риски На заводе отсутствует корректный расчет маржинальной рентабельности продукции. Поэтому менеджмент принимает решение только на основании собственных представлений о бизнесе и преимуществах того или иного продукта 16 Недостоверность управленческой отчетности 17 Заключение невыполнимых договоров На этапе заключения договоров отсутствует контроль возможностей производства. В недавнем прошлом предприятие выплачивало штрафы за срыв поставок 18 Недополучение выручки от продаж Утвержденный прайс-лист отсутствует. Говорить об откатах вряд ли приходится, так как продукция важна для потребителей и решение в подавляющем большинстве случаев принимает собственник либо главный наемный менеджер. В процессе торговли цены снижаются до 15–20 % 19 Рост расходов на устранение производственного брака В настоящее время расходы на устранение производственного брака составляют около 2% от выручки. Однако в связи с усложнением продукции возможен значительный (в 2–3 раза) рост расходов Неэффективность НИОКР НИОКР осуществляется, однако изделие 5-ого поколения до сих пор не готово. При этом в изделие 4-ого поколения вкладывается 80 % средств, выделяемых на НИОКР, а эти работы не приносят финансово либо качественно ощутимых результатов 20 61 № Наименование риска Краткое описание 21 Рост неликвидов В результате постоянно меняющихся спецификаций к изделию периодически на складе возникают неликвиды. Кроме того, часто при заказе по-прежнему используются вагонные нормы поставки необходимых МТР, которые в большинстве случаев предприятию не нужны 22 Невозможность сокращения избыточного персонала После комплексной реконструкции одного из цехов высвободилось около 300 человек. В настоящее время эта численность является избыточной, однако сократить их невозможно из-за активности профсоюза 23 Неэффективная автоматизация Автоматизирована только бухгалтерия. Сейчас в начальной стадии есть проект комплексной автоматизации, при этом предполагается, что будет выбрана ERP-система. Готовности к автоматизации нет 24 Уход топ-менеджера Система управления регламентирована слабо (за исключением организационной структуры и формальных положений о подразделениях, должностных инструкций и неинформативных регламентов СМК). Уход каждого из топменеджеров, начиная от директора по продажам и заканчивая главными инженером и бухгалтером приведет к необходимости восстановления целой подсистемы управления 25 Война с миноритариями Пакет акций около 30 % находится на руках у населения. В настоящее время производится скупка этого пакета неизвестными структурами Риски опасностей 26 Пожар Крупный пожар может привести к приостановке деятельности предприятия на срок до 0,5 года 27 Отключение электроэнергии Отключение электроэнергии на 6 часов и более приведет к выходу из строя электропечей. Продолжительность ремонта составит не менее 3 месяцев 28 Откаты Общая сумма потенциально конкурентных закупок составляет 1,9 млрд. руб. в год. (сырье и материалы, строительство, услуги). Тендерные процедуры отсутствуют 29 Потери интеллектуальной собственности Хранение документации в КБ и НИЦ не организовано должным образом ни в бумажном, ни в электронном виде. Заявки на патенты подаются с опозданием. Это приводит к возможности потерь интеллектуальной собственности Хищения Территория предприятия объединена с территорией другого бывшего завода, который прекратил свою производственную деятельность и сдает помещения в аренду. Автомобили арендаторов по сложившимся взаимоотношениям не досматриваются на выезде. Потенциально это может привести к хищению активов предприятия 30 62 № Наименование риска 31 PR-атака 32 Недружественное поглощение Краткое описание PR-атака может привести как к ухудшению имиджа на рынке, так и в городе, что может привести как к потерям в продажах, так и ускорению сроков вывода предприятия из города Корпорация «Роснанотехнологии» рассматривает этот актив как интересный объект. Обратим внимание, например, на риск № 3. С одной стороны, он вроде, как и никакой (проблем не ожидается). С другой стороны, риск нужно учитывать. Это пример разумного описания риска. Также целесообразно сравнить риски № 8 и № 19. Сформулировано так, что они не пересекаются. Выбрано два риска, так они имеют разную природу: риск № 8 связан с квалификацией персонала (даже для существующего поколения изделия недостаток квалифицированного персонала может оказаться существенным), а причина риска № 19 – усложнение продукции (риск будет даже при отсутствии проблем с квалификацией персонала). ТЕМА 8. РАСЧЁТ И ОЦЕНКА РИСКОВ Расчет рисков в разных стандартах описан по-разному. FERMA разделяет расчет и оценку рисков. В терминологии FERMA расчет рисков – это присвоение значений вероятности и ущерба, а оценка – это сравнение с неким приемлемым заранее заданным уровнем. COSO ERM не содержит раздела по расчету рисков, а сразу переходит к оценке. Большинство менеджеров употребляет слово «оценка» именно как расчет FERMA рекомендует отдельно оценивать вероятность и ущерб. COSO ERM допускает оценку влияния в целом. При подходе FERMA можно составить карту рисков, а отобразить приемлемость или неприемлемость риска на карте не получится (разве что просто отразить в «красной зоне»). В дальнейшем, мы будем рассчитывать риски с точки зрения FERMA. COSO ERM предлагает достаточно много примеров расчета, но они подходят для конкретных рисков. Что полезно в COSO ERM, так это введение понятия «присущего» и «остаточного» риска. Такие определения содержатся и в ISO 31000. 63 8.1. Подходы к расчету рисков Стандарт FERMA рекомендует три подхода: качественный, полуколичественный и количественный. В качественном подходе значения присваиваются на уровне много / мало, больше / меньше, сильнее / слабее и т. д. Можно использовать разные (по числу делений) шкалы. Типовыми являются шкалы 3х3 и 5х5. Их примеры приведены в таблице: Вероятность Ущерб 3х3 Низкая / Средняя / Высокая Незначительный / Средний / Значительный 5х5 Очень низкая / Низкая / Средняя / Высокая / Очень высокая Незначительный / Приемлемый / Средний / Большой / Очень большой. Названия в каждой из шкал можно менять. Безусловный плюс такого подхода – это простота и понятность для большинства. Безусловный минус – непонятно, как впоследствии оценивать риски: что для нас опаснее – риск с большой вероятностью и незначительным ущербом либо же наоборот. Кроме того, при использовании качественного подхода в рамках трех и даже пяти делений шкалы возможно возникновение ситуации, когда одинаково оцениваются совершенно разные риски. К примеру, к очень большому ущербу может быть отнесена потеря бизнеса и крупная авария, которая обойдется только в 10 % от активов, а к очень низкой вероятности могут быть отнесены пожар и падение воздушного судна на наш объект, хотя пожар явно будет случаться чаще. Поэтому качественный метод целесообразно применять только от безнадежности. В полуколичественном подходе значения присваиваются в рамках заданных интервалов. Как и в качественном подходе, можно использовать разные (по числу делений) шкалы. Возможные шкалы вероятности описаны в стандарте. Наибольший интерес представляет выбор шкалы для оценки последствий, в частности, ущерба. Здесь возможны разные варианты. Первый вариант основан на выборе шкалы исходя из стоимости компании. оцененной каким-либо образом. Если компания публичная, то это, естественно, капитализация, если непубличная – либо оценка одним из экспертных методов (EBITDA, умноженная на диапазон от 3 до 7), либо же в расчет принимается стоимость чистых активов. Соответственно, выбирается пара (или больше) значений, скажем, 5 % и 20 % от стоимости 64 чистых активов. Если стоимость активов равна 100 ед., то расчет последствий риска состоит в том, чтобы определить, в какой из интервалов этот риск попадет: [0 ед.; 5 ед.], (5 ед.; 20 ед.] или (20 ед., +∞). Второй вариант основан на выборе шкалы исходя из какой-либо прибыли компаний: EBIT, EBITDA, валовая прибыль, чистая прибыль и т. д. В этом случае выбирается два значения. Например, в качестве первого значения – 10 % от чистой прибыли. В качестве второго – желательно всегда использовать прибыль целиком (100 %). Это позволит отделить риски, которые очень значимы (их реализация приведет к убыткам за год) от менее значимых. Третий вариант – это когда два первых варианта комбинируют. К примеру, берут в качестве первого значения 10 % от EBITDA, а качестве второго – 10 % от оценочной стоимости бизнеса. Четвёртый, часто применяемый вариант – использование логарифмических шкал. Это могут быть интервалы [0; 10), [10;100), [100; 1000), [1000; 10000), (10000; +∞) и аналогичные. Полуколичественный подход, очевидно, точнее, чем качественный, и в этом его главное преимущество. Он позволяет более точно оценивать риски. Однако полуколичественный подход во многом сохраняет недостатки качественного, особенно при выборе логарифмической шкалы: в рамках одного значения ущерба могут оказаться риски, убытки от которых различаются почти на порядок. Количественный подход наиболее прост в описании и сложен в применении. При его использовании каждому риску присваивается численное значение вероятности (в виде процента либо частоты события) и ущерба, оцененного в денежном выражении. Сложен метод по простой причине – рассчитывать риски бывает непросто. Именно в этом главный минус количественного подхода. Отметим, что для последствий и вероятностей можно использовать разные подходы. К примеру, вероятность рассчитывать количественно, а ущерб качественно или же наоборот, что чаще случается на практике. 8.2. Методы и особенности расчета рисков Все методы расчета рисков можно разделить на экспертные, статистические и расчётно-аналитический. При использовании экспертных методов значения вероятности и ущерба определяются на основании мнения специалистов. Например: 65 1) опросы (либо устные, либо письменные). По их результатам определяется вероятность и величина ущерба: рассчитываются либо средние, либо медианные значения. В случае не анонимного опроса, каждому из экспертов можно присвоить свой вес и расчёты вести с учетом этих весов; 2) привлечение экспертов для расчета конкретных рисков. Это наиболее эффективно при оценке стратегических и производственных рисков (операционные риски, опасности). Существенная проблема применения экспертных методов – квалификация самих экспертов. Внутренние эксперты могут сознательно либо подсознательно искажать реальную картину, а внешние эксперты – не столь хорошо разбираться в бизнесе. Преимущество экспертного метода в том, что с его помощью можно присвоить значения вероятности и ущерба любому риску. Кроме того, грамотно подбирая экспертные группы, можно добиться хоть какого-то результата. Для этого нужно обеспечить, с одной стороны, независимость экспертов, а с другой – их квалификацию. Хотя бы условную. Экспертный метод применяется при недостатке и ненадёжности имеющейся информации. При правильной организации экспертного исследования можно добиться высокой достоверности получаемых результатов. Недостаток метода: высокая стоимость и большие затраты времени. По возможности лучше использовать статистические методы. Статистические методы расчёта риска хорошо работают на больших объемах информации. Они возникли из финансовых бизнесов: банковских, страховых, фондовых. Такой статистики там много. Однако их можно применять и в других секторах экономики, для расчета других (не только финансовых) рисков: последствий опасностей (в частности, аварий), операционных рисков (при часто повторяющемся количестве операций: срыв сроков исполнения заказов, взаимоотношения с потребителями), а иногда и для стратегических рисков (к примеру, для расчета рисков венчурных проектов). Небольшая проблема – по операционным рискам редко имеется статистика в агрегированном виде, на ее сбор необходимы дополнительные трудозатраты. Но если есть принципиальная возможность собрать статистику – лучше попробовать. Расчётно-аналитический метод базируется на теоретических представлениях о риске, например, на законе распределения изучаемой случайной величины. 66 Использование данного метода на практике затруднено, поскольку, как правило, априорная информация о риске отсутствует. Стандарт FERMA дает (измерению) последствий: следующее рекомендации по расчету Финансовые последствия не превысят X. Существенное влияние на стратегическое развитие и деятельность организации Высокий Существенная обеспокоенность заинтересованных лиц Средний Низкий Финансовые последствия находятся в пределах X и Y. Умеренное влияние на стратегическое развитие и деятельность организации. Умеренная обеспокоенность заинтересованных лиц Финансовые последствия ниже Y. Слабое влияние на стратегическое развитие и деятельность организации. Слабая обеспокоенность заинтересованных лиц Данные рекомендации универсальны как для позитивных, так и негативных рисков. Для экспертного метода можно использовать прямой и косвенный методы расчеты. Прямой метод основан на расчете последствий риска аналогично методу расчета прямой себестоимости продукции. К примеру, расчет последствий крупной производственной аварии осуществляется путем суммирования прямых и косвенных затрат: 1) прямые затраты: a) b) c) d) e) прямые потери сырья и материалов; затраты на восстановление работоспособности оборудования; затраты на локализацию (ликвидацию) и расследование аварии; затраты на ликвидацию экологического ущерба; потери при выбытии людей. 2) косвенные затраты: a) потери из-за разрыва технологических цепочек; b) неисполнение контрактных обязательств; c) ущерб третьим лицам. Тщательно посчитав прямые затраты и оценив косвенные, можно выйти на достаточно точную сумму ущерба от аварии. Опять же, можно, исходя из некой статистики, именно для риска последствий крупной производственной аварии взять страховые выплаты по 67 аналогичным авариям и попытаться получить данные о том, насколько размер выплат соответствовал фактическому ущербу компаний. Аналогичные методы расчета ущерба можно применить и для других рисков. Косвенный метод расчета последствий риска основан на экспертных мнениях о чем-либо, либо на статистике. К примеру, уже упомянутый риск значительной производственной аварии можно не рассчитывать столь подробно, как при прямом расчете. Это связано с тем, что в случае публичной компании, когда капитализация бизнеса может в разы превышать стоимость чистых активов, уничтожение даже 25 % основных средств влияет на стоимость компании меньше, чем негативная реакция игроков фондового рынка. Прямой расчет дает точные затраты именно на ликвидацию последствий аварии. Однако инвесторы испугаются не аварии, которую, может быть, к началу торгов уже устранили, срыва поставок не произошло, риск был застрахован и т. д. Инвесторы испугаются только того, что в бизнесе что-то может пойти не так. Тот же ущерб от крупной производственной аварии можно косвенно рассчитать, как падение капитализации бизнеса на 10–15 %. При этом прямой расчет тоже не пропадет: он может быть использован при страховании. Но после передачи риска страховщику прямой расчет будет интересовать Совет директоров значительно меньше по сравнению с косвенным. Разница в расчете стратегических и операционных рисков Принципиальная разница между стратегическими и операционными рисками – стратегические в подавляющем большинстве случаев снижают стоимость бизнеса, а операционные – влияют на текущий финансовый результат. Несмотря на то, что стоимость бизнеса часто рассчитывается от текущих финансовых результатов (5 × 𝐸𝐵𝐼𝑇𝐷𝐴), противоречия здесь нет. Стратегический риск снижает эту самую EBITDA в долгосрочной перспективе, мероприятия носят долгосрочный характер. Операционный риск снижает EBITDA в краткосрочной перспективе (хотя, может быть, и не на один год), но ущерб виден быстрее и устранить этот риск можно быстрее. Неопределенность при расчете последствий При расчете последствий рисков, особенно проектных, возникает ряд неопределенностей. Эти неопределенности, как правило, замечают именно сотрудники, которым Вы будете представлять результаты, и хорошо, если 68 это будет не совет директоров. Поэтому нужно заранее обосновать свою позицию по некоторым вопросам, приведенным ниже. Хотя вопросы принципиального значения для РМ не имеют, ответы на них будут полезны с точки зрения демонстрации собственного понимания проблемы. Во-первых, нужно ли применять дисконтирование при расчете рисков (как позитивных, так и негативных)? Ведь при долгосрочном планировании дисконтирование используется практически всегда. И, к примеру, риски снижения рыночной доли и, соответственно, маржи, можно достаточно точно просчитать по годам. А если есть потери по годам, то любому экономисту скорее всего, захочется дисконтирование применить. С другой стороны, снижение этой рыночной доли и, соответственно, маржи, произойдет на рынке, прогноз развития которого может быть не очень понятен, и дисконтирование чего-то, рассчитанного не на очень твердой основе вроде и нецелесообразно. Во-вторых, при привязке какого-нибудь показателя из отчетности (прибыль, стоимость чистых активов), возникает неопределенность: какой показатель взять за основу – прошлогодний либо же прогнозный? С одной стороны, прошлогодний подтвержден аудитором. С другой стороны, особенно к концу года, уже достигнутый показатель может значительно отличаться от прошлогоднего. Таким образом, при расчете рисков возможны искажения. В-третьих, нужно ли учитывать, что реализация риска в разное время может привести к разному ущербу? Например, задержка проекта по причине нехватки рабочей силы на стройке на разных стадиях финансирования. Если внешнее финансирование строительства еще не началось (к примеру, котлован строится за счет собственных средств), то и ущерб будет не очень большим. Если же освоено почти 100 %, то задержка с вводом в строй на полгода может привести чуть ли не к катастрофическим последствиям. С другой стороны, рассматривая риски на каждом из этапов проекта, можно перейти в очень нетривиальные расчеты и всё равно не попасть. Другой пример связан с сезонностью: задержка фуры с косметикой, ожидаемой к 1 марта и к 1 мая, явно приведет к разным последствиям в части замораживания капитала. Приведём несколько признаков оптимального выбора. Дисконтирование применять нецелесообразно в случае, если в других расчетах дисконтирование не используется. К примеру, стоимость бизнеса определена на основании капитализации, а не на основании доходного 69 подхода. То есть ответ простой: если есть возможность продисконтировать все, то это можно сделать, если же такой возможности нет, то все нужно просчитать в текущих ценах. Отметим, что взаимное расположение на карте рисков сохранится одинаковым и в том, и в другом случае. Аналогичный совет и в случае выбора показателей отчетности: если текущая отчетность содержит все необходимые показатели, а доверие к ней большое, то можно взять текущую отчетность, если же наоборот, то лучше использовать прошлогоднюю. Кроме того, в начале года актуальность прогнозных показателей значительно меньше, чем прошлогодних. А для учета временных параметров можно рассмотреть два или более рисков вместо одного, особенно в случае проектов. Либо же воспользоваться механизмом, позволяющим интерпретировать разные вероятности и ущербы одного и того же риска. Расчёт вероятности Стандарт FERMA разделяет расчет для негативных и позитивных рисков. Расчет вероятности негативных рисков (опасности): Расчет Описание Показатели Высокая (вероятно) Вероятность наступления каждый год, или более 25 % вероятность данного события Возможность наступления события – несколько раз за промежуток времени (например – за десять лет). Данное событие недавно имело место Средняя (возможно) Имеется вероятность наступления в течение десяти лет, или менее 25 % вероятность данного события Возможность наступления события – более одного раза за промежуток времени (например – за десять лет). Контроль над событием может быть затруднен в результате внешнего влияния. Данное событие имело место в прошлом Низкая (Маловероятно) Малая вероятность наступления события в течение десяти лет, или менее 2 % вероятность данного события Не происходило в прошлом. Малая вероятность наступления Расчет вероятности позитивных рисков (возможности): Расчет Описание Показатели 70 Высокая (вероятно) Средняя (возможно) Высокая вероятность достижения благоприятного исхода в течение года, или более 75 % вероятность данного события Достаточная уверенность в существовании возможности наступления события в краткосрочном периоде, при использовании текущих управленческих процессов Умеренная вероятность достижения благоприятных результатов в течение года, или 25–75 % вероятности данного события Наступление данного события возможно, но требует тщательного управления. Возможности, которые могут возникнуть помимо плана Некоторая вероятность достижения благоприятного Низкая исхода в среднесрочном периоде, (маловероятно) или менее 25 % вероятность данного события Предположительная возможность, требующая дополнительных исследований со стороны руководства. Маловероятная возможность, при текущем состоянии применяемых управленческих ресурсов Приведенные таблицы для негативных и позитивных рисков можно объединить. Для этого можно рассмотреть обратный негативному позитивный риск, который будет состоять в том, что негативное событие не произойдет. Таким образом, возникают следующие интервалы для расчета вероятности негативных рисков: 1) 0–2 %. Малая вероятность наступления события в течение десяти лет, событие не происходило в прошлом; 2) 2–25 %. Вероятность наступления события в течение десяти лет существует, событие имело место в прошлом; 3) 25–75 %. Событие может происходить несколько раз за 10 лет, событие недавно имело место; 4) свыше 75 %. Избежать события в течение года практически невозможно. Наиболее простая интерпретация этих точек для расчета вероятности негативного риска – перейти на соответствие «раз в N лет». К примеру, если негативное событие происходит раз в 5 лет, то ему стоит присвоить значение вероятности в 20 %, если раз в 10 лет – то 10 %, если раз в 2 года – то 50 %, если 3 случая за 4 года – 75 % и т. д. Интуитивно понятно, что если мы хотим учесть последствия этих рисков при финансово-экономическом планировании и сформировать резервы на их покрытие, то в приведенных случаях нам будет нужно ежегодно откладывать 20 %, 10 %, 50 % и 75 % от потенциального ущерба. Именно такая интерпретация наиболее понятна для большинства людей, при этом она подводит всех к интуитивному пониманию математического ожидания. 71 Эта же интерпретация говорит о том, что если событие происходит ежегодно, то значение вероятности составляет 100 % и событие не нужно рассматривать как риск, а затраты на его покрытие нужно запланировать исходя из его стоимости. Существуют Методические указания по проведению анализа риска опасных производственных объектов, утвержденные постановлением Госгортехнадзора России № 30 от 10.07.01. Во многом эти указания основаны на методах идентификации рисков, вытекающих из анализа производства. Однако, в части оценки вероятностей эти указания применять не рекомендуется. На крупных предприятиях постоянно происходят аварии с разной тяжестью последствий. Знакомство с декларацией промышленной безопасности, скорее всего, покажет, что вероятность даже самой вероятной аварии будет в районе 10-2. В соответствии с документом это попадает в классификацию «вероятный» и «возможный». Однако в идеологии РМ это означает: примерно раз в сто лет. При этом нет примера предприятия, которое бы 100 лет прожило без крупной аварии. Соответственно, математическое ожидание при такой оценке будет рассчитано неправильно, а выводы в части управления рисками будут неверными. Расчёт математического ожидания Традиционный вопрос связан с тем, что делать, если один и тот же риск может реализовываться с разной вероятностью и разными последствиями. К примеру, в одном и том же аэропорту раз в два года (вероятность 50 %) водитель аэродромного тягача при осуществлении буксировки воздушного судна совершает аварию. Как правило, ничего страшного (для самолетов): меняют элементы оперения либо ставят заплатку на фюзеляж и самолеты летят дальше. Однако раз в 10 лет (вероятность 10 %) такой случай приводит к необходимости капитального ремонта воздушного судна. Соответственно, претензии пострадавшая авиакомпания предъявляет уже существенные. В этом случае можно рассмотреть математическое ожидание данного риска, то есть просуммировать произведение вероятностей на ущерб. Например, в результате «легкого» столкновения выплата составляет 3 миллиона рублей, а в случае «тяжелого» –она увеличивается еще на 50 миллионов. Тогда математическое ожидание будет равно: 3 млн. руб. × 50 % + 50 млн. руб. × 10 % = 6,5 млн. руб. 72 То же самое касается и других рисков. При этом в математическое ожидание можно включать не только негативные риски, но и позитивные. Скажем, при расчете последствий от изменения рыночной ситуации будет существовать вероятность позитивного риска. К примеру, пока конкуренты неуклонно ведут борьбу в корпоративном секторе, мы сможем откусить кусок пирога в розничном. Предположим, что для какого-то риска потенциальный ущерб составит 100 млн. руб. с вероятностью 30 %. Однако реализация этого же риска может привести и к получению дополнительной маржи в 50 млн. руб. с вероятностью, например, 25 %. Тогда, математическое ожидание такого риска: 100 млн.руб.×30 % – 50 млн.руб.×25 % = 17,5 млн. руб. Если разница будет отрицательная, то риском объявлять событие, скорее всего, не нужно. Расчет проектных рисков Предлагается метод, в основу которого при расчете рисков положено разделение денежной и временной составляющей проекта [1]. Дело в том, что при осуществлении проекта значительное количество проблем возникает не с деньгами, а со сроками. Так, вряд ли разработка проектно-сметной документации либо же пусконаладочные работы потребуют увеличения финансирования по сравнению с заключенными договорами. Однако задержка в выдаче документации на год и пусконаладочных работ на полгода явно отразится на показателях проекта. При использовании данного метода для каждого риска рассчитываются: 1) вероятность возникновения риска и денежный ущерб при его реализации; 2) возможные задержки (в месяцах, годах) при реализации проекта и вероятность возникновения таких задержек. Использование метода на этапе расчета рисков отменяет необходимость переводить все временные задержки в денежные. По итогам рассмотрения рисков можно скорректировать затраты проекта (на суммарное математическое ожидание денежной составляющей) и изменить сроки реализации (как суммарное математическое ожидание возможных задержек). Исходя из полученных значений необходимо будет пересчитать показатели эффективности проекта (NPV, IRR и пр.). 73 Для расчета проектных рисков, по возможности, следует использовать не только негативные риски, но и позитивные риски. Например, законодательство о поддержке инвесторов может быть изменено как в худшую (произойдет отмена льготы по налогу на имущество), так и в лучшую (налог на прибыль будет отменен на 4 региональных процента не в течение 3, а в течение 5 лет) сторону. 8.3. Расчёт рисков условного предприятия Для расчёта рисков нам понадобятся следующие данные. 1. Стоимость компании. В идеале выражается капитализацией. В случае непубличной компании для расчёта можно использовать: a) формулу: стоимость компании = стоимость чистых активов + мультипликатор × × EBITDA – долг. Мультипликатор зависит от отрасли. Для промышленных предприятий он обычно равен 3–5. Некоторые рассчитывают стоимость бизнеса без учета стоимости чистых активов; b) доходный, затратный и сравнительный подходы. 2. Данные о рынках в числовом выражении (емкости, доли) и прогнозы по этим показателям. 3. Показатель EBITDA. 4. Маржинальная рентабельность по видам продуктов, позволяющая оценить потери от снижения выпуска. 5. Структура себестоимости продукции (сырье и материалы, топливо и энергия, амортизация, зарплата, начисления и т. д.). 6. Прогнозы по разным типам инфляции (индексы потребительских и промышленных цен, цен на электроэнергию и т. д.). 7. … 74 Перечень неокончательный. Для расчета рисков пригодится практически вся численная информация, содержащаяся в информационном запросе о рисках. К сожалению, для бизнесов возможно наличие рисков, превышающих стоимость бизнеса. Типовой риск – недружественное поглощение. Стоимость потерь может превышать стоимость бизнеса: помимо того, что бизнес пропадет, возможно, владельцу придется что-то уплачивать дополнительно. Но есть и более традиционные риски, в частности, изменение технологии (придумана технология, позволяющая получать сходную продукцию по себестоимости в разы ниже), невозможность привлечения финансирования (закрытие фондирования в середине проекта), санкции и т. п. В этом случае можно присваивать значения вероятности и ущерба, а можно и не присваивать. Это – отдельные риски, которые должен рассматривать лично владелец бизнеса. Исходные данные для расчета рисков условного предприятия Для расчета рисков нам будут необходимы следующие показатели финансовой отчетности: 1) выручка бизнеса – 5 млрд. руб. в год. Так как арендаторы приносят незначительную сумму в выручке, то для упрощения расчетов считаем, что бизнес исключительно производственный; 2) покупка сырья и материалов – 1,7 млрд. руб. в год; 3) стоимость топлива и энергии – 0,6 млрд. руб. в год; 4) численность сотрудников – 2 000 человек; 5) средняя заработная плата – 50 тыс. руб. в месяц; 6) зарплата и начисления – около 1,5 млрд. руб. в год; 7) косвенные расходы – 0,2 млрд. руб. в год; 8) EBITDA – 1 млрд. руб. в год; 9) амортизация – 0,5 млрд. руб. в год; 75 10) объем СМР (строительно-монтажных работ) за год – 0,6 млрд. руб. в год; 11) запасы сырья и материалов – 0,9 млрд. руб. в год; 12) стоимость чистых активов (зданий и земельного участка) – 1 млрд. руб. Стоимость невысока по причине наличия памятников архитектуры и невозможности увеличения полезных площадей в разы за счет строительства на имеющемся земельном участке современной коммерческой недвижимости. Стоимость бизнеса можно оценить в 6 млрд. руб. (стоимость зданий и земельного участка + 5×EBITDA, долгов практически нет). При оценке предполагается, что постоянные расходы составляют ¼ от общих расходов (примерно 1 млрд. руб.), остальные расходы переменные (60 коп. на рубль продукции). Точка безубыточности составляет около 2,5 млрд. руб. в год. Результаты расчёта рисков условного предприятия приведены ниже в таблице. 76 № Наименование риска Вероятность, % Ущерб, млн. руб. Метод расчета ущерба Стратегические риски 1 Выход на рынок иностранного конкурента 40 2000 Снижение выручки на 20 % (снижение EBITDA до 0,6 млрд. руб.) и соответствующее снижение стоимости бизнеса 2 Негативные последствия от вступления России в ВТО 10 1500 Снижение EBITDA на 30 % и соответствующее снижение стоимости бизнеса 3 Усиление российских конкурентов 4000 Перераспределение заказов в пользу конкурентов, потеря 40 % выручки (снижение EBITDA до 0,2 млрд. руб.) и соответствующее снижение стоимости бизнеса 4 Отсутствие новой продукции 1000 Снижение выручки на 20 % в течение года из-за временного перераспределения заказов (до запуска серийного производства) в пользу других компаний 5 Необходимость переноса производства 2000 Остановка производства на полгода (при сохранении постоянных затрат) + косвенные расходы в размере прямых потерь 6 Неэффективные инвестиции 700 Стоимость приобретения ненужного актива во вспомогательном производстве (актив был куплен за 700 млн. руб.) 7 Разрушение системы НИОКР 25 5000 Лицензионные отчисления в размере 20 % от выручки при сохранении всех затрат (падение EBITDA до 0) и соответствующее снижение стоимости бизнеса 8 Невозможность найма квалифицированных рабочих 60 400 Рост расходов на устранение брака в 5 раз (с 2 до 10 % от выручки) 9 Усиление профсоюза 75 200 Рост выплаты сотрудникам в среднем в размере 100 000 рублей в год 10 Незаинтересованность менеджеров в реализации стратегии 80 600 Снижение стоимости бизнеса на 10 % 40 20 15 35 77 Финансовые риски 11 12 Валютный Кредитный 20 25 150 Потери, рассчитанные как потери валютной выручки (30 %) из-за падения курса доллара в течение года на 10 % 800 Банкротство крупнейшего потребителя продукции и возникновение безнадежной дебиторской задолженности 500 Краткосрочный рост стоимости металлов и энергетики (30 % от себестоимости) на 40 % в течение года, который невозможно переложить на потребителей 13 «Ножницы цен» 14 Налоговые претензии 70 900 Недоплаченный налог на прибыль за последние 3 года (срок налоговых претензий) плюс пеня и штрафы 15 Увеличение стоимости ведущегося строительства 95 180 Рост запланированных затрат по строительству цеха (600 млн. руб.) на 30 % 10 Операционные риски 16 Недостоверность управленческой отчетности 90 100 Снижение маржи на 10 % из-за неверного расчета себестоимости 17 Заключение невыполнимых договоров 40 160 Штрафные санкции по крупному контракту в размере 20 % от стоимости 18 Недополучение выручки от продаж 80 250 Потеря 5 % от выручки в какойлибо год 19 Рост расходов на устранение производственного брака 60 200 Рост брака в 3 раза (на 4 % от выручки) 20 Неэффективность НИОКР 70 120 80 % от средств, затрачиваемых на НИОКР (в основном – зарплата 200 сотрудников НИЦ и КБ) 21 Рост неликвидов 40 500 Рост запасов в 3 раза с последующим списанием 25 % + стоимость денег (10 % годовых) 22 Невозможность сокращения избыточного 80 110 Выплата средней зарплаты (с начислениями) в размере 300 тыс. руб. в год 300 сотрудникам 78 персонала 23 Неэффективная автоматизация 50 300 Стоимость контракта на автоматизацию предприятия 24 Уход топ-менеджера 70 600 Снижение стоимости бизнеса на 10 % 25 Война с миноритариями 1800 Необходимость выкупа пакета акций в 20 % по завышенной в 1,5 раза цене (рассчитанной из стоимости бизнеса) 60 Риски опасностей 26 Пожар 2 2000 Потеря маржи за 0,5 года + потеря стоимости зданий и оборудования + косвенные потери в размере 0,5 млрд. руб. 27 Отключение электроэнергии 5 1000 Потеря маржи за 0,25 года + стоимость восстановления оборудования 28 Откаты 75 240 10 % от стоимости потенциально конкурентных закупок Необходимость покупки отдельных лицензий и патентов на производство в размере 5 % от выручки (снижение EBITDA до 0,5 млрд. руб.) и соответствующее снижение стоимости бизнеса 29 Потери интеллектуальной собственности 40 2500 30 Хищения 80 45 31 PR-атака 15 1200 Потеря стоимости бизнеса на 20 % 32 Недружественное поглощение 10 6000 Стоимость бизнеса 5 % от стоимости запасов Дополнительно потребовалось: оценка косвенных потерь при переносе производства, размер брака, оценка стоимости пакета акций и т. д. 79 8.4. Оценка рисков Оценка рисков необходима для принятия решений о значимости рисков. Другими словами, после оценки риска мы должны определить, можно ли принять последствия существования данного риска или необходимо предпринимать шаги по изменению ситуации. Это устанавливается путем сравнения проведенного расчета риска с критериями, установленными компанией. Стандарт FERMA говорит о том, что критерии рисков могут включать в себя: 1) связанные затраты и выгоды, то есть финансовые последствия реализации того или иного риска. Последствия могут быть как с «плюсом» (выгоды), так и с «минусом» (затраты). Этот критерий является основным; 2) правовые требования; 3) социально-экономические факторы; 4) экологические факторы; 5) ожидания заинтересованных сторон, то есть лиц, групп лиц или организаций, которые могут либо влиять на риск, либо считать себя подверженной его влиянию. Заинтересованные стороны – это клиенты, владельцы, сотрудники, поставщики, банкиры, профсоюзы, партнеры, общественность и т. д.; 6) … Если посмотреть на проведенный в примере расчет, то его результаты можно сравнить только с одним, первым критерием (про связанные затраты и выгоды). Это сделано сознательно. Конечно, можно рассчитывать каждый риск по очень значительному количеству критериев. Карта рисков будет трех-четырех мерной, однако это неудобно для анализа. Именно поэтому в подавляющем большинстве случаев каждое выявленное ожидание переводится в денежное выражение. Оценка рисков состоит в том, что мы сравниваем математическое ожидание каждого риска с денежным значением приемлемости. На карте рисков граница приемлемости отображается одной линией, которая называется линией толерантности. Само же значение приемлемости должен определить Совет директоров. 80 Если Вы считаете, что несколько рисков в деньгах не измеряются – вынесете их на рассмотрение отдельно. Существует определенный набор возможных показателей, которые в том или ином виде используются при определении линии толерантности. Традиционные показатели: 1) 2) 3) 4) стоимость компании; стоимость чистых активов; какая-нибудь прибыль (EBITDA, валовая прибыль, маржа и т. д.). численное значение. Выбор выражается в определении процента от предложенных параметров, который, по мнению Совета директоров (риск-менеджера), не окажет значительного влияния на деятельность компании. Например, потеря 5 % капитализации, 5 % от стоимости чистых активов, 20 % от валовой прибыли, либо же 50 млн. руб. для бизнеса с выручкой в 1 млрд. руб. вряд ли приведут к значительному изменению финансового положения, либо же необходимости изменения стратегии компании. Поэтому предложенные значения можно использовать для определения толерантности к риску. На самом деле выбор толерантности можно комбинировать: например, считать приемлемыми риски со значением ущерба меньше 10 млн. руб. А риски с ущербом более 20 % от капитализации считать неприемлемыми вне зависимости от их вероятности. Но это частные случаи, применение которых на карте рисков проявится геометрическим изменением линии толерантности. Отметим, что линия толерантности – один из вариантов определения риск-аппетита в COSO ERM. 81 ТЕМА 9. ВИЗУАЛИЗАЦИЯ РИСКОВ Чтобы представить информацию о рисках в удобной для собственника и Совета директоров форме, результаты расчета отображают в виде карты рисков. Правда, риск-менеджеру это не нужно, потому что Excel удобнее. Стандарт FERMA про карты рисков ничего особо не рекомендует, а в стандарте COSO ERM есть отдельный тезис про риск-аппетит и примеры простейших карт. Простейшая карта рисков Самая простая карта рисков – это отображение выявленных рисков в матрице 2×2 или 3×3 (можно 4×4 и даже 5×5). Такая карта используется, если расчёт сделан качественным либо полуколичественным методом. Здесь каждый риск отображается в соответствующем квадрате матрицы. На рис. 9.1 изображена карта для полуколичественного расчета, однако и для качественного расчета она будет выглядеть примерно также. В качестве шкалы использовались следующие значения: 1) по вероятности – низкая (менее 25 %), средняя (от 25 до 75 %), высокая (свыше 75 %); 2) по ущербу – малый (до 200 млн. руб.), большой (от 200 до 1200 млн. руб.) и критический (свыше 1200 млн. руб.). Рис. 9.1. Простейшая карта рисков (полуколичественный расчёт) 82 Шкалы по ущербу приведены исходя из 20 % от EBITDA и 20 % от стоимости бизнеса соответственно. В данном случае это сделано только для того, чтобы карта рисков была красивой. Линию толерантности на такой карте можно проводить по-разному, но, как правило, ее проводят по линиям сетки. Вариантов немного, два представлены на рис. 9.2. Возможны и другие комбинации. Рис.9.2. Нанесение линии толерантности на карте рисков Карта рисков с логарифмической шкалой Следующий вариант – это карта рисков с логарифмической шкалой (рис. 9.3). Она удобна тем, что риски на ней распределены относительно равномерно. Основная линия толерантности (сплошная линия) – это 20 % от стоимости чистых активов (200 млн. руб.). Дополнительная (пунктирная) линия толерантности – это 10 % от EBITDA (100 млн. руб.) Как уже было сказано, эти числа можно выбрать другими. Сама линия толерантности представлена в виде кривой линии. При построении этой и последующих карт рисков каждый риск помещается на карту в соответствии со своим рассчитанным значением. 83 Рис. 9.3. Карта рисков с логарифмической шкалой Проблема карты с логарифмической школой состоит в том, что риски, расположенные на одинаковых расстояниях, различаются на порядок. К примеру, расстояние между риском № 3 и № 17 больше расстояния между риском № 3 и № 21 чуть больше, чем в полтора раза. Однако риск № 3 по ущербу больше риска № 21 в 8 раз, а риска № 17 – в 25. Обычная карта рисков Обычная карта рисков – это карта рисков с линейной шкалой (рис. 9.4), на которую помещены все риски. Удобство этой карты состоит в том, что она отражает абсолютно все риски в реальном масштабе, то есть риски, расположенные рядом, отличаются не очень сильно. Обратим внимание на линию толерантности: на всех картах риска с линейными шкалами она будет представлена гиперболой, потому, что вероятность × ущерб = const, и вероятность будет обратно пропорциональна ущербу. Линии толерантности на рис. 9.4 – такие же, как в предыдущем примере (рис. 9.3). Неудобство карты с линейной шкалой состоит в том, что основная доля рисков расположена в левой части, то есть по карте они распределены неравномерно. На практике больше всего рисков располагается в левых верхнем и нижнем углах карты. 84 Рис. 9.4. Карта рисков с линейной шкалой Такая картина рисков имеет следующее объяснение: 1) с наличием риска в правом верхнем углу бизнес долго не живет. Максимально возможный ущерб – это стоимость бизнеса. Если, например, есть риск с вероятностью выше 50 %, который сопоставим по ущербу со стоимостью бизнеса, то в терминологии РМ это означает: через два года стоимость бизнеса может резко упасть (вплоть до нуля); 2) риски в правом нижнем углу – это глобальное потрясение для бизнеса, их много быть не может; 3) риски в левом верхнем углу – это реальная жизнь бизнеса, поэтому их много. Вероятность высокая, то есть рисковые события могут происходить каждый год, но потери относительно небольшие (принципиально не влияют на капитализацию); 4) риски в левом нижнем углу – это потенциально незначительные опасности. Чем тщательнее идентификация, тем больше таких рисков. Выкидывать их вроде и не нужно, но серьезно они не беспокоят. Наиболее наглядная карта рисков 85 Карта рисков, изображённая на рис. 9.4 отражает часто встречающийся в России риск недружественного поглощения (риск № 32). Ущерб от такого риска может превысить стоимость бизнеса, соответственно. Предыдущая карта (рис. 9.4) наглядно отображает только существенные риски. Изменив масштаб карты по оси ущерба, можно устранить присущую ей неравномерность и сделать её более наглядной. Для примера рассмотрим два возможных варианта. Вариант 1. Для выбора более удобного масштаба, который позволит наглядно отобразить все риски, можно использовать следующий алгоритм: на карте рисков в реальном масштабе должно быть отображено 85–90 % рисков. Максимальное значение ущерба в шкале должно соответствовать максимальному значению ущерба от риска без учета 10–15 % самых значительных рисков. В нашем случае это означает, что необходимо отбросить 3 – 4 риска. Т. е., максимальное значение ущерба будет равно либо 2, либо 2,5 млрд. руб. В результате, выбрав более удобный масштаб, появляется возможность все риски на карте отобразить более равномерно (рис. 9.5). Рис. 9.5. Наглядная карта рисков (вариант 1) Вариант 2. Нужно рассмотреть две карты в разных масштабах: первая карта – карта с рисками, находящимися выше линии толерантности; вторая – с рисками, находящимися ниже линии толерантности. Особенности отражения рисков с разной вероятностью или разными последствиями 86 В данном случае возможны три варианта: 1) отображение на карте каждого риска со всеми его возможными значениями; 2) для отображения мы используем среднее либо какое-нибудь другое значение риска. Например, отображаем риск N’ со значением вероятности 30 % и значением ущерба 6,5 млн. руб. / 30 % = 21,67 млн. руб., либо риск N’’ со значением ущерба 28 млн. руб. и вероятностью 6,5 млн. руб. / 28 млн. руб. = 23,2 %. Такой способ отображения позволяет визуально определить, лежит этот риск выше или ниже линии толерантности; 3) используются оба вышеперечисленных способа, при этом разбиение общего риска показывается стрелочками. Карта проектных рисков Можно визуализировать и проектные риски. Особенно это наглядно в случае нескольких вариантов: для каждого из рассматриваемых вариантов формируются две карты рисков: первая – это возможные задержки по срокам (в этом случае вертикальная ось – это месяцы), вторая – это возможное увеличение бюджета (вертикальная ось – рубли). Набор рисков при этом одинаков для каждого варианта проекта. Пример сравнения для проектных рисков приведен на рис. 9.6. Какой вид карты выбрать Безусловно, вид карты рисков будет зависеть от выбранного способа расчета вероятности и ущерба. Если применяется полуколичественный либо качественный расчет рисков, то очевидно, что следует использовать только простейшую карту. Она недостаточно информативна, но для быстрого формирования карты рисков годится. Впоследствии желательно все-таки перейти к численному расчету вероятности и ущерба. 87 Если используется количественный расчет вероятности и ущерба, то карту рисков можно выбрать любую. Она для должна быть удобна и наглядна для членов Совета директоров и руководства. Существуют варианты рассмотрения различных рисков в разных масштабах. Например, стратегические риски, как правило, значительно больше по потенциальному ущербу, чем операционные и финансовые. Поэтому их лучше рассмотреть на разных картах. Более того, чтобы повысить наглядность такого рассмотрения толерантность для стратегических рисков следует определить в привязке к стоимости бизнеса, а толерантность для операционных рисков – в привязке к EBITDA либо другой прибыли. В этом случае последствия для капитализации и текущих результатов будут видны лучше. Таким образом, основным при выборе вида карты рисков является удобство рассмотрения, которое зависит не только от людей, но и от рассчитанных значений. В зависимости от бизнеса ключевыми могут стать либо стратегические, либо операционные риски. Первый случай связан с устойчивым и отлаженным бизнесом при наличии, например, определенных проблем на рынке. Второй – если у бизнеса есть внутренние проблемы. Универсальных рекомендаций по виду карты рисков дать невозможно, но выбор относительно невелик. Часто на этом заканчивается постановка РМ: картинки красивые, Совету директоров понравилось, даже какие-то решения приняты. На самом деле это только один из шагов к СУР. Дальше мы рассмотрим действия, позволяющие использовать красивые картинки с максимальной пользой для дела. 88 Рис. 9.6. Карта проектных рисков Построение карты рисков в Microsoft Excel В консультационных проектах иногда изображают карты рисков вручную в Power Point буквально за 10–15 минут, вместе с красивыми кружочками и легендой. Но ручной труд методологически неправилен, так как повышает вероятность ошибки. Поэтому лучше все-таки сделать карту рисков в формате Microsoft Excel. Из существующих типов диаграмм в Microsoft Excel рекомендуется использовать пузырьковую и точечную (XY-диаграмму). На рис. 9.7 показана карта рисков условного предприятия, выполненная в Excel 2016. В предыдущих версиях сделать автоматическую нумерацию не получается. 89 Рис. 9.7. Карта рисков условного предприятия, выполненная в Microsoft Excel 2016 Последовательность действий в Microsoft Excel следующая. 1. Создаем диаграмму. При этом выбираем по оси абсцисс – ущерб, по оси ординат – вероятность. В качестве имени ряда в источнике данных добавляем номера рисков. Для пузырьковой диаграммы дополнительно рассчитываем долю математического ожидания каждого риска в общем математическом ожидании. Целесообразно использовать именно этот параметр, так как размер должен отражать что-то новое, а привязка к ущербу или вероятности приведет к банальности в виде того, что чем правее и выше риск, тем больше кружочек. Отметим, что для правильного размера кружочков риски должны быть независимыми друг от друга. 2. Добавляем подписи данных. Помещаем подписи сверху ряда. В качестве подписи отображаем номера рисков. Чтобы кружочки были одинаковыми по размеру, номера рисков с 1 по 9 заменяем на текстовый формат « 1», « 2» и т. д. 3. Опционально оформляем диаграмму: добавляем название, подписываем оси, выбираем градиентную заливку, добавляем логарифмическую шкалу по ущербу, украшаем ряды данных и пр. Рассмотрим, какие дополнительные проблемы приходится решать при автоматическом построении карты рисков в Microsoft Excel. 90 1. При одинаковых или близких по значению рисках следует отобразить только один из них (например, на картах рисков условного предприятия не видны риски под № 9 и № 22). Для этого: a) немного изменить исходные данные, то есть вместо двух рисков с вероятностью 50 % и ущербом в 100 млн. руб. нарисовать риски с вероятностями 48 и 52 % и ущербом 96 и 104 млн. руб.; b) дорисовывать кружочки руками; c) или же увеличить размер диаграммы (как в рассматриваемом случае, когда нет одинаковых рисков по вероятности и ущербу). 2. Линия толерантности в виде линии в автоматическом режиме не отражается. Варианты решения: a) использовать градиентную заливку. В Microsoft Excel 2016 она автоматически принимает нужные цвета (особенно красиво выглядит, если по ущербу поставить логарифмическую ось); b) или же дорисовывать линию руками. 3. Для наиболее наглядной карты рисков кружочки с рисками, не попадающими на карту, необходимо дорисовать руками; 4. Практически невозможно вставить в легенду названия рисков. На самом деле это проблемой не является, так как автоматические средства Microsoft Excel не очень экономно расходуют пространство в диаграмме. В результате диаграмма при печати оказывается мельче, чем могла бы быть. Несмотря на указанные недостатки, задача построения карты рисков выполнена. Пользоваться ею можно если не для представления уважаемым людям, то в качестве контрольной процедуры – точно. 91 ТЕМА 10. РАЗРАБОТКА МЕРОПРИЯТИЙ ПО УПРАВЛЕНИЮ РИСКАМИ Стандарт ISO31000 [4] определяет следующие виды мероприятий по УР (в терминологии стандарта – обработки рисков). 1. Избегание риска путем решения не начинать или не продолжать деятельность, приведшую к риску. 2. Взятие на себя риска или повышение его уровня, чтобы использовать возможности. 3. Уничтожение источника риска. 4. Изменение вероятности. 5. Изменение последствий. 6. Распределение риска с другой стороной или сторонами (включая контракты и финансирование риска). 7. Обоснованным решением принятие на себя страхового риска. Для негативных последствий обработка рисков (виды мероприятий по УР) можно классифицировать как «уменьшение рисков», «устранение рисков», «избегание рисков» и «редукция рисков». Версия FERMA [5] выделяет 4 типа мероприятий: контроль риска, мероприятия по предупреждению риска, передачу риска и финансирование риска. Раньше в FERMA в приложении были включены также определения из стандарта ISO/IEC Guide 73 с перечнем терминов. Сохранился перевод того времени. 1. Контроль рисков. Действия по реализации решений, относящихся к управлению рисками. Контроль рисков может включать мониторинг, переоценку и соблюдение принятых решений; 2. Оптимизация рисков. Процесс, связанный с риском, направленный на минимизацию негативных и оптимизацию позитивных последствий и соответствующих вероятностей: 1) в контексте безопасности, оптимизация рисков направлена на снижение риска; 2) оптимизация риска зависит от критериев риска, включая затраты и правовые требования; 3) могут рассматриваться риски, связанные с контролем рисков. 3. Снижение риска. Действия, направленные на уменьшение вероятности, негативных последствий или обоих этих факторов. 4. Смягчение последствий риска. Ограничение любых негативных последствий события. 92 5. Избегание риска. Решение не участвовать в ситуации, связанной с риском, или выйти из такой ситуации. Решение может быть принято на основе оценки риска; 6. Передача риска. Разделение с иной стороной бремени убытков или выгод от доходов, относящихся к риску: 1) правовые или нормативные требования могут ограничить, запретить или санкционировать передачу некоторых рисков; 2) передача риска может осуществляться посредством страховых и иных соглашений; 3) передача риска может привести к образованию новых или изменению существующих рисков; 4) перемещение источника риска не является передачей риска. 7. Финансирование риска. Выделение средств на покрытие расходов на осуществление мероприятий по управлению рисками и связанных с ними расходов. В некоторых отраслях термин «финансирование риска» относится только к выделению средств на покрытие финансовых последствий риск. 8. Удержание риска. Принятие бремени убытков или выгод от доходов, относящихся к определенному риску: 1) удержание риска также относится к рискам, которые еще не были идентифицированы; 2) удержание риска не включает в себя мероприятия по УР, такие как страхование или иные виды переноса риска; 3) степень принятия и зависимости от критериев риска может варьироваться. 9. Принятие риска. Решение принять риск: 1) глагол «принять» используется в этом случае в своем основном словарном значении; 2) принятие риска находится в зависимости от критериев риска. COSO ERM, обобщая лучшие практики, использует следующую классификацию: избегание риска, снижение риска, передача риска, принятие риска. По поводу финансирования рисков – есть разные подходы (кто-то считает, что это только страхование, кто-то – что это всё, кроме страхования). 93 10.1. Типовые мероприятия 1. Избегание риска – это решение не участвовать в ситуации, связанной с риском, или выйти из такой ситуации. Примеры избегания риска: 1) продажа актива. Если совет директоров признает какой-либо актив, например, старый завод либо земельный участок, слишком рисковым для владения, то его можно продать, снизив риск до нуля; 2) отказ от проекта. Если существуют значительные негативные риски (проблематичность достижения заданных параметров при разработке, потенциальное сокращение рынка, невозможность подключения к сетям энергоснабжения и т. д.), при этом позитивные риски проекта их не перекрывают, то отказ от проекта позволит не рисковать денежными средствами; 3) выход из рынка. Если совет директоров признает какое-либо направление бизнеса либо же какой-либо рынок (региональный, продуктовый) слишком рисковым по причине конкуренции, специфических условий работы, малой емкости и т. п., то решение о выходе из такого рынка либо же ниши будет очевидно целесообразным. Как видно, избегание риска – это один из самых простых методов, доказывающий, что от каждого негативного риска можно избавиться. В том числе при желании избежать рисков вообще. 2. Передача риска – это разделение с другой стороной бремени убытков или выгод от доходов, относящихся к риску. Примеры передачи риска: 1) страхование. Основной способ управления рисками опасностей с малой вероятностью, которые могут оказать значительное влияние на деятельность компании: аварии, катастрофы, гражданская ответственность и т. д. При этом далеко не каждый риск опасности может быть застрахован; 2) хеджирование. Как правило, под хеджированием понимается заключение долгосрочных договоров на поставку (либо заключению одновременно физической и бумажной сделки) по фиксированной цене. В некоторых случаях компания может выиграть, в некоторых – проиграть; 3) аутсорсинг. Может быть применен практически для любой функции: в строительстве (передача подрядчику СМР), при транспортировке грузов (риски ДТП, утраты товара, невыхода на работу водителей, 94 превышения расхода ГСМ, поломок и т. д.), в производстве (риски аварий на производственных объектах, срыва производственных графиков и т. д.). Однако нужно помнить, что аутсорсинг может позволить сэкономить денежные средства, но не достичь требуемого результата. Этот метод часто бывает невозможен: страховой рынок не развит (немногие страховые компании, например, продают полисы ответственности для Советов директоров), долгосрочные (на 3–5 лет) договоры с формулой цены практически не применяются, а аутсорсинг значительного количества функций или принципиально невозможен, или оказывается слишком дорогим. 3. Удержание риска – это принятие бремени убытков или выгод от доходов, относящихся к определенному риску. Примеры удержания риска: 1) осознанное принятие. К примеру, когда у компании существует несколько производственных подразделений, риск остановки одного из них может быть осознанно принят компанией, потому что производственная программа может быть выполнена на другой площадке; 2) самострахование. Представляет создание резервов на покрытие возможных убытков, к примеру, сверхнормативных выплат по коллективному договору. Удержание риска – один из самых простых методов. Главное, чтобы такое удержание было сделано осмысленно, особенно в случае рисков опасности. 4. Снижение и смягчение последствий риска Снижение последствий риска – это действия, направленные на уменьшение вероятности, негативных последствий или обоих этих факторов. Смягчение последствий риска – это ограничение любых негативных последствий рискового события. Примеры: 1) эффективное использование капитала. Под эффективным использованием капитала подразумевается не только использование того, что есть, но и привлечение финансирования. К примеру, если в бизнесе существуют несколько бизнес-идей, а собственных средств 95 хватает на реализацию только одной, то Совет директоров может принять решение о привлечение внешнего финансирования для остальных проектов; 2) совершенствование системы управления. Совершенствование системы управления с точки зрения рисков практически тождественно совершенствованию системы внутреннего контроля и может означать: a. изменение организационной структуры. К примеру, дополнение организационной структуры отделом стратегического планирования поможет существенно снизить некоторые стратегические риски; b. изменение функциональной структуры. Так, передача функции контроля при отгрузках на проверку правильности цен и условий оплаты от коммерческих подразделений в финансовоэкономические значительно снижает риск злоупотреблений со стороны сотрудников сбытовых подразделений; c. изменение процессов в целях совершенствования механизма принятия решений. Дополнительный контроль качества при приемке, введение коллегиального принятия решений при закупке либо осуществлении инвестиций, разделение исполнения и учета в подавляющем большинстве случаев приводит к снижению рисков; d. регламентацию нерегламентированных процессов и процедур. 3) защита имущественных интересов. На примере России – это оформление всей необходимой документации на владение объектами, в том числе производственными и инфраструктурными. Отсутствие оформления прав собственности на эти объекты приводит к существенному риску остановки бизнеса в случае какого-либо конфликта; 4) формирование плана действий в кризисных ситуациях. Данный план регламентирует действия сотрудников в случае возникновения какойлибо кризисной ситуации. Под кризисом может и должно пониматься не только реализация риска опасности, к примеру, пожара либо же урагана, но и реализация других рисков: усиление конкуренции, рост цен на сырье и материалы, валютный риск, риск потери ликвидности и т. д. В зависимости от риска в план действий в кризисных ситуациях включаются разные мероприятия: от обеспечения эвакуации и скорейшего восстановления работоспособности до PR-мероприятий и управляемого банкротства для сохранения активов в интересах ключевого собственника. 96 Снижение и смягчение последствий риска часто считаются наиболее интересными мероприятиями РМ с профессиональной точки зрения. 10.2. Выбор мероприятий Выбор мероприятий – одна из самых интересных задач для рискменеджера. Почти в каждом проекте есть как минимум одно нетривиальное решение, когда за минимальную стоимость мы можем значительно, практически до нуля, снизить значимый для предприятия риск. Для обеспечения взвешенного решения, которое должен принять Совет директоров, риск-менеджеру необходимо сосредоточиться на всякого рода аналитике, возможных вариантах и их последствиях. В идеале, как это ни странно звучит, необходимо учитывать персональный состав совета директоров. Не с точки зрения угодить, а с точки зрения специфики требований, предъявляемых каждым из членов Совета к информации. Особенности программы мероприятий для стратегических и операционных рисков Типовой ошибкой и, одновременно, проблемой восприятия РМ в целом, является смешение стратегических и операционных рисков. Чтобы не ошибиться в выборе мероприятий следует иметь ввиду следующее: для стратегических рисков необходимо принимать принципиальные решения, а для операционных рисков – необходимо изменить процесс. Граница тонкая, но ее можно почувствовать практически для каждого риска. Примеры: Стратегические риски Наименование риска Некорректное инвестиционное планирование Последствия Снижение капитализации бизнеса Возможное мероприятие Операционные риски Последствия Изменение процесса принятия решений: создание Принятие инвестиционного неэффективного комитета, решения введение должности директора по инвестициям, создание 97 Возможное мероприятие Изменение бизнес-процесса инвестиционног о планирования: проверка расчётов ПЭО Стратегические риски Наименование риска Последствия Возможное мероприятие Операционные риски Последствия Возможное мероприятие подразделения по инвестиционном у планированию. Рост цен на закупаемое сырье Невозможность найма квалифицированны х рабочих Долгосрочная неконкурентоспособност ь бизнеса Покупка бизнеса поставщика. Развитие собственного производства. Заключение долгосрочных контрактов с формулой цены Снижение EBITDA Переход по причине качества продукции из высокомаржинального в низкомаржинальный сегмент рынка Покупка современного оборудования (замена труда капиталом). Создание собственного учебного центра. Строительство общежития Привлечение работников вахтовым Рост брака. методом. Срыв выполнения Повышение производственно зарплаты до й программы уровня выше средней по рынку Хеджирование. Развитие конкурсных процедур Из этих примеров понятна разница между стратегическими и операционными рисками и программами мероприятий для управления ими. Единственное, что нужно отметить: если риск-менеджер новый, ему нужно помочь в определении природы выявленных рисков. Через несколько лет работы в компании, естественно, любой человек из внутреннего аудита или же РМ бизнес начнет понимать. Однако на первых порах человек во многом должен «поверить менеджменту на слово». И в этом случае необходима помощь собственника. «Реальные» и «виртуальные» мероприятия Часто разочарование от РМ связано с тем, что мероприятия вроде бы есть, выполняются, а результата нет. Рассмотрим на примере операционного риска: риск выявлен, признаваем. План мероприятий написан и вроде выполняется. Типовая беда в том, что менеджмент каждый год предлагает одно и то же мероприятие. Его искренне выполняет. И результат ожидаем: 98 даже если в этом году ничего не произошло (причем «не благодаря, а вопреки» действиям менеджмента), то в следующем году – вполне возможно, потому что по сути ничего не меняется. Избежать этого можно путем анализа плана мероприятий по УР на предмет «реальности» и «виртуальности». «Реальное мероприятие» – это изменение стратегии, подхода, организационной структуры, процесса и т. п. «Виртуальное мероприятие» – это перечисление уже существующих контрольных процедур и выполняемых действий, возможно – с усилением, углублением и ускорением. Признаки «реальных» мероприятий соответствуют проектным: есть сроки реализации в виде «до 01.01.NN», есть ответственный (менеджер проекта), есть бюджет. Описание мероприятия представлено в виде конкретной задачи. Признаки «виртуальных» мероприятий соответствуют процессным: сроки – «постоянные», «непрерывные» и «ежедневные», ответственные – в рамках компетенций, бюджета практически нет, описание мероприятий соответствует действующим процедурам и т. п. Одним из признаков того, что мероприятие является «реальным», является четкое обоснование снижения риска при остаточном риске. Если описание непрозрачное (то есть, снизим вероятность и ущерб в 2 раза, за счет чего – не очень понятно), то мероприятия целесообразно конкретизировать. Обратим внимание на то, что РМ эффективен только при реализации «реальных» мероприятий. Мероприятия для рисков выше линии толерантности Отдельно необходимо сказать о рисках, которые лежат выше линии толерантности. Возможны два варианта: 1) Совет директоров принимает решение о необходимости снижения таких рисков, практически не обращая внимания на стоимость мероприятий; 2) ключевое значение придается стоимости и в случае сопоставимой стоимости риск удерживается. Таким образом, может возникнуть дилемма: финансировать риски для получения максимальной устойчивости бизнеса либо же жить с осознанием того, что существуют риски, которые могут значительно повлиять на бизнес. 99 Естественно, что универсальные рекомендации дать невозможно, и в каждом конкретном случае такая проблема должна быть внимательно проанализирована. Инвестиционные мероприятия Существуют ситуации, когда одно мероприятие минимизирует не один, а значительное количество рисков. Чаще всего таким мероприятием является реализация инвестиционной программы и постановка системы внутреннего контроля, но бывают и мероприятия другого рода. Рассмотрим пример покупки новой производственной линии. Она позволяет выпускать «более конкурентную» продукцию, снизить брак, повысить качество, снизить энергоемкость. Кроме того, снижает риск невозможности привлечения персонала, так как из-за снижения численности можно платить операторам значительно больше. В этом случае необходимо рассчитать сумму изменений математических ожиданий рисков, на которые оказывает влияние рассматриваемое мероприятие, и сравнивать стоимость мероприятия не с изменением значения математического ожидания каждого конкретного риска, а с изменением суммы математических ожиданий снижаемых рисков. Такое рассмотрение позволит более взвешенно оценить эффект от мероприятия. Так как стоимость инвестиций может быть значительна, то неиспользование описанного механизма может привести к неверному управленческому решению. Удержание риска При разработке мероприятий также следует учесть целевые установки собственника и Совета директоров на реализацию каких-либо мероприятий. Рассмотрим риск № 10 из примера «Незаинтересованность менеджеров в реализации стратегии». Одним из эффективных способов его минимизации является использование опционов либо привязка заработной платы топ-менеджеров к долгосрочным результатам. Однако этот способ может быть неприемлем для единственного владельца бизнеса: к примеру, он желает остаться единственным владельцем, а заработную плату для топменеджера в 2,5 миллиона рублей в год считает завышенной. Поэтому, несмотря на то, что этот риск можно полностью устранить и даже не рассматривать в дальнейшем, возможно, его придется удержать. Аналогичные проблемы могут возникнуть не только со стратегическими рисками, но даже с рисками опасностей: установка автоматической системы пожаротушения может стоить дорого. И при наличии круглосуточной охраны, не особой горючести помещений и оборудования – от установки 100 этой сигнализации можно и отказаться, несмотря на то, что ее наличие снижает ущерб от пожара на порядок. В каждом конкретном случае удержание риска – предмет отдельного обсуждения. Назначение ответственных Вопрос достаточно философский. В принципе, за все 30–100 рисков ответственным можно назначить Генерального директора (или разделить ответственность с его первым заместителем и финансовым директором). Когда через год Совет директоров попросит дирекцию по внутреннему аудиту проанализировать материалы, подготовленные менеджментом, окажется, что изменения по результатам исполнения программы по УР по масштабу сравнимы с изменениями, которые бы произошли естественным путём (любая организация меняется из года в год). С другой стороны, «крайними» не нужно делать обычных сотрудников. В процессе распределения полученных рисков между сотрудниками всегда будет существовать желание найти ничего не решающего сотрудника, который бы исполнял предложенные рекомендации. Руководитель подразделения при этом будет как бы ни при чём. Такая ситуация может привести к тому, что программа мероприятий если и будет выполнена, то только случайно. Скажем, программа мероприятий по наиболее значимым рискам включает необходимость разработки новой продукции. Если возложить ответственность за такую разработку на какого-либо конструктора / инженера, и при этом не дать ему ресурсов, то такая конфигурация явно не сработает. Если же задачу возложить на Директора по развитию, в подчинении которого находится конструкторское бюро, то вероятность достижения поставленной цели резко увеличится. В общем, крайностей при назначении «крайних» нужно избегать. Предложение такое – пару рисков оставить за топ-менеджером, остальными владельцами должны быть «лучшие замы». Про текущий и остаточный риск Для каждого риска возможен значительный перечень мероприятий. Одна из самых важных задач при постановке СУР – суметь выбрать наиболее эффективные из них. Для этой цели необходимо научиться рассчитывать стоимость мероприятия и остаточный риск (то есть вероятность и последствия риска после реализации мероприятия). Расчет стоимости мероприятия 101 Расчет стоимости мероприятия может оказаться нетривиальной задачей. Минимальной по стоимости является разработка плана действий в кризисных ситуациях и регламентация других процессов и процедур. Сложнее определить стоимость проектов. Приятным исключением являются случаи, когда потенциальные инвестиционные проекты глубоко проработаны, имеются предложения от страховщиков по страхованию рисков гражданской ответственности, имеются проработки в изменении организационной структуры, есть предложения о покупке / продаже бизнеса и т. д. В этом случае программу мероприятий можно сформировать быстро. Но в подавляющем большинстве случаев расчет стоимости и сроков реализации мероприятий может занять не один месяц. И здесь рекомендуется не торопиться: риски неверного принятия решений на основании упрощенных оценок велики. Расчет остаточного риска Расчет остаточных значений рисков в идеале должен осуществляться на основании тех же алгоритмов, что и текущие значения рисков. Возможно, при этом придется строить достаточно большие деревья событий. Наиболее сложная задача – рассчитать остаточный риск, если текущий риск рассчитан на основании статистических данных. Здесь могут помочь «производственные» методы анализа риска. Пример: для случившихся событий выделить причины, затем посчитать, как новая программа мероприятий повлияет на эти причины. Выбор мероприятий После выполненных процедур нужно сравнить разницу в расчете текущего и остаточного риска со стоимостью мероприятия. Мероприятие целесообразно реализовывать только в том случае, если снижение математического ожидания риска значительно превышает стоимость мероприятия. Если же стоимость мероприятия превышает изменение математического ожидания риска, то очевидно, что его реализовывать не нужно. Например, существует, риск с вероятностью 50 % и ущербом в 100 млн. руб. Его математическое ожидание составит 50 млн. руб. Есть два мероприятия: 1) первое мероприятие снижает вероятность до 10 % (остаточный риск 10 млн. руб.) и стоит 5 млн. руб.; 2) второе снижает ущерб до 10 млн. руб. (остаточный риск 5 млн. руб.) и стоит 40 млн. руб. 102 Разница между текущим и остаточным значением риска для первого мероприятия составит 40 млн. руб., а для второго – 45 млн. руб. Несмотря на то, что второе мероприятие риск снижает больше, его реализовывать, скорее всего, нецелесообразно, так как стоимость мероприятия (40 млн. руб.) и изменение риска (45 млн. руб.) сопоставимы. А первое мероприятие реализовывать, скорее всего, целесообразно, потому что, вкладывая 5 млн. руб., мы получаем снижение рисков на 40 млн. руб., что явно превышает стоимость мероприятия. Финансирование риска Финансирование риска, скорее всего, потребует достаточно серьезных вложений. Однако здесь необходимо упомянуть о том, у владельца риска возникнет желание использовать бюджеты проектов по УР в текущей деятельности. Вероятность такого поведения велика, под видом внедрения РМ, скорее всего, будет списано все от набора сотрудников до закупки оборудования. Однако этот риск нужно принять, при этом принятие риска не означает то, что контролировать исполнение бюджетов именно по управлению рисками не нужно. В инвестиционном регламенте это учтено. 10.3. Пример программы мероприятий для условного предприятия Перечень мероприятий вместе с расчетом остаточного риска приведен в таблице. Наименова№ ние риска Текущее значение вероятност и, % Текуще е значени е ущерба, млн. руб. Варианты возможных мероприяти й Ожидаемое значение вероятност и, % Ожидаемо е значение ущерба, млн. руб. Стратегические риски Выход на рынок 1 иностранного конкурента 40 2000 Разработка и продвижение более сложной продукции (изделий пятого и шестого поколения). Повышение качества продукции 103 40 1000 Наименова№ ние риска Текущее значение вероятност и, % Текуще е значени е ущерба, млн. руб. Негативные последствия 2 от вступления России в ВТО 10 1500 Усиление 3 российских конкурентов 40 4000 Отсутствие 4 новой продукции 20 1000 Необходимость 5 переноса производства 15 2000 35 700 6 Неэффективные инвестиции Варианты возможных мероприяти й Лоббирование на уровне органов исполнительной власти дополнительных требований к изделиям, которым не будут соответствовать зарубежные образцы Разработка и продвижение более сложной продукции (изделий пятого и шестого поколения). Повышение качества продукции Разработка и продвижение более сложной продукции (изделий пятого и шестого поколения) Глубокая проработка плана переноса производства. Переговоры с властью о получении какихлибо преференций при выносе производства за черту города Постановка системы управления инвестициями, в частности, введение должности директора по инвестициям и разработка инвестиционного регламента. Создание технического совета 104 Ожидаемое значение вероятност и, % Ожидаемо е значение ущерба, млн. руб. 10 300 25 1000 15 500 25 100 Наименова№ ние риска Текущее значение вероятност и, % Текуще е значени е ущерба, млн. руб. Разрушение системы НИОКР 25 5000 Невозможность найма 8 квалифицированных рабочих 60 400 7 Усиление 9 профсоюза Незаинтересованност ь 1 менеджеров в реализации стратегии 75 80 Варианты возможных мероприяти й Открытие кафедры в профильном университете. Разработка и реализации целевой программы по удержанию молодежи Инвестиционная программа, позволяющая заменить значительную долю непроизводительног о труда. Заключение договоров с колледжем о целевой подготовке студентов Ожидаемое значение вероятност и, % Ожидаемо е значение ущерба, млн. руб. 30 100 250 Активная работа по формированию «карманного» профсоюза 25 250 600 Разработка мотивации менеджеров на основании BSC 20 60 Финансовые риски 1 Валютный 1 20 150 Перевод контрактов в рубли 1 Кредитный 2 25 800 Удержание риска 25 800 1 «Ножницы цен» 3 10 500 Удержание риска 10 500 900 Взятка руководителю ИФНС по крупнейшим налогоплательщика м 180 Аутсорсинг функции технического надзора 50 90 1 Налоговые 4 претензии Увеличение 1 стоимости 5 ведущегося строительства 70 95 105 Наименова№ ние риска Текущее значение вероятност и, % Текуще е значени е ущерба, млн. руб. Варианты возможных мероприяти й Ожидаемое значение вероятност и, % Ожидаемо е значение ущерба, млн. руб. Операционные риски Недостоверность 1 управленческой 6 отчетности 90 100 Заключение 1 невыполнимых 7 договоров 40 160 Недополучение 1 выручки 8 от продаж 80 250 Рост расходов на 1 устранение 9 производственного брака 60 200 2 Неэффективность 0 НИОКР 70 120 2 Рост 1 неликвидов 40 500 Невозможность 2 сокращения 2 избыточного персонала 80 110 Постановка учетной системы Разработка и внедрения положения о заключении договоров Разработка и внедрение положения о заключении договоров Инвестиционная программа. Заключение договоров с колледжем о целевой подготовке студентов Отказ от глубокой модернизации изделий четвертого поколения. Разработка более сложной продукции (изделий пятого и шестого поколения) Разработка и внедрение положения о закупках, содержащего оптимальные партии и порядок реализации неликвидов Удержание риска 106 10 10 10 160 40 100 30 200 20 80 10 300 80 110 Наименова№ ние риска 2 Неэффективная 3 автоматизация Текущее значение вероятност и, % 50 Текуще е значени е ущерба, млн. руб. 300 Варианты возможных мероприяти й Удержание риска Ожидаемое значение вероятност и, % Ожидаемо е значение ущерба, млн. руб. 50 300 20 120 2 5 75 10 2500 Постановка системы правления интеллектуальной собственностью 30 250 Ведение электронного архива. Постановка системы видеонаблюдения в цехах предприятия 20 45 Создание прессслужбы 15 120 2 Уход 4 топ-менеджера 70 600 2 Война с 5 миноритариями 60 1800 Заключение долгосрочных трудовых договоров. Разработка мотивации менеджеров на основании BSC Выкуп пакета акций по немного завышенной цене Риски опасностей 2 Пожар 6 2 2000 2 Отключение 7 электроэнергии 5 1000 2 Откаты 8 75 240 Потери 2 интеллектуальной 9 собственности 40 3 Хищения 80 45 3 PR-атака 1 15 1200 Страхование. Формирование плана действий в кризисных ситуациях Страхование. Формирование плана действий в кризисных ситуациях Постановка системы внутреннего контроля 107 Наименова№ ние риска 3 Недружественное 2 поглощение Текущее значение вероятност и, % 10 Текуще е значени е ущерба, млн. руб. 6000 Варианты возможных мероприяти й Изменение юридической структуры и схемы финансовохозяйственной деятельности. Формирование плана действий в кризисных ситуациях Ожидаемое значение вероятност и, % 10 Ожидаемо е значение ущерба, млн. руб. 600 Комментарии к таблице 1. Данная таблица не учитывает стоимость рисков. Возможно, что, с учетом стоимости рисков, многие мероприятия будет нецелесообразно даже предлагать к реализации. Пример такого риска – выкуп акций у миноритариев. Нужно ли сейчас тратить 1,2 млрд. руб. исходя из «справедливой» оценки или же достаточно добрать до пакета 75 % + 1 акция – вопрос. В таблице всего 4 удерживаемых риска, в реальных проектах их число может достигать половины от общего их количества. При этом стоимость мероприятий (за исключением риска № 8 с инвестиционной программой и риска № 25 с выкупом акций) вряд ли будет значительной. То есть достаточно простыми управленческими действиями вместе с минимальным финансированием устойчивость бизнеса вполне можно повысить. 2. Это сводная таблица, поэтому в программу включены только названия мероприятий. Для принятия управленческих решений приведенные мероприятия должны быть описаны примерно с такой же точностью, как и сами риски. Чем точнее описаны мероприятия, тем проще их реализовать. Скажем, план действий в кризисных ситуациях должен занять не одну страницу. Исходя из представленной таблицы необходимы три явных плана (пожар, отключение электроэнергии, действия при защите от поглощения) и один неявный план (подготовка к переносу производства). Последний по очевидным причинам может оказаться планом действия в кризисной ситуации. 108 Исходя из разнообразности целей этих планов, очень разным может быть и состав мероприятий. В случае пожара ключевыми пунктами будет спасение людей, спасение активов, получение страховой выплаты, восстановление производства и т. д. Экстренная защита от поглощения может предусматривать действия от срочной продажи до реструктуризации бизнеса. А подготовка к переносу производства должна включать в себя как минимум наличие готовой производственной площадки, в которую физически можно вывезти оборудование и запустить его в течение, например, квартала. Таким образом, каждый пункт в столбце «Возможные мероприятия» может представлять из себя достаточно обширную программу действий. 3. Детальная программа мероприятий требует явного указания сроков. К мероприятиям, которые явно требуют указания сроков, необходимо отнести разработку новой продукции, разработку плана переноса производства, разработку программ и реализацию мероприятий кадровой политики, разработку учетной системы, системы мотивации, постановку СВК (системы внутреннего контроля) и т. д. Без указания сроков программа рискует остаться на бумаге: словосочетание в исполнение менеджеров «работа запущена» не всегда означает, что работа проводится и приближается к завершению. Также можно отметить, что самым значимым мероприятием может стать «Разработка и продвижение более сложной продукции (изделий пятого и шестого поколения)». Достаточно традиционный результат: необходимо делать интеллектуальный рывок. 10.4. Визуализация и анализ результатов исполнения мероприятий Для демонстрации эффективности мероприятий по УР можно использовать потенциальное изменение конкретных рисков, которые лежат выше линии толерантности, а также потенциальную карту рисков. Изменение рисков и возможная карта рисков по результатам исполнения программы мероприятий показаны на рис. 10.1 и 10.2. 109 Рис. 10.1. Изменение рисков по результатам исполнения программы мероприятий Рис. 10.2. Карта потенциальных рисков после реализации программы мероприятий 110 Первый ключевой результат исполнения программы мероприятий – это то, что практически не осталось рисков, находящихся выше линии толерантности. Это типовой результат. При этом оба оставшихся выше линии толерантности риска связаны с коммерческой деятельностью, а конкуренция может разрушить даже самый успешный бизнес. Так что не всё так плохо, потому что обострение конкуренции, конечно, изменит стоимость нашего бизнеса, но не катастрофически. Второй ключевой результат – большая часть рисков оказалась в левом нижнем углу. Это тоже часто встречаемое явление. Если проанализировать сами риски, то многие из них действительно не должны отражаться на текущей деятельности, что и демонстрирует карта потенциальных рисков (рис. 10.2). То, что они столь значимы сейчас, скорее всего свидетельствует о том, что Совет директоров и менеджмент просто не уделяет им внимания. Соответственно, управление с учетом сформированной карты будет способствовать цели постановке РМ, то есть приданию максимальной устойчивости всем видам деятельности организации. Третий наиболее важный результат, на который надо обратить внимание – это общее снижение математического ожидания. Если посчитать сумму математических ожиданий текущих значений рисков, то получится 11,1 млрд. руб. Это почти в два раза превышает стоимость бизнеса, то есть с учетом рисков бизнес не стоит ничего. Сумма математических ожиданий остаточных рисков составляет 1,8 млрд. руб., т. е.: 1) она снижена больше, чем в 6 раз (иногда бывает и на целый порядок); 2) сумма математических ожиданий остаточных рисков не превышает 2 показателя EBITDA. Таким образом, устойчивость бизнеса в числовом выражении означает, что при реализации всех рисков два года EBITDA будет нулевой, что, в целом, абсолютно нормально в кризис. Единственная сложность – «пощупать» и «потрогать» эти миллиарды рублей в реальной жизни вряд ли получится, особенно в части возможного падения капитализации. Дело в том, что по-разному оцененные риски дадут разное снижение математического ожидания. А оценка бывает разной (особенно экспертными методами), т. к. она просто отражает обеспокоенность менеджмента на текущий момент. 111 Тем не менее, минимум рисков приведет к устойчивости бизнеса и исполнению реальных планов. Финансовый директор может и не почувствовать, но квалифицированный Совет директоров работу должен оценить. Ниже показана таблица из Microsoft Excel с расчётом остаточного риска условного предприятия. В таблице использованы следующие обозначения: 𝑀тек – текущее значение математического ожидания потерь; 𝑀план – планируемое (ожидаемое) значение математического ожидания потерь; ∆ = 𝑀тек − 𝑀план . 112 № Наименование риска Тип риска 1 Выход на рынок иностранного конкурента Стратегический 2 Негативные последствия от вступления России в ВТО Стратегический 3 Усиление российских конкурентов Стратегический 4 Отсутствие новой продукции Стратегический 5 Необходимость переноса производства Стратегический Мероприятие Разработка и продвижение более сложной продукции (изделий пятого и шестого поколений). Повышение качества продукции Лоббирование на уровне органов исполнительной власти дополнительных требований к изделиям, которым не будут соответствовать зарубежные образцы Разработка и продвижение более сложной продукции (изделий пятого и шестого поколений). Повышение качества продукции Разработка и продвижение более сложной продукции (изделий пятого и шестого поколения) Глубокая проработка плана переноса производства. Переговоры с властью о получении какихлибо Текущее значение вероятности, % Текущее значение ущерба, млн. руб. Ожидаемое значение вероятности, % Ожидаемое значение ущерба, млн. руб. 40 2 000 40 1 000 800 400 400 10 1 500 10 300 150 30 120 40 4 000 25 1 000 1 600 250 1 350 20 1 000 200 200 15 2 000 15 500 300 75 225 113 𝑀тек 𝑀план ∆ преференций при выносе производства за черту города 6 Неэффективные инвестиции Стратегический 7 Разрушение системы НИОКР Стратегический 8 Невозможность найма квалифицированных рабочих Стратегический 9 Усиление профсоюза Стратегический 10 Незаинтересованность менеджеров в реализации стратегии Стратегический Постановка системы управления инвестициями, в частности, введение должности директора по инвестициям и разработка инвестиционного регламента. Создание технического совета Открытие кафедры в профильном университете. Разработка и реализации целевой программы по удержанию молодежи Инвестиционная программа, позволяющая заменить значительную долю непроизводительного труда. Заключение договоров с колледжем о целевой подготовке студентов Активная работа по формированию «карманного» профсоюза Разработка мотивации менеджеров на основании BSC 35 700 25 100 245 25 220 25 5 000 1 250 1 250 60 400 30 100 240 30 210 75 200 25 200 150 50 100 80 600 20 60 480 12 468 114 11 Валютный Финансовый 12 13 Кредитный «Ножницы цен» Финансовый Финансовый 14 Налоговые претензии Финансовый 15 16 Увеличение стоимости ведущегося строительства Недостоверность управленческой отчетности Перевод контрактов в рубли Удержание риска Удержание риска Взятка руководителю ИФНС по крупнейшим налогоплательщикам 20 150 30 30 25 10 800 500 25 10 800 500 200 50 200 50 70 900 630 630 Финансовый Аутсорсинг функции технического надзора 95 180 50 90 171 45 126 Операционный Постановка учетной системы 90 100 10 10 90 1 89 40 160 10 160 64 16 48 80 250 40 100 200 40 160 60 200 30 200 120 60 60 70 120 20 80 84 16 68 40 500 10 300 200 30 170 17 Заключение невыполнимых договоров Операционный 18 Недополучение выручки от продаж Операционный 19 Рост расходов на устранение производственного брака Операционный 20 Неэффективность НИОКР Операционный 21 Рост неликвидов Операционный Разработка и внедрения положения о заключении договоров Разработка и внедрение положения о заключении договоров Инвестиционная программа Заключение договоров с колледжем о целевой подготовке студентов Отказ от глубокой модернизации изделий четвертого поколения. Разработка более сложной продукции (изделий пятого и шестого поколений) Разработка и внедрение положения о закупках, содержащего 115 оптимальные партии и порядок реализации неликвидов 22 23 Невозможность сокращения избыточного персонала Неэффективная автоматизация Операционный Удержание риска 80 110 80 110 88 88 Операционный Удержание риска 50 300 50 300 150 150 70 600 20 120 420 24 396 60 1 800 1 080 1 080 2 2000 2 40 40 5 1 000 5 50 50 75 240 75 10 180 7,5 172,5 40 2 500 30 250 1 000 75 925 80 45 20 45 36 9 27 24 Уход топ-менеджера Операционный 25 Война с миноритариями Операционный 26 Пожар Опасность 27 Отключение электроэнергии Опасность 28 Откаты Опасность 29 Потери интеллектуальной собственности Опасность 30 Хищения Опасность Заключение долгосрочных трудовых договоров. Разработка мотивации менеджеров на основании BSC Выкуп пакета акций по немного завышенной цене Страхование. Формирование плана действий в кризисных ситуациях Страхование. Формирование плана действий в кризисных ситуациях Постановка системы внутреннего контроля Постановка системы управления интеллектуальной собственностью. Ведение электронного архива Постановка системы видеонаблюдения в цехах предприятия 116 31 PR-атака Опасность 32 Недружественное поглощение Опасность Создание прессслужбы Изменение юридической структуры и схемы финансовохозяйственной деятельности. Формирование плана действий в кризисных ситуациях 15 1 200 15 120 180 18 162 10 6 000 10 600 600 60 540 11 078 1 762 6,3 117 ТЕМА 11. ОТЧЕТНОСТЬ. МОНИТОРИНГ РИСКОВ Форма отчетности должна определяться, в первую очередь, удобством для пользователей. Стандарт FERMA рекомендует следующий вид отчета по рискам: Разработ Механиз ка мы Сфе Количествен Допустимы Возможно стратеги Приро управлен Наименова ра Заинтересован ное й риск / сти для ии да ия и ние риска риск ные стороны определение приемлемо улучшени политик риска контроля а риска сть риска я и над компани рисками и В консультационной деятельности предлагается разбивать таблицу на две части. Первая таблица совпадает с таблицей по расчету рисков, приведенной в разделе про идентификацию. Номер на легенде Наименование риска Описание риска Вероятность, % Ущерб, млн. руб. Вторая таблица содержит текущее значение риска, расчет остаточного риска, возможные мероприятия и их стоимость. Текуще Отношение Возможные е Номер Ориентировочн Изменение изменения мероприят значен Остаточн на Наименован ая стоимость математическо к ия по ие ый риск, легенд ие риска мероприятий, го ожидания, стоимости управлени риска, млн. руб. е млн. руб. млн. руб. мероприят ю риском млн. ий руб. В соответствии со стандартом FERMA, мониторинг рисков должен дать ответ на следующие вопросы. 1. Привели ли принятые меры к планируемым результатам? 2. Являлись ли адекватными проведенные процедуры и собранная для оценки информация? 3. Нужны ли изменения в существующую СУР? 118 Первый вопрос наиболее важен для реализации программы мероприятий по УР. Во-первых, он позволяет оценить, насколько мероприятия были выполнены. Дело в том, что в рапортах о выполнении часто встречается некое лукавство, которое необходимо исключить. Например, в рассмотренном примере можно отчитаться о формировании BSC (системы сбалансированных показателей). Однако даже беглый анализ покажет, что разработанные показатели мало связаны не только сами с собой, но и с декларируемой стратегией. Не говоря уже о том, что система сбалансированных показателей может быть разработана, а система мотивации по итогам упорного труда может быть и не изменена. Во-вторых, необходимо «мониторить», насколько правильными были мероприятия по УР. Возможно, что не все из них были эффективными, и в этом нет ничего страшного: не ошибается тот, кто ничего не делает. Главное, чтобы эта неэффективность была своевременно выявлена. Именно этому и должен способствовать мониторинг. Ответы на второй вопрос позволят оценить эффективность самой СУР и качество используемой информации. Скажем, оценка СВК, проведенная на основании мнения менеджмента, вряд ли будет эффективной. Соответственно, может оказаться, что некоторые риски не были выявлены. В этом случае процедуры идентификации в отношении некоторых рисков необходимо повторить. Последний, третий вопрос связан с тем, что компании динамичны и существуют в динамичной среде. При изменениях во внутренней или внешней среде необходимо вносить соответствующие изменения в существующие системы. Показателен пример, связанный со сроком жизни карты рисков. Если у вас устойчивый бизнес на стабильном рынке без глобальных потрясений и активных инвестиций, то карта рисков будет устойчива. Для УР достаточно на Совете директоров проанализировать сделанное за предыдущий год и утвердить программу мероприятий на следующий. Однако таких бизнесов практически не существует: в подавляющем большинстве случаев карта рисков живет не более квартала. Поэтому она должна рассматриваться не реже, чем раз в квартал, а Совет директоров должен вмешиваться в деятельность предприятия, в том числе и анализировать риски. Соответственно, ответ на третий вопрос должен просигнализировать о необходимости подобного рода изменений. 119 Отчет по итогам мониторинга может быть в произвольном виде. Стандарты конкретных форм не рекомендуют. Анализ отчета об исполнении мероприятий по УР – это типовое аудиторское задание. Трудности могут возникнуть при оценке достижений по «виртуальным» мероприятиям. Менеджмент может занять позицию, что «риски хоть чутьчуть, но снижаются». В этом случае будет оправданным признать, что мероприятия были выбраны не очень хорошо, и предложить пересмотреть их. В части оценки проектных дел могут возникнуть сложности, связанные с тем, что формально проект выполнен, однако его цели достигнуты не были. Что касается УР в целом, то целесообразно рассматривать карту рисков одновременно со стратегией. Было бы неплохо, если на каждом, даже промежуточном, заседании Совета директоров, внимание будет уделено паре-тройке самых существенных рисков. Рассмотрим роль отдельных участников процесса. Так как внутренний контроль и риск-менеджмент – дело менеджмента предприятия, то и функционал примерно одинаков и описан примерно одними и теми же словами в разных стандартах. Совет директоров – это руководящая и направляющая роль. Его основные задачи: 1) утверждение политики компании по УР; 2) определение приемлемого уровня риска; 3) оценка эффективности процессов УР и ВК. В общем, Совет директоров должен держать руку на пульсе организации. Но при этом должны рассматриваться действительно серьезные вопросы. Задача высшего руководства, если кратко, – организовывать, исполнять и «мониторить». То есть соблюдать кодексы этики, формировать правильную среду, в которой будет взращена новая парадигма управления, организовывать информационный обмен между участниками процесса и пр. Сотрудники компании просто должны реализовывать ценные идеи в ежедневном режиме, осознавая важность вопросов и стремясь к непрерывному совершенствованию. В должностной инструкции должна 120 быть фраза «исполняет приказы и распоряжения руководства». А политику управления рисками необходимо утверждать приказами по предприятию. 121 ТЕМА 12. ОБЩИЕ ПОДХОДЫ К ПРОЦЕССАМ УПРАВЛЕНИЯ РИСКАМИ Рассмотрим принципиальные отличия рисков в бизнес-процессах (подавляющее большинство из них не являются стратегическими) от стратегических рисков. Большинство стратегических рисков связано с внешней средой. Внешняя среда может меняться быстро и риски являются абсолютно нетиповыми. Большинство рисков в бизнес-процессах – это практически типовые события. Внутренняя среда оказывает на возникновение рисковых событий значительно большее влияние, чем внешняя. Так как рисковые события типовые, то и бороться с рисками нужно типовыми способами: путем регламентации процессов, установления лимитов и пр. Анализ бизнес-процессов (как один из методов выявления рисков) – фактически одноразовое мероприятие. Карта рисков долго не живёт. Поэтому при первоначальной постановке РМ либо при наличии определенной статистики по давно отлаженным процессам в карту рисков можно включать риски, выявленные при анализе бизнес-процессов. Однако, при постановке СВК, они уже через несколько итераций практически пропадут, либо установятся на приемлемом уровне. То есть риск останется, но будет все больше тяготеть к левому нижнему углу на карте рисков, т. е. станет несущественным. Как не нужно (но можно) анализировать риски в процессах. Для начала обратимся к рис. 12.1 [9], с помощью которого можно последовательно для каждого процесса набросать сотню-другую рисков. Далее можно поступить следующим образом: 1) расчёт рисков поручить подразделением, заинтересованном в его управлении (не соблюдая принцип «четырех глаз»); 2) расчёт можно построить на некорректных прогнозных данных; 3) при выполнении расчетов возможно рассмотрение предыдущей версии и т. д. и т. п. Короче, любой квадратик на рис. 12.1 при должном подходе – это кладезь рисков. Дальше можно описать контрольные процедуры для каждого из рисков, при этом контрольных процедур может быть несколько. Можно оценивать вероятность и ущерб. Можно даже построить карту рисков для процесса. При этом разбить саму карту на несколько квадратиков, и в каждом квадратике указать количество попавших туда рисков. Полученные результаты передать внутреннему аудиту для дальнейшей работы 122 (например, для формирования программы проверки процесса). И методологически – вроде бы всё правильно, но работать с этим практически невозможно. Рис. 12.1. Выявление рисков в бизнес-процессах Как можно (и целесообразно) выявлять риски процессов. Основной принцип – нужно смотреть на процесс целиком. То есть, процесс – это некий черный ящик. Что-то есть на входе, как-то работает внутри, что-то есть на выходе. Необходимо выяснить, какие имеются трудности с планированием (на входе что-то не так), какие – при исполнении (внутри), какие – на выходе (не достигается требуемый результат) и какие – в измерении результатов («корявая отчетность»). 123 Кроме того, следует учесть, что для некоторых процессов присущи стратегические риски. При этом не следует рассматривать отдельно следующие риски: 1) «кривого планирования». Хотя для тех же инвестиций это может быть отдельным риском, так как имеет совсем другую природу по сравнению, например, с некорректным планированием закупок; 2) искривленной отчетности. Это особая беда. Речь идет не о финансовой отчетности, а управленческой информации, на основании которой принимаются решения; 3) бюрократизации деятельности. Могут встречаться везде, а не только в положении о заключении договоров. Таким образом, для каждого процесса получим 1–3, иногда 4–5 рисков. Это вполне укладывается в общую концепцию про количество рисков. И работать с этим количеством уже можно, и планы мероприятий формировать – то же можно. Отдельно остановимся на требованиях, которые предъявляются к рискменеджеру. Они достаточно просты: 1) знание и понимание стандарта; 2) опыт постановки и поддержания СУР; 3) опыт изменения стратегии предприятия на основании анализа рисков. С последним требованием кто-то может не согласится: дело рискменеджера – поддерживать процесс, а не менять стратегию. Однако, анализ стратегических рисков, скорее всего, приведет к изменению стратегии. А нам это и нужно, то есть нужен опыт именно в стратегических рисках. Если нужно хеджирование (бизнес сильно завязан на разные валюты) либо страхование действительно опасных производственных объектов – неплохо также иметь «опыт расчета валютной позиции и хеджирования» и «опыт страхования рисков производственной деятельности в качестве заказчика». Упростить поиск кандидатов на должность риск-менеджера можно путем расширения охвата их возможной предыдущей деятельности. В требованиях к вакансии совершенно не нужно писать, например, «опыт работы внутренним аудитором» или «опыт работы риск-менеджером». Потому что внутренним аудитором может стать человек, до этого раньше и не знавший о профессии, а риск-менеджером вполне может стать внутренний аудитор. Опыт, на самом деле, может быть достаточно разный. Конечно, хорошо, когда человек уже работал в нужной или хотя бы смежной профессии. Но 124 истории успешных риск-менеджеров бывают самые невероятные, поэтому круг можно расширить. Риск-менеджер может быть бывшим: 1) бизнес-консультантом; 2) менеджером подразделения стратегического развития. Даже если он не особо в курсе самого риск-менеджмента – на подсознательном уровне он управлял рисками и добивался устойчивости бизнеса. Резюме часто у всех выглядят правильно и одинаково, задача – выявить того, кто подходит именно Вам, при этом не пропустить нужного человека. Решается эта задача только в процессе личной встречи. 125 ПРИЛОЖЕНИЯ Приложение 1 FERMA: Стандарт управления рисками Стандарты управления рисками (Risk Management Standarts) – это результат совместной работы нескольких ведущих организаций, занимающихся вопросами риск менеджмента в Великобритании – Института Риск Менеджмента (IRM), Ассоциации Риск Менеджмента и Страхования (AIRMIC), а также Национального Форума Риск Менеджмента в Общественном Секторе. В разработку стандартов большой вклад внесли профессиональные организации, занимающиеся вопросами УР и проявляющие интерес к тематике РМ. РМ – это быстро развивающееся направление. Существует множество описаний различных видов того, что включает в себя понятие рискменеджмента, как им руководствоваться и с какой целью. Принятие стандартов необходимо для достижения согласия по нескольким вопросам, а именно: 1) 2) 3) 4) используемая терминология; процесс практического применения РМ; организационная структура РМ; цель РМ. Особенно важно понимание того, что стандарты УР включают в себя как «положительные», так и «негативные» аспекты риска для организации. РМ – это не просто инструмент для коммерческих и общественных организаций. В первую очередь, это руководство для любых действий, как в краткосрочном, так и в долгосрочном разрезе жизнедеятельности организации. Понятие РМ включает в себя анализ и оценку сильных и слабых сторон организации в самом широком смысле, с точки зрения взаимодействия со всевозможными контрагентами. Существует множество путей достижения целей РМ и поэтому практически невозможно объединить все направления в единый документ. Настоящие стандарты УР не являются узко специализированными нормативами. Разработанные стандарты основаны на наиболее оптимальных решениях различных организаций, что, соответственно, дает возможность для их широкого применения. При разработке стандартов УР использовалась терминология 126 Международной Организацией по Стандартизации ISO/IEC Guide 73 Risk Management. Принимая во внимание быстрое развитие и широкое распространение идей РМ, разработчики стандартов приветствуют любые замечания или дополнения к данному документу со стороны любых организаций. 1. РИСК Риск – это комбинация вероятности события и его последствий (ISO/IEC Guide 73). Любые действия приводят к событиям и последствиям, которые могут представлять собой как потенциальные «положительные» возможности, так и «опасности» для организации. В настоящее время РМ включает в себя понятия положительного и негативного аспектов риска. Стандарты УР, соответственно, рассматривают риск с этих позиций. 2. РИСК–МЕНЕДЖМЕНТ РМ является центральной частью стратегического управления организации. Это процесс, следуя которому организация системно анализирует риски каждого вида деятельности с целью максимальной эффективности каждого шага и, соответственно, всей деятельности в целом. Основная задача РМ – это идентификация, оценка, анализ и УР. РМ представляет собой постоянный и развивающийся процесс, который анализирует развитие организации в движении, а именно прошлое, настоящее и будущее организации в целом. РМ должен быть инкорпорирован в общую культуру организации, принят и одобрен руководством, а затем донесен до каждого сотрудника организации как общая программа развития с постановкой конкретных задач на местах. РМ как единая СУР должна включать в себя программу контроля над выполнением поставленных задач, оценку эффективности проводимых мероприятий, а также систему поощрения на всех уровнях организации. 2.1 Внутренние и внешние факторы Риски, которым подвержена организация, могут возникать в силу как внутренних, так и внешних факторов. Нижеприведенная диаграмма (рис. 127 П.1) показывает ключевые риски, возникающие в силу внутренних и внешних факторов. Риски могут быть дифференцированы по следующим категориям – стратегические, финансовые, операционные опасности. Рис. П.1. Ключевые риски 2.2. Процесс риск–менеджмента РМ защищает цели и задачи организации и, соответственно, способствует ее капитализации, развитию и имиджу в силу: 1) системного подхода, позволяющего планировать и осуществлять долгосрочную деятельность организации; 2) улучшения процесса принятия решений и стратегического планирования путем формирования понимания структуры бизнеспроцессов, происходящих в окружающей среде изменений, потенциальных возможностей и угроз для организации; 128 3) вклада в процесс наиболее эффективного использования / размещения капитала и ресурсов организации; 4) защиты имущественных интересов организации и улучшение имиджа компании; 5) оптимизации бизнес-процессов; 6) повышение квалификации сотрудников и создание организационной базы «знаний». Согласно стандартам, ISO/IEC оценка риска представляет собой анализ риска и измерение риска (рис. П.2). Стратегические цели организации Анализ риска - идентификация риска - описание - измерение риска Качественная оценка риска Отчет о риске Принятие решения Мероприятия по снижению риска Повторный отчет о риске Рис. П.2. Процесс риск-менеджмента 129 Мониторинг процесса Внесение изменений Оценка риска: 3. АНАЛИЗ РИСКА 3.1. Идентификация риска Идентификация риска представляет собой процесс выявления подверженности организации неизвестности, что предполагает наличие полной информации об организации, рынке, законодательстве, социальном, культурном и политическом окружении. Для идентификации риска необходим методологический подход с тем, чтобы выявить максимальное число рисков, которым подвержена организация во всех сферах деятельности. Бизнес-процессы любой организации могут быть классифицированы по различным параметрам, например, 1) стратегические – долгосрочные цели организации, а именно вопросы наличия капитала, политические риски, изменения законодательства, репутация и имидж, изменения в окружающей среде; 2) операционные – каждодневные вопросы, решение которых ведет к достижению стратегических целей; 3) финансовые – контроль финансов организации, эффект внешних факторов как наличие кредитных средств, изменения курса валют, движение процентной ставки и т. д.; 4) управление знаниями и информацией – интеллектуальная собственность, а именно контроль над источниками информации, хранением и использованием информации, коммерческая тайна и использование современных технологий для эффективного пользования знаниями и информацией, которой обладает организация; 5) соответствие законодательству – соответствие законодательству в части охраны труда, охраны окружающей среды, прав потребителей, техники безопасности и т. д. Идентификация рисков организации, как правило, осуществляется независимыми консультантами. Однако понимание и анализ рисков «собственно» организацией имеет огромное значение для успешного процесса УР. 3.2. Описание риска Описание риска представляет собой подробное описание выявленных 130 исков в определенном формате, что позволяет провести дальнейший, качественный анализ риска. Описание риска может быть представлено в виде таблицы: Таблица П.1. Описание риска 1. Наименование риска 2. Сфера риска Описание событий, размер, тип, количество и сферы воздействия 3. Тип риска Стратегические, операционные, финансовые, знания / информация, соответствие законодательству 4. Заинтересованные лица Заинтересованные лица и их ожидания 5. Количественное выражение риска Важность, вероятность, последствия 6. Приемлемость риска Возможные убытки и их финансовое значение. Цена риска. Вероятность и размер вероятных убытков / прибыли. Цели контроля над риском и желаемый уровень исполнения поставленных задач 7. Управление риском и механизмы контроля Действующие методы / практика управления риском. Уровень надежности существующей программы контроля над риском. Существующие ответы / протоколы учета и анализа контроля над риском 8. Возможности для улучшения Рекомендации по УР 9. Стратегические и управленческие изменения Определение степени ответственности (функции) за разработку и внедрение стратегии / управления риском 3.3. Измерение риска Измерение риска может быть количественным, качественным или смешанным. Различные организации применяют разные методы измерения последствий и вероятностей событий. Для многих организаций достаточно использовать трехмерный метод оценки последствий – высокий уровень, средний, низкий. Некоторые организации для определения вероятности события так же применяют трехмерный метод оценки, однако он требует 131 иных опасностей и возможностей (табл. П.2): Таблица П.2. Последствия (опасности и возможности) Высокий Финансовые последствия не превысят X. Существенное влияние на стратегическое развитие и деятельность организации. Существенная обеспокоенность заинтересованных лиц Средний Финансовые последствия находятся в пределах X и Y. Умеренное влияние на стратегическое развитие и деятельность организации. Умеренная обеспокоенность заинтересованных лиц Низкий Финансовые последствия ниже Y. Слабое влияние на стратегическое развитие и деятельность организации. Слабая обеспокоенность заинтересованных лиц Таблица П.3. Вероятность события (угроза) Оценка вероятности Высокая (вероятно) Средняя (возможно) Низкая (маловероятно) Описание Индикаторы Вероятность наступления каждый год или вероятность наступления события больше чем 25 % Потенциальная вероятность того, что событие наступило несколько раз в течение определенного периода времени (например, 10 лет). Событие произошло недавно Существует вероятность наступления события в течение 10 лет или вероятность наступления меньше чем 25 % Практически отсутствует вероятность наступления события в течение 10 лет или вероятность наступления меньше чем 2 % Событие может произойти несколько раз в течение определенного периода времени. Сложно контролировать в силу влияния внешних факторов. Существует история наступления события Событие не наступало. Вероятность наступления события мала 132 Таблица П.4. Вероятность события (возможности) Оценка вероятности Описание Индикаторы Высокая (вероятно) Положительные результаты вероятно наступят в течение года или вероятность положительного результата выше чем 75 % Четкая и определенная возможность, наступление результата возможно в краткосрочный период при использовании существующих бизнес процессов Средняя (возможно) Возможные положительные результаты в течение года с вероятностью наступления 25 % – 75 % Возможности достижимы при планомерном и четком руководстве. Дополнительные возможности, которые вытекают из существующих планов Низкая (маловероятно) Положительные результаты может быть наступят в скором времени или вероятность наступления положительных результатов меньше чем 25 % Вероятные возможности, которые требуют дополнительных исследований. Возможности, которые мало вероятны с точки зрения существующего менеджмента 3.4. Методы и технологии анализа риска Существует достаточно большое количество методов и технологий анализа риска. Например, маркетинговые исследования; тестирование; анализ бизнес процессов; дерево событий; SWOT анализ (сильные стороны, слабые стороны, возможности, угрозы); 6) статистический анализ; 7) моделирование существующих вариантов; 8) измерение основных тенденций и дисперсии; 9) анализ угроз; 10) дерево ошибок и др. 1) 2) 3) 4) 5) 3.5. Карта риска (Risk Profile) Описание риска служит основой для формирования «карты риска» организации, который обобщает данные об описании риска, действующих механизмов контроля, планируемых мероприятиях по снижению уровня риска, ответственных за мероприятия. Формирование «карты риска» 133 позволяет четко сформулировать приоритетные направления в части УР, определить наиболее эффективные методы контроля. 4. ОЦЕНКА РИСКА Оценка риска может быть количественной, качественной или смешанной. Различные организации применяют различные методы измерения последствий и вероятностей событий. Для многих организаций достаточно использовать трехмерный метод оценки последствий – высокий уровень, средний, низкий. Например, Высокий Финансовые показатели последствия не превысят X. Существенное влияние на стратегическое развитие и деятельность Организации. Существенная обеспокоенность заинтересованных лиц Средний Финансовые последствия находятся в пределах X и Y. Умеренное влияние на стратегическое развитие и деятельность организации. Умеренная обеспокоенность заинтересованных лиц Низкий Финансовые последствия ниже Y. Слабое влияние на стратегическое развитие и деятельность организации. Слабая обеспокоенность заинтересованных лиц 5. МЕРОПРИЯТИЯ ПО УПРАВЛЕНИЮ РИСКАМИ Мероприятия представляют собой процесс выбора и применения методов изменения степени риска. Мероприятия включают в себя контроль риска, мероприятия по предупреждению риска, передача и финансирование риска. Внимание. В настоящем документе под финансированием риска понимается финансирование последствий риска. В большинстве других документов, под финансированием риска подразумевается финансирование расходов на мероприятия по снижению степени подверженности рискам (ISO/IEC Guide 73). Любая система мероприятий должна быть направлена на обеспечение следующего минимума: 1) надежность и эффективность работы организации; 134 2) эффективность внутреннего контроля; 3) соответствие законам и нормативам. Мероприятия по УР обеспечивают надежность и эффективность деятельности организации посредством определения тех рисков, которые требуют внимания руководства и определения приоритетов рисков с точки зрения целей организации. Эффективность ВК определяется как степень снижения или предупреждения риска методами, предлагаемыми ВК. Методы контроля оцениваются в сравнении между отсутствием мероприятий и стоимостью предлагаемых мероприятий. Соответствие деятельности организации действующему законодательству не предполагает каких-либо вариантов, кроме соблюдения его требований. Основой финансирования рисков является страхование. Однако необходимо отметить, что некоторые риски организации не подлежат страхованию. 6. ОТЧЕТ О РИСКАХ 6.1. Внутренний отчет Различные уровни управления организацией требуют различной детализации информации о рисках. Совет директоров (руководство) организации должен: 1) знать о рисках, с которыми сталкивается организация; 2) следить за выполнением программы УР; 3) знать антикризисную программу; поддерживать имидж организации; 4) руководствоваться принципами УР при решении об инвестициях; 5) четко формулировать свою позицию в вопросах УР организации; 6) обеспечить должны уровень осведомленности менеджмента организации о поставленных целях и задачах в вопросах УР. Структурная единица организации должна: 1) четко знать риски, которые попадают в сферу непосредственной деятельности; 2) иметь четкие индикаторы процесса, которые позволяют осуществлять постоянный мониторинг эффективности программы 135 УР; 3) систематично отчитываться перед руководством о работе в рамках выполнения программы УР. Каждый сотрудник организации должен: 1) понимать свой вклад в общую программу УР; 2) понимать значение СУР для корпоративной культуры; 3) своевременно докладывать своему непосредственному руководству о всех изменениях или отклонениях в программе УР. 6.2. Внешний отчет Любая организация сталкивается с необходимостью предоставления информации о действующей программе УР внешним контрагентам. Очень важно предоставить полную и ясную картину о том, как организация решает вопросы охраны труда, промышленной безопасности, охраны окружающей среды и т. д. В настоящее время все большее внимание со стороны внешних контрагентов уделяется таким моментам, как действующие в организации принципы УР, методы идентификации и анализа рисков, мероприятия по контролю над рисками, а также система мониторинга с целью обеспечения быстрой и адекватной реакции организацией на «негативные» последствия различных рисков. 7. ОРГАНИЗАЦИОННАЯ СТРУКТУРА И РИСК–МЕНЕДЖМЕНТ 7.1. Программа управления рисками Для успешной реализации программы УР в организации должны быть разработаны и формализованы основные нормативные документы, а именно: 1) должностные обязанности; 2) положение и организационная структура подразделения УР; 3) положения о ВА, включающим ответственность над контролем процедур УР и др. Успех программы УР зависит от таких факторов как: 1) понимание проблем и поддержка программы управления рисками со стороны руководства организации; 136 2) распределение зон ответственности в рамках всей организации; 3) обучение персонала и повышение уровня осознания важности вопросов УР среди всех работников организации. 7.2. Роль Совета Директоров Совет Директоров организации ответственен за выработку общей стратегии развития организации. В этой связи, Совет Директоров обязан как минимум: 1) определить и оценить риски, которые могут привести к «негативным» последствиям для организации; 2) определить вероятность наступления «негативных» последствий; 3) выработать политику в отношении тех рисков, которые являются неприемлемыми для организации; 4) сформировать стратегию действий с целью минимизации «негативных» последствий; 5) оценить эффективность выбранной политики; 6) оценить эффективность программы УР в целом; 7) определить значение и эффект принимаемых решений в вопросах УР на долгосрочное развитие организации. 7.3. Роль структурной единицы Роль каждая структурная единица организации заключается в следующем: 1) ответственность за каждодневную реализацию программы УР; 2) повышение уровня осознания важности вопросов РМ внутри организации; 3) воплощение принципов общей политики УР в жизнь; 4) регулярный мониторинг состояния дел, обмен мнением и опытом с другими структурными подразделениями организации; 5) ответственность за соответствующий процесс идентификации и анализа риска на самой ранней стадии реализации нового проекта и доведения сведений до соответствующих руководителей организации. 7.4. Роль риск-менеджера В зависимости от размера организации функции риск-менеджера могут быть возложены на одного специалиста или на целое отдельное структурное подразделение. Основными функциями риск-менеджера являются: 137 1) разработка программы УР; 2) реализация программы УР; 3) работа по повышению уровня осведомленности по вопросам УР среди работников организации; 4) мониторинг эффективности реализации программы УР и внесение ответствующих изменений; 5) координация взаимодействия различных структурных подразделений организации; 6) разработка программ снижения внеплановых потерь и мероприятий по поддержанию непрерывности бизнес процессов; 7) подготовка отчетов для Совета Директоров и внешних контрагентов. 7.5. Роль внутреннего аудита В настоящее время особое значение в организациях имеет служба ВА, основными задачами которого является: поддержка процесса РМ в организации; аудит эффективности действующей программы УР; поддержка методов программы УР; участие в процессе обучения и повышения уровня осознания важности вопросов УР в организации; 5) содействие в подготовке и презентации ответов для Совета Директоров и внешних контрагентов. 1) 2) 3) 4) 8. МОНИТОРИНГ Эффективность УР во многом зависит от способов (методов) контроля и своевременного оповещения обо всех изменениях в программе УР организации. Постоянный (надлежащий) мониторинг позволит: 1) анализировать эффективность используемых мероприятий по изменению степени риска; 2) обеспечить надлежащий уровень (достоверность) информации; 3) накапливать необходимые знания (опыт) для последующих шагов (принятия решений) при анализе и оценке риска и, соответственно, методов и способов управления. Процесс мониторинга имеет огромное значение с точки зрения своевременного внесения необходимых корректировок и изменений в 138 программу УР. Кроме того, мониторинг обеспечивает необходимой информацией для оценки эффективности мероприятий по снижению степени подверженности определенным рискам, а также эффективности используемых способов финансирования рисков. Качественный мониторинг дает возможность идентифицировать и анализировать риски организации на профессионально высоком уровне. 139 Приложение 2 ISO 31000–2018: Управление рисками. Международный Стандарт 1. ОБЩИЕ СВЕДЕНИЯ ISO (International Organization for Standardization – Международная Организация по Стандартизации) является Всемирной федерацией национальных органов по стандартизации. Данный документ подготовлен Техническим Комитетом Риск-менеджмент. Эта вторая редакция отменяет и заменяет первую редакцию (2009), которая была подвергнута техническому пересмотру. Основные изменения по сравнению с предыдущей редакцией следующие: 1) пересмотр принципов менеджмента рисков, которые являются ключевыми критериями его успеха; 2) акцент на лидерство Высшего руководства и встраивание РМ, начиная с управления организацией; 3) больший акцент на итеративный характер УР, учитывая, что новый опыт, знания и анализ могут вести к пересмотру составных элементов процесса, задач и средств управления на каждой стадии процесса; 4) оптимизация содержания с большим акцентом на поддержание модели открытых систем. Данный документ предназначен для использования теми, кто создает и сохраняет ценности в организациях посредством УР. Организации всех типов и размеров сталкиваются с внешними и внутренними факторами и воздействиями, которые вносят неопределенность в достижение их целей. УР является итеративным и помогает организациям в определении стратегии, достижении целей и принятии обоснованных решений. Менеджмент риска является частью системы управления и элементом проявления лидерства. Он способствует совершенствованию систем менеджмента. Менеджмент риска является частью всех действий, связанных с организацией, и включает взаимодействие с заинтересованными сторонами. Менеджмент риска учитывает внешний и внутренний контекст организации, включая факторы, связанные с поведением людей и культурой. Менеджмент риска основан на принципах, структуре и процессе, описанных в данном документе, как это показано на 140 рис. П.3. Указанные на нем компоненты могут уже иметься в организации полностью или частично, однако их, возможно, потребуется адаптировать или усовершенствовать с тем, чтобы УР было эффективным, результативным и согласованным. Принципы Процесс Структура Рис. П.3. Принципы, структура и процесс 2. ОБЛАСТЬ ПРИМЕНЕНИЯ. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Данный документ содержит руководство по УР, с которыми сталкиваются организации. Применение этих руководящих указаний может 141 быть адаптировано для любой организации и ее контекста. Документ предлагает общий подход к управлению любым типом риска и не является специфичным для какой-либо отрасли или сектора рынка. Он может использоваться на протяжении всего жизненного цикла организации и может применяться к любой деятельности, включая принятие решений на всех уровнях. Для целей настоящего документа применяются следующие термины и определения. 1. Риск (risk) – влияние неопределенности на цели. Влияние рассматривается как отклонение от ожидаемого. Оно может быть с позитивными или негативными последствиями, а также с теми, и другими, и может создавать или выступать в форме возможностей и угроз. Цели могут иметь различные аспекты, относиться к разным категориям и применяться на различных уровнях. Риск обычно определяется с точки зрения источников риска, возможных событий, их последствий и их вероятности; 2. Управление рисками (risk management) – скоординированные действия для управления организацией в отношении рисков. В тексте стандарта термины «управление риском» и «риск-менеджмент» используются как синонимы; 3. Заинтересованная сторона (stakeholder) – лицо или организация, которые могут влиять на решения или действия, на которых могут влиять или они полагают, что на них могут влиять решения или действия; 4. Источник риска (risk source) – элемент, который сам по себе или в комбинации с другими может приводить к возникновению риска; 5. Событие (event) – возникновение или изменение определенного набора обстоятельств. Событие может происходить один или более раз, может иметь несколько причин и последствий. Событием также может быть то, что ожидалось, но не произошло, либо не ожидалось, но произошло. Событие может быть источником риска; 6. Последствие (consequence) – результат события, влияющий на цели. Последствие может быть определенным или неопределенным и иметь позитивное или негативное, прямое или косвенное влияние на цели. Последствия могут быть выражены качественно и количественно. Любые последствия могут нарастать вследствие эффекта «домино» и кумулятивного эффекта; 7. Вероятность (likelihood) – возможность того, что что-то произойдет. В терминологии УР слово «вероятность» используется для указания на возможность того, что что-то произойдет, независимо от того, устанавливается, измеряется или рассчитывается она объективно или субъективно, количественно или качественно, и описывается общими 142 словами или математически (например, как вероятность или частота за определенный период времени); 8. Средство управления (control) – мера, которая направлена на удержание на определенном уровне и / или изменение риска. Средства управления включают, но не ограничиваются этим, любой процесс, политику, устройство, процедуру или другие условия и / или действия, которые удерживают на определенном уровне и / или изменяют риск. Средства управления не всегда могут приводить к запланированным или предполагаемым изменениям. 3. ПРИНЦИПЫ Целью УР является создание и сохранение ценности. Оно повышает результативность работы, поощряет инновации и обеспечивает достижение целей. Принципы, показанные на рис. П.4, дают понимание характеристик результативного и эффективного УР, поясняя его ценность, намерения и цели. Эти принципы являются основой для УР и должны учитываться при разработке структуры и процессов УР организации. Эти принципы должны позволять организации управлять влияниями неопределенности на ее цели. Рис. П.4. Принципы 143 Результативное УР рисками требует наличия элементов, показанных на рис. П.4, и может быть дополнительно объяснено следующим образом. 1. Интегрированность. УР является неотъемлемой частью всей деятельности организации. 2. Структурированность и полнота. Структурированный и комплексный подход к УР способствует получению согласованных и сопоставимых результатов. 3. Настраиваемость. Структура системы и процесс УР настраиваются и соответствуют внешнему и внутреннему контексту организации, связанному с ее целями. 4. Вовлеченность. Соответствующее и своевременное участие заинтересованных сторон позволяет учитывать их знания, мнения и представления. Это приводит к повышению осведомленности и обоснованности УР. 5. Динамичность. Риски могут возникать, меняться или исчезать по мере изменения внешнего и внутреннего контекста организации. УР прогнозирует, выявляет, подтверждает и реагирует на эти изменения и события своевременно и соответствующим образом. 6. Наилучшая доступная информация. Исходные данные для УР основываются на информации о прошлом и текущей информации, а также на будущих ожиданиях. УР явным образом учитывает любые ограничения и неопределенности, связанные с такой информацией и ожиданиями. Информация должна быть своевременной, ясной и доступной для соответствующих заинтересованных сторон. 7. Факторы, связанные с людьми и культурой. Поведение людей и культура оказывают существенное влияние на все аспекты УР на каждом уровне и этапе. 8. Постоянное улучшение. УР постоянно улучшается через обучение и изучение опыта. 4. СТРУКТУРА СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ 4.1. Общие положения Цель структуры СУР заключается в организации менеджмента риска. Результативность УР будет зависеть от его интеграции в процесс управления организацией. Это требует поддержки со стороны заинтересованных сторон, особенно высшего руководства. Структура системы включает в себя элементы, показанные на рис. П.5. 144 Рис. П.5. Структура системы управления рисками 4.2. Лидерство и обязательства Высшее руководство и наблюдательные органы должны обеспечить интеграцию УР во всю деятельность организации, продемонстрировать лидерство и обязательства посредством: 1) адаптации и внедрения всех элементов системы; 2) формулирования положений или политики, определяющих подход к УР, план или направление действий; 3) обеспечения необходимыми ресурсами для УР; 4) распределения полномочий, ответственности за выполнение и результат на соответствующих уровнях в рамках организации. Это поможет организации: 1) привести УР в соответствие с ее целями, стратегией и культурой; 145 2) признать обязательства и принять меры к их полному выполнению, включая добровольно принятые обязательства; 3) установить степень и тип риска, которые могут или не могут быть признаны приемлемыми при формировании критериев риска, обеспечив доведение их до сведения организации и ее заинтересованных сторон; 4) донести ценность УР до всей организации и ее заинтересованных сторон; 5) в продвижении систематического мониторинга рисков; 6) обеспечить соответствие СУР контексту организации. Высшее руководство отвечает за УР, в то время как наблюдательные органы – за контроль в сфере УР. От наблюдательных органов часто ожидается или требуется: 1) обеспечить надлежащее рассмотрение рисков при постановке целей организации; 2) понимать риски, с которыми сталкивается организация при достижении своих целей; 3) обеспечить внедрение и результативное функционирование систем управления такими рисками; 4) обеспечить, чтобы такие риски соответствовали целям организации; 5) обеспечить надлежащий обмен информацией о таких рисках и управлении ими. 4.3. Интеграция Интеграция УР основывается на понимании организационной структуры и контекста. Структура может быть разной в зависимости от целей, задач и сложности организации. УР осуществляется во всех элементах организационной структуры. Каждый в организации несет ответственность за УР. Определение ответственности и контрольных функций в сфере УР в рамках организации является неотъемлемой частью управления организацией. Интеграция УР в деятельность организации представляет собой динамично протекающий и итеративный процесс. УР должно быть частью цели и руководства организацией, лидерства и обязательств, стратегии, задач и оперативной деятельности, а не существовать отдельно от них. 4.4. Разработка 1. Понимание организации и её контекста. При разработке структуры СУР организация должна изучить и понять свой внешний и внутренний контекст. Изучение внешнего контекста организации может включать, но 146 не ограничиваться этим: 1) факторы, относящиеся к социальной, культурной, политической, правовой, регулирующей, финансовой, технологической, экономической и экологической сфере, на международном, национальном, региональном или местном уровне; 2) ключевые факторы и тенденции, влияющие на цели организации; 3) отношения с внешними заинтересованными сторонами, их представления, ценности, потребности и ожидания; 4) договорные отношения и обязательства; 5) сложность сетевых структур и связей в них. Изучение внутреннего контекста организации может включать, но не ограничиваться этим: 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) видение, миссию и ценности; стиль управления, организационную структуру, роли и обязанности; стратегию, цели и политики; корпоративную культуру организации; стандарты, руководства и модели, принятые организацией; возможности в отношении ресурсов и знаний (например, финансов, времени, персонала, интеллектуальной собственности, процессов, систем и технологий); данные, информационные системы и информационные потоки; отношения с внутренними заинтересованными сторонами с учетом их представлений и ценностей; договорные отношения и обязательства; взаимозависимости и взаимосвязи. 2. Выражение приверженности управлению рисками. Высшее руководство и наблюдательные органы должны демонстрировать и выражать свою постоянную приверженность УР посредством политики, заявления или других форм, которые четко отражают цели организации и заинтересованность в УР. Эта приверженность должна находить свое выражение, но не ограничиваться этим: 1) в намерениях организации в части УР и связях с целями организации и другими политиками; 2) в усилении необходимости интеграции УР в общую культуру организации; 3) в движении в сторону интеграции УР в основную деятельность и принятие решений; 4) в полномочиях, ответственности за выполнение и результаты; 147 5) в предоставлении необходимых ресурсов; 6) в способе разрешения конфликтов между целями; 7) в измерении показателей деятельности организации и отчетности по ним; 8) анализе и улучшении. 3. Назначение ролей, полномочий, ответственности за выполнение и результаты. Высшее руководство и наблюдательные органы должно обеспечивать назначение полномочий, ответственности за выполнение и результаты в сфере УР и информирование о них на всех уровнях организации, и должны: 1) подчеркивать, что УР является основной обязанностью; 2) определять лиц, имеющих ответственность и полномочия для УР (владельцев рисков). 4. Распределение ресурсов. Высшее руководство и наблюдательные органы должны обеспечить выделение соответствующих ресурсов для УР, которые могут включать, но не ограничиваться этим: 1) 2) 3) 4) 5) персонал, навыки, опыт и компетентность; процессы, методы и инструменты организации, используемые для УР; документированные процессы и процедуры; системы управления информацией и знаниями; потребности в профессиональном развитии и обучении. 5. Определение порядка коммуникаций и консультаций. Организация должна выработать подход к коммуникациям и консультациям, с тем, чтобы поддерживать систему и содействовать результативному применению УР. Коммуникации предполагают обмен информацией с целевой аудиторией. Консультации также предполагают наличие участников, обеспечивающих обратную связь, которая, как ожидается, будет вносить вклад и определять решения или иные действия. Коммуникации и консультации должны быть своевременными и гарантировать, что соответствующая информация собирается, сопоставляется, обобщается и осуществляются улучшения. 4.5. Внедрение Организация должна реализовывать элементы СУР путем: 1) разработки соответствующего плана, включающего график и ресурсы; 148 2) определения, где, когда и как принимаются различного рода решения в организации, и кем; 3) изменения действующих процессов принятия решений, если это необходимо; 4) обеспечения четкого понимания и практической реализации организацией мер по УР. Для успешного внедрения системы требуется участие и информированность заинтересованных сторон. Это позволяет организациям точно учитывать неопределенность в процессе принятия решений, обеспечивая при этом возможность учета любой новой или последующей неопределенности по мере ее возникновения. Надлежащим образом разработанная и внедренная система управления рисками гарантирует, что процесс УР будет частью всей деятельности организации, включая принятие решений, и что изменения во внешнем и внутреннем контекстах будут должным образом учтены. 4.6. Оценка Для оценки результативности СУР организации необходимо: 1) периодически измерять функционирование СУР в соответствии с ее назначением, планами внедрения, показателями и ожидаемыми характеристиками; 2) определять, остается ли она пригодной для обеспечения достижения целей организации. 4.7. Улучшение 1. Адаптация. Организация должна вести постоянный мониторинг и изменять СУР с учетом внешних и внутренних изменений. Таким образом организация может повысить свою ценность. 2. Постоянное улучшение. Организация должна постоянно улучшать пригодность, адекватность и результативность СУР и методы интеграции процесса управления рисками. По мере выявления соответствующих пробелов или возможностей для улучшения организация должна разрабатывать планы и задания и поручать их тем, кто отвечает за их осуществление. После внедрения эти улучшения должны способствовать совершенствованию УР. 149 5. ПРОЦЕСС 5.1. Общие положения Процесс УР включает в себя систематическое применение политик, процедур и методов к деятельности, связанной с коммуникациями и консультированием, установлением контекста и оценкой, обработкой, мониторингом, анализом, документированием и формированием отчетности по рискам. Этот процесс показан на рис. П.6. Рис. П.6. Процесс управления рисками 150 Процесс УР должен быть неотъемлемой частью менеджмента и принятия решений и должен быть встроен в структуру, операции и процессы организации. Он может применяться на стратегическом, оперативном, программном или проектном уровнях. Процесс УР в организации может иметь различные способы реализации, адаптированные для достижения целей и соответствия внешним и внутренним факторам контекста, в рамках которого они применяются. То, что поведение людей и культура имеют динамичный и изменчивый характер, должно учитываться на всех этапах процесса УР. Хотя процесс УР часто представляется линейным, на практике он является итеративным (повторяющимся). 5.2. Коммуникации и консультации Цель коммуникаций и консультаций заключается в оказании помощи соответствующим заинтересованным сторонам в понимании риска, оснований, на которых принимаются решения, и причин, по которым требуются конкретные действия. Коммуникации направлены на повышение осведомленности и понимания риска, в то время как консультации предполагают получение обратной связи и информации для обоснованного принятия решений. Тесная координация между ними должна способствовать фактическому, своевременному, актуальному, точному и понятному обмену информацией, с учетом вопросов конфиденциальности и целостности информации, а также права на неприкосновенность частной жизни. Коммуникации и консультации с соответствующими внешними и внутренними заинтересованными сторонами должны осуществляться на всех этапах процесса УР. Коммуникация и консультации направлены: 1) на объединение различных областей знаний на каждом этапе процесса УР; 2) на обеспечение того, что при определении критериев риска и оценке рисков различные точки зрения учтены соответствующим образом; 3) на предоставление достаточной информации для обеспечения контроля рисков и принятия решений; 4) на формирование чувства вовлеченности и причастности у тех, кто подвержен риску. 5.3. Область действия, контекст и критерии 151 1. Общие положения. Цель установления области действия, контекста и критериев состоит в адаптации процесса УР, обеспечивающей результативную оценку риска и принятие соответствующих мер. Установление области действия, контекста и критериев включает в себя определение границ процесса, а также понимание внешних и внутренних факторов контекста. 2. Определение области действия. Организация должна определить область, охватываемую деятельностью по УР. Поскольку процесс УР может применяться на различных уровнях (например, на стратегическом, оперативном, программном, проектном или других уровнях), важно иметь четкое представление о границах рассматриваемой области, соответствующих целях, которые должны быть приняты во внимание, и их согласованности с целями организации. При планировании методики необходимо учитывать следующее: 1) цели и решения, которые должны быть приняты; 2) результаты, ожидаемые от действий, которые должны быть предприняты в процессе; 3) время, место, что конкретно следует включить, что исключить; 4) соответствующие инструменты и методы оценки рисков; 5) необходимые ресурсы, ответственность за исполнение и сохраняемые записи; 6) связи с другими проектами, процессами и видами деятельности. 3. Внешний и внутренний контекст. Внешний и внутренний контекст – это среда, в которой организация стремится определить свои цели и достичь их. Контекст процесса УР должен определяться на основе понимания факторов внешней и внутренней среды, в которых функционирует организация, и должен отражать конкретные условия деятельности, в которых должен применяться процесс УР. Понимание контекста важно, потому что: 1) УР осуществляется в рамках целей и деятельности организации; 2) источником риска могут быть организационные факторы; 3) назначение и область применения процесса УР могут быть взаимосвязаны с целями организации в целом. Организация должна установить внешний и внутренний контекст процесса УР, рассмотрев факторы, указанных в пункте 1 раздела 4.4. 4. Определение критериев риска. Организация должна, принимая во внимание свои цели, установить степень и тип приемлемого или неприемлемого риска. Она также должна определить критерии для оценки значимости риска и обеспечения процессов принятия решений. Критерии риска должны соответствовать структуре СУР и учитывать конкретные цели и границы 152 рассматриваемой деятельности. Критерии риска должны отражать ценности и цели организации, соответствовать ее ресурсам, политике и положениям, связанным с РМ. Критерии должны быть определены с учетом обязательств организации перед заинтересованными сторонами и их мнений. Критерии риска должны устанавливаться в начале процесса оценки риска, но они могут динамично меняться и должны постоянно пересматриваться и, при необходимости, корректироваться. Чтобы установить критерии риска, необходимо учитывать следующее: 1) характер и тип неопределенностей, которые могут повлиять на результаты и цели (как материальные, так и нематериальные); 2) как будут определены и оценены последствия (как положительные, так и отрицательные) и вероятность; 3) факторы, связанные со временем; 4) единый подход в использовании измерений; 5) как должен определяться уровень риска; 6) как будут учитываться сочетания и последовательность множественных рисков; 7) возможности организации. 5.4. Оценка риска 1. Общие положения. Оценка риска – это единый процесс идентификации, анализа и оценивания риска. Оценка рисков должна проводиться систематически, итеративно и коллективно, опираясь на знания и мнения заинтересованных сторон. Она должна использовать наилучшую имеющуюся информацию, дополняемую по запросу, если необходимо. 2. Идентификация риска. Цель идентификации рисков заключается в поиске, распознавании и описании рисков, которые могут способствовать или препятствовать достижению организацией своих целей. При идентификации рисков важное значение имеет значимость, пригодность и актуальность используемой информации. Организация может использовать ряд методов для выявления неопределенностей, которые могут повлиять на одну или более целей. Следует учитывать следующие факторы и взаимосвязь между ними: 1) 2) 3) 4) 5) материальные и нематериальные источники риска; причины и события; угрозы и возможности; уязвимости и потенциальные возможности; изменения во внешнем и внутреннем контексте; 153 6) признаки возникающих рисков; 7) характер и ценность активов и ресурсов; 8) последствия и их влияние на цели; 9) ограниченность знаний и достоверность информации; 10) временны́е факторы; 11) предубеждения, предположения и убеждения тех, кто участвует в оценке рисков. Организация должна выявлять риски, независимо от того, находятся или нет их источники под ее контролем. Следует учитывать, что может быть два и более сценариев развития событий, которые могут привести к различным последствиям, имеющим материальный или нематериальный характер. 3. Анализ риска. Цель анализа риска заключается в понимании природы риска и его характеристик, включая, в соответствующих случаях, уровень риска. Анализ рисков включает детальное рассмотрение неопределенностей, источников риска, последствий, вероятности, событий, сценариев, средств управления и их результативности. Событие может иметь несколько причин и последствий и может влиять на несколько целей. Анализ рисков может проводиться с различной степенью детализации и сложности в зависимости от цели анализа, наличия и надежности информации и имеющихся ресурсов. Методы анализа могут быть качественными, количественными или комбинированными в зависимости от обстоятельств и предполагаемого использования. Анализ рисков должен учитывать такие факторы, как: 1) 2) 3) 4) 5) 6) вероятность событий и последствия; характер и масштабы последствий; ложность и взаимосвязи; временны́е факторы и изменчивость; результативность существующих средств управления; степень конфиденциальности и уровень доверия. На анализ риска могут влиять любые расхождения во мнениях, предубеждения, представления о риске и оценки. Дополнительное влияние оказывает качество используемой информации, сделанные допущения и исключения, любые ограничения методов и способы их выполнения. Эти влияния должны быть рассмотрены, задокументированы и доведены до сведения лиц, принимающих решения. События, имеющие высокую степень неопределенности, трудно поддаются количественной оценке. Это может быть проблемой при анализе событий с серьезными последствиями. В таких случаях использование комбинации методов, как правило, обеспечивает более глубокое понимание. 154 Анализ риска дает исходную информацию для оценки риска, принятия решений о том, следует ли обрабатывать риск и каким образом, а также о наиболее подходящей стратегии и методах обработки риска. Результаты дают информацию для решений, в которых делается выбор, и о вариантах, связанных с различными типами и уровнями риска. 4. Оценка риска. Целью оценки риска является обеспечение принятия решений. Оценка риска включает в себя сравнение результатов анализа риска с установленными критериями риска, чтобы определить, где требуются дополнительные действия. Это может привести к решению: 1) 2) 3) 4) 5) ничего более не предпринимать; рассмотреть варианты обработки рисков; провести дальнейший анализ для лучшего понимания риска; сохранить существующие средства управления; пересмотреть цели. При принятии решений следует учитывать более широкий контекст, фактические и предполагаемые последствия для внешних и внутренних заинтересованных сторон. Результаты оценки рисков должны документироваться, доводиться до сведения и затем подтверждаться на соответствующих уровнях организации. 5.5. Обработка риска 1. Общие положения. Цель обработки риска заключается в выборе и реализации вариантов мер по УР. Обработка риска представляет собой итеративный процесс, состоящий: 1) 2) 3) 4) 5) из определения и выбора вариантов обработки риска; из планирования и выполнения обработки рисков; из оценки результативности такой обработки; из принятия решения о приемлемости остаточного риска; из осуществления дальнейших мер, если он не приемлем. 2. Выбор вариантов обработки риска. Выбор наиболее подходящего варианта обработки риска предполагает нахождение баланса между потенциальным выигрышем, получаемым в результате достижения целей, и затратами, усилиями или негативными последствиями осуществления выбранного варианта. Варианты обработки рисков не обязательно являются взаимоисключающими или пригодными во всех обстоятельствах. Варианты обработки риска могут включать одно или несколько из следующих действий: 155 1) избегание риска решением не начинать или не продолжать деятельность, которая ведет к риску; 2) принятие или увеличение риска с целью реализации возможности; 3) устранить источник риска; 4) изменить вероятность; 5) изменить последствия; 6) разделить риск (например, посредством включения соответствующих положений в договоры, приобретения страховки); 7) сохранение риска путем принятия обоснованного решения. Обоснование мер по обработке рисков не ограничивается чисто экономическими соображениями и должно учитывать все установленные обязательства организации, добровольно принятые обязательства и мнения заинтересованных сторон. Выбор вариантов обработки рисков должен осуществляться в соответствии с целями организации, критериями риска и имеющимися ресурсами. При выборе вариантов обработки рисков организация должна учитывать ценности, представления и потенциальное участие заинтересованных сторон, а также наиболее подходящие способы обмена информацией и консультаций с ними. Несмотря на равную результативность, одни методы обработки рисков могут быть более приемлемыми для некоторых заинтересованных сторон, чем другие. Обработка рисков, даже если она тщательно проработана и внедрена, может не дать ожидаемых результатов и привести к непредвиденным последствиям. Мониторинг и анализ должны быть неотъемлемой частью реализации обработки риска, чтобы гарантировать, что различные формы обработки результативны и остаются таковыми. Обработка рисков может также привести к возникновению новых рисков, которыми необходимо управлять. Если нет доступных вариантов обработки или если имеющиеся варианты недостаточно воздействуют на риск, этот риск необходимо задокументировать и держать под постоянным контролем. Лица, принимающие решения, и другие заинтересованные стороны должны быть осведомлены о характере и степени рисков, остающихся после обработки. Остаточный риск должен быть задокументирован и быть предметом мониторинга, анализа и, в соответствующих случаях, дальнейшей обработки. 3. Подготовка и выполнение планов обработки рисков. Цель планов обработки риска состоит в том, чтобы определить, как выбранные варианты обработки будут реализованы, чтобы мероприятия плана были понятны тем, кто участвует в их реализации, и можно было отслеживать степень выполнения плана. План обработки должен четко определять порядок, в котором должна осуществляться обработка риска. 156 Планы обработки должны быть частью планов менеджмента и процессов организации при консультациях с соответствующими заинтересованными сторонами. Информация, представленная в плане обработки, должна включать в себя: 1) обоснование выбора вариантов обработки, в том числе ожидаемые преимущества, которые будут получены; 2) ответственных за утверждение и реализацию плана; 3) предлагаемые меры; 4) необходимые ресурсы, включая непредвиденные расходы; 5) показатели результативности; 6) ограничения; 7) требуемые отчетность и мониторинг; 8) когда меры должны быть осуществлены и завершены. 5.6. Мониторинг и анализ Цель мониторинга и анализа состоит в обеспечении и повышении качества и результативности разработки и выполнения процесса, его результатов. Постоянный мониторинг и периодический анализ процесса УР и его результатов должны быть запланированной частью процесса УР с четко определенными обязанностями. Мониторинг и анализ должны проводиться на всех этапах процесса. Мониторинг и анализ включают в себя планирование, сбор и анализ информации, регистрацию результатов и обеспечение обратной связи. Результаты мониторинга и анализа должны учитываться в управлении деятельностью организации, при проведении измерений и формировании отчетности. 5.7. Регистрация результатов и отчетность Процесс УР и его результаты должны документироваться и распространяться соответствующими методами. Регистрация и отчетность нацелены на то, чтобы: 1) распространять информацию о деятельности и результатах УР во всей организации; 2) предоставлять информацию для принятия решений; 3) улучшать деятельность по УР; 4) способствовать взаимодействию с заинтересованными сторонами, в том числе ответственными за результаты и осуществление действий по УР. 157 Решения, касающиеся создания, хранения и обработки документированной информации, должны учитывать помимо прочего их использование, конфиденциальность информации, внешний и внутренний контекст. Отчетность является неотъемлемой частью управления организацией и должна повышать качество диалога с заинтересованными сторонами и оказывать поддержку высшему руководству и надзорным органам в выполнении ими своих обязанностей. Факторы, которые необходимо учитывать при составлении отчетности, включают, но не ограничиваются этим, следующее: 1) различные заинтересованные стороны и их конкретные потребности и требования, связанные с информацией; 2) затраты на представление отчетности, периодичность и своевременность; 3) метод отчетности; 4) значимость информации с точки зрения целей организации и принятия решений. 158 Приложение 3 ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ В ОАО «МРСК1 ЦЕНТРА» 1. ОСНОВНЫЕ ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ Система внутреннего контроля (СВК) – весь диапазон процедур, методов и механизмов контроля, создаваемых Советом директоров и руководством организации для обеспечения надлежащего осуществления финансово-хозяйственных операций. Процедуры внутреннего контроля являются неотъемлемой частью бизнес-процессов организации. Они осуществляются либо на протяжении всего бизнес-процесса, либо непосредственно до или после выполнения задания. Система внутреннего контроля помогает: 1) обеспечить выполнение хозяйственных задач при действенном и эффективном управлении организацией; 2) обеспечить соблюдение законодательных и нормативных требований; 3) обеспечить сохранность активов; 4) предотвратить ошибки и нарушения, выявить их и сократить их число; 5) обеспечить актуальность, достоверность, целостность и корректность бухгалтерского учета; 6) обеспечить подготовку своевременной и достоверной финансовой отчетности. Внутренний контроль (ВК) – это процесс, направленный на обеспечение разумной уверенности достижения следующих целей: эффективного и результативного использования ресурсов Общества, сохранности активов, соблюдения законодательных требований и представления достоверной отчетности. Внутренний аудит (ВА) – деятельность по оценке надежности и эффективности СВК в компании, СУР, эффективности и экономичности управления бизнес-процессами, а также оказание консультационной поддержки менеджменту Общества на этапе разработки систем и процедур СВК. 1 МРСК – Межрегиональная распределительная сетевая компания 159 Управление рисками (УР) – это процесс, осуществляемый Советом директоров, руководителями и другими сотрудниками Общества, направленный на выявление, управление и контроль событий, которые могут негативно влиять на достижение целей организации. Управление рисками – процесс, осуществляемый руководителями и специалистами на всех уровнях управления Общества и его структурных подразделений, включающий в себя: 1) идентификацию и оценку рисков; 2) их ранжирование; 3) воздействие на риски в пределах риск-аппетита для обеспечения разумной гарантии достижения стратегических и операционных целей Общества (COSO ERM) [10]. Система управления рисками (СУР) – совокупность процессов, методик, информационных систем, направленных на достижение целей и задач УР. Риск – комбинация вероятности события и его последствий (ISO/IEC Guide 73:2002) [3]. В целях настоящего документа под риском (рисковым событием) понимается вероятное событие, которое может повлиять на достижение стратегических и операционных целей Общества в конечной перспективе. Влияние риска подразделяется на негативное и позитивное. Риск аппетит – это количество риска, которое организация готова принять для достижения цели увеличения своей стоимости. Источник (фактор) риска – обстоятельство, состояние среды, несущее в себе возможность наступления рискового события. Последствия риска – события, которые наиболее вероятно наступят после реализации риска. Последствия риска выражаются во влиянии на эффективность и сроки исполнения задач, финансовый результат, репутацию, надежность предоставления услуг, человеческие ресурсы и другие факторы достижения стратегических и операционных целей Общества. Вероятность риска – мера возможности наступления рискового события. Материальность риска – мера последствий наступления рискового события. Владелец риска – руководитель подразделения (бизнес-процесса), на стратегические или операционные цели которого оказывает прямое влияние данный риск. Владелец риска отвечает за идентификацию, оценку и мониторинг УР и назначается Генеральным директором Общества. Гарант – лицо, ответственное за организацию процессов УР. Паспорт риска – документ, содержащий всю имеющуюся информацию о риске. 160 Реестр рисков – база данных, содержащая ключевую информацию о рисках Общества. Ключевые индикаторы рисков (КИР) – количественные показатели источников (факторов) риска. Координатор СУР – лицо или подразделение, ответственное за координацию процессов УР Общества и его филиалов, в частности, сбор и актуализацию информации о рисках, консультирование владельцев рисков по методологии УР, обеспечение информацией заинтересованных сторон. Координатор СВК – лицо или подразделение, ответственное за координацию процессов ВК Общества и его филиалов, в частности, разработки методики, форм и шаблонов по описанию бизнес-процессов «как есть», координацию описания бизнес-процессов, рисков, контрольных процедур и их стандартизации, консультирование участников и руководителей бизнес-процессов по методологии ВК, обеспечение информацией заинтересованных сторон. Кросс-функциональное взаимодействие в рамках СУР – процесс управления межфункциональными (межпроцессными) рисками (рисками, влияющими на цели нескольких функций (бизнес-процессов), который основывается на коллегиальных решениях, принимаемых совместно, на основании имеющейся у различных функций (бизнес-процессов) информации. ISO/IEC Guide 73:2002 – руководство Международной организации по стандартизации и Международной электротехнической комиссии «Управление рисками. Словарь» [3]. COSO ERM – модель УР предприятия Комиссии Спонсорских Организаций Тредуэя, широко используемая в мировой практике управления рисками [10]. Контрольные процедуры – набор действий, позволяющих исключить (снизить) вероятность реализации риска или предотвратить его последствия. Субъекты внутреннего контроля – Совет директоров (Комитет по аудиту при Совете директоров), Генеральный директор (Правление), Департамент ВК, ВА и УР, а также подразделения и сотрудники Общества и филиалов, ответственные за выполнение закрепленных за ними (внутренними документами Общества) функций внутреннего контроля, аудита и управления рисками. Проверка - контрольное действие или исследование состояния дел на определенном участке деятельности Общества. Аудиторская проверка СВК бизнес-процессов компании – представляет собой мероприятие, заключающееся в сборе, оценке и анализе аудиторских доказательств, касающихся СВК бизнес-процесса, подлежащего аудиту, и имеющее своим результатом выражение мнения аудитора о степени надежности СВК этого бизнес-процесса. 161 Структурное подразделение – подразделение утвержденной организационной структуры Исполнительного аппарата Общества (ИА) и его филиалов. 2. ОБЩИЕ ПОЛОЖЕНИЯ Политика управления рисками в ОАО «МРСК Центра» (далее – Политика) определяет основные принципы организации, реализации, и контроля процессов управления рисками в ОАО «МРСК Центра» (далее – Общество). Политикой определены первоочередные действия по выстраиванию системы управления рисками. Настоящий документ охватывает нижеперечисленные области. 1. Стратегия УР: 1) 2) 3) 4) цели и задачи системы УР; принципы и требования к СУР; риск-аппетит; приоритетные области рисков Общества (классификация). 2. Основные процессы УР: 1) идентификация и оценка рисков; 2) разработка и выполнение мероприятий по УР; 3) мониторинг рисков. 3. Архитектура СУР: 1) 2) 3) 4) уровни УР; организационная структура подразделений УР; роли и ответственность участников СУР; информационное обеспечение СУР. 4. Отчетность по рискам: a) нормативные документы и стандарты; b) коммуникации, протоколы и отчеты; c) оценка эффективности УР. Политика основана на лучших мировых практиках УР в энергетическом секторе, и учитывает положения концептуальных основ управления 162 рисками COSO ERM, стандарта ISO/IEC Guide 73:2002, а также других общепризнанных в мире документов в области УР. Документ предназначен для руководителей и специалистов всех уровней управления Общества, его структурных подразделений, филиалов, а также других участников процессов УР и заинтересованных сторон. 3. СТРАТЕГИЯ УПРАВЛЕНИЯ РИСКАМИ Стратегия УР включает в себя цели, задачи, принципы, приоритетные области в УР, а также подход к выбору риск-аппетита. 3.1. Цели и задачи управления рисками Цели и задачи УР представлены в таблице П.5. Таблица П.5. Цели и задачи СУР Цели Задачи Обеспечение разумной гарантии достижения стратегических целей 1. Идентификация и оценка материальности событий, влияющих на достижение стратегических целей 2. Обеспечение превентивных мероприятий по минимизации вероятности и негативного влияния рисков на цели 3. Стратегическое планирование с учетом рисков 4. Своевременное информирование Генерального директора (Правления) Общества и заинтересованных сторон о наличии угроз и возможностей 5. Мониторинг мероприятий по контролю над рисками Сохранение активов и поддержание эффективности бизнеса 1. Выявление, оценка и УР бизнес-процессов 2. Обеспечение информацией о рисках при принятии управленческих решений 3. Формирование матриц риск-контролей 4. Создание и управление системой ключевых индикаторов риска (КИР) 5. Пресечение мошенничества Обеспечение непрерывности передачи электроэнергии 1. Формирование программ реагирования на рисковые ситуации 2. Регламентирование процессов локализации последствий рисковых событий 3. Координация, обеспечение и оценка эффективности своевременного реагирования на чрезвычайные ситуации 3.2. Принципы и требования к функционированию системы управления рисками СУР базируется на нижеперечисленных принципах. 163 1. Системный подход. Управление всеми типами рисков осуществляется по всем ключевым областям деятельности, на всех уровнях управления Обществом. 2. Ответственность за УР. Каждый сотрудник Общества одной из своих задач видит УР в рамках своей компетенции, знаний и имеющейся информации. 3. Кросс-функциональное взаимодействие. Процесс управления межфункциональными (межпроцессными) рисками (рисками, влияющими на цели нескольких функций (бизнес-процессов)) основывается на коллегиальных решениях, принимаемых совместно, на основании имеющейся у различных подразделений (участников и руководителей бизнес-процессов) информации. 4. Единый информационный канал. Информационное обеспечение СУР дает возможность своевременно и в полном объеме информировать о рисках лиц, принимающих решения. 5. Разделение уровней принятия решений. Решения о минимизации рисков принимаются на различных уровнях управления в зависимости от значимости рисков. Границы определения уровня принятия решений устанавливаются на основе риск-аппетита Общества. 6. Привязка к целям. УР осуществляется исходя из поставленных целей на уровне Стратегии Общества, а также целей конкретных процессов и функций. 7. Движение рисков снизу-вверх и сверху-вниз. Движение информации о рисках для принятия решений осуществляется от более низких уровней управления к более высоким. Решения по минимизации рисков, а также контроль УР распространяется от более высоких уровней управления к более низким. 8. Экономическая эффективность УР. СУР обеспечивает экономическую эффективность мероприятий по УР. Снижение рисков осуществляется исходя из экономической целесообразности. 9. Контроль эффективности управления рисками. Эффективность управления рисками осуществляется путем мониторинга ключевых индикаторов рисков (КИР), разрабатываемых для каждой приоритетной области УР. 3.3. Подход к формированию риск-аппетита Риск-аппетит является величиной риска, которая, по мнению Генерального директора (Правления), считается приемлемой для Общества или его филиалов. Это означает, что риск-аппетит соответствует ресурсам Общества, которыми Генеральный директор (Правление) Общества готов пожертвовать в случае наступления рискового события. На основе риск- 164 аппетита Генеральный директор (Правление) решает, принимать данный риск или работать над его снижением. В общем случае, риск-аппетит привязан к возможности выполнять Обществом и его филиалами свои обязательства. Это определяется привязкой к финансовым показателям компании, например, к EBITDA, чистой прибыли, и так далее. Также наряду с финансовыми показателями риск-аппетит может быть привязан к показателям качества предоставления услуг по передаче электроэнергии, например, индексы частоты и средней продолжительности перерывов энергоснабжения, индекс повторных перерывов и др. В соответствии с принципом разделения уровней принятия решений для каждого из уровней устанавливается свой риск-аппетит. В исключительных случаях при превышении уровня риск-аппетита, риск может приниматься, если мероприятия, направленные на его снижение, экономически неэффективны, либо несут в себе еще бόльшие риски. Также, недостижение уровня риск-аппетита снизу не означает отсутствие необходимости снижать риск, если это экономически эффективно или может привести к положительному эффекту. Риск-аппетит утверждается для ключевых рисков решением Генерального директора (Правления) Общества. 3.4. Приоритетные области рисков Ключевым основанием для классификации рисков Общества и его филиалов являются их функциональные области деятельности. Для упрощения идентификации рисков используется Классификатор рисков Общества, утверждаемый Генеральным директором (Правлением) Общества. Все риски классифицируются по следующим приоритетным направлениям: 1) риски коммерческой деятельности; 2) риски финансовой деятельности; 3) риски производственно-хозяйственной деятельности; 4) риски эксплуатационной деятельности; 5) риски бесперебойного и надежного обеспечения; 6) риски тарифообразования; 7) риски корпоративного управления и управления собственностью; 8) риски правовой деятельности; 9) риски инвестиционной деятельности; 10) риски организационного развития и управления персоналом; 11) ИТ-риски; 12) риски управления безопасностью. 165 4. ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ 4.1. Идентификация и оценка рисков Идентификация рисков осуществляется на всех уровнях управления Общества в соответствии с Классификатором рисков, утверждаемым Советом директоров Общества. При идентификации риска определяется следующая информация: 1) 2) 3) 4) 5) 6) наименование риска; описание риска; источники риска; владелец риска, и лицо, поставляющее информацию по риску; подразделение и филиалы; ключевые индикаторы риска. Оценка риска представляет собой совокупность вероятности риска и его материальности. Оценка риска осуществляется с горизонтом прогноза, равным 1 году. Вероятность риска является экспертной метрикой и определяется по 5балльной шкале (см. таблицу П.6). Таблица П.6. Шкала для определения вероятности риска Балльная оценка Значение, % Интерпретация 1. Очень низкая 1–7 Событие скорее всего будет происходить не чаще 1 раза в 15 лет 2. Низкая 7–20 Событие скорее всего будет происходить 1 раз в 5–15 лет 3. Средняя 20–50 Событие скорее всего будет происходить 1 раз в 2–5 лет 4. Высокая 50–70 Событие скорее всего произойдет в ближайшие год-два 5. Очень высокая >70 Событие скорее всего произойдет в ближайшем году Материальность риска имеет две шкалы: финансовую и репутационную. Материальность определяется на основе сценарного анализа. Для каждого риска строится минимум три сценария (пессимистичный, оптимистичный и базовый), которые являются несовместными, то есть не могут происходить одновременно. Каждый из сценариев взвешивается условной вероятностью в процентах (вероятностью наступления именно данного сценария в случае, если риск реализовался). По условию несовместности сумма всех условных вероятностей для данного риска должна составить 100 %. Для каждого из сценариев определяется 166 материальность в рублях и влияние на репутацию по 5-ти балльной шкале (см. таблицу П.7). Таблица П.7. Репутационная шкала для оценки материальности риска Балльная оценка Интерпретация 1 Реализация риска практически не повлияет на репутацию 2 Реализация риска приведет к ухудшению репутации и незначительному оттоку клиентов 3 Реализация риска существенно повлияет на репутацию, повлечет умеренный отток потребителей 4 Реализация риска значительно повлияет на репутацию, что снизит инвестиционный рейтинг и стоимость акций на 5–15 % 5 Реализация риска значительно снизит инвестиционный рейтинг, обрушит стоимость акций более чем на 15 % Материальность риска имеет две метрики: 1) средний ущерб, рассчитываемый как математическое ожидание распределения ущерба (в финансовых и репутационных показателях) по трем и более сценариям; 2) VaR (стоимость под риском) – ущерб (в финансовых и репутационных показателях), который не будет превышен с вероятностью 95 %. Таким образом, риск имеет одну оценку вероятности и 4 оценки материальности (средний ущерб и VaR по двум шкалам: финансовой и репутационной). 4.2. Разработка и выполнение мероприятий по управлению рисками Мероприятия по УР можно разделить на 3 категории. 1. Оптимизация риска – процедуры, воздействующие на вероятность либо материальность риска. 2. Передача риска – перенесение всего или части риска на основе договора от одной стороны другой. 3. Избегание риска – терминация (или замена) процессов, которые несут в себе риск. Мероприятия по УР должны дополняться следующей информацией. 167 ответственное лицо и подразделение за выполнение мероприятия; срок выполнения мероприятия; периодичность выполнения мероприятия; дополнительный бюджет на выполнение мероприятия; статус выполнения мероприятия; фактический срок выполнения мероприятий; ссылка на документы, подтверждающие факт выполнения мероприятий; 8) остаточный риск после выполнения комплекса мероприятий. 1) 2) 3) 4) 5) 6) 7) 4.3. Мониторинг рисков Мониторинг рисков заключается в контроле над уровнем риска. Это достигается путем актуализации на регулярной основе (ежеквартально) информации о рисках, мероприятий по УР, статуса выполнения мероприятий, а также путем отслеживания значений КИР, разработанных ранее на этапе идентификации и оценки риска. Отслеживание КИР всех подразделений (бизнес-процессов) Общества выполняется подразделением ВК, ВА и УР на регулярной основе в зависимости от значимости рисков и уровня принятия решения о риске. 5. АРХИТЕКТУРА СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ 5.1. Уровни управления рисками УР в Обществе является многоуровневым. Многоуровневость УР подразделяется на две категории. 1. Многоуровневость по уровням корпоративного управления соответствует корпоративной структуре Общества. Существует два уровня управления Общества: 1) Исполнительный аппарат Общества (ИА); 2) филиалы Общества. 2. Многоуровневость по уровням организационного управления соответствует целям операционного управления и разделяется на 3 уровня: 1) уровень Совета директоров Общества (решения по рискам принимаются на уровне Совета директоров); 2) уровень Правления (решения по рискам принимаются на уровне Правления либо Генерального директора); 168 3) уровень линейного менеджмента (решения по рискам принимаются руководителями функциональных подразделений (участниками и руководителями бизнес-процессов). Для каждого из уровней СУР существует порог принятия решения, который является пороговой величиной риска, при превышении которой решение по риску передается на уровень выше согласно следующим принципам: 1) для уровня линейного менеджмента (бизнес-процессов) принятие решения передается на уровень Генерального директора (Правления); 2) для уровня Генерального директора (Правления) принятие решения передается на уровень Совета директоров. 5.2. Организационная структура управления рисками Организационная структура УР соответствует уровням управления Общества: 1) в Обществе функции по координации процессов УР, сбору информации, консультированию владельцев рисков по методологии УР осуществляют координаторы СУР в составе подразделений ВК, ВА и СУ. 2) В филиалах Общества назначаются ответственные за сбор информации по рискам – координаторы СУР. Координаторы СУР филиалов и Общества осуществляют свою деятельность на основе единых стандартов и методик. С целью эффективного управления рисками на всех уровнях управления, взаимодействие между координаторами СУР регулируется единым регламентом взаимодействия координаторы СУР. Координаторы СУР в филиалах функционально подотчетны координаторам СУР уровня управления Общества. Это позволяет оперативно обмениваться информацией для принятия решений по снижению уровня риска на всех уровнях управления. На уровне Общества решения по УР осуществляет Генеральный директор (Правление). 169 5.3. Роли и ответственность участников Системы управления рисками Роли и ответственность распределены в соответствии со следующими принципами: 1) ответственность за эффективное УР, а также за утверждение бюджета на мероприятия по УР в Обществе несет Генеральный директор (Правление) Общества. Ответственность за эффективное УР на более низких уровнях управления Обществом несут Директора Филиалов; 2) ответственность за решение кросс-функциональных (межпроцессных или выполняемых одновременно несколькими функциональными подразделениями) задач по УР, а также формирование бюджетов на мероприятия по УР несет Генеральный директор (Правление) Общества; 3) ответственность за своевременное выявление, оценку рисков, разработку и выполнение мероприятий, мониторинг рисков несут руководители подразделений (руководители и участники бизнеспроцессов) на всех уровнях управления. Владельцами рисков назначаются руководители тех подразделений (бизнес-процессов), на цели которых оказывает прямое влияние рассматриваемый риск; 4) ответственность за методологическое сопровождение и координацию (своевременный сбор информации) всех процессов УР, а также за своевременное и полное обеспечение информацией о рисках всех заинтересованных сторон (в том числе Правления, Совета директоров) несут координаторы функции УР (координаторы СУР) на всех уровнях управления. Надзор за эффективностью УР осуществляет Комитет по аудиту (Совет директоров). В таблице П.8 кратко представлено распределение ролей и обязанностей участников СУР. 170 Таблица П.8. Роли и обязанности участников СУР Участник Комитет по аудиту при Совете директоров Генеральный директор (Правление) Подразделения (руководители и участники бизнес-процессов) Роль Контролер Гарант Функции и ответственность  Надзор за эффективностью УР  Организация эффективного УР в рамках своей структурной единицы Утверждение бюджетов на мероприятия Утверждение реестра рисков уровня Правления Утверждение реестра рисков Формирование бюджетов на мероприятия Разрешение спорных ситуаций        Исполнители,  владельцы рисков      Координаторы СУР Методологкоординатор   Выявление и оценка рисков Разработка и исполнение мероприятий Своевременная передача информации о рисках и мероприятиях координаторам СУР Фиксация и передача информации о реализовавшихся рисках Координация процессов УР Обучение и консультирование по методологии процессов УР Поддержка и развитие методологической и нормативной базы СУР Информационное обеспечение коллегиальных органов, принимающих совместные решения по рискам Обеспечение всех заинтересованных сторон информацией о рисках 5.4. ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ Информация о рисках используется в процессе принятия решений. Данный принцип означает, что информация о рисках, их величине, текущих и возможных мероприятиях по УР доступна и может быть предоставлена по первому требованию (при наличии обоснования использования такой информации) любому руководителю, специалисту в рамках его компетенции. Информация о рисках должна содержаться в виде базы данных, реализованной на любой информационной платформе (в том числе средствами MS Office). База данных о рисках представляет собой полный спектр связанной информации, которая может быть представлена в виде реестра рисков и паспортов каждого из рисков. 171 Принятие решения о степени и глубине автоматизации процесса УР остается на усмотрение Генерального директора (Правления) Общества. 6. ОТЧЕТНОСТЬ ПО РИСКАМ 6.1. Нормативные документы и стандарты Нормативная база СУР строится на основе положений настоящей Политики, согласуется и не противоречит ей. Нормативная база СУР формируется для каждого из 2 уровней управления: 1) Исполнительного аппарата Общества; 2) филиалов. В таблице П.9 представлен обязательный2 перечень документации СУР и ее назначение. Таблица П.9. Обязательный перечень нормативной базы СУР Документ 2 Назначение документа Политика УР Основные принципы организации, реализации, и контроля процессов УР Классификатор рисков Описание областей рисков, которые далее могут быть конкретизированы посредством детализации информации об объектах, подверженных данным рискам, субъектах влияния рисков, сроках, нормативных актах, проектах, контрагентах и другой релевантной информацией, дающей полное понимание рассматриваемой рисковой области Положение о риск-аппетите и порогах принятия решения Формализация риск-аппетита, порогов разделения уровней принятия решений о рисках Методические рекомендации по УР Описание подходов и методик проведения процедур идентификации, оценки рисков, разработки мероприятий по УР Регламент УР Описание порядка сроков, ответственных по проведению процедур в рамках СУР Отчетные формы по УР Формы предоставления информации о рисках от подразделений, а также формы отчетности по рискам для заинтересованных сторон Перечень нормативных документов СУР может дополняться другими необходимыми документами 172 6.2. Протоколы и отчеты Отчетность СУР обеспечивает решение задач УР и предназначена для полноценного и прозрачного обмена информацией о рисках и информирования в сжатом формате лиц, принимающих решения. В таблице П.10 представлен базовый перечень отчетных документов и их назначение. Таблица П.10. Отчетные документы СУР Отчетный документ Заполняет Назначение документа Реестр рисков Координатор СУР Перечень рисков с ключевой информацией по ним Паспорт риска Подразделения (руководители бизнес-процессов) совместно с координатором СУР (при необходимости) Документ, описывающий всю релевантную информацию по риску. Состоит из следующих основных разделов: 1) информация о риске; 2) мероприятия по УР; 3) реализовавшиеся риски; 4) процедуры реагирования на рисковое событие; 5) ключевые индикаторы риска Карта рисков Координатор СУР Графическое отображение уровня значимости риска. Представляет собой график, по которому на оси абсцисс откладывается вероятность риска, по оси ординат – его интегральная метрика материальности Презентации для Правления, Комитета по аудиту и т. д. Координатор СУР Презентационные материалы в формате MS PowerPoint с основной информацией по рискам и статусу процесса УР, текущими и предстоящими задачами в области РМ 6.3. Оценка эффективности управления рисками и ключевые индикаторы рисков Оценка эффективности УР в Обществе осуществляется на основании: 1) анализа динамики изменения оценки рисков; 2) анализа целостности и полноты действий по снижению рисков; 3) динамики изменения ключевых индикаторов риска (КИР). КИР представляет собой показатель, характеризующий фактор (источник) риска, при этом в общем случае не являясь его оценкой. КИР разрабатываются владельцами рисков, и утверждаются Генеральным директором (Правлением). В целях закрепления ответственности за достижение целевых значений КИР они могут быть установлены в качестве Ключевых показателей эффективности менеджеров и подразделений. 173 Контроль над корректностью расчета КИР осуществляют подразделения ВК, ВА и УР. 174 Приложение 4 РЕГЛАМЕНТ ПО УПРАВЛЕНИЮ РИСКАМИ ЛИКВИДНОСТИ ОАО «УПРАВЛЯЮЩАЯ КОМПАНИЯ «ЕВРОФИНАНСЫ» 1. ОБЩИЕ ПОЛОЖЕНИЯ Настоящий Регламент разработан в соответствии с регламентами и требованиями современной практики УР компаний, основной деятельностью которых выступает управление денежными средствами на финансовых рынках. Регламент соответствует требованиям Устава ОАО «УК «ЕВРОФИНАНСЫ» (далее – Общества) и его внутренних документов. Настоящий Регламент определяет: 1) цели, задачи и принципы УР ликвидности; 2) систему раскрытия информации о рисках ликвидности и порядок мониторинга СУР ликвидности; 3) методы оценки, управления и контроля рисков ликвидности; 4) организацию отчетности по УР ликвидности. Настоящий Регламент разработан с целью достижения оптимального баланса между риском и доходностью для Общества и его Клиентов, передавших в доверительное управление средства для инвестирования, при соблюдении норм законодательства и положений Устава Общества, а также выработки адекватных стимулов для деятельности органов управления Общества, его структурных подразделений и отдельных сотрудников. Для целей настоящего Регламента риск потери ликвидности понимается как неспособность Общества обеспечить исполнение в полном объеме обязательств, вытекающих из профессиональной деятельности, в том числе: 1) вследствие отсутствия необходимого количества денежных средств или финансовых инструментов для исполнения обязательств по договорам; 2) вследствие невозможности своевременного приобретения или отчуждения ценных бумаг; 3) вследствие возникновения непредвиденных (кризисных) ситуаций, которые обусловливают необходимость немедленного и единовременного исполнения финансовых обязательств, возникающих в результате профессиональной деятельности; 4) вследствие несвоевременного исполнения контрагентом 175 (клиентом) или эмитентом своих обязательств. Настоящий Регламент распространяется на случаи невозможности исполнения Обществом денежных обязательств. Общество самостоятельно определяет подходы к управлению ликвидностью для случаев невозможности исполнения обязательств по передаче ценных бумаг и иных финансовых инструментов. 2. ЦЕЛИ, ЗАДАЧИ И ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ ЛИКВИДНОСТИ Целью УР ликвидности является обеспечение устойчивой эффективной деятельности Общества и интересов его Клиентов при максимальной сохранности капитала и активов. УР ликвидности направлено на повышение надежности финансового состояния Общества, его деловой репутации. Задачами УР ликвидности являются: 1) выполнение требований законодательства; 2) своевременное выявление и оценка возможностей реализации событий, неблагоприятных для Общества и его Клиентов; 3) минимизация потерь (убытков) Общества и его Клиентов при реализации неблагоприятных для Общества событий; 4) предотвращение негативного воздействия неблагоприятных событий на деятельность Общества; 5) обеспечение надлежащего раскрытия информации о рисках. Принципы управления рисками ликвидности включают: 1) соответствие требованиям законодательства и стратегии Общества; 2) системность, непрерывность и комплексность управления; 3) информационную обеспеченность управления (надлежащее раскрытие информации о рисках, ее сбор, обработка, анализ и доступность информации для заинтересованных лиц); 4) распределение полномочий, предотвращение конфликтов интересов и закрепление ответственности за сотрудниками Общества; 5) контроль и оценку эффективности управления. 176 3. МЕТОДЫ УПРАВЛЕНИЯ РИСКАМИ ЛИКВИДНОСТИ 3.1. Выявление риска потери ликвидности 1. В целях обнаружения возможных проявлений риска потери ликвидности используются: 1) анализ сбалансированности по срокам финансовых активов и финансовых обязательств, связанных с осуществлением профессиональной деятельности Общества; 2) изучение финансовых потоков, возникающих в результате профессиональной деятельности Общества; 3) анализ разрывов в сроках исполнения финансовых обязательств и получения исполнения по аналогичным обязательствам, связанных с осуществлением профессиональной деятельности Общества; 4) изучение доступной ресурсной базы и резервов ликвидности, прогноз ликвидности; 5) сценарный анализ (стресс-тестирование); 6) исследование и обобщение случаев возникновения дефицита (избытка) ликвидности как в связи с осуществлением Обществом деятельности на рынке ценных бумаг, так и на финансовом рынке в целом; 7) иные методы, позволяющие выявить неспособность Общества обеспечить исполнение денежных обязательств и обязательств по передаче ценных бумаг и иных финансовых инструментов своевременно и в полном объеме. 2. Управление ликвидностью рассматривается Обществом при осуществлении профессиональной деятельности как элемент общей системы управлению всеми аспектами деятельности, в том числе при обеспечении хозяйственной деятельности (текущие платежи, арендная плата, выплата заработной платы и т. п.). 3.2. Сценарный анализ При проведении сценарного анализа используются три сценария: 1) базовый сценарий, предполагающий сохранение в основных чертах сложившегося ко времени проведения анализа состояния Общества и ситуации на финансовом рынке; 2) сценарий индивидуальной неустойчивости, связанный, в 177 частности, с незапланированной необходимостью исполнения Обществом финансовых обязательств, возникающих в результате профессиональной деятельности, в большом объеме; 3) сценарий системной неустойчивости, обусловленный кризисными явлениями на финансовом рынке в целом. Помимо упомянутых сценариев при проведении сценарного анализа Общество вправе использовать дополнительные сценарии. Общество проводит сценарный анализ не реже одного раза в год. Методики и процедуры сценарного анализа разрабатываются Обществом самостоятельно. При проведении сценарного анализа Общество использует исторические и теоретически возможные данные, информацию о состоянии ликвидности на финансовом рынке, финансовой устойчивости крупных контрагентов и клиентов, показатели предстоящих сделок и операций, аналитические обзоры и прогнозы, рекомендации консультантов и пр. При проведении сценарного анализа Общество учитывает сезонные и иные факторы, изменяющие интенсивность финансовых потоков. В результате проведения сценарного анализа Общество: 1) выявляет возможности реализации различных сценариев и их последствия; 2) определяет внутренние и внешние факторы, оказывающие существенное влияние на управление ликвидностью; 3) оценивает возможные изменения значений величин и показателей ликвидности и выявляет ситуации избытка (дефицита) ликвидности; 4) устанавливает значения лимитов по величинам и показателям ликвидности; 5) вырабатывает рекомендации по осуществлению профессиональной деятельности в кризисных ситуациях. 3.3. Прогноз ликвидности При проведении прогноза ликвидности, указанного в подпункте, используются горизонты прогноза до 7 и до 30 дней. Помимо указанных горизонтов прогноза, Общество при проведении прогноза ликвидности использует дополнительные горизонты прогноза. Общество проводит прогноз ликвидности со следующей периодичностью: 1) для горизонта прогноза до 7 дней – ежедневно; 2) для горизонта прогноза до 30 дней – один раз в неделю; 3) для иных горизонтов прогноза – в соответствии с внутренними 178 документами Общества. Методики и процедуры прогноза ликвидности разрабатываются Обществом самостоятельно. При проведении прогноза ликвидности Общество использует данные о предстоящих платежах и обязательствах по передаче ценных бумаг и иных финансовых инструментов, информацию о надежности финансовых инструментов, контрагентов и клиентов, участвующих в сделках, и пр. В результате прогноза ликвидности для каждого горизонта прогноза: 1) оцениваются потребности в финансовых ресурсах для исполнения обязательств, возникающих в процессе осуществления профессиональной деятельности; 2) составляется график платежей и поступлений; 3) определяется соответствие значений величин и показателей ликвидности установленным лимитам и выявляются возможные нарушения лимитов; 4) оценивается объем и определяются источники дополнительных ресурсов, в отношении которых Общество может обеспечить в срок, не превышающий одного рабочего дня, возможность их использования для выполнения обязательств, возникающих в результате профессиональной деятельности (резерв краткосрочной ликвидности); 5) оценивается объем и определяются источники дополнительных ресурсов, в отношении которых Общество может обеспечить в срок, не превышающий двух недель, возможность их использования для выполнения обязательств, возникающих в результате профессиональной деятельности (резерв текущей ликвидности). Прогноз ликвидности по первым трем подпунктам осуществляется ежедневно. Прогноз ликвидности по остальным подпунктам осуществляется, исходя из специфики и масштабов профессиональной деятельности, с периодичностью, позволяющей прогнозировать резервы ликвидности. 3.4. Оценка риска потери ликвидности Общество на регулярной основе проводит оценку риска потери ликвидности, исходя из специфики и масштабов профессиональной деятельности, как в разрезах бизнес-процессов, продуктов и услуг, так и по Обществу в целом. При оценке риска потери ликвидности Общество определяет следующие 179 величины и показатели: 1) величины дефицита (избытка) краткосрочной и текущей ликвидности; 2) показатели дефицита (избытка) краткосрочной и текущей ликвидности. Величина дефицита (избытка) ликвидности рассчитывается как разность между существующими финансовыми ресурсами и финансовыми обязательствами (см. раздел 3.8). Эта величина определяется отдельно для сроков до 7 дней (краткосрочная ликвидность) и до 30 дней (текущая ликвидность). Показатель дефицита (избытка) ликвидности рассчитывается как отношение суммы величины дефицита (избытка) ликвидности и резервов ликвидности в соответствии с резервами краткосрочной и текущей ликвидности к финансовым обязательствам в соответствии с Приложением к настоящему Регламенту. Этот показатель определяется отдельно для сроков до 7 дней (краткосрочная ликвидность) и до 30 дней (текущая ликвидность). Значение дефицита ликвидности при расчетах отражается со знаком «минус». Общество, исходя из специфики профессиональной деятельности, может вводить дополнительные сроки для расчета величин и показателей дефицита (избытка) ликвидности. Общество вправе, исходя из масштабов и специфики профессиональной деятельности на финансовом рынке, вводить внутренними документами дополнительные величины и показатели для оценивания риска потери ликвидности. Величина дефицита (избытка) краткосрочной ликвидности и показатель дефицита (избытка) краткосрочной ликвидности рассчитываются ежедневно. Величина дефицита (избытка) текущей ликвидности и показатель дефицита (избытка) текущей ликвидности рассчитываются еженедельно. Для иных величин и показателей дефицита (избытка) ликвидности периодичность расчета определяется Обществом самостоятельно. Общество самостоятельно разрабатывает процедуры и методики определения величин и показателей ликвидности. 3.5.. Контроль и реагирование на риск потери ликвидности Общество, руководствуясь основными принципами УР, самостоятельно определяет по результатам оценивания значимость выявленного риска потери ликвидности, формирует порядок и периодичность контроля риска 180 и подходы к реагированию на риск. Общество с целью ограничения риска потери ликвидности обязана, исходя из масштабов и специфики профессиональной деятельности на финансовом рынке, устанавливает систему лимитов по каждому показателю (величине) дефицита (избытка) краткосрочной и текущей ликвидности. Общество устанавливает лимиты как на случаи дефицита ликвидности, так и на случаи избытка ликвидности. Общество самостоятельно определяет периодичность контроля лимитов, но не реже одного раза в течение рабочего дня. Общество предусматривает также лимиты, ограничивающие: 1) концентрацию сроков получения денежных средств, ценных бумаг и иных финансовых инструментов; 2) концентрацию сроков исполнения обязательств по сделкам с ценными бумагами и иными финансовыми инструментами; 3) концентрацию источников получения денежных средств, ценных бумаг и иных финансовых инструментов; 4) концентрацию кредитных, рыночных и операционных рисков; 5) а также по иным основаниям, связанным с концентрацией рисков. Общество предусматривает процедуры управления избытком ликвидности, в том числе, размещение финансовых активов на финансовом рынке, с учетом ожидаемого дефицита ликвидности. 3.6. Восстановление ликвидности в случае возникновения непредвиденных (кризисных) ситуаций Общество разрабатывает систему мер по восстановлению ликвидности в случае возникновения непредвиденных (кризисных) ситуаций, в том числе: 1) процедуры и сроки восстановления ликвидности; 2) условия получения займов (привлечение кредитов (займов), заключение сделок РЕПО, эмиссия долговых финансовых инструментов); 3) увеличение уставного капитала, оказание финансовой помощи Обществу ее учредителями (участниками) и иными лицам; 4) реструктуризацию (изменение) финансовых обязательств по сделкам с финансовыми инструментами, в том числе увеличение сроков их исполнения; 5) ограничение (прекращение) операций, снижающих уровень величин и показателей ликвидности; 6) реструктуризацию активов Общества, в том числе продажу части активов; 181 7) сокращение расходов. 3.7. Отчётность Общества по управлению ликвидностью В дополнение к общим сведениям, в экстренную внутреннюю отчетность по УР необходимо включить, в том числе, краткий анализ ситуации, связанной с возникновением убытков, повлекших необходимость выпуска экстренной отчетности. В дополнение к общим сведениям, в ежеквартальную внутреннюю отчетность по УР необходимо включить, в том числе, следующее: 1) сведения о понесенных убытках; 2) сведения о событиях, способных привести к реализации риска потери ликвидности (задержки в расчетах, отказы от исполнения сделок, требования досрочного возврата средств и пр.); 3) сводные данные по величинам и показателям ликвидности за квартал; 4) сводные сведения о нарушениях лимитов за квартал; 5) результаты прогноза ликвидности и сведения о соответствии результатов прогноза ликвидности в течение квартала данным по величинам и показателям ликвидности; 6) данные по концентрации рисков, влияющих на состояние ликвидности. В дополнение к общим сведениям, в ежегодную внутреннюю отчетность по УР необходимо включить, в том числе, результаты сценарного анализа на следующий отчетный период и сведения о соответствии результатов сценарного анализа за предыдущий отчетный период данным по величинам и показателям ликвидности. 3.8. Расчет величины и показателя ликвидности 1. Величина дефицита (избытка) ликвидности определяется по формуле: 𝛥𝐿(𝑇) = 𝐴(𝑇) − 𝑂(𝑇), где: 𝐴(𝑇) – сумма финансовых активов для выполнения финансовых обязательств, возникающих в результате профессиональной деятельности, которые имеются в распоряжении Общества или будут получены в срок до 𝑇 дней, рассчитанная нарастающим итогом; 𝑂(𝑇) – сумма финансовых обязательств, возникающих в результате профессиональной деятельности Общества, со сроком 182 исполнения до 𝑇 дней, рассчитанная нарастающим итогом. 2. Показатель дефицита (избытка) ликвидности определяется по формуле: 𝐾𝐿 (𝑇) = [𝐴(𝑇) + 𝐿доп ]/𝑂(𝑇), где: 𝐿доп – резерв ликвидности (в случае, если Обществом в конкретном расчете не определяется резерв ликвидности, 𝐿доп = 0). 183 Основные термины и определения «Разъясняйте смысл понятий, и вы избавите мир от половины заблуждений» Р. Декарт А Б Безрискоая зона – это область, в которой потери не ожидаются. В Величина (уровень, степень) риска – количественная оценка риска, в которой учитывается как объективная сторона (рискованность), так и субъективное отношение к риску заинтересованного лица. Вероятность – объективная возможность осуществления чего-либо, степень осуществимости. Вероятность события – математический показатель, характеризующий предельное значение, к которому стремится отношение благоприятствующих этому событию исходов к общему числу всех исходов при достаточно большом числе наблюдений. Владелец риска – 1) лицо, которое имеет полномочия и несет ответственность за УР; 2) руководитель подразделения, на достижение целей которого влияет риск. Внутренний аудит – это деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления. Внутренний контроль – это процесс, осуществляемый Советом директоров, руководством и другим персоналом организации, направленный на получение разумной уверенности в том, что будут достигнуты цели по экономичности и эффективности операций, достоверности отчетности, соответствию требованиям. Г 184 Д Е Ж З Зона допустимого риска – это область, в пределах которой величина возможных потерь не превышает расчётной прибыли. Зона катастрофического риска – это область возможных потерь, которые могут достигнуть величины собственного капитала. Зона критического риска – это область возможных потерь, превышающих расчётную прибыль вплоть до величины расчётной выручки (затраты плюс прибыль). В данном случае предприниматель рискует понести убыток в размере всех произведённых затрат. И Идентификация риска – отнесение рассматриваемого риска к известному виду или классу. Измерение риска – см. количественная оценка риска. Инкорпорировать – включить. К Карта рисков – это один из инструментов управления рисками. Она представляет собой двумерную систему координат с осями «Вероятность реализации риска» и «Ущерб для компании от реализации риска». Компенсация риска – метод управления риском, который предусматривает создание определённых резервов (финансовых, материальных, информационных). Относится к упреждающим методам управления (управление по возмущению) путём стратегического планирования деятельности предприятия, создания механизмов предупреждения возникновения потерь, создания условий, исключающих появление причин риска. Классификация рисков – распределение рисков на однородные группы, в которых они в вероятностном смысле ведут себя идентично. Количественная оценка риска – количественное представление уровня или значения риска. Комитет по рискам – подразделение при Правлении Компании, в обязанности которого входят: обеспечение инфраструктуры и процесса УР, 185 рассмотрение реестра рисков, определение методов воздействия на риски, утверждение планов мероприятий по УР и др. Координатор – подразделение /специалист, ответственное за поддержку процесса УР. Кредитный риск представляет собой риск невыполнения кредитных обязательств перед кредитной организацией. Кривая распределения (плотность распределения) вероятности – показывает, какова вероятность того или иного значения случайной величины. Кривая риска – это кривая вероятности потерь. Критерием эффективности системы управления – степень совпадения фактического результата с требуемым (желаемым). Критерий позволяет определить хорошо или плохо работает система, успешно ли она выполняет свои функции. Кросс-функциональное взаимодействие – это совместная работа, которая позволяет обеспечить быстрое и комплексное взаимодействие сотрудников для достижения общих целей. Л Линия толерантности риска – графическое изображение границы толерантности к риску на карте рисков. М Матрица риска – инструмент классификации и представления риска путём ранжирования последствий и правдоподобности / вероятности. Математическое ожидание – числовая характеристика центра группирования значений случайной величины; среднее ожидаемое значение. Медиана – это такое число выборки, что ровно половина из элементов выборки больше него, а другая половина меньше него. Мера риска – мера несовпадения цели и результата, мера отклонения фактического результата от ожидаемого. Митигация (митигирование) рисков – это снижение последствий от реализации рисков. Мониторинг риска – это процесс регулярного анализа показателей риска и принятие решений, направленных на минимизацию риска при сохранении требуемого уровня прибыльности. Н 186 Негативные риски – это риски, которые могут привести к ухудшению ситуации (поменять в худшую сторону продукт, повысить стоимость работ, снизить качество). Неопределённость – неполнота и неточность информации о чём-либо. недостаточность сведений о чём-либо. Неопределённость – необходимое и достаточное условие возникновения риска. О Объект риска – объект, на который воздействуют факторы риска. Операционный риск – это риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации, и требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и иными лицами, а также в результате воздействия внешних событий. Оценка риска: 1) мнение о величине риска; 2) количественная мера риска. П Передача риска – передача ответственности за последствия риска другому лицу. Позитивные риски – это риски, влекущие за собой возможность улучшить продукт, сократить сроки работ, снизить их стоимость, а также повысить качество. Политика управления рисками – это краткий документ, описывающий основные принципы управления рисками в компании. Принятие риска – решение принять некоторый уровень риска, не предпринимая мер по его изменению. Процентный риск – это риск возможного снижения чистого процентного дохода вследствие негативного, непредвиденного изменения процентных ставок на рынке, чувствительности активов и обязательств к колебаниям рыночной конъюнктуры, последствием чего может стать снижение рыночной стоимости капитала кредитной организации. Профиль факторов риска – описание какого-либо набора факторов риска. Р Регламент управления рисками – это документ, содержащий основные принципы и подходы к управлению рисками компании. Регулирование – правило, подчинять правилу: управляющее, корректирующее воздействие с целью поддержания протекающих 187 процессов на определённом уровне или предотвращения, подавления неблагоприятных явлений. Регулировать: 1) подчинять определённому порядку, правилу; 2) воздействовать для получения нужных показателей. Реестр риска – форма записи информации об идентифицированном риске. Репутационный риск – риск потерь деловой репутации банка, связанный с несоответствием качества его операций ожиданиям контрагентов и клиентов, с негативным общественным мнением о финансовой устойчивости и компетентности банковского руководства и персонала. РЕПО – сделка (Соглашение) купли (продажи) ценной бумаги с обязательством обратной продажи (покупки) через определённый срок по заранее определённой в этом соглашении цене. Соглашение РЕПО условно может рассматриваться как краткосрочный заём денежных средств под залог ценных бумаг (облигаций, векселей, депозитных сертификатов), принадлежащих продавцу, чаще всего краткосрочных долговых бумаг денежного рынка – при этом, чисто юридически, соглашение РЕПО оформляется как купля и продажа, а не как заём. Риск – возможность наступления одного или нескольких случайных событий, являющихся причиной отклонения фактического результата (или величины экономического показателя) от ожидаемого значения. Риск-аппетит – это уровень риска, на который готова пойти организация для достижения бизнес-целей. Рискованность – это объективное свойство любого случайного события, процесса или явления, связанное с неточностью оценки результата. Риск ликвидности – это риск понести убытки вследствие неспособности или невозможности банка своевременно и без потерь для себя привлечь дополнительные финансовые ресурсы или реализовать имеющиеся активы для выполнения взятых обязательств перед кредиторами и вкладчиками. Риском несбалансированной ликвидности – это риск потери дохода вследствие неспособности или невозможности банка своевременно отрегулировать свою ликвидную позицию, т. е. привести в соответствие и без потерь для себя объем обязательств и источники их покрытия. Риск-менеджмент – см. управление риском. Риск потери доходности – возможность изменения финансового результата деятельности банка под влиянием фундаментальных и коммерческих рисков, вытекающих из деятельности кредитной организации. Рисковое решение – решение, принимаемое в ситуации риска. 188 Рисковое событие – случайное событие, которое может привести к отклонению фактического результата (или экономического показателя) от ожидаемого значения. С Сигнал риска – отклонение фактического результата или экономического показателя от ожидаемого значения под воздействием рискового события. Система – множество составляющих единство элементов, связей и взаимодействий между ними и внешней средой, образующих присущую данной системе целостность, качественную определённость и целенаправленность. Система управления риском – система, в которой протекают процессы управления риском. Системный подход – подход к исследованию объекта как к системе, в которой выделены элементы, внутренние и внешние связи, а цели каждого из элементов определены из общего предназначения объекта. Ситуация риска – это ситуация выбора и реализации решения в условиях неопределённости и риска. Случайная величина – величина, которая в каждом наблюдении может принять то или иное значение, причём неизвестно заранее какое именно. Случайное событие – событие, про которое нельзя точно знать произойдёт оно или нет. Снижение (уменьшение) риска – уменьшение либо вероятности наступления рискового события, либо размеров возможного ущерба. Событие – это то, что произошло или может произойти, это – значительное явление. Сохранение (удержание) риска – означает, что его оставляют на существующем уровне. Спекулятивные риски – риски, которые могут привести как к положительному, так и к отрицательному результату. Среднее арифметическое множества чисел – число, равное сумме всех чисел множества, делённой на их количество. Статистический метод измерения риска – метод количественной оценки риска, основанный на обработке статистической информации. Стоимостная оценка риска (Value-at-Risk – VAR) – оценивает потенциальное падение стоимости рискованного актива или портфеля в течение определённого периода времени при заданном (доверительном) уровне вероятности. Стохастический (вероятностный) риск – риск, связанный с наступлением случайных событий, вероятность появления которых может быть определена математически или экспертным путём. 189 Стратегия риск-менеджмента – совокупность процедур, правил или алгоритмов по управлению риском. Страхование риска – передача ответственности за последствия риска от его носителя к страховой компании. Страховой случай – свершившееся событие с наступлением которого возникает обязанность страховой компании по страховой выплате. Стресс-тестирование – метод анализа рисков, суть которого заключается в том, чтобы понять, что может случиться и какие убытки может понести компания в той или иной кризисной ситуации. Субъект управления риском – отдельное лицо или группа людей, которые с помощью различных способов управленческого воздействия осуществляют целенаправленное функционирование системы управления риском. Сущность риска заключается в несоответствии цели и результата и позволяет судить о несовпадении между ними. Т Тактика риск-менеджмента – конкретные методы и приёмы для достижения поставленной цели в конкретной ситуации риска. Толерантность к риску – это допустимый уровень риска, при котором компания сохраняет финансовую устойчивость. У Уклонение от риска – избегание, исключение риска. Метод, позволяющий полностью избежать возможность реализации риска, разработать решения, исключающие возникновение рисковых ситуаций. Управление – функция системы, ориентированная либо на сохранение основного качества, либо на выполнение некоторой программы, обеспечивающей устойчивость функционирования, достижение цели. Управление риском – процесс организации и целенаправленного воздействия на объект риска, в результате которого он должен перейти в требуемое (целевое, желаемое) состояние. Уровень рискованности – количественная оценка риска, которая учитывает только объективную составляющую риска, характеризует риск как объективное свойство случайного процесса (явления), не принимая во внимание отношение к риску заинтересованного лица, или лица, принимающего решение. Ущерб – убыток, непредвиденные расходы, утрата имущества и денег, недополученная выгода. Ф 190 Факторы риска – это: 1) воздействующие на объект риска факторы, вызывающие появление рискового события; 2) причины, из-за которых происходит отклонение результата от ожидаемого значения. Функция распределения случайной величины – функция, определяющая вероятность того, что случайная величина в процессе наблюдения не превысит заданного значения. Х Хеджирование риска – система мер, позволяющая исключить или уменьшить риск финансовых операций из-за изменения процентных ставок, курса валюты, цены на товары и т. п. в будущем. Ц Цель риск-менеджмента должна соответствовать целевой функции предприятия и заключается в получении наибольшей прибыли при приемлемом соотношении прибыли и риска. Ч Чистые риски – риски, приводящие к получению отрицательного или нулевого результата. Ш Шанс – возможность неопределенности. благоприятного исхода в условиях Щ Э Экономический риск – риск, связанный с возможностью отклонения характеристик экономического состояния хозяйствующего субъекта от ожидаемых значений. Экспертный метод измерения риска – количественная оценка риска, основанная на статистической обработке мнения экспертов. Ю Я 191 192 Основные сокращения ВА – Внутренний аудит. ВК – Внутренний контроль. ИА – Исполнительный аппарат. ИВА – Институт внутренних аудиторов России. ИФНС – Инспекция Федеральной налоговой службы. КБ – Конструкторское бюро. КИР – Ключевые индикаторы рисков. МПСВА – Международные профессиональные стандарты внутреннего аудита. МТР – Материально-технические ресурсы. МЧС – Министерство случайных ситуаций. НИОКР – Научно-исследовательские и опытно-конструкторские работы. НИЦ – Научно-исследовательский центр. ОАО – Открытое акционерное общество. ПТУ – Профессионально-техническое училище. ПУР – Политика управления рисками. ПЭО – Планово-экономический отдел. РМ – Риск-менеджмент. РУР – Регламент управления рисками. РусРиск – Русское общество управления рисками. СВК – Система внутреннего контроля. СРМ – строительно-монтажные работы. СУР – Система управления рисками. СЭС – Санитарно-эпидемиологическая станция. ТК РФ – Трудовой кодекс Российской Федерации. УР – Управление рисками. ФГУП – Федеральное государственное унитарное предприятие. ФНС – Федеральная налоговая служба. AIRMIC – Ассоциация риск-менеджмента и страхования. BSC – Система сбалансированных показателей. COSO – Комитет организаций-спонсоров Комиссии Тредвея. ERM – Управление рисками. COSO ERM – Стандарт по управлению рисками Комитета организаций-спонсоров Комиссии Тредвея. EBITDA – Прибыль до вычета процентов, налогов и амортизации. ERP – Планирование ресурсов предприятия. ERP-система – Программный пакет, реализующий стратегию ERP. FERMA – Федерация европейских ассоциаций риск-менеджеров. IRM – Институт риск-менеджеров (Великобритания). ISO – Международная организация по стандартизации. ISO/IEC Guide 73 Risk Management – Международная организация по стандартизации и международная электротехническая комиссия «Управление рисками». IT – Информационные технологии. MS Office (Microsoft Office) – офисный пакет приложений, созданный для операционных систем Microsoft Windows и др. В состав пакета входит программное обеспечение для работы с различными типами документов: текстами, электронными таблицами, базами данных и т. д. MS PowerPoint (Microsoft Office PowerPoint) – программа подготовки и просмотра презентаций. Подготовленные материалы предназначены для отображения на большом экране – через проектор либо телевизионный экран большого размера. PR-атака – Разрушение старых и создание новых связей между компаниями и потребителями на рынке и в обществе. VaR – Стоимостная оценка риска. 194 Библиографический список 1. Риск-менеджмент, внутренний контроль и аудит. – http://svk4u.ru/. 2. Панягина, А. Е. Основные принципы и этапы управления рисками организации // А. Е. Панягина // Научно-методический электронный журнал «Концепт». – 2013. – № 03. – С. 26–30. – http://e-koncept.ru/2013/13050.htm. 3. ГОСТ Р 51897–2011 / Руководство ИСО 73: 2009. Менеджмент риска. Термины и определения. – http://docs.cntd.ru/document/gost-r-51897-2011. 4. Cтандарт ISO31000–2018. – https://risk-academy.ru/download/iso31000/. 5. Стандарт FERMA. – http://rrms.ru/upload/common/doc/Doc-pdf_RU_2005.pdf 6. ГОСТ Р ISO/МЭК 31010–2011. Менеджмент риска. Методы оценки риска. – http://docs.cntd.ru/document/1200090083 7. Политика управления рисками в ОАО МРСК Центра. – https://www.mrsk-1.ru> docs> Regulition6. 8. Регламент по управлению рисками ликвидности Открытого Акционерного Общества «Управляющая компания «Еврофинансы». – http://www.eufn.ru/download/docs/uk/risk/risk3.pdf. 9. Макеев, Р.В. Постановка систем внутреннего контроля: от проверки отчетности к эффективности бизнеса / Р.В. Макеев. – М.: Вершина; СПб: Бейкер Тилли русаудит, 2008. – 287 с. 10. Стандарт управления рисками COSO ERM. – https://www.dvbi.ru/risk-management/library/Token/ViewInfo/ItemId/5/ Сайты по управлению рисками Сайты общественных организаций: 1) http://www.iia-ru.ru – сайт Института внутренних аудиторов (ИВА) России. Есть закрытая часть, доступ – только для членов ИВА. Институт проводит ежегодные конференции – http://www.ivaconf.ru/, а также конкурс на звание лучшего внутреннего аудитора года – http://www.iva-ag.ru/. 2) https://www.acfe-rus.com/ – сайт Российского отделения сертифицированных специалистов по расследованию хищений. Юридическое лицо закрыто. 3) http://www.rrms.ru/ – сайт Русского общества управления рисками (РусРиск). Не русскоязычные сайты по УР (с материалами на русском): 1) http://www.ferma.eu/ – сайт Федерации европейских ассоциаций риск-менеджеров. Раньше можно было скачать актуальную версию стандарта FERMA на русском языке, сейчас ничего не осталось. 2) http://www.coso.org/ – официальный сайт COSO. Можно бесплатно скачать основные положения (концептуальные основы) COSO ERM. Сайты журналов В конце 00-х на русском языке издавались журнал «Риск-менеджмент» и «Внутренний контроль и аудит». Оба закрыты. Сохранился архив журнала «Риск-менеджмент», сайт – http://www.riskm.ru/. Остался единственный известный журнал, который регулярно затрагивает темы про риск-менеджмент – «Финансовый директор», сайт – http://fd.ru/. Там же есть статьи и про мошенничество с отчетностью. Для нормального просмотра нужна регистрация. Сайты консультантов К сожалению, из больших консультационных компаний никто сейчас не держит в открытом доступе своё видение постановки УР. Но подходы можно посмотреть просто на сайтах, внутренний аудит можно найти в разделах «Консультационные услуги / управление рисками». Есть несколько интересных сайтов профессиональных консультантов: 1) https://ms456000.wordpress.com/ – блог С.А. Мартынова; 2) http://cebb.ru/ – сайт О. Ознобина, консультанта по обеспечению экономической безопасности бизнеса; 3) http://www.abc.org.ru/index.html – адрес компании ABC Consulting; 4) http://www.risk-academy.ru/ – сайт А. Сидоренко. Раньше было много бесплатного, сейчас из методологического остались презентации и книжка. 5) http://www.cfo.by/ – сайт Н. Гуринович, эксперта, консультанта и тренера по финансам и антикризисному управлению, организатора проекта «CFOs Territory», независимой площадки для профессионального общения и обмена опытом финансистов. 196 Социальные сети В социальных сетях особой активности по данным вопросам нет. Но все же можно указать: 1) https://www.facebook.com/newtechaudit/ – в основном про банковский аудит; 2) https://www.facebook.com/theriskacademy/ – в основном по мотивам сайта Риск-академии; 3) https://www.facebook.com/iiarus/ – официальная страница Института внутренних аудиторов. Другие сайты Наибольшая активность – в части УР. Что-то есть на сайте: http:/www.cfin.ru, но не особо много. Конец лекций 197

Рекомендованные лекции

Смотреть все
Менеджмент

Риск-менеджмент

Курс лекций по дисциплине «Риск-менеджмент» 1. Определение риска. Сущность риска. Цели и задачи рискменеджмента. Регуляторы рисков. В современной экон...

Менеджмент

Риск и стандарты на менеджмент риска

ЛЕКЦИЯ ДОД РИСК И СТАНДАРТЫ НА МЕНЕДЖМЕНТ РИСКА Риск - это неотъемлемая часть всех видов деятельности. Воздействие рисков на организацию может иметь п...

Менеджмент

Менеджмент риска. Методы оценки риска

ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска. ГОСТ Р ИСО/МЭК 31010-2011 Группа Э65 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ Менед...

Экономика

Менеджмент риска. Методы оценки риска

ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска. ГОСТ Р ИСО/МЭК 31010-2011 Группа Э65 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ Менед...

Менеджмент

Процесс риск-менеджмента

Процесс риск-менеджмента План: 1. Окружающая среда риск-менеджмента. 2. Выявление рисков. 3. Классификация рисков. Окружающая среда риск-менеджмента П...

Менеджмент

Определение и понятия риска. История риск-менеджмента

Введение в предмет «Риск-менеджмент» План: 1. Определение и понятия риска. 2. История риск-менеджмента. 3. История отечественного риск-менеджмента. 4....

Менеджмент

Менеджмент риска. Принципы и руководство

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ стандарт РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р ИСО 31000- 2010 Менеджмент риска ПР...

Экономика

Менеджмент риска. Принципы и руководство

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ НАЦИОНАЛЬНЫЙ стандарт РОССИЙСКОЙ ФЕДЕРАЦИИ ГОСТ Р ИСО 31000- 2010 Менеджмент риска ПР...

Менеджмент организации

Концептуальные основы риск-менеджмента

Лекция №1 КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ РИСК-МЕНЕДЖМЕНТА 1.1 Понятия «риск» и «неопределенность» 1.2 Управление риском: сущность и содержание 1.3 Концепции ми...

Менеджмент организации

Процедуры риск-менеджмента инвестиционного проекта

ПРОЦЕДУРЫ РИСК-МЕНЕДЖМЕНТА ИНВЕСТИЦИОННОГО ПРОЕКТА 1. ЭТАПЫ И ОРГАНИЗАЦИЯ РИСК-МЕНЕДЖМЕНТА ИНВЕСТИЦИОННОГО ПРОЕКТА 2. КЛАССИФИКАЦИЯ ПРОЕКТНЫХ РИСКОВ 3...

Смотреть все