Как эффективно управлять рисками в компании

Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.

Управление рисками организации: основные направления

Процессы управления рисками охватывают 4 основные области:

1. Управление рисками угроз
2. Внутренний контроль
3. Внутренний аудит
4. Соответствие регуляторным требованиям

Управление рисками угроз

Для оценки угроз, риск менеджеры следуют следующим пяти шагам:

1. Определение вероятности риска
2. Оценка частоты и серьезности последствий
3. Определение альтернативных подходов, включая оптимизацию бизнес-процессов, которые приведут к снижению вероятности и/или последствий риска
4. Выбор и реализация действий, определенных на предыдущем этапе
5. Контроль реализации действий и их корректировка, по мере необходимости

Этот процесс ориентирован на превентивное и на антикризисное управление рисками.

В управлении рисками следует различать понятия риска, угрозы и воздействия:

1. Риск — негативное или позитивное явление, которое может произойти и оказать влияние на процесс / проект
2. Угроза — возможная опасность, которую несет в себе риск
3. Воздействие — величина последствий, которые происходят, в случае наступления риска
4. Величина риска = вероятность возникновения риска * воздействие

Внутренний контроль

Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.

Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.

Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.

Внутренний аудит

Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.

Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.

Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.

Соответствие регуляторным требованиям

Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.

Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.

Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.

Примеры подходов к управлению рисками организации

В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.

ISO 31000

ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.

Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.

ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.

Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.

CAS

Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.

В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.

О ERM они сказали следующее:

…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management

Примеры типов рисков

• Угрозы: стихийные бедствия, материальный ущерб и прочее.
• Финансовые риски: например, риски активов, ценных бумаг или фиатных валют
• Стратегические риски: конкуренция, тенденции бизнеса и так далее.
• Операционные риски:удовлетворенность клиентов, целостность бренда, репутация, неисправности и отказы продукта

Процессы управления рисками

• Создание контекста: внутренний и внешний охват организации, а также охват системы ERM
• Определение рисков: поскольку они связаны с целями организации, они должны быть хорошо документированы и включать соответствующий потенциал для получения конкурентных преимуществ, в результате совершенствования процесса
• Анализ серьезности рисков: для каждого из выявленных рисков оцените (и, если возможно, оцените количественно) серьезность каждого риска
• Интеграция рисков: на основе результатов предыдущего анализа рисков агрегируйте все распределения рисков и приведите анализ в соответствие с влиянием на ключевые показатели эффективности
• Определение приоритетов рисков: определите ранжированный порядок приоритетов для каждого из выявленных рисков
• Стратегии управления рисками: включает в себя стратегии разрешения и использования выявленных рисков
• Мониторинг и анализ результатов: постоянное совершенствование процесса управления рисками путем мониторинга и оценки среды рисков. Это оценка того, что работает, а что нет.

COSO

COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:

Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance

COSO акцентирует внимание на пяти компонентах системы управления рисками организации:

1. Руководство и культура
2. Стратегия и постановка целей
3. Производительность
4. Анализ и пересмотр
5. Информация, коммуникации и отчетность

Руководство и культура

Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.

Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.

Стратегия и постановка целей

Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.

Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.

Производительность

Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.

В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.

После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.

Анализ и пересмотр

Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.

Информация, коммуникация и отчетность

ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.

Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.

Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):

Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.

Процесс управления рисками организации

Процесс управления рисками организации состоит из пяти элементов:

Определение целей и обеспечение согласованности ERM со стратегией бизнеса

В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.

Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.

Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.

Идентификация и документирование рисков

Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.

Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.

Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.

Оценка документированных рисков

Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.

После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.

Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.

Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.

Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.

Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.

Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.

Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:

Ответ на риск

Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.

Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.

Ответ на риск подразделяется на четыре собственные категории:

Уклонение

Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.

Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.

Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.

Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.

Снижение

Часто риски могут быть снижены различными способами.

Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.

Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.

Разделение

Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.

На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.

Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.

По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.

Принятие

Принять риск это значит не предпринимать никаких действий.

Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.

Мониторинг рисков

Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.

Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.

Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.

Автор: Андрей Зайцев

Источник: материалы сайта rzbpm.ru

М.И. Павлов, член Института внутренних
аудиторов, профессиональный корпоративный
директор (Российский институт директоров), член совета директоров ОАО
«Новосибирский речной порт»

Опубликовано в
журнале «Акционерное общество: вопросы корпоративного управления» №11(150)
за ноябрь 2016 года

В октябрьском
номере журнала за 2015 год в статье «Управление
рисками как неотъемлемая часть системы управления предприятием. Причины проблем
при организации управления рисками на предприятии с государственным участием»
мы писали о том, почему во многих компаниях недостаточно эффективно
функционируют системы управления рисками.

А что такое
«эффективная» система управления рисками? Как ее построить? И, наконец, какова
роль внутренних аудиторов в ее построении?

В настоящей статье
попытаемся ответить на  эти вопросы.

Риски являются
объективным и неизбежным фактором любой хозяйственной деятельности. То есть, и
управление рисками необходимо при любой хозяйственной деятельности.

Свод общих
положений «Управление рисками организаций. Интегрированная модель», который был
разработан в 2004 г. комитетом спонсорских организаций Комиссии Трэдуэй (COSO ERM) дает следующее
определение управлению рисками:

«Управление рисками организации — это
процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками,
который начинается при разработке стратегии и затрагивает всю деятельность
организации. Он направлен на выявление потенциальных событий, которые могут
влиять на организацию, и управление связанным с этими событиями риском, а также
на осуществление контроля за непревышением риск — аппетита организации и
предоставление разумной уверенности в достижении целей организации».

Документ COSO ERM (с
последующими изменениями и дополнениями) является основополагающим стандартом
по управлению корпоративными рисками предприятий любого профиля, определяющий
основные рамки, принципы, структуру, компоненты и этапы процесса управления
рисками предприятия и являющийся основой для разработки отраслевых и государственных
стандартов. В частности, на его основе федеральным агентством по управлению
государственным имуществом (ФАУГИ) разработаны и методические указания по
подготовке Положения о системе управления рисками для предприятий, акционером которых
является государство.

В отчетах многих
организаций, как частных, так и государственных существуют целые разделы
посвященные описанию рисков и управлению ими, в отчетах предоставлены карты
рисков.

Но стоит ли за
этими разделами и картами  реальное
управление рисками?

Эксперты Института внутренних аудиторов отмечают, и
это подтверждается практикой, что система управления рисками как целостная
совокупность элементов (методики и информационной системы), посредством которых
«общество может контролировать риски на всех уровнях», построена в очень
незначительном количестве организаций, а процессы управления рисками в
большинстве случаев даже не формализованы. Отметим, что это не касается (или
касается в малой степени) кредитных и страховых организаций, деятельность
которых жестко регламентирована и в которых управление рисками является частью
основной деятельности организаций.

Как же заинтересованным
лицам (акционерам, совету директоров, менеджменту и пр.) построить эффективную систему
управления рисками на предприятии? Постараемся в этом разобраться.

Сущность и цель процесса управления рисками.

Необходимость его формализации.

Хотя существуют международные
стандарты в области управления рисками (COSO ERM) и методические
указания ФАУГИ, с достаточной долей уверенности можно сказать, что
представления об эффективном процессе управления рисками у различных людей
разное. Примерно, как представление различных людей о занятиях спортом. Одни
под этим словосочетанием подразумевают ежедневную утреннюю зарядку, а другие
еженедельную игру по воскресеньям в футбол с друзьями. И те и другие, по своему,
правы, но на взгляд специалиста это вещи разные, да и эффект (для укрепления
здоровья человека) от этих мероприятий различается.

Вникнем в сущность
определения управления рисками, данного COSO ERM. Напомним, что риск в COSO ERM определен, как
«событие, которое в случае своей реализации может оказать негативное влияние на
достижение организацией поставленных целей».

Абстрактно,
управление рисками — это предвидение, «мозговой штурм» того, какие
отрицательные, негативные последствия принесут последующие действия, и
планирование мероприятий по минимизации этих последствий.

 Практически, управление рисками является
важнейшей составной частью процесса управления деятельностью любого предприятия.
В любом действующем предприятии менеджеры, в той или иной степени, управляют
рисками. Без существования системы управления рисками практически любое предприятие,
даже в ближайшей перспективе, маложизнеспособно.  Задача — совершенствовать эту систему или,
другими словами, совершенствовать процессы управления рисками.

Цель совершенствования
системы управления рисками на предприятии — заставить всех принимающих решения
думать о последствиях этих принимаемых решений и, естественно, отвечать за них.

Если эта цель
достигнута, то только тогда систему управления рисками можно считать
эффективной.

Подчеркнем,
формализация процессов управления рисками не является целью, это только
инструмент, служащий достижению цели.

Управление рисками
это «мыслительный» процесс, «происходящий в головах» менеджеров.

 Но если в повседневной жизни, для себя, мы
можем не формализовывать этот процесс и оставлять его результаты «в голове», то
на предприятии без этого не обойтись.

Акционеры, доверив
исполнительному руководству предприятий управлять значительными активами и материальными
ценностями, хотят видеть, как, в ходе управления, происходят процессы принятия
и исполнения управленческих решений, как продумываются различные варианты
действий, какие действия предпринимаются для минимизации негативных последствий
тех или иных событий. То есть, акционеры хотят видеть этот «мыслительный»
процесс, им требуется максимальная его «прозрачность».

Отметим, что  и исполнительное руководство предприятий
также должно быть заинтересовано в «прозрачности» процессов управления рисками,
хотя бы для оценки деятельности своих подчиненных.

Формализация процессов управления рисками.

Определить, эффективны процессы управления рисками или
нет, достаточно сложно. Ответ всегда будет субъективен.

Сразу отметим, что наличие формализованной системы
управления рисками на предприятии не является стопроцентной гарантией того, что
управление рисками на предприятии осуществляется эффективно. Но наличие
формализованной системы позволяет предположить, что на предприятии уделяется достаточное
внимание процессам управления рисками, что способствует повышению эффективности
этих процессов.

Часто при построении,
точнее сказать, формализации процессов управления рисками совершается одна и та
же  общая ошибка.

Инициаторы
пытаются сразу использовать все механизмы и технологии управления рисками и «нагрузить»
участников процесса всей имеющейся информацией по управлению рисками. Карта
риска, паспорт риска, риск-матрица, риск-аппетит, экспозиция риска, Марковский
анализ, моделирование методом Монте-Карло … 

Если опять
обратиться к аналогии с занятиями спортом, то это сравнимо с тем, что человеку,
пожелавшему заняться физическими упражнениями, сразу предлагают комплекс
упражнений, предназначенный для спортсменов – профессионалов. И это несмотря на
то, что человек даже отжаться от пола пару раз не может…

Задача внутренних
аудиторов при внедрении системы управления рисками предложить менеджерам такую
технологию (модель) управления, которая будет понятна всем и применима на всех
уровнях управления предприятием. При этом необходимо внедрять систему управления
рисками постепенно, не гонясь за быстрыми результатами. Необходимо помнить, что
изменение мышления, а управление рисками процесс «мыслительный», происходит
эволюционным, а не революционным путем.

По аналогии с
занятиями спортом, мы должны научить (увлечь) человека ежедневно делать
элементарную утреннюю гимнастику, которая укрепит его здоровье. А по мере
укрепления организма переходить к более сложным физическим упражнениям.

Но как
формализовать «мыслительный» процесс управления рисками? И формализовать его
так, чтобы он стал эффективным, то есть достиг своей цели с наименьшими
затратами?

Эффективными отчетно-учетными
формами формализации, являются паспорта рисков, составляемые на определенную
дату, и карты рисков, составленные на основании информации, полученной из
паспортов. Паспорт риска составляется на каждый риск, а карта рисков включает в
себя все выявленные риски, сопутствующие достижению цели.

Кроме того,
процесс управления рисками включает в себя и организацию рабочих групп, и
проведение различных совещаний, и обучающие семинары. Всё это сопровождается созданием
многих регистрирующих документов: протоколов заседаний комитета по управлению
рисками (если он есть), протоколов различных совещаний на тему управления
рисками, приказов и распоряжений, планов мероприятий и планов чрезвычайных
мероприятий, различных отчетов и служебных записок на тему управления рисками и
т.д. и т.п. Но все они являются как-бы «приложениями» к паспортам и картам
рисков, дополнительным подтверждением информации, содержащейся в
паспортах. 

Остановимся подробней на оформлении этих двух основных документов.

Паспорт риска.

На рисунке 1.
приведен пример паспорта риска.

                                                                    
                                    Рисунок
1.

ПАСПОРТ РИСКА

Дата составления (последнего обновления) паспорта риска
1 — ОПИСАНИЕ РИСКА
Предприятие	Подразделение	Участок подразделения	Процессы, выполняемые подразделением
Владелец риска	Председатель комитета по управлению рисками	Координатор рисков
Цели процессов	Комментарии
Наименование риска	Категория риска
Описание риска
Причины
Последствия
2 — ОЦЕНКА ПРИСУЩЕГО РИСКА
Влияние (руб.)	Комментарии
Влияние (баллы)	Комментарии
Вероятность	Комментарии
Скорость реализации	Комментарии
Значимость	Необходимость создания плана чрезвычайных мероприятий
Способ реагирования	Комментарии
Влияние на другие подразделения	Комментарии
3 — ПЛАН МЕРОПРИЯТИЙ ПО УПРАВЛЕНИЮ РИСКОМ
Существующие контрольные процедуры
№	Процедура	Вовлеченные подразделения /службы	Оценка эффективности	Периодичность	Ответственный	Комментарии
Необходимые дополнительные контрольные процедуры
№	Процедура	Вовлеченные подразделения	Необходимые ресурсы	Периодичность	Ответственный	Комментарии
План мероприятий по управлению риском
№	Действие	Необходимые ресурсы	Ожидаемый результат	Срок	Ответственный	Комментарии
4 — ПЛАН ЧРЕЗВЫЧАЙНЫХ МЕРОПРИЯТИЙ
№	Действие	Необходимые ресурсы	Ожидаемый результат	Срок	Ответственный	Комментарии
5 — ОЦЕНКА ПЛАНИРУЕМОГО ОСТАТОЧНОГО РИСКА
Влияние (руб.)	Комментарии
Влияние (баллы)	Комментарии
Вероятность	Комментарии
Скорость реализации	Комментарии
6 — ОЦЕНКА ФАКТИЧЕСКОГО ОСТАТОЧНОГО РИСКА
Влияние (руб.)	Комментарии
Влияние (баллы)	Комментарии
Вероятность	Комментарии
Скорость реализации	Комментарии
Значимость	Необходимость создания плана дополнительных мероприятий

Дадим рекомендации
по заполнению разделов «Описание риска» и «Оценки присущего риска».

1. Описание риска.

Процессы, выполняемые подразделением — наименование официально регламентированных и не
регламентированных, но фактически осуществляемых подразделением функций,
процессов;

Владелец риска
– руководитель подразделения, персонально отвечающий за оценку, контроль и управление
данным риском, т.е. мотивированный на его снижение и располагающий достаточными
полномочиями для воздействия на него. Владелец риск может быть только один.

Председатель комитета по управлению рисками. Руководитель

комитета,
являющегося совещательным органом по всем вопросам управления рисками при
генеральном директоре предприятия. В компетенции комитета входит, в частности,
утверждение базовых регламентирующих документов системы управления рисками;
подготовка проектов решений для генерального директора по всем вопросам его
компетенции в отношении системы управления рисками; регулярное рассмотрение
основных рисков предприятия, включая наиболее значительные риски подразделений предприятия;
регулярное рассмотрение и утверждение сводной карты рисков предприятия,
сводного плана мероприятий по реагированию на данные риски и, при необходимости,
плана чрезвычайных мероприятий; надзор за 
эффективностью деятельности руководителей подразделений предприятия в
рамках системы управления рисками. Деятельность комитета по управлению рисками
рекомендуется регламентировать Положением о комитете.

Координатор рисков
– сотрудник, являющийся
экспертом в области управления рисками, который содействует процессам
выявления, оценки и реагирования в отношении рисков соответствующего
подразделения (или предприятия), консолидирует информацию о рисках и передает в
комитет по управлению рисками. Координатор не принимает самостоятельных решений
по управлению рисками.

Цели процессов
— установленные цели процессов. Указываются цели, отраженные в стратегическом,
годовом или каком-либо другом плане предприятия и/или подразделения, так и не
закрепленные официально цели, достижение которых, тем не менее, запланировано;

Наименование риска.
В данном разделе необходимо указать риск, которому подвержен процесс,
выполняемый подразделением.

Категория риска.
Примерная типовая классификация рисков приведена на рисунке 2.

                                                                                                                     Рисунок 2.

Примерная типовая
классификация рисков

Список приведенных рисков не является
исчерпывающим и может, как включать, так и не включать риски, присущие данному
процессу.

Описание
риска. Должно включать подробное описание риска с указанием
причин или событий, влияющих на вероятность проявления риска и обоснование
возможных последствий.

Причины.
Подробный перечень причин, обуславливающих наступление данного события.
Отсутствие контроля или методов воздействия на риск, причинами не является.

Последствия.
Подробный перечень возможных последствий от наступления рискового события,
выраженных в конкретных денежных потерях, потерях репутации, доли рынка и т.д.

2. Оценка
присущего риска.

Влияние — воздействие риска
на долгосрочные и / или краткосрочные

цели
предприятия в случае реализации данного риска, последствия его реализации. Выражается
в денежных единицах или баллах. Значение коэффициента определяется экспертным методом
в соответствии со следующей шкалой (период прогноза, как правило, 1 год):

Балл	Последствия
1	Незначительные и минимальные последствия
2	Допустимые последствия, присущие деятельности предприятия
3	Недопустимые, значительные последствия
4	Критические последствия, реализация которых может привести к значительным потерям или приостановки деятельности
5	Катастрофические последствия, которые могут привести к прекращению деятельности предприятия или его несостоятельности (банкротству)

Данный показатель субъективен и определяется
на основании

экспертной
оценки лиц, заполняющих паспорт риска. Как правило, каждому баллу соответствует
определенный «ценовой коридор» последствий.

Вероятность — вероятность наступления определенного
риска, обычно выражаемая величиной от 0 до 100 процентов, либо баллами. Значение коэффициента определяется
экспертным методом в соответствии со следующей шкалой (период прогноза, как
правило, 1 год):

Коэффициент	Вероятность	Вероятность наступления в процентах
1	риск не проявится	5%
2	риск, скорее всего, не проявится	10%
3	вероятность проявления и непроявления равна	50%
4	риск, скорее всего, проявится	75%
5	риск наверняка реализуется	95%

Данный показатель также субъективен
и определяется на основании

экспертной оценки лиц, заполняющих
паспорт риска.

Скорость
реализации
— величина, характеризующая время от момента наступления риска до того момента,
когда полностью реализуется влияние риска на краткосрочные и / или долгосрочные
цели предприятия.

Значимость — величина,
равная произведению вероятности возникновения на оценку влияния, определяющая
интегрированную оценку важности того или иного риска.

 Способ реагирования — основной подход,
признанный целесообразным с точки зрения реагирования на тот или иной риск.
Возможные способы реагирования на риски включают снижение риска, передачу
риска, принятие риска и избегание риска.

В
паспорте указаны все участники процесса, ответственные и привлеченные, описан
бизнес – процесс (бизнес – процессы), которому сопутствует описанный в паспорте
риск, риск оценен и описан, описаны мероприятия по минимизации риска и
контрольные процедуры. Разработаны планы чрезвычайных мероприятий, оцениваются
остаточные риски, планируемые и фактические. Вся эта информация и делает
паспорт отчетно – учетным документом по управлению риском. Если составлять
такие паспорта на конкретный риск в течение всего времени его реализации и
хранить их в бумажном и электронном виде, то сопоставив их, можно увидеть
динамику всех процессов, отраженных в паспорте. Данные из электронных форм
паспортов удобно представлять в различных графических формах, что наглядно при
анализе того или иного риска.

С достаточной долей уверенности, можно
сделать вывод, что процессы составления паспортов рисков, учета самих
паспортов, учета изменений в паспортах, учета процессов реализации мероприятий,
записанных в этих паспортах и направленных на минимизацию рисков, повышают
эффективность системы управления рисками на предприятии. То есть заставляют
всех принимающих решения думать о последствиях этих принимаемых решений и,
естественно, отвечать за них.

Карта рисков. Общий подход к построению карты
рисков.

На основании информации, полученной из
паспортов рисков, составляются карты рисков. Карта рисков дает наглядное
представление обо всех рисках сопутствующих достижению цели предприятием на
дату ее составления. Наподобие того, как бухгалтерский баланс дает наглядное
представление обо всех активах и пассивах предприятия на дату его составления.

То есть карта рисков, это документ,
отражающий (результирующий) на определенную дату информацию о рисках сопутствующих
достижению цели, составленный на основании информации, полученной из паспортов
рисков. На рисунке 3 приведен пример карты рисков.

                                                                                                                 Рисунок 3.

                                Пример карты
рисков.

 

Влияние	5	10	15	20	25
4	8	12	16	20
3	6	9	12	15
2	4	6	8	10
1	2	3	4	5

                                                                     Вероятность

                                               

Карта рисков представляет собой схематичное
отображение рисков по степени их влияния и вероятности. Влияние и вероятность – это главные категории оценки
риска. На представленном примере карты рисков риски ранжированы по их
значимости. Значимость, равная результату от произведения баллов вероятности и
баллов влияния определяет место риска на карте рисков предприятия.

Выше мы отмечали, что
влияние может быть также определено и в денежных единицах, а вероятность в
процентах. Для каждого предприятия это могут быть свои величины, зависящие от
специфики и размеров его деятельности.

Карту рисков удобней
представлять в виде точечной диаграммы, осями которой являются интервалы
значений влияния и вероятности, условно определенные низкой, средней и высокой
степенями. Деление на эти степени имеет своей целью дифференциацию подхода к
рискам, имеющим различный уровень влияния и вероятности.

Красным цветом
на карте выделена область высоких рисков. Последствия их реализации могут быть
критичны и даже катастрофичны для предприятия. Эти риски  необходимо предотвратить до их появления.
Возможно, даже, отказавшись от реализации цели. По всем рискам, попавшим в
область высоких рисков необходимо разработать план действий по мониторингу их
уровня и снижению вероятности их появления и устранению возможных последствий.
Все эти мероприятия необходимо отразить в паспортах соответствующих рисков.

Желтым
цветом выделена область средних рисков. Эти риски не являются столь критичными,
как риски в красной области, однако также требуют повышенного внимания,
поскольку оценки рисков из этих областей могут переместиться в красную область. По рискам, попадающим в эти области, необходимо
привести краткую характеристику действий по управлению их вероятностью и
влиянием, необходимо разработать перечень мер по снижению этих рисков. Все это
также необходимо отразить в паспортах соответствующих рисков.

 Зеленым
цветом выделена область низких рисков. Эти риски не являются предметом
глубокого анализа и управления, поскольку либо маловероятны, либо несут
незначительный ущерб. По данным рискам целесообразно идентифицировать факторы,
то есть причины их появления, и разработать меры по их контролю, заполнить
соответствующие разделы паспортов рисков.

Карта рисков
реального предприятия отличается от представленной на рисунке 2 практически
только тем, что в соответствующих частях карты указан перечень сопутствующих
рисков и владельцы рисков. Это удобно и наглядно при мониторинге процессов
управления рисками для дальнейшего анализа паспортов рисков.

 С достаточной долей уверенности, можно утверждать,
что процессы составления карт рисков на основе данных из паспортов рисков,  обсуждение и мониторинг изменений этих карт повышают
эффективность системы управления рисками на предприятии и заставляют всех
принимающих решения думать о последствиях этих принимаемых решений и,
естественно, отвечать за них.

Итак, мы собирались ответить на вопросы что
такое «эффективная» система управления рисками, как ее построить и о роли
внутренних аудиторов в ее построении. Мы определили, что цель совершенствования
системы управления рисками на предприятии — заставить всех принимающих решения
думать о последствиях этих принимаемых решений и, естественно, отвечать за них.
При достижении этой цели процесс считается эффективным. Вспомним также, что, в
целом, эффективным можно считать процесс, при котором цель достигается с
наименьшими затратами.

Появление
реальных, проработанных и постоянно отслеживаемых карт рисков приводит к
«прозрачности» всего бизнеса. Это важно при принятии как тактических, так и
стратегических решений. Обсуждение карт рисков проектов, где риски оценены и
имеют стоимость, положительно влияет на адекватность принимаемых решений. При
составлении паспортов на каждый риск, помимо описания самого риска и его
оценки, указываются ФИО и должности лиц, ответственных за управление риском,
перечень мероприятий по минимизации риска, сроки исполнения этих мероприятий и
ответственные за их исполнение, расчеты остаточного риска и т. д. и т. п. Информацию
в паспортах постоянно актуализируют. О рисках пишут, фиксируют их на бумаге или
в электронном виде, и это не совсем одно и то же, когда о рисках только
говорят. У каждого риска появляется сотрудник, отвечающий за то, чтобы риск
либо не свершился, либо был минимизирован. То есть формализация процесса
управления рисками запускает механизм «осмысления» сотрудниками предприятия
своих действий и их последствий. А так как управление рисками — это непрерывный
процесс, то в результате постоянное «осмысление» своей работы приводит к ее
улучшению и, следовательно, к совершенствованию деятельности самой организации.

            Рассмотренные
процедуры формализации процессов управления рисками: составление и актуализация
паспортов рисков и карт рисков – не являются вещами затратными. Они не требуют
дополнительных вложений, а требуют только 
желания и усилий менеджмента на свое осуществление. При этом достигается
важнейшая цель – принятие взвешенных решений на всех уровнях управления
предприятием.

            Чем
не стимул для формализации системы управления рисками на вашем предприятии?

Цели и назначение процесса управления рисками на предприятии

Методика определения угроз и возможностей

Порядок определения угроз и возможностей, на которые необходимо реагировать предприятию

В современных условиях высокой рыночной конкуренции и постоянно меняющихся покупательских предпочтений трудно представить себе успешно развивающуюся компанию, в которой не налажен процесс управления рисками.

Управление рисками прежде всего необходимо для принятия управленческих решений в условиях, требующих выбора одного из нескольких вариантов при отсутствии определенности и однозначности преимуществ какого-либо решения.

Многие руководители считают, что они и без специальных технологий управления прекрасно видят возможные риски для компании и смогут вовремя их устранить, основываясь на собственном опыте и интуиции. Они ошибаются, и мы видим огромное количество примеров, когда крупные корпорации испытывают большие трудности в бизнесе или приходят к банкротству именно из-за ошибочных действий руководства.

Даже суперпрофессиональный руководитель не может контролировать качество всех бизнес-процессов и технологических операций компании без выделения управления рисками в отдельный процесс и вовлечения в него всех ключевых менеджеров компании. А если говорить о небольшом бизнесе, то по статистике в течение первого года работы закрываются около 90 % вновь созданных предприятий, и большинство из них — именно по причине некачественного управления предпринимательскими рисками.

ЦЕЛИ И НАЗНАЧЕНИЕ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ НА ПРЕДПРИЯТИИ

По общепринятой в менеджменте рисков классификации под риском подразумевается событие или стечение обстоятельств, которое в случае его реализации может существенным образом повлиять на достижение стратегических целей и текущих задач компании. Влияние риска может оказаться как негативным, т. е. несущим угрозы бизнесу, так и позитивным, предоставляющим возможности для его развития. Именно поэтому процесс управления рисками можно назвать искусством различать, что представляет собой выявленный риск — опасность для деятельности компании или наоборот, шанс ее улучшить.

Система управления рисками — это процесс, осуществляемый как руководством компании, так и ее сотрудниками. Цель этого процесса — выявить потенциальные события, которые могут повлиять на результаты деятельности компании — как положительно, так и отрицательно, и обеспечить приемлемые для компании уровень угроз или степень реализации возможностей.

Специфическая особенность данного процесса состоит в том, что он охватывает все без исключения бизнес-процессы компании и реализуется в рамках как внешнего, так и внутреннего контекстов бизнеса (рис. 1).

Основные принципы управления рисками:

1. Управление рисками — неотъемлемая часть ежедневного процесса управления, которая предполагает, что каждый сотрудник обязан выявлять и оценивать риски для наиболее эффективного принятия управленческих решений.

2. Все риски, которые возникают по внешним или внутренним причинам и могут значительно повлиять на достижение целей предприятия, должны идентифицироваться, оцениваться и документироваться, а на основе этой информации — разрабатываться мероприятия по рискам.

3. Процесс управления рисками подразумевает применение единого и стандартизированного подхода к выявлению, оценке и работе с рисками.

4. Руководители всех уровней несут ответственность за своевременное выявление рисков, их оценку, разработку мероприятий по управлению рисками и информирование всех заинтересованных сторон, в том числе работников, о рисках, влияющих на достижение поставленных перед ними целей, а также за накопление знаний о рисках и анализ реализовавшихся рисков.

5. В процессе управления рисками необходим разумный баланс издержек на управление риском и величины возможного ущерба или выгоды от наступления рискового события: если уровень риска приемлемый, а затраты на управление риском превышают возможный эффект, дополнительные мероприятия по работе с этим риском не нужны.

Методы управления рисками (рис. 2):

1. Снижение риска подразумевает воздействие на риск путем снижения вероятности реализации риска или уменьшения негативных/усиления позитивных последствий в случае реализации риска в будущем.

2. Перенос риска предполагает передачу риска (в том числе частичную) другой стороне (например, заключаются договоры страхования, хеджирования, аутсорсинга и др.) — это позволяет уменьшить негативное или усилить позитивное влияние риска на достижение целей компании.

3. Принятие риска допускает возможное наступление последствий риска с определением конкретных источников покрытия ущерба от негативных последствий.

4. Уклонение от риска означает отказ от совершения действий/мероприятий/целей, характеризующихся высокой степенью риска.

Теперь поговорим о том, как управлять рисками.

МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ И ВОЗМОЖНОСТЕЙ ДЛЯ ЦЕЛЕЙ ПРЕДПРИЯТИЯ

Алгоритм процесса управления рисками представляет собой последовательную цепочку процедур, которые помогают руководству компании эффективно минимизировать угрозы и использовать возможности для достижения целей предприятия (см. схему).

Рассмотрим эти этапы подробнее.

1. Выявляем риски.

На этом этапе определяем внутренние или внешние события, реализация которых может негативно или позитивно отразиться на достижении целей компании.

Как выявлять риски?

В первую очередь риски выявляют:

• в рамках ежегодного цикла планирования;

• в ходе анализа деятельности компании и пересмотра ее целей и бюджета;

• в текущем режиме анализа эффективности процессов компании;

• в ходе производственных совещаний и индивидуальных бесед с сотрудниками компании.

По итогам процедуры выявления рисков формируется классификатор рисков компании и назначаются ответственные по каждому из рисков.

2. Оцениваем риски.

Главная цель оценки рисков — определить уровень рисков и выделить наиболее значимые (критические) риски, которые могут негативно или позитивно влиять на деятельность компании и достижение ее стратегических целей.

Любое использование материалов медиапортала РШУ возможно только с разрешения

редакции.