Организация риск-ориентированного управления и бюджетирования поможет своевременно реагировать на изменение внешней и внутренней среды, снизить возможные потери от реализации всех рисков, так или иначе оказывающих влияние на финансово-хозяйственную деятельность компании.
В нашей компании ранее не было формализованного, упорядоченного и комплексного процесса управления рисками. Убытки от реализации рисков не измерялись, что крайне затрудняло принятие управленческих решений и негативно влияло на дальнейшее развитие компании. Оценке и анализу подвергались лишь финансовые риски. В 2011 году акционеры поставили задачу: разработать с нуля и внедрить систему управления рисками, которая должна помочь снизить убытки от возможной реализации тех или иных рисков и не допустить их негативного влияния на деятельность компании. Принимая во внимание успешный опыт управления финансовыми рисками, было решено обойтись собственными силами без привлечения внешних риск-менеджеров. Построение системы поручили финансовому департаменту. В качестве основной классификации мы применили подход, указанный в международных стандартах COSO ERM (Enterprise Risk Management - Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission – принципы риск-менеджмента, ориентированные на повышение достоверности отчетности предприятий. – Прим. ред.), который предусматривает четыре категории рисков: стратегические, операционные, нормативные, финансовые.
ЭТАП 1. ИДЕНТИФИКАЦИЯ
Мы исследовали все направления бизнеса компании, описали возможные области возникновения рисков в привязке к классификации по стандартам COSO ERM 2004. В итоге выявили 22 области возникновения рисков(см. табл. 1), определили их свойства и характеристики (см. табл. 2). Далее необходимо было идентифицировать каждый риск, то есть выявить, какие факторы указывают на его возможное возникновение. Всего изначально было идентифицировано более 160 рисков, затем для повышения управляемости риски были укрупнены и объединены. И на 2015 год в выявленных 22 областях возникновения рисков мы идентифицировали 65 рисков (см. табл. 3).
Отмечу, что информация о возможных областях возникновения рисков и их характеристиках получает свое отражение в годовом отчете нашей компании. Таким образом, у акционеров, рейтинговых агентств и других пользователей есть четкое понимание того, с какими проблемами можно столкнуться при реализации особо опасных рисков. Кроме того, мы определили «владельцев» рисков, то есть появилась «адресность» каждого опасного для компании события. Например, я, как директор по финансам, помимо прочих финансовых рисков отвечаю в том числе за риск ликвидности, реализация которого грозит возникновением штрафов и претензий контрагентов. Я обязана предпринимать все усилия для того, чтобы избежать его возникновения. Таким образом, полномочия по управлению рисками стали закреплены за конкретным ответственным лицом в рамках его функциональной деятельности.
ЭТАП 2. ОПРЕДЕЛЕНИЕ УРОВНЯ КРИТИЧНОСТИ
На этом этапе требовалось оценить степень влияния каждого риска на деятельность нашей компании. Для этого все риски мы разделили по уровням критичности: критические (их мониторинг осуществляет совет директоров), приемлемые (эти риски курирует комитет по аудиту) и незначительные (отслеживает комитет по рискам). Определение статуса критичности основано на оценке рисков по жестким двухмерным метрикам: вероятность наступления и возможный ущерб от реализации. Совокупный размер риска, который может взять на себя компания без ущерба для деятельности, определяется ежегодно советом директоров и составляет 300 млн рублей (это около 10% от среднемесячной плановой выручки на 2015 год). Ранжирование рисков было произведено, исходя из следующих параметров:
- критические – их оценка по сумме ущерба превышает 300 млн рублей с любой вероятностью или превышает 200 млн руб лей с вероятностью более 5 процентов, или превышает 100 млн рублей с вероятностью более 80 процентов;
- приемлемые – оценка по сумме ущерба составляет от 100 млн до 300 млн рублей с вероятностью от 0 до 5 процентов или от 50 млн до 200 млн рублей с вероятностью от 5 до 80 процентов, или менее 50 млн рублей с вероятностью более 50 процентов;
- незначительные – оценка по сумме ущерба менее 100 млн рублей с вероятностью менее 5 процентов или менее 50 млн рублей с вероятностью менее 50 процентов.
По каждому риску мы определили стратегию управления (см. табл. 4), руководствуясь оценкой стоимости мероприятий по управлению рисками по отношению к возможным потерям. Исходя из этого, «владельцы» рисков разрабатывают меры по управлению рисками. Приведу пример. «Владельцем» риска «Отказы и аварии оборудования» является главный инженер. Объект – краны. Возможный ущерб оценивается в 45 млн рублей. Издержки по управлению составляют 500 тыс. рублей (страхование). Стратегия – передача риска.
ЭТАП 3. ФОРМИРОВАНИЕ КАРТЫ РИСКОВ
Итогом нашей работы стала карта рисков. Она содержит в себе исчерпывающее описание рисков, реализация которых может повлечь убытки для компании. Карта представляет собой упорядоченный перечень рисков (в форме таблицы Excel), содержащий следующую информацию по каждому риску: классификация по COSO ERM 2004; область, номер, наименование, возможные причины и возможные последствия риска; владелец риска; уровень критичности; метод управления. Поскольку управление рисками – это непрерывный процесс, карта пересматривается ежегодно, информация по событиям постоянно обновляется, и наша задача – своевременно реагировать на изменения внешней и внутренней среды. Кроме того, в компании обновлена политика и концепция управления рисками.
Эти документы систематизируют процедуру управления рисками, в том числе: регламентируют и определяют основные принципы управления рисками, роль и функции органов управления компании в системе риск-менеджмента, взаимодействие системы управления рисками и риск-ориентированного внутреннего аудита, совокупный размер риска, который может взять на себя компания без ущерба для деятельности.
ЭТАП 4. ИНТЕГРАЦИЯ СИСТЕМЫ С КПЭ
Чтобы своевременно отследить увеличение вероятности реализации того или иного риска и успеть его предотвратить, мы рассчитали ключевые индикаторы риска (КИР, метрики, используемые для обеспечения раннего оповещения о возрастающей подверженности риску) для всех рисков, разработали и утвердили методику расчета КИР. Кроме того, для повышения вовлеченности участия руководителей в процесс управления рисками мы привязали КИР к ключевым показателям эффективности (КПЭ), напрямую влияющим на мотивацию сотрудников (см. табл. 5). В случае отклонения значений КИР от установленных сотрудник сообщает об этом руководителю.
Затем проводится анализ причин отклонений и при необходимости разрабатываются дополнительные мероприятия по недопущению реализации риска (см. табл. 6).
Следует отметить, что важным этапом создания системы управления рисками стало ее распространение на филиалы, дочерние и зависимые общества компании. Мы проводили тренинги и обучения для сотрудников ДЗО, смогли включить в периметр системы управления рисками 16 филиалов компании и самое крупное дочернее общество, которое находится в Казахстане. Сейчас масштабные тренинги стараемся организовывать раз в год – отдельно для владельцев рисков (топ-менеджмент) и отдельно для непосредственных исполнителей. Кроме того, мы проводим обучение по запросу конкретного подразделения.
ЭТАП 5. ПОСТРОЕНИЕ РИСК-ОРИЕНТИРОВАННОГО БЮДЖЕТИРОВАНИЯ
После внедрения системы предстояло привязать ее к бюджету компании – то есть перейти не только на риск-ориентированное управление, но и на риск-ориентированное бюджетирование. Вот что мы сделали.
При подготовке бюджета решили использовать систематизированную информацию из карты рисков и проигрывать различные варианты реализации рисков и их влияние на бюджет компании. Другими словами, мы определяем сценарии реализации рисков на основе статистических и отраслевых данных, проводим факторный анализ, а также анализ последствий реализации рисков в зависимости от сценариев.
Вкратце опишу, как это делается, и приведу небольшой пример:
Шаг 1. Подготовка финансовой модели компании (базовый сценарий). Так, например, у нас есть «Базовая процентная ставка по кредитам и займам».
Шаг 2. Анализ влияния общих и специфических риск-факторов. Используя карту рисков, мы рассматриваем «Ухудшение ситуации на фондовых рынках и рынках капитала».
Шаг 3. Моделирование с использованием информации, в том числе статистических данных, о степени влияния рисков. Так, мы приходим к выводу о невозможности привлечь заплани- рованный объем заемного капитала по базовым ставкам.
Шаг 4. Анализ исходящих данных с точки зрения влияния на прогнозируемые денежные потоки и прибыль. По итогам анализа принимается решение об изменении потребностей компании в объеме заемного финансирования.
Шаг 5. Формирование бюджета на основе финансовой модели, скорректированной с учетом возможного влияния тех или иных рисков. В нашем примере мы уменьшаем требуемый компании объем заемного финансирования и меняем базовую ставку с учетом текущей рыночной ситуации.
ЭТАП 6. МОНИТОРИНГ И КОНТРОЛЬ
Мы ведем статистику реализовавшихся рисков и информации по убыткам, возникшим вследствие их реализации. В форме отчета представляем ее комитету по рискам, комитету по аудиту, а также в службу внутреннего аудита.
Последняя использует эту информацию при проведении как плановых, так и внеплановых проверок подразделений центрального аппарата и филиалов компании. Отчеты по итогам проверок содержат выявленные замечания в привязке к коду риска из карты. По каждому замечанию назначается ответственный за его устранение, исходя из закрепленных в карте рисков полномочий по его управлению.
Подводя итоги, можно сказать, что внедренная комплексная система управления рисками позволила:
- оценить и оцифровать все риски, обеспечить поддержание оптимального уровня контрольной среды в компании;
- дать оценку возможным финансовым потерям от реализации стратегических, операционных, нормативных и финансовых рисков;
- разработать мероприятия по недопущению реализации рисков;
- наладить риск-ориентированное управление и риск-ориентированное бюджетирование;
- не допустить недостижения бюджетного показателя чистой прибыли, несмотря на существенное ухудшение рыночной конъюнктуры.
Особую гордость вызывает тот факт, что наша компания является единственной в секторе железнодорожного транспорта, где внедрена и успешно функционирует комплексная система управления рисками.
Риск-ориентированное мышление получило наибольшее развитие за рубежом. Эта концепция получила свое дальнейшее развитие с выходом международного стандарта ИСО 9001:2015.
Концепция риск-менеджмента
Данное направление представляет собой достаточно новое течение по развитию хозяйствующего субъекта.
Впервые о нем было упомянуто в американской статье еще 1956 года. Ее смысл сводился к тому, что юридические лица должны нанимать специалистов по управлению рисками для уменьшения экономических потерь.
Начиная со второй половины прошлого столетия данные публикации стали регулярными. В 70-х годах начали зарождаться услуги по предоставлению консультаций в сфере оценки рисков.
Понятие риска и управление им
Риск является влиянием неопределенности. Данное определение дано в ГОСТ Р ИСО 9001-2015. Это свидетельствует о том, что наблюдается встраивание риск-ориентированного мышления в систему менеджмента качества.
Под неопределенностью можно понимать неточную или неполную информацию, предоставляемую по условиям реализации проекта. Любая предпринимательская деятельность связана с данным понятием.
Для того чтобы осуществлять управление рисками, необходимо их идентифицировать, проанализировать и разрешить. Данный процесс менеджмента должен осуществляться при консалтинге с заинтересованными сторонами с целью его модификации, для того чтобы последующая его обработка не потребовалась.
Риск-ориентированное мышление в стандартах ИСО серии 9000 2015 года
Для его осуществления хозяйствующий субъект должен создать комплекс согласованных методов и мероприятий с целью управления рисками и осуществления контроля над ними, которые способны затруднить деятельность организации в достижении поставленной цели.
Данное требование, появившееся в версии стандартов 2015 года, по сути подменяет из версии 2011 года требование по выполнению предупреждающих действий.
Наряду с рисками необходимо внедрять действия, связанные с возможностями. Под последним понимают возможность объекта дать на выходе продукт, соответствующий требованиям.
Причина подобной замены предупреждающих действий на риск-ориентированное мышление заключается в том, что первые не воспринимались в качестве средств непрерывного улучшения, в результате чего последние осуществлялись на достаточно низком уровне и бессистемно.
Согласно новой версии стандарта, хозяйствующие субъекты, желающие пройти сертификацию на соответствие данной СМК, должны идентифицировать риски, а также возможности и определить действия для их решения. Юридические лица должны определиться, как сделать эти действия частью своей системы менеджмента качества, как будут проводиться контроль, анализ и оценка эффективности данных процессов и действий.
В процесс выявления, регистрации, снижения и устранения рисков, согласно требованиям данного стандарта, будет вовлечен топ-менеджмент.
Новая версия ИСО 9001 не требует какого-то особого документа для описания риск-ориентированного подхода юрлица. Но для обеспечения единообразия лучше создать инструкцию по выявлению и оценке рисков.
Связь рассматриваемого явления с процессным подходом
Действующая версия вышеназванного стандарта предполагает обязательное применение данного подхода.
Он включает в себя осуществление На стадии планирования (Р) осуществляется анализ как внутренней, так и внешней среды хозяйствующего субъекта с использованием различных методов управления качеством: стратификации данных с применением контрольных листков, мозговая атака, контрольные карты Шухарта, и Исикавы, разброса, применение SWOT- и PEST-анализов, бенчмаркинга, метода Дельфи.
На этапе do (D) проводят оценку риска и осуществляют воздействие на него с помощью вышеперечисленных методов, а также FMEA-анализа, экспертного метода, HACCP и некоторых других.
Стадия «Контроль» (С) предполагает проведение мониторинга и измерения осуществленной стратегии выявления и оценки рисков.
Этап «Действуй» (А) предусматривает пересмотр политики организации в отношении рисков, производится проектирование и реализация различных мер с целью улучшения функционирования процесса менеджмента рисков.
Таким образом, процессный подход и риск-ориентированное мышление взаимосвязаны. Это подтверждается и тем фактом, что рассматриваемое явление приведено в стандарте ИСО 9001:2015 в разделе «Процессный подход».
Оценка и идентификация рисков
Идеология риск-ориентированного мышления предполагает обязательное осуществление данных этапов.
Оценка риска включает в себя его идентификацию, а также анализ и вычисление. Она может осуществляться различными методами и способами. С помощью данной оценки приходит лучшее понимание рисков, что позволяет принимать правильные решения по лучшему подходу для обработки последних. Результаты данного этапа служат входом для процессов принятия решений.
Представляет собой процесс по выявлению, распознаванию и регистрации рисков. Она осуществляется, для того чтобы оценить, что может потенциально случиться, что повлияет на достижение организацией целей, которые она перед собой ставила.
Методы идентификации рисков включают таковые, базирующиеся на свидетельствах, систематическом командном подходе и индуктивном умозаключении. Для осуществления данной операции необходимо определить факторы, оказывающие влияние на стабильную деятельность хозяйствующего субъекта.
Примеры
Рассмотрим применение риск-ориентированного мышления на предприятии.
Предположим, что в сферу ответственности сантехника перешел водопровод, имеющий значительную протяженность. Во время его отпуска на каком-то из участков водопровода случается авария, а особенности инфраструктуры и строения последнего известны только данному сантехнику. Чтобы их изучить, нужно время, потребители хотят передать систему труб, по которым осуществляется поставка воды, другим конкурентам.
Применяя в данном примере риск-ориентированное мышление, юридическое лицо должно определить компетентность лиц, которые работают у него, которые влияют на результативность СМК, обеспечить подготовку данных лиц, осуществить иные действия, направленные на приобретение требуемой компетентности, и оценить их результативность, регистрировать и сохранять информацию, свидетельствующую о компетентности.
В заключение
Риск-ориентированное мышление является одним из требований международного стандарта в области систем менеджмента качества. Оно связано с процессным подходом и должно осуществляться системно. Ответственность за принятие подобных решений в сфере СМК лежит на топ-менеджменте компании. Неправильные действия в риск-ориентированном подходе могут привести к получению хозяйствующим субъектом убытков.
После публикации новой версии
стандарта
ISO
9001
:2015, пожалуй, больше всего вопросов и дискуссий возникает относительно одного
из новых требований - применение риск
ориентированного мышления
(в англ. «risk-based thinking»)
.
Рекомендую посмотреть видео "Основные различия между ISO 9001:2015 и ISO 9001:2008 ".
На моем блоге я написала несколько
статей на тему управления рисками (см. статьи: «Управление рисками вместо предупреждающих действий» ; «Управление рисками - основные шаги» ; «Риск менеджмент в бизнесе» и др.). В продолжение
темы я решила написать о том, что же такое «риск ориентированное мышление» по
ISO
9001:2015 и как его применять.
Риск ориентированное мышление,
прежде всего,подразумевает
реализацию
организацией комплекса согласованных мероприятий и методов для управления и
контроля многочисленными рисками (положительными и отрицательными), влияющими
на её способность достигать запланированных целей. Риск ориентированное
мышление, фактически, заменяет требование по выполнению предупреждающих действий
из прежней версии стандарта.
Нельзя сказать, что риск
ориентированное мышление
- это абсолютно новое требование. В неявном виде оно
всегда присутствовало в
ISO
9001. В предыдущих версиях стандарта, включая
ISO
9001
:2008, присутствовало требование
прогнозирования и предотвращения ошибок, несоответствий (осуществление
предупреждающих действий), что тоже относится к риск ориентированному мышлению. Организации обучали людей, планировали работу, распределяли обязанности и
полномочия, проверяли результаты, проводили аудиты и проверки, осуществляли мониторинг
и измерения процессов.
Все эти действия были
направлены на то, чтобы избежать ошибок
и достичь успеха.
Таким образом, организации пытались управлять своими рисками
и возможностями. Поэтому можно сказать, что всегда было частью
ISO
9001 и Систем менеджмента качества организаций. Просто раньше это было неявно, а
теперь явно.
Так почему же разработчики
ISO
9001:2015 решили сделать применение риск
ориентированного мышления более явным и фактически заменили им предупреждающие
действия? Что нового организации должны делать, чего не делали раньше?
Дело в том, что предупреждающие действия в большинстве организаций часто выполнялись «для галочки», из необходимости выполнить требование ISO 9001 , а не в качестве реального инструмента продвижения вперед, непрерывного улучшения. Нередко предупреждающие действия выполнялись на ненадлежащем уровне и бессистемно . Кроме того, во многих организациях ответственность за назначение и реализацию предупреждающих действий возлагалась на кого-либо из членов группы по качеству, которые были не в состоянии охватить все вопросы, действительно влияющие на организацию на верхнем уровне и способствующие постоянному улучшению.
Чтобы соответствовать требованиям новой версии стандарта, организациям необходимо планировать и осуществлять действия в ответ на риски и возможности.
Новый стандарт ожидает, что организации будут систематически выявлять и эффективно устранять риски, которые могут повлиять на их способность поставлять соответствующие требованиям продукцию и услуги и удовлетворять потребности клиентов. Он также ожидает, что организации будут определять свои возможности, которые могут повысить их способность поставлять соответствующие требованиям продукцию и услуги, чтобы удовлетворять своих клиентов.
Новый стандарт также ожидает, что организации будут идентифицировать риски и возможности, которые могут повлиять на результативность их Системы менеджмента качества или нарушить работу, а затем определят действия для решения этих рисков и возможностей. Также организации должны определить, как они собираются сделать эти действия частью своих процессовСистемы менеджмента качества, и как они будут осуществлять контроль, оценку и анализ эффективности этих действий и процессов.
Согласно требованиям новой версии стандарта, руководители верхнего уровня должны быть вовлечены в процесс выявления, регистрации, устранения и снижения рисков. Учитывая это, уже с самого начала применения риск ориентированного мышления в организации можно будет увидеть, что оно эффективнее применявшихся ранее предупреждающих действий.
Очень важно, чтобы вопросы выявления рисков и выбора подходящих мер управления рисками выносились на повестку регулярных совещаний руководства. Не менее важным является обеспечение того, чтобы в организации были налажены каналы, по которым все сотрудники на более низком уровне могли бы передавать свое мнение наверх - на рассмотрение управленческой команды.
Тогда организации будут иметь риск ориентированное мышление , возглавляемое командой топ менеджеров, владеющей ключевыми стратегическими знаниями об угрозах и возможностях для бизнеса и одновременно поддерживаемой информацией со всех уровней организации (часть из которой ранее была им не известна и, соответственно, не рассматривалась).
Таким образом, вместо предупреждающих действий, которые ранее, в основном, проводились на более низком уровне, теперь организациям предлагается риск ориентированное мышление, возглавляемое командой топ менеджеров, которая владеет полной и всесторонней информацией. Естественно, что управленческие решения, полученные в результате такого подхода, и последующие действия будут более эффективными на основе участия всей компании, чем ранее существовавший процесс предупреждающих действий.
В то время, как
риск ориентированное
мышление
является теперь частью нового стандарта, тем не менее, стандарт не
требует специального документа, описывающего риск ориентированный подход
организации. Однако, исходя из моего опыта, лучше, если он будет описан в
документе, чтобы обеспечить системность и единообразие применения во всей
организации.
Рекомендую также мою статью еще об одном новом требовании в ISO 9001:2015 - понимание контекста организации . Здесь можно скачать бесплатно электронную книгу " ".
Разумный риск - самая похвальная сторона человеческого благоразумия.
Джордж Савил Галифакс
Риск-ориентированное мышление – это привычка регулярно оценивать риски и упреждать их негативное воздействие. В контексте операционной эффективности риск-ориентированное мышление – это еще и умение оценивать риски в сравнении со стоимостью страховки от этих рисков.
Чтобы снизить влияние колебаний срока поставки, компании, например, идут на увеличение объема запасов на складе. Чтобы сбалансировать работу участков – увеличивают буфер незавершенной продукции, чтобы исключить кражу дорогого инструмента – хранят особо ценные приспособления для всех станков в сейфе у начальника цеха.
Рискнуть или застраховаться?
Опытный «бережливец» сразу увидит потери в перечисленных решениях. Зато опытный производственник скажет, что это работает. Кто прав? Для разрешения спора надо рассчитать размер потенциальных потерь от срабатывания риска и стоимость сдерживающих мер. Сравнение цифр даст ответ, что делать.
Расчет стоимости сдерживающих мер обычно не вызывает проблем. В этом случае необходимо аккуратно суммировать все затраты на действия, направленные на снижение риска но при этом не приближающие продукт к конечному виду (в терминологии Бережливого производства - потери).
Оценка риска – задача более сложная. Масштаб возможного негативного влияния риска на предприятие зависит от размера ущерба в результате срабатывания риска. Объем последствий будет зависеть от частоты наступления риска. На потери от риска также влияет готовность предприятия упредить срабатывание факторов риска и готовность купировать ущерб, если нежелательное событие все же произошло.
Таким образом, для комплексной оценки риска необходимо учитывать три его составляющие: размер ущерба, частоту возникновения события и эффективность сдерживающих мер. Для расчетов потребуется вероятностная оценка событий. О том, как создать простую систему, которая, в тоже время, обеспечивает достаточную точность, будет рассказано в дальнейших публикациях.
Двойственная природа риска
Слово «риск» часто воспринимается в негативном ключе. Но борьба с рисками будет эффективнее, если научиться воспринимать риск как возможность. Предпринимателей этому учить не надо. Они отличаются от обычных людей тем, что в любом исходе находят плюсы для себя.
Пример из жизни: Вместо того чтобы бороться с конкурентом и из-за этого терять прибыль, компания договорилась о партнерстве, а потом и о покупке конкурента. Другими словами, владельцы компании увидели в риске нарастающей силы конкурента возможность для расширения своего рынка.
Преимущества риск-ориентированного мышления
Мы решили отнести риск-ориентированное мышление к принципам операционного совершенства потому, что этот элемент позволяет эффективно работать с неявными потерями.
Риск-ориентированное мышление является основой для построения системы, которая позволяет:
Эффективно бороться с неявными потерями, в том числе определять излишние процедуры, на которые расходуются ресурсы;
Определять приоритетные направления для улучшений;
Разгрузить первое лицо при принятии решений;
Осуществить балансировку между приемлемым риском и затратами на контроль;
Повысить компетентность менеджмента в решении вопросов уровня компании, а не только отдельных подсистем;
Успешно пройти сертификацию по новой (2015) редакции стандарта ISO 9001.
Воздействовать на риск можно следующими способами:
Устранять источник риска;
Снижать вероятность риска;
Снижать последствия от риска;
Разделять риск с другими сторонами (контракт, страхование);
Принять риск или увеличивать его для использования благоприятной возможности.
Функционирование риск-менеджмента в бизнес-среде характеризуются наличием ограничений ресурсов на сдерживание риска. Поэтому важно, чтобы система управления рисками позволяла взвешивать самые разные негативные исходы в единой системе координат, что позволит приоритезировать важность рисков и эффективность купирующих мер.
Риск-ориентированное мышление стало необходимостью
На одном языке
О том, как риск-ориентированный подход в работе надзорных органов влияет на работу бизнеса, рассказала директор юридического департамента и департамента управления рисками L’Occitane Rus Светлана Мочалина.
В последние годы подход государственных органов к подобным проверкам изменился. Теперь они оценивают нарушения, обращая внимание на такие критерии, как степень риска для бизнеса; внедрение превентивных мер; порядок проведения оценки рисков; меры, направленные на снижение хозяйствующим субъектом рисков и осуществление им контроля.
– Поскольку мы работаем и на розничном рынке, и у нас, помимо оптового сегмента, франчайзинга, лицензированного SPA бизнеса и интернет-магазинов, в активе более ста собственных розничных магазинов, так называемых «открытых» точек прямых продаж, мы должны быть готовы, что в любую точку без предварительного уведомления (и с ним) могут прийти с проверкой разные государственные органы и их территориальные подразделения по всей стране: ФАС РФ, ИФНС РФ, МЧС РФ, Роспотребнадзор РФ, Росздравнадзор, ОАТИ, Департамент экономики и политики города Москвы. В связи с этим мы задумались, как обеспечить эффективную защиту бизнеса и устойчивую коммуникацию с госорганами, – комментирует Светлана Мочалина. – Одним из инструментов предупреждения и снижения рисков в целом является внедрение превентивной системы комплаенса в самом широком смысле этого слова. Здесь важно, с одной стороны, слышать законодателя, реализовывать и исполнять его волю; с другой – внедряя законодательные требования, опираться на конкретные задачи бизнеса, страхуя его в каждом шаге к достижению поставленной цели; прокладывать гибкий, но устойчивый мост между жесткими опорами закона и хрупкими реалиями оппортунистического характера российского бизнеса, призванного существовать в стремительно изменяющейся окружающей среде.
Цель внедрения любого комплаенса, включая антимонопольный, заключается в снижении вероятности риска нарушения и, как следствие, риска санкций. Однако основными задачами внедрения эффективной комплаенс-системы являются не только минимизация рисков бизнеса и повышение его роли в системе работы госорганов, но и управление бизнес-процессами в целом, а также повышение уровня эффективности персонала.
– Самым важным и труднодостижимым, а главное – самым успешным инструментом будущего и настоящего является безупречная репутация бизнеса / компании, ее становление, работа над ней в течение каждого дня. Если компания внедряет превентивные комплаенс-меры, дорожит своей репутацией, даже при наличии возможного правонарушения, она может рассчитывать на смягчение ответственности, а иногда и вовсе избежать ее. Данную аксиому активно поддерживают многочисленные госорганы, упомянутые выше, а значит, мы говорим на одном языке, – резюмировала Светлана Мочалина.
Фокус – на возможности
Опытом интеграции риск-менеджмента в ключевые процессы принятия решений поделилась руководитель отдела качества цепи поставок FM Logistic Ирина Вальтер.
– Поскольку мы являемся мультиклиентской компанией, то обязаны не только оценивать риски и управлять ими с точки зрения внутреннего комплаенса, но и должны ориентироваться на многочисленных клиентов, чьи требования к хранению и транспортировке могут кардинально отличаться. Таким образом, мы постоянно взаимодействуем с клиентами, привнося получаемую от них информацию в наш подход управления рисками, – уточняет спикер.
Компания FM Logistic считает одним из основных приоритетов в развитии справедливого и прибыльного бизнеса соблюдение законов и честной конкуренции в качестве предоставляемых услуг. При этом риск взяточничества и коррупции на уровне поставщиков исключается посредством внутреннего и внешнего аудита, проверки проводятся на плановой и внеплановой основе. Кроме того, материнская компания постоянно проводит комплаенс-аудит во всех странах присутствия FM Logistic. Велика роль и службы безопасности, которая проверяет каждого контрагента до начала работы с ним для полного соответствия законодательству РФ.
Ирина акцентировала внимание на стратегиях реагирования на риски. В частности, вместо того, чтобы уклоняться от рисков, она посоветовала использовать их на пользу компании. Допустим, план проекта можно изменить так, чтобы исключить угрозу или оградить цели проекта от последствий риска путем привлечения более квалифицированного персонала и обеспечения более высокого качества по сравнению с планом. Такой подход эффективнее, чем категоричный отказ от рискованных проектов и ненадежных партнеров.
– Мы применяем риск-ориентированный подход к бизнесу, фокусируясь не только на рисках как угрозах для бизнеса, но и на возможностях, которые способствуют его развитию. В нашей компании применяется риск-ориентированное стратегическое планирование, что является основой для постепенного внедрения процесса управления изменениями. Инструменты для минимизации существующих рисков разнообразны: это и внутренняя аналитика, внутренние аудиты процессов, фокус на развитие процесса постоянного улучшения, а также аудиты подрядчиков – транспортных компаний, с которыми мы работаем. Минимизировать риск для нас означает довести его до управляемого уровня, найти оптимальную меру управления. Риск-ориентированный подход внедрен в FM Logistic на корпоративном уровне и встроен в глобальный процесс «Compliance», что дает возможность осуществлять оценку рисков на систематической основе с точки зрения риск-аппетита владельцев рисков, производить их мониторинг, оценку результативности отработанных рисков и видеть эффект на бизнес от реализованных усилий нашей команды, – пояснила Ирина Вальтер.
«Маяк» для проектного управления
Одним из ключевых пунктов программы стало выступление руководителя направления аппарата вице-президента по управлению рисками ПАО «НЛМК» Сергея Саламатова, рассказавшего об особенностях интеграции риск-менеджмента в систему управления проектами.
Спикер привел данные исследования PMI’s Capturing the Value of Project Management, проведенного в 2015 году, в рамках которого проанализирована деятельность трех тысяч компаний. Исследование показывает, что в среднем только 64% проектов достигают своих целей. Представители Института по управлению проектами попытались разобраться, почему компании-лидеры лучше достигают поставленных целей. В результате сформулированы ключевые факторы успеха, наличие каждого из которых повышает уровень достижения целей.
Наибольший эффект на успешность в реализации проектов, согласно исследованию PMI, оказывают простейшие факторы: ответственность топ-менеджмента за проект; четкое понимание объема и вероятности достижения выгод от реализации проекта в течение его жизненного цикла; понимание, что результат проекта соответствует стратегии компании; организация обмена знаниями между менеджерами проектов.
Успешная реализация данных факторов достигается за счет интеграции риск-менеджмента с системой управления проектами. Роль риск-менеджмента в инвестиционной деятельности сложно переоценить, а исследование PMI иллюстрирует, что комплексное и систематическое применение количественной оценки инвестиционных рисков позволит повысить вероятность достижения целей проектов на 15–20% и не только принесет финансовые выгоды, но и позволит повысить эффективность.
– Оценка рисков, так или иначе, применяется всеми, однако слишком большая разница между вариантами ее реализации. В отдельных случаях это может быть типичная карта рисков с качественной оценкой ряда рисков по «системе светофор» – красный / желтый / зеленый. Но что на основании данной оценки делать менеджерам проекта? Какую информацию это им дает? – поясняет Сергей Саламатов. – Совсем другая ситуация, когда влияние рисков на целевые показатели проекта оценивается количественно с использованием таких инструментов, как скоринговые модели или имитационное моделирование. Такой подход позволяет анализировать чувствительность целевых показателей проекта к различным риск-факторам, оценивать вероятности достижения результатов, учитывать взаимное влияние факторов и совместный эффект от реализации рисков. На основании таких данных становится возможным принятие риск-ориентированных решений о реализации проектов. Так, оценка целевых показателей проекта под риском (IRR, NPV) поможет приоритезировать проекты с учетом риска и оптимизировать совокупный эффект от реализации стратегии.
Говоря про систему управления проектами, докладчик подчеркнул, что при реализации инвестиционных проектов можно выделить три группы целевых показателей: бюджет проекта, срок реализации и эффективность. Соответственно, существует риск роста затрат, нарушения сроков и снижения доходности. Важно понимать, что управление проектами подразумевает постоянное управление изменениями: понятно, что не удастся защитить проект от всех неблагоприятных событий, но есть возможность принимать решения с учетом их потенциального влияния на проект. От точности этой оценки будет зависеть качество принимаемых решений.
– Часть рисков типовые, они присущи бизнес-процессам, входящим в периметр реализации проекта. Их можно и нужно оценивать путем интеграции риск-менеджмента с системой внутреннего контроля компании. Управление данными рисками связано с повышением качества покрытия рисков внутренними контролями. В инвестиционной деятельности таким образом можно оценивать увеличение затрат на реализацию проекта вследствие неэффективной реализации процессов проектирования, выбора поставщика, строительно-монтажных работ и других, –
комментирует эксперт. – Кроме того, в каждом проекте существуют специфические риски, вызванные уникальностью предметной области проекта. Они сопровождаются высокой неопределенностью – невозможно однозначно оценить ожидаемые потери. Эту неопределенность нельзя упускать из виду: она может привести проект к диаметрально противоположным результатам, и тут не обойтись без имитационного моделирования. Риски смещения сроков также можно оценивать при помощи инструментов моделирования методом Монте-Карло. Такая оценка позволяет руководителю проекта установить повышенный контроль над выполнением критичных работ и наиболее эффективно распределять ресурсы на управление рисками проекта в рамках установленных сроков и бюджета.
Title="Галина
Шаклеина (ЕвроХим)">Количественная оценка рисков инвестиционных проектов с использованием инструментов имитационного моделирования признана востребованной среди мировых лидеров и применяется в разных отраслях экономики. Допустим, Лондонский метрополитен использует этот метод для оценки рисков инвестиционных проектов и безопасности пассажиров, а мировые лидеры в сфере поставки потребительских товаров – компании Unilever и Procter&Gamble – для оценки рисков в отношении разработки и применения новейших технологий, реализации инновационных проектов. В России существенно меньше нефинансовых компаний применяют количественную оценку инвестиционных рисков на регулярной основе. Что характерно, в исследовании PMI также принимали участие только европейские и американские респонденты.
– Стоит предположить, что эффективная интеграция риск-менеджмента с системой управления проектами – это тот «маяк», к которому будет двигаться проектное управление в России в ближайшие годы, повторяя общемировые тенденции. Потому что этот «маяк» обеспечивает получение информации, необходимой для принятия менеджментом риск-ориентированных решений, способствующих повышению эффективности реализации стратегических инициатив и достижению необходимого финансового результата, – резюмировал спикер.
Не конкурировать, а дополнять
Плюсы и минусы интеграции функций риск-менеджмента и риск-ориентированного внутреннего аудита обозначил риск-менеджер ГК «НефтеТрансСервис» Игорь Винников.
Он обратил внимание коллег на отличия риск-менеджмента от внутреннего аудита, заметив, что первый связан с анализом и оценкой внешних альтернатив, угроз и возможностей для стратегического и тактического развития бизнеса, а второй по большей части направлен на оценку эффективности бизнес-процессов компании, в том числе риск-менеджмента. Нередко на практике функции риск-менеджмента и внутреннего аудита пересекаются в рамках одного подразделения, что не позволяет получать синергетический эффект и независимую информацию, насколько эффективно на самом деле работает риск-менеджмент.
К тому же, учитывая, что риск-ориентированный аудит часто использует такие же механизмы и инструменты, что и риск-менеджмент (например, карты и реестры рисков), у менеджмента компании может возникать путаница и непонимание назначения двух этих функций и оправданно возникает вопрос – чем отличаются эти службы?
– Риск-менеджмент и внутренний аудит могут эффективно дополнять друг друга: обмен информацией между этими подразделениями позволит выявить тот или иной риск на ранней стадии, – комментирует Игорь Винников. – На этапе оценки риска риск-менеджмент просчитывает, каким может быть результат в целом для компании в случае его реализации; риск-ориентированный аудит фокусируется на независимой, как правило, ретроспективной оценке аудируемого бизнес-процесса. Для воздействия на риск риск-менеджмент вырабатывает соответствующие мероприятия, а в случае необходимости корректировки бизнес-процесса отвечает за его своевременное изменение. Функция риск-ориентированного аудита на этих этапах заключается в разработке рекомендаций и контроле их выполнения.
Для совершенствования подобного взаимодействия необходимо унифицировать используемую терминологию и подходы; планировать аудиторские проверки с учетом сигналов внешней среды; информировать и вовлекать риск-менеджера в разработку и реализацию плана корректирующих мероприятий при наличии внешних факторов; усиливать роль внутреннего аудита как фактора развития риск-менеджмента, и наоборот.
Лучше предупредить, чем ликвидировать последствия
Руководитель отдела экологии и охраны окружающей среды АО «Руспетро» Надежда Шевелева говорила о значимости управления экологическими рисками в деятельности промышленных предприятий. В частности, Надежда подробно рассказала о составляющих экологического риска и особенностях его выявления в нефтегазовой отрасли. Она также упомянула о стратегии управления экологическими рисками при разработке нефтяных и газовых месторождений и привела примеры выявления причин наступления экологических рисков.
В настоящее время работа с экологическими рисками ведется в условиях неоднозначности трактовок нормативных актов, стремительного изменения законодательной базы, что осложняет ведение производственной деятельности.
По словам докладчика, управление экологическими рисками в рамках производственной деятельности предприятия – процесс непростой и многоэтапный. Так, необходимо проанализировать требования законодательства в части обязательств по охране окружающей среды; оценить вероятность возникновения экологических рисков при текущей системе управления; определить возможные последствия наступления этих рисков, в том числе экологического ущерба; определить методику оценки возможных последствий в денежном выражении (возмещение экологического ущерба, штрафы за нарушение требований природоохранного законодательства). Кроме того, придется оценить возможные последствия в стоимостном выражении и произвести их ранжирование; определить меры по снижению и предотвращению ущербов от идентифицированных рисков; оценить эффективность необходимых вложений для снижения и предотвращения рисков; принять решение о внедрении конкретных мер по управлению рисками. Только после этого производится актуализация системы управления экологическими рисками и назначаются ответственные лица по управлению ими.
Как следует из практики, совокупные затраты на мероприятия по предотвращение риска и реализацию природоохранных мероприятий будут значительно ниже, чем на ликвидацию последствий их реализации, с учетом обязательности своевременного соблюдения требований законодательства в области охраны окружающей среды. Надежда Шевелева рекомендовала принимать данный факт во внимание при планировании управленческой деятельности в части экологического менеджмента.
Никто не застрахован от фрода
В любой компании периодически реализуются риски, связанные с неэтичным поведением и мошенничеством со стороны персонала. В результате компания может понести не только финансовые убытки, но и столкнуться с репутационными рисками. Эту важную тему подняла управляющий директор по финансовым аудитам АФК «Система» Марина Бугорская.
По официальной статистике, самый существенный ущерб компании несут в результате мошеннических действий с финансовой отчетностью. Имеется в виду искусственное завышение активов, недооценка обязательств, занижение себестоимости. Считается, что сознательное искажение отчетности или creative accounting встречается реже, чем остальные виды мошеннических схем. На практике наиболее частыми являются мошеннические действия, направленные на кражу активов, коррупцию и вывод средств из компании.
Полезные инструменты
