Организационные аспекты риск-менеджмента на предприятии

Автор статьи:

Султанов Искандер Анварович

Основатель Projectimo.ru

Свежие публикации автора:

Системный проект нормирования труда

Реализация проекта перевода учета на аутсорсинг

Ожидание сущностных изменений в инвестициях

Достаточно смелое заявление о том, что если компания уверенно чувствует себя на рынке, в ней присутствует управление рисками, не лишено внутренней логики. Действительно, компания может справляться с многочисленными угрозами, опираясь на прошлый опыт и здравый смысл ее руководителей, специалистов, а может осознанно выстраивать развернутую систему регулярного управления рисками. Нас интересует второй вариант, в котором риск-менеджер – относительно новая профессия в практике российского бизнеса, связанная с функционированием одноименной системы управления.

Почему необходимо построение риск-менеджмента?

В современной экономической отрасли властвует госпожа «неопределенность». К этому немалую лепту добавляет геополитическая нестабильность, свидетелями которой все мы являемся в последние годы. Эти заданные правила игры, в которых находится современный бизнес, не отменить и не исправить в одночасье. В подобных условиях можно научиться жить и работать, добиваясь успеха на высочайших скоростях событийных потоков в условиях многомерности рисковых вариаций. Рассмотрим основные группы современных трендов, повышающих значимость построения системы риск-менеджмента. Первая группа свидетельствует об изменчивости среды бизнеса и включает:

• преддверие новой волны технологической революции и завершение очередного Кондратьевского цикла;
• увеличение общей волатильности и неопределенности в мире (глобализация и рост конкуренции);
• усложнение финансовых инструментов;
• ускорение динамики и объемов слияний, поглощений;
• сокращение жизненного цикла продуктов;
• рост числа реальных потерь (материальных, финансовых, имиджевых, интеллектуальных);
• индивидуализация потребительских качеств рыночных продуктов.

Уровень требовательности от собственников, государства и общества к бизнесу постоянно растет. Менеджмент компаний постоянно сталкивается с повышением своей ответственности перед клиентами, владельцами, акционерами, контролирующими органами. Возрастают инвестиционные требования. Компании вынуждены активнее работать над прозрачностью бизнеса, обеспечивать его непрерывность, заботиться о рейтингах и о соблюдении изменяющегося законодательства. Изменчивость современной бизнес-среды характеризуется рядом представленных ниже примеров того, как риски могут перейти в проблемы.

Экономические риски, перешедшие в проблемы

В статье, посвященной методологическим вопросам управления рисками, мы рассмотрели технологические аспекты регулирования данной сферы деятельности компании. И если технология управления отвечает на вопрос «Как?», то в настоящей статье мы постараемся ответить на вопрос «Кто?». Иными словами, если технология отражает инструментарий управления в контексте основных этапов: выявить, оценить, разработать, то организация риск-менеджмента предоставляет нам возможность выбрать вариант использования этого инструментария наилучшим с позиции регулярности способом. Далее представлены две схемы, первая из которых напоминает технологический алгоритм управления рисками, а вторая – демонстрирует место организационного компонента в рассматриваемой системе.

Основные этапы технологии управления рисками

Место организации риск-менеджмента в системе управления рисками

Таким образом, технологически система управления рисками (СУР) направлена на работу с конкретным риском. В то же время, организация риск-менеджмента представляет собой конгломерат политики, положений, методик и других регламентов, функций и их исполнителей, формирующих инфраструктуру для борьбы с рисками.

Современный уровень организации риск-менеджмента

Известно, что методология управления рисками пришла к нам с Запада. Возникает естественный вопрос: а какие точки зрения существуют для организации риск-менеджмента среди российских компаний? Первая позиция состоит в том, что риск является одним из обычных аспектов управленческой деятельности. Ответственность за него несет руководитель компании, решая задачи бизнеса. Данная точка зрения распространена среди предприятий реального сектора экономики.

В деловой среде постепенно начинает преобладать несколько иной подход, который идеологически рассматривает риск как самостоятельную категорию управления. Такое становится возможным, если ответственность за работу с угрозами возлагается на структурное подразделение, специально создаваемое в компании. Выявление, оценка и реагирование на них есть функциональная обязанность всех менеджеров компании в пределах действующих компетенций. Данная практика получила распространение среди крупных и небольшой пока части средних компаний.

Стратегия и тактика третьего подхода основываются на позиции, что риск – это бизнес-продукт. При реализации масштабных проектов им всегда сопутствует большой риск. Компания-заказчик активно приглашает к участию в проекте партнеров. Требования к профессионализму возрастают. Профессия «риск-менеджер» становится одной из ключевых в такой деятельности. И ответственность часто возлагается на специализированные фирмы или подразделения. Концепция распространена среди инвестиционных и страховых компаний, банков и бирж.

Очевидно, что первая из представленных точек зрения реализуется в условиях фрагментированной практики реагирования на угрозы и опасности. Когда каждый менеджер решает задачи СУР в общем контексте регулирования, он вынуждено делает это эпизодически и реагирует по мере возникновения проблем, а не в результате системной работы. Ресурсов менеджмента в таких условиях хватает лишь на отработку финансовых рисков.

От такого подхода целесообразно переходить к системной работе со всевозможными угрозами неблагоприятных событий. Организация риск-менеджмента должна быть интегральной функцией управления компанией. Это предполагает, что часть менеджмента предприятия включает в себя блок СУР. Данная деятельность должна носить постоянный и непрерывный характер, а не раз от разу. При этом важно рассматривать все риски, и не только финансовые и страхуемые. Для сравнения далее представлена схема генезиса развития систем риск-менеджмента в Западной школе управления.

Уровни развития риск-менеджмента в западных компаниях

Цели и задачи риск-менеджмента

Сущность и содержание риск-менеджмента определяются узким и широком углами их восприятия. В первом случае рассматривается вид профессиональных услуг, оказываемых предприятию специализированными рыночными институтами (брокерскими, страховыми и перестраховочными компаниями). В широком смысле под риск-менеджментом следует понимать системно организованный процесс выявления, оценки рисков, а также выбор методов и инструментов минимизации вероятности наступления неблагоприятных событий. Иногда систему риск-менеджмента рассматривают тождественной системе управления рисками (СУР), что также является верным.

Цель риск-менеджмента может быть рассмотрена обобщенно и в связи со стадией жизненного цикла бизнеса. Обобщенная цель заключается в сохранении полностью или частично ресурсов предприятия или получении ожидаемого руководством дохода полностью в результате выработанного решения. На этапах «детства» и «юности» стратегия риск-менеджмента обслуживает цель выживания, поэтому СУР носит фрагментарный характер. На стадии «расцвета» целью становится активный рост бизнеса. В риск-менеджменте в данный период главенствует направление системного управления риском.

Стратегия риск-менеджмента и его тактика претерпевают значительные изменения при переходе на стадию зрелости. Целью СУР становится управление риском как бизнес-продуктом, профессиональный опыт становится предметом услуг аутсорсинга и консалтинга. Ниже представлена схема динамики целей СУР по стадиям жизненного цикла компании.

Динамика трансформации целей СУР по мере прохождения стадий ЖЦ бизнеса

Задачи СУР на предприятии выполняются в следующем типовом составе.

1. Выявление, сбор, первичная обработка и сохранение информации о внутренней и внешней средах. Риск-менеджер обязан владеть навыками широкополосного и избирательного сбора и анализа информации. Важно при этом осуществлять поиск и фиксацию так называемых слабых сигналов, способных акцентно обратить внимание на вероятность угрозы.
2. Формирование систематизированной совокупности факторов риска для предприятия.
3. Установление уровня угроз выявленных факторов риска.
4. Выработка стратегии и тактики работы с рисками.
5. Разработка программы мероприятий по снижению уровня вероятности угроз, организация ее выполнения, проведение контрольных действий и анализа результатов.
6. Разработка программы рисковых инвестиционно-проектных мероприятий.
7. Ведение управленческого учета, финансовой и оперативной отчетности по рисковым решениям.
8. Ведение страховой деятельности по принятым решениям.

Место регулирующих рекомендаций в системе защиты от рисков

Менеджмент риска в компании строится как многоуровневая система защиты от всевозможных рисков, связанных с деятельностью. Своеобразные эшелоны защиты формируются на организационном уровне таким образом, чтобы функции риск-менеджмента были реализованы комплексно и наилучшим образом. Этому также способствует и внешнее регулирование, которое в некоторых случаях предписывает заниматься данной предметной областью, но в большинстве своем носит рекомендательный характер. Как правило, выделяются четыре уровня защиты от вероятности угроз.

1. На переднем крае защитной системы находятся рядовые сотрудники и линейный менеджмент компании. Они первыми принимают на себя последствия рисковых событий и начинают на них реагировать.
2. На втором уровне защиты выступает руководство компании и координирующие работу с рисками службы или специалисты. Специалист может быть всего один, им является риск-менеджер. Целью названных сотрудников, служб является выполнение управленческо-обеспечительных функций СУР. Они выполняют регламентационные, методологические и координирующие задачи.
3. На третьем уровне защиты находится система внутреннего и внешнего аудита, которая действует с целью проверки правильности реализации мероприятий по борьбе с рисками. Служба регулярно отвечает на вопрос, насколько эффективны мероприятия, насколько результат борьбы может быть признан удовлетворительным. Естественно, что такая система создается только в крупном бизнесе, а для среднего и малого бизнеса не целесообразна. Тем не менее, задачи эти так или иначе решаются.
4. На четвертом уровне менеджмент компании принимает к исполнению требования внешних регуляторов, таких как Центробанк для банков, ФСФР для акционерных обществ и так далее. Секторальный состав внешних регуляторов представлен на следующей схеме.

Требования внешних регуляторов к управлению рисками

В 1985 году была создана комиссия, получившая название Комитет спонсорских организаций Тредвея (английская аббревиатура COSO). Эта частная организация, созданная в США, имеет цель оказывать помощь каждой организации для разработки методологии управления рисками. На международном уровне требования данной организации мы не обязаны выполнять, но изучить их и использовать к применению весьма полезно. Далее вашему вниманию предлагается познакомиться с так называемым кубом COSO.

Куб COSO версии 2004 года

Правила риск-менеджмента, сформулированные в данной модели, обладают строгой внутренней логикой и системностью. В ней изложены основы понятийного аппарата СУР, определения системы внутреннего контроля, сформулированы ее основные компоненты. Концепция COSO обладает двумя важными достоинствами.

1. Содержание и структура самого куба, которая делит системный комплекс на три объемных грани.
2. Модель является обобщенной организационной схемой борьбы с рисками.

Обобщенная и частные модели построения риск-менеджмента

В предыдущем разделе я не уделил особого внимания второму международному регулятору ISO 31000:2009 и российскому сектору регулирования процессов управления рисками. Замечу лишь, что международный стандарт «Менеджмент риска» подготовлен группой экспертов в рамках деятельности технического комитета и адаптирован в российской редакции. Его цель состоит в том, чтобы управление рисками интегрировать в общую систему управления компанией. Российский сектор регулирования состоит из центральных регулирующих и контролирующих органов, таких как ЦБ РФ и ФСФР, а также включает предписания гражданского кодекса, ряда федеральных законов. И все-таки, более цельным, структурированным и технологичным на текущий момент представляется модель COSO, схема которой в дополнительной интерпретации представлена далее.

Модель СУР, основанная на концепции управления рисками COSO

Возникает вопрос: как реализовать общую блок-схему риск-менеджмента на российских предприятиях? Структура обобщенной схемы состоит из пяти основных блоков.

1. Блок анализа среды, состоящий из двух компонентов: организационно-правового поля деятельности и предпринимательской среды. Первый компонент формируется деятельностью таких органов власти, как правительство, Госдума и ЦБ РФ. Основы предпринимательской среды закладываются во взаимодействии с другими субъектами благодаря развитой конъюнктуре рынка и ресурсам предпринимательства.
2. Блок управляющей подсистемы. Структура блока как субъекта управления включает координирующую фигуру (риск-менеджер или финансовый менеджер) и ряд подведомственных секторов (отделов): страхования, рисковых инвестиционных вложений, рисков венчурных вложений.
3. Блок управляемой подсистемы включает объект управления и два последовательных результата в форме программы снижения риска и антирисковых управляющих воздействий. Под объектами управления подразумеваются рисковые инвестиционные мероприятия, финансовые операции между субъектами, варианты принятия решения и показатели блока принятия решения.
4. В результате управляющего воздействия формируется результат СУР. Он подлежит рейтинговой оценке и служит методологической платформой для теории риска в компании.
5. Модели, способы, методы и приемы работы с риском формируют пятый блок модели.

Обобщенная схема СУР

В практике различают два частных варианта системы управления рисками.

1. Организация СУР с помощью выделения специализированного подразделения (выделенная модель).
2. Построение модели СУР с помощью распределения функций управления рисками среди действующих подразделений (распределенная модель).

Особенности выделенной и распределенной моделей СУР

Риск-менеджер или целое подразделение выделяются в компании, если для реализации избрана именно выделенная модель СУР. Такое решение может быть принято на самом высоком уровне, и далеко не каждая даже крупная компания решается на подобный шаг. В акционерном обществе риск-менеджер или подразделение, как правило, подчиняется совету директоров и высшему исполнительному руководству, координирует свою деятельность с системой внутреннего аудита. Организация риск-менеджмента по данной модели предполагает, что выделяется структура с функциональным составом, реализуемым, как минимум, по трем направлениям.

1. Аналитическое. В нем реализуется анализ, оценка и мониторинг угроз.
2. Направление по разработке антирисковых мероприятий.
3. Административное направление.

Пример организационной структуры выделенного подразделения СУР

Плюсом настоящей модели является возникновение персонифицированной ответственности за работу СУР. Однако формирование довольно громоздкого подразделения и даже одной штатной единицы «риск-менеджер» может представляться руководству неоправданными расходами. Идеология организации СУР на основе распределенной модели менее капиталоемкая, имеет широкое распространение на Западе и в российских компаниях.

Рассмотрим пример такой организации. В рассматриваемой модели совет директоров отвечает за учет ключевых рисков при формировании стратегии, за разработку и реализацию политики управления ключевыми рисками. Обратите внимание, подразделение, отвечающее за деятельность СУР, в организации отсутствует. Управляющая компания полисубъектной фирмы отвечает за формирование приказов, регламентов, процедур по управлению ключевыми рисками и мониторинг выполнения основных решений. Топ-менеджеры самостоятельно вычисляют и определяют основные показатели управления рисками.

В данной модели создаются матрицы ответственности, которые позволяют закрепить ответственность за управление рисками за каждым из подразделений. Даже если в управляющей компании выделяется департамент внутреннего аудита, он играет роль координатора в борьбе с рисками, в меньшей степени управляя подразделениями в данной сфере. Основная нагрузка падает на правление компании. Методологически в компании должен действовать комплект документов для эффективного регулирования работы с рисками. Рассмотрим примерный состав такого комплекта:

• политика СУР;
• перечень основных рисков и их факторов (декларация о рисках);
• регламент СУР (положение по системе менеджмента риска);
• план работ (мероприятий) по управлению рисками;
• календарный график основных событий (мероприятий) по реагированию на риски;
• должностная инструкция риск-менеджера;
• методическое пособие по формированию основных показателей риска;
• нормативы, правила и стандарты СУР.

Регламентация деятельности компании для целей риск-менеджмента

Развернутая и тщательно проработанная регламентация СУР позволяет легче обходиться без выделения специального подразделения, но и для выделенной модели документационное обеспечение управления рисками имеет большое значение. Эффективность риск-менеджмента обеспечивается с помощью введенных в деловой оборот документов, и каждый сотрудник знает, что ему нужно делать для работы с вероятными угрозами. Рассмотрим содержание некоторых регламентов. Начнем мы с политики СУР.

Политика управления рисками – достаточно краткий документ, определяющий основные правила, принципы работы с вероятными неблагоприятными событиями. В нем дается ряд поддерживающих принципы определений. Среди положений документа находят отражение вопросы стратегии управления рисками, состав работ процесса СУР, архитектура системы и основные положения об отчетности по рискам.

Целью декларации о рисках является предоставление информации о всех возможных угрозах, с которыми сталкивается компания. Особенно широко настоящий документ используется в банковском секторе. В декларации формулируются определения и характеристики всех рисков, с которыми сталкивается субъект хозяйственной деятельности. В ней также отражаются основные факторы рисков с описанием их основных качеств.

Типовой регламент (Положение) по управлению рисками, помимо основных положений и глоссария, раскрывает следующие вопросы организации и реализации СУР.

1. Цели организации в сфере менеджмента риска.
2. Задачи СУР.
3. Функции риск-менеджмента, реализуемые организацией и ее подразделениями.
4. Принципы и подходы в области управления рисками.
5. Процессы СУР.
6. Полномочия и ответственность руководящих органов компании и ее структурных подразделений в отношении рисков.
7. Ограничения СУР.

Риск-менеджер действует на основании утвержденных регламентов и должностной инструкции. Для данной профессии компанией «РусРиск» разработан профессиональный стандарт, который определяет требования к квалификации и компетенциям специалистов профессии «риск-менеджер», обладающих разными уровнями знаний и навыков.

Выписка из стандарта «Специалист по управлению рисками».
Источник: РусРиск

Выписка из стандарта «Специалист по управлению рисками», Продолжение.
Источник: РусРиск

Выше размещена выписка из названного профессионального стандарта в части состава типовых функций, подлежащих выполнению специалистом по управлению рисками. Основные цели профессиональной деятельности риск-менеджера в стандарте обозначены, как:

• определение рисковых событий;
• обеспечение контроля не превышения предельно допустимых уровней риска;
• предоставление разумной гарантии достижения целей компании;
• поддержание уровня риска, позволяющего обеспечить непрерывность деятельности и устойчивое развитие компании;
• получение оптимальных результатов деятельности с учетом риска для заинтересованных сторон.

Заключение

В настоящей статье мы разобрали организационный аспект обустройства системы управления рисками на предприятии. Вопрос этот перспективен с двух точек зрения. С одной стороны, идет процесс повышения цены входного билета на рынок с позиции регулярного риск-менеджмента. Выживаемость бизнеса реально снижается. И, казалось бы, этот тренд служит одной из причин «вымывания» предпринимательства с рынка. Данный посыл тем более верен в условиях, когда построение СУР влечет непроизводительные издержки, по крайней мере, на первом этапе внедрения.

Возникает вполне резонный вопрос: являются ли объективные тенденции основанием для отказа от идеи инновационного прорыва с участием свежей предпринимательской инициативы? Ответ ясен. Для государства нет иных альтернатив, как поддерживать бизнес абсолютной конкуренции. А это как раз некрупный бизнес, способный генерировать инновационный посыл в экономику. Следовательно, при мудрости власти создание предпосылок для развития данной формы управления не заставит себя ждать. И если правительство найдет действенные мотиваторы, средний и даже малый бизнес постепенно начнут включать организационные решения в области риск-менеджмента в арсенал своих инструментов управления.

Вторая точка зрения касается основных направлений развития СУР в компании. Речь идет о стратегических, операционных и инвестиционно-проектных рисках. Я убежден, что не только проект-менеджеру необходимо применять методы управления рисками, и следует говорить о системной трансформации ментальности всех групп персонала компании. Поэтому большие надежды я возлагаю на то, что зарождающаяся в некоторых компаниях риск-культура получит широкое распространение. Отдавая себе отчет в реальных возможностях бизнеса, в том числе и финансовых, призываю владельцев и руководителей не терять фокуса внимания на данном вопросе, активнее использовать новаторскую инициативу и возможности автоматизации.