Каждый думает о рисках
Журнал «Консультант», №13 за 2011 год
Многие компании тратят огромные средства на реализацию проектов по повышению эффективности бизнеса, а результат все равно оставляет желать лучшего. Как максимально увеличить эффективность инвестиций и текущих операций? Какова роль управления рисками в процессе управления компанией? Как построить бизнес, в котором управление рисками является неотъемлемой частью всех процессов, выполняемых сотрудниками компании?
Внедрение эффективной системы управления рисками может сделать компанию более устойчивой к риску. Однако чтобы такая система работала, очень важно четко понимать и эффективно распределять роли и обязанности внутри компании, что будет способствовать принятию управленческих решений на базе полноценной информации о рисках.
Только опираясь на этот прочный фундамент, компании могут эффективно бороться с факторами риска.
В ответ на более пристальное внимание со стороны акционеров большинство российских компаний создали отдельные службы по управлению рисками. Это существенно повысило статус управления рисками в глазах руководства и совета директоров, но появились и новые проблемы.
Когда ответственность за управление рисками передается отдельной функциональной службе, другие бизнес-подразделения, как правило, слагают с себя эту функцию. В связи с этим некоторые риски неизбежно выпадают из поля зрения, что может привести к разрушительным последствиям.
PwC провело второй бизнес-завтрак для руководителей по управлению рисками и специалистов в данной области на тему «Управление рисками ответственность каждого». В мероприятии приняло участие более 60 человек.
Рисунок 1. Каков уровень поддержки системы управления рисками со стороны высшего руководства в вашей компании?
Главный вопрос, поставленный перед его участниками, заключался в том, как можно организовать деятельность по управлению рисками, чтобы она стала частью повседневной работы каждого сотрудника компании. Они поделились своим опытом в сфере укрепления так называемых трех линий защиты в модели взаимодействия в системе управления рисками, а также обсудили роли и обязанности для каждой из линий защиты.
Управление рисками — ответственность каждого
Управление рисками — процесс для российских компаний далеко не новый. Многие из них внедряют комплексные системы управления рисками, ни в чем не уступающие передовым мировым практикам. Компании, которые получили наибольшую выгоду от внедрения, утверждают, что создание общекорпоративного подхода к управлению рисками зачастую может потребовать пересмотра ролей и обязанностей руководителей и сотрудников, а иногда и всей организационной структуры предприятия.
По данным опроса руководителей крупнейших компаний мира, проведенного PwC, большая часть руководителей этого ранга планируют существенно изменить систему управления рисками, а не какие-либо другие элементы своей корпоративной стратегии, организационной или операционной модели. Тем не менее, когда мы спросили участников бизнес-завтрака по управлению рисками о реальном уровне поддержки со стороны руководства в границах системы управления рисками в их компаниях, только 35% охарактеризовали существующий уровень поддержки как достаточный.
В ходе обсуждения участники отметили важность участия руководства в развитии системы управления рисками и формировании культуры компании, определяющей последовательность действий сотрудников и принятие тех или иных решений в своей ежедневной деятельности с учетом существующих рисков.
Однако для эффективного функционирования системы управления рисками одной поддержки со стороны руководства недостаточно. Необходимо наладить модель взаимодействия, которая позволила бы четко сформулировать и разграничить роли и обязанности в системе управления рисками. Совет директоров и высшее руководство компании должны осуществлять надзор за внедрением и эффективной работой трех линий защиты. Эта модель определяет функции, обязанности и ответственность бизнес-подразделений, службы управления рисками и контроля и службы внутреннего аудита в рамках системы управления рисками.
Воспитание культуры управления рисками, или Три линии защиты
Первая линия защиты
Как укрепить ответственность руководства и структурных подразделений?
Руководство и структурные подразделения формируют первую линию защиты посредством механизмов контроля, призванных обеспечить интеграцию элементов управления рисками в процесс принятия решений и ключевые бизнес-операции компании. Структурные подразделения являются владельцами рисков и несут ответственность за выявление, анализ, управление, снижение уровня рисков и формирование отчетности по ключевым рискам.
Рисунок 2. Каков уровень вовлеченности структурных подразделений в процесс управления рисками в вашей компании?
На вопрос о вовлеченности структурных подразделений в процесс управления рисками лишь четверть участников ответили, что структурные подразделения в их организации принимают активное участие в этом процессе, т.е. действительно своевременно выявляют риски, подготавливают необходимую отчетность и внедряют мероприятия по управлению ими. И хотя многие сотрудники могут неохотно реагировать на запросы подразделения по управлению рисками, стоит отметить, что уровень вовлеченности сотрудников в процесс управления рисками существенно выше, чем раньше.
К интересным выводам приводят результаты голосования участников по вопросу о том, как закреплены роли и обязанности в рамках системы управления рисками в их компаниях. В большинстве компаний, где структурные подразделения неохотно принимают на себя ответственность за управление рисками или же пассивны в этом процессе, эти роли и обязанности в рамках системы управления рисками либо не документированы вообще, либо документированы в политике или регламенте по управлению рисками, о существовании которых многие сотрудники даже не подозревают. Зачастую это и является одной из основных причин того, что структурные подразделения неактивно или неохотно участвуют или не до конца понимают свою роль в управлении рисками. Как показывает практика работы с крупными российскими организациями, указанные роли и обязанности в рамках системы управления рисками редко бывают прописаны в должностных инструкциях. Лишь 21% опрошенных ответили, что они задокументированы и реализуются.
Рисунок 3. Как определены роли и обязанности в рамках системы управления рисками в вашей компании?
Вторая линия защиты
В чем состоит роль современного подразделения по управлению рисками?
Эти подразделения разъясняют корпоративную концепцию риска и определяют стандарты в области управления рисками, включая соответствующие процессы, технологии и культуру. Эти авторитетные, независимые, централизованные подразделения должны отслеживать деятельность других структурных подразделений в границах системы управления рисками и анализировать информацию о рисках, получаемую от них. Функции типичного подразделения по управлению рисками включают консультирование, координирование, поддержку и обучение сотрудников компании в области управления рисками.
В случае если в компетенцию данного подразделения входит ответственность за своевременное выявление, оценку рисков и управление рисками, система управления рисками не будет функционировать эффективно. Когда мы спросили в чем же действительно должна заключаться роль современного подразделения по управлению рисками, были перечислены следующие функции:
- разработка и внедрение методологического подхода к управлению рисками;
- координация действий компании в области управления рисками;
- консультирование и методологическая поддержка подразделений компании по вопросам управления рисками;
- координация и подготовка отчетности о рисках;
- обучение сотрудников по вопросам управления рискам;
- мониторинг выполнения плана мероприятий по управлению рисками структурными подразделениями, координация работы со службой внутреннего аудита;
- разработка и внедрение мероприятий по совершенствованию системы управления рисками.
Третья линия защиты, или Как организовать независимую оценку результатов управления рисками?
Третья линия защиты организации включает внутренних аудиторов и совет директоров. Служба внутреннего аудита дает независимое заключение о том, что компания управляет риском должным образом и ее система управления рисками является эффективной. Совет директоров принимает это заключение как руководство к действию и выделяет службе внутреннего аудита необходимые ресурсы. Под надзором комитета по аудиту служба внутреннего аудита проводит оценку ресурсов управления рисками, проверку процедур корпоративного управления, оценивает показатели эффективности корпоративного управления и тестирует процедуры эскалации проблем.
Рисунок 4. Какая мера по укреплению системы управления рисками может принести наибольшую выгоду вашей компании?
Совет директоров задает тон в процессе управления рисками, оценивает и утверждает уровень рисков, на которые готова пойти организация, с учетом стратегических целей и задач в области управления рисками («аппетит к риску»). Комитеты по аудиту, по управлению рисками и по вознаграждениям помогают совету директоров осуществлять всеобъемлющий контроль над эффективностью системы управления рисками организации.
В ходе обсуждения в группах участники бизнесзавтрака указали на важность взаимодействия между внутренними аудиторами, подразделением по управлению рисками, руководством и советом директоров. Однако они подчеркнули, что отсутствие четких разграничений в обязанностях сотрудников службы внутреннего аудита и сотрудников подразделения по управлению рисками, которое зачастую является частью службы внутреннего аудита, может этому препятствовать.
Итоги и следующие шаги
Подводя итоги обсуждения, мы спросили участников о том, какая мера, по их мнению, может принести наибольшую выгоду для компании. Более трети всех участников посчитали, что именно налаживание взаимодействия между подразделением по управлению рисками и другими бизнес-подразделениями способно принести наибольшую пользу организации. Четверть участников отметили, что закрепление ответственности в рамках системы управления рисками путем внедрения КПД также способно принести пользу организации и укрепить риск-ориентированную культуру.
Необходимо добавить, что только совокупное внедрение всех предложенных мер способно принести реальную выгоду для организаций на российском рынке.
На мероприятиях, проводимых PwC, вопрос о преимуществах и выгодах от внедрения комплексных систем управления рисками поднимается довольно-таки часто. Мнения самих руководителей и сотрудников соответствующих подразделений показались нам очень интересными.
Сорок процентов участников отметили, что за последний год внедрение системы управления рисками способствовало укреплению корпоративного имиджа их компаний. По мнению еще трети участников, эта система помогает повышать эффективность и прозрачность отчетности для акционеров. Оба эти варианта указывают на неосязаемые выгоды от внедрения системы управления рисками, что, безусловно, также несет в себе определенные выгоды для компании.
Рисунок 5. Какая мера по укреплению системы управления рисками может принести наибольшую выгоду в вашей компании?
Однако от внедрения системы управления рисками ждут в первую очередь именно осязаемых результатов, связанных с реальным сокращением неопределенности, предотвращением убытков и сокращением затрат. Лишь 19% участников отметили именно это преимущество (15%-ное снижение затрат на финансирование и 4%-ное уменьшение суммы страховых взносов). Означает ли такой результат, что система управления рисками не создает для компаний, работающих в России, выгод, которые возможно измерить в деньгах? Скорее, это может быть продиктовано тем, что в организациях не всегда четко сформулированы цели внедрения системы управления рисками и, соответственно, не всегда возможно эти выгоды измерить.
