Рецепт эффективного управления рисками

Оглавление

• Введение
• Задача 1: Развивайте культуру управления рисками
• Задача 2: Сделайте управление рисками частью повседневной работы
• Задача 3: Станьте советником, которому доверяют

Введение

Сегодня управление рисками на повестке каждой организации, будь она частная или государственная. Много внимания уделяется управлению рисками со стороны государства и регуляторов. Однако это не всегда было так. Мы начали свое исследование темы управления рисками еще в 2007 г. Тогда это было вызвано тем, что многие крупные корпорации по всей Восточной Европе создавали департаменты управления рисками и запускали проекты по внедрению систем управления рисками. Наше исследование 2007 года показало, что управление рисками было во многом обусловлено требованиями фондовых бирж и, по сути, носило поверхностный характер. Мы выявили целый ряд проблем, в основном относящихся к слабой культуре управления рисками, нехватке количественных инструментов оценки рисков, а также обособленностью процессов управления рисками от основных бизнес процессов.

Мы также отметили, что в 2007 году менеджеры по управлению рисками главным образом фокусировались на таких видах деятельности, как разработка нормативных документов в рамках системы управления рисками, проведение оценки рисков и подготовка сводных отчетов о рисках. Это привело к появлению подробных, а иногда и чрезмерно усложненных, процедур идентификации и анализа рисков. Часто на получение каких-либо значимых результатов могли с легкостью уйти месяцы, и довольно быстро это превратилось в условную процедуру «для галочки». Руководители воспринимали это как вспомогательный процесс и отказывались уделять ему должное внимание, мотивируя это тем, что риски были уже известны или и так находятся под контролем. Тем не менее, советам директоров и исполнительному руководству вскоре стало очевидно наличие потребности в надежном и независимом анализе рисков принимаемых решений. Они хотели получать результаты анализа рисков здесь и сейчас, каждый день, а не раз в квартал.

К сожалению, многие риск-менеджеры со своими методиками и процедурами были не готовы к такому запросу руководства. Сегодня, девять лет спустя, мы продолжаем адаптироваться к крайне нестабильной среде, а предприятия по всей Восточной Европе становятся все более активными в области управления рисками. В результате, менеджеры по управлению рисками играют все более важную роль в создании мощной культуры управления рисками в организациях и способствуют принятию управленческих решений с учетом рисков. Для того, чтобы добиться успеха, менеджерам по управлению рисками пришлось изменить мнение бизнеса о себе, чтобы их начали воспринимать как надежных советников.

В ходе нашего исследования мы были приятно удивлены тем, что многие компании Восточной Европы, которых мы опрашивали, давно осознали неперспективность «обособленного» теоретического процесса по управлению рисками и делают все для интеграции управления рисками в процессы принятия решений, ключевые бизнес процессы и культуру организации.

Цель данного руководства:

• Оказание помощи риск-менеджерам в укреплении культуры управления рисками в организации в соответствии с ГОСТ Р ИСО 31000:2010;
• Оказание помощи совету директоров в выполнении их обязанностей по корпоративному управлению, а также помощи членам правления в построении правильных ожиданий от культуры управления рисками.

Для достижения этой цели мы пересмотрели наш собственный опыт управления рисками, который мы приобрели в течение более 20 лет управления рисками в компаниях Австралии, Испании, Сингапура, Польши, России, Украины и Казахстана.

Оба автора работали в качестве консультантов по управлению рисками и корпоративных менеджеров по управлению рисками и являются активными участниками международного сообщества по управлению рисками. Авторы также проводили свои собственные исследования практики корпоративного управления и управления рисками в 2006-2012 годах, результаты которых были опубликованы в международных журналах.

Мы также опрашивали других менеджеров по управлению рисками крупных корпораций в Восточной Европе для подготовки данного практического руководства.

В данном руководстве авторы постарались предложить альтернативный подход к управлению рисками, без карт и реестров рисков, мероприятий или владельцев рисков. На протяжении нескольких лет авторы тестировали свои идеи на российских и международных форумах и конференциях по управлению рисками, и вот, наконец, они нашли свое отражение на бумаге.

Данное руководство содержит пятнадцать очень конкретных и практических рекомендаций, которые менеджеры по управлению рисками найдут полезными при внедрении управления рисками в ключевые процессы организации. Для того, чтобы обеспечить логическую структуру,
авторы сгруппировали пятнадцать рекомендаций в три задачи высокого уровня:

1. Развивайте культуру управления рисками
2. Сделайте управление рисками частью повседневной работы
3. Станьте советником, которому доверяют

Для удобства читателей для каждой рекомендации на левой стороне страницы приведены конкретные шаги для внедрения. Авторы рекомендуют читателям сначала ознакомиться с основной частью документа, а затем обратиться к Приложению А, которое содержит полезные дорожные карты, предназначенные помочь менеджерам по управлению рисками расставить приоритеты в общей схеме рекомендаций, представленных в руководстве. На первой странице также приводится контрольный вопросник, охватывающий все содержание руководства.

Задача 1: Развивайте культуру управления рисками

Оцените, насколько стратегия компаний находится "под риском"

Суть управления рисками прежде всего заключается в создании внутри организации такой культуры, которая бы способствовала проведению анализа рисков при принятии любых управленческих, инвестиционных или проектных решений. Оценку стратегических целей компании «под риском» можно считать логическим началом процесса.
Ниже приведены некоторые практические шаги, которые менеджеры по управлению рисками могут предпринять, чтобы начать внедрение управления рисками. Тем не менее, шагом номер “ноль” всегда должен быть откровенный разговор с руководством или акционером с тем, чтобы определить их ожидания от управления рисками и серьезность желаний сделать организацию более риск-ориентированной.

Выберите международный стандарт по управлению рисками для внедрения:

Самым актуальным стандартом по управлению рисками на данный момент в России является ГОСТ Р ИСО 31000:2010. Российский стандарт является полной копией международного ISO31000:2009, самого распространенного стандарта по управлению рисками в мире. Стандарт официально переведен и адаптирован в 44 из 50 крупнейших стран мира по ВВП. Поскольку все организации в определенной степени управляют рисками, ГОСТ Р ИСО 31000:2010 устанавливает ряд принципов, которые необходимо соблюдать для того, чтобы риск-менеджмент был эффективным. Стандарт устанавливает принципы и общее руководство по риск-менеджменту и не подлежит сертификации (организации не могут сертифицироваться на предмет соответствия стандарту). Тем не менее, ГОСТ Р ИСО 31000:2010 далеко не единственный в мире стандарт по управлению рисками, хоть он и является самым распространенным и, по мнению авторов, самым качественным. Для некоторых отраслей, например, для инвестиционных компаний, существуют собственные стандарты, разработанные отраслевыми ассоциациями.

Имейте в виду, что сложность методологии управления рисками должна быть пропорциональна размеру и степени сложности вашего бизнеса, а также общей зрелости организации в области управления рисками. Поэтому, если перед вами поставлена задача выбора методологии для организации, для которой системное управление рисками все еще в новинку, или где сотрудники предпочитают игнорировать, а не обсуждать риски, было бы крайне неуместно сделать выбор в пользу сложной и непрозрачной методологии.

Подготовьте анализ ключевых стратегических целей с учетом рисков:

После того, как методология согласована и принята заинтересованными сторонами, настало время проанализировать насколько стратегические цели компании находятся «под риском».

Декомпозиция стратегических целей

Ключевым шагом в процессе оценки рисков стратегических целей является декомпозиция и детализация этих целей.

Сложные, высокоуровневые цели должны быть декомпозированы до уровня понятных и логичных компонентов для последующего анализа рисков. Декомпозиция может быть произведена качественно и экспертно до уровня тактических целей, на основании бизнес плана или плана долгосрочного развития (если речь идет о гос корпорациях) или количественно, на основании стратегической финансовой модели компании.

При декомпозиции целей важно придерживаться принципа MECE (ME — Mutually Exclusive — Взаимоисключающие, CE — Collectively Exhaustive — Совместно исчерпывающие). Во многих компаниях, где уже внедрена система целеполагания, стратегические цели уже декомпозированы, что существенно упрощает работу риск-менеджера.

Выявление факторов неопределенности и рисков

Используйте стратегическую финансовую модель или бизнес план для определения ключевых допущений (assumptions), сделанных менеджментом при формировании стратегии. Большинство из этих допущений связано с высокой неопределенностью и требуют анализа рисков. Например, для крупной инвестиционной компании допущения, которые связаны с наибольшей неопределённостью включают: ожидаемую доходность от инвестиций, сроки возврата инвестиционных средств, сроки и стоимость привлечения заемных средств, плечо со-инвестирования, курс валюты и так далее. Необходимо выбрать ключевые допущения для их последующего включения в анализ рисков стратегических целей. Вот лишь несколько критериев для выбора допущений:

• Фактор, связан с высокой неопределенностью.
• Влияние фактора корректно отражено в финансовой модели (например,нет смысла оценивать валютные риски, если в финансовой моделивсе валютные расходы зафиксированы в рублях, а изменение валютынесущественно влияет на результат).
• В организации существует достоверная статистика и эксперты дляопределения возможного диапазона значений фактора.
• Существуют внешние достоверные источники информации дляопределения возможного диапазона значений фактора.

Допущения могут выбираться количественно, с помощью анализа чувствительности, так и эксперта, через изучение нормативной базы. В результате этого этапа должен быть сформирован перечь допущений финансовой модели или бизнес плана, возможные диапазоны их значений и вероятные формы распределения таких значений.

Параллельно с этим необходимо провести классическое выявление рисков, чтобы определить все ли ключевые допущения и факторы были включены в анализ. Выявление рисков необходимо проводить через анализ существующей управленческой и финансовой отчетности компании, изучение отраслевых отчетов и данных конкурентов, анализ отчетов аудиторов, проверяющих органов и контрольно-ревизионных комиссий, а также интервью ключевых сотрудников компании. Бесплатные шаблоны для выявления рисков доступны на портале www.risk-academy.ru.

Проведите оценку стратегических целей с учетом рисков

Используйте сценарный анализ или имитационное моделирование для оценки влияния неопределенности и рисков на целевые показатели стратегии компании. Для имитационного моделирования могут использоваться различные программные продукты, такие как Palisade Decision Tools или Oracle Crystal Ball. Авторы используют и рекомендуют решения Palisade Decision Tools, которые позволяют расширить базовый функционал MS Excel для моделирования рисков.

Необходимо учитывать корреляцию между факторами для корректного анализа рисков. Комплексность и взаимосвязанность глобальной бизнес-среды делает очень сложным отслеживание процессов того, как одни события могут повлиять на другие. Управление ключевыми связями требует глубокого понимания организации, осознания ее уязвимостей и принятия сознательных решений о том, какие из них принять и смягчить. Одним из полезных инструментов для проведения углубленного анализа рисков и выявления взаимозависимостей является методика галстук-бабочка. При подобном анализе определяются причинные факторы риска, а также (потенциальные) последствия риска.

Анализ методом галстук-бабочка часто используется для графического описания риска или установления связей между основными рисками.

В завершение, оцените, насколько полученный диапазон значений целевых показателей приемлем с учетом рисков. Определите вероятность достижения целевых показателей стратегии с учетом рисков (с помощью распределения результатов) и ключевые риски, которые могут отрицательно или положительно сказаться на достижении стратегических целей компании (с помощью диаграммы торнадо). Обсудите с руководством, насколько полученные результаты соответствуют их ожиданиям, что они считают нужным откорректировать, и определите дальнейшие шаги.

Актуализация стратегии с учетом рисков

Существует высокая вероятность, что анализ рисков наглядно укажет на нереалистичность или чрезмерную рискованность некоторых допущений, сделанных менеджментом. Анализ стратегических целей с учетом рисков может потребовать пересмотра некоторых факторов или стратегии компании целиком. Именно поэтому анализ стратегии с учетом рисков целесообразнее всего проводить на этапе формирования этой самой стратегии, а не после ее утверждения.

Тем не менее, анализ рисков может потребовать актуализации стратегии. Задача риск менеджера, совместно с руководством компании, определить какие изменения должны быть реализованы, чтобы сделать уровень риска приемлемым для организации. Там, где уровень риска выше условного аппетита к риску, руководство, при помощи риск-менеджера, должно:

• Пересмотреть допущения, сделанные при формировании стратегии.
• Рассмотреть возможность передачи части рисков путем использованияконтрактов или механизмов хеджирования / страхования.
• Рассмотреть возможность снижения рисков путем принятия альтернативныхподходов к достижению той же цели или реализации соответствующих мерконтроля риска.
• Принятие риска и разработка планов на случай непредвиденныхобстоятельств, чтобы свести к минимуму воздействие в случае наступленияриска (разработка плана Б, если риски реализуются).
• Или, возможно, изменить стратегию.

Риск-менеджер, совместно с внутренним аудитом, также должен проверить, насколько эффективно выявленные риски в настоящее время контролируются. Одной из самых насущных потребностей является анализ того, насколько хорошо в настоящее время удерживаются под контролем идентифицированные риски. Далеко не всегда заявления владельцев процессов о контролируемости того или иного риска соответствуют действительности.

Задайте тон сверху

Разработайте высоко-уровневую политику по управлению рисками

Для многих организаций может быть целесообразным документировать представление руководства об управлении рисками в высокоуровневом документе, таком как политика по управлению рисками. Политика должна описывать общее отношение компании к рискам, принципы управления рисками, роли и обязанности, инфраструктуру управления рисками, а также ресурсы и процессы, посвященные управлению рисками. В статье, опубликованной Майклом Расмуссеном 5 октября 2010 года (“Структура политики управления рисками предприятия”) приводится краткое описание того, что должно быть включено в структуру документа. Политика не должна быть “сделанной под копирку”. Она должна отражать фактические виды деятельности, осуществляемые компанией и ее отношение и подход к управлению существенными рисками в бизнесе. Бесплатные примеры нескольких вариантов Политики по управлению рисками доступны для скачивания на портале www.risk-academy.ru.

Документируйте аппетит к различным типам рисков в существующих нормативных документах

Большинство крупных российских компаний уже давно документировали аппетит к различным типам рисков. Утверждение лимитов одобрения сделок, требования финансовой политики к привлечению финансирования, критерии инвестирования в различные типы проектов, нулевая толерантность к рискам мошенничества или техники безопасности, требования, установленные к экологической или промышленной безопасности – все это великолепные примеры того, как руководство компании, акционеры или советы директоров устанавливают рамки, лимиты, аппетит к риску. Вопреки мнению многих современных консультантов, авторы убеждены, что попытки в нефинансовых организациях агрегировать единый аппетит к риску и тем более утверждать нечто подобное на совете директоров противоречит принципам ГОСТ Р ИСО 31000:2010 и не способствует эффективному управлению рисками.

Задача риск-менеджер убедиться, что для наиболее существенных рисков действительно установлены требования и лимиты в действующих нормативных документах. Если это не так, то риск-менеджер может, совместно с владельцем процесса, инициировать рассмотрение подобных лимитов на правлении или совете директоров. Основные риски можно условно разделить на три группы:

• Недопустимые, или риски с “нулевой толерантностью”
• Приемлемые в рамках количественных лимитов
• Приемлемые в рамках качественных лимитов.

Правление и высшее руководство должны иметь четкое представление о том, что значит толерантность к риску компании, и какова степень, в которой они хотят управлять ею. Аппетиты к различным видам рисков должны пересматриваться по крайней мере раз в год.

Включите обсуждение рисков в повестку дня совета директоров

Это очень важный шаг в получении поддержки в совете директоров. При этом, гораздо более эффективным будет потратить десять или пятнадцать минут на каждом собрании на то, чтобы поговорить о рисках, чем один час раз в квартал или год. Однако самым эффективным будет не включать обсуждение рисков как отдельный пункт в повестку, а сделать раскрытие информации о рисках частью каждого вопроса, который обсуждается на совете директоров. Риск-менеджер должен, совместно с секретарем совета директоров, внести необходимые дополнения в шаблоны презентаций для совета директоров с целью включения информации о рисках, их влиянии на принимаемые решения и способы нивелирования.

Риск менеджер также, совместно с внутренним аудитом, должен убедиться, что информация о рисках, предоставляемая совету директоров является полной, правдивой и качественной. Несмотря на то, что обучение сотрудников позволит повысить качество предоставляемой информации о рисках и их управлении, постоянный контроль качества - важная задача для риск-менеджера. Для некоторых компаний может быть целесообразно формирование отдельного Комитета по управлению рисками на уровне совета директоров. Это может быть отдельный комитет по рискам, или комитет по рискам и аудиту. Хотя это скорее больше модно, чем практично, так как большая часть решений в Российских компаниях принимается задолго до выхода на совет директоров. Подобный комитет может выполнять важную надзорную функцию.

Рекомендуйте создание отдельного комитета по управлению рисками на уровне правления или расширьте мандат существующего органа управления

Большинство опрошенных риск-менеджеров утверждают, что наличие консультационного органа по управлению рисками именно на уровне правления оказывает существенный положительный эффект на развитие культуры управления рисками в организации. Состав комитета по управлению рисками должен быть достаточно представительным, чтобы обеспечить рассмотрение различных точек зрения по вопросам управления рисками. Комитет может фокусироваться на рассмотрении методологических вопросов с целью, в первую очередь, разгрузки повестки дня правления или принимать непосредственное участие в процессе принятия инвестиционных, проектных и прочих решений, связанных с высокими рисками, или же совмещать обе функции. Комитет по управлению рисками может собираться как на регулярной (ежемесячной или ежеквартальной) основе, так и по запросу председателя комитета при появлении вопросов, которые требуют анализа рисков. Важно, чтобы в составе комитета участвовали директора подразделений бэк-офиса (финансы, юристы, безопасность, внутренний аудит), так и представители бизнеса (производственные отделы, продажи, маркетинг).

Содействуйте развитию управления рисками как внутри компании, так и за ее пределами

После того, как компания достигнет ощутимых результатов, управляя определенными рисками, начните делиться этой информацией как внутри организации, так и за ее пределами. Это может быть осуществлено путем представления на различных отраслевых мероприятиях или с помощью публикации статей в соответствующих журналах или на интернет порталах типа www.risk-academy.ru. Участвуйте в ежегодных конкурсах по управлению рисками, например, проводимых Институтом стратегического анализа рисков управленческих решений (ИСАР). Это усилит положительный имидж управления рисками как внутри компании, так и за ее пределами.

Создавайте атмосферу “отсутствия виноватых”

При каждом удобном случае вы должны поощрять сотрудников, поднимающих вопросы, связанные с рисками. Помните, что риск-менеджер — это не кабинетная должность. Проводите большую часть времени в общении с коллегами, только таким образом вы сможете оставаться в курсе информации о потенциальных рисках или сбоях в системе внутреннего контроля. Мотивируйте персонал активно выявлять и предотвращать риски. Вы можете рассмотреть вопрос о введении специальных наград. Обсудите это с высшим руководством, чтобы получить поддержку и содействие. Создайте политику “отсутствия виноватых” и сообщите об этом в рамках всей компании. Фокусируйтесь на важности извлечения уроков из реализовавшихся рисков и действиях по управлению выявленными рисками, а не на поиске виноватых.

Найдите общий язык с менеджерами, ответственными за смежные управленческие системы

Пообщайтесь с менеджерами, ответственными за такие системы, как система лин менеджмента или система качества. Интегрируйте выявление рисков в идентификацию проблем и поиск гипотез по улучшению в рамках лин менеджмента. Используйте культуру лин в части открытой коммуникации о проблемах, поиска улучшений и принятия ответственности для усиления культуры управления рисками. Налаживайте отношения с производственными подразделениями. Для этого найдите, чем вы можете быть им полезными, например помощь в обосновании необходимости ремонтов, страховых запасов материалов и запчастей с учетом рисков.

Определите заказчиков / пропонентов для внедрения риск- ориентированного управления

Успех управления рисками во многом зависит от поддержки руководства. Важно на ранних этапах найти несколько руководителей на уровне правления или совета директоров, кто поддерживает концепцию риск-ориентированного управления и готов оказывать помощь риск менеджеру.

Закрепите роли и обязанности по управлению рисками

Четкое распределение и закрепление ролей и обязанностей по управлению рисками важно для создания прочной культуры управления рисками в организации. Мы подготовили следующие пять рекомендаций, чтобы помочь сделать управление рисками ответственностью каждого сотрудника.

Выберите модель управления рисками, подходящую для текущего уровня зрелости вашей организации:

Модель управления рисками во многом зависит от ожиданий менеджмента и акционеров, от отраслевой специфики и компетенций самого менеджера по управлению рисками, от ресурсов, выделенных на ее разработку, внедрение и поддержание в актуальном состоянии. Она может быть построена на основе классической концепции трех линий защиты:

• Бизнес-подразделения: Руководители, менеджеры бизнесподразделений, а также сотрудники, несут ответственность засвоевременное выявление рисков, их оценку, управление, отчетностьи мониторинг в рамках своих функциональных обязанностей. Высшийменеджмент и совет директоров определяют стратегию по управлениюрисками, утверждают риск аппетиты, осуществляют мониторинг рисков.
• Функции риск-менеджмента: риск-менеджеры (в том числеподразделения, ответственные за вопросы безопасности, страхования,финансовый блок и т.д.) являются бизнес консультантами и несутответственность за разработку методологии, обучение, повышениеосведомленности, сопровождение процесса и поддержку. Иногдакоманда риск- менеджмента выполняет также функцию контролякачества и агрегированной информации о рисках.
• Внутренний аудит: Независимые органы такие как подразделение внутреннего аудита, обеспечивают независимый контроль того факта, что риск-менеджмент организации осуществляется, как описано в методиках и процедурах, и что управление ключевыми корпоративными рисками выполняется.

Или, если того требует ситуация, может использоваться более прогрессивная модель управления рисками:

• Функция риск-менеджмента является центром компетенций поуправлению рисками в компании и отвечает за независимый,своевременный и количественный анализ рисков принимаемыхрешений. Даная модель требует от риск-менеджера непосредственногововлечения в процесс принятия ключевых бизнес решений ипредполагает ответственность риск менеджера за принимаемыерешения наравне с другими руководителями.
• В определенных случаях риск-менеджер имеет мандат блокироватьчрезмерно рискованные сделки, не соответствующие стратегическимцелям компании.

Личное мнение авторов, что в современных реалиях более эффективна именно прогрессивная модель управления рисками. Классическая же модель слишком идеалистична для того, чтобы эффективно функционировать в реальной жизни.

Документируйте роли и обязанности в области управления рисками в существующих должностных инструкциях, положениях о подразделениях и комитетах:

Первым шагом во внедрении любой модели управления рисками является документирование ролей и обязанностей по управлению рисками.Обычной практикой является описание ролей и обязанностей по управлению рисками в политике или положении об управлении рисками. Такой подход авторам кажется заведомо провальным, так как бизнес подразделения чаще всего рассматривают подобные документы как “технические документы риск-менеджмента”, которые не имеют отношения к каждодневному управлению бизнесом. Сотрудники не считают подобные нормативные документы «своими». Более действенный способ - это описание ролей и обязанностей в области управления рисками в существующие должностные инструкции, положения о подразделениях, положения и уставы различных комитетов и рабочих групп. Роли и обязанности по управлению рисками должны пронизывать все уровни управления. Как было определено одной из компаний, с которыми мы беседовали, это оказалось гораздо более эффективным, чем просто перечислить обязанности по управлению рисками в методологических документах по риск-менеджменту.

Актуализируйте существующие политики и процедуры с учетом рисков:

Интервью риск-менеджеров на крупнейшем в России форуме «Новые горизонты корпоративного управления рисками», который прошел 4-5 апреля 2016г. в здании Правительства Москвы также помогли выявить интересные рекомендации по укреплению культуры управления рисками. Давайте рассмотрим пример, который был успешно реализован одной из компаний, с которыми мы беседовали: Вместо того, чтобы описывать процесс управления рисками в проектах в отдельном регламенте, политике или методике, компания изменила свою действующую процедуру утверждения проектов, для того, чтобы она включала подготовку и проведение анализа рисков в качестве одного из критериев утверждения проекта. Не было создано ни одного нового документа в области “риск-менеджмента”, вместо этого была изменена существующая процедура управления проектами. Тот же самый подход может использоваться для всех ключевых процессов. Вместо единых централизованных документов по управлению рисками, владельцами которых являются риск-менеджеры, должны быть изменены существующие нормативные документы. Таким образом ответственность за соблюдение нормативных документов закрепляется за бизнес подразделениями. Из этого также следует, что не должно быть единого процесса управления рисками в компании, на его смену должно прийти множество индивидуальных подходов для каждого из ключевых бизнес процессов в организации.

Чаще проводите оценку культуры управления рисками:

Все менеджеры по управлению рисками, опрошенные нами, считают, что периодические проверки уровня зрелости культуры управления рисками на самом деле помогают укрепить эту самую культуру.

На рынке представлены многочисленные инструменты, предназначенные для тестирования культуры управления рисками. Выбирайте те модели зрелости, которые основаны на принципах ГОСТ Р ИСО 31000:2010. Регулярно обсуждайте культуру и отношение к риску среди высшего руководства и совета директоров, а также доводите их ожидания до сведения других сотрудников.

Включите мониторинг выполнения обязанностей по управлению рисками в процесс ежегодной оценки персонала:

После того, как роли и обязанности в области управления рисками были зафиксированы в должностных инструкциях, а также уставах и положениях комитетов, они должны быть подкреплены соответствующими КПЭ, а их соблюдение должно быть оценено в ходе ежегодной/полугодовой оценки персонала (в зависимости от процедуры, установленной компанией).

Как мы уже отмечали ранее, управление рисками обязанность каждого. Однако, как показывает опыт, дополнительная ответственность редко принимается без соответствующей мотивации. Это предложение было подкреплено нашими выводами из интервью. Компании, которые документально оформили ключевые показатели эффективности управления рисками, показали значительно больший прогресс в развитии культуры управления рисками внутри организации, чем те, которые этого не сделали.

Ключевые показатели эффективности управления рисками должны быть установлены в соответствии с выбранной моделью управления рисками, как описано выше. Это означает, как правило, различные ключевые показатели для различных уровней в компании. Например, КПЭ для генерального директора может включать в себя ежегодную оценку культуры управления рисками, отчетность перед акционерами; для директора по рискам (CRO), финансового директора (CFO), операционного директора (COO) – не только показатели культуры управления рисками в их подразделениях, но и уровни остаточного риска, например, показатель RAROC (risk adjusted return on capital), количество критических операционных событий и так далее. КПЭ для сотрудников будет включать своевременный анализ рисков, принимаемых решений.

Не усложняйте

Это золотое правило риск-менеджмента: чем проще, тем прозрачнее и понятнее! В качестве риск-менеджера, ваша цель состоит в том, чтобы помочь организации стать более риск-ориентированной. Инициативы риск-менеджмента должны быть понятны каждому и легко встраиваемы в обычную бизнес деятельность; в противном случае, вы, скорее всего, встретите большое сопротивление или будете проигнорированы руководством, что намного хуже.

Говорите на языке бизнеса, не используйте профессиональную терминологию управления рисками в общении с бизнесом. Использование терминов VaR, EaR, CFaR может быть абсолютно приемлемо для общения с финансовым директором, однако директор по производству очень быстро потеряет к вам интерес.

Задача 2: Сделайте управление рисками частью повседневной работы

Помогите сотрудникам учитывать риски в своей работе

На протяжении многих лет российские риск менеджеры пытались различными способами вовлечь бизнес подразделения в процесс управления рисками. Кто-то упрощал методологию выявления и оценки рисков, кто-то наоборот существенно усложнял тот же самый процесс. В принципе, результат можно охарактеризовать одинаково плачевно в обоих случаях. В лучшем случае ежегодный или ежеквартальный анализ рисков воспринимался сотрудниками компании как необходимое зло, ну а некоторыми сотрудниками не воспринимался вообще.

И тут вспоминается знакомая крылатая фраза: “Если гора не идет к Магомету, то Магомет идет к горе”.

Риск-менеджерам уже пора перестать создавать свою собственную параллельную вселенную, постоянно требуя от бизнеса информации, участия, оценки рисков, специальных мероприятий по управлению этими самыми рисками. Все это не укладывается в сознании бизнеса, который живет совершенно в иной логике, а самое странное, что это полностью противоречит базовым принципам ГОСТ Р ИСО 31000:2010.

Помогите бизнесу учитывать риски в своей работе не раз в квартал, а каждый день. Добиться этого можно только через реинжиниринг сложившихся процессов в компании (планирование, бюджетирование, инвестиционный менеджмент, оценка эффективности и так далее), чтобы сделать их более риск-ориентированными. И скорее всего каждый ключевой процесс заслуживает своего уникального подхода к оценке рисков. Не бойтесь сами приходить к владельцам бизнес процессов и рассказывать о ваших компетенциях по анализу рисков. Убеждайте их в том, что, если они добавят в свои материалы грамотно подготовленный с вашей помощью раздел, в котором отразят риски и пути работы с ними – это только повысит качество их работы в глазах руководства. Очень часто это поможет обосновать запросы на дополнительные ресурсы в рамках того или иного проекта.

Риск-ориентированное стратегическое планирование, бюджетирование и оценка эффективности деятельности

Риск-менеджмент играет важную роль в бизнес планировании. Анализ влияния рисков на цели компании помогает руководителям существенно расширить свой кругозор, а главное снизить негативное влияние ментальных ловушек на принятие управленческих решений. Управление рисками помогает компании четко выделить и принять риски, связанные со стратегией, которые компания готова взять на себя, те риски, с которыми компания должна справиться любой ценой. Нередко анализ рисков может привести и к полному изменению стратегии, если неприемлемые риски не поддаются управлению или находятся за рамками контроля.

Практически, интеграция элементов управления рисками в бизнес планирование может осуществляться следующим образом:

• документация аппетита к различным типам рисков в существующих нормативныхдокументах на уровне правления или совета директоров;
• определение основных рисков и оценка их влияния на стратегические планы ибюджеты компании;
• применение имитационного моделирования для определения целевыхпараметров стратегии или бизнес плана с учетом рисков;
• применение имитационного моделирования (сценарного анализа) дляопределения целевых параметров бюджета компании с учетом рисков иустановление риск-ориентированных КПЭ;
• интеграция анализа рисков в управленческие, инвестиционные, проектные ииные материальные бизнес решения;
• оценка эффективности деятельности компании с учетом рисков.

Эффективный риск-менеджмент обеспечивает повышенную уверенность в том, что мы можем добиться желаемых результатов, снизить риски и угрозы до приемлемого уровня, и принимать обоснованные, взвешенные с учетом рисков решения. Некоторые примеры интеграции управления рисками в ключевые компоненты планирования и принятия решений представлены в данном разделе.

Интеграция в тратегическое планирование

Стратегическое планирование – это один из немногих бизнес процессов в компании, который затрагивает все уровни управления. Высшее руководство, члены совета директоров и акционеры принимают в процессе непосредственное участие, а результаты стратегического планирования обычно доводятся до всех сотрудников организации.

С одной стороны, среди всех процессов в организации, в которые необходимо интегрировать элементы управления рисками, интеграция именно в стратегическое планирование позволяет достичь наибольших результатов с точки зрения повышения статуса и узнаваемости управления рисками. С другой стороны, сам процесс стратегического планирования связан с огромной неопределенностью, так как речь зачастую идет о долгосрочном планировании, новых рынках или потребительском поведении.

Задача риск-менеджера - наладить взаимодействие с департаментом стратегического планирования, чтобы регулярно включать вопросы, связанные со стратегическими рисками, в повестку дня стратегических сессий и рабочих совещаний по обсуждению стратегии. Влияние неопределенности и рисков должно оцениваться на стратегические цели компании в момент их становления, а никак не после того как 5-летняя стратегия была утверждена советом директоров. Риск-менеджер может применять инструменты сценарного анализа или имитационного моделирования для подготовки независимого мнения о стратегических показателях и их целевых значениях.

В отдельных случаях руководство компании или члены совета директоров могут запросить углубленный анализ отдельных существенных рисков. Один из риск-менеджеров, которых мы опрашивали, рассказал о ситуации, когда риск ликвидности был особенно критичен для компании. Командой риск-менеджеров была подготовлена презентация специально по оценке риска ликвидности и влияния ликвидности на стратегию компании для презентации на стратегической сессии компании.

Бюджетирование

Обычно бюджет компании формируется по нескольким потенциальным сценариям: оптимистичный, реалистичный и пессимистичный. К сожалению, сами эти сценарии зачастую формируются без участия специалистов по управлению рисками или должного учета самих рисков. В результате получается, что даже пессимистичный сценарий, который презентуется руководству, не учитывает многие существенные риски и вводит руководителей, принимающих решения, в заблуждение или чрезмерный оптимизм.

Как показывает практика одной российской компании, наибольших результатов можно добиться в случае формирования бюджетных сценариев совместно с риск-менеджером. Более продвинутые организации используют не только сценарный анализ, но и имитационное моделирование для оценки ключевых показателей бюджета под риском. Обычно результатом риск-ориентированного бюджетирования становятся не фиксированные значения ключевых показателей, а их распределение, а также перечень наиболее критичных с точки зрения ликвидности факторов / рисков.

После выявления и оценки ключевых рисков на основе бюджетной модели компании могут разрабатываться мероприятия по их нивелированию для включения их в бюджет на будущий период. Анализ бюджетных рисков также может привести к изменению стратегии и целевых показателей компании, в случае если уровень первоначальных рисков окажется не приемлемым.

Управление рисками и оценка эффективности деятельности

Оценка эффективности управления рисками может интегрироваться как в оценку личной эффективности менеджмента, так и в оценку корпоративной эффективности организации.

Один из примеров, который привел опрошенный нами риск-менеджер, подразумевает использование прогрессивной шкалы для корпоративных ключевых показателей эффективности (КПЭ). В данном примере для оценки эффективности по итогам периода используется не точечное значение КПЭ, а диапазон отклонений от целевого (планового) показателя с учетом рисков.

Для основных КПЭ также могут устанавливаться триггеры и ключевые индикаторы рисков для мониторинга возможного отклонения. Дополнительные КПЭ менеджмента могут включать контроль выполнения процедур анализа рисками принимаемых решений, а также оценку эффективности управления рисками по итогам проверок внутреннего аудита.

В некоторых случаях может быть целесообразно сделать действующие методики расчета корпоративных КПЭ более риск-ориентированными.

Подробнее об интегрировании управления рисками в процессы планирования, бюджетирования и оценки эффективности деятельности можно прочитать в новом учебнике «Управление рисками для нефинансовых компаний», опубликованном весной 2016г. Институтом стратегического анализа рисков управленческих решений (ИСАР).

Внедрение в процессы принятия решений

С целью развития культуры управления рисками важно избегать восприятия риск-менеджмента как отдельного от бизнеса, самостоятельного процесса. Один из наиболее действенных и при этом простых способов – включение элементов анализа рисков в процесс принятия решений. Вот лишь несколько примеров:

• Проведение анализа рисков для любых существенных решений поможет более полно представлять проект решения руководству и совету директоров. Ключевой развилкой является то, кто будет отвечать за качество и своевременность предоставления анализа рисков принимаемых решений - бизнес подразделения,инициаторы данного решения, или, условно независимый, риск-менеджер. Выбор далеко не очевиден, поэтому необходимо тщательно рассмотреть все преимущества и недостатки. Объем и сложность самих решений будет ключевым фактором при выборе глубины интеграции и ответственного за проведение анализа рисков.
• Можно внести незначительные корректировки в шаблоны презентаций и пояснительных записок, используемых в настоящее время для представления ключевых решений руководству или совету директоров. Включение раздела о«рисках, связанных с предлагаемым решением и мерах их управления»поможет персоналу активно думать о рисках и учитывать их при формулировке решения, хотя это вовсе и не является панацеей.

Другие примеры могут включать в себя:

• Инвестиционные решения. Использование вероятностного подхода к оценке инвестиционной привлекательности проектов может позволить компании избежать многих ошибок, присущих более традиционным методам оценки. Вместо точечной оценки чистой приведенной стоимости (NPV) компании могут рассчитывать распределение целого ряда показателей, в том числе вероятность отрицательнойNPV. Сценарный анализ или имитационное моделирование могут существенно повысить качество инвестиционного анализа.
• Оценка рисков, связанных с поведением конкурента на рынке или персонала.Используйте элементы теории игр, поведенческой психологии для повышения качества анализа рисков и, следовательно, повышения его ценности для бизнес решений. Дополнительный материал по теории игр можно найти наwww.patrickmcnutt.com
• Финансовые решения. Большинство финансовых решений предполагает компромисс между риском и потенциальной выгодой. Слишком часто эти решения основаны на экспертных оценках, мнении отдельных сотрудников или основываются на нереалистичных допущениях, как например кредитные рейтинги, вместо надлежащего анализа денежных потоков под риском или других финансовых показателей с учетом рисков.
• Операционные решения. Решения в отношении ключевых производственных решений, цепочки поставок, планирования ремонтных работ, аутсорсинга и инвентаризации требуют сбалансированного подхода между риском и доходностью, который также может быть усовершенствован с учетом анализа рисков.

Создайте сеть «Риск чемпионов» по всей компании

Другой полезный метод, который в настоящее время принимается компаниями со зрелой культурой управления рисками, является создание сети «риск чемпионов». Они являются «клеем» между командой по управлению рисками и сотрудниками бизнес-подразделений.

Их условно можно разделить на три категории:

• официальные координаторы – сотрудники компании, в должностные обязанности которых входит координация процессов управления рисками в рамках отдельно взятых процессов или дочерних компаний
• информаторы – неофициальные координаторы, обладающие информацией о рисках компании и те люди, с которыми у риск-менеджеров налажены доверительные взаимоотношения
• агенты влияния – неофициальные координаторы, которые поддерживают внедрение элементов управления рисками в процессы компании, пользуются общественным доверием и авторитетом, и осуществляют систематическую деятельность по реализации целей управления рисками в компании.

«Риск чемпионы» помогают внедрять элементы управления рисками в ключевые бизнес процессы и регламенты внутри организации. Обычно, «риск чемпионами» становятся люди, которые естественным образом мотивированы к эффективному управлению рисками. Сотрудники, ответственные за проектное управление или развитие методологии в различных подразделениях хорошо подходят на роль «риск чемпионов». Само собой разумеется, что дополнительная ответственность также должна быть усилена дополнительной мотивацией. Вы найдете более подробную информацию об этом в разделе о рисках и вознаграждениях.

Для более крупных организаций может потребоваться выделить «риск чемпионов» не только для ключевых процессов, но и для каждой географической области, в которой представлена компания. При этом, наш опрос показывает, что наличие «риск чемпионов» в каждом бизнес-подразделении, как правило, оказывается избыточным и слишком затратным по времени.

Проводите обучение по управлению рисками

Риск-менеджмент вряд ли можно назвать краткосрочной инициативой, внедрение элементов управления рисками в процессы принятия решений требует долгой и кропотливой работы. Одним из ключевых компонентов развития риск-ориентированного управления является обучение сотрудников и развитие культуры управления рисками.

В этом разделе мы сгруппировали основные рекомендации, которые помогут укрепить культуру управления рисками в вашей компании.

Включите компетенции по риск-ориентированному принятию решений в обучение для новых сотрудников:

Управление рисками может показаться простым, однако далеко не все сотрудники, принимаемые в компанию, обладают необходимыми навыками и компетенциями. Новые сотрудники приходят с различным образованием и опытом, а главное каждый новый сотрудник имеет свое собственное представление о том, что такое «приемлемый риск» для компании. Риск-менеджерам важно сотрудничать с отделом кадров или подразделением, ответственным за обучение, чтобы совместными усилиями проводить обучение основам управления рисками для новых сотрудников. Один из риск-менеджеров, которых мы опросили, сказал, что введение в управление рисками не должно быть длительным, может занимать около десяти минут и должно охватывать принципы принятия управленческих и инвестиционных решений с учетом рисков, ключевые роли и обязанности и основные положения политики компании по управлению рисками. Примеры бесплатных курсов по управлению рисками вы найдете на www.risk-academy.ru

Проводите обучение для руководителей и совета директоров:

Не менее важно проводить обучение основам риск-ориентированного принятия решений и психологии риск-менеджмента для высшего руководства и членов совета директоров. Необходимо, чтобы руководители компании говорили не просто на языке рисков, а на языке риск-ориентированного управления. Как отмечали все опрошенные нами риск-менеджеры, это является ключевым этапом развития культуры управления рисками в организации. Руководители и совет директоров должны разделять важность риск-ориентированного управления компанией и принятия решений с учетом рисков. Предусмотрите возможность привлечения внешних экспертов для обеспечения наиболее эффективного и действенного обучения (если, конечно, вы сами не являетесь мастером в части профессионального обучения и повышения квалификации).

Определите и проводите обучение для «риск чемпионов»:

В организации зачастую вам будут встречаться сотрудники, которым небезразлично управление рисками и та культура, которую пытаются внедрять риск-менеджеры, так называемые «риск чемпионы». Также может быть целесообразно предусмотреть дополнительное обучение собственно для команды по управлению рисками и связанных с управлением рисками подразделений по внутреннему контролю, аудиту, финансового блока, стратегического блока и др. Подробнее вы можете узнать об этом на сайте Института стратегического анализа рисков управленческих решений или на сайте www.risk-academy.ru

Сделайте обучение на основе компетентности:

Незначительный, но важный момент – как и любое другое решение, обучение является инвестиционным решением для компании. Обучение стоит денег, это и расходы на разработку, и привлечение тренеров, и отвлечение персонала от их ежедневной работы. Так же, как и в случае любых других инвестиций, компания должна отслеживать рентабельность инвестиций в обучение. Как было предложено одним из опрошенных нами риск-менеджеров, любое обучение управлению рисками, предоставляемое компанией, должно проводиться с последующей оценкой вновь приобретённых компетенций, так чтобы руководство могло видеть, были ли усвоены уроки и изменилась ли культура управления рисками организации. Этому могут способствовать мини-тесты по завершению обучения, опросы, проводимые через месяц или полгода после обучения и так далее.

Предусмотрите ежегодную внутреннюю сертификацию для сотрудников, работающих в зонах повышенного риска:

Еще одно полезное предложение - рассмотреть возможность ежегодной внутренней сертификации по управлению рисками для сотрудников, работающих в зонах повышенного риска. Это позволит гарантировать, что сотрудники, работающие в таких областях, как опасное производство, хеджирование, страхование, безопасность (это, кстати, уже сделано в большинстве организаций) и т.д., обладают необходимыми навыками по управлению рисками, необходимыми для выполнения их должностных обязанностей. Сертификация может включать в себя проверку знаний соответствующего законодательства или стандартов, а также внутренних процедур компании, связанных с риск-менеджментом.

Используйте также пассивные способы обучения:

Размещайте методики и шаблоны на внутреннем портале компании, размещайте презентации и видео с конференций и мастер-классов, делайте короткую, но регулярную информационную рассылку для сотрудников организации. Создайте условия, чтобы сотрудники могли сами получить базовые навыки управления рисками.

Принимайте непосредственное участие в оценке проектов или стратегических инициатив

Важно не просто применять анализ рисков при оценке ключевых показателей проектов и принятии управленческих решений, а участвовать в этом непосредственно. В случае возникновения такой возможности риск-менеджеры могут взять на себя личную ответственность за проведение подобного анализа и за его результаты.

Анализ ключевых показателей проекта с учетом рисков должен быть комплексным, при этом результаты должны быть легкими для чтения и понимания топ-менеджерами, которые не являются специалистами в области управления рисками. Влияние неопределенности и рисков на сроки, стоимость или качество проекта должно быть проанализировано максимально прозрачно и по возможности ссылаясь на отраслевые данные, исторические факты или достоверные внутренние и внешние прогнозы.

Подобный подход может потребовать уникальных методик по оценке рисков для разных типов проектов, что в свою очередь может потребовать существенной вовлеченности и человеческих ресурсов от риск-менеджеров компании. Это также стирает ту невидимую, условную, грань между первой и второй линией защиты. Каждый риск-менеджер должен для себя определить, готов ли он нести ответственность за принимаемые на основании его анализа решения или нет.

Способствуйте открытому обсуждению рисков

Говорите на языке бизнеса:

Брайан Витфилд, эксперт по управлению рисками из Австралии, лучше других объяснил, как это сделать: «Определите все заинтересованные стороны, на которые необходимо оказать влияние. Определите порядок, в котором вы хотите решить вопросы, связанные с ними. Всегда лучше в первую очередь взаимодействовать с высшим руководством; тем не менее, иногда это просто невозможно, и вы должны одержать победу над их основными советчиками, прежде чем вы получите возможность решить вопрос с ними. Убедитесь в том, что у вас есть четкая стратегия. Определите их основные источники мотивации, хобби и интересы. Лучший способ для привлечения кого-то, кто уже еще не знаком с вами и не доверяет вам – заинтересовать его/ее через то, чем он/она уже увлечены. В риск-менеджменте присутствует очень много нематериальных выгод. Вы должны сделать все от вас зависящее, чтобы ваши цели показались значимыми в глазах фокусной аудитории.

Люди лучше всего воспринимают визуальные и словесные описания, поэтому нарисуйте образ, расскажите историю. Выберите примеры, которые, скорее всего, относятся к источникам мотивации, хобби, интересам, которые вы определили. Говорите на их языке, при привлечении руководителей высшего звена. Мы называем это переходом от «языка риска» на «язык топ-менеджеров». Слишком часто мы просто «выплескиваем» свои знания на том языке, который кажется нам «простым языком риска»; тем не менее, это может практически ничего не значить для нашей аудитории. Попробуйте говорить на языке «неотъемлемого риска» с генеральным директором.

Вы, вероятно, согласитесь, что лучший подход – обсудить необходимость определения того, где организация сможет снизить затраты на внутренний контроль, посредством определения того, какие из нынешних требований / рисков являются для компании наиболее высокими, и требуют контроля, а какие – нет.

Источник: Risk e-Views Vol 4, December 2010, Risk Leadership: How to be Heard, Bryan Whitefield, Director, Risk Management Partners (размещено с разрешения автора)

Включите информацию о рисках во внешние каналы коммуникации компании:

Раскрытие информации по управлению рисками является очень важным. Все чаще заинтересованные стороны обращаются к компаниям с просьбой о представлении подтверждения эффективного управления не только финансовыми рисками, но и другими нефинансовыми бизнес-рисками в таких областях, как связи с общественностью, права человека, HR, здравоохранение и безопасность, а также охрана окружающей среды.

При раскрытии информации о рисках внешним заинтересованным сторонам рекомендуется включать следующие пункты:

• Краткий отчет о политике компании в отношении риск-ориентированного планирования,бюджетирования, проектного управления, инвестиционной деятельности и принятия решений на веб-сайте компании в разделе, озаглавленном «корпоративное управление».
• Заявление руководства компании в отношении годового отчета, включающее: обзор риск-ориентированных процессов компании, прогресс, достигнутый с прошлого года в области риск-ориентированного управления, структура управления, которая способствует риск-ориентированному управлению компанией и любые значимые достижения.

Раскрытие следующей информации не является обязательным, и вы можете выбрать, что исключить из годового отчета, если такая информация представляет собой коммерческую тайну: информация о ключевых рисках, связанных с реализацией бизнес плана или достижением стратегических целей компании и любая информация о реализовавшихся рисках и потерях. При этом важно помнить, что могут быть отдельные риски, раскрытие информации о которых является требованием законодательства или представляет особый интерес для заинтересованных сторон и пользователей отчетов. Авторы рекомендуют несколько ИТ решений для систематизации отчетности о рисках: RiskGepard и RiskGap. Наиболее эффективно раскрывать информацию о риск-ориентированном управлении компанией на протяжении всего годового отчета, в соответствующих информационных блоках (например, стратегические цели могут описываться с учетом рисков в одном разделе, а описание бюджетных рисков в другом), а не создавать отдельный обобщающий раздел по управлению рисками. Выделение управления рисками в самостоятельную, самодостаточную систему противоречит принципам, описанным в ГОСТ Р ИСО 31000:2010.

Наладьте обмен информацией о ключевых рисках внутри организации:

Многие практикующие риск-менеджеры на своем опыте доказали, что просто распространение реестров рисков или отчетов о рисках между подразделениями вряд ли способствует эффективному обмену информацией. Подобный подход - это прошлый век. Единственный способ добиться качественного и эффективного обмена информацией о рисках внутри компании, заставить бизнес самостоятельно делиться этой информацией, говорить о рисках не по поручению раз в квартал, а каждый день. Вряд ли этого можно добиться личным присутствием риск-менеджера на всех внутренних совещаниях в компании, поэтому есть несколько способов как наладить обмен информацией о рисках внутри компании:

• Интегрируйте информационные блоки о рисках, связанных с достижением целевых показателей КПЭ, в шаблоны внутренней управленческой отчетности;
• Разработайте несложные методики для подготовки соответствующих информационных блоков о рисках;
• Включите требования по анализу рисков во внутренние политики и процедуры, а требования по анализу рисков в критерии принятия внутренних корпоративных решений.

Создайте простые механизмы для эскалации рисков:

Сотрудники любой организации являются бесценным источником информации о возникающих рисках. Среди младших и средних звеньев персонала принято говорить о назревающих проблемах и потенциальных угрозах задолго до того, как они становятся общественным достоянием. Для того, чтобы воспользоваться этим источником информации, риск-менеджеры должны разработать простой и прозрачный механизм информирования о рисках. У сотрудников компании должна быть возможность просто позвонить по телефону или конфиденциально сообщить по электронной почте или через специальную страницу на корпоративном интернет портале, чтобы поделиться своей озабоченностью по поводу появившегося на горизонте риска. Не менее важно уведомить сотрудников о существовании таких механизмов передачи информации. Как показывает практика нескольких риск-менеджеров, подобные инструменты могут и не использоваться сотрудниками, но само их наличие позволит создать более доверительные отношения и будет способствовать открытому диалогу о рисках. Рассматривайте эту линию связи как важную систему раннего предупреждения, и поощряйте людей ее использующих.

Задача 3: Станьте советником, которому доверяют

В оглавление

Не забывайте регулярно тестировать допущения, сделанные менеджментом

Риск-менеджеры играют важную роль в процессе принятия решений, изучая внешнюю среду и анализируя потенциальные факторы риска, которые могут быть не очевидны менеджменту. В последние годы, компании по всему миру становятся все более взаимозависимыми, что дает преимущества в эффективности и инновациях, но и увеличивает подверженность компаний рискам – во многих случаях рискам, о которых они даже не подозревают.

Риск-менеджеры должны выйти за рамки известных текущих проблем, чтобы наблюдать за факторами внешней среды, анализировать взаимозависимости и корреляции, изучать тренды и обращать внимание на «красные флаги».

Сценарный анализ, стресс-тестирование и имитационное моделирование помогают риск-менеджерам тестировать существующие бизнес планы и финансовые модели, тем самым подвергая проверке допущения, сделанные руководством. Используйте теорию игр и поведенческую психологию, чтобы помочь менеджменту посмотреть на стратегические риски конкурентной среды, а также персонала с другой стороны.

Менеджеры по управлению рисками должны найти внешние, достоверные источники информации или внутреннюю статистику, которая бы могла подтвердить или опровергнуть реалистичность допущений, сделанных менеджментом.

Эти темы были очень хорошо раскрыты в книге «Черный лебедь» Нассима Н. Талеба и книге профессора Патрика МкНатта «Стратегический код - Паттерны и предсказание поведения». В еще двух недавних исследованиях Corporate Executive Board и компании Deloitte (The Value Killers Revisited, 2005 и 2014) было отмечено, что в более 65% случаев компании несут существенные финансовые потери по причине именно внешних/стратегических рисков, нежели от финансовых рисков или операционных сбоев.

Информируйте руководство о надвигающихся угрозах

Одним из самых важных навыков, которым должен обладать любой риск-менеджер, – это способность информировать руководство о возникающих на горизонте рисках. Это означает наличие процессов для сканирования внутренней и внешней окружающей среды для выявления возникающих рисков, оформление информации надлежащим образом и своевременное ее представление руководству компании. Риск-менеджеры должны уметь интерпретировать сигналы рынка, конкурентов и государственных органов, внутренние риски персонала и изменения в методах работы и производства для выявления рисков. Все это возможно только в том случае, если риск-менеджер принимает непосредственное участие в принятии стратегических бизнес решений совместно с другими руководителями компании. Регулярное общение с руководителями профильных подразделений позволяет менеджерам по управлению рисками выявлять надвигающие угрозы и стать настоящим экспертом в бизнесе, в интересах которого он работает.

Иногда, надвигающиеся угрозы могут быть связанны с решениями, предлагаемыми другими руководителями. Более того, многие в организации могут быть лично заинтересованы в принятии данного потенциально чересчур рискованного решения. Роль менеджера по управлению рисками провести независимую экспертизу потенциальных рисков, связанных с предлагаемым решением, предоставить результаты экспертизы руководству, и постараться аргументированно и весомо представить, а иногда и защитить свою позицию.

Аналитика для высшего руководства может включать следующую информацию:

• Обзор угрозы и результаты ее тщательного анализа, которые повлияют на оценкуэтой угрозы
• Немедленные, среднесрочные и долгосрочные последствия для компании(убедитесь, что включены финансовые и нефинансовые последствия)
• Скорость проявления угрозы (сколько у компании времени для реагирования?)
• Готовность организации (насколько подготовлена организация?)
• Предлагаемое решение / действие, включая ответственных и временные рамки.

Проведите анализ рисков по запросу руководства

Иногда руководство может привлекать риск-менеджера для анализа рисков конкретного бизнес плана или принимаемого решения. Например, руководство может полагать, что негативное влияние валютных колебаний на компанию возрастает слишком быстро, и просит Вас проанализировать масштаб угрозы и определить, совместно с финансовым блоком, возможные решения.

Подобные запросы - это всегда хорошо, и они подчеркивают, что навыки управления рисками пользуются спросом у руководства. Если вы получаете такие запросы, разработайте методологию его выполнения, которая бы соответствовала материальности угрозы, поставленным срокам и доступности информации для анализа. Где возможно, используйте современные инструменты количественного анализа рисков, такие как Palisade Decision Tools или решения SAS. Используйте аналитические источники для моделирования влияния рисков на принимаемые решения, такие так Bloomberg и другие отраслевые базы данных.

Подготовьте и проведите (если применимо) интерактивную рабочую группу («think-tank») с ключевыми экспертами для анализа риска и определения мер по управлению риском. Обязательно проведите до обсуждения риска несколько игр по активации творческого мышления. Это повысит заинтересованность участников данной группы, а также повысит эффективность анализа и поиска решений. Если необходимо, приобретите навыки фасилитации подобных «кайдзен» сессий.

Как риск-менеджеру, вам необходимо оказаться в такой позиции внутри организации, в которой подобные запросы будут возможны. Руководство должно знать о компетенциях вашей команды, чтобы вовлекать вас в принятие решений, связанных с высокой неопределенностью. Результаты вашего анализа должны не только подробно описывать суть проблемы, но и предлагать решения, в реализации которых ваша команда готова принимать непосредственное участие.

Создавайте сеть контактов менеджеров по управлению рисками из компаний вашей и смежных отраслей

Отличный совет: не изобретайте колесо!

Если имеется такая возможность – учитесь у других, устанавливая связи с риск-менеджерами из аналогичных компаний. Вы будете неизменно встречаться с другими риск-менеджерами, на профессиональных онлайн форумах, таких как группа G31000 в linkedin или www.risk-academy.ru, посещая различные конференции по управлению рисками. Оставайтесь с ними на связи, учитесь друг у друга, и обменивайтесь опытом.

Не бойтесь делиться собственным опытом, участвуйте в очных и онлайн дискуссиях, участвуйте в отраслевых и федеральных некоммерческих инициативах по популяризации управления рисками в России и СНГ. Например, помогите сделать страницу о ГОСТ Р ИСО 31000:2010 на Википедии, открытой онлайн энциклопедии, лучше, добавьте свои комментарии.

А также присоединяйтесь к странице Риск-академии в youtube или группе Риск-академии.

Постоянно улучшайте собственные навыки управления рисками

Риск-менеджмент – очень динамичная дисциплина, и вам необходимо оставаться в курсе текущих событий. Постоянная шлифовка собственных навыков управления рисками – это изучении новых методик количественной оценки и управления рисками и, что не менее важно, изучение данных о бизнесе в целом. Дни гуру методологии, не понимающих нюансов бизнеса и особенностей человеческой психологии, канули в лету.

Высшее руководство сегодня ожидает, что менеджеры по управлению рисками будут участвовать непосредственно в процессе принятия решений, разделяя часть ответственности за результат принимаемых решений. В результате, риск-менеджеры должны разбираться в специфике бизнеса и промышленности, в которой они работают, не меньше, чем в особенностях имитационного моделирования рисков и психологии восприятия рисков. Это означает, что участие в конференциях, связанных с вашей отраслью, является столь же важным, как участие в мероприятиях и сообществах для риск-менеджеров. Очень важно, чтобы риск-менеджеры понимали общеотраслевые вопросы и проблемы.

Если вы чувствуете, что это позволит значительно повысить вашу ценность для компании, вы можете рассмотреть возможность прохождения соответствующей сертификации управления рисками. Например, международной сертификации Certified ISO 31000 Risk management professional, проводимой в России Институтом стратегического анализа рисков управленческих решений (ИСАР), как представителя Global Institute for Risk Management Standards (G31000). Следите за соответствующими стандартами в области управления рисками и публикациями.

Некоторые из основных материалов, которые вы должны изучить:

• Обзор глобальных рисков, ежегодно публикуется Всемирным экономическим форумом
• ISO31000:2009 / ГОСТ Р ИСО 31000:2010
• ISO/IEC31010:2009
• ISO 73:2009
• Стандарт «Кинг III»
• Принципы Австралийской фондовой биржи, отраслевые стандарты APRA
• Базель III
• Директивы ЕС для страховой отрасли - Solvency II
• Руководство для советов и комитетов по аудиту (мониторинг эффективности внутреннего контроля, внутреннего аудита, а также системы управления рисками)
• Оценка адекватности управления рисками с помощью ISO 31000 Института внутренних аудиторов
• Стандартная практика по управлению рисками проекта Института управления проектами
• BS 25999: 2003, Управление непрерывностью бизнеса, управление непрерывностьюбизнеса
• CobiT (Цели контроля за информационными и смежными технологиями), и т.д.
• Информация на порталах по управлению рисками, таких как www.risk-academy.ru

Фирмы, предоставляющие консультационные услуги в сфере управления рисками, такие как Deloitte, часто предоставляют бесплатные информационные бюллетени по управлению рисками. Полезно подписаться на один или несколько таких информационных бюллетеней.

Постоянно улучшайте собственные навыки управления рисками

Риск-менеджмент – очень динамичная дисциплина, и вам необходимо оставаться в курсе текущих событий. Постоянная шлифовка собственных навыков управления рисками – это изучении новых методик количественной оценки и управления рисками и, что не менее важно, изучение данных о бизнесе в целом. Дни гуру методологии, не понимающих нюансов бизнеса и особенностей человеческой психологии, канули в лету.

Высшее руководство сегодня ожидает, что менеджеры по управлению рисками будут участвовать непосредственно в процессе принятия решений, разделяя часть ответственности за результат принимаемых решений. В результате, риск-менеджеры должны разбираться в специфике бизнеса и промышленности, в которой они работают, не меньше, чем в особенностях имитационного моделирования рисков и психологии восприятия рисков. Это означает, что участие в конференциях, связанных с вашей отраслью, является столь же важным, как участие в мероприятиях и сообществах для риск-менеджеров. Очень важно, чтобы риск-менеджеры понимали общеотраслевые вопросы и проблемы.

Если вы чувствуете, что это позволит значительно повысить вашу ценность для компании, вы можете рассмотреть возможность прохождения соответствующей сертификации управления рисками. Например, международной сертификации Certified ISO 31000 Risk management professional, проводимой в России Институтом стратегического анализа рисков управленческих решений (ИСАР), как представителя Global Institute for Risk Management Standards (G31000). Следите за соответствующими стандартами в области управления рисками и публикациями.

Некоторые из основных материалов, которые вы должны изучить:

• Обзор глобальных рисков, ежегодно публикуется Всемирным экономическим форумом
• ISO31000:2009 / ГОСТ Р ИСО 31000:2010
• ISO/IEC31010:2009
• ISO 73:2009
• Стандарт «Кинг III»
• Принципы Австралийской фондовой биржи, отраслевые стандарты APRA
• Базель III
• Директивы ЕС для страховой отрасли - Solvency II
• Руководство для советов и комитетов по аудиту (мониторинг эффективности внутреннего контроля, внутреннего аудита, а также системы управления рисками)
• Оценка адекватности управления рисками с помощью ISO 31000 Института внутренних аудиторов
• Стандартная практика по управлению рисками проекта Института управления проектами
• BS 25999: 2003, Управление непрерывностью бизнеса, управление непрерывностьюбизнеса
• CobiT (Цели контроля за информационными и смежными технологиями), и т.д.
• Информация на порталах по управлению рисками, таких как www.risk-academy.ru

Фирмы, предоставляющие консультационные услуги в сфере управления рисками, такие как Deloitte, часто предоставляют бесплатные информационные бюллетени по управлению рисками. Полезно подписаться на один или несколько таких информационных бюллетеней.