Опыт создания и развития эффективной системы риск–менеджмента
Журнал &.ФИНАНСИСТ
Управление рисками появилось в ЗАО «УМС» одновременно с созданием самой компании в 1992 году. Ведь фактически UMC была одним их первых совместных предприятий в Украине с участием немецкой Deutsche Telekom, датской TeleDanmark и голландской KPN.
Иностранные компании-инвесторы вместе с капиталом и телекоммуникационными технологиями принесли в нашу страну западные технологии управления, корпоративную культуру традиции бизнеса, присущие мировым компаниям. Таким образом, принцип принятия на себя рисков в целях бизнеса получения прибыли был реализован в украинских реалиях, а UMC стала одной из первых компаний в Украине, в которых было внедрено управление рисками.
Следующий этап развития риск-менеджмента начался, когда мы присоединились к группе МТС и стали работать по международным стандартам, соответствия которым требует от нас Нью-Йоркская фондовая биржа. Перед нами стояла задача разработать и внедрить систему внутренних контролей, составляющей которой является риск-менеджмент, на основании требований американского закона Сарбейнса-Оксли (Sarbanes-Oxley Act — SOX), обязательного для всех компаний. Их ценные бумаги зарегистрированы Комиссией по ценным бумагам и биржам США (SEC) и котируются на американских фондовых биржах. Ранее управление рисками в компании было реализовано на базовом уровне и диктовалось в большей степени формальными требованиями ведения бизнеса, а не реальной необходимостью. С выходом МТС на международный фондовый рынок управление рисками становится эффективным инструментом управления бизнесом и общения с инвесторами, которые делают долгосрочные инвестиции в бизнес и желают знать, как компания управляет рисками и гарантирует им возврат на вложенный капитал.
Первые шаги
Первой важной вехой на этом пути стало развитие системы управления рисками. К тому времени в компании возникла необходимость не только владеть информацией о том, с какими существенными рисками она сталкивается в разных сферах деятельности, но и вести постоянную оценку данных, предоставляя их в виде регулярных отчетов. Из этой задачи напрямую следовала еще одна — обеспечить достижение поставленных целей за счет поддержания допустимого уровня рисков.
В рамках группы была разработана единая методология управления рисками в виде политик, регламентов и инструкций, позднее адаптированная к рынкам, на которых работает МТС, с учетом их особенностей и местной действительности. Решением поставленных задач в сфере управления рисками занялась группа управления рисками (ГУР) в составе двух человек, достаточно давно существовавшая в структуре финансовой дирекции. Прежде всего мы занялись формальным описанием системы управления рисками, адаптировали политику управления рисками и регламент регулярного процесса управления рисками под украинские реалии. Были обновлены должностные инструкции сотрудников ГУР и определены полномочия и задачи коллегиальных органов в системе управления рисками.
Выявлением и оценкой рисков занимается не только ГУР — в этом процессе формально задействованы все функциональные подразделения компании. Основной задачей группы является оказание методологической помощи подразделениям в рамках процесса управления рисками. Помощь состоит в том, чтобы подсказать, как по описанию потенциальной проблемы, предоставленной тем или иным подразделением, определить, почему может произойти негативное событие, в чем именно состоит угроза, какие бизнес-цели могут быть не выполнены, и оценить последствия наступления такого события. Общих критериев (к примеру, недовольство абонентов, негативное влияние на имидж и т. д.) для оценки риска недостаточно. Любая оценка должна выражаться в числовых данных. Кроме того, любую оценку, в том числе и экспертную, необходимо обосновать фактическими данными, а также указать, какие шаги по снижению риска можно предпринять.
Для того чтобы процесс управления рисками был эффективным, ГУР обеспечивает взаимодействие между подразделениями. Подразделение-инициатор должен определить проблему, сформулировать риск, установить, кто может повлиять на снижение вероятности реализации риска и участвовать в минимизации возможных негативных последствий. Далее группа управления рисками доводит информацию подразделения-инициатора со своим аналитическим заключением, необходимым для принятия управленческих решений, до подразделений, указанных инициатором.
Ответственность
На первом этапе становления системы риск-менеджмента, как правило, возникает целый ряд вопросов, касающихся принятия решений по риску. Кто должен сделать заключение о существенности риска? Кто решит, принять риск, выделить дополнительные средства на его снижение или закрыть рискованное направление? Поиск ответов на эти вопросы привел к появлению такого понятия, как «владелец риска». Изначально владельцем риска было подразделение, в полномочия которого входили меры по его управлению. Но при использовании такого определения был выявлен конфликт интересов: проблема возникает у подразделения, на результаты которого влияет риск, при этом исполнителем мероприятий по снижению риска может являться другое подразделение. Поэтому порой одни считали проблему существенной, а другие были заинтересованы в занижении оценки риска. В итоге оценка некоторых из них могла оказаться неадекватной их возможным последствиям. Для того чтобы избежать подобных разногласий, мы решили использовать определение владельца риска как руководителя подразделения, на достижение целей которого влияет риск.
Полномочия владельцев рисков были определены следующим образом: подразделение, обнаружившее проблему, делает первичное описание и оценку риска, а его владелец отвечает за анализ и окончательную оценку, определение мер по управлению и эскалацию необходимости принятия решения по риску.
Существует мнение, что эскалировать отдельные риски и добиваться соответствующих решений должно исключительно подразделение по управлению рисками, но в соответствии с распределением ответственности в компании. ГУР оказывает поддержку в этом процессе, а управление риском и последнее слово о методе и инструментах управления им остается за его владельцем.
Коллегиальные органы
Коллегиальными органами в системе риск-менеджмента являются комитет по рискам с совещательными функциями и управляющий комитет.
В комитет по рискам входят директора основных направлений нашей компании, а возглавляет его финансовый директор. Комитет принимает решения по рискам в рамках полномочий своих участников. Он утверждает владельцев рисков, меры по их управлению, рассматривает и утверждает отчет о состоянии рисков, который готовит ГУР на основании информации от владельцев рисков и руководителей подразделений.
Директора по направлениям — члены комитета по рискам в рамках работы данного коллегиального органа — могут вносить изменения и принимать решения по рискам, отраженным в отчете. Такие решения фиксируются и предоставляются всем сторонам, вовлеченным в процесс реализации решений. Изменения также вносятся в отчет по рискам, после чего он передается на рассмотрение управляющему комитету, в который входят директора по направлениям, но уже под председательством генерального директора компании. Благодаря этому первое лицо имеет возможность оперативно получать информацию о наиболее существенных и актуальных для компании рисках.
Оценка рисков
После вхождения в группу МТС мы адаптировали для Украины единую для группы методологическую документацию по управлению рисками, в том числе параметры их оценки, принципы классификации и возможные методы управления ими. Ключевыми параметрами оценки для нас являются вероятность наступления риска, степень влияния на имидж и размер возможного финансового ущерба.
Вероятность реализации риска определяется экспертно на основании исторических данных, объективных внешних и внутренних факторов и опыта владельца риска. Вероятность может принимать значения от очень низкого до очень высокого. Влияние на имидж учитывает, на каком уровне проявляется риск — внутри дочерней компании, на уровне страны присутствия или на уровне всей группы МТС, то есть на международном уровне.
Финансовый ущерб от реализации риска мы определяем как негативное влияние на финансовые показатели в терминах Free Cash Flow (FCF; доход от операционной деятельности — капитальные затраты). Для унификации используется горизонт оценки 12 месяцев. В качестве основы при оценке финансового ущерба мы используем бюджетные показатели доходов и затрат, а затем рассчитываем, насколько в случае реализации риска величина этих показателей может отличаться от бюджетных величин. Степень отклонения от бюджетных показателей определяется экспертно с участием специалистов соответствующих областей. Во внимание принимаются также исторические данные, если таковые есть.
Приведем пример. Отдельные риски, которые могут повлиять на снижение качества услуг, мы оцениваем через уменьшение абонентской базы. Для этого количество абонентов, которых мы рискуем потерять в случае снижения качества определенной услуги, умножается на средний доход от одного абонента за период. Другой пример. Определение возможного финансового ущерба оценивается через дополнительные расходы, связанные с принятием нового Налогового кодекса. Аналогично оцениваются риски, связанные с введением каких-либо новых законодательных требований или решений отраслевого регулятора. В качестве примера можно привести и такие постоянно актуальные риски, как возможный невозврат дебиторской задолженности и обесценивание авансов — оценка этих рисков входит в расчет резервов по указанным позициям.
Во всех случаях, требующих специальных знаний для проведения оценок, мы обращаемся к департаментам финансовой и других дирекций. Так, группа налогового администрирования оценивает налоговые риски, департамент управления доходами выполняет расчеты по сомнительной дебиторской задолженности. В оценке рисков невозврата выданных авансов участвует департамент бухгалтерского учета и отчетности.
Юридический департамент и подразделения технической дирекции помогают перевести в финансовые показатели риски, связанные с новыми требованиями регулятора в сфере телекоммуникаций.
Очевидно, что в большинстве случаев невозможно определить единственный вариант развития событий и, следовательно, единственно возможный ущерб при реализации риска. Поэтому мы используем различные сценарии для определения размера предполагаемого ущерба. Каждый из сценариев имеет свою вероятность (сумма вероятностей всех сценариев равна 100%), а с помощью линейной интерполяции определяются две основные стоимостные меры риска: VaR и условный VaR.
VaR (Value-at-Risk) — это максимально возможная сумма потерь за определенный период, которая не будет превышена с заданной небольшой вероятностью α. Другими словами, с вероятностью (1-α)x100% мы уверены, что рассчитанная на основании сценариев сумма ущерба не будет превышена, если будет реализован риск. В нашем случае α составляет 5%, риск-аппетит или доверительный интервал составляет (1-α)x100% или 95%.
Другая вспомогательная мера риска — условный VaR, или средние потери, если они окажутся выше, чем VaR с доверительным уровнем (1-α). Условный VaR имеет смысл учитывать в том случае, если при оценке использованы сценарии с сильно различающимися уровнями ущерба.
Мера риска должна удовлетворять целому ряду требований, призванных обеспечить ее когерентность, то есть согласованность и последовательность. Для этого она должна быть монотонной, субаддитивной, однородной и трансляционно инвариантной. VaR отвечает всем этим требованиям. В целом для определения меры риска нужно выбирать инструменты, позволяющие математически сравнить различные риски, случайные по своей природе. На математическом инструментарии риск-менеджмента останавливаться не буду, поскольку для его внедрения компании, скорее всего, потребуется воспользоваться услугами профессионалов либо готовым решением, наиболее подходящим для данной конкретной отрасли.
После определения каждый из трех перечисленных выше параметров рисков ранжируется в баллах с помощью специальных шкал. Затем определяется балльная оценка риска — числовое значение, учитывающее значения всех параметров риска и позволяющее ответить на вопрос о его существенности. Для их классификации были выбраны основные направления деятельности группы МТС, которые были распределены по дирекциям компании. В качестве методов управления рисками использованы стандартные: уклонение от риска, сокращение, принятие, передача.
Риски компании описываются с помощью перечисленных выше инструментов и определений, что дает возможность анализировать динамику изменения количества рисков и совокупного VaR, в частности, по уровням существенности (диаграммы 1, 2).
Порядок действий
Эффективность управления рисками во многом зависит от организации деятельности, связанной со сбором информации о рисках и принятием решений по ним. В нашей компании для этих целей принят следующий порядок действий.
Ежеквартально группа управления рисками рассылает руководителям департаментов запросы об идентификации рисков, возникших за предыдущий квартал, и о переоценке ранее выявленных. Руководители подразделений или уполномоченные ими сотрудники высылают перечень появившихся существенных, по их мнению, рисков, которые могут помешать выполнить поставленные перед ними цели, а также информацию о переоценке ранее выявленных рисков. Если новые риски описаны в полной мере и оценены корректно, мы заносим их в общий список и отдельно фиксируем предложения по управлению ими. В общем их перечне отражается также и обоснованное изменение оценки выявленных ранее рисков.
Кроме информации о рисках, предоставленной различными подразделениями, для обеспечения максимально полной картины мы анализируем результаты деятельности, отраженные в официальной отчетности (за квартал и предыдущие периоды). Основным критерием для определения потенциального риска является сопоставление бюджетного плана с фактическими показателями, определение причин невыполнения того или иного показателя и вероятности их негативного влияния в будущем.
Анализируя отчетность, мы стараемся, если это применимо, учитывать выполнение определенной статьи доходов и связанных с ними затрат. Возможна ситуация, когда превышение запланированных затрат приводит к превышению доходов, значительная часть которых напрямую связана с рассматриваемыми затратами. В таком случае учитывается, выполнена ли заложенная в бюджет маржа определенного вида услуг или сферы деятельности. Если да, то в терминах FCF ущерб отсутствует и негативного влияния на показатель прибыли нет.
На текущем этапе развития системы управления рисками компании анализ отчетности показывает, что в большинстве случаев риск невыполнения определенного показателя уже учтен в перечне рисков. Остается определить, насколько оценка риска адекватна фактическому отклонению показателя от бюджетного значения.
В других случаях выявляется, что отклонение показателя обусловлено каким-либо фактором, который не был учтен при составлении бюджета или возник после его составления.
Если такой фактор со 100%-й вероятностью негативно повлияет на определенные показатели в будущем, то он уже не относится к категории рисков и находится за пределами нашей компетенции. Примером может служить увеличение платы за пользование радиочастотным ресурсом в 2009 году. Принятие постановления Кабмина об увеличении платы в середине финансового года не могло быть учтено при формировании бюджета и повлекло за собой безусловное систематическое превышение определенной статьи затрат.
Если негативное влияние фактора в будущем возможно не со 100-й вероятностью, то совместно с владельцем риска, ответственным за показатель, мы описываем и оцениваем риск.
Еще один источник информации о рисках — информация о существенных внешних событиях: законодательных изменениях, изменениях в требованиях регулятора, изменениях рыночной среды, которые в будущем могут оказать негативное влияние на достижение целей компании. Причем речь идет как о событиях, которые могут произойти в будущем, так и о тех, которые уже произошли, но их негативные последствия еще не наступили. Не учитываются лишь произошедшие события, вероятность негативных последствий которых равна 100% — такое сочетание не входит в категорию рисков и может отражаться в отчете об их статусе в качестве реализованных.
После анализа информации о рисках, полученной из всех возможных источников, ГУР готовит отчет о статусе рисков за квартал. В отчете в графическом формате представляется динамика изменения совокупного VaR рисков по направлениям деятельности (диаграмма 3), а также уровень существенности новых рисков (диаграмма 4). Это дает возможность увидеть, насколько эффективными оказались меры по управлению рисками, какие существенные события повлияли на изменение оценок и т. п. В отчете о статусе рисков для всех существенных рисков достаточно подробно описываются причины изменения оценок, если такие были, а также реализованные мероприятия по минимизации риска. Представленная в отчете информация рассматривается комитетом по рискам, утверждающим изменения в существующих рисках, оценку, мероприятия и владельцев новых рисков, а также рекомендующим те или иные меры по обсуждаемым спорным рискам. Решения комитета отражаются в обновленной версии отчета о статусе рисков, которая представляется на рассмотрение управляющему комитету.
Развитие
Можно ли остановиться на достигнутом уровне зрелости системы управления рисками? Согласно стандарту ISO 31000 систему риск-менеджмента можно считать развитой, если все процессы принятия решений в компании, независимо от масштаба и важности, включают рассмотрение сопутствующих рисков.
Сегодня мы поставили перед собой задачу интегрировать систему управления рисками во все сферы деятельности компании на всех уровнях принятия решений. Для того чтобы достичь этой цели, анализ и управление рисками должны стать частью процессов управления проектами и информационными системами, процессов определения стратегии, формирования бюджета, инвестиционного планирования. Для каждого из этих процессов в соответствующих регламентах необходимо установить требования, определяющие, на каких этапах и в каком виде должен проводиться анализ рисков (см. «Анализ рисков»), кто несет ответственность за полный и качественный анализ рисков и принимает решения по выявленным рискам.
На данном этапе нам предстоит решить основную проблему «взросления» системы управления рисками, которая заключается в трудностях трактовки ответственности и полномочий участников процессов относительно анализа рисков и принятия необходимых решений. На смену формальному участию в процессе управления рисками должно прийти осознание их важности и реальные действия. Еще одна проблема — определение объема и степени участия ГУР в разных процессах, предполагающих управление рисками. Нужно понимать, что одно небольшое подразделение не может справиться с объемом работ, необходимым для обеспечения эффективности общей системы риск-менеджмента — увидеть и оценить риски, специфические для определенного направления деятельности, может только эксперт по этому направлению. Для вовлечения всех функционалов в процесс управления рисками необходимо внедрять и развивать культуру управления ими на всех уровнях компании. Это наиболее сложная задача подразделения по управлению рисками.
