Эффективность риск-менеджмента: формула «40 на 60»

Эффективность риск-менеджмента: формула «40 на 60» 09.12.2010

Игорь Миронов, CIA, генеральный директор, Центр Технологии Бизнеса

Время от времени каждый из нас слышит о провалах проектов, о тех или иных претензиях к компаниям со стороны регулирующих органов, о вынужденных компенсациях потребителям, техногенных и экологических авариях, негативных публикациях в прессе и на телевидении, банкротствах и гибели людей. Все это – результат просчетов в риск-менеджменте.

Однако наиболее часто встречаются ситуации, когда в компании не происходит никаких серьезных происшествий, а просто не достигаются поставленные цели, или она не использует новые возможности расширения в конкретной рыночной обстановке. Все это тоже проявления неэффективного риск-менеджмента. Как результат – миллионные убытки, гибель людей, уменьшение доли рынка или ликвидация предприятия. Поэтому, чтобы достичь устойчивости бизнеса и избежать баснословных затрат, а также обеспечить выполнение планов и воспользоваться открывающимися новыми возможностями, важно создать эффективно работающую на предприятии функцию риск-менеджмента.

Однако, ключевая проблема не в том, как создать риск-менеджмент (об этом уже многократно писалось в прессе и говорилось на многочисленных конференциях), а как сделать так, чтобы он был эффективным и приносил реальную пользу, а не служил очередной бюрократической процедурой, отягощающей мобильность бизнеса.

Рассмотрим две ситуации:

  1. Во многих компаниях риск-менеджмент как таковой отсутствует вовсе, так как руководство полагает, что не нуждается в нем, ибо «все хорошо», и менеджмент успешно контролирует проблемы и без риск-менеджмента. В этом случае, даже несмотря на формальное отсутствие этой функции, интуитивно, на чувстве самосохранения и опыта руководителей, он в компании существует (пока ей везет с низкой вероятностью угроз).
  2. Там, где есть функция риск-менеджмента, работа по этому направлению часто ведется лишь формально и сводится к заполнению регистра рисков и написанию отчета для аудиторского комитета. В последнем случае результат по факту не удовлетворяет ни собственников, ни руководство, ни владельцев бизнес-процессов, поскольку воспринимается всеми как навязанная бюрократическая процедура. Очень часто это ведет к перезапуску риск-менеджмента на предприятии. Многократно приходилось слышать на разных конференциях о второй или третьей попытке внедрения этой функции во многих компаниях. К сожалению, они также могут провалиться, если не будут учтены основополагающие принципы эффективного риск-менеджмента, о которых пойдет речь дальше.

Итак, несмотря на признаки наличия риск-менеджмента на предприятиях, в обеих ситуациях, по моему мнению, отсутствует эффективный риск-менеджмент. Его основополагающим принципом является интегрированное сочетание обязательных формальных процедур риск-менеджмента (идентификация и оценка рисков, определение толерантности к рискам, установление надлежащего контроля и мониторинг его исполнения) с созданием полномасштабной риск-ориентированной культуры организации. По моему практическому опыту, важнейшие и обязательнейшие процедуры риск-менеджмента (даже хорошо и полностью выполненные) составляют лишь 40% успеха эффективного риск-менеджмента. Этим можно объяснить провал его внедрения и его перезапуск во многих организациях, когда в фокусе находится только формальная сторона дела. Оставшиеся 60% - это необходимая риск-ориентированная культура организации, от которой зависит успех всего риск-менеджмента. Это уже неформальный подход к обсуждению угроз и установлению необходимого контроля. Хотя такой подход тоже нельзя назвать классическим риск-менеджментом, все же, мне думается, он может привести к удовлетворительному результату, что иногда и объясняет нежелание менеджмента внедрять риск-менеджмент, ведь «все хорошо».

Понятно, что только комбинация этих двух подходов дает 100% результат эффективного риск-менеджмента. Аналогичную, но более детальную трактовку можно найти в фундаментальном для риск-менеджеров документе Enterprise Risk Management Integrated Framework, где эффективность контроля над рисками рассматривается по пяти взаимосвязанным компонентам:

  • контрольная среда;
  • оценка рисков;
  • контрольные действия;
  • информация;
  • коммуникация и мониторинг.

Рассмотрим более подробно типичные недостатки современной ситуации с риск-менеджментом и пути их преодоления.

Риск-менеджмент «для галочки»

Откровенно говоря, очень часто на практике риск-менеджмент рассматривается лишь как дополнительный процесс, не привязанный к бизнес-планированию, бюджетированию, стратегическому планированию и т.д. Однако управление компанией – это единый процесс, в котором каждая процедура должна быть интегрирована в общую стратегию и тактику управления предприятием. Когда мы разрабатываем программу стратегического развития компании, в ней обязательно должен присутствовать раздел «Оценка рисков», которые непосредственно с ней связаны. То же и с бюджетированием: для контроля над рисками необходимы ресурсы, а средства на них можно взять только из бюджета. Цементирующая все процессы в компании связка: цель (предприятия в целом или отдельного подразделения) – риск (вероятность провала этой цели) – контроль (меры, уменьшающие этот риск до приемлемого уровня).

Другая частая проблема риск-менеджмента – фактически формальное заполнение менеджерами регистров рисков один-два раза в год. Владельцы рисков зачастую воспринимают заполнение бумаг как докучливую обязанность и расценивают ее как бесцельную трату времени: ведь ценности в этом они не видят. Получается - подготовили формы и тут же о них забыли до следующего отчета по рискам.

Распространённая ловушка – «скидывание» всех обязанностей по идентификации и управлению рисками лишь на одного риск-менеджера. Это в корне неверно. Главным риск-менеджером на предприятии всегда является генеральный директор, и именно он должен отвечать за все риски, которые существуют в компании. Конечно, на практике генеральный директор делегирует обязанности по управлению рисками своим заместителям – функциональным директорам (например, финансовому директору, отвечающему за финансовые риски).

Если мы проведем анализ, почему довольно часто применяется такой формальный подход к идентификации и оценке рисков, а также к последующему управлению ими, то придем к выводу о недостатке развития контрольной среды организации и культивирования понимания принципов и задач риск-менеджмента. Владельцы бизнес-процессов (менеджеры структурных подразделений) должны отвечать за достижение поставленных целей путем риск-ориентированного подхода и установления надлежащего контроля за связанными с этими целями рисками. Это главный и самый важный момент! Вспомните, как проходит у вас в организации постановка целей. Ставится задача – и все. Бывает, она расписывается более подробно в виде плана действий. Но почти никогда не анализируются риски и угрозы, связанные с обозначенными целями. Позже, при наличии функции риск-менеджмента, возникает обязанность сделать регистр рисков и появляется дополнительный процесс формального риск-менеджмента, который может рассматриваться менеджерами как нагрузка, нужная кому угодно, только не им. Но планы не выполняются, даются оправдательные объяснения провала, и компания вступает в новый год с аналогичным подходом.

В эффективном риск-менеджменте постановка целей, идентификация рисков и установление адекватного и действенного контроля – это один интегрированный процесс. Функции риск-менеджмента соответствующего бизнес-процесса и внутреннего контроля - это не дополнительные, а прямые обязанности любого эффективного менеджера. Он заинтересован больше других в том, чтобы поставленные перед ним цели были выполнены. Именно ему нужно получить необходимые ресурсы в бюджете для их достижения. В свою очередь финансовый директор должен задавать владельцам бюджетов вопросы о целесообразности и достаточности бюджета по финансированию контроля. Но как можно объективно объяснить без идентификации и оценки рисков, что вам требуется столько-то людей, столько-то основных средств и столько-то денег на операционное расходы (например, рекламу или торговое оборудование)? Бюджет не обязательно избыточен, может быть, наоборот, вы бюджетируете слишком мало, и существующие риски не дадут вам возможности выполнить поставленную цель. Даже если у вас дефицит финансов, и вы не можете финансировать контроль полностью, вы, по крайней мере, знаете уже на стадии составления бюджета, что ваш годовой план имеет риск быть невыполненным!

Вообще же, когда спрашиваешь людей, какие именно риски у них есть, зачастую слышишь, что никаких. Иной раз они даже не понимают, что такое риск, и не видят причинно-следственных связей. Им кажется, что в подконтрольном департаменте (и даже в компании) риски незначительны, и пусть ими занимаются в других отделах. По их мнению, главная цель – произвести, продать, провести то или иное мероприятие, увеличить продажи, нанять людей и так далее, и им важно своих целей достичь. С чем это сопряжено, уже не их «головная боль». Но поскольку руководители соответствующих подразделений являются также и владельцами рисков, то именно они и должны их идентифицировать. Но здесь налицо проблема бездействия – им «никто не давал команды». И это типично русское «авось»: пока ничего не случилось, делать ничего не стоит, тем более что «сейчас бизнес достаточно успешен». А когда возникнут проблемы, то «что-нибудь придумаем».

Думается, что это совершенно ошибочный подход. Мы всегда подвержены рискам. Даже когда мы варим на кухне борщ, мы в той или иной степени рискуем. Может произойти так, что мы пересолим его, переперчим или забудем положить какие-то компоненты – вот и не достигнута цель сделать это блюдо вкусным. Несмотря на банальность примера, он целиком и полностью применим к бизнесу. Нередко случаются техногенные аварии, кардинально изменяется ситуация на рынке – все до мелочей предвидеть невозможно. Но можно и нужно анализировать, просчитывать, быть внимательными, понимать общую ситуацию, быстро и адекватно на нее реагировать. Это и есть тот риск-ориентированный подход, о котором упоминалось выше и без которого невозможно эффективно управлять компанией.

Соблюдать формальные процедуры необходимо, но еще более важно пропагандировать риск-менеджмент внутри компании. И здесь главное - не упустить существенные моменты при создании этого подразделения. Риск-менеджмент не может быть делегирован административной функции. Только владелец процесса отвечает за риски в своем департаменте. Кроме того, риск-менеджмент – существенная часть любого бизнеса, поскольку прибыль (а во время финансового кризиса и существование компании) зависит от того, насколько успешно ведется управление рисками. А поскольку способность управлять операционными, финансовыми и стратегическими рисками влияет на финансовый результат и жизнеобеспечение компании, риск-менеджмент – это часть прямых обязанностей руководства, связанных с целями и планами предприятия. Обязанностей, которые должны исполняться ежедневно, а не раз-два в год. Только тогда эта функция и компания в целом будут эффективными.

Главное не молчать

На одной из моих любимых карикатур руководитель во время совещания говорит: «Основное достоинство нашего проекта – это баснословные доходы, а главный недостаток – перспектива тюрьмы с конфискацией». Это иллюстрация того, как важно внутри компании обсуждать и оценивать риски. В данном случае, несмотря на баснословные прибыли, которые сулит проект, существует очень большой риск оказаться в тюрьме. Что, естественно, неприемлемо. Сам факт обсуждения ситуации за столом владельцами процессов – большой плюс: можно проработать несколько вариантов минимизации рисков. К примеру, попробовать сделать прибыль достаточной для бизнеса, но чтобы вместе с тем в тюрьму никто не сел. Эту картинку можно с легкостью проецировать на любое предприятие. Больше обсуждайте, прислушивайтесь к сотрудникам. Приведем пример. Довольно часто случается, что рядовой сотрудник приходит к своему начальнику (владельцу риска) и пытается объяснить ему, что в той или иной ситуации есть определенный риск. На что руководитель отвечает: это все ерунда, не обращайте внимания. Так не должно быть. Необходимо прислушиваться к мнению работников и учитывать любые риски, тогда вы сможете минимизировать их или вовсе исключить.

Отмечу, что необходимо анализировать публикации в прессе, затрагивающие прямо или косвенно тему рисков. Нужно регулярно проводить мониторинг публикаций. Казалось бы, для чего это нужно, ведь все, о чем говорится, не касается вас конкретно? Отнюдь. Нарушения законодательства и, как следствие, штраф или остановка производства влекут за собой финансовые издержки или значительные убытки. Забастовки персонала, смерть сотрудника также ведут, как минимум, к затратам и серьезному ухудшению репутации компании. Производство некачественных продуктов – к выплатам компенсаций потребителям и удару по репутации бренда с последующим уменьшением доли рынка.

Риски, которые проявились в других компаниях, нужно спроецировать на свое предприятие и проанализировать, насколько тот или иной риск может коснуться вас, как его минимизировать или устранить. Предупрежден – значит, вооружен. И пусть тот или иной риск обошел вас стороной, вы к нему были готовы – и это главное. Тем более это важно в компаниях, где бренды создаются годами, а иногда и столетиями. Ведь именно торговые марки оберегают больше всего. При неправильном подходе к оценке рисков или же его отсутствии, бренды можно потерять из-за нескольких непродуманных действий.

Польза в возможностях

Весьма важно, что пропагандируя функцию риск-менеджмента, вы пропагандируете проактивные, а не реактивные действия. Это позволяет не попасть в неприятности. Кроме того, вы полностью осведомлены о рисках, окружающих компанию. Здесь помогает анализ событий на других предприятиях, данные о том, какие риски они несут или уже понесли и к чему эти риски привели (в том числе по публикациям в прессе, о чем упоминалось выше). Еще один момент – понимание возможностей, которые дает нам риск. Думать, что риск-менеджмент – это лишь угроза и неприятности, неверно. Это, безусловно, еще и возможности.

Я всегда привожу здесь пример с минным полем. Представьте, что задача – перейти минное поле. Понятно, что часть организаций бросится вперед по полю и погибнет. Другая часть по нему вообще не пойдет. Еще какой-то процент предприятий выберет путь в обход. А что сделает риск-ориентированная компания? Она достанет миноискатель (риск-менеджмент) и определит положение мин (угроз для бизнеса), успешно поле пройдет и окажется первой, кто достигнет противоположного края и воспользуется конкурентными преимуществами. Их как раз и дала ей риск-ориентированная среда. А что же другие? «Слабаки» остались, «герои» погибли, остальные ходят вокруг да около. И только ваша компания знает, как необходимо себя вести и как преодолеть угрозы и препятствия, продолжая использовать этот подход в своей дальнейшей работе.

Эффективность риск-менеджмента нередко проверяется в чрезвычайных ситуациях, а также при восстановлении бизнеса. От слаженных и правильных действий в такие моменты зависит дальнейшее успешное функционирование предприятия. В одной из российских компаний, например, реализуется «План управления восстановлением бизнеса». Он состоит из трех частей: управление чрезвычайной ситуацией, управление кризисом и восстановление работоспособности бизнеса.

В первом блоке написано, что именно нужно делать в тех или иных чрезвычайных обстоятельствах. Четкие и детальные инструкции даны абсолютно всем подразделениям, вовлеченным в конкретный сценарий экстремальной ситуации. Этот раздел регулярно обновляется, проверяется и при необходимости используется. Хочется подчеркнуть, что в данном случае речь идет не только о чрезвычайных ситуациях с производством продукции. Они охватывают и арест счета, и выемку бухгалтерской документации, вплоть до исчезновения кого-либо из топ-менеджеров компании. Соответственно, любой подобный риск должен быть четко сформулирован и дополнен планом действий.

Второй блок: управление кризисной ситуацией, которая возникает после окончания первого этапа. Когда чрезвычайная ситуация, например пожар, ликвидирована и нужно общаться с прессой, родственниками пострадавших, бизнес-партнерами, официальными органами и т.д. Неправильное или несвоевременное управление кризисной ситуацией ведет к ухудшению деловой репутации компании, возможным дополнительным искам против нее и ее руководства. На этом этапе важно то, как компания справится с этой ситуацией, для чего также необходимо прописать порядок действий и меры, которые помогут ее минимизировать.

И, наконец, последний блок: восстановление работоспособности бизнеса, произошедшее из-за чрезвычайной ситуации, описанной в первом разделе. Вот достаточно реалистичный для любого бизнеса пример. Предположим, по различным причинам прекращена поставка воды или энергоносителей на производственное предприятие. Поскольку производственный процесс невозможен без воды и электроэнергии, компания какое-то время функционировать не будет, что приведёт к потере части незавершенной продукции, срыву планов поставок с возможными штрафами и упущенной выгоде. Как оперативно и качественно восстановить производственный процесс? Для этого заранее необходимо определить контрольные действия по восстановлению бизнеса, например найти альтернативных поставщиков воды и электроэнергии и т.д.

Попадая в кризисную ситуацию или восстанавливая бизнес, компания должна извлекать уроки из того, что происходило. Почему не предвидели, где упустили, что не просчитали – все это нужно проанализировать и использовать в будущем. Любой новый контроль (каким бы сильным он ни был) не сможет отследить и минимизировать риски, если в прошлый раз они были «пропущены» и выводов сделано не было.

Кроме того, риск-менеджмент успешен и эффективен, когда в организации функционирует единый интегрированный подход к управлению рисками. Например, основополагающим документом для создания эффективной функции риск-менеджмента может быть корпоративная процедура «Интегрированное управление рисками». В ней содержится целостное описание годового цикла риск-менеджмента компании, применимого ко всем ее сотрудникам – от генерального директора до рядового работника. Важно подчеркнуть, что в этот документ вставлены связи с процедурами по управлению и оценке деятельности сотрудников, стратегическому и бюджетному планированию, управлению действиями в чрезвычайных ситуациях, а также регулярные проверки внутренним аудитом. При условии, что все работники, вовлеченные в риск-менеджмент, прошли тренинг по данной процедуре, получают необходимую методическую поддержку риск-менеджера и полностью проактивно выполняют запланированные мероприятия, можно гарантировать, что качество и полнота процесса риск-менеджмента будет достаточной для констатации удовлетворительного функционирования системы риск-менеджмента (не менее 40% работ по риск-менеджменту). Остальное – это качество и культура риск-менеджмента, создающиеся не за один год.

Риски контроля

Безусловно, главное предназначение риск-менеджмента – отслеживать то, что препятствует достижению поставленных целей. Известно, что цели могут меняться каждый год. И прежде, чем идентифицировать риски, необходимо выяснить, какие цели стоят перед предприятием и чего руководство хочет достичь. Именно от этого очень сильно зависят риски. Кроме того, необходимо еще и корректно ставить вопросы. К примеру, что может пойти неправильно? Или – какие активы и ценности мы должны защищать при реализации этой цели? Тогда становится понятно, какие риски могут быть присущи тому или иному действию. Полезен общий список областей рисков организации (Risk Universe), который помогает не пропустить неявные для данного подразделения риски. Рекомендуется составить и обеспечить исполнение этого документа при идентификации рисков.

Другая сложность при идентификации проблем связана с полнотой их описания. Здесь могут быть две сложности. Первая: можно уйти в общую теорию описания риска, присущего любой организации. Важно понять, что ошибки в таком описании нет, и риск имеет место быть, но и пользы от этого крайне мало, поскольку все очень неконкретно. Данная сложность типична для регистров риска высокого уровня (например, высшие риски компании для аудиторского комитета). Вторая сложность: излишняя детализация, когда регистр рисков забит несущественными, рутинными и второстепенными делами. Рекомендуется внимательно и с уважением относиться к этим рискам, так как они обычно инициируются сотрудниками или средним менеджментом компании. Игнорирование их ведет к демотивации сотрудников, идентифицировавших риски, и, как следствие, к ущербу для риск-менеджмента в целом. Лучше выделить найденные проблемы в регистр рисков этого подразделения и добиться, чтобы запланированный контроль был выполнен и промониторен.

Именно поэтому необходимо создать команду риск-менеджмента, которая бы оценивала в качестве экспертов все риски и утверждала, что они идентифицированы корректно. Более того, руководство должно определить, какие риски приемлемы или неприемлемы для компании, а также их допустимый уровень.

Конечно, уменьшить риск могут контрольные процедуры. Они должны быть интегрированы в систему планирования бюджета и управления деятельностью. В то же время одно их наличие мало что значит. Важно их соблюдать, поэтому большая часть успеха оптимизации риска заключается именно в действиях менеджеров, в том числе владельцев процессов, которые несут ответственность за выполнение этих действий.

Степень адекватности и эффективности контрольных процедур может оценить лишь департамент внутреннего аудита. На бумаге все может быть хорошо, но в реальности – совсем по-другому. Поэтому внутренние аудиторы проверяют правильность применения контрольных действий, уменьшающих риски.

Залог эффективности

Эффективность риск-менеджмента зависит не только от работы в конкретный момент или анализа прошлых событий. Необходимо смотреть в будущее. В краткосрочной перспективе для любого предприятия особое значение имеет проверка адекватности и уточнение методик оценки риска и принятия решений, а также переоценка риска по текущему регистру, мониторинг и контроль над выполнением поставленных контрольных процедур. В долгосрочной же перспективе актуальной задачей становится разработка стратегии управления бизнесом, учитывающей уровень риска, и переход с модели бизнеса, сфокусированной только на прибыль, на операционную риск-ориентированную модель.

Поскольку бизнес и угрозы постоянно эволюционируют, мы должны быть уверены, что внедряем динамичную практику и постоянно совершенствуем эффективность риск-менеджмента. Руководство должно пропагандировать такой метод: действовать, как одна компания, но для различных бизнес-моделей использовать различный подход к управлению рисками.

Таким образом, подытоживая, обрисую формулу эффективности риск-менеджмента. Это формирование риск-ориентированной культуры компании (60% успеха) и выполнение всех регламентных процедур по риск-менеджменту (40% успеха).

Игорь Миронов, CIA, генеральный директор, Центр Технологии Бизнеса

ВКонтакт Facebook Одноклассники Twitter Яндекс Livejournal Liveinternet Mail.Ru
Комментарии