Как построить интегрированную систему риск-менеджмента?

Андрей Перчик, начальник управления внутреннего аудита компании «Мечел», в интервью порталу CFO-Russia.ru рассуждает об уровне развития риск-менеджмента в России и объясняет, почему наиболее эффективно выстраивать его по интегрированной модели, основанной не столько на сборе информации и предоставлении ее акционерам, сколько на устранении рисков в рамках оперативного управления компанией.

Управление рисками как отдельное направление менеджмента в России не слишком развито – соответствующие службы есть далеко не в каждой компании. С чем это связано?

На самом деле управление рисками – это неотъемлемая часть деятельности любой организации. Точно также, законы физики действуют независимо от того, знаем мы об их существовании или нет. У каждого менеджера есть цели, и каждый менеджер знает, что именно может помешать выполнению его прямых обязанностей, он как-то борется с такими помехами. Если кто-то отвечает за достижение цели, он уже управляет соответствующими рисками, хотя может и не задумываться об этом. Такой процесс, встроенный в ежедневную работу, и есть риск-менеджмент. При этом менеджер отчитывается перед руководством за финансовую эффективность, выполнение плана или достижение ключевых показателей эффективности (KPI) и обычно не рассматривает свою работу в терминах риск-менеджмента. Управление рисками есть, но далеко не во всех компаниях эти процессы формализованы и выделены в отдельную систему.

В чем смысл такой систематизации?

Это зависит от задач, стоящих перед бизнесом. К примеру, публичные компании обязаны предоставлять информацию о присущих им рисках акционерам и потенциальным инвесторам. При этом от них не требуется тщательно оценивать и ранжировать риски, а также принимать в отношении них какие-то меры – достаточно просто их перечислить и предоставить о них информацию. Таково требование большинства фондовых площадок – раскрытие информации о рисках необходимо для того, чтобы инвесторы принимали более обдуманные и взвешенные решения о покупке акций того или иного эмитента. Если соответствующая информация не раскрывается, компания рискует получить судебные иски от инвесторов.

Однако иногда система управления рисками выстраивается не под влиянием внешних требований, а исходя из потребностей высшего руководства и владельцев бизнеса. Если речь идет о мажоритарном акционере, как правило, не являющемся CEO, который заинтересован в том, чтобы компания развивалась, завоевывала рынки, то ему могут понадобиться более детальные сведения о рисках, присущих его бизнесу. В этом случае он может настоять, чтобы в компании или в компаниях, которыми он владеет, были созданы службы, занимающиеся сбором и анализом информации о рисках. При этом предполагается, что у владельца есть стратегия в отношении рисков, то есть существует предельное значение риск-аппетита, при приближении к которому владелец бизнеса начинает действовать. Как правило, он вмешивается в непосредственное управлении бизнесом: становится председателем совета директоров либо занимает позицию исполнительного директора.

Это модель управления рисками, которую можно условно назвать "информационной". В ее рамках ведется регулярный мониторинг рисков, результатом которого становится dash board, то есть приборная доска. Для ее формирования, как правило, проводится опрос персонала и собирается информация, какие имеются риски, насколько каждый из них серьезен, и каким образом компания ими управляет. Данные такого мониторинга периодически актуализируются, например раз в год. Для владельца компании информационная модель риск-менеджмента удобна, однако операционный менеджмент нередко воспринимает ее как источник дополнительной головной боли.

Причина в том, что управленцы, помимо стандартных отчетов, должны подготавливать описание бизнеса с точки зрения рисков. Если сотрудник занимает высокую позицию в компании, то он к тому же отвечает, чтобы и его подчиненные занимались рисковым мониторингом, а полученные от них данные ему приходится сводить в единый отчет. Итог – огромный объем дополнительной работы, которую менеджеры воспринимают как избыточную. Кроме того, если менеджер неправильно идентифицирует риски, а вышестоящее руководство примет на основе этих данных ошибочное решение, то ответственность ляжет на менеджера, допустившего неточность. Вот почему «информационная» модель вызывает сопротивление у операционного менеджмента – для него деятельность по сбору информации оборачивается «сверхплановой» нагрузкой и ответственностью.

Как же преодолеть негативное отношение к риск-менеджменту?

По моему мнению, гораздо эффективнее выстраивать систему управления рисками с помощью другой модели – условно назовем ее интегрированной, основанной на процедурах, которые нацелены не столько на сбор информации и предоставление ее владельцам или топ-менеджменту, а на работу по устранению рисков в рамках оперативного управления компанией. В этой модели управление наиболее существенными рисками выделяется из обычной операционной деятельности в отдельный процесс управления обособленными проектами и программами, обеспеченный собственными ресурсами.

Важным элементом такой модели является формирование карты рисков органом, состоящим из представителей всех подразделений компании, предпочтительно – их руководителей. Эти люди, как правило, обладают необходимой информацией и опытом для составления достаточно полного перечня наиболее значимых угроз. Наилучшим способом организации этой работы является очное обсуждение (например, на заседании правления). При этом обсуждаемые риски могут либо выноситься на обсуждение по результатам деятельности подразделения риск-менеджмента по сбору предварительной информации, либо представляться самими участниками в рамках мозгового штурма. Независимо от выбранного способа именно обсуждение позволяет сформировать комплексное видение угрозы.

Обычно на таких совещаниях руководители департаментов охотнее говорят не о своих рисках, а о рисках, относящихся к другим департаментам. Это связано с боязнью дополнительной нагрузки: если финансовый директор выделяет риск, присущий финансовому департаменту, то именно ему потом и отвечать за управление этим риском. При этом позиция обычно такова: да, у нас есть риски, но наш департамент и так делает все, чтобы с ними бороться. Однако если дискуссия относительно определенного риска началась, то к ней охотно присоединяются все заинтересованные службы.

Возьмем, к примеру, экологические риски. Например, PR-департамент может нуждаться в информации об экологических рисках, однако добиться соответствующих данных от производственников не получается. Руководитель производства в свою очередь говорит, что у него нет времени на сбор таких данных. К дискуссии может присоединиться, к примеру, юридическая служба, которой приходится иметь дело с последствиями реализации экологических рисков – штрафами и судебными исками к компании. С точки зрения финансиста, возможные штрафные санкции к компании – это вопрос формирования денежных резервов, необходимых для ведения разбирательств и устранения последствий. И наконец, департамент взаимодействия с госорганами владеет информацией о том, какие государственные и негосударственные организации могут предъявить компании претензии в том случае, если допущены нарушения в экологической сфере. Таким образом, разговор, инициированный руководителем PR-службы, приводит к выработке объемного видения риска, которое можно формализовать. Становится понятно, что отсутствие механизмов сбора экологической информации влечет за собой юридические, финансовые и прочие риски. По итогам дискуссии составляется описание этих рисков, а затем формулируются конкретные задачи, которые компании необходимо решить для управления этими рисками. И вот уже мы говорим не о рисках, а о конкретных задачах, таких как организация системы экологической отчетности.

В рамках таких обсуждений правление компании формирует перечень значимых рисков и процедур, которые необходимы для управления ими. Затем это видение системы риск-менеджмента согласовывается с советом директоров. Ведь может выясниться, что у директоров иное видение проблем, стоящих перед компанией. В этом случае совет может поручить правлению доработать карту рисков.

После того как мы преобразовали такую туманную категорию, как риски, в привычные для менеджмента задачи, управление рисками становится также понятным и привычным любому руководителю, знакомому с процедурами управления проектами. Ключевым элементом здесь является ориентированность на достижение обещанного результата от всей программы управления рисками, а не на выполнение отдельных мероприятий. Именно по достижению запланированных результатов должна оцениваться работа владельцев рисков.

Такой подход встретит меньшее сопротивление, поскольку он будет представлять собой управленческий инструмент, а не дополнительную форму отчетности.

Как внедрить такую систему?

Такие системы, на мой взгляд, следует внедрять «сверху – вниз». И инициатива должна исходить от первых лиц компании. По крайней мере, они должны обеспечить ей полную поддержку.

Для начала компании следует разработать и отладить на практике процедуры управления рисками на корпоративном уровне, а уже потом, распространять систему на другие уровни управления, поскольку процедуры, проверенные на уровне топ-менеджмента и одобренные советом директоров, будет легче адаптировать для управленцев более низкого уровня. Кроме того, при таком подходе уже в самом начале процесса внедрения компания сможет добиться снижения наиболее существенных рисков.

В чем заключаются задачи собственно риск-менеджера внутри интегрированной системы управления рисками?

Риск-менеджер выступает в роли фасилитатора, обеспечивает необходимую поддержку: собирает (либо объясняет, как собирать) первичную информацию, модерирует совещания правления по вопросам управления рисками, а по итогам таких совещаний составляет формальные документы, служащие основой для принятия дальнейших мер по управлению рисками.

При распространении системы на другие уровни управления риск-менеджер оказывает руководству дивизионов и предприятий методологическую поддержку и администрирует единую систему документооборота.

Наконец, высший пилотаж для такого специалиста – это координация работ по управлению рисками различных уровней. Риск-менеджер обладает информацией обо всех рисках, выявленных в различных подразделениях и дочерних обществах компании, обо всех запланированных мероприятиях, об их результатах, о совершенных в процессе реализации этих мероприятий ошибках и найденных способах их исправления и т.п. Это знание он может использовать, чтобы рекомендовать владельцам рисков лучшие решения и обеспечивать тем самым эффективное распределение ресурсов компании.

Как добиться вовлеченности менеджеров среднего звена?

Чтобы операционный менеджмент занимался управлением рисками, необходимо донести до него информацию о возможностях, которые предоставляет система риск-менеджмента. Во-первых, это дополнительный канал связи, позволяющий донести информацию о нерешенных проблемах до вышестоящего начальства. Во-вторых, система риск-менеджмента влияет на распределение ресурсов в компании: разрабатывая меры по управлению рисками, менеджер посредством описания рисков обосновывает свои потребности в ресурсах, необходимых для решения определенных задач.

Кстати, речь идет не только о деньгах. Зачастую менеджерам не хватает полномочий, информации, поддержки руководства, кооперации со смежными подразделениями. Идентифицируя риск, менеджер описывает, какие убытки понесет компания, если запрашиваемые ресурсы не будут выделены. При этом если в компании действует бонусная система, при которой размер вознаграждения напрямую зависит от результатов работы, то, описывая риски, сотрудник заранее определяет пределы своей ответственности. Впоследствии это может стать обоснованием для нормализации показателей эффективности, если руководство проигнорировало его информацию о рисках и предложения по их снижению, и он не добился запланированных результатов.

К примеру, перед подразделением ставится задача: пробурить определенный метраж скважин или продать определенный объем продукции – в зависимости от специализации компании. Если показатель достигается – начальник подразделения получит свой бонус, если нет – его зарплата уменьшится. Начальник подразделения при описании рисков объясняет руководству, что результат достижим, однако существуют риски, не зависящие от него, – в случае их реализации показатели будут ниже, чем запланировано. И это может служить обоснованием для нормализации показателей, то есть для сохранения бонуса: ведь если плановые показатели не достигнуты по причинам, не зависящим от сотрудника, то это не должно влиять на размер вознаграждения.

Ближайшая конференция по риск-менеджменту пройдет в Москве – Пятая конференция «Корпоративные системы риск-менеджмента».

Александр Зубанов

---

Материалы по теме: