Мария Козлова: «Отдел внутреннего контроля не может и не должен являться владельцем всех рисков»

Мария Козлова, директор по управлению рисками и внутреннему контролю компании «СТС Медиа», в интервью порталу CFO-Russia.ru рассказывает о том, как крупнейшая независимая медиа-компания России, чьи акции котируются на бирже NASDAQ, выстраивает систему риск-менеджмента на основе модели «сверху-вниз», обеспечивая тем самым бизнесу большую управляемость и прозрачность принимаемых решений.

• Ближайшая конференция по риск-менеджменту пройдет июле 2013 года – Пятая конференция «Корпоративные системы риск-менеджмента».

Как начиналась ваша профессиональная деятельность в сфере риск-менеджмента?

До перехода в «СТС Медиа» я работала в консалтинговом отделе по управлению рисками в компании Ernst&Young сначала на позиции аудитора, а затем на позиции консультанта. В Ernst&Young я пришла в 2003 году – именно тогда в компании появилось направление риск-менеджмента. Этот момент можно считать поворотным в развитии управления рисками, поскольку годом ранее вышел известный закон Sarbanes-Oxley, в котором впервые были формализованы требования к публичным компаниям в части внутреннего контроля. Консультации по вопросам внутреннего контроля и управления рисками стали востребованы в основном теми российскими компаниями, чьи акции обращались на зарубежных биржевых площадках. В зону моей компетенции входил анализ бизнес-процессов, разработка планов тестирования, подготовка предложений по устранению недостатков и улучшению контрольной среды, разработка и внедрение политик, процедур и мер контроля.

Здесь надо отметить, что в работе консультанта есть одна «дискриминационная» особенность: владельцами результата всегда становятся менеджеры компании-заказчика, даже если значительная часть работ по созданию систем внутреннего контроля и риск-менеджмента выполнена командой компании-консультанта. В то же время, каждый профессионал, безусловно, стремится к прямому признанию своих компетенций и успехов. Поэтому, когда в 2006 году мне поступило предложение от «СТС Медиа», я согласилась не колеблясь: накопив необходимый опыт в качестве консультанта, я поняла, что могу сменить сферу деятельности и внедрить с нуля системы внутреннего контроля и управления рисками в отдельно взятой компании.

Какие задачи ставились перед вами в «СТС Медиа»? Какие проекты проходили с вашим участием?

Первым проектом, который удалось осуществить в «СТС Медиа», было прохождение сертификации на соответствие требованиям закона Sarbanes-Oxley Act 2002. К моменту, когда я пришла в компанию, прошло чуть меньше года после IPO «СТС Медиа» на американской бирже NASDAQ, а SOX требует обязательной сертификации через год после первичного размещения. Так что это было наиболее оперативной задачей из тех, что предстояло решить. Хочу отметить, что «СТС Медиа» достаточно активно развивается за счет поглощения других медийных активов, а это означает, что наши корпоративные политики в области биржевых требований необходимо распространять и на все приобретенные компании. Поэтому работа, направленная на поддержание SOX-комплайенса ведется практически постоянно. Отдел, который я возглавила, специализируется в первую очередь на управлении рисками, связанными с достоверностью финансовой отчетности. Фактически это означает, что приходится иметь дело со всеми типами рисков, поскольку даже операционные риски способны повлиять на качество отчетности.

После удачной сертификации в компании началось создание полноценной инфраструктуры риск-менеджмента. В частности, произошло окончательное разделение службы риск-менеджмента на отдел внутреннего контроля, который я возглавила, и отдел внутреннего аудита. Затем, при поддержке консультантов из PwC был реализован проект по регламентации основных бизнес-процессов компании с указанием на то, какие риски присущи тому или иному процессу. Сейчас мы сконцентрированы на создании комплексной системы управления рисками, которая сведет воедино все осуществленные локальные проекты. Кроме того, успешно реализован проект по автоматизации контроля и учёта рисков в компании.

Системы риск-менеджмента выстраиваются в зависимости от внешних и внутренних требований. Какие требования являются основными в вашей работе, кто отвечает за постановку задач?

За исключением SOX не существует каких-либо внешних регламентирующих факторов, которые бы обязывали компанию заниматься риск-менеджментом. Однако наш холдинг сознательно ведет работу по совершенствованию системы управления рисками – бизнесу это необходимо для обеспечения большей управляемости и прозрачности принимаемых решений. Инициатива исходила от нашего отдела по внутреннему контролю при поддержке аудиторского комитета при совете директоров компании. Этот высший орган управления компанией, рассмотрев заключение о состоянии системы риск-менеджмента, рекомендовал правлению не только систематизировать и формализовать процесс управления рисками, но также интегрировать его в ежедневную управленческую практику. После этого отдел внутреннего контроля начал работу над проектом создания интегрированной системы управления рисками, впоследствии одобренный правлением. Надо сказать, что правление только в третьей итерации приняло этот проект – согласование оказалось делом весьма непростым.

Какие аргументы помогли убедить правление компании в необходимости внедрения комплексной системы риск-менеджмента?

Первым аргументом было то, что система риск-менеджмента позволит оптимизировать ресурсы компании: оценив степень важности рисков, можно четко определить, какими рисками необходимо управлять, а какие риски можно принять as is и не тратить усилий на управление ими.

Второй аргумент сводился к тому, что располагая проработанной системой распределения ответственности, руководство сможет быть уверено в том, что действительно важные для компании риски не остаются без внимания. Ведь до тех пор, пока каждому существенному риску не назначен конкретный владелец и не выделен показатель KPI для управления этим риском, риск-менеджмент остается процессом без исполнителя. То есть, управление риском либо не происходит вовсе, либо осуществляется, но хаотично и нерегулярно. И если такой риск будет реализован, то компания понесет потери, а выявить ответственных за эти потери будет невозможно.

И, наконец, третьим аргументом в диалоге с правлением было то, что внедрив в компании комплексную систему риск-менеджмента, мы сможем эффективно управлять рисками, находящимися на пересечении различных функциональных компетенций. Без такой системы каждый департамент работает обособленно и лишь с некой составляющей комплексного риска, не осознавая действительный масштаб угрозы. Объединив усилия нескольких дирекций, можно значительно снизить вероятность осуществления общекорпоративных рисков. Кроме того, совместная работа по управлению риском гарантирует всестороннюю и наиболее достоверную оценку существенных рисков, складывающихся из составляющих, которые по отдельности не кажутся весомыми угрозами.

Эти аргументы помогли нам убедить правление в том, что создание интегрированной системы риск-менеджмента принесет реальную пользу бизнесу.

Какие факторы определяли формирование принципов риск-менеджмента, применяемых в «СТС Медиа»?

При формировании собственного подхода к управлению рисками мы пользовались, в частности, методологией, предложенной нам компанией Deloitte. Эта методология предполагает модель управления «сверху-вниз», и мы считаем, что это верный подход: определить стратегические цели компании и в зависимости от этих целей выстраивать систему их достижения, параллельно определяя, какие ключевые риски могут помешать их достижению. Далее эти крупные стратегические риски подвергаются анализу, целью которого становится их разделение на локальные составляющие – те риски, которыми управляют отдельные департаменты компании.

Исходя из регламентов бизнес-процессов, о которых я уже упоминала, отдел внутреннего контроля составил предварительное описание рисков, которые, на наш взгляд, проявляются в работе различных дирекций компании. Затем была проведена корректировка наших оценок в форме голосования – руководители дирекций дали свою оценку существенности рисков. На основании этой скорректированной оценки строится дальнейшая работа по управлению рисками.

Как процедуры по управлению рисками отражаются на работе линейных менеджеров?

Мы располагаем методологией и формализованной политикой по управлению рисками, и начиная с 2010 года в должностные обязанности менеджеров различного уровня будут включены конкретные меры, которые должны осуществляться для управления рисками компании. Составлены паспорта всех рисков, подлежащих управлению. Такой паспорт содержит описание риска, степень его значимости и характер влияния на работу компании, указание его владельца и распределение мероприятий по управлению риском. Кроме того, выполнение плана мероприятий мы планируем привязать к KPI отдельных менеджеров – такая мотивация остается наиболее эффективной, в том числе и в области риск-менеджмента.

Приведите, пожалуйста, примеры конкретных мер, помогающих сократить риски, присущие бизнесу компании?

Первый пример – из области производства. Одна из основных составляющих програмной сетки СТС – сериалы. Поэтому ключевой риск компании связан с успешностью таких проектов у аудитории. То есть, существует вероятность того, что сериал уже снят, однако при его запуске в эфир выяснится, что он не так популярен у зрителей, как изначально предполагалось. В результате – потеря затраченных финансовых ресурсов, потеря аудитории, потеря рекламодателей, снижение итоговых финансовых показателей компании. Одним из способов управления этим рисков является тестовое исследование продукта при помощи специально сформированной для этого фокус-группы. Это выглядит так: снимается несколько пробных серий, после чего из представителей целевой аудитории создается фокус-группа, и оценки этой фокус-группы показывают, насколько успешна выбранная концепция. Если выясняется, что сериал «не попадает» в целевую аудиторию и не будет популярен, то производство можно прервать уже на этой стадии, тем самым сократив расходы компании.

Другой пример – меры по предотвращению мошенничества при размещении заказов на поставку необходимых товаров или оборудования. В политике по проведению тендеров обозначено, что в каждом подобном проекте, начиная с определенного уровня расходов, должно участвовать не менее трех претендентов, чьи предложения оцениваются не одним человеком, а тендерной комиссией в составе не менее трех человек по ряду показателей. Такая система принятия решений значительно снижает возможность выбора поставщика по критерию личной выгоды. Инструментом контроля в данном случае будет выборочная проверка договоров на поставку: несложно отследить, кто из менеджеров вел конкретный договор, и были ли осуществлены все необходимые тендерные процедуры.

Каким вам видится разделение полномочий между отделом внутреннего контроля и функциональными дирекциями компании?

Отдел внутреннего контроля не может и не должен являться владельцем всех рисков. Мы не профессионалы в области производства, продаж или маркетинга и потому не можем управлять соответствующими рисками. Наша задача – в другом: помочь функциональным департаментам в составлении перечня значимых рисков, наладить работу по первичной оценке этих рисков и вторичной корректировке оценок, предложить общую методологию управления ими. Мы предоставляем методы, но не окончательные решения. В задачи отдела внутреннего контроля входит подсчет финансовой составляющей риска, определение допустимых параметров риск-аппетита, но конкретные практические шаги по управлению рисками должны определяться их владельцами.

Александр Зубанов

---

Материалы по теме: