Закрыть [x]

Перейти на мобильную версию

Риск-менеджмент для разумного и ответственного принятия решений

Риск-менеджмент для разумного и ответственного принятия решений 17.02.2011

Ирина Андропова, руководитель департамента по внутреннему контролю и управлению рисками компании ДТЭК

Ближайшая конференция по риск-менеджменту пройдет июле 2013 годаПятая конференция «Корпоративные системы риск-менеджмента».

Все больше энергокомпаний развивают системы риск-менеджмента. Ими движут не только требования регулирующих органов, последствия кризис, энергетические аварии, но и желание придать заложить фундамент для развития бизнеса. Поэтому так важно выстроить систему обнаружения рисков и использования возможностей, а также раннего реагирования на угрозы.

Группа ДТЭК работает на энергетическом рынке Украины с 2002 года. Она включает в себя 15 предприятий, формирующих эффективную производственную цепочку от добычи и переработки угля до производства и поставки электроэнергии. До 2009 года риск-менеджмент в компании представлял собой систему, в которой риски были завязаны только на функциональные области – направления бизнеса. Для того, чтобы сделать систему более понятной, прозрачной на всех уровнях и эффективной, ее концепция в 2009 году пересмотрели. В тот период департамент по управлению рисками некоторое время подчинялся финансовому директору – в кризис он был выведен из подчинения генерального директора для более четкой концентрации усилий. Когда же руководство увидело, что компания докризисный уровень стабильности, было решено снова провести структурные изменения. Так функцию риск-менеджмента переведели в ведение исполнительного директора. Кроме того, был создан комитет по рискам группы, куда вошли генеральный директор, финансовый директор, директор по безопасности, а также руководители трех департаментов: риск-менеджмента, аудита и комплайенса. Задачей комитета стало превратить существующий риск-менеджмент в действенный инструмент управления рисками и повышения надежности, прозрачности и эффективности управления компанией.

Прежде всего было переформулировано назначение системы. Для себя мы выделили шесть направлений:

  • проверка задач и стратегических инициатив на актуальность;
  • проверка целей на достижимость в краткосрочной и долгосрочной перспективе;
  • обеспечение разумной уверенности в достижении целей (ответы на вопросы: что может нам помочь или, наоборот, помешать; как можно снизить возможные препятствия и потенциальные проблемы и превратить их в возможности);
  • работа над ошибками; мониторинг событий, выводы и изменение линии поведения в будущем на более эффективную; максимальная гибкость;
  • развитие культуры управления рисками в повседневной деятельности – то есть своеобразный фундамент функционирования системы, не только риск-менеджмента, но и эффективного управления как такового, где ответственность и разумность присутствуют на каждом участке работы предприятия.

Самым важное в системе риск-менеджмента – вовремя задавать ключевым сотрудникам правильные вопросы, а затем собирать и анализировать ответы и доводить их до всех остальных.

Следующим шагом мы четко структурировали риски по группам, в том числе выделили две большие группы рисков: внутренние и внешние. Раньше подобного разделения не было. И в категорию наиболее существенных для компании рисков попадали только внешние. Внутренние пристально не рассматривались, из-за чего порой было сложно раскрыть потенциал, имевшийся у компании, и улучшить внутренние процессы. Для того, чтобы сбалансированно распределять наши усилия по работе с внешними и внутренними рисками, мы и осуществили такое разделение.

Группы рисков привязаны к группам целей, а каждый конкретный риск – к конкретной цели и целевому измеримому показателю: краткосрочные (оперативные), долгосрочные (стратегические) и существующие всегда (системные). Исходя из этого, структура рисков ДТЭК сегодня выглядит так:

Системные риски включают в себя:

  • риски, связанные с управлением персоналом;
  • юридические риски;
  • политические риски;
  • риски, связанные с информационными технологиями;
  • риски безопасности активов;
  • другие риски, угрожающие существованию компании.

Риски, отнесенные к стратегическим областям деятельности:

  • риски репутации;
  • инвестиционные риски и риски ликвидности в долгосрочной перспективе;
  • экологические риски;
  • риски комплайенса;
  • риски стратегических проектов (в т.ч. M&A);
  • рыночные риски (риски конкуренции и рыночной среды);
  • другие риски, непосредственно связанные с исполнением стратегии.

Среди оперативных рисков можно выделить такие:

  • риски, которые могут помешать исполнению задач бюджета;
  • риски инвестиционных проектов в рамках текущего периода;
  • налоговые риски;
  • риски текущих проектов бизнес-плана.

Замечу, что в течение года в категорию оперативных могут попадать риски и из других групп – стратегических и системных. Их мы выявляем на этапе годовой оценки для включения в годовой план действий.

Описанная структура довольно гибка и находится в постоянном процессе усовершенствования и обновления.

Почему было решено привязать риски к целям? В компании у каждого направления деятельности, функции, сотрудника есть перечень целей на год. Кроме того, есть цели и на больший срок (скажем, стратегические), в случае осуществления долгосрочных проектов. Благодаря такой прозрачной связи все понимают, чего должны достигнуть, к какому сроку и как полученный результат может отразиться на работе всей группы. Это не только повышает четкость постановки задач и ведения отчетности, но также мотивирует и способствует большей вовлеченности сотрудников в процесс.

Процесс, индикаторы и аппетиты

В компании принят цикл менеджмента и оценки рисков, который повторяется из года в год. Кроме того, проводится ежегодная актуализация стратегии и стратегических рисков. Мы осознаем, что рынок не стоит на месте, многие внешние факторы, влияющие на бизнес, меняются. Это и влечет за собой необходимость пересмотра целей и задач, а также связанных с ними рисков.

Основные этапы процесса управления рисками всегда одинаковы. Они включают в себя выявление и определение типов и видов риска, причин (факторов) его возникновения, оценку присущего риска, установление аппетита, разработку мероприятий по управлению, оценку остаточного риска, а также мониторинг.

Для получения количественной статистической оценки в нашей компании используются измерители подверженности риску, так называемые ключевые индикаторы риска (KRI – key risk indicator). Это количественный показатель, который позволяет судить об уровне фактической подверженности компании данному риску в тот или иной момент. Динамика KRI отслеживается периодически в обязательном порядке. Приведу пример: аварийность оборудования (как оперативный риск) имеет измерители в виде количества поломок, потерь от простоя рабочего процесса и восстановление нормального режима работы, затрат на восстановление и т.п.

Безусловно, не все риски можно оценить количественно. Некоторые из них, такие, например, как репутационные или экологические риски, часто оцениваются и качественно. В этом случае к цифровому значению мы добавляем буквенные шифровки (допустим, возможное наступление или ненаступление разного рода ответственности и т.д.).

Для всех рисков установлены аппетиты. Это количественные показатели – границы, определяющие максимально допустимый уровень риска, который готова принять компания (до необходимости осуществления корректирующих мер). В ДТЭК они двухуровневые.

Первый уровень – это те аппетиты, которые формируются из индикаторов. Например, если индикатор текучести кадров составляет менее 10%, то ситуация находится в пределах нормы, и никаких специальных мер в виде анализа происходящего и внедрения дополнительных стимулирующих мер осуществлять не требуется.

Второй уровень аппетитов устанавливается для агрегированных показателей, то есть тех показателей, на которые влияет риск. В нашей компании это EBITDA. В процессе утверждения риск-аппетита по этому показателю члены правления ДТЭК высказывали свои предложения: они называли сумму, потеря которой была бы приемлема для компании и обсуждали ее, и по итогам голосования риск-аппетит по EBITDA для всей группы в 2010 году был установлен на уровне 5%. После этого для каждого предприятия были рассчитаны и доведены до него его аппетиты в денежном выражении, пропорциональные его вкладу в этот показатель. Что это означает? Если отклонение фактической EBITDA того или иного предприятия от запланированной бизнес-планом в течение месяца меньше установленной цифры – специальный анализ причин отклонения может и не проводиться, либо проводиться только по запросу. В случае, если отклонение оказывается выше допустимого, наши предприятия вместе с предоставлением отчетности о выполнении плана дают нам описание причин отклонения, рисков и факторов, их вызвавших, а также список предпринятых мер и предложения по предотвращению подобных проблем в будущем. Это налаженный процесс, который мы называем бюджетным контролем. В то же время, по сути – это элементарное управление риск-аппетитами на уровне головной компании и их стандартное отслеживание.

Кроме того, раз в месяц все наши предприятия предоставляют отчеты по реализации рисков. Если соответствующий индикатор выходит за рамки аппетита, то они одновременно присылают нам анализ причин, по которым это произошло, и список мероприятий, которые будут проведены для предотвращения подобной ситуации в будущем. Отчеты периодически рассматриваются комитетом по рискам и постоянно отслеживаются нашим департаментом. Впрочем, если мы видим, что такой-то риск постоянно находится на пределе аппетита, но еще не вышел за него, мы оперативно берем его на контроль и разрабатываем мероприятия, которые позволят этот риск предотвратить, о чем будет сказано позже.

Трансформация в возможности

В целом, картина рисков по компании и направлениям ее деятельности рассматривается раз в квартал на заседании комитета по рискам. В нем помимо руководящего состава корпоративного центра принимают участие и топ-менеджеры предприятий, входящих в группу ДТЭК, а также их ключевые сотрудники. Мы разделяем риски на существенные (группа А) и несущественные (группа В). На обсуждение высшего уровня всегда выносится группа самых существенных рисков, которые могут сильно повлиять на наш бизнес. Они выявляются на основании интервью с экспертами, в том числе из профильных дирекций, дирекции по стратегии нашей группы, аналитических данных, предоставляемых предприятиями, стратегическим блоком и подготовленных риск-менеджерами, публикаций в СМИ, а также внутренней статистической информации. Существенность риска может определяться относительно денежного порога, и для предприятий нашей группы установлены такие границы существенности. Кроме порога существенности во внимание принимается экспертное мнение члена комитета по рискам. Допустим, если какой-то риск не попадает в группу существенных по денежному значению, но мы отдаем себе отчет, что он важен для компании, комитет по рискам выносит его на контроль и работает с ним.

Как пример, для ДТЭК один из самых больших рисков сегодня – это законодательные изменения. Энергетика на Украине подчиняется жесткому регулированию, и каждый новый закон, постановление или распоряжение могут повлечь за собой серьезные негативные последствия для компании.

Каждый из таких высокоуровневых рисков анализируется и отслеживается ежеквартально на уровне комитета и ежемесячно на уровне нашего департамента – мы отслеживаем тенденцию, уровень аппетита по нему в данный момент и т.п.

Именно постоянный мониторинг служит мощным инструментом предупреждения о риске. По каждой функции нашего предприятия происходит консолидация всех данных, составляется срез по компании: статистика в разных разрезах, графики, формы и анализ. Анализ включает в себя, в частности, сравнение с предыдущими периодами, с установленными риск-аппетитами по каждому показателю, с достижением или недостижением целей. К примеру, у нас оценен текущий «оперативный» уровень аварийности, и в бизнес-план мы ежегодно закладываем сумму на восстановление по результатам аварий – знаем по статистике, что они все равно в каком-то, пусть и минимальном количестве, будут происходить. В течение года мы собираем информацию о поломках, смотрим динамику в сравнении с прошлыми периодами, сопоставляем с заложенной в бизнес-план цифрой. Отслеживаем, чтобы объем их не вышел за пределы установленных аппетитов. Самая важная часть заключается в анализе причин аварийности и проведенных мероприятий. Мы смотрим, почему не дают результата те или иные разработанные мероприятия, а если они вовсе не были внедрены – то в чем были причины, и настаиваем на их разработке и т.п.. После этого все полученные и обработанные нами данные представляются в максимально удобном виде заинтересованным руководителям в виде графиков, трендов и анализа. В настоящий момент мы проводим автоматизацию работы с такими отчетами.

Вообще, во время заседаний комитета по рискам мы стараемся представить наши проблемы как наши возможности. Руководство группы изначально рассматривает риск как неопределенность, которая может дать компании позитивный потенциал, а не как проблему, от которой нужно загораживаться. Примером могут служить ситуации с изменениями регуляторных требований: предположим, конкретное постановление может негативно сказаться на нашем генерирующем блоке. До его утверждения мы уже рассматриваем все имеющиеся возможности и пытаемся понять, может ли выиграть, скажем, дистрибуция или добыча, каким образом сбалансировать работу и т.п. В итоге мы стараемся в любом случае разумно использовать любое изменение.

Безусловно, выявлением и оценкой всего нескольких существенных рисков, о которых сказано выше, наша компания не ограничивается. Мы также выявляем и отслеживаем десятки менее существенных рисков. Все они рассматриваются на уровне руководства предприятий – корпоративным центром им делегирована и возможность, и ответственность управлять рисками в рамках тех аппетитов, которые существуют внутри всей группы.

Все дело в реакции

В целом, излишне детализированные сценарии реагирования на риски мы не составляем. В то же время у нас сформулирован типовой перечень наших действий в случае реализации рискового события. При выходе значения KRI за границу, установленную риск-аппетитом, владелец риска инициирует одно или несколько действий из следующего перечня:

  • принятие экстренных мер по снижению/закрытию риска;
  • пересмотр плана мероприятий, направленных на снижение подверженности риску с обязательным информированием комитета по рискам;
  • пересмотр бизнес-плана/целевых показателей;
  • пересмотр риск-аппетита и информирование комитета по рискам (при пересмотре по существенным рискам).

Некоторые описанные выше варианты реагирования часто уже содержатся в плане действий на случай реализации худшего сценария (и глобальный пример тому – план восстановления в случае катастроф, который сегодня компания разрабатывает).

Меры могут разрабатываться владельцем риска при превышении аппетита в четко ограниченный период, если, допустим, реализация риска носит временный характер и связана с сиюминутной ситуацией на рынке, временным постановлением регулирующего органа или конкретной аварией. Это бывает чаще всего, и такое действие является обязательным, поскольку означает, что предусмотренные ранее мероприятия недостаточны для предотвращения потерь от реализации риска. В других, редких случаях, если реализовавшиеся риски носят затяжной, системный или катастрофический характер, мы можем пересмотреть аппетиты по ним или даже бизнес-план компании (то есть будут разработаны новые целевые показатели). Примером реализации такого риска был финансовый кризис.

В случае, если превысившие порог и реализовавшиеся неоднократно риски не влекут за собой существенных последствий, также может быть инициирован пересмотр величины риск-аппетита. В этом случае мы понимаем, что, возможно, установили слишком жесткий показатель.

Разумность и ответственность

За что именно отвечает департамент по управлению рисками? На примере ДТЭК могу сказать, что мы отвечаем за процесс риск-менеджмента (а не за конкретные области деятельности компании и риски в них). Наша задача – сделать его максимально эффективным. В ведении нашего подразделения находятся функции методологической поддержки, консолидации всей информации об управлении рисками и ее анализ (помимо дополнительных смежных направлений страхования и внутреннего контроля).

Что касается меня как руководителя функции, то я не несу ответственность за сами риски, их реализацию или предотвращение. Тем более что довольно часто они связаны с производственным процессом, финансами и т.п. Моя задача – провести соответствующее обучение ключевых специалистов, собрать необходимую информацию, структурировать и проанализировать ее, вовремя подать менеджерам, выстроить систему индикаторов и т.п. Но выступая при этом руководителем службы внутреннего контроля и страхования, я несу ответственность за разумное и оптимальное страхование в группе. Здесь я являюсь и владельцем процесса, поэтому не только разработка методики, требований по страхованию, определение перечня контрагентов и прочие связанные с этим задачи, но и непосредственно эффективность и результаты такой работы находятся в моей компетенции.

В целом же назначение нашей функции состоит в обеспечении информированности для разумного и ответственного принятия решений, то есть своевременном предоставлении полной картинки по рискам-возможностям, истории и предположениям ответственным лицам – руководителям. Сюда входит раннее оповещение о проблемах, анализ того, как они были решены в прошлом, и многое другое, механика чего рассматривалась выше.

При этом департамент по управлению рисками самостоятельно внутренние процессы не пересматривает. Я изначально настаивала на том, чтобы не делать из нашего подразделения отдел по улучшению операционной эффективности, по оптимизации бизнес-процессов. Этим в группе занимаются профильные дирекции, ответственные рабочие группы и менеджеры. Мы участвуем в соответствующих проводимых мероприятиях как методологи, модераторы и, безусловно, как специалисты по управлению рисками. Выясняем, в чем была причина реализации риска в прошлом (остались ли факторы, ее вызвавшие) и сегодня (где есть незакрытые области), и стараемся вместе с нашими коллегами придумать, как не допустить проблемы в будущем. Это как раз компетенция нашей функции внутреннего контроля.

Сегодня риск-менеджмент в группе ДТЭК – полностью интегрированная в ключевые бизнес-процессы функция. В ней работают 14 человек. Нами разработана и утверждена на уровне правления и других уполномоченных органов политика по управлению рисками, соответствующие методики и регламенты по направлениям, формы отчетов и планов. Мы рассматриваем и согласовываем перечень рисков, их оценку и план мероприятий по предотвращению рисков и реагированию на них, прежде чем его обсудят комитет по рискам и другие профильные комитеты и уполномоченные лица. Через наш департамент проходят все соответствующие финальные отчеты, подготавливаемые менеджерами предприятий группы для высшего руководства.

Подводя итог вышесказанному, могу сказать: за полтора года своего существования обновленная система риск-менеджмента в ДТЭК сделала процесс принятия решений более прозрачным и простым для руководителей. Надеюсь, это способствовало и повышению их качества. В том числе благодаря эффективности наших управленческих решений мы сохраняем сильные позиции на топливно-энергетическом рынке Украины. В этом у меня сомнений нет.

Ирина Андропова, руководитель департамента по внутреннему контролю и управлению рисками компании ДТЭК



Материалы по теме:

Комментарии