Закрыть [x]

Перейти на мобильную версию

Александр Меринов: «Не затевать революций, а пойти эволюционным путем развития риск-менеджмента»

31.05.2011

Попытки внедрения систем риск-менеджмента в телекоммуникационных компаниях предпринимались еще в 2003-2006 годах. Пионерами стали «Связьинвест», «МТС» и некоторые другие компании. Не все их эксперименты были успешны. Однако благодаря совершенствованию корпоративного управления в телекоме уже к 2007 году операторы сотовой связи лидировали в области риск-менеджмента среди предприятий нефинансового сектора. Основная причина неудач первых проектов заключалась в том, что система управления рисками была непонятна менеджменту. Руководитель отдела по управлению рисками компании "МегаФон" Александр Меринов признается, что практичная система риск-менеджмента была построена не сразу.

С чего в «МегаФоне» началось построение системы риск-менеджмента?

Должен сказать, что было две попытки создания этой системы. Обе оказались неудачными. Предпоследняя попытка, которая была предпринята в 2008 году, – это масштабное внедрение риск-менеджмента на процессном уровне, то есть снизу вверх. Но она не получила должного развития, поскольку неправильно были расставлены приоритеты. Сначала следовало завоевать внимание руководства компании и доказать ему полезность системы. А потом уже предпринимать шаги по ее дальнейшему развитию, охватывая ею подразделения компании. Только таким образом можно было заручиться поддержкой менеджеров всех уровней. Причиной неудач стало и отсутствие у системы очевидных преимуществ для функциональных направлений. Впрочем, и сама компания не была готова к полному «революционному» внедрению системы управления рисками. Возможно даже, что в тот момент «МегаФон» и не нуждался в такой системе – приоритетами компании были активное завоевание доли рынка и улучшение качества сервисов.

Руководство проанализировало все эти причины, после чего приняло решение внедрять риск-менеджмент сверху вниз. Генеральный директор компании обозначил цель, согласно которой система риск-менеджмента должна быть практичной и нацеленной на результат. А топ-менеджмент хотел видеть картину всех основных рисков и знать, что управление ими ведется соответствующим образом.

С осознанием проблем и пониманием, что должен дать риск-менеджмент, летом 2009 года мы приступили к внедрению системы. Наш подход, который был представлен руководству, включал в себя следующие составляющие:

  • развитие системы управления рисками должно идти в соответствии с этапами развития компании;
  • выполнение программы «минимум», сосредоточение на важнейших составляющих (карта рисков ТОП-20) целей компании;
  • внедрение в компании культуры управления рисками;
  • получение практического опыта, положительных примеров внутри компании, необходимо «заработать» поддержку менеджмента;
  • развитие функции управления рисками преимущественно собственными силами с использованием лучших практик;
  • развитие функции управления рисками без применения специализированных информационных систем (на первой стадии);
  • корректировка стратегии и плана дальнейшего развития по результатам первого этапа.

Мы начали работу с формирования документации: создали регламент и методологию управления рисками. При этом для нас было важно, чтобы документы не были перегружены сложными подходами к расчетам и не содержали всевозможные теоретические аспекты. Мы старались обойтись без излишнего формализма и создать документы, максимально приближенные к жизни, доступные и понятные всем менеджерам без исключения.

После принятия методологии и регламента наш отдел начал работу по составлению карты топ-рисков. Мы изначально выступали как катализатор внедрения и развития процесса по управлению рисками, взяв ответственность за процесс на себя. Выявив рисковые области, на следующем этапе встречались со всеми топ-менеджерами компании, представляли наше видение рисков. Таких бесед, можно сказать – итераций, было достаточно много. В результате большой работы менеджмента компании к декабрю 2009 года мы получили первый перечень рисков. В этом списке их было примерно 50-60. Далее мы провели оценку всех выявленных рисков, их ранжирование и получили топ-20 рисков.

Параллельно на этапе выявления рисков был создан комитет по рискам под председательством генерального директора. Поначалу в него входили 10 основных руководителей, сейчас в его составе уже 13 топ-менеджеров. И на первом заседании комитета в декабре 2009 года нами была представлена карта 20 ключевых рисков. Члены комитета имели возможность озвучить свои замечания, на основании которых наш отдел доработал карту. Единогласно она была утверждена в феврале 2010 года.

Довольно часто после выявления рисков компании перестают с ними работать, считая, что дальше делать просто нечего. Каким был ваш следующий шаг после утверждения карты рисков?

Действительно, очень многие компании останавливаются на выявлении рисков. Но это в корне неверно. Рисками необходимо управлять. Поэтому нашим следующим шагом стала разработка мероприятий по работе с рисками. И к маю 2010 года их перечень был утвержден. Этому предшествовала следующая работа. Сотрудники отдела по управлению рисками проводили встречи с владельцами рисков и ключевыми менеджерами, где обсуждали возможные планы по снижению рисков и описанию тех или иных действий. Сформулированные планы затем были согласованы с владельцами рисков и ответственными за их реализацию сотрудниками, установлены точные сроки выполнения мероприятий.

На топ-20 наших рисков пришлось около 100 мероприятий. Отмечу, что некоторые из этих мер ранее были реализованы или намечены к реализации – они являлись частью операционной деятельности подразделений. Но существенную часть составили именно те мероприятия, что были сформулированы в ходе работ по управлению рисками. К тому же все эти меры по реагированию на угрозы были вынесены на уровень комитета, установившего над ними постоянный контроль. Кроме того, мы утвердили подход к мониторингу реализации мероприятий и теперь отслеживаем сроки и качество их проведения.

Были ли какие-либо сложности при внедрении системы риск-менеджмента?

Поскольку это была не первая попытка внедрения, то весь процесс был несколько дискредитирован. Мы осознавали, что будет непросто вовлечь в него менеджмент компании. Некоторые сотрудники с осторожностью относились к системе, но большинство менеджеров понимали необходимость построения качественной системы управления рисками. В самом начале было принято решение не затевать революций, а пойти эволюционным путем, постепенно получая поддержку менеджмента. Мы показывали на конкретных примерах, как риск-менеджмент помог в решении той или иной проблемы. Допустим, с какой-то трудностью в компании постоянно сталкивался линейный менеджер и преодолевал ее самостоятельно, а до высшего руководства она не доходила. Благодаря внедренной системе появилась возможность выносить вопросы, требующие внимания руководства, наверх, что дало топ-менеджменту площадку для обсуждения всех рисков одновременно.

Но в целом, с внедрением системы сложностей не возникло. Думаю, это также связано с тем, что было принято решение действовать поэтапно.

Что представляет собой оценка рисков в компании?

Для начала хотел бы сказать, что мы выделили четыре группы рисков. Это стратегические риски, операционные риски, риски соответствия законодательству и риски отчетности. В числе стратегических, допустим, могут быть действия государства, которые повлияют на изменения в отрасли, либо действия конкурентов. Среди операционных – ключевые процессы компании, когда мы видим возможности для улучшения тех или иных процессов, но им сопутствует тот или иной риск.

Оценка рисков проводится по вероятности и по воздействию (влиянию). Часто вероятность носит экспертный характер и формируется в процентах. Свои мнения по этой составляющей оценки высказывает как владелец риска, так и отдел по управлению рисками. На основании двух точек зрения определяется общая оценка вероятности. Эта качественная оценка переводится в количественный эквивалент, что позволяет нам утверждать оценку в едином формате. К примеру, если точный процент вероятности сформулировать затруднительно, то согласно нашей методологии мы принимаем ее «плавающее» значение в диапазоне от очень низкой (0-20%) до очень высокой (80-100%). Другая составляющая – воздействие – вычисляется в денежном выражении. Безусловно, не по каждому риску нам удается посчитать в деньгах его влияние. Но там, где можно оперировать цифрами финансовой отчетности или существуют прогнозы развития рынка, мы делаем предположение, что в случае реализации риска, вероятно, возникнет такой-то ущерб.

Таким образом мы получаем взвешенную оценку по риску, после чего, как я уже сказал, производим ранжирование. Стоит сказать, что оценка риска (как и последующие переоценки) в обязательном порядке согласуется с владельцем риска, слово которого, безусловно, является решающим.

Отмечу еще, что к каждому риску привязаны факторы. Это те причины, которые его вызывают. Для одних рисков характерны внутренние факторы, для других – внешние. То есть, риск конкретизируется через те или иные факторы, и мы понимаем, за счет каких конкретных причин этот риск может быть реализован.

В чем заключаются функции комитета по рискам?

На рассмотрение этого комитета выносятся все риски. Нет риска, который бы затрагивал только одного топ-менеджера. Все они кросс-функциональны. Так как топ-менеджеры обладают опытом и знаниями в своей конкретной области и глубоко понимают специфику бизнеса компании, то при рассмотрении рисков каждый из них высказывает свое мнение, может даже поставить под сомнение тот или иной фактор или оценку риска.

Задачи комитета по рискам заключаются в следующем:

  • контроль применения процедур управления рисками с учетом всех типов рисков и уровней организационной структуры компании;
  • разрешение разногласий, возникающих в ходе процесса управления рисками;
  • утверждение карты ключевых рисков компании, их оценок, мероприятий по управлению рисками, приоритетных бизнес-процессов и/или областей для развития системы управления рисками.

На этапе становления системы мы определили, насколько часто должны проводиться заседания комитета. Для нас оптимальная периодичность – раз в квартал, когда мы представляем статус по реализации мероприятий, нацеленных на минимизацию рисков, и обновления в карте рисков (ее актуализацию). Предварительно текущий статус согласовывается с исполнителями мероприятий, а потом с владельцами рисков.

Исходя из проведения мероприятий с одной стороны, изменений внешних и внутренних условий – с другой, мы делаем вывод о том, как меняется риск. А именно что с ним происходит: понижается он или, наоборот, повышается, появляется ли какой-то новый риск, – словом, анализируем сдвиги и изменения в карте рисков. Может сложиться и так, что уровень риска повышается, даже несмотря на реализацию утвержденных мероприятий. Соответственно, мы понимаем, что предпринятых действий, которые, по нашему мнению, должны были закрыть риск, недостаточно. В таком случае оперативно принимается решение о необходимости применения дополнительных мероприятий.

За что отвечает отдел по управлению рисками?

Прежде всего скажу, что структурно мы входим в финансовое управление и функционально подчиняемся финансовому директору. В нашем отделе работают три человека, включая меня. У нас присутствует полная взаимозаменяемость по работе с рисками в той или иной области, все сотрудники вовлечены в процесс. Задачи отдела заключаются в поддержании и развитии процесса управления рисками в компании, в распространении культуры управления рисками. Также отдел отвечает, чтобы у руководства компании была уверенность в том, что:

  • наиболее критичные риски определены и отражены в карте топ-рисков;
  • разработаны и внедрены новые мероприятия по управлению топ-рисками;
  • мероприятия являются достаточными для снижения рисков до приемлемого уровня;
  • предпринятые меры позволили минимизировать топ-риски.

Сейчас действия отдела направлены на предотвращение рисков. Ведь пожар легче не допустить, чем потушить. Также и с рисками – важна и нужна профилактика. Когда риск реализуется, роль нашего отдела сводится к минимуму – в таких случаях работает весь менеджмент компании, включая все профильные подразделения. Поэтому система риск-менеджмента очень важна при раннем реагировании. Так, мы стараемся сигнализировать ключевым менеджерам, когда те или иные вещи необходимо рассмотреть, как рисковые области. Добавлю еще, что хотя карта рисков пересматривается раз в квартал, работа по их выявлению идет постоянно. Какой-то риск может выйти из топовой двадцатки, но мы про него не забываем и все время следим за его динамикой.

Как управление рисками реализовано в филиалах компании?

Пока вся работа сосредоточена в головном офисе, здесь же мы управляем основными рисками. Однако весь операционный бизнес ведется в филиалах, и руководство региональных подразделений в своей повседневной деятельности управляет всеми рисками сразу и предпринимает меры по их минимизации. В то же время для нас очень важным является взгляд на риски именно со стороны филиалов. Возможно, благодаря агрегации рисков, мы сможем определить те проблемы, которые не увидели на уровне головного офиса, либо которые казались нам менее существенными.

Поэтому мы планируем создавать подразделения риск-менеджмента в филиалах и дочерних компаниях. Конечно, часть рисков головного офиса для них будет неактуальной – в основном это стратегические риски. Но вполне логично будет выглядеть появление в наших региональных подразделениях именно операционных рисков. Всё это позволит придать единообразие процессу риск-менеджмента и включить в него операционные риски в полном объеме.

Как планируете развивать систему риск-менеджмента?

В ближайшее время нашей задачей станет разработка системы ключевых показателей риска (KRI), в рамках которой для каждого риска будет установлен собственный показатель (определенное значение). За счет этого мы сможем оперативно узнавать, что тот или иной риск вышел за допустимый предел и по нему нужно срочно принимать корректирующие действия. Значения показателей будут делиться на приемлемые, неприемлемые и критичные. Отдел по управлению рисками будет отслеживать эти показатели совместно с владельцами риска и при приближении к недопустимому уровню – незамедлительно реагировать.

В данный момент мы находимся на стадии рассмотрения вопроса о необходимости использования ИТ-решения по управлению рисками.

Почему мы сразу не стали внедрять автоматизированную систему? Дело в том, что сначала нам важно было понять, как пойдет процесс управления рисками. Ведь одно дело – написать регламент и принять методику и совсем другое – реализовать их на практике. Мы убедились, что разработанная нами система действует, она понятна менеджерам любого уровня. Но компания развивается, а вместе с ней – и система риск-менеджмента. Конечно, мы осознаем, что переход на автоматизированную систему управления рисками займет не один месяц. Это длительный процесс – ИТ-решение устанавливается, кастомизируется и отлаживается. Но за счет четкой работы мы сможем по максимуму использовать те преимущества, которые дает автоматизированная система.

Комментарий финансового директора «МегаФон» Кая-Уве Мельхорна

Какие риски и с помощью каких инструментов хеджирует ваша компания?

Компания контролирует все свои финансовые риски. Из них наиболее материальным является валютный риск. Для управления этим риском используется «естественный хедж» – компания хранит денежные средства в трех валютах (рублях, долларах и евро). При этом сумма депозитов в иностранной валюте поддерживается близкой к сумме обязательств в этой же валюте.

Процентный риск также учитывается при анализе рисков. Но он не хеджируется – по оценкам менеджмента компании, рост ставок будет происходить медленнее предлагаемых банками ставок SWAP.

Юлия Смирнова


Материалы по теме:

Комментарии