ВОПРОСЫ УПРАВЛЕНИЯ И ИНСТРУМЕНТЫ РЫНКА
УДК 343.535
Четыре шага к построению риск-ориентированной модели управления компанией
В обиход риск-менеджеров, внутренних контролеров и аудиторов российских и зарубежных компаний прочно вошло определение риск-ориентированного подхода. Потенциал принятия риск-ориентированных решений может быть раскрыт в самых разных направлениях деятельности и бизнес-процессах компаний.
В рамках данной статьи мы подробно рассмотрим четыре шага, которые необходимо предпринять компаниям-лидерам, стремящимся перейти к риск-ориентированной модели управления бизнесом. Раскроем преимущества применения данной модели на практике, зададим новую роль руководителя и сотрудников службы риск-менеджмента в этом процессе.
Ключевые слова: риск, система риск-менеджмента, система корпоративного управления, эффективность риск-менеджмента, кодекс корпоративного управления.
Финансово-экономическая деятельность любой компании неотъемлемо связана с рисками, поэтому их своевременная идентификация и корректная оценка позволяет менеджменту и собственникам бизнеса более точно вырабатывать стратегию управления, принимать взвешенные управленческие решения, эффективно адаптировать организацию под изменения экономической конъюнктуры, а также инвестировать в наиболее доходные (с учетом риска) направления деятельности и финансовые инструменты. Для этого организации используют различные методы и механизмы риск-ориентированного управления, сталкиваясь при этом, однако, с определенными трудностями.
Риск-менеджеры, внутренние контролеры и аудиторы российских компаний, ответственные за внедрение и совершенствование процессов управления рисками, сталкиваются с отсутствием четких определений и системных требований к оценке и повышению качества процессов управления рисками в компаниях реального сектора экономики. Зачастую к ним предъявляются завышенные или противоречивые требования со стороны основных заинтересо-
© Теленков Е.Е., 2017
Е.Е. Теленков
ванных сторон, в том числе, со стороны совета директоров, топ-менеджмента, коллегиальных или регуляторных органов.
В работах российских и зарубежных авторов часто отсутствует единая терминологии и описание универсальных подходов в области построения риск-ориентированных моделей управления. Недостаточно освящаются вопросы интеграции элементов риск-менеджмента в процессы управления организацией. Наиболее распространенные российские и международные стандарты в области управления рисками, в том числе COSO ERM, ГОСТ Р ИСО 31000:2010, стандарты FERMA, не содержат развернутых и универсальных рекомендаций по построению риск-ориентированных систем управления предприятием. На уровне российского законодательства данный вопрос также детально не рассматривается. Впрочем, это объяснимо, так как каждая компания, корпорация, фирма имеет свою отраслевую, организационную, технологическую специфику.
Риск-менеджеры компаний вынуждены проводить самостоятельные исследования российской и международной практики в области построения риск-ориентированных моделей управления, разрабатывать собственные подходы к интеграции инструментов риск-менеджмента в систему корпоративного управления и ключевые бизнес-процессы предприятия.
При этом само понятие — риск-ориентированная система управления компанией — является достаточно неопределенным. Данный термин относительно новый в научном языке, в то время как термин «риск-ориентированный подход» уже широко применяется в научной литературе и в законодательных актах [1; 2; 3; 4; 6; 9].
Российское законодательство выделяет несколько аспектов применения риск-ориентированного подхода, в первую очередь, фокусируясь на применении риск-ориентированного подхода в контрольной и надзорной деятельности, осуществляемой государственными регулирующими и надзорными органами. Термин используется Банком России, Роспотребнадзором, Рос-технадзором, Рострудинспекцей. При этом риск-ориентированное управление рассматривается преимущественно в контексте контрольной и надзорной деятельности, осуществляемой государственными органами контроля. «Риск-ориентированность» предполагает снижение количества проводимых проверок при сохранении заданной результативности.
Согласно нормативному определению [7], риск-ориентированный подход представляет собой метод организации и осуществления государственного контроля (надзора), при котором выбор интенсивности (формы, продолжительности, периодичности) проведения мероприятий по контролю определяется отнесением деятельности юридического лица, индивидуального предпринимателя и (или) используемых ими при осуществлении такой деятельности производственных объектов к определенной категории риска либо определенному классу (категории) опасности.
В таком виде определение не может подойти для описания риск-ориентированной модели управления компанией. Оно не учитывает, что деятель-
ность компаний связана не только с контрольно-ревизионной работой, но и с управлением различными производственными целями, бизнес-процессами и связанными с ними рисками, включая производственные, экологические, финансовые, правовые аспекты и так далее. Поэтому мы разработали собственное универсальное определение риск-ориентированного управления компанией.
Итак, под риск-ориентированным управлением мы будем понимать такую модель, при которой в компании создана работоспособная система управления рисками, и эта система интегрирована во все значимые бизнес-процессы и направления деятельности, включая стратегическое, операционное и инвестиционное планирование.
Для того чтобы обеспечить полноценный переход компании на риск-ориентированную модель управления, необходимо реализовать ряд конкретных шагов, направленных на изменение существующей системы принятия решений. Для каждой компании набор данных шагов является сугубо индивидуальным, однако существует четыре общих этапа, которые применимы для всех компаний реального сектора экономики:
1. проведение оценки текущего состояния системы управления рисками и выявление ее слабых сторон;
2. согласование с менеджментом и представителями акционеров концептуальной конфигурации риск-ориентированной системы управления;
3. разработка и утверждение целевой модели и дорожной карты развития системы управления рисками;
4. обеспечение выполнения дорожной карты, включая интеграцию системы управления рисками в ключевые бизнес-процессы компании.
Первый шаг. Проведение оценки текущего состояния системы управления рисками
Детальный анализ достоинств и недостатков передовых зарубежных подходов к оценке систем управления рисками, разработанных такими крупнейшими международными компаниями, ассоциациями и институтами, как The Risk and Insurance Management Society (RIMS), Standard & Poor's (S&P), Ernst and Young, Deloitte, и McKinsey, показал, что наиболее полным и зрелым подходом к оценке систем управления рисками является подход, который базируется как на оценке соответствия систем управления рисками существующим требованиям, так и на оценке потребностей и ожиданий бизнеса.
Предлагаемая нами методика оценки системы управления рисками состоит из двух частей. В первой выполняется оценка соответствия системы управления рисками законодательным и нормативным требованиям [5; 8], применяемым по отношению к публичным компаниям реального сектора экономики, что отражено в таблице 1. Во второй части методики, приведенной в таблице 2, система управления рисками рассматривается с точки зрения соответствия ожиданиям акционеров и менеджмента.
таблица 1.
Оценка системы управления рисками на соответствие законодательным и нормативным требованиям
№ требования/рекомендации, предъявляемые к компаниям реального сектора Критерии оценки системы риск-ориентированного управления компании
1 В компании должно быть создано подразделение, осуществляющее общую координацию процессов управления рисками, включая их выявление и оценку Координирующее подразделение по рискам для осуществления кросс-функциональной координации должно быть создано и иметь соответствующий уровень подотчетности: прямое подчинение президенту компании и/или функциональное подчинение совету директоров / комитету по рискам или аудиту при совете директоров
2 В компании разработаны и действуют методические документы в области управления рисками Перечень методических документов должен соответствовать масштабу бизнеса компании. Потенциальный перечень может включать политику, положение, регламент и методические рекомендации в области управления рисками. Также необходима адаптация методических документов к организационной структуре и специфике бизнес-процессов дочерних обществ компании (в случае их наличия).
3 В компании осуществляется анализ портфеля рисков и определены критерии оценки эффективности мероприятий по управлению рисками Анализ портфеля рисков предполагает наличие компетенций в области различных категорий/групп рисков, включая производство, финансы, налоги, энергоснабжение и т. д. Для этих целей в компании необходимо определить центры экспертизы и анализа рисков в ключевых подразделениях предприятия. Также для использования критериев оценки эффективности необходимо провести работу по согласованию и утверждению данных критериев на высшем уровне управления: президент и/или совет директоров общества
4 На регулярной основе в компании формируется сводная отчетность по наиболее значимым рискам С учетом структуры компании сводная отчетность по рискам должна быть адаптирована для разных уровней управления и принятия решений, включая уровень совета директоров, уровень членов правления, уровень директоров дочерних обществ и т. д.
5 В компании осуществляется оперативный контроль за процессом управления рисками как на уровне структурных подразделений, так и на уровне дочерних обществ Оперативный контроль за процессом управления рисками достигается за счет развития центров компетенции и проверки данных самими бизнес-подразделениями, а также автоматизации процессов риск-менеджмента внутри компании. Все риски, решения по которым не выполняются должным образом, эскалируются на уровень выше в соответствии с разработанной матрицей принятия решений
Окончание таблицы
№ требования/рекомендации, предъявляемые к компаниям реального сектора Критерии оценки системы риск-ориентированного управления компании
6 Подразделение, ответственное за развитие системы управления рисками осуществляет подготовку и информирование совета директоров и исполнительных органов общества об эффективности процесса управления рисками Функциональное подчинение подразделения по рискам компании комитету по аудиту или рискам при совете директоров предполагает регулярное информирование комитета о ключевых рисках и аспектах развития системы риск-менеджмента в компании. Руководство компании должно информироваться о всех существенных рисках незамедлительно
7 В компании на регулярной основе проводится обучение работников по темам управления рисками Для крупных компаний, с учетом большого количества потенциальных участников системы управления рисками (сотни, тысячи участников), необходима разработка адаптивных обучающих курсов на базе автоматизированных решений. Специализированное углубленное обучение на регулярной основе должны проходить руководители компании, ответственные за управление рисками по основным направлениям деятельности
Источник: разработано автором.
таблица 2
Оценка риск-ориентированной системы управления на соответствие ожиданиям акционеров и менеджмента
№ Критерий оценки Описание критерия оценки системы риск-ориентированного управления
1 Адаптация и интеграция компонентов системы управления рисками в деятельность компании (все уровни управления, географические локации, ИТ-системы) 1.1. Полное соответствие регуляторным требованиям в области управления рисками. 1.2. Интеграция компонентов риск-менеджмента во все ключевые процессы, функции, бизнес-подразделения, удаленные площадки. 1.3. Интеграция риск-менеджмента со смежными функциями: внутренним аудитом, информационными технологиями, системой комплаенс, внутренним контролем. 1.4. Наличие методологии в области управления рисками (политики, стандарты и др.)
2 Реализация процесса управления рисками (все компоненты процесса представлены и слажено работают, применяются методы количественной оценки и моделирования рисков) 2.1. Исполнение всех необходимых мероприятий, предусмотренных процессом управления рисками, в том числе по выявлению, оценке, снижению и мониторингу рисков. 2.2. Использование качественных методов анализа рисков наряду с количественными методами, моделирование и анализ данных, выявление зависимостей и корреляции между рисками.
Окончание таблицы
№ Критерий оценки Описание критерия оценки системы риск-ориентированного управления
2.3. Использование ИТ-систем для оптимизации процесса риск-менеджмента внутри компании. 2.4. Доведение информации о рисках до необходимого уровня управления, на котором могут быть приняты адекватные решения в отношении риска
3 Четкое определение риск-аппетита и стратегии по рискам 3.1. Наличие у компании выстроенной стратегии управления рисками, базирующейся на целях компании. 3.2. Декомпозиция риск-аппетита до уровня отдельных ключевых рисков через толерантность к риску. 3.3. Понимание и использование менеджментом принципа «риск-доход» при принятии управленческих решений в отношении рисков. 3.4. Наличие контрольных механизмов, обеспечивающих оценку и удержание риска в границах риск-аппетита
4 Качество покрытия рисков Идентификация реальных проблем (первопричин) рисков 4.1. Анализ причин и выявление реальных факторов риска, а также привязка данных причин к бизнес-процессам, функциям и ответственным менеджерам компании. 4.2. Анализ рисков с учетом факторов, связанных с людьми, внешней средой, системами и процессами, репутацией, их возможными взаимосвязями. 4.3. Сфокусированность менеджмента на глобальных (масштабных) рисках, присущих деятельности предприятия. 4.4. Участие ключевых сотрудников компании в работе с рисками. 4.5. Полнота информации (баз данных по рискам)
5 Риск-менеджмент как неотъемлемая часть работы по управлению непрерывностью бизнеса 5.1. Готовность менеджмента управлять рисками, которые не имеют существенную силу в настоящий момент, но могут оказать существенное воздействие на организацию в будущем. К таким рискам относятся и экономические потрясения, стихийные бедствия и техногенные катастрофы. 5.2. Наличие системы мониторинга рисков, а также четкий план действий и ресурсы, которые позволят организации преодолеть возможные трудности с минимальными потерями
6 Построение сильной организационной структуры, механизмов надзора за системой управления рисками 6.1. Надлежащий уровень подотчетности руководителя подразделения риск-менеджмента компании (президенту / совету директоров). 6.2. Четкое определение и формализация ключевых ролей, зон ответственности и полномочий, относящихся к управлению рисками. 6.3. Наличие утвержденных метрик (критериев качества) для оценки системы управления рисками компании. 6.4. Эффективный независимый надзор над работой системы управления рисками со стороны совета директоров и аудита
Источник: разработано автором.
При оценке системы управления рисками необходимо принимать во внимание, каким образом система адаптирована к особенностям бизнес-процессов, стадии роста и развития компании, а также структуры группы предприятий, которую она охватывает.
Проведение диагностики риск-ориентированной системы управления компании позволяет выявить области ее дальнейшего совершенствования и определить наиболее уязвимые зоны управления, среди которых может быть слабая интеграция риск-менеджмента с ключевыми процессами управления предприятием или отсутствие должной интеграция с функциональными системами риск-менеджмента, обеспечивающими управление отдельными группами/категориями рисков, такими как стратегические, технико-производственные, проектные, налоговые, финансовые риски и др.
Результаты оценки должны стать основой разработки целевой модели и дорожной карты развития риск ориентированной модели управления компанией.
Второй шаг. Согласование с менеджментом
и представителями акционеров концептуальной конфигурации риск-ориентированной системы управления
Руководство и акционеров компаний зачастую интересуют вопросы: «Какие конкретно элементы системы управления рисками должны быть развернуты?», «Каким образом они интегрируются с существующей системой менеджмента компании?», «Учитывают ли они сложную структуру группы, а также как будет обеспечен надзор за работой системы риск-менеджмента?». Для ответа на них нами предложена концептуальная схема интеграции системы управления рисками и системы менеджмента на примере Горно-металлургической компании (ГМК) «Норильский никель». Данная схема предусматривает, что на разных уровнях управления организацией происходит внедрение различных компонентов системы риск-менеджмента, что позволяет преобразовать систему менеджмента компании, адаптировав ее к постановке и принятию управленческих решений с учетом факторов риска, то есть трансформировать систему менеджмента в риск-ориентированную систему управления, как это показано на рисунке 1.
В левой части на рисунке 1 представлена существующая вертикаль системы менеджмента компании, а в правой — компоненты системы управления рисками, декомпозированные для каждого уровня управления. Стрелками на схеме определены условия, обеспечивающие эффективность интеграции обеих систем.
Согласно разработанной концепции, на верхнем уровне, в рамках системы корпоративного управления (уровень I), требуется внедрение таких компонентов системы управления рисками, как: риск-аппетит, политика в области управления рисками, заявление/декларация совета директоров о необходимости внедрения системы, определение полномочий и уровня подчиненности главного риск-менеджера компании.
Рисунок 1. Концептуальная схема интеграции системы управления рисками и системы
менеджмента Источник: разработано автором.
На уровне исполнительных органов управления компанией (уровень II) делается акцент на определении ролей и полномочий участников системы управления рисками, утверждении плана / дорожной карты развития системы, рассмотрении отчетности по ключевым рискам организации на регулярной основе, а также разработке нормативно-методических документов, регламентирующих процессы управления рисками.
На уровне основных функциональных единиц и направлений бизнеса (уровень Ш-а), на примере «Норильского никеля», это: геологоразведка, производство, транспорт и логистика и так далее. Система управления рисками должна обеспечивать формирование производственных планов и постановку КПЭ с учетом факторов риска, выделение инвестиций на выполнение мероприятий по управлению существенными рисками, обучение и развитие сотрудников теоретическим аспектам и практическим навыкам риск-менеджмента, а также тиражирование компонентов системы управления рисками в производственные и управленческие процессы.
На уровне вспомогательных/поддерживающих бизнес и функциональных направлений (уровень Ш-б), таких как управление финансами, стратегическое планирование, управление персоналом и так далее, задается общая методология и определяются подходы к работе с рисками, между различными системами обеспечивается свободный обмен информацией обо всех существенных рисках, в том числе посредством автоматизации процессов риск-менеджмента. На этом уровне необходимо осуществлять работу по обучению и развитию персонала в области управления рисками, обеспечивать методическую помощь в части развития отдельных направлений риск-менеджмента со стороны подразделения, ответственного за поддержание и развитие системы управления рисками.
Согласно разработанной концепции, эффективность внедрения системы управления рисками достигается: на уровне I — через интеграцию риск-менеджмента в миссию, философию и политику организации; на уровне II — за счет вовлечения руководства компании в вопросы управления рисками; на уровне Ш-а — через интеграцию риск-менеджмента с системой постановки и контроля операционных целей и показателей; на уровне Ш-б — через интеграцию и обмен информацией о рисках.
На втором шаге от компаний требуется адаптировать данную концептуальную схему к реалиям собственной системы управления и запустить конструктивный диалог по ее детальному рассмотрению между представителями акционеров и менеджментом компании. Результатом данного диалога должна стать согласованная позиция в отношении общей конфигурации риск-ориентированной системы управления компанией, сформированная целевая модель и дорожная карта развития системы.
Третий шаг. Разработка и утверждение целевой модели и дорожной карты развития системы управления рисками
Внедрение системы управления рисками в стабильную бизнес-среду зрелой компании с устоявшимися процессами, организационной структурой, механизмами принятия решений является сложным многоэтапным процессом.
Основные вопросы, возникающие в процессе внедрения:
1. какие внутренние услуги служба риск-менеджмента готова предоставлять менеджменту;
2. каким образом внедрение системы управления рисками изменит существующие бизнес-процессы предприятия;
3. как новая система будет интегрирована с уже существующими функциональными системами риск-менеджмента, покрывающими отдельные категории/группы рисков, включая финансовые риски, риски ПБиОТ (промышленная безопасность и охрана труда), экологические риски.
Наше исследование показало, что существующая методологическая база не позволяет ответить на данные вопросы в привязке к деятельности крупной компании реального сектора экономики. Российские и зарубежные компании, определяя периметр и специфику внедрения риск-менеджмента, опираются в основном на лучшие практики других компаний, требования регуляторов, рекомендации международных стандартов. В этой связи для целей внедрения риск-ориентированной системы управления компаниям требуется сформировать собственную целевую модель развития системы управления рисками, состоящую из трех частей, представленных на рисунках 2—4.
Разработка и согласование с менеджментом и акционерами компании данной модели позволят определить баланс в отношении необходимого количества изменений в бизнес-процессах и организационной структуре компании, выявить существующие точки компетенции в области управления рисками внутри компании, корректно позиционировать деятельность службы риск-менеджмента в организации, установить критерии оценки риск-ориентированной системы управления, перейти к этапу внедрения риск-ориентированной системы управления в деятельность предприятия.
Четвертый шаг. Обеспечение выполнения дорожной карты, включая интеграцию системы управления рисками в ключевые бизнес-процессы компании
Последовательная работа по развертыванию риск-ориентированной системы управления компанией включает в себя преобразование ключевых бизнес-процессов в части внедрения элементов системы риск-менеджмента. К таким процессам относятся стратегическое планирование, бизнес-планирование и бюджетирование, страхование.
Внедрение компонентов системы управление рисками в процесс бизнес-планирования и бюджетирования позволяет компаниям переходить к модели риск-ориентированного планирования, обеспечивая надлежащий
1. Разработка и утверждение Политики компании в области управлении рискам и. Разработка и утверждение нормативных документов, регламентирующих систему и процесс управления рисками.
2. Разработка предложений касательно интеграции процесса риск-менеджмента и процессов бизнес-планнровання и бюджетирования, включая формирование предложений по внесению изменений в действующие и разрабатываемые нормативные документы.
3. Создание «института» риск-экспертов: сотрудников компании вовлеченных в административные процессы и методическую работу по риск-менеджменту, организация их обучения и поддержание квалификации.
4. Автоматизация процессов управления рисками, включая процессы сбора и анализа информации по рискам, подготовки отчетности по рискам.
5. Разработка или содействие в разработке прикладных специфических методических документов по управлению рисками (по запросу со стороны структурных подразделений).
6. Разработка рекомендаций по ключевым показателям эффективности для владельцев рисков. Внедрение рекомендации в процесс постановки и оценки ключевых показателей.
ж
1. Обеспечение систематической работы (процесса) риск-менеджмента на уровне структурных подразделений компании, включая этапы: регулярною выявления рисков, их оценки, разработки и реализации мероприятий по управлению рисками, формирования отчетности по рискам.
2. Сбор информации по всем рискам компании. Проведение экспертного анализа отчетности по рискам, поступающей от структурных подразделений компании на регулярной основе. Формирование и совместная проработка предложений/ дополнений к поступающей отчетности.
3. Поддержание процесса сбора, анализа., консолидации и хранения информации о рисках и мероприятиях по управлению рисками, в т.ч. оценка статуса исполнения мероприятий, анализ причин (факторов) реализации рисков,
4. Вынесение спорных/комплексных вопросов, связанных с управлением рисками, на рассмотрение правления/комитета по управлению рисками. Подготовка и представление экспертных заключений/мнения службы риск-менеджмента в отношении рассматриваемых вопросов по рискам.
5. Подготовка разделов по рискам для квартальной и годовой отчетности компании на регулярной основе.
1.4. МОД ЕЛИ РОВ Al ШЕ И АНАЛИЗ ДАШ 1ЫХ
1. Разработка моделей количественной оценки рисков, включая анализ цепочек создания стоимости, источников^ факторов возникновения рисков, исследование и учет в моделях взаимосвязей между различными факторами риска.
2. Количественная оценка рисков Fia базе разрабатываемых моделей, включая оценку критических тех ни непроизводственных рисков, оценку рисков максимально-возможных убытков, оценку рыночных и финансовых рисков,
3. Формирование предложении но определению границ допустимости риска (на базе модели количественной оценки риска): риск-аппетита и уровней толерантности к рискам.
4. Верификация н обратное тестирование моделей на регулярной основе.
1,3. РАЗВИТИЕ ПРОЦЕССОВ НЕПРЕРЫВНОСТИ БИЗНЕСА
1. Информирование руководства компании (заинтересованные стороны) о целях, задачах и преимуществах развития системы управления непрерывностью бизнеса. Обсуждение н согласование подхода к реализации работ.
2. Разработка и утверждение пшитики компании в области управления непрерывностью бизнеса и других нормативных документов (при необходимости),
3. Определение периметра развития системы (риски, активы, функциональные подразделения).
4. Проведение диагностики текущего состояния системы управления непрерывностью бизнеса. Разработка и утверждение плана развития системы.
5. Исполнение мероприятий, включая разработку и утверждение планов непрерывности деятельности.
6. Проведение экспертизы состояния системы управления непрерывностью бизнеса на регулярной основе. Контроль выполнения корректирующих мероприятий.
Рисунок 2. Целевая модель развития системы управления рисками: направления развития службы риск-менеджмента Источник: разработано автором.
учет и управление рисками в рамках существующей системы принятия управленческих решений.
При формировании производственных планов и бюджетов структурные подразделения компании должны выявлять и анализировать риски, которые могут оказывать негативное влияние на цели компании, в том числе, производственные и бюджетные показатели.
Для всех выявленных рисков должна быть произведена их оценка, определены методы реагирования и разработаны планы мероприятий по
ОБЕСПЕЧЕНИЕ ИНТЕГРАЦИИ РИСК-МЕНЕДЖМЕНТА С ФУНКЦИОНАЛЬНЫМИ/ МЕЖФУНКЦИОНАЛЬНЫМИ СИСТЕМАМИ РИСК-МЕНЕДЖМЕНТА КОМПАНИИ
Функциональные и межфункциональные системы риск-менедкмента
на в ы ходе со стороны службы ри ос-менеджмента:
1. Методология в области управления рисками. в т.ч. единые термины II и и реяслс нш ириицииы функционирования риск-менеджмента, ру.щ ключевых участников и н\ 10 1 мсЧ-0 14
2, Информация о рисках. формируемая и рамкак системы управления рисками.
3. Методологнческое содействие в разработке дизайна систем управления функциональными и межники»(.игпьиымн рисками. Рекомендации но доработке действующи* систем.
4, О&учение и профессионалы»« развитие участников КСУР.
ка входе в служку риск-менеджмента;
1.1 [о.тробнач информация о рисках, их оценка«, мероприятиях по управлению рисками, формируемая & рамках функциональных и межфу н кино нал ьных систем управления рисками. 2. Результаты экспертизы рисков, находящихся в зоне компетенции отраслевых экспертов. 3. Рекомендации касательно совершенствования корпоративной системы управления рисками, в т.ч. в части повышения эффектнапоетн взаимодействия между различными системами риск-менеджмента.
система управления финансовыми рисками
система управления рисками в области ЭК01 Юм ической безопасности
система управления рисками в области промышленной безопасности и охраны труда
СИСТЕМА УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ РИСКАМИ
СИСТЕМА УПРАВЛЕНИЯ СТРАТЕГИЧЕСКИМИ РИСКАМИ
система управления налоговыми рисками
СИСТЕМА УПРАВЛЕНИЯ ИМИДЖЕВЫМИ РИСКАМИ
СИСТЕМА УПРАВЛЕНИЯ СОЦИАЛЬНЫМИ РИСКАМИ
система управления экологическими рисками
система управления проектными рисками
СИСТЕМА УПРАВЛЕНИЯ РИСКОМ КОМПЛАЕНС
СИСТЕМА УШ'ЛВЛЕТИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
Рисунок 3. Целевая модель развития системы управления рисками: интеграция системы управления рисками с функциональными системами риск-менеджмента Источник: разработано автором.
снижению данных рисков до приемлемого уровня (до уровня риск-аппетита). Расходы на выполнение мероприятий по управлению рисками, а также положительный эффект от реализации мероприятий должны учитываться в бюджете соответствующих подразделений компании.
В случае изменения профиля рисков (например, при выявлении новых рисков или переоценке ранее выявленных рисков) должны пересматриваться соответствующие целевые показатели производственной программы и бюджета.
При реализации практических шагов по внедрению риск-менеджмента в процесс бизнес-планирования и бюджетирования необходимо фокусироваться на:
— процессе управления рисками, включая участие производственных подразделений, службы риск-менеджмента, экономических подразделений, бюджетного комитета и совета директоров;
— описании ролей и полномочий основных участников процесса;
— требованиях к полномочиям и уровню подчиненности руководителя службы риск-менеджмента;
ОБЕСПЕЧЕНИЕ ВЗАИМОДЕЙСТВИЯ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ СО 1 СМЕЖНЫМИ ПРОЦЕСС АМИ:
БИЗНЕС-ПЛАН И ГОВ АННЕ И БЮДЖЕТИРОВАНИЕ
НА ВЫХОДЕ ИЗ СЛУЖБЫ РИСК-МЕНЕДЖМЕНТА^^
L Методология выявления и оценки рисков в рамках бюджетных процессов.
2. Экспертный анализ отчетности по рискам. Рекомендации по улучшению,
НА ВХОДЕ В СЛУЖБУ РИСК-МЕНЕДЖМЕНТА:
1. Информация о рисках, включенных в отчетность по бизнес-плану (бюджету), включая оценку воздействия рисков ita целевые показатели деятельности.
2. Информация о мероприятиях по управлению рисками, в т.ч. забюджетированные средства.
СТРАТЕГИЧЕС КОЕ Г! ЛАНИ РОВ АН ИЕ
НА ВЫХОДЕ ИЗ СЛУЖБЫ РИСК-МЕНЕДЖМЕНТА^^*
1. Отчетность об актуальных стратегических рисках Компании.
2. Результаты оценки влияния рисков на стратегические цели и задачи компании.
3. Рекомендации по «преломлению» стратегических рисков к краткосрочному горизонту планирования (для повышения степени их управляемости),
—► НА ВХОДЕ В СЛУЖБУ РИСК-МЕНЕДЖМЕНТА:
]. Стратегические цели и приоритеты развития Компании. Актуальная стратегическая модель компании.
2. Видение/позиция менеджмента в отношении стратегических рисков их оценок и мероприятий по управлению ими.
КОРПОРАЦИИЮЕ СТРАХОВАНИЕ
НА ВЫХОДЕ ИЗ СЛУЖБЫ РИСК-МЕНЕДЖМЕНТА^^
1. Информация о рисках, формируемая в рамках системы управления рисками, в т.ч. результаты количественной оценки рисков,
2. Планы непрерывности бизнеса.
3. Оценка эффекта потенциального снижения максимально возможных убытков в результате внедрения планов непрерывности бизнеса.
ПА ВХОДЕ В СЛУЖБУ РИСК-МЕНЕДЖМЕНТА:
1. Отчеты от страховщиков и сюрвейеров, включая: оценку максимально возможных и нормально ожидаемых рисков компании, рекомендации по снижению рисков.
2. Информация о доступных страховых программах.
ВНУТРЕННИЙ КОНТРОЛЬ
НА ВЫХОДЕ ИЗ СЛУЖБЫ РИСК-МЕНЕДЖМЕНТА^^
1. Информация о ключевых рисках компании их оценке, мероприятиях по управлению ими.
2. Методология работы с рисками, включая рекомендации по выявлению, описанию и оценке/ ранжированию рисков.
3. План развития корпоративной системы управления рисками (для интеграции).
НА ВХОДЕ В СЛУЖКУ РИСК-МЕНЕДЖМЕНТА:
1. Информация о рисках бизнес-процессов и их оценке.
2. Информация о контрольных процедурах, рассматриваемых в рамках системы мероприятий но управлению рисками, в т.ч. результаты оценки эффективности контрольных процедур.
3. План развития системы внутреннего контроля (для интеграции).
Рисунок 4. Целевая модель развития системы управления рисками: интеграция системы управления рисками со смежными бизнес-процессами Источник: разработано автором.
— требованиях к инструментам, применяемым для анализа рисков, включая риск-аппетит и стресс-тестирование;
— требованиях к целеполаганию и установлению целевых ориентиров.
Данный подход позволит обеспечить своевременное выявление и анализ рисков, влияющих на производственную программу и бизнес-план, разработать и защитить на бюджетном комитете расходы на мероприятия по снижению критических рисков компании до приемлемого уровня (уровня риск-аппетита), перераспределить затраты за счет инвестирования в наиболее рисковые области.
Последовательная реализация всех четырех шагов, описанных в статье, позволяет провести полноценную диагностику системы управления, оценить ее потенциал и возможные проблемы, связанные с переходом на
риск-ориентированную модель управления. Важную роль будет играть поддержка изменений со стороны акционеров и топ-менеджеров компании. Структурная перестройка ключевых бизнес-процессов может занимать продолжительное время. На этом этапе одной из основных задач руководителя службы риск-менеджмента является обучение, последовательное разъяснение руководителям и сотрудником компании целей и задач таких преобразований, демонстрация практических результатов от применения риск-ориентированной модели управления для компании.
Литература
1. Голубтский Ю.М. Применение риск-ориентированного мышления в новой версии стандарта ISO 9001:2015 / Голубинский Ю.М., Елистрато-ва А.Г., Пискунова В.А., Чернова Е.С. // Измерение. Мониторинг. Управление. Контроль. 2016. № 2 (16). С. 21—27.
2. Домников А.Ю. Риск-ориентированный подход к управлению долгосрочной устойчивостью нефтегазовых компаний при реализации инвестиционных проектов / Домников А.Ю., Чеботарева Г.С., Хоменко П.М., Ходоровский М.Я. // Вестник УрФУ. Серия: Экономика и управление. 2015. Т. 14. № 4. С. 604—621.
3. Иванов О.Б. Глобальные риски и тенденции современного мира // ЭТАП: Экономическая Теория, Анализ, Практика. 2017. № 1. С. 7—20.
4. Иванов О.Б. Построение риск-ориентированной системы внутреннего контроля и аудита в крупной корпорации (на примере ОАО «Российские железные дороги») // Вестник российского экономического университета имени Г.В. Плеханова. 2015. № 6. С. 26—39.
5. Кодекс корпоративного управления, утвержденный Советом директоров Банка России от 21 марта 2014 г. // Ассоциация независимых директоров, Москва. [Электронный ресурс]. URL: http://www.nand.ra/professional-information/corporate-governance-code (дата обращения: 20 мая 2017 года).
6. Корнеева В.Ю., Щипанов Е.Ф. Риск-ориентированная система управления промышленными корпоративными структурами в современных условиях хозяйствования / Корнеева В.Ю., Щипанов Е.Ф. М.: Вестник Донского государственного технического университета. 2010. Т. 10. № 5 (48). С. 798—807.
7. Федеральный закон от 26 декабря 1995 года № 208-ФЗ (ред. от 29 июня 2015 года) «Об акционерных обществах» [Электронный ресурс]. URL: http://base.garant.ru/10105712/ (дата обращения: 20 мая 2017 года).
8. Федеральный закон от 26 декабря 2008 года № 294-ФЗ (ред. от 1 мая 2016 года) «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», Статья 8.1, 2017. [Электронный ресурс]. URL: http://base.garant.ru/12164247/ (дата обращения: 20 мая 2017 года).
9. Филатов А.А. и др. Управление рисками, аудит и внутренний контроль: Практически рекомендации. Издательские решения, 2015. 248 с.
References
1. Golubinskiy Y.M. Primenenie risk-orientirovannogo myshleniya v novoj versii standarta ISO 9001:2015 [Application of risk-oriented thinking in the new version of standard ISO9001:2015] / Golubinskiy Y.M., Elistratova A.G., Piskunova V.A., Chernova E.S. // Izmerenie. Monitoring. Upravlenie. Kontrol' [Changing. Monitoring. Management. Control], 2016, no. 2 (16). Pp. 21—27.
2. Domnikov A.Y. Risk-orientirovannyj podhod k upravleniyu dolgosrochnoj ustojchivost'yu neftegazovyh kompanij pri realizacii investicionnyh proektov [Risk-oriented approach for the management of long-term stability of oil and gas companies during realization of investment projects] / Domnikov A.Y., Chebotareva G.S., Khomenko P.V., Khodorkovskiy M.Y. // Vestnik UrFU. Seriya: EHkonomika i upravlenie [Vestnik UrFU. Series: Economic and management], 2015. Vol. 14, no. 4, pp. 604—621.
3. Ivanov O.B. Izmerenie. Monitoring. Upravlenie. Kontrol' [Global risks and tendencies of modern world] // ETAP: Ekonomicheskaya Teoriya, Analiz, Praktika [ETAP: Economic Theory, Analyze, Practice], 2017, no. 1, pp. 7—20.
4. Ivanov O.B. Postroenie risk-orientirvoannoj sistemy vnutrennego kontrolya i audita v krupnoj korporacii (na primere OAO «Rossijskie zheleznye dorogi») [Development of risk-oriented internal control and audit system for a large corporation (at the example of OJSC «Russian railways»)] // Vestnik rossijskogo ehkonomicheskogo universiteta imeni G.V. Plekhanova [Herald of Russian economic university of G.V. Plekhanov]. 2015, no. 6,pp. 26—39.
5. The corporate management code, approved by the Board of Russian bank from 21 march 2014 // Association of independed directors, Moscow. Available at: http://www.nand.ru/professional-information/corporate-governance-code (accessed 20 May 2017).
6. Korneeva VY., Shipanov E.F. Risk-orientirovannaya sistema upravleniya promyshlennymi korporativnymi strukturami v sovremennyh usloviyah hozyajstvovaniya [The risk-oriented management system of production corporate structures in the modern management conditions] / Korneeva V.Y., Shipanov E.F. Vestnik Donskogo gosudarstvennogo tekhnicheskogo universiteta [Herald of Donskoy government Technology University], 2010. Vol. 10, no. 5 (48). Pp. 798—807.
7. Federal statute from 26 December 1995 No. 208-FS (redaction from 29 June
2015) «About joint-stock companies»/ 2017. Available at: http://base.garant. ru/10105712/ (accessed 20 May 2017).
8. Federal statute from 26 December 2008 No. 294-FS (redaction from 1 May
2016) «About protection of juridical persons and Private Entrepreneursin the exercise of government control (surveillance) and municipal control», article 8.1, 2017. Available at: http://base.garant.ru/12164247/ (accessed 20 May
2017).
9. Filatov A.A. and others. Upravlenie riskami, audit i vnutrennij kontrol': Prakticheski rekomendacii. [Risk management, audit and internal control: practical recommendations], Izdatel'skie resheniya [Publishingdecisions], 2015. 248 p.