Четкое распределение и закрепление ролей и обязанностей по управлению рисками важно для создания прочной культуры управления рисками в организации. Мы подготовили следующие пять рекомендаций, чтобы помочь сделать управление рисками ответственностью каждого сотрудника.
Выберите модель управления рисками, подходящую для текущего уровня зрелости вашей организации
Модель управления рисками во многом зависит от ожиданий менеджмента и акционеров, от отраслевой специфики и компетенций самого менеджера по управлению рисками, от ресурсов, выделенных на ее разработку, внедрение и поддержание в актуальном состоянии. Она может быть построена на основе классической концепции трех линий защиты:
- Бизнес-подразделения: Руководители, менеджеры бизнес подразделений, а также сотрудники, несут ответственность за своевременное выявление рисков, их оценку, управление, отчетность и мониторинг в рамках своих функциональных обязанностей. Высший менеджмент и совет директоров определяют стратегию по управлению рисками, утверждают риск аппетиты, осуществляют мониторинг рисков.
- Функции риск-менеджмента: риск-менеджеры (в том числе подразделения, ответственные за вопросы безопасности, страхования, финансовый блок и т.д.) являются бизнес консультантами и несут ответственность за разработку методологии, обучение, повышение осведомленности, сопровождение процесса и поддержку. Иногда команда риск- менеджмента выполняет также функцию контроля качества и агрегированной информации о рисках.
- Внутренний аудит: Независимые органы такие как подразделения внутреннего аудита и внутреннего контроля, обеспечивают независимый контроль того факта, что риск-менеджмент организации осуществляется, как описано в схемах и процедурах, и что управление ключевыми корпоративными рисками выполняется.
Или, если того требует ситуация, может использоваться более прогрессивная модель управления рисками:
- Функция риск-менеджмента является центром компетенций по управлению рисками в компании и отвечает за независимый, своевременный и количественный анализ рисков принимаемых решений. Даная модель требует от риск-менеджера непосредственного вовлечения в процесс принятия ключевых бизнес решений и предполагает ответственность риск менеджера за принимаемые решения наравне с другими руководителями.
- В определенных случаях риск-менеджер имеет мандат блокировать чрезмерно рискованные сделки, не соответствующие стратегическим целям компании.
Личное мнение авторов, что в современных реалиях более эффективна именно прогрессивная модель управления рисками. Классическая же модель слишком идеалистична для того, чтобы эффективно функционировать в реальной жизни.
Документируйте роли и обязанности в области управления рисками в существующих должностных инструкциях, положениях о подразделениях и комитетах
Первым шагом во внедрении любой модели управления рисками является документирование ролей и обязанностей по управлению рисками.
Обычной практикой является описание ролей и обязанностей по управлению рисками в политике или положении об управлении рисками. Такой подход авторам кажется заведомо провальным, так как бизнес подразделения чаще всего рассматривают подобные документы как “технические документы риск- менеджмента”, которые не имеет отношения к каждодневному управлению бизнесом. Сотрудники не считают подобные нормативные документы «своими». Более действенный способ — это описание ролей и обязанностей в области управления рисками в существующие должностные инструкции, положения о подразделениях, положения и уставы различных комитетов и рабочих групп. Роли и обязанности по управлению рисками должны пронизывать все уровни управления. Как было определено одной из компаний, с которыми мы беседовали, это оказалось гораздо более эффективным, чем просто перечислить обязанности по управлению рисками в методологических документах по риск-менеджменту.
Актуализируйте существующие политики и процедуры с учетом рисков
Интервью риск-менеджеров на крупнейшем в России форуме «Новые горизонты корпоративного управления рисками», который прошел 4-5 апреля 2016г. в здании Правительства Москвы также помогли выявить интересные рекомендации по укреплению культуры управления рисками. Давайте рассмотрим пример, который был успешно реализован одной из компаний, с которыми мы беседовали: Вместо того, чтобы описывать процесс управления рисками в проектах в отдельном регламенте, политике или методике, компания изменила свою действующую процедуру утверждения проектов, для того, чтобы она включала подготовку и проведение анализа рисков в качестве одного из критериев утверждения проекта. Не было создано ни одного нового документа в области “риск-менеджмента”, вместо этого была изменена существующая процедура управления проектами.
Тот же самый подход может использоваться для всех ключевых процессов. Вместо единых централизованных документов по управлению рисками, владельцами которых являются риск-менеджеры, должны быть изменены существующие нормативные документы. Таким образом ответственность за соблюдение нормативных документов закрепляется за бизнес подразделениями. Из этого также следует, что не должно быть единого процесса управления рисками в компании, на его смену должны прийти множество индивидуальных подходов для каждого из ключевых бизнес процессов в организации.
Чаще проводите оценку культуры управления рисками
Все менеджеры по управлению рисками, опрошенные нами, считают, что периодические проверки уровня зрелости культуры управления рисками на самом деле помогают укрепить эту самую культуру. На рынке представлены многочисленные инструменты, предназначенные для тестирования культуры управления рисками. Выбирайте те модели зрелости, которые основаны на принципах ГОСТ Р ИСО 31000:2010. Регулярно обсуждайте культуру и отношение к риску среди высшего руководства и совета директоров, а также доводите их ожидания до сведения других сотрудников.
Включите мониторинг выполнения обязанностей по управлению рисками в процесс ежегодной оценки персонала
После того, как роли и обязанности в области управления рисками были зафиксированы в должностных инструкциях, а также уставах и положениях комитетов, они должны быть подкреплены соответствующими КПЭ, а их соблюдение должно быть оценено в ходе ежегодной/полугодовой оценки персонала (в зависимости от процедуры, установленной компанией).
Как мы уже отмечали ранее, управление рисками обязанность каждого. Однако, как показывает опыт, дополнительная ответственность редко принимается без соответствующей мотивации. Это предложение было подкреплено нашими выводами из интервью. Компании, которые документально оформили ключевые показатели эффективности управления рисками, показали значительно больший прогресс в развитии культуры управления рисками внутри организации, чем те, которые этого не сделали.
Ключевые показатели эффективности управления рисками должны быть установлены в соответствии с выбранной моделью управления рисками, как описано выше. Это означает, как правило, различные ключевые показатели для различных уровней в компании. Например, КПЭ для генерального директора может включать в себя ежегодную оценку культуры управления рисками, отчетность перед акционерами; для директора по рискам (CRO), финансового директора (CFO), операционного директора (COO) – не только показатели культуры управления рисками в их подразделениях, но и уровни остаточного риска, например, показатель RAROC (risk adjusted return on capital), количество критических операционных событий и так далее. КПЭ для сотрудников будет включать своевременный анализ рисков, принимаемых решений.