Во второй половине 2018 года вступил в силу федеральный закон №209-ФЗ «О внесении изменений в Федеральный закон «Об акционерных обществах», подписанный Президентом РФ 19 июля 2018 года. Основатель портала www.risk—academy.ru и руководитель направления международного сотрудничества АНО ДПО «ИСАР» Алексей Сидоренко убежден, что эти изменения — уникальный шанс для российских риск-менеджеров популяризировать и попытаться внедрить хорошие практики риск-ориентированного управления организацией.

 Фундамент есть, что дальше?

По мнению Алексея Сидоренко, новшества, отраженные в законе, направлены, прежде всего, на совершенствование системы управления акционерными обществами. В связи с этим он советует обратить внимание на следующий аспект: в статье 65.1 №209-ФЗ говорится, что к компетенции совета директоров (наблюдательного совета) общества относится в том числе определение принципов и подходов к организации в обществе управления рисками, внутреннего контроля и внутреннего аудита. А в статье 87.1. «Управление рисками, внутренний контроль и внутренний аудит в публичном обществе» устанавливается требование, что в публичном обществе должны быть организованы управление рисками и внутренний контроль. Причем совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие его политику в области организации управления рисками и внутреннего контроля. Для оценки надежности и эффективности управления рисками и внутреннего контроля в публичном обществе должен осуществляться внутренний аудит. Совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие политику общества в области организации и осуществления внутреннего аудита.

— Чтобы соответствовать этим требованиям, номинально достаточно разработать одну политику по управлению рисками и внутреннему контролю или две разных, и показать, что внутренний аудит риск-ориентированный и проводит оценку надежности и эффективности управления рисками и внутреннего контроля. Это, к слову, программа минимум — если реализовать только ее, организация никакой пользы не получит, — убежден Алексей Сидоренко. — Поэтому я хотел бы донести до коллег риск-менеджеров мысль о том, как используя фундамент №209-ФЗ, можно сделать нечто более полезное, нежели просто утвердить политику по управлению рисками и подготовить риск-ориентированный план аудита.

Пошаговый алгоритм уже прописан в ISO 31000:2018

Дело в том, что изменения, внесенные в закон «Об акционерных обществах» еще раз подчеркивают разделение между риск-менеджментом 1 и риск-менеджментом 2. Напомним: под первым понимается управление рисками в интересах внешних стейкхолдеров (регуляторов, акционеров, совета директоров, банков, страховых и рейтинговых агентств); под вторым — управление рисками, а скорее даже анализ рисков, в интересах руководителей, принимающих решения внутри организации. Причем риск-менеджмент 1 — та самая программа-минимум, придерживаясь которой для выполнения требований федерального закона достаточно создать подразделение по рискам и/или внутреннему контролю, разработать нормативные документы по управлению рисками и внутреннему контролю и показать, что внутренний аудит оценивает эффективность внутреннего контроля и управления рисками.

Риск-менеджмент 2 намного сложнее, и у тех, кто придерживается этого подхода, появилась уникальная возможность, выпадающая раз в десятилетие — изменился федеральный закон, и не стоит упускать шанс реализовать в сфере риск-менеджмента всё, что прежде блокировалось или игнорировалось руководством компаний.

— Можно попытаться пойти дальше, чем сказано в законе и реализовать в своей компании принципы по управлению рисками, заложенные в международном стандарте ISO 31000, также обновленном в 2018 году. Сейчас завершается его перевод на русский язык, и вскоре стандарт будет выпущен в российской редакции. Между тем ключевая мысль ISO 31000:2018 не является секретом — в нем, как и в версии 2009 года, говорится о том, что управление рисками должно быть не отдельной системой, не отдельным самостоятельным процессом, а его необходимо встраивать в ключевые процессы организации, непосредственно в процессы принятия решений, — пояснил Алексей Сидоренко.

К примеру, в пункте 5.5 ISO 31000:2018 описана подробная инструкция, как нужно действовать риск-менеджеру в процессе внедрения управления рисками. Первый шаг — разработка плана внедрения в формате дорожной карты с конкретными мероприятиями и сроками.

Второй шаг — определить ключевые процессы принятия решений.

— Я бы посоветовал, прежде всего, идентифицировать, какие типы бизнес-решений являются для организации ключевыми, например, формирование стратегии; разработка, согласование, утверждение бюджета; принятие любых инвестиционных решений; формирование производственных планов, ценообразование, осуществление закупок или работа с контрагентами; оценка эффективности деятельности и подготовка отчетности по результатам работы. Словом, нужно выбрать «лежащие на поверхности» процессы, где присутствует неопределенность и цена ошибки высока, — комментирует эксперт.

Третий шаг — необходимо проанализировать текущие процедуры принятия решений, имеющуюся нормативную базу, регламенты, положения, описывающие, как осуществляется бюджетирование, как принимаются инвестиционные решения, а также посмотреть регламент планирования, бюджетирования, закупок, процедуру по принятию инвестиционных решений. Кроме того, нужно проанализировать шаблоны, по которым принимаются решения, и посмотреть выборку этих решений в прошлом, чтобы понять, насколько адекватными они были. Если на данный момент в процессе принятия решений риски не учитываются или учитываются формально, соответственно, высока доля субъективизма и влияния ментальных ловушек.

В стандарте ISO 31000 говорится, что процессы принятия существенных решений, вероятно, необходимо видоизменить, модифицировать, сделав их более риск-ориентированными. То есть требуется не какая-то отдельная система управления рисками, которая «включается» раз в квартал для составления отчета о рисках, а важно в рамках ключевых решений изменить эти процессы таким образом, чтобы ни одно решение не могло приниматься без учета рисков. Условно: если решение по инвестиционному проекту принимается на основании NPV (Net Present Value, чистой приведенной стоимости), срока окупаемости или нормы доходности, то сама формула расчета должна измениться. Чтобы в процессе принятия, например, инвестиционного решения появился риск, NPV должен считаться иначе: так, при реализации на практике вместо одной цифры NPV может появиться диапазон – раньше принимали решение, что у проекта NPV 100 миллионов, а сейчас, если встроить в этот процесс анализ рисков и использовать современные инструменты их анализа, NPV будет уже не 100 миллионов, а может варьироваться от 80 до 95 или от 95 до 120 миллионов, появляется диапазон и доверительный интервал. В этом и есть смысл риск-менеджмента — добавить некую вариативность в принятие решений, чтобы не было иллюзии, что исход принимаемого решения гарантирован.

— Если есть риск, значит, присутствует волатильность; если есть волатильность, нельзя утверждать, что у этого инвестпроекта NPV 100 миллионов и никак иначе. Неслучайно в ISO 31000:2018 говорится, что после того, как мы определили ключевые типы решений, которые принимаются в организации, а это, по-хорошему, все ключевые бизнес-процессы, нужно по очереди брать каждый бизнес-процесс и переписывать, менять его, чтобы риски учитывались не интуитивно и не на усмотрение руководителя, а регулярно, системно, документировано. Чтобы это можно было показывать проверяющим органам, обосновывать качество принимаемых решений совету директоров, акционерам, — поясняет Алексей Сидоренко.

Четвертый шаг, обозначенный в пункте 5.5 ISO 31000:2018 — чтобы управление рисками заработало, риск-менеджеры должны разработать компетенции, шаблоны, инструменты, примеры, провести обучение, оказать методическую поддержку в процессе принятия этих решений — они должны убедиться, что руководители, принимающие соответствующие решения, имеют необходимые компетенции и инструменты для анализа рисков. Кстати, в обновленном федеральном законе упоминается, что внутренний аудит должен оценивать эффективность управления рисками, но нет ни слова о том, на что именно должен смотреть внутренний аудит при оценке эффективности. С другой стороны, закон — не место для описания таких деталей. В связи с этим Алексей Сидоренко рекомендует российским коллегам почаще обращаться к международному стандарту ISO 31000:2018, в котором четко прописан алгоритм по внедрению управления рисками. Более того, в документе указывается, что риск-менеджмент необходим не для того, чтобы раз в квартал отчитываться перед руководством компании о рисках, а для того, чтобы видоизменять существующие в организации бизнес-процессы. И этот посыл стоит взять на вооружение.

Эксперт акцентирует внимание на том, что международный стандарт не включает требований о создании отдельной службы или подразделения по управлению рисками. Также в стандарте ничего не говорится о необходимости циклично повторяемых процедур по выявлению, оценке и митигации рисков. Наоборот, международный стандарт описывает управление рисками как некий элемент каждого принимаемого в организации существенного решения.

— Уважаемые риск-менеджеры, не упустите хорошую возможность — «под соусом» закона реализовать то, для чего, собственно, и задумывался риск-менеджмент. Не игнорируйте этот шанс, потому что уже сейчас есть официальное требование о необходимости оценки внутренним аудитом эффективности управления рисками. И если внутренний аудит в теме, следит за обновлением законодательства, то будет придерживаться принципов ISO 31000:2018, где, между прочим, нет ни слова о реестрах рисков, картах и отчетах — эти инструменты устарели, и нужно идти в ногу со временем, — резюмирует Алексей Сидоренко.

Елена Восканян