Разработка структуры управления рисками должна способствовать интеграции процесса управления рисками в процесс принятия решений и общего управления организацией.  Организации со зрелой риск-культурой обеспечивают условия, в которых соответствующие методы оценки риска и принятия решений используются для различных целей, например:

• Влияние колебаний ликвидности, иностранной валюты или других финансовых рисков на цели может быть проанализировано с использованием моделирования Монте-Карло, анализа чувствительности или иных соответствующих методов.
• Риски, связанные с подрядчиками и ключевыми поставщиками, могут быть измерены с использованием методологии оценки риска или базовой методики оценки качества.
• Риски, связанные с проектами или инвестициями, также могут быть измерены с использованием планирования сценариев или моделирования Монте-Карло с помощью чистой приведенной стоимости или выполнения моделирования Монте-Карло графика / бюджета проекта.

Выбор метода оценки риска будет зависеть от наличия ресурсов:

• Временные ограничения, имеющиеся знания, человеческие, финансовые и другие ресурсы.
• Качество, количество, целостность, своевременность, валюта, точность, надежность, согласованность данных и способность их собирать.
• Сложность рисков, взаимозависимость и сложность систем управления.

Некоторые методы и степень детализации анализа могут быть предусмотрены законодательством.

Вне зависимости от используемой методики оценки рисков руководители рисков должны обеспечить полную прозрачность выбора инструмента и ключевые допущения, сделанные в ходе оценки риска. Ограничения, неопределенности и допущения, влияющие на оценку риска, должны быть четко рассмотрены на каждом этапе оценки риска и задокументированы прозрачным образом. Лица, принимающие решения, могут использовать источники информации, такие как исторические данные, опыт, обратную связь с заинтересованными сторонами, наблюдение, прогнозы и заключение экспертов, однако они всегда должны учитывать соответствующие объяснения для поддержки своих и других заинтересованных сторон.

Это может охватывать:

• Факторы, которые они могли включить или исключить из оценки риска.
• Допущения, которые они сделали.
• Расхождение во мнениях между участниками при проведении оценки риска.
• Оценку взаимосвязи различных данных нескольких участников.
• Ограничения используемых методов и способы их решения (или отсутствие решения).
• Ограничения на надежность или качество используемых данных.

Следует проявлять дополнительную осторожность при использовании методов оценки риска из-за влияния когнитивных искажений и фундаментальных недостатков разработки в качественных оценках риска, как описано в [1][1].

Риск-менеджеры (эксперты)  должны выбрать пример прошлых оценок риска для проверки того, что информация о допущениях и ограничениях отдельных методов оценки риска была записана и раскрыта всем заинтересованным сторонам. Риск-менеджеры (эксперты) должны проверить, подходят ли методы оценки риска (изложенные на этапе разработки структуры управления рисками) для различных типов решений, внутреннего и внешнего контекста организации.

[1] Thomas, Philip & Bratvold, Reidar & Bickel, J. (2013). Риск использования матриц риска. SPE Экономика и менеджмент. 6. 10.2118 / 166269-МС. Ограничения качественных методов оценки рисков должны раскрываться менеджерами по рискам.

Подробнее на https://risk-academy.ru/%d0%be%d1%86%d0%b5%d0%bd%d0%ba%d0%b0-%d0%b7%d1%80%d0%b5%d0%bb%d0%be%d1%81%d1%82%d0%b8-%d1%80%d0%b8%d1%81%d0%ba-%d0%bc%d0%b5%d0%bd%d0%b5%d0%b4%d0%b6%d0%bc%d0%b5%d0%bd%d1%82%d0%b0/

Тренд

В 2019 году повысилась информированность руководства: доля организаций, в которых существенная информация о рисках доводится до сведения руководства вовремя и в полном объеме и руководство поощряет полное и своевременное предоставление информации о рисках и открыто обсуждает такую информацию, стало больше на 4 п.п. Доля организаций, в которых неохотно обсуждают информацию о рисках в процессе принятия решений или замалчивают ее, стала меньше на 5 п.п.

Особенности

Все опрошенные многоотраслевые холдинги доводят существенную информацию до сведения руководства вовремя и в полном объеме; в них руководство поощряет полное и своевременное предоставление информации о рисках и открыто обсуждает такую информацию.

Семьдесят процентов организаций с выручкой от 100 до 500 млн долл. США по большей части доводят существенную информация о рисках до сведения руководства.

Скачать исследование целиком: https://risk-academy.ru/download/risk-maturity-2019/

Во второй половине 2018 года вступил в силу федеральный закон №209-ФЗ «О внесении изменений в Федеральный закон «Об акционерных обществах», подписанный Президентом РФ 19 июля 2018 года. Основатель портала www.risk—academy.ru и руководитель направления международного сотрудничества АНО ДПО «ИСАР» Алексей Сидоренко убежден, что эти изменения — уникальный шанс для российских риск-менеджеров популяризировать и попытаться внедрить хорошие практики риск-ориентированного управления организацией.

 Фундамент есть, что дальше?

По мнению Алексея Сидоренко, новшества, отраженные в законе, направлены, прежде всего, на совершенствование системы управления акционерными обществами. В связи с этим он советует обратить внимание на следующий аспект: в статье 65.1 №209-ФЗ говорится, что к компетенции совета директоров (наблюдательного совета) общества относится в том числе определение принципов и подходов к организации в обществе управления рисками, внутреннего контроля и внутреннего аудита. А в статье 87.1. «Управление рисками, внутренний контроль и внутренний аудит в публичном обществе» устанавливается требование, что в публичном обществе должны быть организованы управление рисками и внутренний контроль. Причем совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие его политику в области организации управления рисками и внутреннего контроля. Для оценки надежности и эффективности управления рисками и внутреннего контроля в публичном обществе должен осуществляться внутренний аудит. Совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие политику общества в области организации и осуществления внутреннего аудита.

— Чтобы соответствовать этим требованиям, номинально достаточно разработать одну политику по управлению рисками и внутреннему контролю или две разных, и показать, что внутренний аудит риск-ориентированный и проводит оценку надежности и эффективности управления рисками и внутреннего контроля. Это, к слову, программа минимум — если реализовать только ее, организация никакой пользы не получит, — убежден Алексей Сидоренко. — Поэтому я хотел бы донести до коллег риск-менеджеров мысль о том, как используя фундамент №209-ФЗ, можно сделать нечто более полезное, нежели просто утвердить политику по управлению рисками и подготовить риск-ориентированный план аудита.

Пошаговый алгоритм уже прописан в ISO 31000:2018

Дело в том, что изменения, внесенные в закон «Об акционерных обществах» еще раз подчеркивают разделение между риск-менеджментом 1 и риск-менеджментом 2. Напомним: под первым понимается управление рисками в интересах внешних стейкхолдеров (регуляторов, акционеров, совета директоров, банков, страховых и рейтинговых агентств); под вторым — управление рисками, а скорее даже анализ рисков, в интересах руководителей, принимающих решения внутри организации. Причем риск-менеджмент 1 — та самая программа-минимум, придерживаясь которой для выполнения требований федерального закона достаточно создать подразделение по рискам и/или внутреннему контролю, разработать нормативные документы по управлению рисками и внутреннему контролю и показать, что внутренний аудит оценивает эффективность внутреннего контроля и управления рисками.

Риск-менеджмент 2 намного сложнее, и у тех, кто придерживается этого подхода, появилась уникальная возможность, выпадающая раз в десятилетие — изменился федеральный закон, и не стоит упускать шанс реализовать в сфере риск-менеджмента всё, что прежде блокировалось или игнорировалось руководством компаний.

— Можно попытаться пойти дальше, чем сказано в законе и реализовать в своей компании принципы по управлению рисками, заложенные в международном стандарте ISO 31000, также обновленном в 2018 году. Сейчас завершается его перевод на русский язык, и вскоре стандарт будет выпущен в российской редакции. Между тем ключевая мысль ISO 31000:2018 не является секретом — в нем, как и в версии 2009 года, говорится о том, что управление рисками должно быть не отдельной системой, не отдельным самостоятельным процессом, а его необходимо встраивать в ключевые процессы организации, непосредственно в процессы принятия решений, — пояснил Алексей Сидоренко.

К примеру, в пункте 5.5 ISO 31000:2018 описана подробная инструкция, как нужно действовать риск-менеджеру в процессе внедрения управления рисками. Первый шаг — разработка плана внедрения в формате дорожной карты с конкретными мероприятиями и сроками.

Второй шаг — определить ключевые процессы принятия решений.

— Я бы посоветовал, прежде всего, идентифицировать, какие типы бизнес-решений являются для организации ключевыми, например, формирование стратегии; разработка, согласование, утверждение бюджета; принятие любых инвестиционных решений; формирование производственных планов, ценообразование, осуществление закупок или работа с контрагентами; оценка эффективности деятельности и подготовка отчетности по результатам работы. Словом, нужно выбрать «лежащие на поверхности» процессы, где присутствует неопределенность и цена ошибки высока, — комментирует эксперт.

Третий шаг — необходимо проанализировать текущие процедуры принятия решений, имеющуюся нормативную базу, регламенты, положения, описывающие, как осуществляется бюджетирование, как принимаются инвестиционные решения, а также посмотреть регламент планирования, бюджетирования, закупок, процедуру по принятию инвестиционных решений. Кроме того, нужно проанализировать шаблоны, по которым принимаются решения, и посмотреть выборку этих решений в прошлом, чтобы понять, насколько адекватными они были. Если на данный момент в процессе принятия решений риски не учитываются или учитываются формально, соответственно, высока доля субъективизма и влияния ментальных ловушек.

В стандарте ISO 31000 говорится, что процессы принятия существенных решений, вероятно, необходимо видоизменить, модифицировать, сделав их более риск-ориентированными. То есть требуется не какая-то отдельная система управления рисками, которая «включается» раз в квартал для составления отчета о рисках, а важно в рамках ключевых решений изменить эти процессы таким образом, чтобы ни одно решение не могло приниматься без учета рисков. Условно: если решение по инвестиционному проекту принимается на основании NPV (Net Present Value, чистой приведенной стоимости), срока окупаемости или нормы доходности, то сама формула расчета должна измениться. Чтобы в процессе принятия, например, инвестиционного решения появился риск, NPV должен считаться иначе: так, при реализации на практике вместо одной цифры NPV может появиться диапазон – раньше принимали решение, что у проекта NPV 100 миллионов, а сейчас, если встроить в этот процесс анализ рисков и использовать современные инструменты их анализа, NPV будет уже не 100 миллионов, а может варьироваться от 80 до 95 или от 95 до 120 миллионов, появляется диапазон и доверительный интервал. В этом и есть смысл риск-менеджмента — добавить некую вариативность в принятие решений, чтобы не было иллюзии, что исход принимаемого решения гарантирован.

— Если есть риск, значит, присутствует волатильность; если есть волатильность, нельзя утверждать, что у этого инвестпроекта NPV 100 миллионов и никак иначе. Неслучайно в ISO 31000:2018 говорится, что после того, как мы определили ключевые типы решений, которые принимаются в организации, а это, по-хорошему, все ключевые бизнес-процессы, нужно по очереди брать каждый бизнес-процесс и переписывать, менять его, чтобы риски учитывались не интуитивно и не на усмотрение руководителя, а регулярно, системно, документировано. Чтобы это можно было показывать проверяющим органам, обосновывать качество принимаемых решений совету директоров, акционерам, — поясняет Алексей Сидоренко.

Четвертый шаг, обозначенный в пункте 5.5 ISO 31000:2018 — чтобы управление рисками заработало, риск-менеджеры должны разработать компетенции, шаблоны, инструменты, примеры, провести обучение, оказать методическую поддержку в процессе принятия этих решений — они должны убедиться, что руководители, принимающие соответствующие решения, имеют необходимые компетенции и инструменты для анализа рисков. Кстати, в обновленном федеральном законе упоминается, что внутренний аудит должен оценивать эффективность управления рисками, но нет ни слова о том, на что именно должен смотреть внутренний аудит при оценке эффективности. С другой стороны, закон — не место для описания таких деталей. В связи с этим Алексей Сидоренко рекомендует российским коллегам почаще обращаться к международному стандарту ISO 31000:2018, в котором четко прописан алгоритм по внедрению управления рисками. Более того, в документе указывается, что риск-менеджмент необходим не для того, чтобы раз в квартал отчитываться перед руководством компании о рисках, а для того, чтобы видоизменять существующие в организации бизнес-процессы. И этот посыл стоит взять на вооружение.

Эксперт акцентирует внимание на том, что международный стандарт не включает требований о создании отдельной службы или подразделения по управлению рисками. Также в стандарте ничего не говорится о необходимости циклично повторяемых процедур по выявлению, оценке и митигации рисков. Наоборот, международный стандарт описывает управление рисками как некий элемент каждого принимаемого в организации существенного решения.

— Уважаемые риск-менеджеры, не упустите хорошую возможность — «под соусом» закона реализовать то, для чего, собственно, и задумывался риск-менеджмент. Не игнорируйте этот шанс, потому что уже сейчас есть официальное требование о необходимости оценки внутренним аудитом эффективности управления рисками. И если внутренний аудит в теме, следит за обновлением законодательства, то будет придерживаться принципов ISO 31000:2018, где, между прочим, нет ни слова о реестрах рисков, картах и отчетах — эти инструменты устарели, и нужно идти в ногу со временем, — резюмирует Алексей Сидоренко.

Елена Восканян