Вопрос построения системы управления рисками весьма актуален для российских предприятий. Однако, пытаясь ее разработать, компании неизбежно совершают ошибки. К числу основных из них можно отнести следующие: фрагментарность риск-менеджмента, ошибочная организационная структура отдела управления рисками, незнание концептуального подхода при организации риск-менеджмента, отсутствие нацеленности на эффективность в работе при заданных нормативах. Рассмотрим их более подробно.
Практика показывает, что в стране существует (и, по всей видимости, еще долгое время будет сохраняться) тенденция к развитию фрагментарной («заплаточной») системы управления рисками в организациях различного уровня. Современные передовые технологии систем риск-менеджмента применяются небольшим кругом крупных предприятий, имеющих иностранный капитал в виде прямых инвестиций в развитие этих организаций. Как правило, одна часть топ-менеджмента— представители иностранных инвесторов (экспаты), получившие западное образование, а другая — это национальные представители высшего руководящего звена, имеющие престижное западное образование, в дополнение к которому рассматривается способность учитывать специфику ведения бизнеса в своей стране (культура, традиции, менталитет, национальные особенности и т. д.). Несмотря на то что развитые государства уже давно стоят на пути к использованию интегрированных систем управления рисками, связывающих отдел рисков с различными подразделениями (департаментами, дирекциями и т. п.) организации в единое целое, российская действительность предпочитает не обращать на это внимания и продолжает изобретать свои доморощенные технологии, при этом применение последних очень часто приводит к тому, что совершаются ошибки. уже допущенные предшественниками. В настоящее время развитие системы управления рисками в российских организациях, как правило, начинается с введения позиции риск-менеджера.
Вероятно, массовое появление в компаниях штатной должности риск-менеджера (хотелось бы особенно подчеркнуть, что речь идет именно о штатной должности, а не об отделе или департаменте управления рисками) — это, скорее всего, дань моде. Не секрет, часто введение данной позиции является неотъемлемым атрибутом привлечения капитала посредством Initial Public Offering (IPO), поскольку одним из условий выхода компании на IPO служит наличие системы риск-менеджмента. Курировать работу по управлению рисками в организации российские менеджеры (совет директоров, акционеры) поручают финансовому директору или департаменту внутреннего контроля и аудита, что, по мнению автора, является грубейшей ошибкой. Позиция автора находит подкрепление в реализации аналогичных систем управления рисками в таких компаниях, как Bearing Point. Roche, Sas, UBS. Отдел должен быть независимым и позиционироваться как тот же отдел аудита, чтобы оставаться объективным в своих выводах. В идеале он должен подчиняться комиссии, в которую войдут и представители менеджмента компании, и ее владельцы. Риск-менеджер в организации — это не просто аналитик, в какой-то степени он стратег, который разрабатывает меры по предупреждению неблагоприятных для компании событий. В число его основных функциональных обязанностей должны входить:
= сбор и анализ информации с целью выявления, характеристики рисков;
= консультирование различных подразделений компании по вопросам рискованности бизнес-процессов;
= мониторинг обнаруженных слабых мест в процессе ведения бизнеса;
= составление отчетов для разных уровней пользователей с различной степенью детализации;
= графическое представление рисков (карты рисков, диаграммы основных тенденций. макро- и микрофакторов, влияющих на бизнес компании).
Те организации, в которых риск-менеджмент вообще отсутствует как отдельное направление, прибегают к помощи аутсорсинга. Это, как правило, различные инвестиционные компании, представители которых поручают консалтинговым агентствам найти ответ на вопрос: «Насколько рискованно выбранное ими направление бизнеса?» На основе разового исследования инвестор делает вывод о том, какие риски связаны с тем или иным проектом, и определяет свое отношение к ним. Этим риск-менеджмент ограничивается, и повторяется ставшая уже классической схема: собственник капитала смотрит на пороговые показатели и не обращает внимания на возможность управления ими.
Рассмотрим, как работает система управления рисками на макроуровне, т. е. в составе всего отдела или департамента рисков. Результатом деятельности департамента риск-менеджмента должны стать снижение объема потерь после реализации ежедневных бизнес-процессов компании, а также повышение уровня прозрачности выполнения постоянных операций, взвешенный подход к ведению бизнеса в целом. Однако вопрос эффективности управления организацией носит деформированный характер. Это очередное критическое замечание в адрес современных систем риск-менеджмента.
За последние годы многие ведущие компании на российском рынке достигли высокого значения доходности своего бизнеса, будь то строительство, сырьевая отрасль или индустрия развлечений. По этой причине на эффективность работы организации с точки зрения всевозможных рисков практически никто не смотрит. Топ-менеджеры компаний введены в заблуждение своими же акционерами. Они нацелены на тот уровень доходности, который установлен владельцами капитала и снижения которого они не должны допустить. Соответственно, если рентабельность предприятия не ниже заданного уровня, то считается, что все находится в норме. Редки случаи, когда кто-то начинает выяснять, а почему, например, в прошлом квартале уровень доходности компании был выше, чем в текущем. Если спросить менеджеров, рассчитываются ли у них привычные финансовые показатели, допустим, такие как IRR, ROE, ЕВIDA, EVA и т. п., с учетом риска, то для многих станет откровением, что такие показатели вообще существуют. Получается, что многие слышали о технологии Value-al-Risk, но мало кто знает, как ее применять. Возможно, кто-то скептически отнесется к этим показателям, понимая, что сначала необходимо научиться оценивать риски хоть как-нибудь. Однако автор указывает на то, что, измеряя их, нужно использовать современные методы, позволяющие повысить точность расчета показателей, применяемых при финансовом анализе текущей ситуации в организации. Можно с уверенностью сказать, что во многих компаниях руководители не смогут ответить на вопрос об уровне толерантности к риску на их предприятии.
В банковском секторе в силу сложившихся традиций и специфики бизнеса управлению рисками придается большее значение, чем в других сферах делового мира. Однако только крупные банки из так называемого списка ТОР10 имеют хорошо поставленную систему риск-менеджмента. Остальные работают по устаревшим схемам условно-блочного типа: если одно условие выполнено, то осуществляется переход к проверке следующего, иначе — отказ в операции. Вопрос, связанный с операционными рисками, вообще пока не решается (опять-таки это не касается крупных банков). Управление операционными рисками осложнено тем, что их трудно выявить (идентифицировать). Основной мерой борьбы с ними служат разработки нормативных инструкций, положений, функциональных обязанностей сотрудников и т. п. Облегчить контроль и снизить вероятность возможных ошибок в процессе оперирования можно, используя автоматизированные системы управления. IТ-решения предотвращают ошибки, связанные с человеческим фактором, случаи мошенничества. Однако внедрение таких информационных систем требует значительных финансовых и временных затрат.
Ситуация на российском рынке такова, что клиентов хватает всем. Отсутствие конкуренции среди банков не способствует развитию мер по повышению эффективности проводимых деловых операций. Например, многие кредитные организации не используют статистические методы. Большинство банкиров ссылаются на отсутствие накопленной базы кредитных историй. Это становится для них препятствием на пути к применению скоринговых моделей при принятии решений. Современные методы позволяют обойти данную преграду. Необходимо составить список факторов, от которых должен зависеть выбор решения, построить модель и при помощи имитационного моделирования сгенерировать недостающие статистические ряды, чтобы использовать прогноз разработанных моделей. На отсутствие данных механизмов указывает рост числа невозвратных или проблемных кредитов в банковском секторе, который связан с неверной оценкой заемщиков.
Таким образом, получается, что в мире отечественного бизнеса преобладает пародия на европейскую модель управления рисками. Наши менеджеры пытаются всеми мыслимыми и немыслимыми способами применить рекомендации COSO и положения Basel II. Интерес к этим темам очень велик. В последнее время возросло количество проводимых конференций, семинаров, круглых столов, посвященных так или иначе затронутым в статье темам.
Так что же должно представлять собой построение системы управления рисками? Мы приведем схему, которая апробировалась автором на примере одной организации холдинговой структуры.
ПОСТРОЕНИЕ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ
Трудно в это поверить, но многие крупные компании до сих пор не имеют представления о всех бизнес-процессах, в которых они задействованы. В то время, когда следует говорить об установлении взаимосвязи бизнес-процессов и построении на ее основе системы риск-менеджмента, во многих организациях просто отсутствуют сами процессы. В свою очередь, на небольших предприятиях сложилась более плачевная ситуация, но в силу гибкости последних ее можно изменить в лучшую сторону.
Итак, рассмотрим, с чего же должно начинаться построение системы управления рисками в компании. Начало любого дела — разработка концепции.
Концепция — цели и задачи
1. Обеспечение сохранности бизнеса акционеров компании. Своевременное обнаружение внешних и внутренних угроз помогает лучше подготовиться к защите, уменьшить размер потерь, что позволяет компании «остаться на плаву» в критические для нее моменты.
2. Рост стоимости компании. Минимизация убытков, которые компания может понести в результате наступления рисков, повышает ее стоимость, а также позволяет эффективно использовать ресурсы для дальнейшего увеличения последней.
3. Повышение конкурентоспособности и привлекательности компании для потенциальных инвесторов. Прозрачность бизнес-процессов, финансовая устойчивость компании способствуют тому, что интерес инвесторов к ней возрастает.
4. Оценка возможных финансовых отклонений компании от плановых показателей. Основные финансовые показатели (ЕВIDA, EVA, ликвидность, рентабельность) должны рассчитываться с учетом риска. Необходимо также следить за соотношением плановых и фактических показателей: в случае отклонения следует провести анализ, выявить причины отклонения и принять меры по их устранению.
5. Унитарность. Концепция должна носить унитарный характер и легко интегрироваться как самостоятельная единица в организационную структуру оперирующих компаний.
Каждый сотрудник — это эксперт по рискам в области тех бизнес-процессов, участником которых он является. Он сообщает о рисках, выявленных им. Таким образом, все специалисты должны быть информированы о рисках, с которыми сталкивается компания. Ответственность по управлению ими возлагается на каждого сотрудника и представляет собой взаимозависимую цепь производственных отношений.
Требования к системе риск-менеджмента Система управления рисками в компании должна выполнять следующие требования:
+ целенаправленное отслеживание рисков в процессе работы и выявление взаимосвязей между ними;
+ оценка вероятности и величины воздействия риска на стратегическое развитие компании;
+ формирование и обновление инструментария для управления рисками (накапливание «ноу-хау», оригинальных решений и методов анализа);
+ установление лимитов на использование денежных средств с вероятностным определением стоимости риска и вознаграждения за него, контроль установленных нормативных показателей;
+ информирование всех сотрудников о рисках;
+ разработка рекомендаций по расходованию ресурсов с целью уменьшить степень риска неэффективного их использования;
+ документальный учет рисков (накапливание статистических данных для определения стоимости риска, построения своего отношения к риску, моделей анализа бизнес-процессов на основе исторических данных);
+ разработка принципов управления структурой пассивов и активов;
+ обеспечение интегрированности оценки эффективности риск-менеджмента в систему ключевых показателей эффективности (Key Performance Indicators).
Организационная модель риск-менеджмента компании
Развитие риск-менеджмента в компании идет по направлению от теории к практике на базе широкого, разветвленного анализа и возможных приложений методов и методик управления рисками.
Пошаговый план действий организации на начальном этапе управления рисками может быть представлен в следующем виде. Он должен пересматриваться по мере развития системы риск-менеджмента.
Шаг 1. Определение устойчивой рисковой терминологии, которой должны руководствоваться сотрудники компании при составлении своих отчетов для отдела риск-менеджмента.
Шаг 2. Анализ (идентификация) и составление систематизированного списка (базы данных) рисков.
Данный шаг необходимо выполнять каждый раз при принятии решения по тому или иному вопросу с целью указания в списке новых рисков и уточнения описания имеющихся (факторов, от которых они зависят). Идентификация может проходить на основе анкетирования, интервьюирования сотрудников, посредством опроса экспертов, проведения проверок бизнес-процессов на предмет учета рисков и управления ими.
Шаг 3. Анализ рисков и выявление всевозможных факторов, от которых может зависеть вероятность наступления установленных рисков. Количественная и вероятностная оценка рисков.
Компания должна знать, какова вероятность потерь от принятого ею риска участия в бизнесе.
Шаг 4. Построение карт рисков. Определение профильным комитетом отношения к рискам компании с указанием направлений, в которых должна вестись разработка мер по их минимизации.
Визуализация рисков позволяет лучше представить себе возможные угрозы и заставляет сконцентрироваться на приоритетных направлениях.
Шаг 5. Разработка отделом риск-менеджмента мер по минимизации рисков с использованием инструментария (инструкции, рекомендации, нормативы и т. п.).
Шаг 6. Разработка отделом риск-менеджмента показателей мониторинга выполнения мер по минимизации рисков. Прогнозирование развития факторов внешней среды с целью ранней профилактики наступления неблагоприятных угроз для бизнеса.
Приведенная модель риск-менеджмента компании (см. рисунок) носит унитарный характер и должна рассматриваться читателем как некий каркас, к которому постепенно добавляются новые компоненты в соответствии со спецификой бизнеса компании, в которой строится система риск-менеджмента.
ЗАКЛЮЧЕНИЕ
Многие руководители осознают, что необходимо реализовать комплекс мер для создания полноценной системы управления рисками. В настоящей статье указаны те недостатки, которые присущи современной практике построения систем риск-менеджмента. Мы предложили концепцию разработки современной системы для отделов управления рисками. Еще раз хотелось бы подчеркнуть, что необходимо использовать интегрированный подход при построении риск-менеджмента в компаниях, а не платать дыры», раскрывая только верхушку айсберга неэффективной работы организации при видимых успехах в части экономического роста компании в целом. Риски необходимо не только идентифицировать, но и на их основе видеть перспективы и управлять ими.
Автор: Рогачев А.Ю.
младший научный сотрудник
Института экономики и промышленного производства СО РАН (г.Новосибирск)
Статья из журнала «Управление финансовыми рисками» 04(12)2007
1. Материалы конференции «Последние тенденции управления рисками». — Киев. 26 октября 2006.
2. COSO Enterprise Risk Management (ERM).
3. Brealey R„ Myers S.. Marcus A. (2001). Fundamentals of Corporate Finance. 3-ed.. McGraw-Hill.