Исследование, проведенное компанией Deloitte за прошлое десятилетие (Deloitte, Disarming the Value Killers, 2005), показало, что неэффективный риск-менеджмент может быть чреват крупными неприятностями: «Почти половина компаний Fortune 1000 потеряли более 20% своей стоимости за месяц. Кроме того, у 50% этих фирм больше года ушло на то, чтобы восстановить свою стоимость, а 22% из них не могут это сделать по настоящее время».
Плохое понимание рисков может обернуться серьезными потерями. Ограниченное или неэффективное прогнозирование рисков является причиной возникновения непредвиденных инцидентов и, как следствие, убытков. Часто многие несущественные риски связаны между собой, и даже незначительные инциденты могут вызвать цепь событий, которые приведут к большим потерям.
Исследование, проведенное Aberdeen Group в августе 2011 года в компаниях, уделяющих внимание управлению рисками, выявило тенденции последних двух лет, которые отражены на рис.1.
Таким образом, рисками можно и нужно управлять, так же как внутренними бизнес-процессами компании.
Отметим, что 87% рисков не относятся к финансовым.
Для многих компаний основой риск-менеджмента является финансовый контроль. Однако недавнее исследование показало, что 87% идентифицированных рисков были нематериальными (IBM Global Business Services, CFO 2008). Нематериальные источники рисков, способные весьма серьезно воздействовать на компанию, включают эксплуатационные, правовые, стратегические, политические, геополитические риски, а также риски, связанные с безопасностью производства и влиянием на окружающую среду.
В структуре нематериальных источников риска 13 % составляют операционные риски (см. рис. 2). К ним относятся природные катастрофы, потеря данных, срыв поставок, аварии на производстве, сбой в работе ERP, остановка производства. На долю правовых и нормативных рисков приходится всего 8%, сюда входят мошенничество, претензии по продукции, изменения в законодательстве, хищения, безопасность продукции. Самой большой группой в структуре нематериальных рисков являются стратегические риски — 32%, к ним относятся промышленная глобализация, ошибки при обновлении ПО, изменение спроса на продукцию, отмена крупных контрактов, соответствие стандартам качества. Второе место после стратегических рисков делят группы политических/географических рисков (смена правительства, изменение субсидий и бюджетов, кадровые изменения, нормы корпоративной ответственности, терроризм) и риски, относящиеся к охране здоровья и защите окружающей среды (болезни и эпидемии, безопасность, соответствие стандартам защиты окружающей среды, санитарные требования к продуктам питания, климатические изменения, загрязнения окружающей среды), составляя по 17%. На долю же финансовых рисков приходится 13%, включая изменения курсовых валют, изменения процентных ставок, достоверность финансовой отчетности, доступность денежных средств, непрозрачность рыночных тенденций, экономический спад, стоимость сырья и энергоресурсов.
Все источники риска связаны между собой и могут накладываться друг на друга. Например, предпосылками возникновения несчастного случая или даже чрезвычайного происшествия в виде промышленной аварии является комплекс причин — от организационных просчетов до слабой исполнительской дисциплины в компании. Следствиями аварии могут быть причинение вреда людям и окружающей среде, простои производства, значительные финансовые потери и ухудшение деловой репутации компании. В большинстве случаев аварии или несчастные случаи происходят неожиданно, но закономерно. Причины заключаются в нарушении правил и нормативов безопасности, установленных законодательством и внутренними регламентирующими документами компании. Большинство из таких инцидентов можно заблаговременно обнаружить и отреагировать таким образом, чтобы избежать серьезных последствий.
Сначала рассчитать, потом рисковать
В зависимости от сферы деятельности, экономической среды, планов развития, компании могут сталкиваться с разными видами рисков, но в целом эффективное управление рисками придерживается общих целей: повышение устойчивости бизнеса, снижение убытков и максимальное увеличение прибыли.
Управление рисками в компаниях начинается с выявления и оценки всех потенциально возможных угроз.
Для этого, прежде всего, необходимо детально проанализировать существующие бизнес-процессы компании. Полученные данные дадут полную картину всех возможных рисков, угрожающих предприятию.
Оценив вероятность возникновения тех или иных рисков, их степень влияния на компанию и рассчитав возможный ущерб, можно разрабатывать реакции на выявленные риски. Это подразумевает поиск менее рискованных вариантов осуществления деятельности, то есть поиск альтернатив с возможностью получения тех же доходов. При этом необходимо сопоставлять затраты на реализацию менее рискованной сделки и размеры риска, который удастся снизить. Другими словами, не должно получиться так, что компания избежала риска потерять 10 тысяч, потратив на это 20 тысяч.
Эффективный риск-менеджмент предполагает непрерывный мониторинг всех существующих рисков, чтобы своевременно реагировать на возникающие опасности.
Применение стратегии управления рисками — это не только выработка действий в ответ на возникающие инциденты, но и изменение системы принятия управленческих решений в организации.
После оценки и анализа всех рисков руководство компании решает, принимать риски или избегать их. Принятие рисков означает, что компания полностью берет на себя ответственность за предотвращение или ликвидацию последствий от этих рисков. Решение об уклонении от рисков подразумевает избегание видов деятельности, связанных с рисками, или их страхование. В любом случае все риски должны быть известны и не быть неожиданными для руководства, нужно, чтобы решения принимались с их учетом, а не в условиях неопределенности.
Наиболее эффективный способ уменьшить все виды рисков — создать действенную систему управления рисками в компании. Она должна обеспечивать своевременное выявление и оценку рисков путем разработки внутренних положений, общих принципов и методики управления рисками. Система должна поддерживать единую среду внутреннего и внешнего контроля, процедуры контроля для всех бизнес-процессов и мониторинг совершаемых операций на уровне всех подразделений, соответствие имеющимся требованиям и положениям, процедурам проверок и сверок. Система управления рисками компании должна обеспечивать доступ и быструю передачу достоверной, точной, своевременной, доступной и полноценной информации для принятия решений и оценки текущей деятельности между ответственными лицами, а также непрерывный мониторинг текущей деятельности, который подразумевает постоянный контроль за наиболее важными рисками.
Governance — управление на основании таких инструментов, как политики, процедуры, контроль, иерархия принятия решений и т. д., применяемых для управления бизнесом;
Risk — определение, управление и уменьшение неблагоприятных событий, которые потенциально могут повлиять на компанию;
Compliance — соответствие требованиям (законодательным, отраслевым и внутренним нормативам и регламентам).
Информационные технологии в управлении рисками
Существует много методов и способов идентификации и управления рисками — от современных ГОСТов в области управления рисками до стандартов системы менеджмента качества. Однако выполнить весь объем требований и процедур без применения информационных технологий — задача достаточно трудоемкая из-за большого количества и сложности этих процедур.
Решения, предназначенные для управления рисками, их оценки и выполнения нормативных требований, обеспечивают стабильность бизнеса благодаря повышению эффективности стратегии, выявлению новых возможностей и сокращению убытков в непредвиденных ситуациях.
Некоторые из них позволяют даже связать между собой информацию из разных систем, отделов и регионов, обеспечивая тем самым более высокую производительность труда.
Кроме общих, многофункциональных решений существуют также более узкие приложения, которые можно использовать как в комплексе с другими решениями, так и самостоятельно.
Все операции (процессы, планы расширения, активы и возможности компании), риски, ответные реакции и контрольные процедуры компании должны выполняться на основе различных моделей управления рисками (ISO 31000, ASNZ 4360, COSO). Желательно, чтобы они осуществлялись в единой информационной среде, это обеспечит наиболее эффективный контроль всех процессов. Решение предоставляет доступ к хранящимся в системе матрице рисков и контролей, информации по тестированию контрольных процедур, необходимой документации и данным по покрытию рисков контрольными процедурами.
Встроенные автоматические процедуры контроля (число этих процедур может доходить до нескольких сотен) значительно снижают трудозатраты на их выполнение, уменьшают число ошибок, связанных с человеческим фактором. Благодаря автоматизации контрольных процедур и быстрому предоставлению отчетности решение позволяет снизить затраты на соблюдение требований финансовой отчетности, таких как РСБУ, МСФО и закона Сарбейнса-Оксли.
Некоторые приложения позволяют быстро проводить опросы по эффективности и самооценке контрольных процедур, выполнять тестирование контрольных процедур. Например, чтобы провести опрос по самооценке процедур контроля, внутреннему аудитору необходимо: 1) создать опрос; 2) выявить ответственных пользователей; 3) разослать всем опрос; 4) собрать от каждого информацию; 5) обработать эту информацию; 6) проанализировать информацию. При помощи данного решения внутреннему аудитору достаточно один раз создать опрос, выбрать необходимый отдел предприятия, и система автоматически разошлет опросы ответственным за контрольные процедуры и обработает информацию. Аудитор сразу же сможет просмотреть отчет по самооценке. Таким образом, значительно снижается время на проведение опросов и тестирование контрольных процедур, а также на формирование отчетов по эффективности контрольных процедур, процессы становятся более прозрачными для внешних аудиторов и руководства компании. Приложение снижает затраты на аудит и позволяет руководству компании получать больше информации, касающейся соблюдения требований внутри бизнес-процессов.
Решения для управления рисками оптимизируют процедуры коллективного управления рисками, позволяя профессиональным риск-менеджерам и руководству компании быстро реагировать на финансовые, операционные и правовые риски и планировать наиболее эффективные пути развития.
Решение содержит контрольные индикаторы рисков, которые отслеживают пороговые значения рисков в информационных системах, тем самым позволяя риск-менеджерам моментально узнавать о возникающих инцидентах и отслеживать те, что уже выявлены. Руководство компании в любой момент может просмотреть отчет по существующим рискам, отследить затраты на ликвидацию рисков и с их учетом спланировать бюджет. Решение содержит средства моделирования сценариев событий, связанных с несколькими рисками, и сценарии по методу Монте-Карло.
Вовлекая в процесс управления рисками максимально необходимое количество сотрудников, информационное решение предоставляет риск-менеджерам наиболее полную информацию по рискам внутри компании, автоматизирует и ускоряет процессы передачи информации по рискам между ответственными за процессы, риск-менеджерами и руководством компании. Таким образом, минимизируется время от выявления риска до принятия решения, так как выявленный риск сразу же отображается в системе. Менеджеру по рискам автоматически приходит уведомление о выявлении риска, после чего риск-менеджер утверждает риск, проводит качественный и количественный анализ данного риска, создает реакцию по снижению, либо избеганию данного риска, может сразу же указать стоимость и назначить ответственного за выполнение действий, затем данные автоматически приходят на утверждение руководителю компании. Далее риск-менеджер в любой момент времени может оценить эффективность выполняемых действий. Данный процесс проходит в единой среде, что значительно ускоряет его и снижает вероятность ошибок.
Примером информационной системы, сочетающей в себе все перечисленные выше требования, является решение SAP GRC, которое включает большое количество методов и инструментов, позволяющих решить весь объем задач для управления рисками.
Решением SAP GRC пользуется одна из крупнейших телекоммуникационных компаний Казахстана. Интегрированная автоматизированная система была приобретена компанией, для того чтобы обеспечить информационную и инструментальную поддержку процессов управления рисками. С помощью SAP GRC компания автоматизировала основные стадии процесса управления рисками и получила такие преимущества, как контроль выполнения процедур по уменьшению риска, согласованность с корпоративными требованиями, формирование сообщений управления рисками.
Итак, для того чтобы управлять рисками эффективно, необходимо делать это на каждом этапе — от идентификации до ответных реакций; в реализацию целей GRC надо вовлекать как можно большее число сотрудников; целесообразно внедрить систему управления рисками, чтобы поддерживать прозрачность стратегических, финансовых и эксплуатационных планов развития.
Возможность активно воздействовать на возникающие риски дает компаниям неоспоримые преимущества и укрепляет конкурентные позиции.
Алексей Якушев, руководитель направления SAP BI компании «ЭВОЛА»; a.yakushev@evola.ru
Александр Кузьминский, консультант SAP GRC компании «ЭВОЛА»; a.kuzminskij@evola.ru