Интегрированный риск менеджмент и его эффективность на уровне предприятия
Главная цель интегрированного риск менеджмента состоит в нахождении оптимального соотношения между риском и доходностью в масштабе всей компании. Объектом анализа и управления в рамках корпоративного риск менеджмента выступает совокупный или интегрированный риск банкротства предприятия, который может быть обусловлен проявлением одного или нескольких видов риска. Количественной мерой интегрированного риска обычно выступает волатильность рыночной стоимости предприятия, для оценки которой используют стандартное отклонение рентабельности активов или стандартное отклонение доходности акций, если они обращаются на фондовом рынке.
На практике эта общая цель стратегического управления компанией достигается посредством определения оптимального соответствия между размером привлекаемого акционерного капитала и принимаемым риском. Корпоративный риск менеджмент позволяет эффективно решить эту задачу на основе так называемого «портфельного подхода», рассматривающего компанию как набор взаимосвязанных друг с другом направлений бизнеса, характеризующихся различным соотношением ожидаемой доходности и риска. Для обеспечения одного и того же уровня подверженности риску каждому подразделению должен быть определен свой размер капитала, а на основе этого рассчитана суммарная потребность компании в капитале. Портфельный подход дает возможность применить апробированные модели диверсификации портфеля ценных бумаг для распределения капитала по направлениям деятельности с целью достижения требуемого соотношения риск/доходность в масштабе всей компании.
Главный принцип, лежащий в основе корпоративного риск менеджмента, заключается в комплексном учете риска на основе единого и последовательно применяемого подхода при принятии решений в трех основных сферах процесса корпоративного управления:
— стратегическом планировании (вход и выход из отрасли, расширение/сокращение присутствия на рынке, долевое участие в инвестиционных проектах и т.д.);
— ценообразовании продукции и услуг;
— оценке результатов деятельности руководителей функциональных подразделений и высшего руководства компании.
Успешная реализация концепции интегрированного риск менеджмента возможна только при взаимодействии трех ключевых составляющих:
1) Организационного сопровождения;
а) количественную оценку подверженности риску;
б) расчет экономического эффекта и эффективности с учетом риска;
в) проверку на устойчивость (стресс-тестирование);
3) Информационно – аналитических систем.
Главным элементом культуры риск менеджмента является доведение общего отношения к риску и связанных с ним корпоративных ценностей и приоритетов до сведения сотрудников, участвующих в процессе принятия решений на всех уровнях управления. Не менее важная цель состоит в поддержании достаточного уровня компетентности основного персонала, особенно руководства всех основных направлений бизнеса в вопросах оценки и управления риском. Поскольку культура риск менеджмента, как и любая культура, основана на накопленном организацией опыте, необходимо внедрить систему регистрации и последующего анализа принимаемых решений на предмет их соответствия корпоративным целям и установкам в области управления риском. Развитие культуры риск менеджмента – это длительный процесс, предполагающий постоянное обучение и повышение квалификации персонала, а также продуманную политику публичного раскрытия информации о рисках деятельности организации и принимаемых мерах по их контролю. Хотя лишь президент или председатель правления корпорации выступает, в конечном счете, в роли управляющего риском всей компании, способен ли он эффективно выполнять эту функцию самостоятельно, без помощи профессионалов в области риск менеджмента?
Краеугольным камнем интегрированного риск менеджмента является количественная оценка совокупного риска предприятия, а также его декомпозиция по отдельным видам риска, портфелям и направлениям деятельности. Организационно эта задача решается путем создания специального вспомогательного подразделения по оценке и контролю за рисками, в основные функции которого обычно входят:
2) Координация ежедневного процесса управления рисками посредством установления лимитов, распределения собственного капитала и санкционирования операций;
3) Оценка совокупных рисков компании на основе единого и последовательного подхода и отслеживание финансовых рынков и иных событий в экономической жизни, которые могут оказать влияние на размер принятых рисков;
4) Разработка, тестирование и санкционирование применения методов и моделей оценки рисков, в особенности используемых для ценообразования финансовых инструментов и продуктов;
5) Создание и ведение баз данных, необходимых для целей риск менеджмента
6) Взаимодействие со службами внутреннего контроля с целью обеспечения соблюдения требований законодательства, регулирующих органов, а также внутренних положений и процедур;
7) доведение результатов оценки и управления рисками до сведения высшего руководства предприятия, а также подготовка информации для регулирующих органов, инвесторов, рейтинговых агентств и финансовых аналитиков.
Необходимым условием эффективного контроля является организационная независимость подразделения риск менеджмента от основных функциональных подразделений, в частности, отдела продаж, казначейства, кредитного управления и др. Эта относительная независимость достигается путем подчинения руководителя подразделения риск менеджмента непосредственно высшему исполнительному органу предприятия, обычно совету директоров. Данное требование, например, для финансовых организаций нашло отражение в документах регулирующих органов, в частности, Базельского комитета по банковскому надзору.
Процесс риск менеджмента начинается с определения отношения организации к риску, или, как его часто называют, склонности к риску. На практике в это понятие вкладывается скорее описательный, качественный, нежели количественный смысл, и поэтому оно может трактоваться по-разному, от прямой формулировки в виде миссии фирмы, качественно выражающей отношение к риску, до перечисления желательных или нежелательных сфер деятельности в понимании конкретной организации.
В реальности многие крупные корпорации, а также финансовые институты, такие, как крупные коммерческие банки и инвестиционные компании, занимаются одновременно несколькими видами деятельности, характеризующимися совершенно разным уровнем риска, что значительно усложняет интегральную оценку их склонности к риску. Склонность к риску, в конечном счете, определяют не управляющие, а собственники, делая это косвенно через требуемую ими доходность на вложенный капитал. Чем выше требуемая доходность, тем на больший риск должны быть готовы пойти управляющие ради исполнения ожиданий владельцев капитала (однако, это не всегда совпадает с интересами других заинтересованных сторон – кредиторов, государства, да и самих менеджеров). Со временем склонность к риску может быть пересмотрена руководством организации в зависимости от достигнутых результатов развития и изменения внешней среды.
Формирование склонности организации к риску является не самоцелью, а необходимым условием для определения круга приоритетных, или стратегических, направлений деятельности и отказа от прочих, нестратегических видов бизнеса. На практике эти решения даются наиболее тяжело, поскольку руководители отдельных направлений могут рассматривать все проводимые операции как имеющие стратегическую значимость для компании, особенно если они материально заинтересованы в продолжении данного вида деятельности. Возможен случай, когда все рассматриваемые направления деятельности являются рентабельными с учетом риска, однако их одновременное осуществление нецелесообразно по соображениям оптимального масштаба предприятия.
Решения в пределах лимитов, утвержденных высшим руководством, могут приниматься руководителями подразделений без дополнительных согласований. При этом основная цель линейных руководителей заключается в максимизации соотношения доходность /риск при заданных ограничениях по риску (в частности, лимитов собственного капитала). На нижнем уровне управления менеджеры по работе с клиентами максимизируют это соотношение уже в разрезе отдельных сделок, клиентов и видов услуг. Отличия в профиле риска обусловливают и различные требования к размеру резервируемого капитала.
По аналогии с «колесом менеджмента», отражающим последовательность выполнения основных функций в организации, базовые функции управления рисками в масштабе предприятия можно наглядно представить в виде замкнутого цикла – так называемом «колесе риск менеджмента», управление рисками на уровне предприятия включает в себя четыре основные функции:
1) определение склонности к риску и выбор «профиля риска», т.е. стратегии организации по видам деятельности и географическим регионам;
2)управление профилем риска на уровне отдельных направлений деятельности;
3)создание информационной системы поддержки принятия решений для руководителей высшего и среднего звена, позволяющей контролировать ход деятельности и оценивать е результаты;
4)внедрение системы оценки результатов деятельности ответственных лиц, которая создавала бы действенные стимулы к отказу от неприемлемого и неприбыльного риска.
Источник
Как построить интегрированную систему риск-менеджмента?
Андрей Перчик, начальник управления внутреннего аудита компании «Мечел», в интервью порталу CFO-Russia.ru рассуждает об уровне развития риск-менеджмента в России и объясняет, почему наиболее эффективно выстраивать его по интегрированной модели, основанной не столько на сборе информации и предоставлении ее акционерам, сколько на устранении рисков в рамках оперативного управления компанией.
Управление рисками как отдельное направление менеджмента в России не слишком развито – соответствующие службы есть далеко не в каждой компании. С чем это связано?
На самом деле управление рисками – это неотъемлемая часть деятельности любой организации. Точно также, законы физики действуют независимо от того, знаем мы об их существовании или нет. У каждого менеджера есть цели, и каждый менеджер знает, что именно может помешать выполнению его прямых обязанностей, он как-то борется с такими помехами. Если кто-то отвечает за достижение цели, он уже управляет соответствующими рисками, хотя может и не задумываться об этом. Такой процесс, встроенный в ежедневную работу, и есть риск-менеджмент. При этом менеджер отчитывается перед руководством за финансовую эффективность, выполнение плана или достижение ключевых показателей эффективности (KPI) и обычно не рассматривает свою работу в терминах риск-менеджмента. Управление рисками есть, но далеко не во всех компаниях эти процессы формализованы и выделены в отдельную систему.
В чем смысл такой систематизации?
Это зависит от задач, стоящих перед бизнесом. К примеру, публичные компании обязаны предоставлять информацию о присущих им рисках акционерам и потенциальным инвесторам. При этом от них не требуется тщательно оценивать и ранжировать риски, а также принимать в отношении них какие-то меры – достаточно просто их перечислить и предоставить о них информацию. Таково требование большинства фондовых площадок – раскрытие информации о рисках необходимо для того, чтобы инвесторы принимали более обдуманные и взвешенные решения о покупке акций того или иного эмитента. Если соответствующая информация не раскрывается, компания рискует получить судебные иски от инвесторов.
Однако иногда система управления рисками выстраивается не под влиянием внешних требований, а исходя из потребностей высшего руководства и владельцев бизнеса. Если речь идет о мажоритарном акционере, как правило, не являющемся CEO, который заинтересован в том, чтобы компания развивалась, завоевывала рынки, то ему могут понадобиться более детальные сведения о рисках, присущих его бизнесу. В этом случае он может настоять, чтобы в компании или в компаниях, которыми он владеет, были созданы службы, занимающиеся сбором и анализом информации о рисках. При этом предполагается, что у владельца есть стратегия в отношении рисков, то есть существует предельное значение риск-аппетита, при приближении к которому владелец бизнеса начинает действовать. Как правило, он вмешивается в непосредственное управлении бизнесом: становится председателем совета директоров либо занимает позицию исполнительного директора.
Это модель управления рисками, которую можно условно назвать «информационной». В ее рамках ведется регулярный мониторинг рисков, результатом которого становится dash board, то есть приборная доска. Для ее формирования, как правило, проводится опрос персонала и собирается информация, какие имеются риски, насколько каждый из них серьезен, и каким образом компания ими управляет. Данные такого мониторинга периодически актуализируются, например раз в год. Для владельца компании информационная модель риск-менеджмента удобна, однако операционный менеджмент нередко воспринимает ее как источник дополнительной головной боли.
Причина в том, что управленцы, помимо стандартных отчетов, должны подготавливать описание бизнеса с точки зрения рисков. Если сотрудник занимает высокую позицию в компании, то он к тому же отвечает, чтобы и его подчиненные занимались рисковым мониторингом, а полученные от них данные ему приходится сводить в единый отчет. Итог – огромный объем дополнительной работы, которую менеджеры воспринимают как избыточную. Кроме того, если менеджер неправильно идентифицирует риски, а вышестоящее руководство примет на основе этих данных ошибочное решение, то ответственность ляжет на менеджера, допустившего неточность. Вот почему «информационная» модель вызывает сопротивление у операционного менеджмента – для него деятельность по сбору информации оборачивается «сверхплановой» нагрузкой и ответственностью.
Как же преодолеть негативное отношение к риск-менеджменту?
По моему мнению, гораздо эффективнее выстраивать систему управления рисками с помощью другой модели – условно назовем ее интегрированной, основанной на процедурах, которые нацелены не столько на сбор информации и предоставление ее владельцам или топ-менеджменту, а на работу по устранению рисков в рамках оперативного управления компанией. В этой модели управление наиболее существенными рисками выделяется из обычной операционной деятельности в отдельный процесс управления обособленными проектами и программами, обеспеченный собственными ресурсами.
Важным элементом такой модели является формирование карты рисков органом, состоящим из представителей всех подразделений компании, предпочтительно – их руководителей. Эти люди, как правило, обладают необходимой информацией и опытом для составления достаточно полного перечня наиболее значимых угроз. Наилучшим способом организации этой работы является очное обсуждение (например, на заседании правления). При этом обсуждаемые риски могут либо выноситься на обсуждение по результатам деятельности подразделения риск-менеджмента по сбору предварительной информации, либо представляться самими участниками в рамках мозгового штурма. Независимо от выбранного способа именно обсуждение позволяет сформировать комплексное видение угрозы.
Обычно на таких совещаниях руководители департаментов охотнее говорят не о своих рисках, а о рисках, относящихся к другим департаментам. Это связано с боязнью дополнительной нагрузки: если финансовый директор выделяет риск, присущий финансовому департаменту, то именно ему потом и отвечать за управление этим риском. При этом позиция обычно такова: да, у нас есть риски, но наш департамент и так делает все, чтобы с ними бороться. Однако если дискуссия относительно определенного риска началась, то к ней охотно присоединяются все заинтересованные службы.
Возьмем, к примеру, экологические риски. Например, PR-департамент может нуждаться в информации об экологических рисках, однако добиться соответствующих данных от производственников не получается. Руководитель производства в свою очередь говорит, что у него нет времени на сбор таких данных. К дискуссии может присоединиться, к примеру, юридическая служба, которой приходится иметь дело с последствиями реализации экологических рисков – штрафами и судебными исками к компании. С точки зрения финансиста, возможные штрафные санкции к компании – это вопрос формирования денежных резервов, необходимых для ведения разбирательств и устранения последствий. И наконец, департамент взаимодействия с госорганами владеет информацией о том, какие государственные и негосударственные организации могут предъявить компании претензии в том случае, если допущены нарушения в экологической сфере. Таким образом, разговор, инициированный руководителем PR-службы, приводит к выработке объемного видения риска, которое можно формализовать. Становится понятно, что отсутствие механизмов сбора экологической информации влечет за собой юридические, финансовые и прочие риски. По итогам дискуссии составляется описание этих рисков, а затем формулируются конкретные задачи, которые компании необходимо решить для управления этими рисками. И вот уже мы говорим не о рисках, а о конкретных задачах, таких как организация системы экологической отчетности.
В рамках таких обсуждений правление компании формирует перечень значимых рисков и процедур, которые необходимы для управления ими. Затем это видение системы риск-менеджмента согласовывается с советом директоров. Ведь может выясниться, что у директоров иное видение проблем, стоящих перед компанией. В этом случае совет может поручить правлению доработать карту рисков.
После того как мы преобразовали такую туманную категорию, как риски, в привычные для менеджмента задачи, управление рисками становится также понятным и привычным любому руководителю, знакомому с процедурами управления проектами. Ключевым элементом здесь является ориентированность на достижение обещанного результата от всей программы управления рисками, а не на выполнение отдельных мероприятий. Именно по достижению запланированных результатов должна оцениваться работа владельцев рисков.
Такой подход встретит меньшее сопротивление, поскольку он будет представлять собой управленческий инструмент, а не дополнительную форму отчетности.
Как внедрить такую систему?
Такие системы, на мой взгляд, следует внедрять «сверху – вниз». И инициатива должна исходить от первых лиц компании. По крайней мере, они должны обеспечить ей полную поддержку.
Для начала компании следует разработать и отладить на практике процедуры управления рисками на корпоративном уровне, а уже потом, распространять систему на другие уровни управления, поскольку процедуры, проверенные на уровне топ-менеджмента и одобренные советом директоров, будет легче адаптировать для управленцев более низкого уровня. Кроме того, при таком подходе уже в самом начале процесса внедрения компания сможет добиться снижения наиболее существенных рисков.
В чем заключаются задачи собственно риск-менеджера внутри интегрированной системы управления рисками?
Риск-менеджер выступает в роли фасилитатора, обеспечивает необходимую поддержку: собирает (либо объясняет, как собирать) первичную информацию, модерирует совещания правления по вопросам управления рисками, а по итогам таких совещаний составляет формальные документы, служащие основой для принятия дальнейших мер по управлению рисками.
При распространении системы на другие уровни управления риск-менеджер оказывает руководству дивизионов и предприятий методологическую поддержку и администрирует единую систему документооборота.
Наконец, высший пилотаж для такого специалиста – это координация работ по управлению рисками различных уровней. Риск-менеджер обладает информацией обо всех рисках, выявленных в различных подразделениях и дочерних обществах компании, обо всех запланированных мероприятиях, об их результатах, о совершенных в процессе реализации этих мероприятий ошибках и найденных способах их исправления и т.п. Это знание он может использовать, чтобы рекомендовать владельцам рисков лучшие решения и обеспечивать тем самым эффективное распределение ресурсов компании.
Как добиться вовлеченности менеджеров среднего звена?
Чтобы операционный менеджмент занимался управлением рисками, необходимо донести до него информацию о возможностях, которые предоставляет система риск-менеджмента. Во-первых, это дополнительный канал связи, позволяющий донести информацию о нерешенных проблемах до вышестоящего начальства. Во-вторых, система риск-менеджмента влияет на распределение ресурсов в компании: разрабатывая меры по управлению рисками, менеджер посредством описания рисков обосновывает свои потребности в ресурсах, необходимых для решения определенных задач.
Кстати, речь идет не только о деньгах. Зачастую менеджерам не хватает полномочий, информации, поддержки руководства, кооперации со смежными подразделениями. Идентифицируя риск, менеджер описывает, какие убытки понесет компания, если запрашиваемые ресурсы не будут выделены. При этом если в компании действует бонусная система, при которой размер вознаграждения напрямую зависит от результатов работы, то, описывая риски, сотрудник заранее определяет пределы своей ответственности. Впоследствии это может стать обоснованием для нормализации показателей эффективности, если руководство проигнорировало его информацию о рисках и предложения по их снижению, и он не добился запланированных результатов.
К примеру, перед подразделением ставится задача: пробурить определенный метраж скважин или продать определенный объем продукции – в зависимости от специализации компании. Если показатель достигается – начальник подразделения получит свой бонус, если нет – его зарплата уменьшится. Начальник подразделения при описании рисков объясняет руководству, что результат достижим, однако существуют риски, не зависящие от него, – в случае их реализации показатели будут ниже, чем запланировано. И это может служить обоснованием для нормализации показателей, то есть для сохранения бонуса: ведь если плановые показатели не достигнуты по причинам, не зависящим от сотрудника, то это не должно влиять на размер вознаграждения.
Источник