Источник: Риск-Академия Опубликовано в журнале «Внутренний аудитор» Часть 1 Оценка эффективности управления рисками, как, наверное, и оценка любого бизнес-процесса, сложный и нетривиальный рецепт, который состоит из нескольких важных ингредиентов: понимание целей управления рисками, критериев оценки и анализа фактуры. В прошлом номере мы говорили о целях управления рисками, позвольте в этот раз подробно описать критерии оценки управления рисками.
Б. Определение критериев оценки управления рисками
Каждый раз, когда я выступаю на конференции по управлению рисками я стараюсь спрашивать аудиторию «на что необходимо обратить внимание, чтобы сделать вывод об эффективности управления рисками в организации?» Это хороший тест для аудитории. Если мне отвечают, что нужно посмотреть на положение по управлению рисками, отчеты о рисках, реестры рисков, аппетит к риску или планы митигации для существенных рисков, я понимаю, что аудитория не очень хорошо понимает, как выглядит эффективное управление рисками. А вот, что ответили мне руководители по управлению рисками крупнейших глобальных компаний на прошлогодней конференции G31000, эксперты, ко мнению которых я прислушиваюсь уже много лет:
9 2 Анализ и оценка финансовых рисков компании
Риск менеджмент 1
Риск-менеджмент 1 – это набор действий и документов, направленный на презентацию информации о рисках организации в формате, установленном внешними заинтересованными сторонами. Аудит риск менеджмента 1 это приблизительно 10% в общем весе критериев оценки эффективности управления рисками. В рамках аудита риск менеджмента 1 необходимо проанализировать следующие критерии:
Все ли есть из внешних требований к риск менеджменту 1?
Для большинства компаний существует как минимум несколько внешних документов к управлению рисками, где перечислены требования или рекомендации в отношении управления рисками. Это могут быть новые изменения в законе об акционерных обществах, ГОСТ Р ИСО31000, кодекс корпоративного управления ЦБ или методические рекомендации Росимущества, а также отраслевые стандарты и рекомендации, которые так или иначе затрагивают тему управления рисками. Первая задача внутреннего аудитора в рамках риск менеджмента 1 убедиться, что любые документы, упомянутые во внешних требованиях, разработаны и внедрены в организации.
Как много ресурсов затрачивается на обновление риск менеджмента 1?
Насколько риск менеджмент 1 используется для получения финансовой выгоды для компании?
Раз уж в обозримом будущем, риск менеджмент 1 никуда не исчезнет и риск менеджерам придется разрабатывать регламенты по управлению рисками и поддерживать в актуальном состоянии реестры рисков, этим нужно пользоваться. Последним критерием для аудита является финансовая выгода от риск менеджмента 1. На момент написания статьи, страховые компании, банки, внешние аудиторы и рейтинговые агентства все еще позитивно оценивают наличие риск менеджмента 1. Качественный и полноценный риск менеджмент 1, хоть и бесполезен для принятия бизнес решений, помогает экономить на страховании и привлечении внешнего финансирования. Задача риск менеджеров обеспечить экономию. Задача внутреннего аудита убедиться, что это действительно происходит.
Что такое риск? 3 вида риска и как количественно оценивать каждый из них
Риск менеджмент 2
Одним из первых и наиболее важных тестов эффективности управления рисками в организации является уровень интеграции процессов выявления, анализа и управления рисками в процессы принятия управленческих, инвестиционных и операционных решений. Мы называем это «риск-менеджмент 2». Аудит риск менеджмента 2 это приблизительно 50% в общем весе критериев оценки эффективности управления рисками. Для того, чтобы сделать вывод об интеграции управления рисками в ключевые бизнес-процессы и процессы принятия решений организации необходимо обратить внимание на:
Регламенты, описывающие бизнес-процессы
Первое на что необходимо обратить внимание в рамках аудита риск менеджмента 2 это то, насколько управление рисками интегрировано в действующие нормативные документы в организации. Не отдельный регламент по управлению рисками, это риск менеджмент 1, а то, насколько требования и принципы управления рисками прописаны во всех ключевых нормативных документах.
Есть ли в регламенте планирования и бюджетирования требование о проведении полноценного анализа рисков на этапе формирования стратегии или бюджета? Есть в регламенте закупок требование или процедура оценки поставщиков с точки зрения рисков или прописаны требования риск-ориентированного мониторинга и контроля? И так далее.
В риск менеджменте 2, во всех ключевых бизнес-процессах должны быть прописаны требования к анализу рисков на этапе принятия существенных решений. При этом анализ рисков должен проводиться не для принятия к сведению, а непосредственно и напрямую влиять на принимаемое решение. Например, на моем прошлом месте работы, NPV проекта считался условно по разным формулам в зависимости от уровня риска проекта.
Материалы и протоколы принятия решений
Второе на что необходимо обратить внимание это материалы, повестки и протоколы заседаний, на которых принимаются решения с учетом рисков. Если в материалах Правления или Инвестиционного комитета информация о рисках в явном виде не раскрывается, это скорее всего говорит о том, что риск менеджмент 2 делается не системно или является неэффективным. Интересное наблюдение, что если принципы риск-ориентированности добавить во все аудиты в течение года, то тогда внутренним аудиторам не придется вообще отдельно проверять риск менеджмент 2.
Роль риск менеджмента в процессе принятия решения
Последнее на что необходимо обратить внимание, это то, как руководители воспринимают риск менеджмент в процессе принятия решений. Для этого возможно проведение нескольких интервью с ключевыми руководителями, чтобы оценить как они видят роль и в чем видят пользу от анализа рисков в процессе принятия решений. В следующем номере я опишу критерии аудита культуры управления рисками и самой команды риск менеджеров…
Источник: www.audit-it.ru
Риск менеджмент 1 или Риск менеджмент 2. В чем отличия и чем заниматься в первую очередь?
Долгое время мне наивно казалось, что внедряя качественный, проактивный риск менеджмент в Российских нефинансовых компаниях можно удовлетворить все заинтересованные стороны. Прошли годы и теперь, лично мне, абсолютно очевидно, что внутренние и внешние стейкхолдеры хотят видеть совершенно разный, практически не связанный между собой, риск менеджмент.
Так появился риск менеджмент 1 — управление рисками в интересах внешних стейкхолдеров (регуляторы, акционеры, совет директоров, банки, страховые, рейтинговые агентства) и риск менеджмент 2 — управление рисками, а скорее даже анализ рисков, в интересах руководителей, принимающих решения внутри организации.
В этой статье я приведу примеры и аргументы почему риск менеджмент 1 и риск менеджмент 2 не имеют ничего общего.
В качестве сквозной темы для статьи я выбрал фильм матрица, так как именно в нем нужно было выбрать между красной и синей пилюлей. Это красиво, но не совсем корректно. У риск менеджеров нет выбора между риск менеджментом 1 и риск менеджментом 2. Оба должны быть реализованы в компании. Это, скорее, выбор приоритетов.
Мое правило, 10% времени или меньше на риск менеджмент 1 и 90% или больше на риск менеджмент 2. Это полная противоположность тому, как сейчас устроена работа по управлению рисками в российских компаниях. Ирония заключается в том, что большинство риск менеджеров хотят заниматься риск менеджментом 2, но жалуются, что на это просто не хватает времени из-за требований регуляторов, Росимущества и т.д. Это полная чушь и отговорки!
Хорошие риск менеджеры найдут способ как в десятки раз сократить трудозатраты на риск менеджмент 1 и заниматься большую часть времени риск менеджментом 2. Я повторю, задача хорошего риск менеджера сократить время на риск менеджмент 1 и перераспределить это время на риск менеджмент 2.
На тему риск аппетита в нефинансовых компаниях я много писал на английском (here, here and here) и на русском Все что нужно знать о риск аппетите в нефинансовой компании
Говоря просто, отдельный документ/документы с аппетитом к риску не нужен, так как различные аппетиты к разным видам рисков уже прописаны в существующих документах уровня совета директоров (устав, политики и т.д.). Ну а если не прописаны, то и прописывать аппетиты к рискам нужно в существующих документах уровня совета директоров, а не создавать новые. Почему этого не понимают консультанты и Росимущество я не знаю.
- Как внедрять новые требования 209-ФЗ по управлению рисками
Что делать, если вопреки здравому смыслу, совет директоров или регулятор настаивает на создании отдельного документа/документов. Бог с ними. Сделайте. Это просто скопировать-вставить из существующих документов и сделать красиво, сгруппировав аппетиты к привязке к стратегическим целям. Это занимает ровно 10 минут и не требует долгого обсуждения и согласования с бизнесом.
Поздравляю вы только что сэкономили неделю работы!
Еще про риск аппетит и что делать написано вот здесь: Практические советы: ЗАДАЙТЕ ТОН СВЕРХУ
Регламент управления рисками, а тем более системы управления рисками, это риск менеджмент 1. Никто этот документ, кроме самого риск менеджера и внутреннего аудитора, не читает и, уж тем более, для принятия решений не использует. Наивное решение многих риск менеджеров — это продвигать регламент и рассказывать о нем сотрудникам, чтобы они магическим образом и вопреки здравому смыслу начали его использовать. Есть более интересная альтернатива. В рамках риск менеджмента 2, вместо того, чтобы описывать процесс управления рисками в отдельном регламенте, компании вносят изменения в действующие процедуры, например регламент инвестиционной деятельности или процедуру бюджетирования.
Тот же самый подход может использоваться для всех ключевых процессов. Вместо единых централизованных документов по управлению рисками, владельцами которых являются риск-менеджеры, должны быть изменены существующие нормативные документы. Таким образом ответственность за соблюдение нормативных документов закрепляется за бизнес подразделениями.
Из этого также следует, что не должно быть единого процесса управления рисками в компании, на его смену должны прийти множество индивидуальных подходов для каждого из ключевых бизнес-процессов / типа принятия решений в организации. Когда я был директором по рискам, у меня было 5 разных риск менеджментов.
Корпоративные реестры рисков встречаются повсеместно и тем не менее они риск менеджмент 1. Как сказал один из основателей австралийской школы риск менеджмента, автор ISO31000 и, возможно один из первых, кто придумал в 1980х реестры рисков, Грант Перди, все, на что они годятся это туалет для хомячков. Послушайте полное интервью с ним здесь: Как рисками управляют в Австралии (часть 2)
В рамках риск менеджмента 2, анализ рисков проводится не для целей анализа рисков и даже не для их нивелирования, а в контексте принятия решений и реализации бизнес-процесса. Поэтому:
- описываются риски обычно в тексте решения или в документах, регламентирующий бизнес-процесс (для каждого решения или процесса свои риски, необходимость в общем корпоративном реестре отпадает)
- оцениваются риски не с помощью вероятности и ущерба (качественные способы оценки — это риск менеджмент 1), а с помощью современных инструментов количественной оценки и результат анализа представляется в виде распределений или торнадо диаграмм (обычно для разных процессов принятия решений используются разные инструменты, либо деревья решений, либо имитационное моделирование, либо и то и другое вместе, плюс еще 2-3 инструмента)
- мероприятия по рискам прописываются в плане работы или в плане реализации решения
- необходимость в определении владельцев рисков отпадает и т.д.
Есть правда нечто, что еще бесполезнее реестра рисков, это реестр рисков и возможностей. Это возможно предел человеческой тупости. Но об этом в следующий раз.
Удивительно, но даже отчетность о рисках — это риск менеджмент 1. Есть способ более эффективно интегрировать информацию о рисках в процессы принятия решений:
- Интегрируйте информационные блоки о рисках, связанных с достижением целевых показателей КПЭ, в шаблоны внутренней управленческой отчетности
- Разработайте несложные методики для подготовки соответствующих информационных блоков о влиянии рисков на цели и целевые показатели
- Включите требования по анализу рисков во внутренние политики и процедуры, а требования по анализу рисков в критерии принятия внутренних корпоративных решений.
Технически, отдельный комитет по управлению рисками это риск менеджмент 1. Однако, большинство опрошенных нами риск-менеджеров утверждают, что наличие консультационного органа по управлению рисками на уровне правления оказывает существенный положительный эффект на развитие культуры управления рисками в организации.
Состав комитета по управлению рисками должен быть достаточно представительным, чтобы обеспечить рассмотрение различных точек зрения по вопросам управления рисками. На практике многого ожидать от комитета не стоит, но все же.
Комитет может фокусироваться на рассмотрении методологических вопросов с целью, в первую очередь, разгрузки повестки дня правления или принимать непосредственное участие в процессе принятия инвестиционных, проектных и прочих решений, связанных с высокими рисками, или же совмещать обе функции. Комитет по управлению рисками может собираться как на регулярной (ежемесячной или ежеквартальной) основе, так и по запросу председателя комитета при появлении вопросов, которые требуют анализа рисков. Важно, чтобы в составе комитета участвовали директора подразделений бэк-офиса (финансы, юристы, безопасность, внутренний аудит), так и представители бизнеса (производственные отделы, продажи, маркетинг).
Что еще по вашему мнению можно классифицировать, как риск менеджмент 1? 3 линии защиты, владельцы рисков, планы мероприятий, ключевые индикаторы рисков, информация о СУР в годовых отчетах? Пишите в комментариях ниже и репостите статью.
Источник: terradocsinvest.ru
Оценка рисков от «А» до «Я». Часть 2. Какие рабочие места оценивать? Кто и как должен это делать?
Все ли рабочие места организации подлежат оценке рисков?
Ответ на этот вопрос одновременно и прост, и сложен.
В первую очередь, следует помнить, что, согласно статье 212 ТК РФ, работодатель обязан обеспечить:
- безопасность работников при эксплуатации зданий, сооружений, оборудования, осуществлении технологических процессов, а также применяемых в производстве инструментов, сырья и материалов;
- информирование работников об условиях и охране труда на рабочих местах, о риске повреждения здоровья.
Поскольку требования статьи 212 ТК РФ относятся к обязанностям работодателя в отношении всех его работников и базируются на нормах статьи 37 Конституции РФ, в соответствии с которыми каждый имеет право на труд в условиях, отвечающих требованиям безопасности и гигиены, то ответ на вопрос, вынесенный в заголовок, совершенно однозначен: оценке профессиональных рисков подлежат все рабочие места, имеющиеся у работодателя, без каких-либо исключений.
Но это формальный ответ, основывающийся исключительно на букве и логике действующего трудового законодательства.