Один из наиболее обсуждаемых вопросов в последнее время – насколько эффективными оказались системы управления рисками не только в финансовых организациях, но и в компаниях реального сектора. Смогли ли они предотвратить или минимизировать последствия кризиса, а если нет, то почему? Как свидетельствует опыт, некоторые ответы лежат на поверхности.
Причины неэффективности систем управления рисками (СУР) в банках и компаниях реального сектора различаются. В данной статье мы рассмотрим СУР в промышленных компаниях и надеемся, что проведенный анализ позволит их руководителям переосмыслить свой опыт внедрения СУР, сделать систему управления рисками более приспособленной к решению сегодняшних задач.
Чтобы ответить на волнующие многих вопросы, нам придется развеять ряд мифов о системах управления рисками в российских компаниях.
Миф 1. «Разработка обязательных требований к корпоративным СУР повысит их эффективность»
Традиционно СУР в финансовых организациях достаточно формализованы, регулируются специальными надзорными органами, требования к ним известны и хорошо детализированы. Однако в отношении СУР компаний реального сектора подобных требований не существует. В этом, по мнению ряда экспертов, и кроется одна из причин неэффективности СУР в промышленных компаниях. Для сторонников данного мнения приведу только два аргумента.
Относительный успех документов, регулирующих деятельность финансовых организаций, например, Basel 21 и Solvency 22 , заключается в высокой однородности бизнес-процессов в банковской и страховой сферах. Но наш опыт показывает, что приведение СУР финансовых учреждений в соответствие с данными положениями требует огромной адаптационной работы для всех бизнес-процессов банка. Что же говорить о столь различных по природе процессах в остальных отраслях? Весьма сложно прописать детальные требования, к примеру, для металлургии и розничного бизнеса таким образом, чтобы системы управления рисками, построенные на их основе, были эффективны.
Если же требования к СУР невозможно детализировать в рамках единого документа, то он будет носить концептуальный, «идеологический» характер. Однако уже существуют концепция COSO и стандарт FERMA3, которые задают основные принципы и являются скорее путеводной звездой риск-менеджеров, нежели указаниями по построению СУР. В общем виде они не совсем работоспособны, а с повышением уровня детализации становятся все более специализированными для отдельных отраслей. Это, опять-таки, делает невозможной единую редакцию.
Достаточно наглядный аргумент против обязательного регулирования в реальном секторе состоит в том, что наличие такового в финансовой сфере мало способствовало предотвращению кризиса на финансовых рынках. Именно провалы в оценке рисков и, главное, возможность не следовать заданным нормативам при принятии решений привели к столь плачевным последствиям.
Итак, на основе сказанного выше я бы призвал очень осторожно относиться к идее обязательного регулирования построения СУР в компаниях.
1 Basel 2 – Соглашение комитета по банковскому надзору, содержит свод нормативов по совершенствованию техники оценки кредитных рисков и управлению ими. – Прим. ред.
2 Solvency-2 – положение по контролю платежеспособности страховых компаний. – Прим. ред.
3 Подробнее о международных стандартах, применяемых для управления рисками, читайте в статье «Первый опыт риск-менеджмента» («Финансовый директор», 2008, № 4). – Прим. ред.
Миф 2. «Огромное количество компаний построило корпоративные системы управления рисками»
Данный миф очень широко распространен. В него верят не только риск-менеджеры, но и руководители компаний, что гораздо опаснее с точки зрения возможных последствий. Для того чтобы его опровергнуть, проанализируем ключевые процессы корпоративной СУР и наметим основные пути повышения их эффективности.
Внедрена ли в вашей компании СУР?
Под корпоративной системой управления рисками в современной компании подразумевается система, в рамках которой регулярно осуществляются следующие процессы:
1. Выявление рисков, которым подвержена компания.
2 . Оценка выявленных рисков (набор параметров оценки может варьироваться, но в целом общепринятым считается оценка вероятности реализации риска и последствий реализации риска).
3 . Управление выявленными рисками, то есть разработка мероприятий по реагированию на риск.
4 . Мониторинг статуса рисков и контроля за исполнением мероприятий.
5 . Реагирование на реализовавшийся риск (кризис-менеджмент).
6. Анализ системных причин реализации риска.
7. Изменения по результатам анализа выявленных причин.
Для утверждения, что в компании существует базовая корпоративная система управления рисками, необходимо внедрить первые четыре процесса. Наличие оставшихся процессов характеризует более зрелые СУР. Верно и обратное утверждение: отсутствие хотя бы одного из первых четырех процессов свидетельствует об отсутствии единой корпоративной системы управления рисками.
Неэффективные выявление и оценка рисков
В огромном количестве компаний в ходе проектов я наблюдал якобы поставленные процессы выявления и оценки рисков – например, сформирована карта рисков, менеджмент периодически рассматривает данный документ на правлении и пребывает в уверенности, что СУР в компании существует. Это не совсем так. По сути, ограничение СУР только рамками выявления и оценки рисков аналогично заявлению, что смысл лечения заключается в регулярном измерении температуры. Цель СУР не констатировать, что есть риски, а управлять ими.
Также отметим низкое качество самих процессов по выявлению и оценке рисков. Последние часто не очень четко сформулированы, не привязаны к конкретным событиям, не задан период, за который они оцениваются. Лишь несколько компаний на моей памяти за последние 10 лет разработали достаточно полный корпоративный классификатор рисков и поддерживают его в актуальном состоянии. 10–15 основных типов рисков, существующих в недрах подразделений по внутреннему аудиту или риск-менеджменту, – это еще не классификатор.
То же касается и методов оценки рисков. В последнее время стало достаточно модно (не без помощи консультантов) использовать так называемые системы рейтингового голосования при оценке рисков 1 . Инструмент в целом неплох, но есть ряд условий, когда его применение оправданно. Во-первых, данный инструмент желательно использовать только для некоторых типов рисков, так называемых кросс-процессных, с которыми встречаются голосующие в рамках «своих» бизнес-процессов. Например, риски персонала, мошенничества, риски, связанные с отчетностью. Если же мы возьмем специфические риски, связанные с ликвидностью или с инструментами хеджирования, то реалистичная оценка одного-двух руководителей, вовлеченных в управление данным риском, будет «замазана» общим средним мнением руководителей, которые не работают на рынке производных инструментов и не понимают его специфику. Ценность такой оценки, на мой взгляд, сомнительна.
Во-вторых, такие сессии должна предварять огромная аналитическая работа и очень четкое модерирование во избежание влияния со стороны, скажем, генерального директора. Огромную роль играют и существующие метрики рисков, которые часто весьма запутаны и неочевидны (опять-таки, не без помощи консультантов). Таким образом, широкое применение данного инструмента не всегда целесообразно.
1 Смысл рейтингового голосования заключается в том, что топ-менеджмент собирается в одной комнате и в течение нескольких часов «идет» по списку выявленных рисков, нажимает кнопки на специальных пультах для голосования, определяя таким образом среднюю оценку каждого риска (его вероятность и последствия).
Неэффективное управление рисками
Недостаточно только измерить температуру, необходимо прописать лекарство. Поэтому следующим (и ключевым) процессом СУР является разработка мероприятий по управлению выявленными рисками, измеримых и конкретных. Недопустимо ограничиваться лишь так называемыми «процедурными контролями», то есть документами, регламентирующими выполнение контрольных процедур и мониторинг рисков.
Во многих российских компаниях предлагаются очевидные мероприятия по управлению рисками, а их исполнение контролируется не по степени снижения выявленных рисков, а по освоенным средствам. Зачастую отсутствуют ответственные за исполнение мероприятий, особенно если в их реализации участвуют несколько подразделений компании.
С другой стороны, часто мероприятия обсуждаются и реализуются без привязки к конкретному риску. Например, руководство компании или акционер (а в худшем случае – риск-менеджер) решили, что необходимо хеджировать процентный или валютный риск. Обоснованием при этом является не степень подверженности компании данному риску, а либо действия иных компаний, либо, что хуже, сила убеждения инвестиционных банков, предлагающих подобные решения. Такое мероприятие лишь выглядит как управление рисками, по сути же им не является: не была оценена действительная подверженность компании риску, не решено, насколько он критичен, не разработаны стратегии, как действовать при использовании инструмента и в какой ситуации от него отказываться, не прописаны механизмы внутреннего контроля. Понятно, что эффективность такого «риск-менеджмента» невысока, ведь самый главный принцип принятия решений – величина риска сравнивается с затратами по его минимизации – не соблюдается.
Другой актуальный сегодня пример из нашей практики. Многие компании срочно разработали и начали осуществлять различные антикризисные программы, главным образом, сокращать издержки, включая затраты на персонал, расходы на обслуживание оборудования, замораживать инвестиционные проекты. Следует задаться вопросами, как много служб по управлению рисками были привлечены к этому процессу? Cколько из них действительно оценило риски, связанные с такими программами, рассчитали изменение общего уровня риска компании (который почти наверняка увеличится)? Какие мероприятия будут предложены, чтобы минимизировать возросший риск отказа оборудования после уменьшения числа ремонтов? Или, например, как сокращение персонала может повлиять на общую производительность? К сожалению, в большинстве случаев при сокращении персонала не учитывается влияние отдельных сотрудников на производственный процесс – просто выполняется полученное сверху распоряжение «сократить персонал на 10% по каждому подразделению». В итоге специалистов пенсионного возраста увольняют в первую очередь. А потом в картах риска возникает риск разрыва поколений, отсутствия преемственности в передаче знаний и прочее. Казалось бы, именно в таких процессах службы по управлению рисками должны быть наиболее активны, но на практике это наблюдается лишь в единичных компаниях. В большинстве случаев, к сожалению, менеджмент легко отодвигает в сторону все утвержденные политики по управлению рисками, аргументируя это критичностью ситуации. Все это иллюстрирует настоящую «ценность» риск-менеджмента в компаниях.
Неэффективный мониторинг рисков
Очевидно, что отдача от существующих мероприятий по управлению рисками должна периодически оцениваться. Здесь мы приходим к осознанию еще одной простой истины: после принятия лекарства необходимо проверить, возымело ли оно действие, каков оздоровляющий эффект и достигнут ли нужный результат. Такая оценка происходит в рамках последнего из базовых процессов управления рисками – мониторинга.
Следует отметить, что мониторинг, по крайней мере, во многих компаниях формализован в большей степени, чем другие процессы (вероятно, неистребимая любовь российских компаний к бюрократическим процедурам сыграла свою роль). Тем не менее, в основном процедуры мониторинга выстроены для выявленных рисков и очень редко включают, например, мониторинг внеплановых потерь. К тому же мониторинг часто не интегрирован с бюджетными процессами. Поэтому ценность полученной информации может быть сомнительна, а отсутствие мониторинга реализовавшихся рисков даст искаженное представление об их текущем уровне по компании в целом.
Рисунок. Состояние системы управления рисками в компаниях
Источник: «Бейкер Тилли Русаудит», декабрь 2008 г.
Иные процессы СУР
Что касается остальных процессов СУР – реагирование на реализацию риска (кризис-менеджмент), системный анализ причин реализовавшихся рисков и коррекция бизнес-процессов по его результатам, – то возможности для их улучшения весьма существенны.
Наша практика показывает, что регулярные процессы моделирования действий в случае реализации рисков и разработка мероприятий кризис-менеджмента существуют только в единичных компаниях. Этот факт напрямую влияет на уровень реальных потерь, которые несет бизнес в случае кризиса. Например, в условиях нестабильной экономики в компаниях резко выросла дебиторская задолженность. В терминах риск-менеджмента – увеличился кредитный риск. И только в этот момент менеджмент начинает задаваться вопросом о разработке кредитной политики для контрагентов. Действенные процедуры моделирования реализации риска привели бы риск-менеджера к осознанию этих проблем уже при первых признаках кризисной ситуации, еще до того, как увеличилась просроченная дебиторская задолженность.
Наконец, компаний, которые на самом деле внедрили эффективный анализ причин реализации рисков, совсем немного. К сожалению, поскольку это недорого (даже с привлечением внешнего консультанта, а уж тем более за счет внутренних ресурсов) и, по моему мнению, наиболее эффективно для совершенствования СУР.
Неутешительный вывод
Подводя итоги анализа базовых процессов риск-менеджмента в российских компаниях (выявления, оценки, управления и мониторинга), нельзя не отметить целый ряд проблем, характерных для любого из них.
С одной стороны, огромное количество компаний заявляют о внедрении корпоративных СУР, с другой стороны, очевидна неэффективность подавляющего большинства таких систем. Одно название, к сожалению, в современных экономических условиях не защитит бизнес от серьезных рисков.
Если из всего множества компаний мы исключим те, в которых риск-менеджмент не формализован и не внедрялся, а оставшееся количество сократим на компании, где СУР неэффективна по базовым процессам, то у нас останется не так уж и много предприятий. Таким образом, с мифом об огромном количестве компаний, внедривших СУР, мы можем уверенно расстаться.
Семь советов, как повысить эффективность системы управления рисками
– Пересмотрите позиционирование СУР в компании – это должна быть немногочисленная влиятельная служба, ответственная за координацию решения проблем, с которыми сталкивается бизнес.
– Оцените, насколько полномочия службы позволяют решить реальные проблемы (вспомните, какие сложности возникали в последнее время и могла ли СУР способствовать их преодолению).
– Откажитесь от любых теоретических построений в рамках СУР, необоснованного моделирования и усложненных оценок – ориентация на абстрактные цифры в отличие от конкретных действий никогда не дает результата.
– Сравните расходы на поддержание СУР с результатами ее работы, сопоставьте с показателями по аналогичным компаниям. Если вы не знаете, как оценить пользу от внедрения системы, то скорее всего, ее попросту нет.
– Попробуйте организовать обсуждение реальных рисков компании, сделайте его максимально практичным (воспользуйтесь модератором, если необходимо).
– Внедряйте процедуры системного анализа причин реализовавшихся рисков.
– Сконцентрируйтесь на главных типах рисков (и на тех, которыми вы можете управлять), но реализуйте все 7 основных процессов СУР для выбранных рисков.
И главный совет – будьте практичными при построении СУР, ищите любую возможность через внутреннее обсуждение предложить решение по обсуждаемому риску.
Миф 3. «Систему управления рисками можно построить без участия руководства»
Основой для эффективной работы СУР является ее интеграция в процесс принятия решений в компании. Систему важно не только создать, но и обеспечить взаимосвязь процессов управления рисками и принятия решений, реальную вовлеченность менеджмента (а в идеальных условиях и акционеров) в обсуждение рисков бизнеса. Если этого нет, то СУР лишь хорошая декорация, например, для повышения кредитного рейтинга или для снижения страховой премии.
Выполняя проекты, я часто присутствую на комитетах при советах директоров, участвую в заседаниях правлений для того, чтобы модерировать обсуждение рисков. Во избежание нерезультативных дискуссий вокруг «пустой» карты рисков, для исключения из обсуждения неважных для топ-менеджеров деталей требуется высокая степень зрелости СУР, подготовленность рассматриваемой информации и действительная приверженность топ-менеджмента принципам управления рисками.
Именно топ-менеджеры, генеральный и финансовый директора, являются самыми правильными заказчиками СУР. Именно они, а не риск-менеджер или внешний консультант, должны определить дизайн системы, регулярно оценивать ее действенность. Именно в таких компаниях риск-менеджмент даст результаты, а СУР станет реальным инструментом создания стоимости для компании.
Миф 4. «СУР может позиционироваться на среднем уровне управленческой иерархии»
Следующим стратегическим моментом при оценке общей эффективности СУР является позиционирование подразделения, ответственного за процессы управления рисками.
Во многих компаниях инициатором внедрения элементов СУР является внутренний аудит. Но нельзя забывать, что именно внутренний аудит должен анализировать эффективность построенной системы. При оценке собственных результатов весьма вероятен конфликт.
Идеологически риск-менеджмент должен быть внутренним оппонентом для корпоративных решений. В таком созидательном оппонировании и существует та добавочная стоимость риск-менеджмента, которую сегодня не могут найти руководители многих компаний.
Основной задачей риск-менеджера является нахождение проблем в компании и разработка механизмов их решений, что особенно важно при возникновении кросс-функциональных проблем. Количество действительно решенных задач является мерой оценки эффективности работы подразделения. Если риск-менеджер не обладает исполнительными функциями, не знает в деталях бизнес компании, не имеет возможности анализировать управленческие решения, то отдача от системы управления рисками будет невысока. Если у риск-менеджера в принципе отсутствуют регулярные коммуникации с руководством компании, то не совсем ясно, для кого же он вообще работает.
Кто виноват
Опровергнув ряд существующих заблуждений касательно систем управления рисками, попытаемся ответить на поставленный в начале статьи вопрос – почему при наличии СУР многие компании оказались неготовыми к реализации рисков.
Во-первых, нормальный (эффективный) риск-менеджмент существует в относительно небольшом числе российских компаний.
Во-вторых, даже хороший уровень развития СУР не гарантирует, что акционер или топ-менеджер примет предложенное решение по управлению риском. И это нормально, ведь одна из стратегий по управлению риском заключается в его принятии. Определение приемлемого уровня риск-аппетита – это компетенция акционера и менеджмента, но не риск-менеджеров. Здесь нет повода подвергать сомнению эффективность СУР. Действительно, риски ликвидности оцениваются во многих компаниях как критичные, но если акционер считает стратегически важным для себя агрессивную экспансию за счет привлеченных кредитов, это его право и его выбор. Классический экономический закон – на больший принятый риск возможен больший доход – никто не отменял, и резкий рост российских компаний в последнее время был его доказательством.
В-третьих, события, которые происходят в мировой экономике сегодня, имеют настолько фундаментальный характер по сравнению с отдельной (даже очень большой) корпорацией, что при всем моем уважении к профессиональному сообществу риск-менеджеров не в их силах что-то противопоставить этим угрозам. Их ошибка, вероятно, в недооценке важности процедур кризис-менеджмента для компании.
Что делать
Оправданно ли внедрение СУР в сегодняшних условиях? Безусловно, да. Как никогда ранее. Только необходимо ставить четкие, измеримые задачи, последовательно их решать и лишь убедившись, что решение работает, переходить к постановке следующих задач.
Как показывает мой опыт, риск-менеджмент мало востребован, когда все хорошо. Это один из инструментов антикризисного управления. Уверен, внедрение СУР ради статусных целей или только для соответствия различным требованиям уйдет в прошлое.
Кроме четкого спроса на стратегический риск-менеджмент, будут востребованы конкретные решения по отдельным типам рисков:
– кредитному (кризис уже привел к росту неплатежей);
– процентному (мы помним скачки ставок LIBOR в октябре);
– валютному (уже понятно, что 2009 год будет ознаменован плохо предсказуемыми изменениями валютных курсов);
– операционному (часто непродуманные сокращения издержек ведут к росту аварийности, внеплановым простоям. Кроме того, уже сейчас предпочтение отдается внедрению эффективных программ управления операционными рисками, а не дорогому страхованию как раньше).
Такие решения экономически понятны и измеримы, их обоснованность не вызывает сомнений у менеджмента.
Акционеры будут гораздо больше заинтересованы в понимании, какие риски характерны для их бизнеса, соответственно, менеджмент должен будет удовлетворить этот интерес.
Необходимо помнить, что управление рисками в современных условиях – это скорее не процесс, а один из управленческих навыков акционеров и менеджмента.
