В октябре 2017 года на портале Executive.ru прошла онлайн-конференция по корпоративным рискам. Где я представил систему управления комплексными рисками, ее структуру и практику внедрения на примере микрофинансовой организации. Интерес, проявленный участниками, подсказал идею отдельной статьи, посвященной этой теме. Дословный пересказ часового выступления был бы слишком громоздким. Поэтому я трансформировал его в более емкий материал, посвященный сути системы. А детали готов обсудить в форме диалога на форуме.
Стандартная система управления рисками
Устоявшаяся теория управления рисками состоит из нескольких этапов, представленных на схеме:
Основные посылы системы представлены в стандарте ISO 31000. Этот документ дает очень широкое пространство для действий, наверное, поэтому в сложившейся практике управления рисками система чаще остается недовнедренной. Причин много. Не все понимают, что надо делать и зачем это нужно, ведь явного экономического эффекта сразу и не видно. Это сложно и дорого. Это нужно делать постоянно и требуются специалисты по риск-менеджменту.
В сухом остатке: большая часть усилий в управлении рисками застревает на базовом уровне. Здесь начинаются проблемы с методами идентификации, с моделями оценки вероятных убытков и последствий реализации негативных событий. Но еще более сложным оказывается разработка мер по минимизации риска и последующая реализация этой программы.
Система, которую я хочу описать, создавалась с учетом сложившихся практик и тех результатов, которые они приносили.
Структура комплексных рисков
Краткая предыстория. Микрофинансовая организация встала перед необходимостью внедрения системы управления рисками. Это регуляторное требование, которое прописано в стандарте СРО. На начальный момент в компании было только управление кредитным риском, что заключалось в отслеживании качества скоринговой системы.
Аудит бизнес-архитектуры, который я проводил в этой организации, открыл ряд взаимосвязанных проблем, способных значительно повлиять на финансовые результаты бизнеса к концу года. Исходя из всего этого, было решено увязать программу организационных изменений с разработкой и внедрением системы управления рисками. Одним из требований было создание системы, которая управлялась бы не группой профильных специалистов по риск-менеджменту, а линейными руководителями и персоналом. Что мы и сделали совместно с менеджерами компании, опираясь на результаты аудита.
У каждой компании есть так называемые риски по умолчанию – те, что связаны с основным видом деятельности. Но каждый бизнес также испытывает на себе воздействие косвенных рисков: они могут быть одинаковыми для всех компаний на рынке, как например отраслевые риски, а могут быть специфическими для одной конкретной компании: например, специфические каналы привлечения клиентов. Эти риски зачастую бывают опаснее рисков по умолчанию, но по какой-то причине их игнорируют, что в итоге отражается в форме убытков. Мы решили не упускать из виду оба класса рисков и сгруппировали их в связанные категории. Получилась схема, отражающая структуру комплексного риска:
Мы определили комплексные риски, как группы рисков, специфически связанные с определенными функциональными элементами компании, и способные вызвать кумулятивный эффект – негативный или позитивный.
Система управления комплексными рисками
Теперь непосредственно о том, из чего состоит такая система и какие функции выполняет. Для наглядности вся ее архитектура представлена на одной схеме:
Кратко о каждом компоненте инфраструктуры. Идентификация рисков производится по принципу сверху вниз: определяются ключевые категории рисков для каждого функционального элемента компании. Делается это с помощью матрицы комплексных рисков и таблицы консолидации, шаблоны которых вы найдете в приложениях к этой статье:
Таблицы консолидации и структурирования реестра рисков
Изначально ключевых категорий рисков десять:
- Отраслевые риски.
- Коммерческие риски.
- Финансовые риски.
- Операционные риски.
- Законодательно-правовые риски.
- Репутационные риски.
- Информационные риски.
- Кадровые риски.
- Социальные риски.
- Инновационные риски.
Вы можете этот список сократить или дополнить, исходя из особых потребностей своей компании. После завершения этой части работы для каждой категории определяются собственно те риски, возникновение которых может привести к некоторым последствиям. Зная на опыте, что этот процесс очень сложный и кропотливый, я разработал риск-фреймворк, в котором собрал часто встречающиеся риск-события. Он помог линейному менеджменту микрофинансовой организации быстрее сформировать реестр рисков.
Оценка рисков
После того, как в ходе нашего проекта риски были детализированы, пришла очередь их оценки. После нескольких итераций мы определили наиболее приемлемые методы, использовать которые мог каждый руководитель подразделения. Из количественных методов это – оценка через математическое ожидание, метод экстраполяции и оценка через системную зависимость. Из качественных методов – экспертная оценка. Детали каждого метода я здесь не описываю.
Для целей мониторинга и анализа полезно построить профиль риска. Это нужно делать после оценки всего реестра, так как эта процедура строится на количественных характеристиках: суммарные потери, доля от общего числа.
Следующий компонент системы управления комплексными рисками – разработка превентивной риск-стратегии. Это второй по величине и первый по сложности раздел. Он включает в себя ретроспективный анализ реализованных рисков, описание факторов риска и превентивных действий для их минимизации, расчет допустимых и критических порогов риска. В завершении этого раздела идет разработка мер по трансформации риска и описание требований к системе инцидентов.
Ретроспективный анализ проводится для понимания структуры конкретных рисков, без этого будет сложно сформировать действительно эффективную риск-стратегию. Исследование реализованных рисков проходит на трех уровнях в самой компании, в ее продуктовом сегменте и в отрасли (лучше всего, если при этом рассматриваются и смежные отрасли).
Ретроспективный анализ позволяет определить факторы риска, которыми нужно дополнить сформированный ранее реестр. После этого для каждого фактора определяется размер допустимого и критического риска. Исходя из внутреннего распределения, свойственного конкретной компании, рассчитывается доля допустимого риска, которая отслеживается в ходе мониторинга. Для всех ключевых рисков – тех, что в случае реализации дают 80% убытков – определяются сигнальные пороги. По мере приближения к «красной черте» сотрудники компании предпринимают те или иные меры по минимизации последствий.
Превентивная риск-стратегия
Когда становится известна цена риска, разрабатываются действия, способные снизить ее. Есть несколько наиболее эффективных подходов:
- Компенсация риска – создание процесса или инициирующего события, которое трансформирует убыток в полную или частичную прибыль.
- Страхование – думаю, здесь пояснения излишни.
- Перспективная оценка – подход, основанный на сценарном анализе, когда сравнивается убыток от риска сейчас и в случае реализации некоего события, негативного или позитивного, в будущем.
Разработка превентивной риск-стратегии заканчивается определением критериев для системы инцидентов: признаки инцидента, алгоритм реализации и другие. Она нужна для эффективного мониторинга рисков. Эту систему можно полностью автоматизировать, что позволяет снизить затраты на ее обслуживание и сопровождение.
Мониторинг опасных событий
Следующий раздел – контроль риска. Он включает в себя непосредственно мониторинг риск-событий, учет реализованного риска и отчетность по установленным периодам. Этот процесс, как и предыдущие, должен быть задокументирован и оформлен в политике по управлению рисками.
Мониторинг риска может проходить снизу-вверх или сверху-вниз. Во втором случае руководитель самостоятельно собирает информацию о рисках со своих подчиненных и ведет учет их реализации. В первом, сотрудники, в чьей зоне ответственности находится тот или иной риск, по определенной процедуре отслеживают риск-события и передают информацию руководителю, а он в свою очередь консолидирует ее и определяет степень воздействия на риск. Такой подход к мониторингу хорошо дополнить уровнями, когда сотрудник сам может принять решение по воздействию на риск, а когда он должен эскалировать его выше. Этот вариант мониторинга и был реализован в МФО.
Аллокация риска
Аллокация – распределение информации о рисках по функциональным элементам компании и организационной структуре в соответствии с их спецификой. Это первичный механизм интеграции системы управления рисками в общую структуру компании, как по вертикали, так и по горизонтали.
Для эффективного планирования этого процесса мы использовали модель бизнес-архитектуры, с помощью которой в начале структурировали риски по функциональным элементам компании. Эта модель позволяет связать каждое подразделение с определенной категорией риска, а затем определить, какую именно информацию нужно транслировать. Важно отметить, что аллокация риска должна предусматривать систему обратной связи как вверх, так и вниз. Без этого она будет малоэффективна.
Для увеличения пользы в системе аллокации необходимо создать три уровня доступной информации, которые будут покрывать потребности в ней в кратко-, средне- и долгосрочной перспективе:
- Структура регламентирующей документации: политика управления рисками, методики оценок, методологические основы планирования риска.
- База данных по реализованным рискам с оценками и факторами: все это берется из реестра или иных источников и накапливается со временем.
- База знаний – раздел управления знаниями о рисках, который содержит превентивные шаги по тем или иным рискам, которые актуальны или были реализованы ранее. Здесь также содержится любая другая информация, способная помочь сотрудникам быстро реагировать на возможные негативные ситуации.
Актуализация рисков
Последний раздел системы управления комплексными рисками. Это регламентная процедура, которая проводится в определенный период (желательно строго установленный). Он чем-то схож с идентификацией и разработкой превентивной риск-стратегии, так как требует повторной переоценки риск-событий в реестре и корректировки в действиях. Это необходимый процесс, так как он позволяет системе не застаревать, а оставаться в надлежащем положении.
Управлять актуализацией должна команда, которая разрабатывала реестр и риск-стратегию – то есть менеджмент компании. Проводить эту работу лучше ежемесячно. Другой вариант, если вся система управления рисками ставилась извне, то аудит и актуализацию можно проводить раз в полгода, но никак не реже. Иначе эффективность управления рисками может значительно снизиться.
Моделирование системы управления рисками
Проектируя любую сложную систему, желательно проверить ее в безопасной среде. С современными средствами имитации это становится все доступнее. Учитывая, что представленная здесь система управления комплексными рисками тесно связана с факторным анализом, сделать это будет проще, так как есть четкое разделение на фактор и его переменную.
Можно имитировать работу как отдельного функционального элемента с его набором категорий риска, так и всей системы в целом. Разница лишь в сложности создания модели. Такое решение будет особенно верным, так как любому значительному изменению всегда сопутствуют сопоставимые траты. Имитационное моделирование – это относительно недорого и безопасно. В зависимости от инструмента моделирования можно сделать это или самостоятельно, или наняв специалистов со стороны.
В МФО мы создавали имитационную модель системы управления рисками для трех функциональных элементов в отдельности: риски, связанные с финансовыми потоками, риски в бизнес-процессах и информационные риски. Среда моделирования – AnyLogic.
Почему управление рисками так актуально
Тема управления рисками снова набирает обороты. Когда экономика идет на спад, компании ищут пути для повышения своей эффективности в новой обостренной среде. Но нужно понимать, что внедрение принципов управления рисками не может быть временной мерой – только на период, когда все не очень хорошо. Эти принципы должны действовать постоянно и развиваться вместе с компанией.
Правильная интеграция системы управления рисками способна поднять уровень бизнеса на несколько ступеней выше среднеотраслевого. Причин здесь несколько. Первая: перед внедрением системы управления рисками проводится аудит бизнеса, в ходе которого определяются слабые места, документируются процессы, формируется обстоятельное представление о структуре компании. Это позволяет найти точки, где не до конца используется имеющийся потенциал, или наоборот, найти участки, которые давно пора изменить или убрать совсем.
Второе: культура управления рисками заставляет по-другому мыслить сотрудников. Каждое решение, если оно взвешено на риск, будет с большей вероятностью реализовано, а, значит, частота успешных решений возрастает, – и шансы на подъем экономики компании.
И третье: умение определять комплексные риски формирует у руководства компании более масштабное видение окружающей бизнес-среды. Такой взгляд позволяет гораздо дальше видеть горизонты будущих перспектив, а, значит, дает возможность заранее подготовиться к переменам.
Вы хотите сказать о субъективизме? Или имели ввиду что-то конкретное? Второе предпочтительней, так как есть системы позволяющие повысить качество принимаемых решений.
Не хочу и в виду не имею. Сказал именно то, что сказал - все "инструменты" - это не более чем информация. А решение - это не автоматический вывод из информации а совсем другого порЯдка вещь
"Инструменты" не могут быть информацией по определению, Марат. Инструменты оперируют информацией.
А вот с этим утверждением согласен. Только не понятно что значит "другого порядка вещь".
Управление рисками - тема интересная, но туманная и руками трудно ощутимая.
Как выше было написано почему -то чаще говорят об управлении рисками в финансовой сфере. Но мне как "технарю" будет интересно прочитать о практическом опыте применения управления рисками в проектировании и машиностроении. Лет 15 назад работая в Службе качества предприятия столкнулся с FMEA, но как-то эта тема не прижилась. Специалисты ознакомились, заинтересовались и задвинули.
Туманная, Николай, только потому, что нет представления что и как делать. Стратегический менеджмент и менеджмент качества различны по задачам, хотя и взаимосвязаны. Развивая какое-то направление, будь то улучшение качества, бережливое производство, управление рисками, расширение продаж, мы не можем рассматривать их в отрыве от стратегического менеджмента, у которого могут быть разные акценты.
Чтобы облегчить работу над координацией действий руководства предприятия, чтобы не потерять основную цель за повседневной рутинной работой, в Англии появилась практика создания специальных служб по координации. Сначала это была бюджетная координация направленная на реализацию стратегических планов. В Германии прошлого века координация уже в большей степени касалась управления производством. Выработанная концепция системной координации стала называться контроллингом. Почитайте, особенно в немецком варианте.
Буквально вчера, на мастер-классе для нефтяников рассматривали этот метод (FMEA) применительно к системе управления рисками. На примере буровой установки.
По их просьбе мы организовали это мероприятие по управлению рисками, как раз с уклоном на прикладной уровень. Участники - руководители подразделений добычи и разведки, инженеры проектировщики и геослужба. Думаю, как раз то, о чем вы говорите.
Если интересно, можем с вами связаться и более подробно обсудить этот вопрос.
Философское отступление, тема Риск менеджмента близка к теме Информационной безопасности, и там и там деньги тратятся здесь и сейчас на компенсацию потенциальных угроз.
У грамотного заказчика по теме ИБ есть два основных вопроса, "сколько мы потеряем при осуществлении угрозы" и "как изменится вероятность осуществления угрозы, если мы потратим на ИБ к примеру 2% от возможных потерь". Это важно, так как углублять, расширять и улучшать улучшаемость можно до полного окончания финансов.
И к риск менеджменту это так же относится в прямую.
Возвращаясь к статье, все-таки - это не кейс, а "учебник" или "самостоятельная работа на тему", вроде курсовой. Заказчик упомянут три раза, один раз развернуто "Микрофинансовая организация" в начале и два раза в виде МФО далее. Если предложения с "реализован в МФО .." и "В МФО мы создали ..", убрать или заменить на абстрактные "Нужно сделать .." / "Предлагаем выполнять следующим образом .." или подобные, смысл статьи никак не пострадает.
Поскольку никаких рамок проекта от заказчика не было описано, кроме двух - "требование регулятора" и "управление системой силами линейных сотрудников", можно сделать вывод, что данному МФО эта система нафи.. не нужна. Почему такой вывод, МФО не проектная организация, ее максимальные потери от любых рисков можно посчитать в процентах на любой момент времени, от текущего "финансового портфеля". А значит можно посчитать, сколько от этих потенциальных потерь готова, потратить МФО на снижение конкретных рисков и какой процент снижения рисков будет получен, а об этом в статье ни слова. А ведь это влечет за собой не абстрактные типы рисков, а вполне конкретные, часть из которых мы «решаем», а какие-то просто принимаем. Ну и вряд ли в «жадной» коммерческой организации, коими являются МФО, сотрудники страдают от безделья, чтобы на них повесить задачи по постоянному ведению риск менеджмента без ухудшения выполнения основных функций.
Для увеличения пользы от статьи хотелось бы прочитать, надеюсь это не секретно в отличии от данных по реальному МФО, считались ли риски реализации проекта по внедрению «Системы управления рисками». И риски, создаваемые самим фактом внедрения системы, в том виде, как она реализована?