Способы оценки эффективности системы управления рисками

Аудит и оценка эффективности корпоративного управления рисками

Опубликовано в журнале «Внутренний аудитор»

Оценка эффективности управления рисками, как, наверное, и оценка любого бизнес-процесса, сложный и нетривиальный рецепт, который состоит из нескольких важных ингредиентов: понимание целей управления рисками, критериев оценки и анализа фактуры. Об этом и поговорим.

А. Понимание целей управления рисками

Эксперты АНО ДПО «ИСАР» занимаются изучением особенностей управления рисками в компаниях реального сектора уже более 15 лет, и за это время многое поменялось в управлении рисками. Вот несколько современных трендов, которые должен понимать каждый внутренний аудитор перед началом формирования плана проверки эффективности управления рисками:

Цель управления рисками — это не эффективное управление рисками.

За редким исключением рисков, которыми необходимо управлять потому, что такие указания есть в действующем законодательстве (риски, связанные с охраной труда, экологией, противодействие коррупции и т.д.), «бизнес»-рисками, стратегическими, операционными, проектными рисками не управляют. На этом, обычно, у среднестатистического аудитора логика рушится. Читайте дальше, скоро все станет понятно. Я с вами лишь делюсь тем, что обсуждают и публикуют лучшие риск- менеджеры по всему миру.

В современной практике управление рисками рассматривается не как процесс и тем более не как система (общепринятый термин «система управления рисками» вообще противоречит всей идеологии управления рисками и международным стандартам, поэтому в АНО ДПО «ИСАР» он никогда не используется), а как инструмент принятия решений.

Это означает, что управление рисками должно быть не самостоятельным обособленным процессом со своими входами, выходами и документами, а встроено в процессы принятия решений и бизнес-процессы организации и риски должны анализировать не раз в квартал или полугодие, как это делается сейчас, а в момент подготовки любого важного решения. Это важно!

С точки зрения эффективной практики управления рисками, наличие политики, регламента управления рисками и обширного реестра рисков, который регулярно обновляется, но при этом стратегия, бюджет или инвестиционные решения принимаются без учета рисков является примером неэффективного управления рисками. А принятие инвестиционного решения только после валидации допущений менеджмента и анализа нескольких или нескольких тысяч сценариев, при отсутствие каких-либо отдельных отчетов о рисках, наоборот, считается эффективным риск-менеджментом.

Поэтому, одним из первых и наиболее важных тестов эффективности управления рисками в организации является уровень интеграции процессов выявления, анализа и управления рисками в процессы принятия управленческих, инвестиционных и операционных решений. Мы называем это «риск-менеджмент 2». Примером такого подхода может послужить крупная российская государственная структура, направленная на инвестиции в развитие высоких технологий, в которой все инвестиционные решения принимаются только после проведения независимой оценки рисков и их влияния на ключевые показатели проекта. Другой пример: крупная авиакомпания, в которой каждое стратегическое решение должно иметь несколько альтернативных вариантов, при этом каждый вариант оценивается с точки зрения рисков, влияющих на успех его реализации.

Константин Дождиков, директор по управлению рисками ООО «УК «РОСНАНО»: «Для ООО «УК «РОСНАНО» очень важно чтобы каждое инвестиционное решение принималось с учетом рисков. Поэтому в отношении инвестиционных решений проводятся обязательные процедуры выявления и оценки рисков. При этом выявляют и оценивают риски как проектные команды, которые ведут проект, так и отдельные функциональные подразделения, которые пристально анализируют юридические, финансовые, технологические и др. аспекты сделки и проекта. Это обеспечивает более объективный и независимый анализ рисков инвестиционных решений».

Цель риск-менеджмента 2 – поддержка и информирование руководителей о рисках в процессе принятия решений. Задача риск-менеджера – сделать риски понятными и их влияние на цели или решение оцифрованным, чтобы позволить человеку, принимающему решения, сделать осознанный выбор, основанный на полной информации. Бывший глава риск-менеджмента LEGO на английском называет это intelligent risk taking, а Норман Маркс, автор и гуру риск-менеджмента, называет «риск-менеджмент 2» informed and intelligent risk taking. Хотите больше независимых точек зрения? Мы специально подобрали 11 наиболее полезных книг по управлению рисками, которые рассказывают именно о риск-менеджменте 2 и о многочисленных недостатках традиционного для России подхода к управлению рисками: https://riskacademy.blog/2017/01/14/my-favourite-risk-management-books

В таком контексте задача внутреннего аудитора – оценить, насколько управление рисками интегрировано в процессы принятия решений и насколько руководители эту информацию в процессе принятия решений используют, а также качество анализа рисков.

Но, если есть «риск-менеджмент 2», то есть и «риск-менеджмент 1»?

Помимо основной цели риск-менеджмента – информировать руководителей, принимающих решения, – есть и еще одна задача – удовлетворить требования к риск-менеджменту со стороны акционеров, регуляторов и проверяющих. Поэтому существует «риск-менеджмент 1». Риск-менеджмент 1 – это набор действий и документов, направленный на презентацию информации о рисках организации в формате, установленном внешними заинтересованными сторонами. К сожалению, требования к риск-менеджменту 1 очень сильно отличаются от инструментов и практик, которые используются в риск-менеджменте 2. И, несмотря на многолетнюю работу экспертов АНО ДПО «ИСАР» с представителями Министерства экономического развития и Счетной Палаты, требования к риск-менеджменту пока далеки от реальных инструментов, которые мы, риск-менеджеры, используем. Поэтому риск-менеджеры часто дублируют или генерируют набор документов, специально для регуляторов, которые в целом бесполезны для принятия решений и управления организацией. Что еще хуже, в контексте риск-менеджмента 1, риск-менеджеры вынуждены использовать инструменты (такие как оценка рисков через ущерб и вероятность, документация рисков в реестрах и формирование карт рисков), которые дают заведомо ложные и не полные данные.

Любовь Фролова, директор АНО ДПО «ИСАР»: «Исследование практики управления рисками в государственных и частных структурах в развитых странах, проведенное АНО ДПО «ИСАР», показало, что страны, которые делают упор на интеграции управления рисками в процессы принятия решений и культуру организации, достигли более высокого уровня зрелости. Российская же нормативная база пока находится в достаточно незрелом состоянии. Несмотря на то, что некоторые государственные структуры активно развивают тематику управления рисками (ведомства, которые сейчас внедряют «риск-ориентированный» надзор), в некоторых случаях эта работа никак не синхронизирована с принципами ГОСТ Р ИСО 31000, а часто прямо противоречит положениям международного стандарта. Это существенное отличие от западной практики, где ISO 31000 является основополагающим документом по управлению рисками для всех организаций.»

Однако не все так плохо. Банки, рейтинговые агентства и страховые компании все еще поощряют риск-менеджмент 1, поэтому можно снизить стоимость страхования и улучшить условия привлечения финансирования даже с помощью риск-менеджмента 1.

Задача внутреннего аудитора в этом случае убедиться, что «потемкинская деревня» под названием риск-менеджмент 1 не сильно отвлекает менеджмент от работы, риск-менеджеры не заставляют руководителей заполнять безумные реестры рисков на 50 колонок и, при этом, все пункты, требуемые регулятором, выполнены. Хорошие риск-менеджеры делают все документы риск-менеджмента 1 сами. Аудиторы также должны убедиться, что риск-менеджмент 1, какой бы он ни был, приносит пользу компании через снижение страховых премий и снижение стоимости финансирования.

В следующей статье мы поговорим о критериях оценки, изменившихся стандартах по управлению рисками ISO31000:2018 и COSO:ERM 2017 и о конкретных процедурах, которые должны предпринять аудиторы для оценки эффективности управления рисками. Мы даже дадим вам конкретную модель зрелости с более 30 критериями, взвешенными по важности, которую используем сами, когда оцениваем управление рисками в компаниях по всему миру.

Источник

Аудит и оценка эффективности корпоративного управления рисками (часть 2)

Опубликовано в журнале «Внутренний аудитор»

Оценка эффективности управления рисками, как, наверное, и оценка любого бизнес-процесса, сложный и нетривиальный рецепт, который состоит из нескольких важных ингредиентов: понимание целей управления рисками, критериев оценки и анализа фактуры.

В прошлом номере мы говорили о целях управления рисками, позвольте в этот раз подробно описать критерии оценки управления рисками.

Б. Определение критериев оценки управления рисками

Каждый раз, когда я выступаю на конференции по управлению рисками я стараюсь спрашивать аудиторию «на что необходимо обратить внимание, чтобы сделать вывод об эффективности управления рисками в организации?» Это хороший тест для аудитории. Если мне отвечают, что нужно посмотреть на положение по управлению рисками, отчеты о рисках, реестры рисков, аппетит к риску или планы митигации для существенных рисков, я понимаю, что аудитория не очень хорошо понимает, как выглядит эффективное управление рисками. А вот, что ответили мне руководители по управлению рисками крупнейших глобальных компаний на прошлогодней конференции G31000, эксперты, ко мнению которых я прислушиваюсь уже много лет:

Риск менеджмент 1

Риск-менеджмент 1 – это набор действий и документов, направленный на презентацию информации о рисках организации в формате, установленном внешними заинтересованными сторонами. Аудит риск менеджмента 1 это приблизительно 10% в общем весе критериев оценки эффективности управления рисками.

В рамках аудита риск менеджмента 1 необходимо проанализировать следующие критерии:

Все ли есть из внешних требований к риск менеджменту 1?

Для большинства компаний существует как минимум несколько внешних документов к управлению рисками, где перечислены требования или рекомендации в отношении управления рисками. Это могут быть новые изменения в законе об акционерных обществах, ГОСТ Р ИСО31000, кодекс корпоративного управления ЦБ или методические рекомендации Росимущества, а также отраслевые стандарты и рекомендации, которые так или иначе затрагивают тему управления рисками. Первая задача внутреннего аудитора в рамках риск менеджмента 1 убедиться, что любые документы, упомянутые во внешних требованиях, разработаны и внедрены в организации.

Как много ресурсов затрачивается на обновление риск менеджмента 1?

Риск менеджмент 1 это важный элемент корпоративного управления, при этом важно не столько само содержание документов, сколько их наличие. Скажу больше, с учетом влияния ментальных ловушек и методологических ошибок при оценке рисков через ущерб и вероятность, а также ошибок в самом дизайне карт рисков, содержание типовых документов риск менеджмента 1 заведомо содержит искаженные данные и не может быть использовано для принятия менеджментом решений. Анекдоты, которые я постоянно слышу от коллег, что риск менеджеры спорят с внутренними аудиторами о том, кто, сотрудник или подразделение, должен быть владельцем рисков, или нужно ли оценивать присущий и остаточный уровень риска, или что должно или не должно включаться в критерии экспертной оценки рисков, просто пугают. Спорить о цвете ставней потемкинской деревни (а риск менеджмент — это именно потемкинская деревня), лично мне кажется очень странным.

Поэтому, ключевой критерий для аудита — это то, как мало времени, именно мало, затрачивается на риск менеджмент 1. Задача риск менеджера в организации соответствовать внешним требованиям, при этом не быть помехой для менеджмента. В ходе обучения, которое АНО ДПО «ИСАР» проводит для риск менеджеров крупнейших нефинансовых компаний (более 150 сертифицированных риск менеджеров по всему СНГ), мы постоянно слышим истории о том, как ежегодное формирование профиля рисков или ежеквартальная актуализация реестра рисков занимают недели, а то и месяцы работы. Это крайне неправильный подход.

С одной стороны, у риск менеджеров не остается времени на риск менеджмент 2, с другой стороны, менеджмент теряет уважение и интерес к риск менеджменту, так как риск менеджмент 1 никак не влияет на планирование, целеполагание, бюджетирование, мотивацию или принятие важных для бизнеса решений. Риск менеджмент 1 должен занимать не более 10-20% времени команды риск менеджеров.

Насколько риск менеджмент 1 используется для получения финансовой выгоды для компании?

Раз уж в обозримом будущем, риск менеджмент 1 никуда не исчезнет и риск менеджерам придется разрабатывать регламенты по управлению рисками и поддерживать в актуальном состоянии реестры рисков, этим нужно пользоваться. Последним критерием для аудита является финансовая выгода от риск менеджмента 1. На момент написания статьи, страховые компании, банки, внешние аудиторы и рейтинговые агентства все еще позитивно оценивают наличие риск менеджмента 1. Качественный и полноценный риск менеджмент 1, хоть и бесполезен для принятия бизнес решений, помогает экономить на страховании и привлечении внешнего финансирования. Задача риск менеджеров обеспечить экономию. Задача внутреннего аудита убедиться, что это действительно происходит.

Риск менеджмент 2

Одним из первых и наиболее важных тестов эффективности управления рисками в организации является уровень интеграции процессов выявления, анализа и управления рисками в процессы принятия управленческих, инвестиционных и операционных решений. Мы называем это «риск-менеджмент 2». Аудит риск менеджмента 2 это приблизительно 50% в общем весе критериев оценки эффективности управления рисками.

Для того, чтобы сделать вывод об интеграции управления рисками в ключевые бизнес-процессы и процессы принятия решений организации необходимо обратить внимание на:

Регламенты, описывающие бизнес-процессы

Первое на что необходимо обратить внимание в рамках аудита риск менеджмента 2 это то, насколько управление рисками интегрировано в действующие нормативные документы в организации. Не отдельный регламент по управлению рисками, это риск менеджмент 1, а то, насколько требования и принципы управления рисками прописаны во всех ключевых нормативных документах. Есть ли в регламенте планирования и бюджетирования требование о проведении полноценного анализа рисков на этапе формирования стратегии или бюджета? Есть в регламенте закупок требование или процедура оценки поставщиков с точки зрения рисков или прописаны требования риск-ориентированного мониторинга и контроля? И так далее.

В риск менеджменте 2, во всех ключевых бизнес-процессах должны быть прописаны требования к анализу рисков на этапе принятия существенных решений. При этом анализ рисков должен проводиться не для принятия к сведению, а непосредственно и напрямую влиять на принимаемое решение. Например, на моем прошлом месте работы, NPV проекта считался условно по разным формулам в зависимости от уровня риска проекта.

Материалы и протоколы принятия решений

Второе на что необходимо обратить внимание это материалы, повестки и протоколы заседаний, на которых принимаются решения с учетом рисков. Если в материалах Правления или Инвестиционного комитета информация о рисках в явном виде не раскрывается, это скорее всего говорит о том, что риск менеджмент 2 делается не системно или является неэффективным.

Интересное наблюдение, что если принципы риск-ориентированности добавить во все аудиты в течение года, то тогда внутренним аудиторам не придется вообще отдельно проверять риск менеджмент 2.

Роль риск менеджмента в процессе принятия решения

Последнее на что необходимо обратить внимание, это то, как руководители воспринимают риск менеджмент в процессе принятия решений. Для этого возможно проведение нескольких интервью с ключевыми руководителями, чтобы оценить как они видят роль и в чем видят пользу от анализа рисков в процессе принятия решений.

В следующем номере я опишу критерии аудита культуры управления рисками и самой команды риск менеджеров…

Источник