Компания обязана выполнять требования Законодательства во всех странах, где она работает. Требования законов и правил в различных регионах отличаются друг от друга, поэтому все большую актуальность приобретает задача обеспечить наличие понимания и уверенности в эффективности применяемых процессов управления рисками.
Компания действует в условиях значительной неопределенности, принимая решения и предпринимая действия, которые могут привести к серьезным последствиям в области комплаенса. Управление рисками в области комплаенса помогает компании сохранять и увеличивать ее стоимость.
Как компании выбрать в ситуации, где либо нарушается строительное законодательство, либо природоохранное? Какой риск существеннее для компании и для окружающей среды? Как понять, сколько денег целесообразно потратить, например, на предотвращение или снижение загрязнения окружающей среды? Часто речь идет о миллиардах рублях и оценка рисков комплаенса совсем не тривиальная задача.
Или еще интереснее ситуация – в правительство внесен новый законопроект, менеджмент интуитивно понимает, что последствия для компании могут оказаться очень дорогостоящими. Как перейти от интуиции к конкретным и осязаемым оценкам, чтобы помочь в формировании позиции менеджмента или оценить и сравнить между собой различные инвестиционные проекты? На все эти вопросы мы ответим в подробном описании подхода к количественной оценке комплаенс рисков.
Шаг 1: Выявление рисков
Цель выявления рисков в области комплаенса предполагает выявление, признание и описание таких рисков, которые могут как способствовать, так и препятствовать организации в решении или определении собственных задач.
Для полноценного понимания рисков в сфере комплаенса Компания осуществляет:
- Анализ профильного законодательства и требований во всех странах своего присутствия.
- Анализ статистических данных по искам и инцидентам в организации.
- Анализ исков, поданных в отношении других участников отрасли и иных организаций в странах присутствия компании.
- Консультации с соответствующими специалистами и поставщиками услуг в области права и комплаенса.
- Анализ информации и рекомендаций, предоставляемых регулирующими и иными государственными органами.
Шаг 2: Оценка рисков
По возможности, компания выполняет количественный анализ рисков в целях измерения и ранжирования рисков в области комплаенса. По каждому выявленному риску осуществляется сбор и фиксация следующей информации:
- Сценарии возможных последствий в соответствии с изложенными в законах и иных регламентах сведениями. Обычно это штрафные санкции, иски от третьих лиц, уголовная ответственность, временная остановка производства, санкции и т. д.
- Спектр различных значений для каждого сценария последствий. Например, в соответствии с законодательством, размер штрафов может составлять от 100 тыс. до 1 млн, остановка производства может осуществляться на срок от 0 до 90 суток, и т. д.
- Логическая связь между каждым сценарием последствий. Например, вероятность наложения штрафов в крупном размере представляется более высокой в период после получения меньших штрафов, а по некоторым рискам ситуация может быть диаметрально противоположной, если за последние два года и более небольшие штрафы не присуждались, это может означать, что размер штрафа неизбежно будет максимальным, и так далее.
- Исторические данные об авариях и исках, известных судебных разбирательствах или иная значимая информация.
- Владелец риска и ключевые заинтересованные стороны.
- Текущий уровень мер контроля и оценка их эффективности, при наличии.
Представить каждый риск в виде петлеобразной диаграммы
Каждый риск может быть изображен в виде петлеобразной диаграммы. Петлеобразная диаграмма в графическом виде показывает взаимосвязи причин события или риска и их последствий в формате простой причинно-следственной диаграммы.
Это упрощенное сочетание дерева причин, которое позволяет анализировать причины события или риска, приведенного с левой стороны диаграммы, и дерева событий, которое позволяет анализировать последствия и располагается с правой стороны, как показано на нижеприведенной иллюстрации.
Кликните на картинку, чтобы посмотреть в полном размере
Задача анализа по петлеобразной диаграмме заключается в определении барьеров или мер контроля, изображенных с левой стороны петли, которые влияют на вероятность возникновения события или обстоятельства, или барьеров и мер, изображенных с правой стороны петли, влияющих на возникающие последствия.
Такая диаграмма применяется при оценке завершенности мер контроля для того, чтобы убедиться в наличии эффективных мер контроля на этапах между наличием причины и возникновением события, и между событием и наступлением последствий, а также с целью учета, способных сделать меры контроля неэффективными факторов, включая отказ систем управления рисками:
- Наиболее эффективными обычно являются меры контроля, предусматривающие воздействие на причины, и способные устранить их возникновение или не допустить проявления риска (профилактические меры). Они должны соответствовать причинам по интенсивности и по сути.
- С правой стороны петли показаны меры контроля, которые подразумевают принятие адекватных ответных мер при наступлении последствий или создание барьеров, предотвращающих дальнейшее развитие таких последствий. Они могут оказывать воздействие как непосредственно на последствия, наступающие с точки зрения бизнес-задач (корректирующие или реакционные меры контроля), так и на оперативное выявление изменений и запуск работ по формированию планов ответных действий (выявляющие меры контроля).
Каждый риск в области комплаенса может быть изображен в виде петлеобразной диаграммы в три этапа:
- Определение риска, подлежащего анализу по методу петлеобразной диаграммы.
- Описание такого риска по форме [что произошло] и последствиям [последствия для наших задач], и выписка основных результатов анализа риска из реестра рисков.
- Составление списка причин такого риска в левой части и его последствий в правой, опираясь на данные соответствующих требований, а также на результаты консультаций с владельцами риска и экспертами в соответствующих областях.
- Составление списка текущих мер контроля причин (профилактических мер) под приведенными слева причинами, а также мер контроля последствий (корректирующих мер) под приведенными справа последствиями. Если мера контроля одновременно применяется для воздействия на причины и на последствия, она должна быть указана в обоих случаях с обеих сторон диаграммы.
- Определение вариантов усиления действующих мер контроля с целью повышения их эффективности или восполнения недостатков. Сюда могут быть включены меры по расширению мониторинга и более регулярному анализу, например, внедрению контрольных карт самостоятельной оценки.
Определить сценарии причин и последствий
Обычно причины и последствия для петлеобразной диаграммы определяют, опираясь на соответствующие требования, а также в ходе консультаций с владельцами риска и экспертами в соответствующих областях.
Определить спектр последствий для каждого сценария
С целью выполнения количественной оценки рисков в области комплаенса следует далее определить возможный спектр значений для каждого сценария последствий.
В зависимости от наличия и надежности данных могут применяться различные распределения серьезности последствий:
- Логнормальное распределение – когда спектр последствий неограничен, вероятность катастрофических убытков невелика.
- Распределение по методу оценки и пересмотра планов – для моделирования последствий на основе экспертных заключений, когда исторические данные могут быть недоступны, либо спектр последствий ограничен регулирующими нормами.
- Дискретное распределение – для моделирования конкретного ряда четко определенных сценариев.
- Подобранные распределения – когда исторические данные наличествуют, их можно использовать для подбора распределения, характерного для конкретного профиля убытков.
Для каждого сценария последствий подбирается распределение и определяется спектр возможных значений, например минимальные, ожидаемые и максимальные убытки.
Присвоение каждому сценарию удельной значимости
С целью определения значимости, присваиваемой каждому сценарию последствий, возникающему при наличии комплаенс-риска событий, могут быть использованы исторические данные, моделирование, а также экспертные заключения, как по отдельности, так и совместно.
Удельная значимость каждого сценария может характеризоваться следующими факторами:
- объем законов, наряду с практиками их применения соответствующими регулирующими ведомствами;
- усовершенствование и соблюдение действующих регламентов по управлению юридическими рисками, включая подходы, стандарты управления, внутренние правила и регламенты;
- соблюдение работниками и подрядчиками действующих в организации законов, правил и процедур;
- периодичность и объем проведенных за определенный период мероприятий, связанных с юридическими рисками;
- невыполнение требований о ведении реестров, анализе и выводах по итогам предыдущих происшествий;
- сравнительный анализ, периодичность и объем мероприятий по контролю юридических рисков за определенный период в сравнении с другими организациями.
По возможности выполняется сбор исторических данных по каждому сценарию последствий. В отсутствие исторических данных или при отсутствии поданных ранее против компании исков применяется Байесова статистическая методика оценки значимости каждого сценария. В зависимости от наличия и надежности данных могут применяться различные распределения серьезности каждого сценария последствий:
- Распределение (дискретное) Бернулли – когда исторические данные недоступны и необходимо оценить вероятность разового или множественных последствий.
- Пуассоново распределение – когда исторические данные используются для оценки периодичности каждого из сценариев последствий.
Действующие меры контроля, их эффективность и прочие влияющие на вероятность возникновения исков против компании факторы следует учитывать при распределении значимости каждого из сценариев.
Оценить влияние рисков на принятие решений
С целью учесть неопределенность как для последствий, так и для значимости каждого сценария, распределения последствий следует умножить на присвоенную значимость по методике моделирования Монте-Карло. Как правило, 10 000 итераций моделирования достаточно для большинства копмлаенс-рисков, однако их количество необходимо увеличивать при рассмотрении маловероятных и катастрофических событий.
Распределение возможных результатов показывает:
- Разумно оптимистичный сценарий (обычно с минимальными финансовыми последствиями или без таковых)
- Ожидаемый сценарий (50-я перцентиль)
- Разумно пессимистичный сценарий (финансовые последствия, которые не будут превышены в течение 95% времени, вероятность 5% того, что влияние может оказаться большим, чем предполагается).
Неотъемлемой частью анализа рисков является диаграмма «торнадо», показывающая, какие из сценариев последствий наибольшим образом отражаются на общем уровне подверженности риску.
В ситуации, когда подверженность риску рассматривается как значительная, следует обсудить и согласовать меры по смягчению риска.
Зачастую недостаточно просто оценить уровень подверженности комплаенс-риску, и тогда может потребоваться оценка того, насколько такой комплаенс-риск может повлиять на принятие инвестиционного решения, целевой показатель, бизнес-план или бюджет. В таких случаях возникает необходимость оценить влияние комплаенс-рисков на eNPV проекта или иные параметры принятия решений, либо степень влияния комплаенс-риска на вероятность успешного своевременного завершения проекта с соблюдением параметров бюджета.
Шаг 3: Управление рисками и оптимальные решения
Работа с комплаенс-рисками связана с соответствующими подходами, которые реализует организация с целью контроля своих рисков. План работ с комплаенс-рисками составляется с учетом ряда вариантов возможных воздействий, которые могут включать юридические средства, а также финансовые, производственные и репутационные средства для каждого приоритетного риска.
При выборе соответствующего варианта работы с комплаенс-рисками следует принимать во внимание следующие факторы:
- политику организации в области управления рисками, стратегические задачи, основные ценности и юридическую ответственность организации;
- анализ стоимостных преимуществ принятия мер в отношении комплаенс-рисков;
- восприятие со стороны заинтересованных лиц и их ценности, отношение к риску и уровень толерантности, а также их предпочтения с точки зрения выбора конкретных подходов к работе с комплаенс-рисками;
- наличие и распределение необходимых для управления риском ресурсов;
- юридический анализ (включая объем и глубину) законодательства, контрактных обязательств и ограничение рисков на договорном уровне;
- юридические заключения;
- степень, в которой комплаенс-риск может законно передаваться, делегироваться или быть застрахованным;
- уровень осведомленности о рисках и уровень готовности персонала организации.
Можно рассмотреть различные подходы к смягчению и работе с рисками с целью определить тот вариант, который будет наиболее выгодным при снижении рисков с учетом соответствующих затрат.
Шаг 4: Отчетность и мониторинг
Мониторинг и анализ управления комплаенс-рисками включает следующие аспекты:
- использование самых свежих данных о таких внешних изменениях, как принятие новых законов и их вступление в силу, что позволяет соответствующим образом скорректировать стратегию организации;
- выполнение мероприятий по мониторингу в отношении комплаенс-рисков, анализ их эффективности и совокупности, а также формулирование соответствующих выводов (включая возможную корреляцию с другими рисками и их усиление);
- рассмотрение с ключевыми заинтересованными сторонами системы раннего распознавания с целью определения предупреждающих сигналов о потенциальном возникновении значительных рисков в области комплаенса;
- мониторинг и анализ: результаты работы по смягчению рисков; внешние изменения; формирование интегрированных планов по работе с рисками; назначение ответственных и подотчетных сторон;
- сравнение реального хода работ с планом предотвращения рисков, периодический и своевременный анализ и корректировка плана предотвращения рисков с целью сохранения его адекватности, уместности и эффективности в отношении управления комплаенс-риском
Организации следует рассматривать следующие аспекты ведения записей и составления отчетности:
- юридическая тайна, тайна отношений между адвокатом и клиентом и документированный результат (или эквивалентные понятия и термины в соответствии с применимым национальным законодательством);
- политики в области уничтожения, хранения и конфиденциальности данных, соответствующие законам, регулирующим защиту данных;
- наличие и доступность документации для заинтересованных лиц, позволяющей повысить качество принимаемых решений и обеспечить аудиторский след для внутреннего и внешнего аудита.
- насколько необходимо обеспечить конфиденциальное обращение с соответствующей документацией, обеспечивая документальную прослеживаемость отсутствия дополнений и изменений в таких документах или сведениях;
- меры по обеспечению конфиденциальности и сохранности документации, носящей конфиденциальный характер, такие как организация ограниченного уполномоченного доступа к такой документации.
Организации следует формировать отчетность и текущих изменениях в области внедрения систем управления комплаенс-рисками и реализации таких мер.
Читайте также:
Содержательно!
Говоря о ...
Как именно это делается?
Можно ли посмотреть на детали, лучше на примере?
В тексте статьи 4 или 5 примеров распределений, которые чаще всего используются. Если есть хорошая статистика, ее не обязательно должно быть много, то Пуассон, если нет то Перт или Логнормальное, если есть хвост. Для дискретных сценариев, дискретное.
Все намного проще чем кажется, даже если вы везде поставите Перты, качество анализа будет выше чем любая экспертная детерминестическая оценка. Научно доказанный факт )))
Вопрос именно в этом. Почему Вами предлагаются именно эти распределения? С какими параметрами? Какая теория дает такие рекомендации?
Допустим, что исторических данных нет, случай новый. Тем более - для примера оценки маловероятных катастрофических последствий.
Наши действия? Что на самом деле можно оценить?
О каком качестве анализа мы говорим, если речь может идти о будущем и единичных случаях? Что и с чем Вы сравниваете?
Видимо это не достаточно явно в статье написано.
приведите пример для любого комплаенс риска, где такой будет проблемой
как минимум остальные 5-10 веточек последствий, где есть и данные и прописанные в законодательстве последствия. Не попадайте в ментальную ловушку все или ничего
вы может быть путаете предсказание будущего с риск менеджментом? качество анализа, как и качество принятия решений измеримая и хорошо исследованная метрика Хаббрадом, Коксом, Тетлоком и др. Ирония заключается в том, что даже с низким качеством данных, применение методики с статье даст меньше ошибку, чем интуитивная или экспертная оценка. Научно доказанный факт, Тетлок целую книгу написал о своих 20-ти летних исследования Superforecasting
Теряюсь в догадках. Где и как я все это должен найти?
Что за откалиброванные эксперты, которые все заранее знают про параметры распределений для каждого риска и каждого предприятия?
О чем мы говорим?
Вы пишите, в частности, о природоохранном законодательстве и экологии.
Неприемлемые риски мы рассматриваем? Экологические катастрофы, которые мы не можем допустить? Таких проектов достаточно.
Если есть данные (исторические и прочие) и прописанные в законе последствия - это другая задача и простой случай.
Я Вас спросил о случаях, когда исторических данных нет. Зачем мне при этом думать о распределениях, их параметрах, моделировании и 10 000 итераций? Что мы моделируем? Честно?
Нет, я пока не путаю. Вы?
Я Вас спрашиваю о тяжелых сценариях, когда мы не можем ничего посчитать. Экспертные оценки для неприемлемых рисков и сценариев катастроф - это не обычные расчеты.
Рад слышать!
Можно ли получить ссылку на основные результаты исследований этой метрики?
Всегда хорошо, когда для процесса есть не только качественные, но и количественные параметры.
Евгений, вы нигде и никак, специалист риск менеджер легко и знает где. Не нужно пытаться прыгнуть выше головы. Вопросы задаете неправильные, очень поверностные и не про то. Стохастический анализ и используется потому что часто данных нет, а принимать решения нужно. Если тема интересна, приходите послушать экспертов в теме, бесплатно, https://russia2021.riskawarenessweek.com/
Калибровать необходимо любого эксперта который дает прогнозы. Исследования на эту тему хорошо описаны в публикациях и книгах Хаббарда.
Стандартное заблуждение, называется strawman fallacy. Вы оцените сначала то, что якобы легко и понятно, потом поговрим. Странно обсуждать хвосты распределения, пока не оцененна оснавная часть распределения риска.
Любая из книг авторов.
Отлично. Если Вы считаете себя специалистом - где Вы их ищете, если не в литературе? Если нет - вопрос снимается.
Но ответ
ничего не проясняет.
Бывают неправильные вопросы? Поверхностные - возможно, но до специальных мы еще не дошли. Ваши ответы просто не позволяют это сделать.
Впрочем, пока к нашей беседе никто с правильными вопросами не присоединился.
Если данных нет, то и всего остального нет - начиная с распределений. Увы. Стохастический анализ без данных - звучит удивительно. Вы не ошиблись?
Спасибо, зайду. Обычно хватает PRMIA.
Это пинг-понг?
На любой вопрос Вы отвечаете: прочитаете, где найдете. Но ни одной ссылки в теле статьи или в Ваших ответах не содержится. А жаль.
Отличная статья, Алексей!
Я бы лишь добавил к ней одну строку - не экономьте на профессионалах!
Вот вам пример из жизни:
Одна корпорация решала предоставить B2B сервис - электронного операциониста. Идея потрясная, берем ЭЦП бухгалтера, загружаем в облако и настраиваем правила. Производительность - высший класс, куча метрик и всего такого.
Да, но нет. При первом же аудите, была выявлена проблема. То, что бизнес понимал на своем уровне как "Нууу, типа факсимиле, короч", по факту оказывается математической криптографией, которая состоит из двух половинок. И вот вторую, которая ключ - категорически нельзя отдавать третьей стороне, ибо атата от кучи регуляторов!
Фишка в том, что ни бизнес, ни сами бухгалтера и слыхом не слыхивали, что тот файл - это совсем не факсимиле, а сертификат и ключ в одном флаконе. И для соответствия нормам, клиентам этот флакон надо самостоятельно открутить и выгрузить только сертификат.
Стоимость консалтинга была копеешной - порядка 3-5k евро за риск-менеджмент бизнес модели. Но увы, у нас такие бизнесмены, что лучше купят себе еще одну квартиру и любовницу, чем оплатят гонорар специалиста.
Итог - минус бизнес, минус 2M у инвестора, плюс инфаркт у одного из соучредителей.