В октябре 2017 года на портале Executive.ru прошла онлайн-конференция по корпоративным рискам. Где я представил систему управления комплексными рисками, ее структуру и практику внедрения на примере микрофинансовой организации. Интерес, проявленный участниками, подсказал идею отдельной статьи, посвященной этой теме. Дословный пересказ часового выступления был бы слишком громоздким. Поэтому я трансформировал его в более емкий материал, посвященный сути системы. А детали готов обсудить в форме диалога на форуме.
Стандартная система управления рисками
Устоявшаяся теория управления рисками состоит из нескольких этапов, представленных на схеме:
Основные посылы системы представлены в стандарте ISO 31000. Этот документ дает очень широкое пространство для действий, наверное, поэтому в сложившейся практике управления рисками система чаще остается недовнедренной. Причин много. Не все понимают, что надо делать и зачем это нужно, ведь явного экономического эффекта сразу и не видно. Это сложно и дорого. Это нужно делать постоянно и требуются специалисты по риск-менеджменту.
В сухом остатке: большая часть усилий в управлении рисками застревает на базовом уровне. Здесь начинаются проблемы с методами идентификации, с моделями оценки вероятных убытков и последствий реализации негативных событий. Но еще более сложным оказывается разработка мер по минимизации риска и последующая реализация этой программы.
Система, которую я хочу описать, создавалась с учетом сложившихся практик и тех результатов, которые они приносили.
Структура комплексных рисков
Краткая предыстория. Микрофинансовая организация встала перед необходимостью внедрения системы управления рисками. Это регуляторное требование, которое прописано в стандарте СРО. На начальный момент в компании было только управление кредитным риском, что заключалось в отслеживании качества скоринговой системы.
Аудит бизнес-архитектуры, который я проводил в этой организации, открыл ряд взаимосвязанных проблем, способных значительно повлиять на финансовые результаты бизнеса к концу года. Исходя из всего этого, было решено увязать программу организационных изменений с разработкой и внедрением системы управления рисками. Одним из требований было создание системы, которая управлялась бы не группой профильных специалистов по риск-менеджменту, а линейными руководителями и персоналом. Что мы и сделали совместно с менеджерами компании, опираясь на результаты аудита.
У каждой компании есть так называемые риски по умолчанию – те, что связаны с основным видом деятельности. Но каждый бизнес также испытывает на себе воздействие косвенных рисков: они могут быть одинаковыми для всех компаний на рынке, как например отраслевые риски, а могут быть специфическими для одной конкретной компании: например, специфические каналы привлечения клиентов. Эти риски зачастую бывают опаснее рисков по умолчанию, но по какой-то причине их игнорируют, что в итоге отражается в форме убытков. Мы решили не упускать из виду оба класса рисков и сгруппировали их в связанные категории. Получилась схема, отражающая структуру комплексного риска:
Мы определили комплексные риски, как группы рисков, специфически связанные с определенными функциональными элементами компании, и способные вызвать кумулятивный эффект – негативный или позитивный.
Система управления комплексными рисками
Теперь непосредственно о том, из чего состоит такая система и какие функции выполняет. Для наглядности вся ее архитектура представлена на одной схеме:
Кратко о каждом компоненте инфраструктуры. Идентификация рисков производится по принципу сверху вниз: определяются ключевые категории рисков для каждого функционального элемента компании. Делается это с помощью матрицы комплексных рисков и таблицы консолидации, шаблоны которых вы найдете в приложениях к этой статье:
Таблицы консолидации и структурирования реестра рисков
Изначально ключевых категорий рисков десять:
- Отраслевые риски.
- Коммерческие риски.
- Финансовые риски.
- Операционные риски.
- Законодательно-правовые риски.
- Репутационные риски.
- Информационные риски.
- Кадровые риски.
- Социальные риски.
- Инновационные риски.
Вы можете этот список сократить или дополнить, исходя из особых потребностей своей компании. После завершения этой части работы для каждой категории определяются собственно те риски, возникновение которых может привести к некоторым последствиям. Зная на опыте, что этот процесс очень сложный и кропотливый, я разработал риск-фреймворк, в котором собрал часто встречающиеся риск-события. Он помог линейному менеджменту микрофинансовой организации быстрее сформировать реестр рисков.
Оценка рисков
После того, как в ходе нашего проекта риски были детализированы, пришла очередь их оценки. После нескольких итераций мы определили наиболее приемлемые методы, использовать которые мог каждый руководитель подразделения. Из количественных методов это – оценка через математическое ожидание, метод экстраполяции и оценка через системную зависимость. Из качественных методов – экспертная оценка. Детали каждого метода я здесь не описываю.
Для целей мониторинга и анализа полезно построить профиль риска. Это нужно делать после оценки всего реестра, так как эта процедура строится на количественных характеристиках: суммарные потери, доля от общего числа.
Следующий компонент системы управления комплексными рисками – разработка превентивной риск-стратегии. Это второй по величине и первый по сложности раздел. Он включает в себя ретроспективный анализ реализованных рисков, описание факторов риска и превентивных действий для их минимизации, расчет допустимых и критических порогов риска. В завершении этого раздела идет разработка мер по трансформации риска и описание требований к системе инцидентов.
Ретроспективный анализ проводится для понимания структуры конкретных рисков, без этого будет сложно сформировать действительно эффективную риск-стратегию. Исследование реализованных рисков проходит на трех уровнях в самой компании, в ее продуктовом сегменте и в отрасли (лучше всего, если при этом рассматриваются и смежные отрасли).
Ретроспективный анализ позволяет определить факторы риска, которыми нужно дополнить сформированный ранее реестр. После этого для каждого фактора определяется размер допустимого и критического риска. Исходя из внутреннего распределения, свойственного конкретной компании, рассчитывается доля допустимого риска, которая отслеживается в ходе мониторинга. Для всех ключевых рисков – тех, что в случае реализации дают 80% убытков – определяются сигнальные пороги. По мере приближения к «красной черте» сотрудники компании предпринимают те или иные меры по минимизации последствий.
Превентивная риск-стратегия
Когда становится известна цена риска, разрабатываются действия, способные снизить ее. Есть несколько наиболее эффективных подходов:
- Компенсация риска – создание процесса или инициирующего события, которое трансформирует убыток в полную или частичную прибыль.
- Страхование – думаю, здесь пояснения излишни.
- Перспективная оценка – подход, основанный на сценарном анализе, когда сравнивается убыток от риска сейчас и в случае реализации некоего события, негативного или позитивного, в будущем.
Разработка превентивной риск-стратегии заканчивается определением критериев для системы инцидентов: признаки инцидента, алгоритм реализации и другие. Она нужна для эффективного мониторинга рисков. Эту систему можно полностью автоматизировать, что позволяет снизить затраты на ее обслуживание и сопровождение.
Мониторинг опасных событий
Следующий раздел – контроль риска. Он включает в себя непосредственно мониторинг риск-событий, учет реализованного риска и отчетность по установленным периодам. Этот процесс, как и предыдущие, должен быть задокументирован и оформлен в политике по управлению рисками.
Мониторинг риска может проходить снизу-вверх или сверху-вниз. Во втором случае руководитель самостоятельно собирает информацию о рисках со своих подчиненных и ведет учет их реализации. В первом, сотрудники, в чьей зоне ответственности находится тот или иной риск, по определенной процедуре отслеживают риск-события и передают информацию руководителю, а он в свою очередь консолидирует ее и определяет степень воздействия на риск. Такой подход к мониторингу хорошо дополнить уровнями, когда сотрудник сам может принять решение по воздействию на риск, а когда он должен эскалировать его выше. Этот вариант мониторинга и был реализован в МФО.
Аллокация риска
Аллокация – распределение информации о рисках по функциональным элементам компании и организационной структуре в соответствии с их спецификой. Это первичный механизм интеграции системы управления рисками в общую структуру компании, как по вертикали, так и по горизонтали.
Для эффективного планирования этого процесса мы использовали модель бизнес-архитектуры, с помощью которой в начале структурировали риски по функциональным элементам компании. Эта модель позволяет связать каждое подразделение с определенной категорией риска, а затем определить, какую именно информацию нужно транслировать. Важно отметить, что аллокация риска должна предусматривать систему обратной связи как вверх, так и вниз. Без этого она будет малоэффективна.
Для увеличения пользы в системе аллокации необходимо создать три уровня доступной информации, которые будут покрывать потребности в ней в кратко-, средне- и долгосрочной перспективе:
- Структура регламентирующей документации: политика управления рисками, методики оценок, методологические основы планирования риска.
- База данных по реализованным рискам с оценками и факторами: все это берется из реестра или иных источников и накапливается со временем.
- База знаний – раздел управления знаниями о рисках, который содержит превентивные шаги по тем или иным рискам, которые актуальны или были реализованы ранее. Здесь также содержится любая другая информация, способная помочь сотрудникам быстро реагировать на возможные негативные ситуации.
Актуализация рисков
Последний раздел системы управления комплексными рисками. Это регламентная процедура, которая проводится в определенный период (желательно строго установленный). Он чем-то схож с идентификацией и разработкой превентивной риск-стратегии, так как требует повторной переоценки риск-событий в реестре и корректировки в действиях. Это необходимый процесс, так как он позволяет системе не застаревать, а оставаться в надлежащем положении.
Управлять актуализацией должна команда, которая разрабатывала реестр и риск-стратегию – то есть менеджмент компании. Проводить эту работу лучше ежемесячно. Другой вариант, если вся система управления рисками ставилась извне, то аудит и актуализацию можно проводить раз в полгода, но никак не реже. Иначе эффективность управления рисками может значительно снизиться.
Моделирование системы управления рисками
Проектируя любую сложную систему, желательно проверить ее в безопасной среде. С современными средствами имитации это становится все доступнее. Учитывая, что представленная здесь система управления комплексными рисками тесно связана с факторным анализом, сделать это будет проще, так как есть четкое разделение на фактор и его переменную.
Можно имитировать работу как отдельного функционального элемента с его набором категорий риска, так и всей системы в целом. Разница лишь в сложности создания модели. Такое решение будет особенно верным, так как любому значительному изменению всегда сопутствуют сопоставимые траты. Имитационное моделирование – это относительно недорого и безопасно. В зависимости от инструмента моделирования можно сделать это или самостоятельно, или наняв специалистов со стороны.
В МФО мы создавали имитационную модель системы управления рисками для трех функциональных элементов в отдельности: риски, связанные с финансовыми потоками, риски в бизнес-процессах и информационные риски. Среда моделирования – AnyLogic.
Почему управление рисками так актуально
Тема управления рисками снова набирает обороты. Когда экономика идет на спад, компании ищут пути для повышения своей эффективности в новой обостренной среде. Но нужно понимать, что внедрение принципов управления рисками не может быть временной мерой – только на период, когда все не очень хорошо. Эти принципы должны действовать постоянно и развиваться вместе с компанией.
Правильная интеграция системы управления рисками способна поднять уровень бизнеса на несколько ступеней выше среднеотраслевого. Причин здесь несколько. Первая: перед внедрением системы управления рисками проводится аудит бизнеса, в ходе которого определяются слабые места, документируются процессы, формируется обстоятельное представление о структуре компании. Это позволяет найти точки, где не до конца используется имеющийся потенциал, или наоборот, найти участки, которые давно пора изменить или убрать совсем.
Второе: культура управления рисками заставляет по-другому мыслить сотрудников. Каждое решение, если оно взвешено на риск, будет с большей вероятностью реализовано, а, значит, частота успешных решений возрастает, – и шансы на подъем экономики компании.
И третье: умение определять комплексные риски формирует у руководства компании более масштабное видение окружающей бизнес-среды. Такой взгляд позволяет гораздо дальше видеть горизонты будущих перспектив, а, значит, дает возможность заранее подготовиться к переменам.
Хороший материал для раздумий. Но есть сложности в «ручном» анализе при использовании «Матрицы комплексных рисков» и «Таблицы консолидации и структурирования реестра рисков». А есть ли программа, которая позволят решить эти же задачи?
Александр, спасибо.
Конкретно под этот инструментарий программы, к сожалению, нет. По крайней мере, пока.
Есть софт для управления рисками, который рекомендует Риск-академия, Risk Gap называется. Лично с этой программой не работал, поэтому ничего более сказать не могу.
А какие возникли сложности в "ручном" анализе? Поделитесь, если Вас не затруднит.
Очень большой объем информации. И ладно бы, если анализ делать один раз, но это же постоянный процесс.
Понравилась статья, считаю что она недооценена по достоинству. Спасибо, автору.
Редкий случай когда реализован практический подход -в рамках статьи. То есть бери и делай. Схема очень понятная и применимая.
Согласен!
Но лично меня смущает, что в который раз управление рисками снова привязывают к финансовой сфере. Думаю, что финансисты давно и успешно применяют эти "правила", а вот в области отраслевых организациях(строительство и даже ИТ) про управление рисками даже слышать не хотят.
Анатолий, напрасно Вы так думаете. Рекомендую Вам управление рисками позаимствовать из дисциплины Управление Проектами (PMBoK). В этом руководстве управление рисками проработано до "атомарных" величин и абстрагировано от предметной области. Хотите к стройке применяйте, хотите к ИТ, хотите ...., а к чему хотите, к тому и применяйте. Мы с сыном применяем к учебе в школе. Только таких громоздких матриц не создаем, т.к. время на них уходит много, а польза сомнительна, плюс отсутствуют четкие критерии для определения (вычисления), например, вероятности и пр. Тут автор зачем-то матожидание использует, но не объясняет чего именно математически нужно ожидать, а главное зачем это нужно ожидать. Из-за этого управление рисками вырождается в профанацию, и поэтому не приживается. В общем управлять рисками можно гораздо проще, чем написано в статье.
не увидел в схеме управления рисками её основу - статистику, без которой управлять рисками безнадежное и затратное дело. Не буду применять такую схему.
Сергей, Вы совершенно правы, с PMBOK работаю более 10 лет. Но Вы же тут же меня подтверждаете, когда пишете, что управление рисками вырождается в профанацию. Я именно об этом! Я больше года бился с ...монополистом в области железнодорожных перевозок (напишу так), чтоб добиться выполнения простейших приёмов в управлении рисками. Поразительно, но в разрезе финансов риски довольно чётко классифицировались и оценивались. Правда и для них не было никакой системы мониторинга. Это просто поразительно! Для моих подопечных оценка рисков была просто формальностью перед подписанием контрактов, перед выбиванием бюджетов, перед отчётом или аудиторской проверкой.
Но при попытках применения риск-менеджмента для технологов, логистов и прочих "отраслевиков" всё просто стопорилось - не видят, не понимают ценности, не знают способов применения.
И как результат: полное отсутствие понимания системы мониторинга рисков, их последующей оценки. До анекдотов, например, собрать комиссию из замов президента компании.
Об этом я и пытался написать.
Почему все риски направлены вне предприятия? Почему нет рисков направленных внутрь? Логика такая. Мы занимаем унизительно низкое место по качеству управления. Где-то в Африке. Но риски рассматриваем внешние. И называем их "комплексными". А как хорошо смотрится, так "академично", "профессионально".
Вы не одиноки. Это абсолютно обычное явление.
В Российских организациях в совершенстве отработана схема:
1. Готовится новый проект в какой-то сфере.
2. При подготовке разрабатывается ряд обязательных, в соответствии со структурой методологией управления организации, документов - бизнес-план, ФЭО, пояснительная записка, паспорт проекта по PM BOK, презентация, проект приказа и так далее. А ещё разрабатывается эта.... как его там.... карта рисков.
Карта рисков разрабатывается обязательно по методологии с кучей финансовых рисков. Реальные риски, которые даются отраслевиками и руководителем проекта туда вообще могут не включаться.
3. Документы рассматриваются, правятся, принимаются. "Как его там ... карта рисков" тоже может внимательно изучаться либо вообще игнорироваться.
4. Ведутся работы. "Как его там ... карта рисков" лежит на полке.
Как вариант раз в квартал комитет по рискам компании собирается и задаёт глупые вопросы. На проектах с горизонтом в год, за квартал может свершится половина рисков карты, а значит подобный контроль абсолютно неэффективен.
5. Происходит рисковое событие. Крики, мат, истерики.
В некоторых случаях открывается карта рисков и наказываются указанные там ответственные. Иногда ответственные успешно уклоняются от наказания тыкая в карту и говоря, что на управление не выделили соответствующих ресурсов.
В некоторых случаях карта рисков не открывается.
6. Готовится новый проект в какой-то сфере... :)))