Управление рисками предприятия
Управление
рисками предприятия
Баян Шапагатова, Тимур Исаев
1. Введение
Итоги последних лет ярко продемонстрировали
значимость и актуальность вопроса управления рисками, как для финансовых
организаций, так и для предприятий реального сектора экономики. Так, в ходе
последнего финансового кризиса выявились недооцененные ранее угрозы,
регуляторные просчеты и системные промахи в деятельности финансовых
организаций, а авария на нефтяной платформе Deepwater Horizon в Мексиканском
заливе не только привела к финансовым потерям British Petroleum в размере 5
млрд. евро, но и послужила причиной беспрецедентной экологической катастрофы.
Эти, а также другие многочисленные факты свидетельствуют о необходимости
дальнейшего углубления изучения подходов и методов управления рисками, создания
и совершенствования систем раннего предупреждения.
2. Система управления рисками - неотъемлемый
компонент корпоративного управления предприятием
риск управление стандарт
Эффективное управление предприятием подразумевает
достижение целевых показателей, поставленных акционерами перед предприятием,
наиболее оптимальным и эффективным образом. Качественная система риск -
менеджмента позволяет повысить устойчивость роста целевых показателей и, тем
самым, создает предпосылки для увеличения акционерной стоимости предприятия. В
связи с этим, в оценку эффективности корпоративного управления в обязательном
порядке входит оценка эффективности системы управления рисками предприятия.
Так, рейтинг GAMMA по оценке
корпоративного управления агентства Standard&Poor’s
содержит следующие оцениваемые компоненты корпоративного управления:
влияние акционеров;
права акционеров;
прозрачность, аудит и управление рисками;
эффективность совета директоров, стратегический
процесс, система мотивации.
При этом при оценке компоненты «управление
рисками» оцениваются полнота ключевых структурных элементов комплексной системы
управления рисками в соответствии с общепринятыми международными стандартами
управления рисками, действующая практика анализа и управления рисками на
предприятии, полнота отражения результатов анализа и управления рисками в
стратегическом планировании деятельности предприятии.
3. Международные стандарты
управления рисками предприятия
Концептуальные основы управления
рисками для публичных компаний изложены в документе «Управление рисками
организаций. Интегрированная модель», разработанном Комитетом организаций -
спонсоров Комиссии Трэдвея с помощью компании Pricewaterhouse Coopers. Комитет
организаций - спонсоров Комиссии Трэдвея - это добровольная частная организация
Соединенных Штатов <#"522339.files/image001.gif"> полное
покрытие частично
покрытие нет
покрытия Принципы/Характеристики
|
Risk IT
|
|
COSO ERM
|
ISO / FDIS 31000:2009
|
AS/NZS 4360:2004 AS/NZS ISO 31000:2009
|
ARMS, 2002
|
|
ISO 20000:2005
|
PMBOK
|
ISO/IEC 270005:2008, ISO/IEC
270001:2005, ISO/IEC 270002:2005
|
Принципы
ИТ рисков
|
Всегда
соотносится с бизнес целями
|
2
|
|
2
|
2
|
2
|
2
|
|
1
|
2
|
2
|
Выверять
управление ИТ рисками с общим ERM
|
2
|
|
1
|
1
|
1
|
1
|
|
|
|
1
|
Баланс
затрат с выгод в управлении рисками
|
2
|
|
2
|
2
|
2
|
2
|
|
|
|
1
|
Способствовать
честной и открытой по коммуникации ИТ рискам
|
2
|
|
2
|
2
|
2
|
2
|
|
|
|
1
|
Утверждение
правильного акцента со стороны высшего управления во время определения и
усиления персональной ответственности за операции в рамках принимаемого и
хорошо определенного уровня толерантности
|
2
|
|
2
|
2
|
2
|
2
|
|
|
1
|
2
|
Установлен
непрерывный процесс и является частью ежедневной деятельности
|
2
|
|
2
|
2
|
2
|
2
|
|
2
|
2
|
2
|
Доступность
(для основного персонала)
|
2
|
|
1
|
1
|
1
|
2
|
|
1
|
1
|
1
|
Комплексный
взгляд на ИТ риски
|
2
|
|
|
|
|
|
|
|
|
1
|
Специальный
фокус на практике риск менеджмента для специфичных ИТ областей (управление
проектами, сервисное обслуживание, безопасность и т.п.)
|
1
|
|
|
|
|
|
|
2
|
2
|
2
|
Обеспечивает
детальную процессную модель с руководством по управлению и моделью зрелости
|
2
|
|
1
|
1
|
1
|
1
|
|
1
|
1
|
1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис 1. Сравнение стандартов управления рисками
предприятий
Как видно из таблицы отраслевые стандарты
управления рисками применимы в специфичных случаях, в особенности, если профиль
предприятия тесно связан с информационными технологиями, как, например, профиль
телекоммуникационных компаний. Ниже также приведена карта по сравнению
стандартов управления рисками в зависимости от полноты охвата стандартом
системы управления рисками предприятия и глубины покрытия информационных
технологий.
Рис 2. Карта стандартов управления рискам
4. Концепция управления рисками
по стандарту COSO ERM
В соответствии со стандартом COSO
ERM «управление
рисками организации» - это процесс, осуществляемый советом директоров,
менеджерами и другими сотрудниками, который начинается при разработке стратегии
и затрагивает всю деятельность организации». Процесс управления рисками
предприятия направлен на определение событий, которые могут повлиять на
организацию, и управление связанным с этими событиями риском, а также на
контроль того, чтобы не был превышен риск - аппетит организации и
предоставлялась разумная гарантия достижения целей организации. Таким образом,
в соответствии с вышеуказанной целью функция управления рисками организации
должна решать следующие задачи:
• определить уровень риск -
аппетита компании в соответствии со стратегией развития;
• совершенствовать
процесс принятия решений по реагированию на возникающие риски;
• сократить число
непредвиденных событий и убытков в хозяйственной деятельности;
• определить и
управлять всей совокупностью рисков хозяйственной деятельности;
• использовать
благоприятные возможности;
• рационально
использовать капитал предприятий.
Компоненты управления рисками предприятия
образуют так называемый кубик COSO:
• Внутренняя среда;
• Постановка целей;
• Определение
событий;
• Оценка рисков;
• Реагирование на
риск;
• Средства контроля;
• Информация и
коммуникации;
• Мониторинг.
Рис 3. Кубик COSO
Эффективность системы управления рисками
предприятия формируется в результате оценки наличия и эффективного
функционирования 8-ми компонентов управления рисками по каждой из категории
целей предприятия (стратегические цели, операционные цели, достоверность
отчетности и комплаенс цели).
Процесс управления предприятия рисками состоит
из следующих этапов:
• определение риск аппетита и
уровня толерантности предприятия к рискам;
• идентификация и
классификация рисковых событий;
• анализ и оценка
рисков по сравнению с уровнем толерантности предприятия;
• ранжирование рисков
и определение существенных и критических рисков;
• установление
ключевых индикаторов рисков для существенных и критических рисков;
• выбор стратегии и
мер управления существенными и критическими рисками;
• анализ
эффективности мер управления рисками по отношению к затратам (влияние
внедрения, влияние не внедрения и связанные затраты);
• внедрение мер
управления рисками и их мониторинг;
• мониторинг значений
ключевых индикаторов рисков;
• отчетность
руководству.
К основным инструментам системы управления
корпоративными рисками относятся:
• ведение базы рисковых событий
путем сбора фактов рисковых событий и потерь предприятия и её анализ;
• качественная оценка
рисков посредством самооценки рисков и контроля за ними экспертами и разработка
Регистра и Карты рисков на их основе;
• количественная
статистическая оценка рисков на основе фактических событий базы рисковых
событий;
• создание системы
раннего предупреждения: установление предупреждающих пороговых значений
ключевых индикаторов риска для высокорисковых операций;
• установление
жесткой системы лимитов для высокорисковых операций;
• диверсификация и
страхование;
• учет риск - премии
под ожидаемые риски в тарифах на продукты и услуги;
• формирование
резервного капитала под неожидаемые риски;
• моделирование
сценариев будущих рисков (стресс-тестирование).
Рис 4. Усложнение системы управления рисками
предприятия
5. Реалии Казахстана:
проблемные вопросы
Мировой финансовый кризис, снижение цен на нефть
и закрытие доступа к мировым финансовым ресурсам чуть не привели к банкротству
два крупнейших банка Казахстана: АО «БТА Банк» и АО «Альянс Банк». Лишь
своевременное вмешательство государства позволило остановить развитие эпидемии
банкротств, которое было возможно в результате реализации «принципа домино».
Анализируя текущее состояние систем управления рисками
в казахстанских компаниях по публикациям в средствах массовой информации и,
исходя из личного опыта, можно выделить следующие основные проблемы, присущие
казахстанским компаниям:
• местами формальный подход к
управлению рисками большей частью ориентирующийся на соответствие внешним
требованиям и носящий показательный характер;
• отсутствие
регуляторно (в обязательном порядке) установленных стандартов по практике
управления рисками на предприятиях в разрезе отраслей, за исключением
финансового сектора;
• отсутствие
квалифицированных профессиональных кадров в сфере управления рисками;
• слабая риск
культура (внутренняя среда) предприятий;
• слабость проектного
управления, в том числе управления проектными рисками;
• ограничение участия
совета директоров в анализе рисков;
• отсутствие четкой
связи между анализом рисков и стратегическим планированием деятельности
предприятия (стратегическое управление рисками);
• отсутствие системы
раннего предупреждения для высокорисковых событий;
• отсутствие
программного обеспечения, позволяющего осуществлять сбор и обмен данными,
агрегирование и анализ данных о рисках.
6. Выводы
В настоящее время руководство Республики
Казахстан уже заявило об ужесточении законодательства в области защиты экологии
и ответственности за его нарушения. В свою очередь Агентство Республики
Казахстан по регулированию и надзору финансового рынка и финансовых организаций
утвердило ряд нормативных документов по усилению систем риск - менеджмента в
финансовых организациях Казахстана. Вместе с тем, улучшение и дальнейшее
развитие систем риск - менеджмента предприятий Казахстана невозможно без
регулярного повышения квалификации членов совета директоров, менеджмента и риск
- менеджеров предприятий по вопросам управления рисками, открытого обсуждения и
продуктивного обмена решениями текущих проблем риск менеджмента, обмена
практическим опытом внедрения систем раннего предупреждения и быстрого
реагирования, других информационных систем по управлению рисками. Таким
образом, текущая задача функции риск- менеджмента предприятий Казахстана
состоит в том, чтобы помочь руководству предприятий вывести управление рисками
на системный уровень, снизить вероятность и потери от реализации рисков, тем
самым, повысить качество корпоративного управления, степень доверия инвесторов
и общественности.
Литература
1. Управление рисками организаций.
Интегрированная модель. PricewaterhouseCoopers
LLP, The Committee of Sponsoring Organizations of the Treadway Commission. Пер.
с англ.: Делойт совместно с Институтом внутренних аудиторов - Москва, 2004.
. НК «КазМунайГаз». Рейтинг GAMMA.
Standard & Poor’s, 2010.
3. Risk IT Framework.
. Risk management and risk
profile guidelines for telecommunication organizations.