Управление рисками: 13 наиболее часто задаваемых вопросовДенис Камышев9 октября 2007

стандартами?
Что дает КСУР компании?
Что значит когда КСУР интегрирована в бизнес планирование?
Какая организационная структура нужна для поддержания функции управления рисками?
Роли риск менеджера, внутреннего аудитора и менеджмента?
Какие задачи будет решать КСУР?
Какие процессы управления рисками должны быть в организации?
С чего начать?
Как оценить риски (качественно, количественно)?
Кто получатель информации в системе управления рисками?
Какое программное обеспечение необходимо для поддержки КСУР?
Какие препятствия могут быть в процессе внедрения КСУР?

риском, осуществляемый менеджментом организации, который направлен на повышение стоимости организации.
Управление рисками - это процесс, осуществляемый Советом директоров, руководством компании и другим персоналом, направленный на выявление потенциальных событий, которые могут оказать отрицательное влияние на деятельность компании, и осуществление мер по снижению рисков до заданного уровня (уровня толерантности к риску), обеспечивающих разумную степень уверенности в отношении достижения компанией поставленных целей.
Корпоративное управление рисками: - Обеспечивает согласование риск-аппетита и стратегии организации - Позволяет достичь согласование между ростом организации, риском и доходностью - Совершенствует мероприятия по реагированию на риск - Снижает потери от операционной деятельности - Позволяет на постоянной основе выявлять и управлять рисками организации - Обеспечивает выработку интегрированных мероприятий по управлению рисками - Позволяет улучшить управление капиталом организации
Управление рисками – неотъемлемая часть процесса принятия решений, расширяющее количество рассматриваемых факторов при принятии решений.

уверенности в достижении целей организации.

Риск = <негативное событие, влияющее на достижение целей организации> (вероятность, последствия/воздействие).

(Basel II)
2004 Базельский комитет по банковскому надзору

Solvency II
2007. Комитет по надзору за страхованием и пенсионным обеспечением в странах Европейского союза

Enterprise Risk Management: Integrated Framework (COSO ERM)
2004. Комитет спонсорских организаций комиссии Тредуэя, PricewaterhouseCoopers

AS/NZS 4360:1999: Risk Management (AS/NZS)
1999. Совет по стандартам Австралии и Совет по стандартам Новой Зеландии

FERMA: Стандарты управления рисками
2002. Институт Риск Менеджмента (IRM), Ассоциация Риск Менеджмента и Страхования (AIRMIC) и Национальный Форум Риск Менеджмента в Общественном Секторе

преимущества от внедрения КСУР. Дано процентное соотношение респондентов оценивающих положительно или более чем положительно эффект от внедрения системы управления рисками.

100

47

44

44

44

41

39

38

31

30

28

28

0

20

40

60

80

Повышение эффективности корпоративного управления

Обеспечение более последовательных процедур
обоснованного принятия риска руководством
для повышения стоимости компании

Повышение уверенности высшего руководства
в эффективности бизнес-операций

Повышение качества оперативного контроля
за результатами деятельности компании

Упрощение отчетности регулирующим органам

Эффективное информационное взаимодействие
с акционерами и заинтересованными сторонами

Укрепление репутации компании

Упрощение процесса принятия решений
на всех уровнях организации

Поддержка способности Генерального директора мыслить
в корпоративных и инновационных категориях
(понимание «big picture»)

Способствует в достижении стратегических целей

Увеличение доходности компании

Основные преимущества от внедрения КСУР

с учетом их критичности.
Учет рисков при принятии Советом Директоров стратегических решений.
Уверенность в достижении параметров бюджета (например, через хеджирование, создание финансового резерва под аварийные ситуации и проч.).
Предотвращение внеплановых потерь.
Высшее руководство компании:
Постановка целей с учетом существующих рисков.
Уход от субъективного фактора при оценке угроз.
Контроль достижения целей структурных подразделений.
Выявление узких мест в операционном процессе.
Корректировка бизнес процессов.
Закрепление ответственности за управление рисками.
Линейный менеджмент:
Способ донесения информации по рискам.
Учет мероприятий по управлению рисками при бюджетировании.
Влияние рисков подразделения на достижение целей компании.

Пример: КСУР для основных пользователей в российской промышленной компании

и тактические цели декомпозируются на цели отдельных бизнес-единиц и бизнес-процессов.
Определяется «приемлемый» уровень отклонения целей от заданных параметров (задается уровень приемлемого риска).
Уровень приемлемого риска по каждой цели согласовывается на уровне менеджмента компании в пределах своих полномочий.
Совокупный допустимый уровень риска утверждается советом директоров.
Корректировка целей советом директоров, менеджментом (при необходимости).
Интеграция с проектной деятельностью.

рисками и координирует деятельность по управлению рисками по всей организации. Отдел подчиняется исполнительному директору, ответственному за управление рисками.
Внутренний аудит проводит оценку эффективности процессов управления рисками, тестирование ключевых контролей и мероприятий по управлению рисками.

Модератор

Генеральный директор

Бизнес-единицы

Внутренний аудит

Управление рисками

Финансовый дир, Нач.юр.службы
Технический дир, Дир. по ИТ и т.п.

Руководитель Внутреннего аудита

Совет директоров

Информационная безопасность

Предотвращение рисков мошенничества

Страхование

Планирование непрерывности бизнеса

Исполнительный директор по рискам

ЗГД/ ВП

Комитет по аудиту

по управлению рисками в дополнение к функциям сбора информации и координированию деятельности (модератор). Отдел подчиняется исполнительному директору по рискам.
Внутренний аудит выполняет ту же роль, что и в варианте «Модератор».

Генеральный директор

Бизнес-единицы

Внутренний аудит

Фин.дир, Нач.юр.службы
Технический дир, Дир. по ИТ и т.п.

Руководитель Внутреннего аудита

Совет директоров

Информационная безопасность

Предотвращение рисков мошенничества

Страхование

Планирование непрерывности бизнеса

Исполнительный директор по рискам

ЗГД/ ВП

Комитет по аудиту

Исполнитель

Управление рисками

рисками и комплаенс. Обеспечивает, чтобы в организации эффективно действовали контроли (выполнялись мероприятия по управлению рисками), проводит тестирование контролей и мероприятий. Подчиняется Комитету по аудиту и рисками, в сферу ответственности которого входит также и деятельность организации по управлению рисками.
Децентрализованное управление рисками. Управление рисками сосредоточено в бизнес-процессах, функциях, бизнес-единицах, которые ответственны за построение и выполнение данной функции в организации. Отчетность и информация по рискам по вертикали и горизонтали передается в рамках существующей организационной структуры. Роль внутреннего аудита – также как и в варианте «Модератор».

Нач.юр.службы
Технический дир, Дир. по ИТ и т.п.

Руководитель внутреннего аудита
и управления рисками

Совет директоров

Информационная безопасность

Предотвращение рисков мошенничества

Страхование

Планирование непрерывности бизнеса

Исполнительный директор по рискам

ЗГД/ ВП

Комитет по аудиту

2 в 1 – Управление рисками и внутренний аудит

рисков, относящихся к сфере компетенции.
Мониторинг выявленных рисков.
Информирование по реализовавшимся рискам.
Разработка мер по снижению последствий "своих" рисков.
Анализ затрат на предупреждение рисков и устранение последствий.
Выполнение мероприятий по управлению рисков.

Анализ портфеля выявленных рисков (причинно-следственные связи, ранжирование и т.п.).
Организация информационного взаимодействия в рамках КСУР. Поддержание отчетности по рискам.
Координация действий различных подразделений компании в части управления рисками.
Мониторинг рисков и контрольных процедур на регулярной основе.
Согласование мероприятий по реагированию на риск.
Кризис-менеджмент и коррекция процессов (анализ причин реализовавшихся рисков).
Обучение персонала.
Передача в Совет директоров/ Комитет по аудиту информации обо всех существенных вопросах в области управления рисками.

Оценка эффективности процедур управления рисками, соответствия установленному уровню толерантности рискам, контрольных процедур и доведение информации до совета директоров и комитета по аудиту.
Планирование аудитов на основе выявленных рисков.
Выявление новых рисков в процессе аудитов.
Консультации по повышению эффективности ERM и СВК.

соблюдения внешних нормативно-правовых требований (комплаенс)

Задачи КСУР отражают стратегические цели компании с учетом принятого организационно-функционального дизайна КСУР. Например:

Какие задачи основные задачи решает КСУР?

Вариант 2:

Поддержка функции внутреннего аудита (риски как основа для формирования риск-ориентированного плана аудитов)
Формирование сводной отчетности по рискам
Обучение

Вариант 3:

Определение параметров программы страхования (лимитов, франшиз, условий)
Управление кредитным риском (мониторинг дебиторской задолженности)

риск

1.1. Классификатор рисков

2.1. Метрика оценки
2.2. Механизм ранжирования
2.3. Критерии принятия решений

3.2. Процедуры контроля отдельных рисков

4.1. Шаблоны мониторинга
4.2. Карта рисков
4.3. Процедуры
по информи-рованию

5.1 кризис менеджмент: критерии инициации процедуры, роли, ответственность, критерии завершения

6.1 процедура расследований реализовавшихся рисков
6.2.процедуры информирования о результатах (lessons learnt)

2.
Оценка рисков

3.
Реагирование на выявленный риск

4.
Мониторинг
рисков

Коррекция 7.1. процедур КСУР
7.2.
бизнес процессов 7.3. триггеров внешней среды

Какие процессы управления рисками должны быть в организации?

Базовый уровень

Продвинутый уровень

Управление активами)

Охрана труда, окружающей среды, промышленная безопасность

Взаимоотношения с внешними сторонами

Корпоративное развитие

Основной операционный процесс

Анализ
рынка,
клиентов

Разработка видения и стратегии

Дизайн продукта, услуги

Маркетинг, продажи

Биллинг и сервисное обслуживание

Производство
и доставка (логистика) продуктов,
услуг

Управление рисками и внутренний контроль

Сформировать понимание существующих рисков в цепочке стоимости организации

1

2

3

4

5

6

рисков, определение ключевых (существенных) рисков, картирование рисков

Определение основных проблем (риски или угрозы) с которыми сталкивается компания.
Приоритезация и представление в виде списка выявленных рисков.
Определение владельцев рисков, т.е. тех, в чьей сфере ответственности находится тот или иной риск.
Закрепление риска за владельцем, согласование с руководством компании.

Экспертная оценка выявленных рисков.
Выделение ключевых рисков, т.е. рисков которыми компания будет целенаправленно управлять (разрабатывать и реализовывать мероприятия по приведению рисков в допустимые, по мнению руководства и акционеров, границы и в дальнейшем оценивать эффективность этих мероприятий).
Нанесение рисков на диаграмму цепочки стоимости и визуализация в виде карты рисков.

и органы регулирования рынка ценных бумаг.
Связи с общественностью в регионах присутствия.
Рынки капитала и страховые рынки.
Внутри организации:
Служба внутреннего аудита.
Департамент стратегического управления.
Финансовый департамент, бюджетный департамент.
Производственные департаменты.
Департамент управления персоналом.
Департамент ИТ.
Департамент правового обеспечения.
Подразделение по страхованию.

79

81

61

46

49

0% 20% 40% 60% 80% 100%

контролем
Хранение информации и отчетность, мониторинг в режиме реального времени
Экспертная оценка рисков или точная количественная оценка
Расчет параметров программы по управлению рисками (например, хеджирование)

В КСУР должны быть разработаны инструменты, которые эффективно поддерживают функцию управления рисками и соответствуют текущим требованиям бизнеса

в интеграции КСУР в процесс принятия решений высшим руководством
Превалирует контрольная функция риск-менеджера.
Излишняя бюрократизация процесса управления рисками.
Недостаточная поддержка и понимание функции производственными подразделениями.
Неверный выбор ИТ платформы.

63

59

48

62

43

46

39

41

36

30

0% 10% 20% 30% 40% 50% 60% 70%