Категория: Руководства
Доброго времени суток, уважаемые коллеги!
Сегодня мы планируем начинать плавно заканчивать :) поднятую нами тему риск-менеджмента, которую мы обсуждаем с Вами на протяжении последнего года. Мы старались вложить в наши статьи только тот материал, который бы был Вам полезен и применим в Вашей деятельности :).
Сегодня мы обсудим то, для чего стоит внедрять риск-менеджмент и каким образом его в последствии, стоит сопровождать и развивать, соотнося с целями своего предприятия.
Актуальность области анализа и управления рискамиТекущий уровень развития науки, информационных технологий, техники и бизнеса диктует высокие стандарты качества продуктов и услуг, оптимальное использование которых позволяет добиться конкурентного преимущества и занять лидирующие позиции в своем сегменте бизнеса для компаний, которые нацелены на долгосрочное развитие и создание качественного результата своей деятельности. Стратегии, связанные с «мгновенным» извлечением прибыли и с последующим «уходом» с рынка ИТ продуктов, мы в нашем курсе не затрагиваем.
В связи со сказанным появляется задача определения рамок нашего обсуждения и анализа актуальности темы анализа и управления рисками. Это необходимо для последующего корректного и оптимального применения риск-менеджмента в основных бизнес процессах организаций, на основе которых формируется основная прибыль предприятий, использующих процессы анализа и управления рисками.
Сегодня, когда требования рынка к представленным на нем товарам и услугам очень высоки, а время, предоставленное производителям для вывода инновационных продуктов на «прилавки» стремится к минимуму, учесть все критичные факторы при проектировании, разработке и последующем внедрении процессов и продуктов задача довольно сложная и априори дорогостоящая. В связи с этим, владельцам продуктов и исполнителям работ, как внешним (в случае привлечения аутсорсинговых компании к разработке продуктов), так и внутренним (при использовании собственных ресурсов организации) необходимо иметь в своем арсенале специальные активности, с помощью которых станет возможным работать с рисками и учитывать их возможные последствия в жизненном цикле продуктов/процессах/ активностях.
Ранее, при социалистическом государственном строе нашего государства, подобных задач не вставало по причине того, что основным заказчиком и исполнителем работ было советское правительство, которое обладало «бездонными» ресурсами. Процесс контроля качества, работы с рисками выполнялся в виде функций, осуществляющий координацию не хода процесса, а аудит конечного результата, который можно было получать в необходимом количестве и качестве, учитываю специфику производства и «богатство» советской страны. Сегодня на подобную расточительность нет ни материальных ресурсов, ни времени.
Рыночное развитие экономики по западному принципу, диктует свои стандарты, без соблюдения которых ни одна компания современного типа (за редким исключением) не выживет в современной социальной и экономической действительности. Именно поэтому процессы менеджмента качества и работы с рисками перестают быть «точечными» процедурами, а плавно, начиная с 90-х годов прошлого столетия, начинают интегрироваться в основные производственные процессы организаций, стремящихся к лидерству и существованию на современном рынке товаров и услуг. Это подтверждается популярностью и необходимостью использования стандартов серии 9000, которые получили необыкновенное распространение и развитие в указанный период времени и при этом, используются и развиваются на сегодняшний день очень активно.
При чем, в ряде отраслей и процессов, применение этих стандартов и смежных с ними, является необходимым условием для выхода производителей на рынок.
Для всех сотрудников, в деятельности которых присутствует необходимость работы с рисками (а это практически все типы работников каждого предприятия), необходимо понимание того, что риск, это не случайное понятие, проявление которого зависит от случайности, а конкретное событие, возникающее в ответ на ряд социальных, экономических, технических, организационных, психологических и т.д. факторов, проявлению или отсутствию которых способствует каждый специалист, принимающий решения любого масштаба, на своем рабочем и в своей деятельности.
Необходимость в процессах, обеспечивающие функции которых позволят стабилизировать имеющуюся ситуацию, предотвратить появление рисков, предоставить данные о слабых местах в деятельности компании и обеспечить надлежащее качество продуктов, является одним из определяющих факторов развития и продвижения компаний на рынке товаров и услуг.
Необходимые составляющие процессов анализа и управления рискамиВеличина ресурсов, которыми обеспечивается риск-менеджмент, обосновывается целями, которые должны выполняться данной активностью.
Чем более амбициозные цели ставит руководство, тем более полное финансирование должно выполняться.
Перечень необходимых и достаточных составляющих процессов анализа и управления рисками, вне зависимости от масштабов домена риск-менеджмента, его организации и финансирования являются:
Перечень вышеприведенных ресурсов представляет собой необходимый базовый минимум, который должен быть предусмотрен в качестве стартовых ресурсов при внедрении процессов анализа и управления рисками. Поэтому, прежде чем начинать работу по организации риск-менеджмента, руководство организации должно задуматься о том, каким образом они планируют в дальнейшем использовать данное функциональное направление своей организации.
Дело в том, что стадия проектирования бизнес-процессов закладывает необходимую материальную базу и бизнес-архитектуру домена. Если допустить просчет, в момент формирования необходимых процессов и их обеспечения, связанный с недостаточным/ некорректным выделением ресурсов для их применения в проектируемых активностях, то в дальнейшем это может привести к ошибкам в ходе выполнения работ по анализу и управлению рисками и нарушить цели и результаты запланированного использование рисковых процессов.
При подобном развитии ситуации, домен риск-менеджмента может стать «узким горлышком» организационных процессов, а это в свою очередь может способствовать возникновению дополнительных ограничений при развитии организации.
Конечно, развитие любой активности может корректироваться по ходу её жизненного цикла, в зависимости от задач, которые она должна поддерживать. Но стадия проектирования, в которой определяется максимальная нагрузка, выдерживаемая и поддерживаемая риск-менеджментом, закладывает тот базис, превзойти который вряд ли в дальнейшем удастся, без привлечения дополнительных капитальных средств.
Роль риск-менеджераРоль риск-менеджера, основного участника процессов анализа и управления рисками, является центральной в процессах риск-менеджмента. От его человеческих качеств и профессиональных навыков будет зависеть успех домена риск-менеджмента. Согласны ведь все? Да, конечно, но… такое развитие ситуации, должно не устраивать руководство компаний.
В конкретной организации, стремящейся к лидерству в своем сегменте, необходимо выстроить процессную систему управления рисками, которая должна учитывать и применять положительные стороны своих специалистов и при этом уметь сглаживать их недостатки, стремясь, эволюционным путем, развить их в достоинства.
Цель системы – снизить значимое влияние отдельных исполнителей на общий результат, диверсифицировав риск фактора «человека оркестра», за счет распределения знаний, информации и обязанностей между группой заинтересованных в достижении результата сотрудников.
В подобной схеме развития должны быть заинтересованы как руководство компании, бонус которого заключается в организации и сопровождении беспрерывных качественных бизнес процессов риск-менеджмента, так и профессионалы, которые могут планировать свое дальнейшее развитие и совершенствование с учетом понимания текущей ситуации и представления о том, в каком направлении возможно их развитие. Цель общей системы предоставить всем её участникам равные возможности профессионального роста и применения получаемых навыков в работе, с учетом понимания четких рамок и границ, в условиях которых каждый специалист должен уметь применить свои таланты на благо компании. Так же немаловажно, чтобы каждый не только имел возможность развивать навыки, но и применял их в достаточном объеме, на постоянной основе.
Риск-менеджер при анализе и принятии решений по определенным ситуациям должен руководствоваться следующим сводом основных правил, которые представляют собой «best practice» данного направления деятельности:
Но, наряду с «best practice», нам кажется правильным перечислить и «worst practice». Цель, которую мы преследуем при перечислении правил, которых риск-менеджер не должен допускать в своей деятельности – формирование профессионального мировоззрения.
Основу профессиональной философии риск-менеджера должны составлять не только результаты, к которым он должен стремиться, но и табу, которых он должен не допускать:
Если руководство организации поставит себе одной из целей прививать своим работникам культуру (о культуре мы подробнее расскажем чуть позже) работы с рисками, то выгоды от данного решения, при условии реализуемости их в виде конкретных действий, дадут «плоды» в виде повышенного качества продуктов и/или услуг создаваемых компанией.
Более талантливые сотрудники отличаются тем, что им присущи процедуры рефлексии (самоанализа) произведенных ими продуктов и дальнейшее применения результатов этих процедур. Это позволяет им добиваться более качественного результата, отраженного в виде более быстрых или качественных решений.
Неотъемлемым этапом организации риск-менеджмента в целом, является разработка мероприятий по достижению намеченной программы, т.е. определение дополнительных этапов или видов работ с использованием «best practice», учетом «worst practice», объемов и источников финансирования этих работ, дополнительных исполнителей, сроков выполнения, которые выявляются по ходу процесса, при бдительном участии в активностях профессиональных риск-менеджеров.
Таким образом, роль риск-менеджера, профессионально выполняющего свои обязанности, является ключевой в процессах анализа и управления рисками, но руководство компаний, в которых проводится риск-менеджмент, должно стремиться к регламентированному ограничению влияние, которое может оказывать отдельный сотрудник на общий результат.
Развитие сотрудника и компании, повышение их совместных компетенций должно быть взаимногармонизировано.
Итоги статьиСегодня мы изложили информацию, основные принципы и методы, которые должны быть положены в основу процессов анализа и управления рисками предприятий, заинтересованных в них. Наша следующая статья (мы планируем её сделать нашей последней статьей данной серии) будет посвящена подведению общих итогов и прощанию с данной темой :)
Доброго здоровья и бодрого духа!
Авторы статьи
Мультивендорные сервисы от IBM
Исследование, проведенное компанией Deloitte за прошлое десятилетие (Deloitte, Disarming the Value Killers, 2005), показало, что неэффективный риск-менеджмент может быть чреват крупными неприятностями: «Почти половина компаний Fortune 1000 потеряли более 20% своей стоимости за месяц. Кроме того, у 50% этих фирм больше года ушло на то, чтобы восстановить свою стоимость, а 22% из них не могут это сделать по настоящее время».
Плохое понимание рисков может обернуться серьезными потерями. Ограниченное или неэффективное прогнозирование рисков является причиной возникновения непредвиденных инцидентов и, как следствие, убытков. Часто многие несущественные риски связаны между собой, и даже незначительные инциденты могут вызвать цепь событий, которые приведут к большим потерям.
Исследование, проведенное Aberdeen Group в августе 2011 года в компаниях, уделяющих внимание управлению рисками, выявило тенденции последних двух лет, которые отражены на рис.1.
.jpg)
Таким образом, рисками можно и нужно управлять, так же как внутренними бизнес-процессами компании.
Отметим, что 87% рисков не относятся к финансовым.
Для многих компаний основой риск-менеджмента является финансовый контроль. Однако недавнее исследование показало, что 87% идентифицированных рисков были нематериальными (IBM Global Business Services, CFO 2008). Нематериальные источники рисков, способные весьма серьезно воздействовать на компанию, включают эксплуатационные, правовые, стратегические, политические, геополитические риски, а также риски, связанные с безопасностью производства и влиянием на окружающую среду.
В структуре нематериальных источников риска 13 % составляют операционные риски (см. рис. 2). К ним относятся природные катастрофы, потеря данных, срыв поставок, аварии на производстве, сбой в работе ERP, остановка производства. На долю правовых и нормативных рисков приходится всего 8%, сюда входят мошенничество, претензии по продукции, изменения в законодательстве, хищения, безопасность продукции. Самой большой группой в структуре нематериальных рисков являются стратегические риски — 32%, к ним относятся промышленная глобализация, ошибки при обновлении ПО, изменение спроса на продукцию, отмена крупных контрактов, соответствие стандартам качества. Второе место после стратегических рисков делят группы политических/географических рисков (смена правительства, изменение субсидий и бюджетов, кадровые изменения, нормы корпоративной ответственности, терроризм) и риски, относящиеся к охране здоровья и защите окружающей среды (болезни и эпидемии, безопасность, соответствие стандартам защиты окружающей среды, санитарные требования к продуктам питания, климатические изменения, загрязнения окружающей среды), составляя по 17%. На долю же финансовых рисков приходится 13%, включая изменения курсовых валют, изменения процентных ставок, достоверность финансовой отчетности, доступность денежных средств, непрозрачность рыночных тенденций, экономический спад, стоимость сырья и энергоресурсов.
.jpg)
Все источники риска связаны между собой и могут накладываться друг на друга. Например, предпосылками возникновения несчастного случая или даже чрезвычайного происшествия в виде промышленной аварии является комплекс причин — от организационных просчетов до слабой исполнительской дисциплины в компании. Следствиями аварии могут быть причинение вреда людям и окружающей среде, простои производства, значительные финансовые потери и ухудшение деловой репутации компании. В большинстве случаев аварии или несчастные случаи происходят неожиданно, но закономерно. Причины заключаются в нарушении правил и нормативов безопасности, установленных законодательством и внутренними регламентирующими документами компании. Большинство из таких инцидентов можно заблаговременно обнаружить и отреагировать таким образом, чтобы избежать серьезных последствий.
Сначала рассчитать, потом рисковать
В зависимости от сферы деятельности, экономической среды, планов развития, компании могут сталкиваться с разными видами рисков, но в целом эффективное управление рисками придерживается общих целей: повышение устойчивости бизнеса, снижение убытков и максимальное увеличение прибыли.
Управление рисками в компаниях начинается с выявления и оценки всех потенциально возможных угроз.
Для этого, прежде всего, необходимо детально проанализировать существующие бизнес-процессы компании. Полученные данные дадут полную картину всех возможных рисков, угрожающих предприятию.
Оценив вероятность возникновения тех или иных рисков, их степень влияния на компанию и рассчитав возможный ущерб, можно разрабатывать реакции на выявленные риски. Это подразумевает поиск менее рискованных вариантов осуществления деятельности, то есть поиск альтернатив с возможностью получения тех же доходов. При этом необходимо сопоставлять затраты на реализацию менее рискованной сделки и размеры риска, который удастся снизить. Другими словами, не должно получиться так, что компания избежала риска потерять 10 тысяч, потратив на это 20 тысяч.
Эффективный риск-менеджмент предполагает непрерывный мониторинг всех существующих рисков, чтобы своевременно реагировать на возникающие опасности.
Применение стратегии управления рисками — это не только выработка действий в ответ на возникающие инциденты, но и изменение системы принятия управленческих решений в организации.
После оценки и анализа всех рисков руководство компании решает, принимать риски или избегать их. Принятие рисков означает, что компания полностью берет на себя ответственность за предотвращение или ликвидацию последствий от этих рисков. Решение об уклонении от рисков подразумевает избегание видов деятельности, связанных с рисками, или их страхование. В любом случае все риски должны быть известны и не быть неожиданными для руководства, нужно, чтобы решения принимались с их учетом, а не в условиях неопределенности.
Наиболее эффективный способ уменьшить все виды рисков — создать действенную систему управления рисками в компании. Она должна обеспечивать своевременное выявление и оценку рисков путем разработки внутренних положений, общих принципов и методики управления рисками. Система должна поддерживать единую среду внутреннего и внешнего контроля, процедуры контроля для всех бизнес-процессов и мониторинг совершаемых операций на уровне всех подразделений, соответствие имеющимся требованиям и положениям, процедурам проверок и сверок. Система управления рисками компании должна обеспечивать доступ и быструю передачу достоверной, точной, своевременной, доступной и полноценной информации для принятия решений и оценки текущей деятельности между ответственными лицами, а также непрерывный мониторинг текущей деятельности, который подразумевает постоянный контроль за наиболее важными рисками.
Векторы управления рисками (GRC):
Governance — управление на основании таких инструментов, как политики, процедуры, контроль, иерархия принятия решений и т. д. применяемых для управления бизнесом;
Risk — определение, управление и уменьшение неблагоприятных событий, которые потенциально могут повлиять на компанию;
Compliance — соответствие требованиям (законодательным, отраслевым и внутренним нормативам и регламентам).
Информационные технологии в управлении рисками
Существует много методов и способов идентификации и управления рисками — от современных ГОСТов в области управления рисками до стандартов системы менеджмента качества. Однако выполнить весь объем требований и процедур без применения информационных технологий — задача достаточно трудоемкая из-за большого количества и сложности этих процедур.
Решения, предназначенные для управления рисками, их оценки и выполнения нормативных требований, обеспечивают стабильность бизнеса благодаря повышению эффективности стратегии, выявлению новых возможностей и сокращению убытков в непредвиденных ситуациях.
Некоторые из них позволяют даже связать между собой информацию из разных систем, отделов и регионов, обеспечивая тем самым более высокую производительность труда.
Кроме общих, многофункциональных решений существуют также более узкие приложения, которые можно использовать как в комплексе с другими решениями, так и самостоятельно.
Все операции (процессы, планы расширения, активы и возможности компании), риски, ответные реакции и контрольные процедуры компании должны выполняться на основе различных моделей управления рисками (ISO 31000, ASNZ 4360, COSO). Желательно, чтобы они осуществлялись в единой информационной среде, это обеспечит наиболее эффективный контроль всех процессов. Решение предоставляет доступ к хранящимся в системе матрице рисков и контролей, информации по тестированию контрольных процедур, необходимой документации и данным по покрытию рисков контрольными процедурами.
Встроенные автоматические процедуры контроля (число этих процедур может доходить до нескольких сотен) значительно снижают трудозатраты на их выполнение, уменьшают число ошибок, связанных с человеческим фактором. Благодаря автоматизации контрольных процедур и быстрому предоставлению отчетности решение позволяет снизить затраты на соблюдение требований финансовой отчетности, таких как РСБУ, МСФО и закона Сарбейнса-Оксли.
Некоторые приложения позволяют быстро проводить опросы по эффективности и самооценке контрольных процедур, выполнять тестирование контрольных процедур. Например, чтобы провести опрос по самооценке процедур контроля, внутреннему аудитору необходимо: 1) создать опрос; 2) выявить ответственных пользователей; 3) разослать всем опрос; 4) собрать от каждого информацию; 5) обработать эту информацию; 6) проанализировать информацию. При помощи данного решения внутреннему аудитору достаточно один раз создать опрос, выбрать необходимый отдел предприятия, и система автоматически разошлет опросы ответственным за контрольные процедуры и обработает информацию. Аудитор сразу же сможет просмотреть отчет по самооценке. Таким образом, значительно снижается время на проведение опросов и тестирование контрольных процедур, а также на формирование отчетов по эффективности контрольных процедур, процессы становятся более прозрачными для внешних аудиторов и руководства компании. Приложение снижает затраты на аудит и позволяет руководству компании получать больше информации, касающейся соблюдения требований внутри бизнес-процессов.
Решения для управления рисками оптимизируют процедуры коллективного управления рисками, позволяя профессиональным риск-менеджерам и руководству компании быстро реагировать на финансовые, операционные и правовые риски и планировать наиболее эффективные пути развития.
Решение содержит контрольные индикаторы рисков, которые отслеживают пороговые значения рисков в информационных системах, тем самым позволяя риск-менеджерам моментально узнавать о возникающих инцидентах и отслеживать те, что уже выявлены. Руководство компании в любой момент может просмотреть отчет по существующим рискам, отследить затраты на ликвидацию рисков и с их учетом спланировать бюджет. Решение содержит средства моделирования сценариев событий, связанных с несколькими рисками, и сценарии по методу Монте-Карло.
Вовлекая в процесс управления рисками максимально необходимое количество сотрудников, информационное решение предоставляет риск-менеджерам наиболее полную информацию по рискам внутри компании, автоматизирует и ускоряет процессы передачи информации по рискам между ответственными за процессы, риск-менеджерами и руководством компании. Таким образом, минимизируется время от выявления риска до принятия решения, так как выявленный риск сразу же отображается в системе. Менеджеру по рискам автоматически приходит уведомление о выявлении риска, после чего риск-менеджер утверждает риск, проводит качественный и количественный анализ данного риска, создает реакцию по снижению, либо избеганию данного риска, может сразу же указать стоимость и назначить ответственного за выполнение действий, затем данные автоматически приходят на утверждение руководителю компании. Далее риск-менеджер в любой момент времени может оценить эффективность выполняемых действий. Данный процесс проходит в единой среде, что значительно ускоряет его и снижает вероятность ошибок.
Примером информационной системы, сочетающей в себе все перечисленные выше требования, является решение SAP GRC, которое включает большое количество методов и инструментов, позволяющих решить весь объем задач для управления рисками.
Решением SAP GRC пользуется одна из крупнейших телекоммуникационных компаний Казахстана. Интегрированная автоматизированная система была приобретена компанией, для того чтобы обеспечить информационную и инструментальную поддержку процессов управления рисками. С помощью SAP GRC компания автоматизировала основные стадии процесса управления рисками и получила такие преимущества, как контроль выполнения процедур по уменьшению риска, согласованность с корпоративными требованиями, формирование сообщений управления рисками.
Итак, для того чтобы управлять рисками эффективно, необходимо делать это на каждом этапе — от идентификации до ответных реакций; в реализацию целей GRC надо вовлекать как можно большее число сотрудников; целесообразно внедрить систему управления рисками, чтобы поддерживать прозрачность стратегических, финансовых и эксплуатационных планов развития.
Возможность активно воздействовать на возникающие риски дает компаниям неоспоримые преимущества и укрепляет конкурентные позиции.
Алексей Якушев, руководитель направления SAP BI компании «ЭВОЛА»; a.yakushev@evola.ru
Александр Кузьминский, консультант SAP GRC компании «ЭВОЛА»; a.kuzminskij@evola.ru
