Что такое риск культура
Риск-культура в современной банковской сфере
Рубрика: 4. Экономическое развитие и рост
Дата публикации: 16.04.2016
Статья просмотрена: 14054 раза
Библиографическое описание:
Дадыко, С. И. Риск-культура в современной банковской сфере / С. И. Дадыко, А. В. Марченко. — Текст : непосредственный // Актуальные вопросы экономики и управления : материалы IV Междунар. науч. конф. (г. Москва, июнь 2016 г.). — Москва : Буки-Веди, 2016. — С. 7-10. — URL: https://moluch.ru/conf/econ/archive/174/10264/ (дата обращения: 15.12.2021).
Многие думают, что риск-менеджмент — это элитарная наука, доступная для понимания и практического применения лишь специалистам с математическим образованием. Риск-менеджер представляется магом, который долго колдует над черным ящиком с неизвестным содержимым, произносит загадочные слова «PD», «LGD», «RAROC», «экономический капитал» и «Базель», после чего говорит «нет» в ответ на казалось бы выгодное бизнес-предложение.
Но это заблуждение, преодолеть которое и призвано развитие риск-культуры. Что же означает развитая риск-культура?
В условиях развитой риск-культуры каждый сотрудник, во-первых, знает, что находится в «черном ящике» риск-менеджера; во-вторых, понимает, как «результаты колдовства» можно применить с пользой для развития бизнеса; в-третьих, мотивирован на практическое применение «результатов колдовства».
Риск-менеджмент, как и любой другой управляющий процесс, четко регламентируется. Организационные структуры, роли, процедуры, инструменты и модели должны работать как слаженный механизм. Но опоры на формальные механизмы не достаточно для обеспечения устойчивости системы риск-менеджмента банка и ее адаптивности к постоянно меняющейся внешней и внутренней среде. Жизненные ситуации бегут впереди любой, даже самой обширной и детальной системы нормативных документов. Надежно закрыть возможные пробелы и серые зоны в нормативном регулировании помогают знания, ценности, принципы и убеждения в сфере управления рисками. Их совокупность и получила в международной практике название риск-культуры. [1]
В банках, в сфере управления рисками часто доминируют либо формальные процедуры, либо неформальные принципы и убеждения. Наиболее успешные банки развивают и то, и другое [2]
Развитие риск-культуры — очень важный, долгий и сложный путь. Он состоит из:
Развитая риск-культура означает, что сотрудники банка, непосредственно не связанные с функцией риск-менеджмента, могут говорить с риск-менеджерами на одном языке и понимают, что для банка в целом означает управление кредитным, рыночным или операционным риском и как конкретно оно касается этих сотрудников. На практике уровень риск-культуры меняется от банка к банку. Если в организации достаточно сильная риск-культура, риск-менеджмент пронизывает все: процессы, системы, управленческие решения, модели и т. д. В банках с менее развитой риск-культурой риск-менеджмент сводится к формальным заключениям и рекомендациям риск-менеджеров, зачастую не обладающих правом голоса при принятии бизнес-решений. [3]
Одним словом, весь инструментарий риск-менеджмента, каким бы совершенным он ни был, эффективен настолько, насколько развита культура управления рисками в организации.
Одной из причин медленного развития риск-культуры может быть слабая поддержка риск-менеджмента со стороны высшего руководства организации. Понимая важность внедрения инструментов управления рисками, руководство не всегда сознает, что риск-менеджмент касается не только риск-менеджеров, но и остальных сотрудников организации.
Сотрудники организации традиционно слабо заинтересованы в том, чтобы делиться информацией о рисках. Слово «риск» часто воспринимается сотрудниками в негативном ключе, они боятся стать его владельцами и начать отвечать за последствия. Организации приходится преодолевать эту установку закрытости у сотрудников, чтобы выявить проблему как можно раньше, пока она еще поддается урегулированию.
Часто сотрудники организации по-разному понимают риски, поскольку отсутствует единая стратегия управления рисками, разрознена нормативная база, отсутствуют программы обучения и развития компетенций в сфере риск-менеджмента, а уровень владения компетенцией не соответствует уровню занимаемой должности.
Еще один труднопреодолимый барьер развития культуры риск-менеджмента состоит в том, что люди в бизнесе часто сопротивляются попыткам взглянуть на их действия под иным углом, предсказать альтернативные варианты развития событий. Вот почему многое должно быть сделано для правильной коммуникации роли риск-менеджеров как партнеров и конструктивного противовеса в процессе подготовки и принятия бизнес-решений. [3]
На текущий момент банки находятся на разных стадиях развития риск-культуры. Для классификации разновидностей риск-культуры можно использовать различные признаки. Рассмотрим типологию на следующем примере. [4]
За последние 30 лет состояние риск-культуры в мировой банковской отрасли претерпело существенные изменения.
В период до 1990-х гг. компетенции в сфере риск-менеджмента находились на ранней стадии развития. Внутри кредитных организаций риск-менеджмент рассматривался исключительно в контексте соблюдения требования регулирующих органов.
1990-е гг. принесли понимание риск-менеджмента как сугубо контрольной функции и препятствия для развития бизнеса. Ценности и принципы риск-менеджмента часто вступали в конфликт со стратегией максимизации объемов бизнеса независимо от уровня прибыльности и риска.
В 2000-е гг., по мере существенного прогресса в развитии организационно-методологических аспектов риск-менеджмента, риск-метрики стали получать все большее распространение. На этот период приходится также тенденция переключения внимания банков на вопросы финансовой эффективности, максимизации прибыли. Риск рассматривался как составляющая расходов, вследствие чего функция риск-менеджмента испытывала серьезное давление. Оставался высоким уровень манипулирования риск-метриками, величина рисков банков зачастую занижалась. [1]
Период, последовавший за мировым финансовым кризисом 2008–2009 гг., стал началом перехода мировой банковской отрасли к сбалансированной риск-культуре. Получила развитие концепция аппетита к риску организации. Широкое внедрение метрик, сочетающих в себе риск и доходность, позволило существенно снизить градус конфликта между бизнес-функциями и функциями риск-менеджмента, объединив их общими целями на всех уровнях организационной иерархии. [5]
Путь крупнейших мировых банков к сбалансированной риск-культуре оказался нелегким и тернистым. Одни банки преодолели трудности, другие вследствие недостатков риск-культуры прекратили свое существование. В таблице 1, представлены примеры проявлений низкого уровня риск-культуры в крупнейших мировых банках. [6]
Последствия низкого уровня риск-культуры вфинансовых институтах мира
Банк
Ситуация вбанке (низкая риск-культура)
Результат
Замедленная реакция на предупреди тельные сигналы. Отсутствие необходимых правил и руководств. Отсутствие интегрированных процессов управления рисками
Консолидация полномочий у основной команды руководства, приведшая к отсутствию внутреннего критического анализа решений и излишней самоуверенности.
Отсутствие внутреннего критического анализа решений, изолированность подразделения по управлению рисками, неспособность предупредить о возникших сложностях.
Операционные убытки от собственных торговых операций в размере € 4.9 млрд
Изолированность руководства в совокупности с неспособностью отреагировать на предупредительные сигналы и рекомендации комитета по управлению рисками.
JPMORGAN Chase & Со.
Излишняя самоуверенность, неспособность должным образом отреагировать на возникающие угрозы
Излишняя самоуверенность, неэффективные системы контроля рисков, слабое взаимодействие между руководством и рядовыми сотрудниками.
Наложение штрафа в размере £ 290 млн за манипуляции со ставкой LIBOR
По горячим следам кризиса 2008–2009 гг. банки много инвестировали в развитие риск-менеджмента и риск-культуры и достигли весьма впечатляющих успехов. Единый эталон в этом отношении отсутствует, каждый банк продвинулся дальше конкурентов в каких-то отдельных областях. В таблице 2, приведены примеры банков и темы, по которым они являются примерами передовых практик риск-культуры. [7]
Лучшие практики риск-менеджмента ириск-культуры
Банк
Темы, по которым банк является примером передовых практик
Школа управления рисками, охватившая своими активностями всех сотрудников банка во всех странах присутствия.
Использование показателя RAROC.
Ценообразование, учитывающее риск.
Организация кредитного процесса корпоративных клиентов и клиентов малого бизнеса.
Андеррайтинг, охватывающий все.
Организация розничного кредитного процесса.
Разбор конкретных примеров анализа рисков клиентов из различных сегментов.
Реализация продвинутого подхода к управлению операционным риском (AMA).
Премия «Банк года» в категории «Операционный риск» (апрель 2014 г.).
Похожие статьи
Ключевые слова: риск—менеджмент, управление рисками.
Низкий уровень культуры риск—менеджмента.
Служба риск—менеджмента выполняет такие функции как координация и контроль, а также консолидация и анализ информации о рисковых событиях и выработка необходимых корректирующих воздействий.
Совершенствование системы риск—менеджмента в российских.
Ключевые слова: риск—менеджмент, банк, система рисков, предупреждение рисков.
Стратегическое управление рисками осуществляется на уровне Совета директоров и Правления.
Методы управления кредитным риском в банковском.
Управление рисками кредитного портфеля коммерческого банка. В современных условиях значение повышения уровня управления кредитным риском существенно возрастает в связи с усилением конкуренции на рынке предоставления кредитного продукта.
Анализ современных подходов к пониманию терминов «риск».
С. М. Бычкова заключает, что риск — это элемент, оказывающий влияние на уровень внутреннего риска: «. то есть риск предъявления претензий клиентами и другими сторонами.
Сравнительный анализ методов оценки рисков и подходов.
Роль риска в деятельности предприятий очень велика, а необходимость управления рисками сегодня является осознанной большинством специалистов. Вместе с тем, при столкновении на практике с конкретными задачами, возникает множество спорных моментов.
Концепция риск-ориентированного аудита | Статья в журнале.
внутренний аудит, внутренний контроль, реализация рисков, риск, процедура, риск-ориентированная служба, средство контроля, аудитор, методика службы, управление рисками. Пути организации внутреннего аудита в экономическом субъекте.
Управления банковскими рисками | Статья в журнале.
Инновационный риск: понятие, этапы управления. Ключевые слова:инновационный риск, неопределенность, факторы рисков, последствия рисковых событий, управление рисками. 2. анализ рисков; 3. выбор методов управления рисками; 4.
Классификация банковских рисков | Статья в журнале.
. кредитный риск, страновой риск, рыночные риски (фондовый риск, валютный риск, процентный риск), риск ликвидности, операционный риск, правовой риск, риск потери деловой репутации, стратегический риск. Анализ риска активных операций коммерческого банка.
Финансовые риски: сущность, классификация и методы их оценки
Ключевыеслова: Риск, управление риском, анализ, качественная и количественная оценка. Анализ современных подходов к пониманию терминов «риск». В статье рассматривается происхождение и разнообразие определения термина «риск».
Риск-культура — 10 шагов к риск-ориентированному мышлению
По мнению риск-менеджеров российских компаний (на основании результатов ежегодных исследований АНО ДПО «ИСАР», Делойт, РИД), культура управления рисками — один из важнейших аспектов эффективного управления организацией. Основная задача набора мероприятий по развитию и укреплению культуры управления рисками — это внедрение риск-ориентированного мышления в ключевые сферы деятельности компании.
Цели кажутся благими. Что же делать на практике? Мы составили свой список и попросили российских риск-менеджеров высказаться. Вот набор идей, которые можно реализовать для развития риск культуры в вашей организации:
Мероприятия для внедрения
1 Развитие компетенций по управлению рисками
— Выявление рисков в процессе принятия решений
— Оценка рисков методом галстук бабочка
— Оценка рисков методом деревья решений
— Оценка рисков методом Монте-Карло
— Использование инструментов ModelRisk/ Alteryx для анализа данных и оценки рисков
2 Развитие компетенций по страхованию и урегулированию страховых случаев
— Страховые случаи в имущественном страховании
— Страховые случаи в страховании грузов
— Страховые случаи в страховании ответственности
— Использование онлайн систем для целей страхования / получения сертификатов
— Инструкции по урегулированию убытков
3 Актуализация бизнес процессов компании с учетом рисков
— Сбор и анализ информации о функционировании ключевых процессов компании
— Определение требований (целей) к бизнес-процессу
— Выявление и оценка рисков процесса
— Бизнес-моделирование процесса (определяется индивидуально для каждой компании: автоматизировано или иная форма визуализации процесса).
4 Повышение прозрачности принятия решений
— Адаптационный тип – наличие инициативных и нестандартных решений, при этом решения могут быть новыми.
5 Разработка шаблонов, типовых моделей оценки и библиотеки распределений и корреляций
6 Единое окно и прозрачная нормативная база по управлению рисками и страхованию
— актуальные версии нормативных документов,
— ссылки на позиционные и риск отчеты, ссылки на типовые модели, калькуляторы и библиотеку распределений,
— ссылки на онлайн курсы,
— ссылки на информационные системы по страхованию,
— пособия по страхованию,
— карта застрахованных объектов Группы,
— анонсирование графиков риск-сюрвеев и переоценок для целей страхования,
— другие информационные материалы по управлению рисками и страхованию
7 Истории успеха и обмен опытом
— еженедельный обзор HUMAN RISK, предоставление кейсов крупных игроков международного рынка
— ежеквартальная подборка insurance news
— описание реализованных проектов по управлению рисками в Группе и полученные уроки, возможности тиражирования
8 Мотивация сотрудников, роли и обязанности
9 Оценка эффективности и включение информации о рисках в управленческую отчетность и отчетность по проектам
10 Оценка эффективности и включение информации о рисках в управленческую отчетность и отчетность по проектам
Подробнее прочитать и внести свои предложения в план развития риск культуры можно по ссылке ниже:
Финансовая сфера
Риском управлять должны все!
Консультант практики по управлению рисками компании SAS Варвара Солодилова рассказала «Б.О» о том, кто должен управлять операционными рисками, а также о риск-культуре в организации
Консультант практики по управлению рисками компании SAS
— Варвара, что сейчас происходит на рынке труда в области специалистов по управлению операционными рисками?
— Несмотря на то что во многих организациях из-за пандемии наем новых сотрудников был заморожен, в ряде компаний различных отраслей открыты вакансии специалистов в области риск-менеджмента.
Если бы мы в конце 2020 года зашли на сайт одной из популярных компаний интернет-рекрутмента и осуществили поиск таких вакансий, открытых нашлось бы более 9 тыс. за последний месяц, за последние три дня — более 3 тыс., за последние сутки — около 1 тыс. Числа кажутся внушительными. Но для сравнения позиций в области управления персоналом, открытых за последний месяц, — более 16 тыс., а области финансов — более 40 тыс.
На том же популярном ресурсе для поиска работы в конце 2020 года были размещены объявления чуть более 1,3 млн компаний. Если предположить, что все 9 тыс. вакансий по управлению рисками — от разных компаний, то всего лишь каждая 147-я компания нуждается в специалистах по управлению рисками, в то время как потребность в финансистах испытывает каждая 33-я.
Выводы о спросе на ту или иную профессию требуют глубокого анализа, однако доступные данные позволяют предположить, что не в каждой компании рисками управляют в масштабах всей организации. Если делать выводы об уровне зрелости процессов управления рисками, основываясь на более прикладном опыте — опыте консультанта рисковой практики вендора ПО, а в прошлом консультанта BIG4, то можно подтвердить сделанное заключение.
— Очевидно, это один из признаков незрелости риск-менеджмента?
— Безусловно! По итогам взаимодействия с компаниями — представителями производственной сферы, ретейла и даже финансовой отрасли с уверенностью могу сказать, что далеко не в каждой даже крупной компании управление рисками выделено в отдельную функцию. Во многих отсутствуют методология и регламенты, а также нет сотрудников, занимающихся исключительно риск-менеджментом.
В то же время сотрудники средних и крупных компаний в России воспринимают «риски» как отдельную профессиональную область, знают своих «коллег-рисковиков». Но далеко не каждый сможет объяснить, чем эти коллеги занимаются, поскольку достаточно часто процессы риск-менеджмента обособлены. В лучших практиках управления бизнесом давно признано, что риски есть у любой организации, и если, например, рыночные или комплаенс-риски требуют специальных знаний и присущи не всем видам деятельности, то операционные риски — это неопределенность, существующая на каждом этапе любого процесса. По идее, каждый участник процесса эти риски должен понимать, а каждая организации должна ими управлять.
На практике же для большинства сотрудников риски — это какие-то сакральные знания, ведомые только отделу по управлению рисками.
Это свидетельствует о том, что компании предпринимают попытки выделить риск-менеджмент в отдельный процесс, но в то же время говорит о не самой высокой эффективности этого элемента управления. Как эту эффективность измерить, кто должен управлять операционными рисками и почему о рисках нужно знать не только риск-менеджерам?
Мировые стандарты по управлению рисками пытаются помочь организациям найти ответы на эти вопросы.
— Расскажите, пожалуйста, немного об этих стандартах.
— Согласно стандарту управления рисками COSO ERM, один из основных компонентов управления — контрольная среда.
Комплексный подход в работе риск-менеджмента включает оценку уровня рисков с учетом имеющихся в процессах компании контролей. Соответственно риск-менеджеры тесно связаны с системой внутренних контролей. Кроме того, лучшие практики предполагают вовлечение всей организации в оценку рисков и контролей, а также в дальнейшую проработку и реализацию мероприятий по снижению уровня риска.
В различных отраслях требования регуляторов к процессам управления рисками различаются. Самое строгое регулирование — в финансовом секторе: банковская отрасль зачастую является не только объектом жесткого контроля со стороны регуляторов, но еще и лидером по зрелости процессов управления и IT. Многие банки уже выстроили процессы управления рисками, а вот вне финансового сектора риск-менеджмент развит в меньшей степени. При этом есть достаточно зрелые системы управления в компаниях других отраслей — производство, телекоммуникации, ретейл и пр.
С 1 октября 2020 года в силу вступило Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», которое обязывает банки выстроить полноценную систему управления операционным риском.
Одним из основных инструментов этой системы Банк России видит самооценку рисков: «Самооценка операционного риска проводится кредитной организацией в виде анкетирования выделенных для данной процедуры работников подразделений кредитной организации по всем направлениям деятельности, в том числе в разрезе составляющих их процессов».
То есть для банков уже на уровне регулятора закреплено требование вовлекать в управление рисками сотрудников из бизнес-подразделений. Очень вероятно, что многие организации из других отраслей тоже выберут такой подход для выстраивания процессов риск-менеджмента.
— В чем причина такого решения и есть ли подходы, которые помогают наладить совместную работу в области рисков?
— На мой взгляд, это обусловлено тем, что никто не знает процесс лучше, чем его участники. Соответственно и риски процесса лучше всего знают сотрудники, работающие с ними каждый день.
Распространенным путем для обеспечения эффективного взаимодействия между подразделениями является подход трех линий защиты, который предполагает вовлечение всей организации в управление рисками:
Остановимся на выстраивании взаимодействия между первой и второй линиями защиты. Полный жизненный цикл управления риском предполагает непрерывное функционирование этапов:
— Какая роль отводится каждой из линий защиты на этапах жизненного цикла процесса управления рисками и как достичь максимальной эффективности на каждом из них?
— Начну со сбора информации и идентификации рисков. Сотрудники бизнес-подразделений, например департамента розничного бизнеса в банке или отдела логистики в производстве, обладают более полной информацией о процессе выдачи кредита или транспортировки сырья соответственно. Они же — и владельцы риска.
Обладая экспертизой, менеджер по управлению рисками может идентифицировать потенциальную угрозу, классифицировать ее, но именно специалист, ежедневно принимающий заявки на получение кредита и регистрирующий договоры в системах банка, может наиболее точно описать условия потенциальной реализации риска, именно менеджер по логистике может точно обозначить источники и сферу влияния риска.
Определяя риск выдачи кредита по ставке ниже согласованной, риск-менеджер должен получить информацию от исполнителя процесса в виде регламента исполнения процесса, данные о распределении ролей между сотрудниками, задействованными в информационных системах. Оценивая риск срыва срока поставки сырья, риск-менеджер должен узнать, какие существуют в цепочке поставок рамки и ограничения, получить сведения о контрагентах, прецедентах реализации риска.
Система внутреннего контроля на этом этапе должна обладать информацией о наличии контролей в процессе, например контроля четырех глаз, который предотвращает самостоятельное исполнение операции и контроль за ней одним сотрудником. Такую информацию также должны предоставлять непосредственные участники бизнес-процесса.
В производственных процессах контрольные процедуры редко формализованы, но это не означает, что их не существует. Достоверная информация, подтверждающая регулярность работы этих процедур, находится у владельца бизнес-процесса. В таких ситуациях плотное взаимодействие первой и второй линий защиты служит залогом эффективного риск-менеджмента.
— Как происходит оценка рисков?
— Это задача второй линии защиты, а именно риск-менеджеров, которые должны определить, каким образом, с какой частотой будут оцениваться риски, то есть разработать методологию, которая будет обеспечивать адекватную, качественную и полную оценку.
Первая линия защиты на этапе оценки должна привлекаться в качестве экспертов, которые будут оценивать риск с учетом ежедневно накапливаемого опыта и информации о реализации риска в прошлых периодах. Служба внутреннего контроля на этом этапе включает в оценку информацию о контролях процесса, об их операционной эффективности и помогает учесть влияние контрольной среды на уровень риска.
Здесь стоит поговорить о мотивации первой линии защиты правильно и добросовестно оценивать риски. Часто вопрос эффективности самооценки рисков упирается в ряд проблем:
Если говорить о непонимании необходимости оценки и эффекта от нее, то часто оценка риска воспринимается как нечто формальное и бесполезное. Однако организациям следует чаще просвещать бизнес-сотрудников в части основ риск-менеджмента, а именно на примере конкретных подразделений показывать последствия несвоевременной идентификации риска и его недобросовестной оценки. Это могут быть примеры потери компанией крупного заказчика в силу утраты доверия или потери денежных средств в силу мошеннических действий. При этом важно не усилить у сотрудников страх ответственности.
Страх препятствует объективной оценке. Часто среди сотрудников организации можно встретить мнение о том, что если в процессе и есть риски, то только потому, что сами сотрудники не справляются со своими задачами, плохо работают, и первое, что сделает руководство после того, как увидит выявленные риски, — начнет всех наказывать и увольнять. Несмотря на то что организации активно развивают риск-культуру, многие из них в рамках проектов внедрения комплексной системы по управлению рисками одним из первых озвучивают вопрос: «Как заставить сотрудников добросовестно оценивать риски и регистрировать рисковые события?». И здесь руководству важно уйти от концепции «заставить» и начать движение в сторону «помочь» и «стимулировать».
Бывает, что в компании риск-культура развита на высоком уровне, сотрудники понимают, зачем оцениваются риски, но существуют трудности в понимании того, как это можно делать. Организации, стремящиеся к зрелой культуре управления рисками, должны формализовать процедуру оценки риска, разработать шаблоны оценок, простые и понятные анкеты для самооценки.
Полноценное вовлечение сотрудников в управление рисками требует некоторого количества времени, что также препятствует построению эффективного процесса. Руководство не горит желанием отвлекать сотрудников от решения бизнес-задач, а рядовые служащие не хотят тратить время на то, что не входит в их прямые обязанности. Кроме того, часто оценка рисков — это редкое заполнение файлов, которые потом отправляются по почте и забываются до следующей оценки.
В такой ситуации необходимо показать каждому сотруднику, что оценка риска — это не самоцель, а мощный инструмент изменений в компании. Дайте сотрудникам единое пространство для оценки риска, коммуникации с риск-менеджерами и руководством, покажите влияние их оценки на общую оценку риска в организации, пусть они увидят отчеты по рискам, узнают, что оценка риска — это начало большего процесса управления, результатом которого являются оптимизация всех процессов, совершенствование работы каждого участка в организации. Качественно выстроенный процесс — возможность для сотрудника проще и быстрее выполнять собственные KPI и получать соответствующее вознаграждение.
И раз уж мы заговорили об оптимизации, подчеркну, что процессы управления рисками можно и нужно сделать более унифицированными, быстрыми, понятными и эффективными.
Сбор информации и идентификация риска будут осуществляться оперативнее, если дать сотрудникам бизнес-подразделений простой и понятный инструмент для быстрого ввода информации о реализовавшихся событиях или выявленных проблемах. При этом у сотрудников будет возможность сразу же вносить информацию о причинах проблемы и вариантах решения. Этот ресурс можно использовать как пространство для анализа процессов и предложений по их улучшению.
Доступ к этому ресурсу должны иметь как система внутреннего контроля, так и риск-менеджмент, так как при помощи такого ресурса гораздо проще и быстрее запрашивать информацию, актуализировать, разделять или агрегировать ее в зависимости от целей использования.
Потребность в изменении и улучшении процессов гораздо проще донести до руководства, имея в качестве дополнительных аргументов уровень риска процесса и уровень убытков, которые могут быть снижены при реализации этих изменений. Службе внутреннего контроля будет проще «заставить» бизнес-подразделения внедрить контроли, если бизнесу будет доступна и понятна информация о том, какой риск эти контроли призваны исключить и как внедрение контроля позволит изменить шаги процесса, перераспределить задачи, чтобы процесс функционировал максимально эффективно.
— Что происходит на этапе реагирования?
— После идентификации и оценки рисков, а также анализа причин и последствий необходимо принять решение, что с этими рисками делать: оставить все как есть, застраховать деятельность от потенциальных потерь, отказаться от процесса или осуществить действия по минимизации рисков.
Такое решение должно приниматься совместно первой и второй линиями защиты. Если в условиях обособленной работы риск-менеджеры создают план мероприятий, который может включать разработку внутренних контролей, и далее этот план транслируется на бизнес-подразделения, которые обязаны выполнить все предписанные действия, то при комплексном подходе источником предложений и планов мероприятий является первая линия защиты, то есть непосредственные участники бизнес-процесса.
Так, для снижения уровня риска могут быть предложены программа найма и обучения персонала, внедрение дополнительного контроля и пр. В комплексном управлении рисками первая линия защиты должна участвовать в детальной проработке плана, предлагать способы минимизации риска с учетом влияния этого плана не только на уровень риска, но и на эффективность бизнес-процесса.
— Кто и как осуществляет мониторинг?
— Контроль уровня рисков, отслеживание изменений в процессах и сбор статусов исполнения планов — основные инструменты, обеспечивающие руководство актуальной информацией для принятия решений.
На этом этапе инструменты, внедренные второй линией, позволяют бизнесу использовать для принятия решений наиболее актуальную информацию: ключевые индикаторы риска помогут контролировать уровень убытков, статус выполнения планов. Служба внутреннего контроля, со своей стороны, оценивает, как изменится контрольная среда при условии реализации всех планов по минимизации рисков: не появятся ли при этом дополнительные риски, не станут ли какие-то контроли избыточными и не потребуются ли дополнительные ресурсы для проверки процессов.
— Как оценить эффективность управления рисками?
— Отталкиваясь от определения риска в ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство» («Риск — следствие влияния неопределенности на достижение поставленных целей»), можно сказать, что если компания в полной мере достигает своих целей, то рисками управляют эффективно. Однако это очень общий и сложно измеримый показатель. Тем не менее компании могут анализировать эффективность, оценивая уровень потерь от реализации риска, затраты на меры по митигации рисков в сопоставлении с эффектом от таких мер, количество повторяющихся рисковых событий, количество замечаний от внешних проверяющих и др.
Если оценивать, насколько продвинуто компания управляет рисками, то хорошим ориентиром будут уровень риск-культуры, количество сотрудников, пользующихся риск-инструментами, и инициативность бизнеса в части изменений таких инструментов. Например, для мониторинга уровня рисков используются ключевые индикаторы риска (КИР), дизайн которых разрабатывают риск менеджеры, однако при сборе информации по КИР может оказаться, что в таком разрезе показатель неинформативен и никак не отражает реальное положение дел.
— Так как же улучшить процессы, контролировать уровень риска и при этом не отвлекать подразделения от основных задач?
— Обеспечить сотрудникам единое пространство для работы, доступ к одним и тем же ресурсам, инструмент для быстрой коммуникации и оперативной трансляции необходимой информации. Такое пространство — автоматизированная информационная система (АИС) по управлению рисками.
АИС — это мощный инструмент выстраивания коммуникации между различными подразделениями, готовый унифицированный процесс с возможностью увидеть подсказки на каждом шаге, с опциями оперативной трансляции любых комментариев и задач, а также с механизмами отслеживания результатов действий каждого из сотрудников. Простой и современный интерфейс, понятная интерактивная отчетность, доступность анализа различных блоков информации (с соблюдением разграничения полномочий) — дополнительный способ мотивации сотрудников вовлекаться в процессы управления рисками.
Да, системы такого класса в явном виде не приносят компании дополнительной прибыли, однако унифицированные процессы, преднастроенные жизненные циклы согласования, единые справочники, инструменты оперативного мониторинга — это своевременно выявленные актуальные риски, правильно расставленные приоритеты по реагированию, полная информация для принятия решений и как следствие сокращение потерь и оптимизация бизнес-процессов. Важными условиями извлечения максимальной пользы от комплексного подхода к управлению рисками являются грамотно выстроенная ролевая модель, достаточная мотивация и высокий уровень риск-культуры.
В современных условиях высокой неопределенности и постоянных изменений знания о назначении и функционале инструментов риск-менеджмента, их комплексное использование каждым из сотрудников — одни из ключевых факторов достижения организацией ее целей. Поэтому управлять операционным риском должны все.