В кризисные времена все, как обычно, вспоминают о том, что любой бизнес — дело рискованное. Консультанты же напоминают, что подобные риски вполне поддаются оценке. Главное — понять, не окажется ли система оценки рисков столь дорога или сложна, что ее установка сделает нерентабельным сам бизнес.
Скандальный бизнес
Что такое риски, на интуитивном уровне, наверное, понимает любой бизнесмен. Однако далеко не во всех отраслях предприниматели уделяют должное внимание этим вопросам и уж тем более прибегают к помощи профессиональных консультантов. Понятно, что, например, в банковском или страховом деле без отлаженной системы управления рисками не обойтись: там это, по сути, основа бизнеса — именно на умении грамотно управлять рисками и зарабатываются деньги. В промышленности до относительно недавнего времени контроль рисков зачастую сводился к технике безопасности.
Однако, отмечают эксперты, в последние годы ситуация начала меняться. Андрей Кузьмищев, директор по консалтингу департамента управленческого консалтинга компании IBS: "Где-то в конце 1990-х — начале 2000-х годов после ряда крупных корпоративных скандалов, таких, как дело Enron, западное деловое сообщество озаботилось очень простым вопросом: каким образом владельцы компаний или инвесторы могут быть уверены в том, что компании в будущем будут достигать поставленных целей? То есть встал вопрос о том, что нужна какая-то управленческая технология, которая даст инвесторам уверенность в том, что дела в компании будут идти так, как они ожидают. Соответственно, оформилась концепция корпоративного управления рисками, или корпоративной системы управления рисками, суть которой в том, что управлять необходимо всеми существенными рисками на всех уровнях компании и на системной и постоянной основе".
Вероника Чарлесворт, директор отдела консультационных услуг, PricewaterhouseCoopers в России: "Основная проблема систем управления рисками — отсутствие именно комплексного, структурированного подхода к управлению рисками. Безусловно, во всех компаниях в какой-то мере рисками управляют, в большинстве случаев неформально, на уровне отдельных бизнес-функций. Все они начинают решать вопросы реагирования на риски по-своему. Это приводит, как правило, к тому, что возникают некие обособленные очаги управления рисками. В результате руководство и совет директоров компании не имеют целостной картины существующих и потенциальных рисков и механизмы управления рисками сводятся к реагированию на уже случившиеся события".
Помимо необходимости контроля со стороны акционеров еще одной причиной роста интереса к проблеме контроля над рисками стал финансовый кризис. Татьяна Берштейн, руководитель практики управления финансами и эффективностью деятельности московского офиса Accenture: "Если говорить о крупных вертикально интегрированных предприятиях, то в связи с событиями последнего года, то есть в связи с кризисом, компании очень сильно стали интересовать риски, связанные с изменением цен на их основную продукцию и с прочими внешними факторами, то есть с теми, которыми компания не управляет".
Системный заход
Что же представляет собой система управления рисками? В принципе все просто. В деятельности каждого предприятия есть риски, которые можно оценить. Это могут быть как технологические сбои, так и элементарные ошибки персонала. Оценка рисков — это, по сути, оценка ущерба, который грозит предприятию в случае, если какое-нибудь неприятное событие все-таки произойдет. А система оценки рисков — набор процедур, позволяющих минимизировать данный ущерб.
Андрей Кузьмищев: "Есть "классическая" структура процесса управления. Например, менеджер по продажам планирует продать неких изделий на миллион рублей в следующем месяце. Дальше он организует какие-то мероприятия по продажам, исполняет их и смотрит, что получилось. А управление рисками — это как бы обратная сторона этого процесса, когда на этапе планирования этот же менеджер должен ответить на вопрос: а что может в будущем такого произойти, что помешает мне выйти на данный уровень продаж? И составить список рисковых событий. В него могут включаться действия конкурентов, внутренние ошибки в процессах, словом, все, что может помешать достижению поставленной цели. Дальше из всего этого списка он должен выбрать нечто существенное, что, по его мнению, наиболее сильно повлияет на ситуацию и с наибольшей вероятностью произойдет. А затем, проанализировав, насколько адекватно управляются данные риски на текущий момент, принять решение о необходимости дополнительных процедур по управлению рискам. Затем разработать и реализовать эти процедуры. А в итоге — оценить их результаты. Системность в управлении рисками как раз и заключается в том, что каждый менеджер, начиная с членов совета директоров и заканчивая средним и младшим управленческим звеном, начинает подобные действия выполнять с должной периодичностью. Информация об исполнении этого процесса, то есть о рисках, об их существенности, о том, что с ними делать, о том, что в данном плане получается, а что нет, обрабатывается и агрегируется в масштабах компании. Тогда на верхнем уровне, например, можно построить карту рисков всей компании, на уровне каждого менеджера можно сделать карту рисков того блока, который он ведет".
Татьяна Берштейн: "Обычно деление идет, как минимум, на три-четыре крупные группы рисков. Первый тип — это бизнес-риски, они управляются отдельно. Второй тип — это финансовые риски, такие, как валютные, кредитные и т. д. И третья группа рисков — это операционные риски, которые обычно больше всего волнуют производственные компании — просто по причине того, что реализация операционного риска может привести к остановке или сокращению производственной деятельности предприятия. Классификация рисков может меняться в зависимости от потребностей бизнеса.
Типовые сложности связаны с тем, что риски, которые выбираются для оценки, должны быть понятными, управляемыми и измеряемыми. Например, мы вышли на улицу, случайно что-то на нас упало — астероид, скажем, прилетел. Это тоже риск, но плохо управляемый и слабо измеряемый. Но если мы хотим управлять риском, мы должны уметь его измерять и должны иметь четкие варианты (опции) по его минимизации. Потому что если абстрактные понятия закладывать в систему — будет абстрактный результат".
Сергей Ковтун, директор направления "Финансовый сектор" компании BearingPoint: "Обычно в системе управления рисками выделяют следующие виды рисков: кредитный, рыночный (ценовой, валютный, товарный, процентный), риск ликвидности, операционный, стратегический, а также репутационные и юридические риски. Риск, которому подвержена любая компания вне зависимости от отраслевой принадлежности,— это кредитный риск. Данный вид риска более актуален для банков, чем для коммерческих компаний, тем не менее умение правильно оценивать риски, связанные с дебиторами,— это одна из ключевых задач риск-менеджмента. Помимо кредитного риска в зависимости от того, чем занимается компания, она будет подвержена и другим видам риска. Если это производственная компания, то на первый план могут выходить операционные риски, связанные с производством той или иной продукции. Если это компания, которая задействована в торговле, приоритетом в управлении рисками может стать рыночный риск и т. д. Задача высшего руководства компании и специалистов подразделения, занимающегося управлением рисками,— определить наиболее существенные риски и начинать выстраивать систему по их управлению".
Предвыборная оценка
Перед тем как решать вопрос о построении качественно новой системы управления рисками, стоит оценить существующее положение дел. Поскольку — осознает это руководство или нет — любая компания своими рисками так или иначе управляет.
Вероника Чарлесворт: "В какой-то степени система управления рисками есть у всех предприятий, у всех компаний. Только некоторые, например, решают подобные вопросы, рассматривая риски на периодических заседаниях руководства. В нашей практике был пример, когда у клиента раз в неделю правление встречалось, рассматривало в оперативном порядке риски, как возникшие, так и потенциальные, и справлялось с поставленными задачами. Но здесь речь идет о достаточно молодой компании, у которой не было каких-то зрелых бизнес-процессов, процедур и т. д. С ростом — как географическим, так и сложностей бизнеса — возникает потребность более структурированного подхода. Я думаю, что если компания задалась этими вопросами, нужно провести некую оценку существующих процессов: насколько всеобъемлющи они, насколько интегрированы между собой и насколько стандартизированы. Это можно сделать или своими силами, или с привлечением независимых экспертов, которые могут сказать, насколько существующие процессы управления рисками эффективны или неэффективны и что конкретно нужно менять. Конечно, не стоит стремиться к идеалу до такой степени, чтобы все время и силы тратить на совершенствование процессов управления рисками — это просто не выгодно".
Партнер группы компаний "BDO Юникон" Олег Соколов: "При оценке качества существующей в компании системы управления рисками нужно учитывать как внешние показатели, так и внутренние. К внешним можно отнести волатильность финансовых результатов — признаком качества здесь служит отсутствие как провалов, так и всплесков. Еще один показатель — отсутствие каких-то эксцессов, когда про компанию в СМИ как можно реже пишут что-либо негативное. Внутренние же показатели — это то, что интересует акционера. Есть бюджет, есть некоторые расчетные коэффициенты, планы по прибыльности — выполняются они или нет? Если каждый месяц или каждый квартал нужно их пересматривать, значит, либо мы не умеем бюджетировать, либо мы не умеем управлять рисками. Следующее — четкое разделение полномочий. Чем реже совет директоров или высший менеджмент вмешивается в оперативную работу, тем выше показатель надежности управления рисками.
Андрей Кузьмищев: "Есть такое понятие, как зрелость компании в области риск-менеджмента. И существуют методики его определения, разработанные разными организациями. Мы лично придерживаемся точки зрения, что есть пять уровней развития компаний по данному критерию. Первый — это некое интуитивное управление рисками, пятый — это так называемая best practice (лучшая практика). То, на каком уровне находится компания в данный момент, можно определить с помощью ряда несложных тестов — условно говоря, задавая структурированные вопросы относительно различных элементов системы управления рисками.
Когда можно сказать, что в компании есть система управления рисками? Во-первых, когда есть реестр рисков компании. То есть когда можно куда-то прийти и посмотреть список рисков, их оценки, какие конкретно люди за них отвечают, соответствующую отчетность, процедуры, статистику и т. д. Организовано это может быть по-разному. Если мы приходим к начальнику отдела сбыта и спрашиваем, какие у него риски, а он говорит: да нет у меня никаких рисков, у меня все нормально — тогда понятно, что уровень зрелости в области риск-менеджмента достаточно низкий".
Главный выбор
Обезопасить себя от рисков — понятное желание каждого бизнесмена. Проблема, однако, в том, что в общем виде данная задача неразрешима: все риски учесть попросту невозможно. Это признают и консультанты, специализирующиеся на разработке систем управления рисками. Поэтому, говорят они, требования к системе управления рисками не являются стандартными — по сути, они определяются той моделью ведения бизнеса, которую выбирает конкретное предприятие.
При этом, как в известной поговорке, спасение утопающих всецело в их руках. Риски, а также степень их важности каждый определяет, что называется, по себе. Вероника Чарлесворт: "Не существует одинакового для всех "рецепта" управления рисками, каждая компания адаптирует общепринятые процедуры и методологии к специфике своего бизнеса. Сами принципы построения системы управления рисками более или менее одинаковы везде, в каждой компании могут существовать более или менее формальные процедуры и механизмы управления рисками".
Тем не менее некие общие подходы все же существуют. Все они, по сути, сводятся к ряду довольно понятных шагов. Для начала риски нужно выявить. Потом понять, какими из них нужно и можно управлять. И, наконец, создать систему управления рисками, соответствующую потребностям предприятия.
Олег Соколов: "Специфика управления рисками зависит от того, как совет директоров и менеджмент поставят задачу, насколько они сами готовы этим управлять. Потому что идеология закладывается сверху. Соответственно, от того, насколько акционер серьезно к этому относится, и зависит сумма инвестиций в эту систему. Мы можем взять опытных риск-менеджеров, мы можем открыть подразделение, которое будет централизованно управлять рисками — это уже детали.
Если акционеры или совет директоров установили критерии аппетита к риску, тогда менеджерам более понятно, что они должны делать в этой связи. Когда же совет директоров просто говорит, что надо управлять рисками, менеджмент сам уже решает, как ему нужно выстраивать систему. И это, наверное, не совсем правильно".
Сергей Ковтун: "Безусловно, все, что делает компания, зависит от той стратегии, которая заложена формально или неформально топ-менеджментом и акционерами данной организации. В соответствии с принятой стратегией и операционной моделью компании система управления рисками может отсутствовать в организации как таковая, а может быть поставлена задача построения глобальной, всеобъемлющей системы, что по-английски называется enterprise risk management system, которая покрывает все вопросы управления рисками и полностью инкорпорирована как в повседневную операционную деятельность, так и стратегическое управление компанией. Очевидно, что управление рисками всегда идет за бизнесом, так как в любом случае определяющими для организации являются те области деятельности, которые приносят ей непосредственный доход.
Если говорить об оптимальном соотношении "цена-качество" для IT-систем управления рисками, здесь, возможно, уместна аналогия с автомобилями. Вы можете купить "Оку", она будет ездить и удовлетворять ваши потребности, вы можете купить "Майбах". Здесь каждый выбирает в соответствии со своими возможностями. Для кого-то на данном этапе развития бизнеса достаточно и "Оки". Кому-то нужен "Майбах". Выбирая ту или иную IT-систему, принимают во внимание уровень сложности бизнеса, объем операций, целевую скорость принятия управленческих решений, и, конечно, это еще и вопрос имиджа".
Именно поэтому, признают эксперты, самое сложное — договорится с заказчиком "на берегу", понять цели системы управления рисками. Тем более в российских условиях, когда многие топ-менеджеры предприятий сами не до конца осознают, чего можно требовать и ожидать от подобных нововведений. Хотя именно они и должны как принимать ключевые решения по внедрению системы управления рисками, так и по контролю качества ее работы.
Татьяна Берштейн: "Вопросы выявления рисков, важных с точки зрения стратегических целей компании, а также согласования методов управления ими с руководством компании являются одними из самых трудных. Поэтому приходится предлагать различные варианты по определению, а также по отслеживанию и по оценке рисков. Тут самое главное — обосновать эффективность управления рисками и рассчитать так называемый бизнес-кейс, чтобы подтвердить, насколько та система по управлению рисками, которую мы предлагаем, позволит сократить или оптимизировать риски.
В первую очередь в выявлении и анализе рисков участвуют ключевые сотрудники и топ-менеджмент компании. Если рассматривать бизнес-риски, очень часто в процессе участвуют стратегические подразделения компании. Производится оценка потенциальных рисков, которыми надо управлять, определяются параметры, по которым можно управлять каждым конкретным риском. Потом эта модель должна обсуждаться на очень высоком уровне, для того чтобы руководство компании подтвердило, что управление именно этими рисками интересует руководство компании.
Кроме того, нужна система по отслеживанию качества внедрения системы по управлению рисками. Недостаточно просто разработать модель как таковую, определить, какие риски и как мы меряем, как мы их отслеживаем, самое важное в этом случае — дойти до конца и убедиться в достижении результатов".
Вероника Чарлесворт: "Общий тон корпоративной культуры и управления, и в том числе принципов управления рисками и внутреннего контроля, должны задавать совет директоров и высшее руководство компании. Бессмысленно начинать внедрять систему управления рисками, если среди высшего руководства и совета директоров нет согласия и понимания того, зачем это нужно. В компании с эффективными механизмами управления совет директоров в том числе регулярно рассматривает ключевые риски (топ 15-20) и то, насколько эффективно они управляются, а также следит за состоянием системы внутреннего контроля в целом. В круг обязанностей руководителей высшего звена также входит мониторинг ключевых рисков. Понятно, что у каждой функции или бизнес-подразделения может насчитываться 10-30 рисков, при этом по компании в целом количество рисков измеряется сотнями, но только самые основные попадают на "радар", которым занимается высшее руководство и совет директоров".
Трудовые резервы
Итак, сама по себе система управления рисками принципиально ничего сложного собой не представляет. Задача выглядит следующим образом. Компания должна выявить присущие ее бизнесу риски и научиться их контролировать. Таким образом, процесс естественным образом разбивается на две части: методологическую (анализ бизнес-процессов и выявление присущих им рисков) и внедренческую (отладка системы, позволяющей контролировать риски в рабочем режиме). Условно говоря, если риском для компании является пожар на некотором участке, этот риск надо сначала идентифицировать, потом, если нужно, минимизировать (купить страховку или огнетушитель), а потом продумать план действий на случай реализации данного риска (сообщить рабочим телефон пожарной службы). Все вроде бы действительно несложно, однако на практике компаниям зачастую сложно самостоятельно справиться с описанным набором задач.
Олег Соколов: "Роль консультанта — это в первую очередь знание методологии. Кроме того, внешнему консультанту проще помочь договориться совету директоров и менеджменту или менеджерам между собой относительно того, как должна выглядеть система, кто за что будет отвечать.
Да и налаживать систему управления рисками легче внешнему консультанту. Понятно, что в любой компании помимо формальных лидеров есть еще неформальные — те, которые готовы развиваться дальше, у которых есть устремления. Их сразу надо вовлечь — они будут продвигать новую систему. Еще важно объяснить людям, что управление рисками — это не какой-то отдельный процесс сам по себе, что он встроен в процессы управления компанией. Кроме того, само по себе внедрение требует значительных ресурсов, которые не будут востребованы далее, в процессе эксплуатации, так что компаниям нет смысла проводить именно внедренческие работы своими силами. А есть еще процедуры составления всяких отчетов и т. д. Я уже не говорю об автоматизации, потому что, если это крупный холдинг и ему необходимо выполнять процедуры подготовки отчетности для инвесторов, информацию о рисках нужно постоянно иметь под рукой. В других компаниях достаточно Excel.
Когда мы выявили риск, надо понять, есть ли какие-то методы управления им — например, он страхуется либо вводятся некие дополнительные процедуры внутреннего контроля, которые уменьшают этот риск. И здесь вопрос, насколько этот контроль достаточен. Нужно ли мне еще, допустим, для того, чтобы охранять какой-то забор, нанять одного сторожа или мне нужно на него повесить колючую проволоку под напряжением и еще взвод охраны поставить. Понятно, что затраты разные. Соответственно, чтобы понять, какие нужны затраты, акционеру нужно понять, сколько он в случае чего потеряет. Если достаточно, что у меня просто забор высокий, через него не перепрыгнут, мне больше ничего не надо. В каких-то случаях акционер готов потерять какую-то сумму, но ему нужно оценить эти потери. Вот для этого и нужна оценка рисков".
Что касается стоимости систем, а также услуг консультантов, на эту тему последние, как всегда, говорят довольно расплывчато.
Сергей Ковтун: "О стоимости говорить довольно сложно, поскольку она зависит от очень многих параметров. Во-первых, от того, какие области управления рисками вы хотите автоматизировать. Во вторых, от объемов бизнеса данной организации, от числа пользователей системы, на сколько так называемых производственных сайтов распределено присутствие данного предприятия в одной стране, в разных странах и т. д. И в-третьих, от целей автоматизации системы управления рисками. Таким образом, стоимость IT-системы может быть разной — от нескольких тысяч долларов до десятков миллионов долларов".
Олег Соколов: "Судя по моей практике, стоимость внедрения систем управления рисками — не менее $300 тыс. И то этот минимум означает, что какая-то помощь со стороны компании существует. Опять же эта цена не включает автоматизацию. Вместе с тем, если обороты бизнеса производственной компании превышают $1 млрд, такие системы уже точно необходимо внедрять".
Проще со сроками. Вероника Чарлесворт: "Проведение оценки состояния существующей системы управления рисками — это процесс довольно быстрый, он занимает три-четыре недели, не больше. Если же внедрение системы управления рисками начинается с нуля, то нужно будет разработать стратегию в области управления рисками, политику и процедуры, утвердить организационную структуру и разработать схемы коммуникаций по рискам — может понадобиться как минимум месяца два-три. Чтобы механизмы управления рисками заработали, нужно несколько итераций проделать уже на уровне бизнес-подразделений, еще раз выявить риски, оценить риски, удостовериться, что коммуникации работают, посмотреть, насколько правильно оцениваются риски. Важно обратить внимание на то, включены ли показатели в области управления рисками в цели подразделений — если задача не поставлена и не измеряется, то маловероятно, что что-то будет сделано.
Отдельного разговора заслуживает необходимость автоматизации системы управления рисками, поскольку удовольствие это не из числа дешевых, а также не всегда из числа необходимых".
Татьяна Берштейн: "Кроме разработки самой модели возможна и автоматизация системы по управлению рисками. Внедрение информационной системы по управлению рисками является дополнительной инвестицией. Стоимость внедрения сильно зависит от того, какая информационная система будет использоваться и какой функционал она покрывает. По срокам внедрение может занять от шести месяцев до нескольких лет в зависимости от масштаба проекта, размера компании, типов рисков, информационной системы. В среднем реализация проекта для компании средних размеров занимает около года".
Сергей Ковтун: "Необходимость автоматизации системы управления рисками зависит от объемов бизнеса и сложности бизнес-процессов. До какого-то уровня вполне можно обойтись Excel или Access. Следующим шагом в развитии системы управления рисками могут стать системы, разработанные специалистами организации. Однако по достижении бизнесом определенного уровня необходимо задуматься о переходе на более продвинутую IT-систему по управлению рисками. Если у вас количество контрагентов или трансакций в диапазоне 30-60 тыс. и более, то абсолютно необходимо внедрение продвинутого решения в области управления рисками".