Система управления рисками для нефинансового сектора: практический эффект и зачем это нужно

Валерия Окорокова
Консультант по информационной безопасности RTM Group

В настоящее время ни одна организация не застрахована от рисков, разнообразие которых стремительно набирает обороты. В период с января по июнь 2023 года по России было зафиксировано 15892 заявлений о банкротстве компаний. Это в 2 раза больше, чем за такой же период 2022 года. Если компания становится банкротом, то это, в том числе, свидетельствует об отсутствии у нее системы риск-менеджмента или наличии в ней недоработок. С ее помощью возможно обеспечить безопасность и стабильность работы организации, а также вовремя выявить риски и предотвратить их.

В настоящей статье детально разберемся, что из себя представляет система управления рисками (далее – СУР) в организации и какие имеются рекомендации по ее созданию с правовой стороны.

Стандартизация системы управления рисками

Разберемся с тем, что вообще стоит за «риск-менеджментом». Менеджмент рисков – это часть всего управления организацией, которая затрагивает все виды деятельности без исключения, учитывая как внутреннюю, так и внешнюю среду бизнеса. В целях повышения как общего уровня эффективности предпринимательства, так и СУР в каждой отдельной организации, разработаны несколько стандартов, основанных на международных практиках: ГОСТР ИСО 31000-2019, ГОСТ Р 51901.7-2017, ГОСТР 58771-2019 и другие специализированные по видам деятельности и отраслям экономики.

Национальные стандарты предлагают ряд принципов для построения качественного менеджмента рисков, с которыми рекомендуем ознакомиться уже на моменте закладывания фундамента вашего бизнес-проекта.

Эффективность СУР напрямую зависит от того, какую часть она занимает в конструкции управления организацией, кто и как ее реализует и как часто она пересматривается и актуализируется. Особенно важна здесь поддержка и вовлеченность со стороны высшего руководства.

Как уже было сказано ранее, любая организация подвержена рискам, причем самой различной степени критичности. Но есть сферы, которые по праву можно назвать «самыми рисковыми»:

• добывающая промышленность (сильно подвержена изменениям в мировой экономике и экологическим последствиям);
• инновационные проекты (неопределенность и отсутствие гарантий на успешный результат);
• туризм (зависимость от политических и экономических изменений, валютного курса и сезона).

Чем может помочь управление рисками? Основная задача - преждевременное выявление угроз, их анализ и реагирование на них. Снижение потерь, повышение устойчивости бизнес-процессов, увеличение конкурентоспособности – три ключевых момента, отвечающих на вопрос «какая от этого польза».

Из чего состоит СУР и с чего начать ее внедрение?

В общих чертах СУР основана на цикле Деминга, включающем в себя 4 этапа: планирование, реализация, контроль и совершенствование.

Планирование в риск-менеджменте - важная часть, от которой зависит дальнейший успех всей системы. Данный этап можно назвать трамплином, задача которого стать твердой почвой для дальнейшего «прыжка» компании. Уже здесь начинается процесс интеграции СУР в общее управление организации. Важно учитывать, что менеджмент риска должен основываться на общей стратегии развития предприятия, не противоречить ей. Например, если оценка рисков указывает, что из-за их высокого уровня стоит отказаться от ключевого проекта, то компания вынуждена принять некоторые из них и готовить решения для снижения последствий.

Планирование включает в себя:

• разработку стратегии по управлению рисками и прочих проектов внутренней документации, включающих в себя подходы и процедуры по управлению рисками;
• построение организационной структуры (а также процесса взаимодействия) и выделение ответственных подразделений;
• определение бюджета, выделяемого на покрытие последствий от реализовавшихся рисков;
• принятие решений по вопросу частоты пересмотра и актуализации в рамках СУР.

Реализация риск-менеджмента заключается в идентификации рисков, их количественном и качественном анализе, реагировании и регулярном мониторинге как уровней рисков, так и СУР в целом. То есть это непосредственное выполнение той стратегии, которая была разработана на этапе планирования.

Кратко пройдемся по каждой составляющей. Идентификация риска – это определение все возможных рисков, которые могут пошатнуть или даже полностью приостановить деятельность организации на пути к достижению главных целей. Этот процесс может проводиться разными способами, например, через SWOT-анализ или метод экспертных оценок.

Пример

Как правило, процесс идентификации рисков подразумевает участие всех подразделений организации для получения наибольшего количества сценариев потенциальных угроз и слабых мест. Для более точного и качественного результата следует использовать информацию как из внутренних, так и из внешних источников. Наиболее частой формой идентификации является SWOT-анализ, представляющий собой наглядный перечень факторов, разделяющих стороны организации, возможности и угрозы на сильные и слабые (рисунок 1). Возможно разработать каждое подразделение отдельно, а затем собрать все данные в один общий результат по компании, либо же сразу подготовить итоговый проект (зависит от масштабов компании).

Рисунок 1 – SWOT-анализ в целях идентификации рисков

Допустимо, и даже рекомендуется, расширить возможности SWOT-анализа, добавив к нему, например, источники реализации рисков, оценку эффективности уже имеющихся средств управления рисками, исключительные организационные факторы и т.п.

Количественный и качественный анализ необходим для определения вероятности реализации риска и размера потерь, который уже позволяет взглянуть на опасность «изнутри» и сопоставить ее с возможностями организации. Количественная оценка (или «оценка в цифрах») – это численное определение размера риска с помощью расчета установленных в компании показателей.

Пример

Один из способов количественной оценки степени риска (за его основу взят финансовый риск производственного предприятия) осуществляется по данным бухгалтерского баланса и представляет собой расчет относительных показателей, характеризующих структуру капитала компании (таблица 1). То есть в разрезе нашего примера ответственное лицо СУР производственного предприятия, обращаясь к данным бухгалтерского учета, производит оценку риска для понимания степени угрозы и соотношения с возможностями предприятия.

Таблица 1 – Относительные показатели финансовой устойчивости и независимости организации

Данные коэффициенты дадут представление о том, насколько предприятие зависимо от внешних обязательств (внешних заемщиков). Риск заключается в том, что чем больше эта зависимость (соответственно, полученных неудовлетворительных показателей), тем больше опасность потерять платежеспособность и стать банкротом.

Качественный анализ рисков применяется как в случаях невозможности их определения «в цифрах», так и в дополнение к количественной оценке для более расширенного арсенала анализируемых потенциальных угроз. Существует несколько методов его проведения, но наибольшей популярностью пользуются следующие:

• применение аналогов (на основе опыта или ошибок конкурентов);
• метод экспертных оценок.

Оба варианта могут осуществляться как внутренними силами организации, так и с привлечением независимых экспертов.

Пример

На основе того же производственного предприятия рассмотрим пример качественной оценки (таблица 2). Вероятность и размер последствий определяются ответственным лицом экспертным путем, основываясь на особенностях бизнес-процессов, внешней и внутренней среде, факторах, влияющих на деятельность и т.д. Например, у производственного предприятия наиболее критичными рисками являются финансовые (в связи с коммерческими целями и наличием внешних обязательств) и технические (непосредственная база основных бизнес-процессов).

Таблица 2 – Качественная оценка рисков

По результатам таблицы разрабатывается матрица рисков (рисунок 2).

Рисунок 2 – Матрица рисков

По матрице рисков формируется вывод. В данном случае наибольшая часть рисков находится в области допустимого риска («зеленая зона»), два риска можно расценить как умеренные («желтая зона»), в область высокого уровня риска («красная зона») попал риск сбоя в поставке сырья.

Важнейший момент – реагирование на риски. На данном этапе, как правило, высшее руководство компании и назначенные ранее ответственные лица каждого из имеющихся подразделений решают:

1. как можно снизить количество идентифицированных рисков;
2. какими способами можно повлиять на потери от их реализации в сторону уменьшения;
3. какие имеются источники покрытия ущерба.

Реагирование на риск зависит от его критичности. От самых «красных угроз», как правило, уклоняются (отказ от выполнения того или иного проекта, например). Риск средней тяжести можно передать на аутсорсинг или прибегнуть к его страхованию, учитывая экономическую целесообразность данного решения. Если по результатам проведенной оценки рисков их ущерб не угрожает компании, то они принимаются, но регулярно осуществляется мониторинг в отношении них.

Завершает реализацию СУР мониторинг, который плавно перетекает в следующий этап – контроль. На данной стадии многие частично прикрывают глаза в отношении рисков, на которые уже была оказана мера реагирования, хотя должно быть с точностью наоборот. Наверняка ни одна компания не заинтересована в том, чтобы реализовавшиеся риски повторились снова и уменьшили капитал, или хуже того, приняли цикличный характер.

Мониторинг предполагает отслеживание текущей информации об уровне показателей риска и СУР в целом. Это позволяет понять тенденции развития угроз и наметить курс для совершенствования принятой стратегии управления рисками путем определения уязвимостей и образовавшихся «щелей», позволяющих опасностям беспрепятственно проникать в организацию.

Завершает структуру СУР ее регулярное совершенствование. В современных условиях сильно возрастает фактор неопределенности в деятельности коммерческих организаций. Уверенно можно сказать, что наступила эпоха глобальных рисков, имеющих широкое разнообразие реализации. В связи с этим существующую СУР необходимо улучшать и сопоставлять с реалиями в целях предотвращения низкой эффективности функционирования бизнес-процессов и угрозы существования самого бизнеса.

На данном этапе анализируется как внутренняя информация, собранная по всем предыдущим этапам, так и внешние источники (например, статистические данные по региону, новостные сводки из конкурентной среды и т.п.). Далее, принимаются решения по внесению корректив в существующую стратегию управления рисками, разрабатываются новые процедуры или модернизируются старые.

Экспертные рекомендации по внедрению СУР в деятельность компании:

1. Уже с момента бизнес-планирования рекомендуется задуматься о риск-менеджменте и его функционировании в рамках всей деятельности организации.
2. На каждом из этапов функционирования СУР следует обращаться к национальным стандартам, представленным в разделе «Стандартизация системы управления рисками» настоящей статьи.
3. Планировать и фиксировать всю структуру и процедуры в рамках управления рисками во внутренней нормативной документации с учетом непротиворечивости стратегии развития организации.
4. Осуществлять участие всех подразделений в СУР, исключая конфликт интересов, в целях увеличение количества возможных сценариев рисков и совместного реагирования на них.
5. При оценке рисков применять комбинацию из количественного и качественного анализа.
6. Уделять повышенное внимание мониторингу уровня как реализовавшихся, так и потенциальных рисков, а также эффективность функционирования принятой стратегии управления рисками.
7. Регулярно осуществлять совершенствование СУР с учетом опыта организации, так и на основе информации извне.
8. Привлекать независимых экспертов для оценки эффективности функционирования СУР и выявления слабых мест.