Журнал, посвященный вопросам непрерывности бизнес-процессов,
профилактике возникновения и урегулирования кризисных ситуаций на предприятии.

Распространяется вместе с научным журналом «Стратегические решения и риск-менеджмент».



Новости

06.06.2019
«КРИПТЕН» выходит на рынок Латинской Америки

30.04.2019
Восьмая конференция «Повышение эффективности корпоративных бизнес-процессов»

24.04.2019
XVI Международный профессиональный форум "НОВОЕ ИЗМЕРЕНИЕ В УПРАВЛЕНИИ РИСКАМИ – СТРЕМЛЕНИЕ В БУДУЩЕЕ"

19.04.2019
Яркие идеи и надёжные технологии: «Криптен» представил защитные нити на Currency Conference

10.04.2019
На семинаре «Энергетика, экономика, общество» обсудили особенности модернизации российской энергетики

07.04.2019
Новые визуальные эффекты от «Криптен»

26.03.2019
Семинар «Энергетика. Экономика. Общество»

25.03.2019
Защитные нити НПО «Криптен» на конференции The High Security Printing

22.03.2019
Тринадцатая конференция «Корпоративные системы риск-менеджмента»

28.02.2019
VII национальная практическая конференция Внутренний контроль и аудит в России





  О журнале


  Издатель


  Подписка


  Сотрудничество


  Свежий номер


  Архив номеров

 

 

 

 

 

 

Как сделать управление организацией риск-ориентированным

Воспользуются ли российские риск-менеджеры возможностью интегрировать управление рисками в процессы принятия решений в своей компании или продолжат плыть по течению?

Алексей СидоренкоВо второй половине 2018 года вступил в силу Федеральный закон № 209‑ФЗ «О внесении изменений в Федеральный закон «Об акционерных обществах», подписанный Президентом РФ 19 июля 2018 года. Основатель портала www.risk-academy.ru и руководитель направления международного сотрудничества АНО ДПО «ИСАР» Алексей Сидоренко убежден, что эти изменения – уникальный шанс для российских риск-менеджеров популяризировать и попытаться внедрить хорошие практики риск-ориентированного управления организацией.



Фундамент есть, что дальше?

По мнению Алексея Сидоренко, новшества, отраженные в законе, направлены, прежде всего, на совершенствование системы управления акционерными обществами. В связи с этим он советует обратить внимание на следующий аспект: в статье 65.1 № 209‑ФЗ говорится, что к компетенции совета директоров (наблюдательного совета) общества относится в том числе определение принципов и подходов к организации в обществе управления рисками, внутреннего контроля и внутреннего аудита. А в статье 87.1. «Управление рисками, внутренний контроль и внутренний аудит в публичном обществе» устанавливается требование, что в публичном обществе должны быть организованы управление рисками и внутренний контроль. Причем совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие его политику в области организации управления рисками и внутреннего контроля. Для оценки надежности и эффективности управления рисками и внутреннего контроля в публичном обществе должен осуществляться внутренний аудит. Совет директоров (наблюдательный совет) публичного общества утверждает внутренние документы общества, определяющие политику общества в области организации и осуществления внутреннего аудита.



Обратите внимание:

часть требований № 209‑ФЗ вступила в силу с сентября 2018 года, а п. 2 ст. 87.1 начнет действовать с 1 июля 2020 года.



– Чтобы соответствовать этим требованиям, номинально достаточно разработать одну политику по управлению рисками и внутреннему контролю или две разных и показать, что внутренний аудит риск-ориентированный и проводит оценку надежности и эффективности управления рисками и внутреннего контроля. Это, к слову, программа минимум – если реализовать только ее, организация никакой пользы не получит, – убежден Алексей Сидоренко. – Поэтому я хотел бы донести до коллег риск-менеджеров мысль о том, как, используя фундамент № 209‑ФЗ, можно сделать нечто более полезное, нежели просто утвердить политику по управлению рисками и подготовить риск-ориентированный план аудита.

Пошаговый алгоритм уже прописан в ISO 31000:2018
Дело в том, что изменения, внесенные в закон «Об акционерных обществах» еще раз подчеркивают разделение между риск-менеджментом 1
и риск-менеджментом 2. Напомним: под первым понимается управление рисками в интересах внешних стейкхолдеров (регуляторов, акционеров, совета директоров, банков, страховых и рейтинговых агентств); под вторым – управление рисками, а скорее даже анализ рисков, в интересах руководителей, принимающих решения внутри организации. Причем риск-менеджмент 1 – та самая программа-минимум, придерживаясь которой для выполнения требований федерального закона достаточно создать подразделение по рискам и / или внутреннему контролю, разработать нормативные документы по управлению рисками и внутреннему контролю и показать, что внутренний аудит оценивает эффективность внутреннего контроля и управления рисками.

Риск-менеджмент 2 намного сложнее, и у тех, кто придерживается этого подхода, появилась уникальная возможность, выпадающая раз в десятилетие, – изменился федеральный закон, и не стоит упускать шанс реализовать в сфере риск-менеджмента все, что прежде блокировалось или игнорировалось руководством компаний.

– Можно попытаться пойти дальше, чем сказано в законе, и реализовать в своей компании принципы по управлению рисками, заложенные в международном стандарте ISO 31000, также обновленном в 2018 году. Сейчас завершается его перевод на русский язык, и вскоре стандарт будет выпущен в российской редакции. Между тем ключевая мысль ISO 31000:2018 не является секретом – в нем, как и в версии 2009 года, говорится о том, что управление рисками должно быть не отдельной системой, не отдельным самостоятельным процессом, а его необходимо встраивать в ключевые процессы организации, непосредственно в процессы принятия решений, – пояснил Алексей Сидоренко.

К примеру, в пункте 5.5 ISO 31000:2018 описана подробная инструкция, как нужно действовать риск-менеджеру в процессе внедрения управления рисками. Первый шаг – разработка плана внедрения в формате дорожной карты с конкретными мероприятиями и сроками.

Второй шаг – определить ключевые процессы принятия решений.

– Я бы посоветовал, прежде всего, идентифицировать, какие типы бизнес-решений являются для организации ключевыми, например формирование стратегии; разработка, согласование, утверждение бюджета; принятие любых инвестиционных решений; формирование производственных планов, ценообразование, осуществление закупок или работа с контрагентами; оценка эффективности деятельности и подготовка отчетности по результатам работы. Словом, нужно выбрать «лежащие на поверхности» процессы, где присутствует неопределенность и цена ошибки высока, – комментирует эксперт.

Третий шаг – необходимо проанализировать текущие процедуры принятия решений, имеющуюся нормативную базу, регламенты, положения, описывающие, как осуществляется бюджетирование, как принимаются инвестиционные решения, а также посмотреть регламент планирования, бюджетирования, закупок, процедуру по принятию инвестиционных решений. Кроме того, нужно проанализировать шаблоны, по которым принимаются решения, и посмотреть выборку этих решений в прошлом, чтобы понять, насколько адекватными они были. Если на данный момент в процессе принятия решений риски не учитываются или учитываются формально, соответственно, высока доля субъективизма и влияния ментальных ловушек.





В стандарте ISO 31000 говорится, что процессы принятия существенных решений, вероятно, необходимо видоизменить, модифицировать, сделав их более риск-ориентированными. То есть требуется не какая‑то отдельная система управления рисками, которая «включается» раз в квартал для составления отчета о рисках, а важно в рамках ключевых решений изменить эти процессы таким образом, чтобы ни одно решение не могло приниматься без учета рисков. Условно: если решение по инвестиционному проекту принимается на основании NPV (Net Present Value, чистой приведенной стоимости), срока окупаемости или нормы доходности, то сама формула расчета должна измениться. Чтобы в процессе принятия, например, инвестиционного решения появился риск, NPV должен считаться иначе: так, при реализации на практике вместо одной цифры NPV может появиться диапазон – раньше принимали решение, что у проекта NPV 100 миллионов, а сейчас, если встроить в этот процесс анализ рисков и использовать современные инструменты их анализа, NPV будет уже не 100 миллионов, а может варьироваться от 80 до 95 или от 95 до 120 миллионов, появляется диапазон и доверительный интервал. В этом и есть смысл риск-менеджмента – добавить некую вариативность в принятие решений, чтобы не было иллюзии, что исход принимаемого решения гарантирован.
– Если есть риск, значит, присутствует волатильность; если есть волатильность, нельзя утверждать, что у этого инвестпроекта NPV 100 миллионов и никак иначе. Не случайно в ISO 31000:2018 говорится, что после того, как мы определили ключевые типы решений, которые принимаются в организации, а это, по‑хорошему, все ключевые бизнес-процессы, нужно по очереди брать каждый бизнес-процесс и переписывать, менять его, чтобы риски учитывались не интуитивно и не на усмотрение руководителя, а регулярно, системно, документированно. Чтобы это можно было показывать проверяющим органам, обосновывать качество принимаемых решений совету директоров, акционерам, – поясняет Алексей Сидоренко.

Четвертый шаг, обозначенный в пункте 5.5 ISO 31000:2018 – чтобы управление рисками заработало, риск-менеджеры должны разработать компетенции, шаблоны, инструменты, примеры, провести обучение, оказать методическую поддержку в процессе принятия этих решений – они должны убедиться, что руководители, принимающие соответствующие решения, имеют необходимые компетенции и инструменты для анализа рисков. Кстати, в обновленном федеральном законе упоминается, что внутренний аудит должен оценивать эффективность управления рисками, но нет ни слова о том, на что именно должен смотреть внутренний аудит при оценке эффективности. С другой стороны, закон – не место для описания таких деталей. В связи с этим Алексей Сидоренко рекомендует российским коллегам почаще обращаться к международному стандарту ISO 31000:2018, в котором четко прописан алгоритм по внедрению управления рисками. Более того, в документе указывается, что риск-менеджмент необходим не для того, чтобы раз в квартал отчитываться перед руководством компании о рисках, а для того, чтобы видоизменять существующие в организации бизнес-процессы. И этот посыл стоит взять на вооружение.

Эксперт акцентирует внимание на том, что международный стандарт не включает требований о создании отдельной службы или подразделения по управлению рисками. Также в стандарте ничего не говорится о необходимости циклично повторяемых процедур по выявлению, оценке и митигации рисков. Наоборот, международный стандарт описывает управление рисками как некий элемент каждого принимаемого в организации существенного решения.
– Уважаемые риск-менеджеры, не упустите хорошую возможность – «под соусом» закона реализовать то, для чего, собственно, и задумывался риск-менеджмент. Не игнорируйте этот шанс, потому что уже сейчас есть официальное требование о необходимости оценки внутренним аудитом эффективности управления рисками. И если внутренний аудит в теме, следит за обновлением законодательства, то будет придерживаться принципов ISO 31000:2018, где, между прочим, нет ни слова о реестрах рисков, картах и отчетах – эти инструменты устарели, и нужно идти в ногу со временем, – резюмирует Алексей Сидоренко.


 

Елена Восканян



 



ООО «Издательский дом «Реальная экономика»
190020, Санкт-Петербург,
Старо-Петергофский пр., 43 45, лит. Б, оф. 4н
Тел.: (812) 346-5015, 346-5016
Факс: (812) 325-2099    E-mail: info@e-c-m.ru

© 2010-2018 Журнал «Эффективное антикризисное управление. Практика»