Разработка структуры риск-менеджмента
Возникновение корпоративного риск-менеджмента (enterprise-wide risk management, ERM) приходится на середину 90-х годов XX в., когда предприятиям пришлось отвечать на новые экономические вызовы: глобализация, развитие рынка производных ценных бумаг, высокая волатильность всех финансово-экономических параметров, технологический скачок в области коммуникаций и т.д. Управление рисками стало базовой философией менеджмента, нацеленного теперь не на избежание или нивелирование рисков, а на активное и упреждающее манипулирование ими. Если до 90-х управление рисками существовало на уровне отдельных лиц или отделов (управляющих, казначеев, трейдеров), то в новой парадигме стал применяться подход «сверху вниз», когда риск-менеджмент стал организовываться системно, начиная с топ-менеджмента и распространяясь на все уровни предприятия, что дало возможность оценивать и обрабатывать абсолютно разные виды рисков.
Разработка структуры риск-менеджмента для каждого предприятия является индивидуальным процессом, зависящим от его размера, вида деятельности и т.д. Однако существует ряд элементов, опора на которые позволяет построить систему риск-менеджмента на предприятии наиболее эффективно. К этим элементам относятся следующие.
1. Системное видение организации.
Системное управление рисками подразумевает, что организация воспринимается как единый сложный организм, в котором риски идентифицируются регулярно по каждому их типу, что все они количественно анализируются и по каждому из рисков выбирается стратегия управления. Такая деятельность подразумевает достаточно большой объем работ, которые должны регулярно проводиться на предприятии. При этом системное видение организации базируется на оценке как внешнего, так и внутреннего контекста организации, так как они могут значительным образом влиять на разработку структуры риск-менеджмента.
Определение внешнего контекста включает в себя:
- социальную, культурную, политическую, правовую, финансовую, технологическую, экономическую и естественную среду на международном, национальном или локальном уровнях;
- основные движущие силы и направления, воздействующие на цели организации;
- взаимосвязи с внешними заинтересованными сторонами, восприятия и ценности.
Известно, что склонность к риску в итоге определяет не руководство предприятия, а его собственники, делая это косвенно через требуемую доходность на вложенный капитал. Чем выше требуемая доходность, тем на больший риск должны быть готовы пойти управляющие для исполнения ожиданий владельцев капитала.
Определение внутреннего контекста организации включает:
- руководство, организационную структуру, роли и обязанности;
- политику, цели и стратегии, необходимые для достижения этих целей;
- потенциальные возможности, исходя из наличия ресурсов и знаний;
- информационные системы и процессы принятия решений (как официальные, так и неофициальные);
- взаимосвязи с внутренними заинтересованными сторонами, восприятия и ценности;
- стандарты, руководства и модели, применяемые организацией;
- форму и объем контрактных взаимоотношений.
2. Определение политики риск-менеджмента и формирование культуры риска.
Политика менеджмента риска должна устанавливать цели организации и обязательства в отношении риск-менеджмента и рассматривать следующее:
- связи между целями и политикой организации и политикой менеджмента риска;
- обязанности и обязательства в отношении менеджмента риска;
- области, имеющие противоречащие интересы;
- необходимые ресурсы;
- методику оценки и документирования рисков;
- методику регулярного улучшения менеджмента риска.
Информация о политике менеджмента риска должна быть соответствующим образом формализованной: в документе «Политика управления рисками компании», либо «Корпоративный стандарт управления рисками компании», которые обязательно должны проходить через утверждение правлением.
Главным неформальным результатом внедрения политики риск-менеджмента является формирование культуры риска на предприятии. Ее можно рассматривать как часть общекорпоративной культуры, которая позволяет делегировать ответственность и полномочия в управлении рисками на все уровни управления. Для этого необходимо научить сотрудников выполнять определенные методики по управлению рисками, находить точки уязвимости, которые можно устранить, а также помочь им понять практическую выгоду анализа действий «на несколько шагов вперед».
3. Интеграция в организационные процессы.
Часто при практической реализации систем риск-менеджмента на предприятиях используется аббревиатура IRM - интегрированный риск-менеджмент (integrated risk management). Это означает, что риск-менеджмент не является отдельной «надстройкой» в структуре управления компанией, а становится ее важной неотъемлемой частью. Процесс менеджмента риска должен быть частью организационных процессов и не должен отделяться от них. Разработанный в масштабах организации план риск-менеджмента интегрируется в другие планы организации, например, в стратегический план.
4. Ответственность.
Чтобы обеспечить результативности управления рисками на предприятии должны, быть сформулированы и обеспечены обязательства, полномочия и соответствующая компетентность задействованных лиц. Для этого необходимо:
- установление лиц и подразделений, имеющих дело с точками уязвимости («владельцев риска»), которые должны получить обязательства и полномочия по управлению рисками;
- установление конкретного лица, ответственного за разработку, внедрение и поддержание структуры риск-менеджмента;
- установление ответственности работников на всех уровнях за процесс менеджмента риска;
- установление показателей результативности и обеспечение соответствующих видов отчетности.
5. Ресурсы.
Для того чтобы система риск-менеджмента функционировала адекватно, организация должна выделять соответствующие ресурсы. К ним относятся:
- люди, знания, опыт и квалификация;
- финансовые и материальные ресурсы, необходимые для каждого этапа процесса риск-менеджмента;
- процессы и методы, которые используемые в управлении рисками;
- информация и документация;
- программы обучения.
6. Механизмы обмена информацией и отчетности.
Организация должна сформировать информационную инфраструктуру, т.е. наладить механизмы внутреннего и внешнего обмена информацией и предоставления отчетов. Эти механизмы необходимы для того, чтобы:
- на соответствующих уровнях своевременно появлялась оперативная информация, необходимая для управления рисками, и была обеспечена обратная связь;
- наладить процессы консультирования с внутренними и внешними заинтересованными сторонами;
- информация об основных элементах структуры риск-менеджмента, ее эффективности и результатах адекватным образом доходила до внутренних и внешних пользователей;
- обеспечить внешнюю отчетность, соответствующую законодательным и руководящим требованиям;
- обеспечить конфиденциальность в организации;
- наладить обмен информацией с заинтересованными сторонами в случае кризисной ситуации или непредвиденных обстоятельств.
Эти механизмы должны включать процессы сбора информации о риске из различных источников, а также рассматривать степень ее конфиденциальности. Технически, в зависимости от специфики предприятия, система автоматизации обработки информации может как базироваться на несложных анкетных и табличных формах, разработанных в MS Excel и Access, так и обеспечиваться с помощью специализированного пакета программ, предлагаемого внешними IT-консультантами.