Рисковые ситуации и управление рисками

Рисковые ситуации и управление рисками.

Статьи по теме
Искать по теме

Сущность управления рисками.

Современное понимание риск-менеджмента базируется на так называемой "концепции приемлемого риска", согласно которой основной целью процесса управления риском является придание максимальной устойчивости всем видам деятельности компании путем удержания совокупного риска (ожидаемого уровня потерь) в заданных стратегией развития компании пределах.

Принятие концепции "приемлемого риска" влечет ряд следствий, касающихся организации риск-менеджмента и его места в управлении компанией .

Во-первых, управление рисками – это процесс, который должен начинаться уж на стадии разработки стратегии компании, причем с участием ее владельцев (обычно через Совет директоров), поскольку именно владельцы и именно при разработке стратегии должны задать планку так называемого "риск-аппетита", т.е. максимальный уровень суммарного риска, на который будет готова идти компания. Важно понимать, что риск-аппетит неразрывно связан со стратегией. В частности, должно быть понятно, что таким этапам развития компании, как освоение новой рыночной ниши, модернизация производства и т.д. должен соответствовать более высокий уровень риск-аппетита, чем стадиям стабильного развития, когда во главу угла ставятся такие стратегические цели, как сохранение устойчивого финансового положения, недопущение убытков, поддержание положительного имиджа компании. Соответственно по мере развития компании уровень риск-аппетита может (и должен!) при необходимости пересматриваться, но в то же время возрастание уровня угроз (в результате изменения внутренней или внешней обстановки) может послужить причиной пересмотра стратегии (вплоть до сворачивания каких-то направлений деятельности).

Второе следствие: хотя и управление рисками должно быть интегрировано в общий процесс управления компанией (подробнее об этом см. ниже по тексту), целесообразно, чтобы служба риск-менеджмента была организационно независима от других функциональных подразделений, т.е. напрямую подчинялась высшему руководству. Дело в том, что в то время как эти самые "другие" функциональные подразделения так или иначе занимаются созданием прибавочной стоимости, задача службы риск-менеджмента состоит в обеспечении устойчивости этого процесса, в чем руководители (и, тем более, рядовые сотрудники) "других" подразделений напрямую не заинтересованы. Тем более в России, где всеобщее упование "на авось" стало притчей во языцех. Поэтому подготовка решений, регламентирующих процессы управления рисками, организация и информационно-методическое обеспечение этих процессов, а главное – контроль за их исполнением должны быть прерогативами (независимой) службы риск-менеджмента.

Сказанное выше объясняет, почему управление рисками фокусируется на ущербе, который может быть нанесен управляемому объекту (оставляя в тени, потенциальные возможности получения дополнительной выгоды): дело в том, что задачей риск-менеджмента является именно удержание совокупного ожидаемого ущерба в заданных границах. Важное замечание состоит здесь в том, что ущерб, вообще говоря, трактуется современным риск-менеджментом как недополучение прибыли по сравнению с тем или иным базовым (безрисковым) вариантом: например, доходность акций или других ценных бумах может сопоставляться с доходностью государственных облигаций (если, конечно, есть основания считать таковые безрисковыми).

Интеграция риск-менеджмента в общий процесс управления выражается, в частности, в том, что в управление рисками вовлекаются практически все подразделения компании: к идентификации и анализу рисков представители функциональных подразделений привлекаются в качестве экспертов; они же занимаются разработкой мероприятий по управлению "своими" рисками и собственно управлением этими рисками (т.е. мониторингом их уровня, реализацией мероприятий по предотвращению наступления и ликвидации последствий рисковых событий). При этом за службой риск-менеджмента остается, как говорилось выше, функции координации и контроля, а также консолидация и анализ информации о рисковых событиях и выработка (на основе полученных данных) необходимых корректирующих воздействий.

Фактически, контролируя риски, служба риск-менеджмента контролирует весь процесс управления организацией в целом, выполняя, тем самым, функцию внутреннего контроля (подробнее об этом см. в следующем разделе). Получается, тем самым, – с учетом того, что контроль является одной из составляющих процесса управления – что служба риск-менеджмента совместно с другими функциональными подразделениями осуществляет процесс управления организацией, руководствуясь при этом критерием "доходность/риск".

Кроме того, когда говорят об "интегрированном риск-менеджменте", имеют также в виду целесообразность централизованного управления всеми рисками организации в силу:

- взаимосвязанности рисков;

- необходимости контроля суммарного уровня риска;

- необходимости контроля суммарных затрат на управление рисками.

Еще одно замечание состоит в том, что управление риском не сводится исключительно к воздействию на источник риска с целью снижения уровня возможных потерь. Управлять можно (а иногда и проще) не только внутренними, но и внешними рисками. Типичными примерами такого рода могут служить: уклонение от риска (например, отказ от сотрудничества с ненадежным партнером), страхование рисков (например, имущества от пожаров и других стихийных бедствий), хеджирование валютных рисков и т.д.

Международные стандарты управления рисками.

Международные стандарты управления рисками, наиболее известные из которых перечислены в таблице ниже, могут браться за основу при разработке внутрикорпоративных стандартов риск-менеджмента.

Таблица 1

Международные стандарты управления рисками

Committee of Sponsoring Organizations of the Treadway Commission (COSO), USA. Комитет спонсорских организаций Комиссии Тредвея, США. – Enterprise Risk Management – Integrated Framework (ERM), 2004. Управление рисками организации – интегрированная схема.

The Institute of Risk Management (IRM), The Association of Insurance and Risk Managers (AIRMIC) and ALARM The National Forum for Risk Management in the Public Sector, UK. Adopted by Federation of European Risk Management Associations. Институт риск-менеджмента, Ассоциация риск-менеджмента и страхования, Национальный форум риск-менеджмента в общественном секторе (Великобритания). Принят Федерацией европейских ассоциаций риск-менеджеров. - A Risk Management Standard. 2002. Стандарт управления рисками.

Standards Australia. - Australian/New Zealand Risk Management Standard (AS/NZS 4360), 2004. Стандарт управления рисками Австралии и Новой Зеландии.

Basel Committee on Banking Supervision. Базельский комитет по банковскому надзору. - Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework, 2004. Базель II: Международные стандарты измерения капитала – доработанное соглашение.

Подводя итог обсуждению понятия риск-менеджмента, приведем определение этого процесса, данное в стандарте "COSO ERM Framework":

Управление рисками организации – это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на выявление событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и обеспечивалась разумная гарантия достижения целей ее деятельности.

Классификация рисков помогает:

- Составить наиболее полный перечень рисков, присущих бизнесу компании;

- Выбрать наиболее подходящий метод управления для каждого из них;

- Оптимальным образом организовать систему управления рисками компании.

- В литературе по управлению рисками можно найти несколько десятков вариантов классификации рисков.

Международная ассоциация специалистов по управлению рисками в документе "Generally Accepted Risk Principles" ("Общепринятые принципы управления риском") выделяет следующие виды рисков:

- кредитный риск (несоблюдения обязательств);

- рыночный риск (изменения рыночных факторов: цен, валют, процентных ставок);

- риск концентрации портфеля (на одном продукте, сегменте, финансовом инструменте);

- риск ликвидности (невозможность выполнять текущие обязательства);

- операционный риск (набор неблагоприятных событий, начиная с технологических сбоев и заканчивая ошибками персонала, мошенничеством);

- риск бизнес-события (например, неудачного слияния с другой компанией или неверной маркетинговой оценки спроса на рынке).

Другие варианты классификации:

- По характеру последствий: чистые (только потери), спекулятивные (потери или незапланированная прибыль).

- По масштабам последствий: незначительные, допустимые, критические, катастрофические.

- По частоте реализации: малая, средняя, высокая.

- По месту появления: внутренние, внешние (по отношению к управляемому объекту).

- По уровню возникновения: отдельное рабочее место или сотрудник, структурное подразделение, предприятие в целом, отрасль или группа смежных отраслей, регион, страна в целом, глобальные риски.

- По сфере происхождения: природно-экологические, демографические, геополитические, социально-политические, административно-законодательные, производственные, коммерческие, финансовые, инновационные.

- По причинам возникновения: неопределенность будущего, недостаток информации, субъективные факторы.

- По природе объектов, подверженных риску: собственность, доходы, жизнь и здоровье людей, гражданская ответственность.

- Процедуры и методы управления рисками

- Обычно выделяют 4 основных способа управления рисками:

- Отказ (уклонение) от риска (например, сворачивание деятельности, чреватой неприемлемым риском, отказ от сотрудничества с ненадежным партнером);

- Передача риска (обычно на основе договора) от одной стороны другой (например, аутсорсинг или страхование);

- Сокращение риска – снижение вероятности (частоты) наступления рисковой ситуации и/или уменьшение размера ущерба (например, путем пространственного разнесения источников возникновения убытков или объектов, которым может быть нанесен ущерб, разнесения рисков во времени, введения ограничений на уровень рисков, диверсификации видов деятельности, зон хозяйствования, сбыта и поставок);

- Принятие риска, предполагающее самостоятельное устранение последствий наступления рисковой ситуации и покрытие убытков из собственных средств.

К уклонению от риска обычно прибегают в тех случаях, когда не представляется возможным снизить его до уровня, при котором деятельность организации сохраняла бы свою экономическую целесообразность с учетом имеющихся альтернатив. В других случаях, когда прибегают к передаче рисков или к их принятию, обычно используют те или иные методы их сокращения (помимо перечисленных выше способов локализации рисков, это могут быть средства внутреннего контроля, мониторинга внешней среды и т.д.).

Основные этапы процесса управления рисками.

1. Планирование

На этом этапе разрабатывается Политика управления рисками – обычно в виде отдельного документа, в котором формулируются цели, задачи и принципы управления рисками организации, а также Программа управления рисками, в которой детально прописываются:

- Роли и ответственности;

- Бюджет;

- Регламент (сроки);

- Методики оценки рисков;

- Пороговые уровни рисков;

- Форматы отчетов;

- Принципы учета и документирования.

2. Идентификация рисков

Целью этого этапа является составление списка рисков организации, условий их возникновения и последствий.

3. Качественный анализ рисков

На этом этапе производится экспертное оценивание уровней выявленных рисков путем оценки вероятностей наступления рисковых событий и величины возможных потерь. Основным результатом является ранжированный список рисков, из которого по принципу Парето выделяются риски, подлежащие дальнейшему анализу и управлению.

Строится карта рисков – двумерная матрица, в которой важнейшие риски организации размещаются в соответствии с вероятностью возникновения и уровнем ущерба.

4. Количественный анализ рисков

На этом этапе строятся модели количественной оценки уровней рисков, подлежащих управлению. В простейшем случае уровень риска, понимаемый как математическое ожидание (среднее значение) величины возможных потерь, определяется как произведение вероятности наступления рискового события на соответствующую величину потерь. В большинстве случаев применение такого универсального подхода не представляется возможным, и поэтому для оценки конкретных видов рисков разрабатываются специальные модели и показатели их оценки. Это, например, хорошо известные специалистам по финансам коэффициенты ликвидности, используемый при оценке риска инвестиций в ценные бумаги коэффициент чувствительности БЕТА или так называемый "рисковый капитал" (Value at Risk – VaR). Активно применяются и такие методы, как анализ чувствительности (метод Монте-Карло), имитационное моделирование, анализ дерева решений и т.д.

5. Выбор методов управления рисками

На этом этапе:

- Для рисков, к которым по результатам предыдущих этапов признано необходимым принимать меры воздействия, выбираются конкретные методы управления, составляются и приводятся в исполнение планы реагирования на них;

- Составляется список оставшихся рисков (подлежащих мониторингу);

- Составляется список вторичных рисков, возникающих в результате применения методов воздействия на исходные (первичные) риски, и выбираются меры воздействия на них;

- Составляются и заключаются договора по передаче рисков (аутсорсингу, страхованию и т.д.).

6. Мониторинг и контроль

На этом этапе проводится периодический аудит (оценка эффективности) системы управления рисками, также на периодической основе составляются обзоры рисков организации, вносятся необходимые коррективы в планы и процедуры реагирования на риски.

Организация риск-менеджмента в компании.

Описанный выше подход к построению системы риск-менджмента в компании – с созданием самостоятельного независимого подразделения, которое инициирует, координирует и контролирует процесс управления рисками – принято называть "активным риск-менеджментом". Как показывает зарубежная и российская практика, именно этот подход оказывается в большинстве случаев оптимальным, причем, что немаловажно, в том числе – и по стоимости реализации.

В небольшой компании подразделение риск-менеджмента может даже состоять из одного человека – менеджера по рискам, но и в этом случае желательно, чтобы он был максимально независим в своих действиях.

Надо отметить, что во многих компаниях подразделение риск-менеджмента подчиняется финансовому директору, для чего есть свои резонные основания. Дело в том, что риски, непосредственно относящиеся к финансовым потокам, имеют заметный удельный вес в портфеле рисков любой компании, особенно в финансовом секторе. Но вот пример противоположного рода: при внедрении комплексной системы риск-менеджмента на Магнитогорском металлургическом комбинате подразделение по управлению рисками (которое существовало и ранее) было переведено из Дирекции по финансам в Дирекцию по стратегическому планированию и собственности – и именно для обеспечения его независимости от основных бизнес-процессов, являющихся источниками риска.

Остановимся, однако, на других возможных подходах к построению системы риск-менеджмента.

Так называемый "пассивный риск-менеджмент" предполагает привлечение внешних консультантов, которые проделывают необходимую работу по идентификации и анализу рисков, подбирают подходящие методы управления ключевыми рисками и дифференцированно распределяют их по подразделениям компании. При этом все необходимые решения проводятся через руководящие органы (Правление или Совет директоров), но отдельного подразделения риск-менеджмента не создается. В свете всего вышесказанного недостатки этого подхода должны быть очевидны: после ухода консультантов система риск-менеджмента застывает как данность, причем в разрозненном виде, а сам процесс по существу пускается на самотек.

Но есть здесь и другая проблема. Дело в том, что российские компании вообще крайне редко прибегают к услугам сторонних консультантов при внедрении у себя риск-менеджмента. Это связано со следующими причинами:

- Руководители российских компаний пока скептически относятся к управлению рисками и поэтому не готовы вкладывать в это направление хоть сколько-нибудь значительные средства;

- Российские консалтинговые компании слабо представлены на этом рынке, а услуги зарубежных консультантов чрезвычайно дороги.

Как следствие, чтобы получить проект по внедрению комплексной системы управления рисками, российские консультанты должны не только владеть соответствующими технологиями, но и иметь опыт успешных отраслевых внедрений.

Более перспективной для российских консультантов видится стратегия, предусматривающая включение услуг по риск-менеджменту в пакеты с другими (более традиционными для России) видами консалтинговых услуг. Возможные варианты подобных предложений приводятся в следующей таблице.

Таблица 2

Услуги по риск-менеджменту

Анализ/реинжиниринг бизнес-процессов:

Идентификация и анализ рисков в анализируемых бизнес-процессах;

Предложения по снижению уровня рисков как часть предложений по оптимизации бизнес-процессов

Разработка маркетинговой стратегии:

Идентификация и анализ коммерческих рисков;

Предложения по управлению коммерческими рисками как часть предлагаемой маркетинговой стратегии.

Разработка и внедрение программы страхования рисков компании:

Идентификация и анализ рисков, целесообразности их страхования.

Разработка системы мотивации персонала:

Идентификация и анализ рисков персонала;

Меры по снижению рисков, связанных с персоналом как часть системы мотивации.

Разработка стратегии развития компании:

Управление стратегическими рисками

Оптимизация управления инвестиционной деятельностью:

Разработка методов оценки рисков инвестиционных решений;

Разработка процедур оптимизации инвестиционных портфелей по критерию "доходность/риск"

Оптимизация управления холдингом:

Унификация и интеграция процедур управления рисками.

Еще один подход к организации риск-менедждмента основан на сведении управления рисками к их страхованию. Т.е. предлагается аккуратно оценить все риски организации и передать их на внешнее финансирование в страховые компании. Такое понимание риск-менеджмента очень распространено (особенно в России) – при том, что, как показывает практика, этот подход оказывается, как правило, самым затратным из трех перечисленных. Конечно, страхование – важный и эффективный, но не универсальный метод управления рисками, и его применению должны обязательно предшествовать идентификация и анализ всех видов рисков, выделение рисков, подлежащих страхованию, и оценка этих рисков, иначе некоторые виды рисков вообще выпадут из рассмотрения, некоторые (к которым следовало бы применить другие методы управления) будут необоснованно застрахованы, а в каких-то случаях окажется завышенной страховая премия.

В страховом деле известен ряд критериев (нормальной) страхуемости рисков. Выделим наиболее важные из них:

- Страхуемая опасность должна носить случайный (непредопределенный и непреднамеренный) характер;

- Величина потерь должна быть предсказуема, чувствительна для страхователя, измерима и возместима деньгами, а вероятность наступления рискового события (страхового случая) – достаточно мала.

На нормальном страховом рынке давно устоялись следующие категории стандартно страхуемого риска:

- Персональный риск – риск потери жизни, здоровья, трудоспособности, безработицы;

- Имущественный риск – риск потерь (включая недополучение дохода) в результате повреждения, разрушения или хищения того или иного имущества;

- Риск ответственности за причинение ущерба окружающей среде или третьим лицам, за неисполнение обязательств по договорам.

Снижению затрат на страхование могут способствовать предварительные мероприятия по минимизации соответствующих рисков: например, страхованию оборудования от поломок целесообразно предпослать усиление контроля за соблюдением регламентов его технического обслуживания. На достижение этой же цели может быть направлена разработка и реализация комплексной программы страхования рисков организации, которая может включать страхование:

- Строительно-монтажных и пусконаладочных работ;

- Имущества (зданий и сооружений, производственного оборудования, запасов сырья, материалов, готовой продукции, автомобильного, железнодорожного и иного транспорта).

- Грузоперевозок (как поставок сырья и материалов на предприятие, так и готовой продукции потребителям);

- Оборудования от поломок;

- От перерывов в хозяйственной деятельности (в связи с пожарами, авариями и другими неблагоприятными событиями, которое обеспечивает защиту от косвенных потерь, связанных с прекращением выпуска продукции, дополнительными затратами по возобновлению производства и др.);

- Предпринимательских рисков (убытков от предпринимательской деятельности из-за нарушения своих обязательств контрагентами предпринимателя или изменения условий этой деятельности по не зависящим от предпринимателя обстоятельствам, в том числе рисков неполучения ожидаемых доходов);

- Ответственности Страхователя (предприятия) за причинение ущерба окружающей среде или третьим лицам (потребителям продукции или услуг, персоналу, контрагентам);

- Гражданской ответственности Страхователя за неисполнение или ненадлежащее исполнение обязательств по договору;

- Жизни, здоровья и дополнительной пенсии сотрудников.

Риск выплаты страхового возмещения или страховой суммы, принятый на себя страховщиком по договору страхования, может быть им застрахован полностью или частично у другого страховщика (страховщиков) по заключенному с последним договору перестрахования. Перестрахование – основа комплексных программ страхования рисков крупных предприятий.

Риск-менеджмент и внутренний контроль.

Для уточнения места риск-менеджмента в структуре организации имеет смысл остановиться на соотношении функций риск-менеджмента и внутреннего контроля. Обратимся для этого к материалам упоминавшейся выше комиссии Тредвея. Речь идет об опубликованном еще в 1992 г. Концептуальном документе по внутреннему контролю, в котором внутренний контроль определяется как процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, цель которого – обеспечить разумные гарантии достижения целей по следующим направлениям:

- эффективность и результативность деятельности организации;

- достоверность финансовой отчетности;

- соблюдение законодательных и нормативных требований.

При таком понимании внутренний контроль рассматривается как составная часть риск-менеджмента, и соответствующие службы организации могут быть объединены.

Новое в концепции риск-менеджмента по сравнению с внутренним контролем:

- более широкий диапазон целей, включая стратегические;

- более широкий спектр средств реагирования на риск: уклонение, сокращение, перераспределение, принятие (и контрольные процедуры);

- концепция риск-аппетита и приемлемого риска, призванная обеспечить более высокий уровень гарантий достижения целей организации;

- установка на централизованное управление совокупным портфелем всех рисков организации.

Чрезвычайно важно также обозначить место, которое отводится в рассматриваемой "картине мира" внутреннему аудиту. В "COSO ERM Framework" содержится явное указание на независимость риск-менеджмента и внутреннего аудита: "Внутренние аудиторы… играют важную роль в мониторинге системы управления рисками (ERM), но не имеют в качестве своей основной обязанности реализацию и поддержание функционирования этой системы". Основная задача внутреннего аудита – оценка эффективности системы управления рисками и внутреннего контроля и выработка рекомендаций по оптимизации системы. В то время как владельцем процесса и основным потребителем информации риск-менеджмента является исполнительное руководство компании, внутренний аудит – это независимый от менеджмента инструмент Совета директоров. Соответственно внутренний аудит и ривк-менеджмент не рекомендуется объединять в одном подразделении.

Еще одни нюанс: отличие риск ориентированного внутреннего аудита от традиционного.

Традиционный внутренний аудит – это контроль по факту, т.е. предметом его анализа являются уже наступившие рисковые события.

Риск-ориентированный внутренний аудит предполагает также и предупредительный контроль, т.е. выявление потенциальных проблемных ситуаций и выработку рекомендаций по их недопущению.