Требуется ревизия

В условиях глобальной неопределенности бизнес будет сталкиваться с неожиданными угрозами. Для их преодоления потребуются новые подходы к управлению рисками. Стандарты в сфере риск-менеджмента должны стать более практичными, понятными и едиными

Исследователи давно выявили взаимосвязь между выручкой компаний и наличием эффективных систем управления рисками. Между тем, как показал кризис 2008 года, далеко не все компании, даже уделявшие этому аспекту серьезное внимание, смогли успешно преодолеть последствия спада в экономике. В связи с этим эксперты заговорили о необходимости пересмотра стандартов управления рисками. О роли риск-менеджмента в системе корпоративного управления мы разговариваем с партнером компании «Эрнст энд Янг» (отдел по предоставлению услуг в области управления корпоративными рисками) Денисом Камышевым.

По мере необходимости

– Почему в кризис системы управления рисками сработали не во всех компаниях?

– Причин много. Во-первых, это отношение самих компаний. Увы, зачастую их руководство попросту имитировало применение последовательных процессов управления рисками, избирательно позаимствовав или формально скопировав инструменты. По данным исследования Coso’s 2010 Report On Erm, только в 20,8% организаций респонденты оценили реализованные процессы управления рисками как устойчивые или зрелые, в то время как 61% публичных компаний признали: мониторинг риска ведется неформально либо по мере необходимости.

Во-вторых, видимо, пришло время проанализировать сами подходы к управлению рисками. Сейчас наиболее распространена концепция Coso Erm. Представители делового сообщества и раньше высказывали критические замечания в ее адрес, кризис же показал: нужна тщательная ревизия стандартов и требований. На наш взгляд, одной из интриг ближайших лет станет конкуренция новых моделей управления рисками.

– В чем недостатки прежних моделей?

– Стандарты в сфере риск-менеджмента должны стать едиными и более практичными, понятными. Корпоративному сектору необходим набор инструментов по управлению отдельными типами рисков в качестве рекомендованных практик. Финансовый сектор продвинулся дальше, но, как продемонстрировал кризис, недостаточно далеко. Унификация подходов к управлению отдельными рисками и их детализация – вот основные направления совершенствования. Удалось же добиться единства всех заинтересованных сторон в отношении основных принципов корпоративного управления (ОЭСР), разработанных Институтом внутренних аудиторов стандартов внутреннего аудита и МСФО. Почему такой консенсус невозможен в практике риск-менеджмента?

– Эти требования должны иметь элементы обязательности?

– Навязывание подходов для корпоративного сектора ничего не даст – слишком общие концепции сейчас используются. Должен быть осознанный и непрерывный процесс внедрения детальных практик. В банковском и страховом секторах этот процесс уже пошел. Определенные требования к риск-менеджменту заложены в «Базеле-3», в директивах международных стандартов платежеспособности Solvency для страховых рынков, которые вводятся в действие с конца 2012 года, учтены требования и в законе Додда – Франка, принятом в июле 2010-го Конгрессом США (Dodd-Frank Act).

Так, набор требований «Базель-3» предполагает формирование прозрачных систем раскрытия банками информации о принимаемых на себя рисках. Реализация основных концепций Solvency ІІ позволит более точно и системно предупреждать проблемы, с которыми сталкиваются участники страхового рынка. Наконец, одним из требований закона Додда – Франка является формирование комитетов по рискам на уровне советов директоров компаний.

Как умерить аппетит

– Кстати, о советах директоров. Традиционно именно они отвечали за разработку стратегии управления рисками. Какова должна быть их роль в дальнейшем?

– Принципы корпоративного управления предполагают, что политику в отношении рисков разрабатывает совет директоров. Именно он несет ответственность одновременно и за внедрение, и за мониторинг корпоративной системы управления рисками. При этом важно, чтобы принимаемые решения согласовывались с общей стратегией организации и ее аппетитом к риску. То есть, определяя стратегию компании, совет директоров должен соотносить возможности, ожидаемые результаты и потенциальные выгоды с вероятными негативными последствиями. У него должен быть четкий ответ на вопрос, какие риски в стремлении обеспечить рост компания готова принять на себя, а какие – нет, какое количество каких видов и типов рисков она в состоянии выдержать при реализации своих бизнес-целей, учитывая размер собственного капитала, доступ к финансовым рынкам, гибкость и лояльность сотрудников и другие факторы.

Вообще, в последнее время аппетит к риску становится все более актуальным понятием в бизнесе. Недавно Eumedion (организация, представляющая интересы 65 институциональных инвесторов, совокупные активы которых превышают 1 трлн евро) заявила, что трезвый анализ аппетита к риску стал в 2010 году одним из ключевых инструментов, способствующих улучшению качества отчетности публичных компаний.

Разумеется, определение аппетита к риску – прерогатива совета директоров и высшего руководства. Состав совета должен предельно четко отражать возросшую роль риск-менеджмента, а это не всегда встречается на практике. Поэтому большинство экспертов настоятельно рекомендуют компаниям включать в состав высшего корпоративного органа специалистов, как минимум хорошо знакомых с концепциями управления рисками в целом и такими понятиями, как аппетит к риску. Основной задачей такого директора может стать наведение мостов между корпоративным управлением и риск-менеджментом, а лучшим результатом – формирование единой корпоративной политики и методологии, позволяющей создать полноценную инфраструктуру управления рисками.

– Каковы наиболее распространенные ошибки при построении систем риск-менеджмента?

– Очень важно правильно выстроить мониторинг рисков. Нечеткое определение риска чаще всего не позволяет в полной мере понять его сущность, а уж тем более – держать его в поле зрения. Вот почему одним из перспективных направлений становится повышение качества мониторинга с учетом ключевых показателей риска (КПР – key risk indicators). При этом следует четко отделять КПР от широко известного в бизнесе понятия ключевых показателей эффективности (КПЭ – key performance indicators). КПЭ, как правило, базируются на результатах, которые уже достигнуты, на событиях, которые уже произошли. Они очень важны для успешного управления организацией путем выявления очагов неэффективности и оценки тех аспектов бизнеса, которые заслуживают большего внимания топ-менеджмента. КПР же ориентированы на будущее и должны обеспечивать руководство своевременной информацией об угрозах до наступления рисков.

Уже есть успешные примеры интеграции компаниями КПР в единую сбалансированную систему показателей. По сути, это означает включение риск-менеджмента в текущую деятельность организации.

Больше ответственности и независимости

– Как на практике выглядит такая организационная структура?

– Очень важно обеспечить независимость специалистов, отвечающих за управление рисками. Риск-менеджер функционально может быть подотчетен напрямую совету директоров (вариант – комитету по рискам или комитету по аудиту при совете), а административно – высшему исполнительному руководству. То есть на уровне совета директоров следует поощрять создание еще одной независимой функции – поставщика гарантий, подотчетного совету.

Эксперты ОЭСР пошли еще дальше, посчитав целесообразным назначение директора по рискам и гарантиям (Director of risk management and assurance) из состава совета директоров компании с одновременным подчинением непосредственно председателю совета директоров или председателю комитета по аудиту. Руководители, отвечающие за внутренний аудит и управление рисками, при наличии такого директора становятся подотчетны одновременно директору по рискам и гарантиям, а также комитету по аудиту.

В организациях обычно есть целый ряд самостоятельных групп, выполняющих различные функции управления рисками, оценивающих принимаемые решения на соответствие нормативно-правовым требованиям и предоставляющих гарантии независимо друг от друга. В рамках сложившейся традиции наличие таких групп на институциональном уровне считается нормальной практикой. Но при отсутствии эффективной координации работа таких групп дублируется, а ключевые риски пропускаются или оцениваются неверно. В этой связи давление на менеджмент и поставщиков гарантий со стороны совета директоров будет только возрастать, поскольку последний заинтересован в эффективной реализации своих функций применительно к рискам. На наш взгляд, такая тенденция положительно скажется на координации деятельности и практической реализации схемы предоставления гарантий организации в целом.

– Каков уровень корпоративного управления в российских компаниях?

– К сожалению, в России до сих пор не так много внешних факторов, подталкивающих компании к повышению качества корпоративного управления. Большинство отечественных компаний непубличны, а значит, на них не распространяются многие регулятивные нормы, применяемые к предприятиям, прошедшим процедуру IPO. Требования к качеству корпоративного управления предприятий, не включенных в биржевые котировки (как и компаний, бумаги которых обращаются на внебиржевом рынке), весьма условны.

Тем не менее мы советовали бы регулярно проводить независимую оценку деятельности совета директоров. Это необходимо, чтобы убедиться, что их деятельность отвечает целям и задачам организации, а также лучшим отраслевым практикам менеджмента. Такие отчеты очень полезно предоставлять независимым директорам, не принимающим непосредственного участия в операционной деятельности. Не стоит забывать, что в условиях глобальной неопределенности, в которых все мы находимся, бизнес будет сталкиваться с новыми угрозами. А значит, без тщательно настроенных инструментов управления рисками уже не обойтись.