Управление рисками в области безопасности на предприятии базируется на тех же принципах, которые лежат в основе общей системы управления рисками. Их применение позволит повысить эффективность работы всей организации.

В статье Алексея Сидоренко (генеральный директор, Испания, www.e-xecutive.ru) говорит о том, что управление рисками – это не только инструменты, но и определенный тип мышления. С чего начать построение системы, позволяющей предотвращать угрозы для бизнеса?

1. Оцените, насколько стратегия компании находится «под риском»

Для начала внедрения риск-ориентированного мышления в организации необходимо:

Выберите международный стандарт по управлению рисками для внедрения.
Подготовьте анализ ключевых стратегических целей с учетом рисков.
Декомпозиция стратегических целей.
Выявление факторов неопределенности и рисков.
Проведите оценку стратегических целей с учетом рисков.
Актуализируйте стратегию с учетом рисков.

2. Задайте тон сверху

С целью формирования правильного тона на уровне руководства риск-менеджер может прислушаться к следующим советам:

Разработайте высокоуровневую политику по управлению рисками .
Документируйте аппетит к различным типам рисков в существующих нормативных документах.
Включите обсуждение рисков в повестку дня совета директоров.
Рекомендуйте создание отдельного комитета по управлению рисками на уровне правления или расширьте мандат существующего органа управления.
Содействуйте развитию управления рисками как внутри компании, так и за ее пределами.
Создавайте атмосферу «отсутствия виноватых».
Найдите общий язык с менеджерами, ответственными за смежные управленческие системы.
Определите заказчиков/пропонентов для внедрения риск-ориентированного управления.

3. Закрепите роли и обязанности по управлению рисками

Четкое распределение и закрепление ролей и обязанностей по управлению рисками важно для создания прочной культуры управления рисками в организации. Мы подготовили следующие пять рекомендаций, чтобы помочь сделать управление рисками ответственностью каждого сотрудника:

Выберите модель управления рисками, подходящую для текущего уровня зрелости вашей организации.
Документируйте роли и обязанности в области управления рисками в существующих должностных инструкциях, положениях о подразделениях и комитетах.
Актуализируйте существующие политики и процедуры с учетом рисков.
Чаще проводите оценку культуры управления рисками.
Включите мониторинг выполнения обязанностей по управлению рисками в процесс ежегодной оценки персонала.

4. Не усложняйте

Это золотое правило риск-менеджмента : чем проще, тем прозрачнее и понятнее! В качестве риск-менеджера, ваша цель состоит в том, чтобы помочь организации стать более риск-ориентированной. Инициативы риск-менеджмента должны быть понятны каждому и легко встраиваемы в обычную бизнес деятельность; в противном случае, вы, скорее всего, встретите большое сопротивление или будете проигнорированы руководством, что намного хуже.

Говорите на языке бизнеса, не используйте профессиональную терминологию управления рисками в общении с бизнесом. Использование терминов VaR, EaR, CFaR может быть абсолютно приемлемо для общения с финансовым директором, однако директор по производству очень быстро потеряет к вам интерес.

5. Помогите сотрудникам учитывать риски в своей работе

Тут вспоминается знакомая крылатая фраза: «Если гора не идет к Магомету, то Магомет идет к горе». Риск-менеджерам уже пора перестать создавать свою собственную параллельную вселенную, постоянно требуя от бизнеса информации, участия, оценки рисков, специальных мероприятий по управлению этими самыми рисками. Все это не укладывается в сознании бизнеса, который живет совершенно в иной логике, а самое странное, что это полностью противоречит базовым принципам ГОСТ Р ИСО 31000:2010. Помогите бизнесу учитывать риски в своей работе не раз в квартал, а каждый день.

6. Риск-ориентированное стратегическое планирование, бюджетирование и оценка эффективности деятельности

Риск-менеджмент играет важную роль в бизнес-планировании. Анализ влияния рисков на цели компании помогает руководителям существенно расширить свой кругозор, а главное снизить негативное влияние ментальных ловушек на принятие управленческих решений. Управление рисками помогает компании четко выделить и принять риски, связанные со стратегией, которые компания готова взять на себя, те риски, с которыми компания должна справиться любой ценой. Нередко анализ рисков может привести и к полному изменению стратегии, если неприемлемые риски не поддаются управлению или находятся за рамками контроля.

Практически, интеграция элементов управления рисками в бизнес планирование может осуществляться следующим образом:

документация аппетита к различным типам рисков в существующих нормативных документах на уровне правления или совета директоров;
определение основных рисков и оценка их влияния на стратегические планы и бюджеты компании;
применение имитационного моделирования для определения целевых параметров стратегии или бизнес плана с учетом рисков;
применение имитационного моделирования (сценарного анализа) для определения целевых параметров бюджета компании с учетом рисков и установление риск-ориентированных КПЭ;
интеграция анализа рисков в управленческие, инвестиционные, проектные ииные материальные бизнес решения;
оценка эффективности деятельности компании с учетом рисков.

Эффективный риск-менеджмент обеспечивает повышенную уверенность в том, что мы можем добиться желаемых результатов, снизить риски и угрозы до приемлемого уровня, и принимать обоснованные, взвешенные с учетом рисков решения. Некоторые примеры интеграции управления рисками в ключевые компоненты планирования и принятия решений представлены в данном разделе.

7. Создайте сеть «риск-чемпионов» по всей компании

Другой полезный метод, который в настоящее время принимается компаниями со зрелой культурой управления рисками, является создание сети «риск-чемпионов». Они являются «клеем» между командой по управлению рисками и сотрудниками бизнес-подразделений. «Риск-чемпионы» помогают внедрять элементы управления рисками в ключевые бизнес процессы и регламенты внутри организации. Обычно, «риск чемпионами» становятся люди, которые естественным образом мотивированы к эффективному управлению рисками. Сотрудники, ответственные за проектное управление или развитие методологии в различных подразделениях хорошо подходят на роль «риск чемпионов».

8. Проводите обучение по управлению рисками

Риск-менеджмент вряд ли можно назвать краткосрочной инициативой, внедрение элементов управления рисками в процессы принятия решений требует долгой и кропотливой работы. Одним из ключевых компонентов развития риск-ориентированного управления является обучение сотрудников и развитие культуры управления рисками.

В этом разделе мы сгруппировали основные рекомендации, которые помогут укрепить культуру управления рисками в вашей компании:

Включите компетенции по риск-ориентированному принятию решений в обучение для новых сотрудников.
Проводите обучение для руководителей и совета директоров.
Определите и проводите обучение для «риск чемпионов».
Сделайте обучение на основе компетентности.
Предусмотрите ежегодную внутреннюю сертификацию для сотрудников, работающих в зонах повышенного риска.
Используйте также пассивные способы обучения.

9. Принимайте непосредственное участие в оценке рисков проектов или стратегических инициатив

Важно не просто применять анализ рисков при оценке ключевых показателей проектов и принятии управленческих решений, а участвовать в этом непосредственно. В случае возникновения такой возможности риск-менеджеры могут взять на себя личную ответственность за проведение подобного анализа и за его результаты.

Анализ ключевых показателей проекта с учетом рисков должен быть комплексным, при этом результаты должны быть легкими для чтения и понимания топ-менеджерами, которые не являются специалистами в области управления рисками. Влияние неопределенности и рисков на сроки, стоимость или качество проекта должно быть проанализировано максимально прозрачно и по возможности ссылаясь на отраслевые данные, исторические факты или достоверные внутренние и внешние прогнозы.

10. Способствуйте открытому обсуждению рисков

Несколько советов, которые помогут риск менеджерам наладить диалог о рисках:

Говорите на языке бизнеса.
Включите информацию о рисках во внешние каналы коммуникации компании.
Наладьте обмен информацией о ключевых рисках внутри организации.
Создайте простые механизмы для эскалации рисков.

11. Не забывайте регулярно тестировать допущения, сделанные менеджментом

Риск-менеджеры играют важную роль в процессе принятия решений, изучая внешнюю среду и анализируя потенциальные факторы риска, которые могут быть не очевидны менеджменту. В последние годы, компании по всему миру становятся все более взаимозависимыми, что дает преимущества в эффективности и инновациях, но и увеличивает подверженность компаний рискам – во многих случаях рискам, о которых они даже не подозревают.

Риск-менеджеры должны выйти за рамки известных текущих проблем, чтобы наблюдать за факторами внешней среды, анализировать взаимозависимости и корреляции, изучать тренды и обращать внимание на «красные флаги».

12. Информируйте руководство о надвигающихся угрозах

Одним из самых важных навыков, которым должен обладать любой риск-менеджер, – это способность информировать руководство о возникающих на горизонте рисках. Это означает наличие процессов для сканирования внутренней и внешней окружающей среды для выявления возникающих рисков, оформление информации надлежащим образом и своевременное ее представление руководству компании. Риск-менеджеры должны уметь интерпретировать сигналы рынка, конкурентов и государственных органов, внутренние риски персонала и изменения в методах работы и производства для выявления рисков. Все это возможно только в том случае, если риск-менеджер принимает непосредственное участие в принятии стратегических бизнес решений совместно с другими руководителями компании. Регулярное общение с руководителями профильных подразделений позволяет менеджерам по управлению рисками выявлять надвигающие угрозы и стать настоящим экспертом в бизнесе, в интересах которого он работает.

13. Проводите анализ рисков по запросу руководства

Иногда руководство может привлекать риск-менеджера для анализа рисков конкретного бизнес-плана или принимаемого решения. Например, руководство может полагать, что негативное влияние валютных колебаний на компанию возрастает слишком быстро, и просит Вас проанализировать масштаб угрозы и определить, совместно с финансовым блоком, возможные решения.

Подобные запросы – это всегда хорошо, и они подчеркивают, что навыки управления рисками пользуются спросом у руководства. Если вы получаете такие запросы, разработайте методологию его выполнения, которая бы соответствовала материальности угрозы, поставленным срокам и доступности информации для анализа. Где возможно, используйте современные инструменты количественного анализа рисков, такие как Palisade Decision Tools или решения SAS. Используйте аналитические источники для моделирования влияния рисков на принимаемые решения, такие так Bloomberg и другие отраслевые базы данных.

14. Создавайте сеть контактов риск-менеджеров из вашей компании и смежных отраслей

Если имеется такая возможность – учитесь у других, устанавливая связи с риск-менеджерами из аналогичных компаний. Вы будете неизменно встречаться с другими риск-менеджерами, на профессиональных онлайн форумах, посещая различные конференции по управлению рисками. Оставайтесь с ними на связи, учитесь друг у друга, и обменивайтесь опытом.

15. Постоянно улучшайте собственные навыки управления рисками

Риск-менеджмент – очень динамичная дисциплина, и вам необходимо оставаться в курсе текущих событий. Постоянная шлифовка собственных навыков управления рисками – это изучении новых методик количественной оценки и управления рисками и, что не менее важно, изучение данных о бизнесе в целом. Дни гуру методологии, не понимающих нюансов бизнеса и особенностей человеческой психологии, канули в лету.

Высшее руководство сегодня ожидает, что менеджеры по управлению рисками будут участвовать непосредственно в процессе принятия решений, разделяя часть ответственности за результат принимаемых решений. В результате, риск-менеджеры должны разбираться в специфике бизнеса и промышленности, в которой они работают, не меньше, чем в особенностях имитационного моделирования рисков и психологии восприятия рисков. Это означает, что участие в конференциях, связанных с вашей отраслью, является столь же важным, как участие в мероприятиях и сообществах для риск-менеджеров. Очень важно, чтобы риск-менеджеры понимали общеотраслевые вопросы и проблемы.

Итак, давайте быстро подведем итоги по некоторым ключевым моментам. Риск-менеджмент – это не только инструменты и техника, но и изменения в культуре и мышлении сотрудников. Для укрепления культуры управления рисками риск-менеджеры могут начать с встраивания элементов анализа рисков в процессы принятия ключевых бизнес решений, помогая задавать тон высшему руководству и определяя роли и обязанности по управлению этими рисками. Начните с малого, но важного, постепенно расширяя область применения риск менеджмента. При этом необходимо помнить, что чрезмерное усложнение процедур и методик может скорее навредить культуре управления рисками, чем принести пользу.

Крайне важно избегать позиционирования управления рисками в качестве отдельной и самостоятельной деятельности, так называемой системы управления рисками. Риск-менеджеры должны в первую очередь интегрировать управление рисками в бизнес. Это может быть достигнуто путем интегрирования элементов анализа рисков в процессы принятия решений, оказания помощи руководству в оценке проектов и стратегических инициатив с использованием инструментов анализа рисков, интегрирование в стратегическое планирование, бюджетирование и управление эффективностью, путем включения обязанностей за управление рисками в должностные инструкции, обучения менеджмента и так далее.

Риск-менеджеры должны стремиться стать востребованными советниками высшего руководства и совета директоров. Советникам, которым доверяют и к чьим рекомендациям прислушиваются. Некоторые примеры включают регулярную оценку рисков на горизонте, критическую проверку допущений менеджмента с учетом рисков при бизнес планировании и предоставление независимой риск экспертизы при обсуждении бизнес решений.

Риск-ориентированное мышление стало необходимостью

На одном языке

О том, как риск-ориентированный подход в работе надзорных органов влияет на работу бизнеса, рассказала директор юридического департамента и департамента управления рисками L’Occitane Rus Светлана Мочалина.

В последние годы подход государственных органов к подобным проверкам изменился. Теперь они оценивают нарушения, обращая внимание на такие критерии, как степень риска для бизнеса; внедрение превентивных мер; порядок проведения оценки рисков; меры, направленные на снижение хозяйствующим субъектом рисков и осуществление им контроля.

– Поскольку мы работаем и на розничном рынке, и у нас, помимо оптового сегмента, франчайзинга, лицензированного SPA бизнеса и интернет-магазинов, в активе более ста собственных розничных магазинов, так называемых «открытых» точек прямых продаж, мы должны быть готовы, что в любую точку без предварительного уведомления (и с ним) могут прийти с проверкой разные государственные органы и их территориальные подразделения по всей стране: ФАС РФ, ИФНС РФ, МЧС РФ, Роспотребнадзор РФ, Росздравнадзор, ОАТИ, Департамент экономики и политики города Москвы. В связи с этим мы задумались, как обеспечить эффективную защиту бизнеса и устойчивую коммуникацию с госорганами, – комментирует Светлана Мочалина. – Одним из инструментов предупреждения и снижения рисков в целом является внедрение превентивной системы комплаенса в самом широком смысле этого слова. Здесь важно, с одной стороны, слышать законодателя, реализовывать и исполнять его волю; с другой – внедряя законодательные требования, опираться на конкретные задачи бизнеса, страхуя его в каждом шаге к достижению поставленной цели; прокладывать гибкий, но устойчивый мост между жесткими опорами закона и хрупкими реалиями оппортунистического характера российского бизнеса, призванного существовать в стремительно изменяющейся окружающей среде.

Цель внедрения любого комплаенса, включая антимонопольный, заключается в снижении вероятности риска нарушения и, как следствие, риска санкций. Однако основными задачами внедрения эффективной комплаенс-системы являются не только минимизация рисков бизнеса и повышение его роли в системе работы госорганов, но и управление бизнес-процессами в целом, а также повышение уровня эффективности персонала.

– Самым важным и труднодостижимым, а главное – самым успешным инструментом будущего и настоящего является безупречная репутация бизнеса / компании, ее становление, работа над ней в течение каждого дня. Если компания внедряет превентивные комплаенс-меры, дорожит своей репутацией, даже при наличии возможного правонарушения, она может рассчитывать на смягчение ответственности, а иногда и вовсе избежать ее. Данную аксиому активно поддерживают многочисленные госорганы, упомянутые выше, а значит, мы говорим на одном языке, – резюмировала Светлана Мочалина.

Фокус – на возможности

Опытом интеграции риск-менеджмента в ключевые процессы принятия решений поделилась руководитель отдела качества цепи поставок FM Logistic Ирина Вальтер.

– Поскольку мы являемся мультиклиентской компанией, то обязаны не только оценивать риски и управлять ими с точки зрения внутреннего комплаенса, но и должны ориентироваться на многочисленных клиентов, чьи требования к хранению и транспортировке могут кардинально отличаться. Таким образом, мы постоянно взаимодействуем с клиентами, привнося получаемую от них информацию в наш подход управления рисками, – уточняет спикер.

Компания FM Logistic считает одним из основных приоритетов в развитии справедливого и прибыльного бизнеса соблюдение законов и честной конкуренции в качестве предоставляемых услуг. При этом риск взяточничества и коррупции на уровне поставщиков исключается посредством внутреннего и внешнего аудита, проверки проводятся на плановой и внеплановой основе. Кроме того, материнская компания постоянно проводит комплаенс-аудит во всех странах присутствия FM Logistic. Велика роль и службы безопасности, которая проверяет каждого контрагента до начала работы с ним для полного соответствия законодательству РФ.

Ирина акцентировала внимание на стратегиях реагирования на риски. В частности, вместо того, чтобы уклоняться от рисков, она посоветовала использовать их на пользу компании. Допустим, план проекта можно изменить так, чтобы исключить угрозу или оградить цели проекта от последствий риска путем привлечения более квалифицированного персонала и обеспечения более высокого качества по сравнению с планом. Такой подход эффективнее, чем категоричный отказ от рискованных проектов и ненадежных партнеров.

– Мы применяем риск-ориентированный подход к бизнесу, фокусируясь не только на рисках как угрозах для бизнеса, но и на возможностях, которые способствуют его развитию. В нашей компании применяется риск-ориентированное стратегическое планирование, что является основой для постепенного внедрения процесса управления изменениями. Инструменты для минимизации существующих рисков разнообразны: это и внутренняя аналитика, внутренние аудиты процессов, фокус на развитие процесса постоянного улучшения, а также аудиты подрядчиков – транспортных компаний, с которыми мы работаем. Минимизировать риск для нас означает довести его до управляемого уровня, найти оптимальную меру управления. Риск-ориентированный подход внедрен в FM Logistic на корпоративном уровне и встроен в глобальный процесс «Compliance», что дает возможность осуществлять оценку рисков на систематической основе с точки зрения риск-аппетита владельцев рисков, производить их мониторинг, оценку результативности отработанных рисков и видеть эффект на бизнес от реализованных усилий нашей команды, – пояснила Ирина Вальтер.

«Маяк» для проектного управления

Одним из ключевых пунктов программы стало выступление руководителя направления аппарата вице-президента по управлению рисками ПАО «НЛМК» Сергея Саламатова, рассказавшего об особенностях интеграции риск-менеджмента в систему управления проектами.

Спикер привел данные исследования PMI’s Capturing the Value of Project Management, проведенного в 2015 году, в рамках которого проанализирована деятельность трех тысяч компаний. Исследование показывает, что в среднем только 64% проектов достигают своих целей. Представители Института по управлению проектами попытались разобраться, почему компании-лидеры лучше достигают поставленных целей. В результате сформулированы ключевые факторы успеха, наличие каждого из которых повышает уровень достижения целей.

Наибольший эффект на успешность в реализации проектов, согласно исследованию PMI, оказывают простейшие факторы: ответственность топ-менеджмента за проект; четкое понимание объема и вероятности достижения выгод от реализации проекта в течение его жизненного цикла; понимание, что результат проекта соответствует стратегии компании; организация обмена знаниями между менеджерами проектов.

Успешная реализация данных факторов достигается за счет интеграции риск-менеджмента с системой управления проектами. Роль риск-менеджмента в инвестиционной деятельности сложно переоценить, а исследование PMI иллюстрирует, что комплексное и систематическое применение количественной оценки инвестиционных рисков позволит повысить вероятность достижения целей проектов на 15–20% и не только принесет финансовые выгоды, но и позволит повысить эффективность.

– Оценка рисков, так или иначе, применяется всеми, однако слишком большая разница между вариантами ее реализации. В отдельных случаях это может быть типичная карта рисков с качественной оценкой ряда рисков по «системе светофор» – красный / желтый / зеленый. Но что на основании данной оценки делать менеджерам проекта? Какую информацию это им дает? – поясняет Сергей Саламатов. – Совсем другая ситуация, когда влияние рисков на целевые показатели проекта оценивается количественно с использованием таких инструментов, как скоринговые модели или имитационное моделирование. Такой подход позволяет анализировать чувствительность целевых показателей проекта к различным риск-факторам, оценивать вероятности достижения результатов, учитывать взаимное влияние факторов и совместный эффект от реализации рисков. На основании таких данных становится возможным принятие риск-ориентированных решений о реализации проектов. Так, оценка целевых показателей проекта под риском (IRR, NPV) поможет приоритезировать проекты с учетом риска и оптимизировать совокупный эффект от реализации стратегии.

Говоря про систему управления проектами, докладчик подчеркнул, что при реализации инвестиционных проектов можно выделить три группы целевых показателей: бюджет проекта, срок реализации и эффективность. Соответственно, существует риск роста затрат, нарушения сроков и снижения доходности. Важно понимать, что управление проектами подразумевает постоянное управление изменениями: понятно, что не удастся защитить проект от всех неблагоприятных событий, но есть возможность принимать решения с учетом их потенциального влияния на проект. От точности этой оценки будет зависеть качество принимаемых решений.

– Часть рисков типовые, они присущи бизнес-процессам, входящим в периметр реализации проекта. Их можно и нужно оценивать путем интеграции риск-менеджмента с системой внутреннего контроля компании. Управление данными рисками связано с повышением качества покрытия рисков внутренними контролями. В инвестиционной деятельности таким образом можно оценивать увеличение затрат на реализацию проекта вследствие неэффективной реализации процессов проектирования, выбора поставщика, строительно-монтажных работ и других, –
комментирует эксперт. – Кроме того, в каждом проекте существуют специфические риски, вызванные уникальностью предметной области проекта. Они сопровождаются высокой неопределенностью – невозможно однозначно оценить ожидаемые потери. Эту неопределенность нельзя упускать из виду: она может привести проект к диаметрально противоположным результатам, и тут не обойтись без имитационного моделирования. Риски смещения сроков также можно оценивать при помощи инструментов моделирования методом Монте-Карло. Такая оценка позволяет руководителю проекта установить повышенный контроль над выполнением критичных работ и наиболее эффективно распределять ресурсы на управление рисками проекта в рамках установленных сроков и бюджета.

Title="Галина
Шаклеина (ЕвроХим)">Количественная оценка рисков инвестиционных проектов с использованием инструментов имитационного моделирования признана востребованной среди мировых лидеров и применяется в разных отраслях экономики. Допустим, Лондонский метрополитен использует этот метод для оценки рисков инвестиционных проектов и безопасности пассажиров, а мировые лидеры в сфере поставки потребительских товаров – компании Unilever и Procter&Gamble – для оценки рисков в отношении разработки и применения новейших технологий, реализации инновационных проектов. В России существенно меньше нефинансовых компаний применяют количественную оценку инвестиционных рисков на регулярной основе. Что характерно, в исследовании PMI также принимали участие только европейские и американские респонденты.

– Стоит предположить, что эффективная интеграция риск-менеджмента с системой управления проектами – это тот «маяк», к которому будет двигаться проектное управление в России в ближайшие годы, повторяя общемировые тенденции. Потому что этот «маяк» обеспечивает получение информации, необходимой для принятия менеджментом риск-ориентированных решений, способствующих повышению эффективности реализации стратегических инициатив и достижению необходимого финансового результата, – резюмировал спикер.

Не конкурировать, а дополнять

Плюсы и минусы интеграции функций риск-менеджмента и риск-ориентированного внутреннего аудита обозначил риск-менеджер ГК «НефтеТрансСервис» Игорь Винников.

Он обратил внимание коллег на отличия риск-менеджмента от внутреннего аудита, заметив, что первый связан с анализом и оценкой внешних альтернатив, угроз и возможностей для стратегического и тактического развития бизнеса, а второй по большей части направлен на оценку эффективности бизнес-процессов компании, в том числе риск-менеджмента. Нередко на практике функции риск-менеджмента и внутреннего аудита пересекаются в рамках одного подразделения, что не позволяет получать синергетический эффект и независимую информацию, насколько эффективно на самом деле работает риск-менеджмент.

К тому же, учитывая, что риск-ориентированный аудит часто использует такие же механизмы и инструменты, что и риск-менеджмент (например, карты и реестры рисков), у менеджмента компании может возникать путаница и непонимание назначения двух этих функций и оправданно возникает вопрос – чем отличаются эти службы?

– Риск-менеджмент и внутренний аудит могут эффективно дополнять друг друга: обмен информацией между этими подразделениями позволит выявить тот или иной риск на ранней стадии, – комментирует Игорь Винников. – На этапе оценки риска риск-менеджмент просчитывает, каким может быть результат в целом для компании в случае его реализации; риск-ориентированный аудит фокусируется на независимой, как правило, ретроспективной оценке аудируемого бизнес-процесса. Для воздействия на риск риск-менеджмент вырабатывает соответствующие мероприятия, а в случае необходимости корректировки бизнес-процесса отвечает за его своевременное изменение. Функция риск-ориентированного аудита на этих этапах заключается в разработке рекомендаций и контроле их выполнения.

Для совершенствования подобного взаимодействия необходимо унифицировать используемую терминологию и подходы; планировать аудиторские проверки с учетом сигналов внешней среды; информировать и вовлекать риск-менеджера в разработку и реализацию плана корректирующих мероприятий при наличии внешних факторов; усиливать роль внутреннего аудита как фактора развития риск-менеджмента, и наоборот.

Лучше предупредить, чем ликвидировать последствия

Руководитель отдела экологии и охраны окружающей среды АО «Руспетро» Надежда Шевелева говорила о значимости управления экологическими рисками в деятельности промышленных предприятий. В частности, Надежда подробно рассказала о составляющих экологического риска и особенностях его выявления в нефтегазовой отрасли. Она также упомянула о стратегии управления экологическими рисками при разработке нефтяных и газовых месторождений и привела примеры выявления причин наступления экологических рисков.

В настоящее время работа с экологическими рисками ведется в условиях неоднозначности трактовок нормативных актов, стремительного изменения законодательной базы, что осложняет ведение производственной деятельности.

По словам докладчика, управление экологическими рисками в рамках производственной деятельности предприятия – процесс непростой и многоэтапный. Так, необходимо проанализировать требования законодательства в части обязательств по охране окружающей среды; оценить вероятность возникновения экологических рисков при текущей системе управления; определить возможные последствия наступления этих рисков, в том числе экологического ущерба; определить методику оценки возможных последствий в денежном выражении (возмещение экологического ущерба, штрафы за нарушение требований природоохранного законодательства). Кроме того, придется оценить возможные последствия в стоимостном выражении и произвести их ранжирование; определить меры по снижению и предотвращению ущербов от идентифицированных рисков; оценить эффективность необходимых вложений для снижения и предотвращения рисков; принять решение о внедрении конкретных мер по управлению рисками. Только после этого производится актуализация системы управления экологическими рисками и назначаются ответственные лица по управлению ими.

Как следует из практики, совокупные затраты на мероприятия по предотвращение риска и реализацию природоохранных мероприятий будут значительно ниже, чем на ликвидацию последствий их реализации, с учетом обязательности своевременного соблюдения требований законодательства в области охраны окружающей среды. Надежда Шевелева рекомендовала принимать данный факт во внимание при планировании управленческой деятельности в части экологического менеджмента.

Никто не застрахован от фрода

В любой компании периодически реализуются риски, связанные с неэтичным поведением и мошенничеством со стороны персонала. В результате компания может понести не только финансовые убытки, но и столкнуться с репутационными рисками. Эту важную тему подняла управляющий директор по финансовым аудитам АФК «Система» Марина Бугорская.

По официальной статистике, самый существенный ущерб компании несут в результате мошеннических действий с финансовой отчетностью. Имеется в виду искусственное завышение активов, недооценка обязательств, занижение себестоимости. Считается, что сознательное искажение отчетности или creative accounting встречается реже, чем остальные виды мошеннических схем. На практике наиболее частыми являются мошеннические действия, направленные на кражу активов, коррупцию и вывод средств из компании.

После публикации новой версии стандарта ISO 9001 :2015, пожалуй, больше всего вопросов и дискуссий возникает относительно одного из новых требований - применение риск ориентированного мышления (в англ. «risk-based thinking») . Рекомендую посмотреть видео "Основные различия между ISO 9001:2015 и ISO 9001:2008 ".

На моем блоге я написала несколько статей на тему управления рисками (см. статьи: «Управление рисками вместо предупреждающих действий» ; «Управление рисками - основные шаги» ; «Риск менеджмент в бизнесе» и др.). В продолжение темы я решила написать о том, что же такое «риск ориентированное мышление» по ISO 9001:2015 и как его применять.

Риск ориентированное мышление, прежде всего,подразумевает реализацию организацией комплекса согласованных мероприятий и методов для управления и контроля многочисленными рисками (положительными и отрицательными), влияющими на её способность достигать запланированных целей. Риск ориентированное мышление, фактически, заменяет требование по выполнению предупреждающих действий из прежней версии стандарта.

Нельзя сказать, что риск ориентированное мышление - это абсолютно новое требование. В неявном виде оно всегда присутствовало в ISO 9001. В предыдущих версиях стандарта, включая ISO 9001 :2008, присутствовало требование прогнозирования и предотвращения ошибок, несоответствий (осуществление предупреждающих действий), что тоже относится к риск ориентированному мышлению. Организации обучали людей, планировали работу, распределяли обязанности и полномочия, проверяли результаты, проводили аудиты и проверки, осуществляли мониторинг и измерения процессов. Все эти действия были направлены на то, чтобы избежать ошибок и достичь успеха.

Таким образом, организации пытались управлять своими рисками и возможностями. Поэтому можно сказать, что всегда было частью ISO 9001 и Систем менеджмента качества организаций. Просто раньше это было неявно, а теперь явно. Так почему же разработчики ISO 9001:2015 решили сделать применение риск ориентированного мышления более явным и фактически заменили им предупреждающие действия? Что нового организации должны делать, чего не делали раньше?

Дело в том, что предупреждающие действия в большинстве организаций часто выполнялись «для галочки», из необходимости выполнить требование ISO 9001 , а не в качестве реального инструмента продвижения вперед, непрерывного улучшения. Нередко предупреждающие действия выполнялись на ненадлежащем уровне и бессистемно . Кроме того, во многих организациях ответственность за назначение и реализацию предупреждающих действий возлагалась на кого-либо из членов группы по качеству, которые были не в состоянии охватить все вопросы, действительно влияющие на организацию на верхнем уровне и способствующие постоянному улучшению.

Чтобы соответствовать требованиям новой версии стандарта, организациям необходимо планировать и осуществлять действия в ответ на риски и возможности.

Новый стандарт ожидает, что организации будут систематически выявлять и эффективно устранять риски, которые могут повлиять на их способность поставлять соответствующие требованиям продукцию и услуги и удовлетворять потребности клиентов. Он также ожидает, что организации будут определять свои возможности, которые могут повысить их способность поставлять соответствующие требованиям продукцию и услуги, чтобы удовлетворять своих клиентов.

Новый стандарт также ожидает, что организации будут идентифицировать риски и возможности, которые могут повлиять на результативность их Системы менеджмента качества или нарушить работу, а затем определят действия для решения этих рисков и возможностей. Также организации должны определить, как они собираются сделать эти действия частью своих процессовСистемы менеджмента качества, и как они будут осуществлять контроль, оценку и анализ эффективности этих действий и процессов.

Согласно требованиям новой версии стандарта, руководители верхнего уровня должны быть вовлечены в процесс выявления, регистрации, устранения и снижения рисков. Учитывая это, уже с самого начала применения риск ориентированного мышления в организации можно будет увидеть, что оно эффективнее применявшихся ранее предупреждающих действий.

Очень важно, чтобы вопросы выявления рисков и выбора подходящих мер управления рисками выносились на повестку регулярных совещаний руководства. Не менее важным является обеспечение того, чтобы в организации были налажены каналы, по которым все сотрудники на более низком уровне могли бы передавать свое мнение наверх - на рассмотрение управленческой команды.

Тогда организации будут иметь риск ориентированное мышление , возглавляемое командой топ менеджеров, владеющей ключевыми стратегическими знаниями об угрозах и возможностях для бизнеса и одновременно поддерживаемой информацией со всех уровней организации (часть из которой ранее была им не известна и, соответственно, не рассматривалась).

Таким образом, вместо предупреждающих действий, которые ранее, в основном, проводились на более низком уровне, теперь организациям предлагается риск ориентированное мышление, возглавляемое командой топ менеджеров, которая владеет полной и всесторонней информацией. Естественно, что управленческие решения, полученные в результате такого подхода, и последующие действия будут более эффективными на основе участия всей компании, чем ранее существовавший процесс предупреждающих действий.

В то время, как риск ориентированное мышление является теперь частью нового стандарта, тем не менее, стандарт не требует специального документа, описывающего риск ориентированный подход организации. Однако, исходя из моего опыта, лучше, если он будет описан в документе, чтобы обеспечить системность и единообразие применения во всей организации.

Рекомендую также мою статью еще об одном новом требовании в ISO 9001:2015 - понимание контекста организации . Здесь можно скачать бесплатно электронную книгу " ".

Для начала внедрения риск-ориентированного мышления в организации необходимо:

Выберите международный стандарт по управлению рисками для внедрения.
Подготовьте анализ ключевых стратегических целей с учетом рисков.
Декомпозиция стратегических целей.
Выявление факторов неопределенности и рисков.
Проведите оценку стратегических целей с учетом рисков.
Актуализируйте стратегию с учетом рисков.

2. Задайте тон сверху

Разработайте высокоуровневую политику по управлению рисками .
Документируйте аппетит к различным типам рисков в существующих нормативных документах.
Включите обсуждение рисков в повестку дня совета директоров.
Рекомендуйте создание отдельного комитета по управлению рисками на уровне правления или расширьте мандат существующего органа управления.
Содействуйте развитию управления рисками как внутри компании, так и за ее пределами.
Создавайте атмосферу «отсутствия виноватых».
Найдите общий язык с менеджерами, ответственными за смежные управленческие системы.
Определите заказчиков/пропонентов для внедрения риск-ориентированного управления.

3. Закрепите роли и обязанности по управлению рисками

Выберите модель управления рисками, подходящую для текущего уровня зрелости вашей организации.
Документируйте роли и обязанности в области управления рисками в существующих должностных инструкциях, положениях о подразделениях и комитетах.
Актуализируйте существующие политики и процедуры с учетом рисков.
Чаще проводите оценку культуры управления рисками.
Включите мониторинг выполнения обязанностей по управлению рисками в процесс ежегодной оценки персонала .

4. Не усложняйте

5. Помогите сотрудникам учитывать риски в своей работе

6. Риск-ориентированное стратегическое планирование, бюджетирование и оценка эффективности деятельности

Риск-менеджмент играет важную роль в бизнес-планировании . Анализ влияния рисков на цели компании помогает руководителям существенно расширить свой кругозор, а главное снизить негативное влияние ментальных ловушек на принятие управленческих решений. Управление рисками помогает компании четко выделить и принять риски , связанные со стратегией, которые компания готова взять на себя, те риски, с которыми компания должна справиться любой ценой. Нередко анализ рисков может привести и к полному изменению стратегии, если неприемлемые риски не поддаются управлению или находятся за рамками контроля.

документация аппетита к различным типам рисков в существующих нормативных документах на уровне правления или совета директоров;
определение основных рисков и оценка их влияния на стратегические планы и бюджеты компании;
применение имитационного моделирования для определения целевых параметров стратегии или бизнес плана с учетом рисков;
применение имитационного моделирования (сценарного анализа) для определения целевых параметров бюджета компании с учетом рисков и установление риск-ориентированных КПЭ;
интеграция анализа рисков в управленческие, инвестиционные, проектные ииные материальные бизнес решения;
оценка эффективности деятельности компании с учетом рисков.

7. Создайте сеть «риск-чемпионов» по всей компании

8. Проводите обучение по управлению рисками

Включите компетенции по риск-ориентированному принятию решений в обучение для новых сотрудников.
Проводите обучение для руководителей и совета директоров.
Определите и проводите обучение для «риск чемпионов».
Сделайте обучение на основе компетентности.
Предусмотрите ежегодную внутреннюю сертификацию для сотрудников, работающих в зонах повышенного риска.
Используйте также пассивные способы обучения.

9. Принимайте непосредственное участие в оценке рисков проектов или стратегических инициатив

10. Способствуйте открытому обсуждению рисков

Несколько советов, которые помогут риск менеджерам наладить диалог о рисках:

Говорите на языке бизнеса.
Включите информацию о рисках во внешние каналы коммуникации компании.
Наладьте обмен информацией о ключевых рисках внутри организации.
Создайте простые механизмы для эскалации рисков.

11. Не забывайте регулярно тестировать допущения, сделанные менеджментом

12. Информируйте руководство о надвигающихся угрозах

Одним из самых важных навыков, которым должен обладать любой риск-менеджер, – это способность информировать руководство о возникающих на горизонте рисках . Это означает наличие процессов для сканирования внутренней и внешней окружающей среды для выявления возникающих рисков, оформление информации надлежащим образом и своевременное ее представление руководству компании. Риск-менеджеры должны уметь интерпретировать сигналы рынка, конкурентов и государственных органов, внутренние риски персонала и изменения в методах работы и производства для выявления рисков. Все это возможно только в том случае, если риск-менеджер принимает непосредственное участие в принятии стратегических бизнес решений совместно с другими руководителями компании. Регулярное общение с руководителями профильных подразделений позволяет менеджерам по управлению рисками выявлять надвигающие угрозы и стать настоящим экспертом в бизнесе, в интересах которого он работает.