Практическую работу системы управления рисками отечественные предприятия организовывают разными путями. «&» проанализировал недостатки и преимущества каждого из них.
Современные компании не сталкиваются с одним каким-то самым значимым риском в своей деятельности, утверждают специалисты Protivity Inc., мирового лидера в постановке системы управления рисками на предприятиях. Спектр негативных событий, угрожающих не только прибыльности, но и самому существованию компании, очень широк. «Для любого крупного предприятия возможные потери от этих рисков составляют несколько сотен тысяч или даже миллионы долларов. Наступление некоторых из рисковых событий вообще может привести к прекращению деятельности предприятия», — утверждает Андрей Степанов, старший менеджер отдела управления рисками предприятий (ERS) компании Deloitte. Но неопределенность, с одной стороны, таит в себе риск, а с другой — открывает новые возможности. Она может привести как к снижению, так и к увеличению стоимости предприятия. Выявление шансов и угроз (будущих или имеющих место сегодня) — главная задача системы управления рисками. Регулярность данного процесса дает руководству организации гарантию того, что:
• оно будет обеспечено информацией о том, в какой степени достигнуты стратегические и операционные цели организации;
• отчетность предприятия является достоверной, а применяемое законодательство и нормативные акты соблюдаются.
Как бы ни была построена эта система, ответственность за ее функционирование и принятие соответствующих решений — компетенция менеджмента любого предприятия. А вот практическую работу, как показал опрос «&», проведенный на IV ежегодном Восточно-европейском риск-менеджмент-форуме, украинские предприятия организовывают разными путями, каждый из которых имеет свои недостатки и преимущества.
И один в поле воин
На большинстве украинских предприятий анализ, планирование и выявление возможных рисков и выработка мер по их нейтрализации возлагаются на финансового директора. В некоторых случаях часть подобной работы вменяется в обязаности главного бухгалтера, финансового аналитика и финансового контролера (на тех предприятиях, где есть соответствующие позиции). «Разработка финансовой стратегии, анализ затрат и рентабельности, расчет коэффициентов затрат, а также определение тех факторов, которые вызывают или вызовут в будущем отклонения этих коэффициентов, — задача финансового директора, — разъясняет «&» Дмитрий Позигун, первый заместитель генерального директора, финансовый директор ОАО «ИнтерХим». — У нас нет отдельной структуры для управления рисками и отдельной должности финансового контролера. Функции же по мониторингу текущей ситуации и выявлению узких мест распределены между финансовым директором и главным бухгалтером. Кроме финансового директора, в управлении рисками на предприятии принимают участие и независимые от исполнительного руководства органы. Ревизионная комиссия в составе трех человек, которая подчиняется только собранию акционеров, по крайней мере раз в год знакомится со всей финансовой отчетностью предприятия, выносит свои решения. Генеральному директору я предоставляю не только готовые выводы. Это и структурированные данные, и информация к размышлению. Правда, данные по всем направлениям деятельности попадают к нему, если можно так выразиться, в «препарированном» виде». Учитывая, что основная нагрузка в такой схеме ложится на финансового директора, для эффективного ее функционирования, по словам Дмитрия Позигуна, необходимо придерживаться некоторых условий.
Во-первых, должен быть хорошо налажен аналитический учет. Информацию следует собирать в том разрезе, который необходим для всестороннего понимания ситуации. «Ввести аналитический учет нас заставила сама жизнь. Ни для кого не секрет, что в условиях украинской фискальной системы бухгалтерия любого предприятия — это на 80% орган, работающий на налоговую, а не на менеджмент. Учет управленческий не совпадает с учетом бухгалтерским, а тот в свою очередь не совпадает с учетом налоговым. Хотя по логике они должны совпадать между собой. Постепенно наша система учета совершенствовалась, мы вводили новые параметры и функции, с помощью которых смогли не только рассчитывать текущие показатели, но и определять тренды и прогнозировать ситуацию. Поэтому в настоящий момент это главный инструмент управления рисками на нашем предприятии. Сведения нашего аналитического учета поступают и в администрацию предприятия, партнерам, которым мы предоставляем о себе информацию, или инвесторам. Отлаженная компьютеризированная система справляется с огромным объемом данных. Ведь у нас три направления деятельности. Есть производство готовых лекарственных средств. Я считаю, что производство в смысле учета и прогнозирования сложнее любой торговли, потому что имеются несколько уровней аналитики (например, прогнозировать складские запасы в некотором смысле сложнее). Второе подразделение — своя розничная сеть по торговле лекарствами. Третье направление — исследовательская лаборатория. Все эти виды деятельности радикально отличаются друг от друга и требуют отслеживания различных показателей и разных подходов в прогнозировании. Во-вторых, чтобы система учета справлялась с такими заданиями, понадобилось длительное время и огромные усилия. В связи с чем финансовый директор, который в основном и является автором такой системы, должен работать на предприятии весь этот период», — уточняет Д. Позигун.
То, что информация стекается к одному человеку, который в курсе всех тонкостей работы предприятия, имеет неоспоримые преимущества. Поэтому данная система так долго продержалась в корпоративной практике всего мира. Однако система аналитического учета должна быть создана специально под нужды конкретного предприятия. Такую систему нельзя купить, ее можно только создать, на что требуется много времени. Предоставят ли конкуренты это время компании — вопрос нюансов предпринимательской деятельности конкретной отрасли.
Поля риска
Принципиально иная организационная структура у риск-менеджмента, когда функция оперативного управления рисками возлагается на руководителей отдельных децентрализованных уровней: структурных единиц, проектов, центров прибыльности.
«Управляют рисками в нашей корпорации директора бизнес-направлений наших компаний, — объясняет Руслан Демчак, президент Ukrainian Business Group. — Главной задачей каждого руководителя бизнес-подразделения является предупреждение появления рисков, а при их наступлении — устранение с наименьшими затратами для бизнеса и корпорации в целом. Директора бизнес-направлений и директора департаментов подчиняются напрямую президенту корпорации. Но это то, что касается текущих рисков, которые возникают в операционной деятельности. А что касается глобального управления, то мы выделили для себя четыре основных риска и поручили контроль за ними специалистам в соответствующих областях». По словам Руслана Демчака, первые два риска связаны с работниками компании. Недобросовестное поведение персонала может привести к серьезному ущербу. Уход ключевых сотрудников может существенно ухудшить положение компании, особенно если это менеджеры высшего звена. Поэтому контроль над такими рисками возложен на отдел персонала. Рыночный риск — изменения конъюнктуры рынка. Для контроля ситуации на рынке каждый год маркетинговый отдел Ukrainian Business Group проводит всестороннее исследование, куда включен анализ практически всех внешних рисков. Здесь и действия конкурентов, и регулирование отрасли со стороны государства. Четвертый риск кроется в просроченной дебиторской задолженности. Чтобы не замораживать большие суммы оборотных активов в дебиторской задолженности и не допускать возникновения безнадежных долгов, в Ukrainian Business Group выделили специалиста в финансовом департаменте, в чьи обязанности входит контроль за платежами. «Такая система работает уже два года, и она себя оправдывает», — констатирует Р. Демчак.
Включение в обязанности работников конкретного профиля обязанностей по оценке и прогнозированию рисков распространено в мировой практике. Например, в компании Phoenix AG (Германия) вся операционная сфера разделена на так называемые поля. Для каждого поля назначен ответственный за мониторинг информации и своевременное реагирование. Примеры полей: качество, материально-техническое снабжение, финансовые результаты, персонал, сбыт, логистика, производство, развитие и культура бизнеса. Специальные оценочные индикаторы также установлены для каждой выделенной сферы, а состояние и перспективы развития каждого поля отображаются в специальном отчете о рисках.
Но поручение отслеживания рисков конкретным специалистам имеет как свои плюсы, так и минусы. «Вовлечение операционного руководства в процесс оценки рисков — это критическое условие для успешного противодействия внешним и внутренним угрозам для предприятия, — объясняет Михаил Лопатин, руководитель отдела бизнес-консультирования компании «Эрнст энд Янг». — Плюс такого подхода в первую очередь в том, что понимание источников и причин рисков будет существенно выше. Главный минус в том, что в некоторых случаях бизнес-подразделения могут быть преднамеренно слепы по отношению к отдельным угрозам для того, чтобы, например, ограничить объем своей ответственности или необходимой работы по их предупреждению. Поэтому возможна ситуация, когда они будут умышленно закрывать глаза на достаточно серьезные риски. Нельзя говорить и об уменьшении издержек при активном вовлечении бизнес-подразделений, особенно на первом этапе. Связано это, во-первых, с выполнением требований к формализации процесса управления рисками, поскольку, помимо самой борьбы с рисками, необходимо еще и постоянно доказывать, что она проводится. Во-вторых, объем мер по предупреждению рисков растет прямо пропорционально пониманию их количества и при детальном подходе вообще стремится к бесконечности».
Группа контроля
То, что немалое число компаний находятся в процессе разделения обязанностей между акционерами и руководством, — характерная черта рынка Украины сегодня. Соответственно требование к прозрачности самого процесса управления предприятием существенно возрастает, растут и требования к надежности процесса. Поэтому акционеры, очевидно, будут внедрять функции системы внутреннего контроля и системы риск-менеджмента, которые независимы от текущего руководства, операционного менеджмента. Кроме того, работа отдела внутреннего аудита должна предполагать тесное взаимодействие непосредственно с бизнес-подразделениями, подлежащими проверке. Ведь внутренний аудит обязан снабжать своей информацией не только собственников, но и менеджмент.
Некоторые компании применяют модернизированный вариант упомянутой выше системы управления рисками. «Хотя постоянной должности операционного риск-менеджера у нас нет, однако процесс отслеживания рисков в операционной деятельности в нашей компании является регулярным, — рассказывает Оксана Комарницкая, национальный финансовый директор компании «САН Интербрю Украина». — Для этого создается рабочая группа, возглавляемая сотрудником финансового отдела. Результат ее работы — матрица операционных рисков с их делением на те, вероятность которых высока либо низка, и которые могут привести к высоким либо невысоким потенциальным убыткам». То есть группа оценивает степень вероятности наступления риска и степень влияния, для чего используется комбинация количественных и качественных методов оценки. Создание группы позволяет выявить риски, не связанные с каким-то конкретным подразделением бизнеса, а касающиеся всей компании в целом.
«Один из наиболее серьезных рисков, который определен нашей рабочей группой, — контроль процесса подписания и визирования контрактов и контроль за возникновением затрат до момента их появления в финансовой отчетности, — отмечает Оксана Комарницкая. — В деньгах это — нежелательные затраты, налоговые последствия. Чтобы уменьшить данный риск, мы ввели следующую процедуру визирования контрактов. Контракт должны завизировать после предыдущего ознакомления несколько работников разных отделов. В первую очередь юристы, потом главный бухгалтер, налоговый менеджер и функциональный директор инициатора контракта изучают суть документа, а также рассматривают, предусмотрены ли данные затраты в планах. Финансовый отдел проверяет цену и сумму контракта, целесообразность затрат, сроки платежа, наличие тендера (как определялся поставщик). Не всем работникам обязательно читать весь контракт. В основном читают статьи, которые связаны с их сферой ответственности. Такой контроль немного замедляет процесс подписания договоров, но, безусловно, ведет к пониманию затрат до того, как они возникают, позволяет инициаторам контрактов и исполнителям шире видеть ситуацию. После введения подобной процедуры много контрактов останавливались из-за того, что определенные формулировки несли риски для компании или суммы были необоснованно высокими. Однако со временем процесс стал более налаженным. К тому же не все контракты визируются таким образом. Существует определенный материальный порог, лишь после превышения которого контракт становится предметом пристального изучения. Этот порог неодинаковый для всех подразделений».
По словам Оксаны Комарницкой, кроме рабочей группы, управлением рисками на предприятии занимается и отдел внутреннего аудита. Внутренние проверки достаточно регулярны. Они охватывают все операционные сферы: логистику, продажи, маркетинг, производство, вложение инвестиций.
Секрет эффективности — в правильном подчинении
Создавая отдельную штатную единицу — риск-менеджера, — компании делают его либо сотрудником финансового департамента, либо сотрудником отдела внутреннего аудита. Так как в большинстве случаев на украинских предприятиях внутренний аудит подчинен финансовому департаменту (что является, в принципе, отклонением от классической системы внутреннего контроля), то и риск-менеджмент происходит в рамках финансовой дирекции, чего консультанты советуют избегать.
«При определении положения CRO в компании необходимо понимать, что полезность функции будет поставлена под вопрос, если ей будет недоставать авторитета и веса в компании, — предупреждает Михаил Лопатин. — Поэтому рекомендуется подчинять соответствующее подразделение непосредственно директору, председателю правления или даже наблюдательному совету. При этом следует избегать известной практики подчинения CRO руководителю финансовой функции, поскольку задачи, которые ставятся перед обеими функциями, отличаются принципиально».
Функциональные обязанности CRO могут значительно варьироваться в зависимости от степени развитости системы управления рисками, размера компании, прочих факторов. Но чтобы построить постоянно действующую систему, в подразделении должны работать люди, имеющие соответствующее образование, опыт, а сам CRO обязан, конечно же, иметь и авторитет в компании, и возможность прямого контакта с высшим руководством или акционерами. Только в этом случае качество выполнения данной функции может быть достаточным, подчеркивает эксперт.
Есть и другие затраты на постановку системы, и они существенные. «Для компаний, внедряющих систему управления рисками добровольно или по требованию акционеров, затраты могут существенно варьироваться в зависимости от областей риска, которыми она хочет управлять и уровня существенности или принятия рисков. Так, можно определить и принять шаги по предотвращению только рисков, угрожающих существованию организации, — это программа минимум. Программа максимум — внедрение системы внутренних контролей от контролей корпоративного уровня до ключевых контролей бизнес-процессов с соответствующим внедрением корпоративных политики и процедур. Поэтому затраты напрямую зависят от глубины внедрения системы управления рисками», — делится опытом М. Лопатин. Но объем издержек зависит и от других факторов. «Затраты на систему риск-менеджмента обратно пропорционально зависят от прозрачности процессов на предприятии и от автоматизации. Чем более прозрачны процессы и выше автоматизация, тем легче отследить тот или иной риск и тем меньше требуется затрат», — резюмирует О. Комарницкая.
Потратиться, чтобы сохранить Затраты на внедрение системы управления рисками на предприятии Косвенные статьи затрат: Источник: отдел бизнес-консультирования компании «Эрнст энд Янг».
Прямые статьи затрат:
• затраты, связанные с поиском и оплатой труда специалистов по управлению рисками;
• затраты по осуществлению контролей;
• затраты на специальное программное обеспечение (например, для документации бизнес-процессов и ключевых рисков, для моделирования ситуаций и оценки вероятности рисков);
• затраты на профессиональное обучение сотрудников;
• затраты по привлечению внешних специалистов для помощи по внедрению системы управления рисками;
• затраты на программное обеспечение по поддержке процесса управления рисками;
• затраты по регулярной проверке — аудит системы внутренних контролей;
• затраты времени управленческого персонала и рядовых сотрудников компании на первоначальное внедрение процедур по управлению рисками, дальнейшую поддержку системы, мониторинг и оценку рисков, а также на процесс постоянного совершенствования.