Принципы организации системы управления рисками Группы
Базовые принципы, в соответствии с которыми Сбербанк и участники Группы Система управления рисками формируется на уровне ПАО Сбербанк и участников Группы, в которых Сбербанк является единственным участником, акционером, учредителем (100 % как прямого, так и косвенного участия) или имеет преобладающее участие (>50 % как прямого, так и косвенного участия). формируют систему управления рисками и капиталом, определены в Стратегии управления рисками и капиталом Группы ПАО Сбербанк, утвержденной Наблюдательным советом Сбербанка 15 сентября 2015 года.
Осведомленность о риске: принятие решения о проведении любой операции производится только после всестороннего анализа рисков, возникающих в результате такой операции.
Управление деятельностью с учетом принимаемого риска: в Группе осуществляется оценка достаточности имеющегося в распоряжении (доступного) капитала путем реализации внутренних процедур оценки достаточности капитала (ВПОДК). Результаты выполнения ВПОДК используются при принятии решений по развитию бизнеса (формировании Стратегии развития). Приоритетные направления развития и распределения капитала определяются с использованием анализа скорректированных по риску показателей эффективности отдельных показателей и направлений бизнеса.
Вовлеченность высшего руководства: Наблюдательный совет, Президент, Председатель Правления, Правление и другие коллегиальные органы Сбербанка, а также наблюдательные советы и исполнительные органы участников Группы на регулярной основе рассматривают отчеты об уровне принятых рисков и фактах нарушений установленных процедур управления рисками, лимитов и ограничений.
Ограничение рисков: в Группе действует многоуровневая система лимитов и ограничений, позволяющая обеспечить приемлемый уровень рисков – аппетит к риску Группы.
Разделение функций, полномочий и ответственности: для эффективного управления рисками и с учетом необходимости минимизировать конфликт интересов между принятием рисков и ограничением и контролем уровня рисков организационная структура Сбербанка и участников Группы формируется исходя из распределения функций и ответственности между подразделениями Сбербанка и участников Группы в соответствии с принципом «трех линий защиты».
Централизованный и децентрализованный подходы: в Группе применяется сочетание централизованного и децентрализованного подходов к управлению рисками и достаточностью капитала для обеспечения наибольшей эффективности.
Использование информационных технологий: управление рисками и достаточностью капитала строится на основе использования современных информационных технологий, позволяющих повысить качество и оперативность принятия решений.
Совершенствование методов: методы управления рисками и достаточностью капитала постоянно совершенствуются, улучшаются процедуры, технологии и информационные системы с учетом поставленных стратегических задач, изменений во внешней среде, нововведений в международной практике.
Риск-культура: для целей обеспечения устойчивого и эффективного функционирования всей системы управления рисками в Группе реализуется проект по развитию риск-культуры. Целью проекта является формирование у сотрудников поведения, при котором они открыто обсуждают и реагируют на существующие и потенциальные риски, и формирование внутренней ментальной установки нетерпимости к игнорированию, замалчиванию рисков и рискового поведения окружающих. Риск-культура дополняет существующие формальные механизмы и является неотъемлемой частью системы интегрированного управления рисками. Особое внимание уделяется поведению сотрудников как практическому проявлению риск-культуры.
Система мотивации с учетом рисков: система оплаты труда в Группе обеспечивает соответствие размера вознаграждения сотрудников характеру и масштабу совершаемых операций, результатам деятельности, уровню и сочетанию принимаемых рисков.
Раскрытие информации: вся необходимая в соответствии с требованиями регуляторов информация по управлению рисками и достаточностью капитала подлежит раскрытию. Состав и периодичность раскрытия информации по рискам соответствует требованиям Банка России, требованиям к управленческой отчетности и требованиям к раскрытию информации по рискам для всех заинтересованных сторон.
Самая интересная профессия
Ирина Кремлева, вице-президент Сбербанка России, — об управлении рисками и роли ИТ в нем
Ирина Кремлева в ранге вице-президента возглавляет блок «Риски» Сбербанка России. На протяжении более чем 15 последних лет дисциплина управления рисками является главной предметной областью, на которой сосредоточена ее профессиональная деятельность. По ее мнению, путь к эффективному управлению рисками лежит через формирование корпоративной риск-культуры. И эта культура должна пронизывать всю организацию — в управлении рисками должны участвовать все сотрудники банка.
Управление рисками — это стратегический подход к управлению или бизнес-процесс? Или, может, это некая методология?
Риск-менеджмент — самая интересная профессия на Земле, я в этом абсолютно уверена. Наверное, потому, что риск-менеджмент — это сразу всё: и серьезная математика, и построение бизнес-процессов, и автоматизация, и даже немножко религия.
Если серьезно, особенно интересно заниматься рисками в непростые времена, когда всё вокруг меняется с невиданной скоростью. Именно в непростые времена на первый план выходит риск-культура организации. Пока в организации есть противостояние «подразделения рисков — и все остальные» и работа строится по принципу «главное — договориться с рисками», мы уязвимы. Всегда найдется ситуация, которую мы не предусмотрели, сбой, который не предвидели. Как только каждый сотрудник (от рядового операциониста до руководителя любого уровня) начинает понимать, что именно он защищает банк от рисков и что от решений, которые он принимает, зависит совокупный уровень риска, мы непобедимы — никакие шоки и турбулентности нам не страшны.
В Сбербанке России стартовала глобальная стратегическая программа «Риск-культура», она призвана кардинальным образом изменить прежде всего мышление всех без исключения сотрудников банка.
Культура риск-менеджмента актуальна только для финансового сектора или есть и другие сектора, где тщательное, трепетное отношение к рискам жизненно необходимо?
Риски, на мой взгляд, присутствуют везде и всегда, поэтому чем бы мы ни занимались, оценивать свои решения с точки зрения рисков важно и нужно в любом случае. Даже если речь идет о ваших персональных делах и планах, риски взвешивать необходимо. Безусловно, в финансовой сфере риски выходят на первый план, потому что здесь циркулируют колоссальные объемы информации и принимается огромное количество решений. Одна из важнейших задач риск-менеджмента — это разработка и внедрение в ежедневные процессы инструментов, помогающих принять решение, — моделей оценки рисков. В основе таких моделей прежде всего лежит статистика. Поэтому Сбербанк — абсолютный рай для любого математика-моделиста, ведь объем данных о клиентах у нас беспрецедентный. Сейчас у нас внедрено в процесс и работает более 600 моделей различного уровня сложности. Я не случайно все время возвращаюсь к процессам — очень важно, чтобы модель не просто существовала, но и использовалась в реальных процессах, помогала принимать решения, взвешенные с учетом риска. Все наши модели реально работают и показывают высокую предиктивную способность. С недавнего времени мы начали пилотный проект по построению моделей, основанных на Больших Данных, — очень интересные и впечатляющие результаты получаются!
Какие подразделения банка непосредственно участвуют в управлении рисками? Как распределяются их роли?
В Сбербанке реализована «классическая» концепция трех линий защиты от рисков. Первая линия защиты — это те сотрудники, кто непосредственно общается с клиентами или с документами. Первая линия защиты — это не просто громкие слова. Именно от профессионализма и ответственности этих людей зависит очень много — ведь именно они видят «живого» клиента и «реальные» документы. Вторая линия защиты — это риск-менеджмент. Сейчас в блоке «Риски» работает более 4 тыс. сотрудников — это андеррайтеры по всем линиям бизнеса (люди, которые осуществляют независимую экспертизу рисков) и методологи. Третья линия защиты — служба внутреннего аудита, она осуществляет на регулярной основе проверку всех процессов и процедур в банке, в том числе и процессов управления рисками.
Какие ИТ-инструменты применяют те, кто работает на различных уровнях защиты?
На самом деле я уверена, что без ИТ-инструментов управление рисками невозможно, особенно в таком банке, как Сбербанк России. Любой, даже самый продвинутый риск-инструмент останется только красивой теорией, если не будет встроен в строго регламентированный и автоматизированный ежедневный процесс.
В Сбербанке используется огромное количество ИТ-систем, поддерживающих систему управления рисками, созданных как внутренними разработчиками, так и внешними. Построение системы риск-менеджмента в современной трактовке этого термина в нашем банке стартовало с проекта «Кредитная фабрика», предусматривавшего кардинальное изменение процесса розничного кредитования. Это прекрасный пример ситуации, когда управление рисками невозможно без ИТ-инструментов.
В основе технологии «Кредитной фабрики» лежит сложнейший ИТ-комплекс, он объединяет в себе целый ряд систем как внутренней, так и внешней разработки. Именно в рамках проекта «Кредитная фабрика» в банке появился целый ряд ИТ-решений, которые сегодня являются архитектурным стандартом: это и единая система управления доступом пользователей к информационным ресурсам, и корпоративная сервисная шина данных, и многие другие решения.
ИТ-комплекс «Кредитная фабрика» умеет обращаться к множеству информационных ресурсов, содержащих информацию о потенциальном заемщике. На основании собранной информации определяется маршрут проверки заемщика, уровень принятия решения. Сегодня в системе работает более 300 автоматически выбираемых маршрутов и более чем в 80% случаев решение о выдаче кредита принимается автоматически. Такой уровень автоматизации очень удобен, во-первых, для клиента. Например, для зарплатных клиентов, о которых мы всё знаем, срок принятия решения о предоставлении кредита составляет два часа. Во-вторых, очень удобен для банка — после внедрения новой автоматизированной технологии качество портфеля существенно улучшилось, по ряду продуктов уровень потерь сократился в 2,5 раза. Более того, такой уровень автоматизации позволяет существенно повысить эффективность управления. Мы умеем оперативно реагировать на изменение качества входящего клиентского потока и макроэкономических условий. В среднем раз в два дня мы внедряем ту или иную настройку риск-технологий.
На мой взгляд, современное розничное кредитование в принципе невозможно без всеобъемлющей и глубокой автоматизации, потому что операционные риски, в первую очередь те, что трансформируются в кредитные, которые могут возникнуть в ручной технологии, достаточно существенны и без автоматизации их не избежать.
Какие требования регуляторов — российских и международных — оказывают наиболее сильное влияние на управление рисками в Сбербанке? Какие риски чаще всего эти требования затрагивают?
Для Сбербанка сейчас главный проект по взаимодействию с регулятором — это подача заявки на соответствие стандартам Basel II в продвинутой версии (A-IRB — продвинутый подход, основанный на внутренних моделях). Именно то, что у нас есть большое количество моделей, реально использующихся в процессах и обладающих высоким качеством, позволяет нам надеяться, что по итогам валидации мы получим разрешение регулятора на использование продвинутого подхода.
/2014-10/10_14/13165362/Direktor_informacionnoj_sluzhby_(CIO.RU)_!!IMG_0051_(380).png)
Ирина Кремлева
Образование: МГУ им. М. В. Ломоносова, факультет вычислительной математики и кибернетики, специальность «прикладная математика»; кандидат физико-математических наук
Ирина имеет более чем 15-летний опыт работы в области управления рисками. Работала в «Пробизнесбанке», где участвовала в проекте реинжиниринга бизнес-процессов. Затем с момента создания работала в ВТБ-24, где занималась построением бизнес-процессов розничного кредитования и системы управления розничными рисками. В ОАО «Сбербанк России» — с июня 2008 года. С января 2013 года — в должности вице-президента ОАО «Сбербанк России», руководителя блока «Риски».
Каким образом происходит адаптация банка к новым требованиям регуляторов, какие бизнес-процессы при этом затрагиваются?
С точки зрения Сбербанка внедрение стандарта Basel II — естественное развитие риск-менеджмента, поскольку этот стандарт требует от банков ровно того, чем мы занимались в последние годы, — наличия правильной системы управления рисками, причем проходят проверку на соответствие стандарту прежде всего модели рисков. Они должны быть правильно построены — на корректном определении дефолта, с учетом правильной риск-сегментации, они должны пройти процедуру внутренней валидации, ну и главное — они должны быть встроены в процесс. Другими словами, модели должны быть не просто красивой картинкой, на которую предлагается взглянуть регулятору, а работать в реальной жизни с утра до вечера. Поэтому огромная часть проверки направлена на то, чтобы убедиться, что они действительно участвуют в принятии решений, и оценить, как они работают.
Внедрение стандартов Basel II — важный шаг не только для Сбербанка, но и для банковской системы в целом. Мы сейчас совместно с регулятором проходим путь адаптации этих стандартов к реалиям российской банковской системы — на примере Сбербанка. Этот проект очень важен для российской банковской системы в целом, и я очень рада, что Сбербанк играет в нем существенную роль. Мы готовы делиться накопленным опытом и знаниями, чтобы вместе с регулятором выстроить в России правильную систему управления рисками.
Внедрение любых стандартов должно помочь банковской системе, а не помешать, поэтому, учитывая реалии, ЦБ РФ дает импульс к развитию банковской системы: внедрение Basel II поможет сделать банки прозрачными, обеспечить акционерам требуемый уровень рисков и сделать процессы понятными, управляемыми, стандартизованными. С точки зрения ИТ-поддержки это существенный шаг вперед, потому что реализация управления рисками средствами ИТ — одно из требований стандарта Basel II, это гигантский шаг к правильному функционированию банка.
Какова структура операционных рисков с точки зрения Сбербанка? Кто и как (в том числе с помощью каких ИТ-инструментов) определяет эту структуру?
Внутри нашего блока «Риски» есть специальное подразделение — управление операционных рисков, оно определяет методологию: какие следует оценивать операционные риски, как они идентифицируются, фиксируются, измеряются. Что касается ежедневного управления этими рисками, то оно лежит на всех подразделениях банка — владельцах соответствующих бизнес-процессов. Блок «Риски» как методологическое подразделение внедрил систему SAS OpRisk Management, в которой риск-координаторы по всей стране фиксируют инциденты операционных рисков. Инциденты, конечно, классифицируются и по типам, и по размеру ущерба и возможных убытков. Что очень важно, в рамках процессов управления рисками делаются системные выводы о том, что нужно предпринять, чтобы эти инциденты больше не происходили. Ответственность за то, что системные меры предложены и реализованы, всегда лежит на владельцах процессов. Кстати, в нашей системе фиксируются инциденты не только в России, но и в зарубежных филиалах, и не только в самом Сбербанке, но и в группе в целом — наши дочерние организации фиксируют в ней свои инциденты.
Какие группы рисков считаются наиболее критичными для бизнеса?
Понятие «интегрированный риск-менеджмент» (то есть возможность комплексного управления всеми своими рисками) применимо в отношении любых организаций. Первый шаг по его выстраиванию — идентификация рисков, которые организация считает наиболее существенными как с точки зрения возможных потерь, так и по экспертному мнению. После этого для каждой существенной группы рисков в обязательном порядке назначается владелец, он отвечает за управление этой группой и за выработку политики: как работать с этими рисками, что с ними делать и пр. Есть система комитетов, каждый из них отвечает за свою выделенную группу того или иного риска, который был идентифицирован как существенный.
Для Сбербанка, естественно, наиболее существенными являются кредитные риски (поскольку банк — крупнейшая в России кредитная организация), а также операционные. В общем, ничего удивительного, вполне стандартная для банковской системы ситуация.
Насколько различается управление рисками, относящимися к разным группам?
Конечно, различается. Есть, например, «экзотические» (с точки зрения риск-менеджмента) группы рисков, такие как бизнес-риски (риски того, что принятое бизнес-решение окажется неверным и в будущем принесет убытки), стратегические, регуляторные (риски того, что регулятор выпустит какие-то новые требования, которые существенно повлияют на наш бизнес). У кредитных рисков свои методы управления, у регуляторных — свои, у операционных — третьи и так далее.
«Обработку» каких групп рисков или отдельных рисков удалось полностью или почти полностью автоматизировать?
На мой взгляд, максимального уровня автоматизации удалось достичь в самых существенных группах рисков — кредитных и операционных. У нас полностью автоматизирован процесс кредитования и в розничной его части (я уже рассказала о проекте «Кредитная фабрика»), и в корпоративной. Для поддержки процесса корпоративного кредитования применяется система Oracle Siebel CRM. Фиксация инцидентов операционных рисков производится в системе SAS.
Что важно, банк последовательно идет по пути автоматизации системы отчетности. Как известно, управлять можно только тем, что можно измерить, — без таких оценок решение принимается на основе экспертного мнения, которое может оказаться абсолютно неверным. И по «Кредитной фабрике», и по корпоративному кредитованию при запуске процесса кредитования сразу же создается система отчетности. Идея состоит в том, что процесс обработки кредитных заявок подлежит измерению на ежедневной основе.
Какое место в управлении рисками занимают риски, связанные с ИТ?
С одной стороны, ИТ-инциденты — это классические примеры операционных рисков, поэтому мы точно так же фиксируем события операционного риска и делаем системные выводы о том, как нужно «закрывать» те или иные ИТ-риски. С другой стороны, управление этими рисками — понятие гораздо более широкое. В частности, управление ИТ-инцидентами — это отдельный процесс, который протекает внутри ИТ-подразделения.
Вообще говоря, ИТ и риски связаны неразрывно. Заместитель председателя правления Сбербанка Вадим Кулик является куратором и блока «Риски», и ИТ-блока. Это позволяет получать значительную синергию — мы и ИТ идем рука об руку и существенно обогащаем друг друга.
Какие приоритетные задачи для блока «Риски» вы видите?
Самая главная задача на текущий момент — донести важность ежедневного управления рисками до каждого сотрудника и предоставить ему для этого правильные инструменты. Например, если речь идет о корпоративном кредитовании, то необходимо правильно построить кредитный процесс — так, чтобы предотвращать или предельно минимизировать кредитные и операционные риски и максимально удобно для клиента и эффективно для банка выстроить обработку кредитных заявок. Мы отвечаем за то, чтобы в процессе работали правильные модели с высокой предиктивной способностью. У каждого заемщика должен быть максимально объективный рейтинг — тщательно взвешенная, правильная мера его риска. Глядя на этот рейтинг, люди, принимающие решение о выдаче кредита (члены кредитного комитета), должно точно понимать, что этот рейтинг означает. Таким образом, на блоке «Риски» лежит ответственность и за предоставление инструмента для оценки рисков, и за обучение всех участников кредитного процесса этому инструменту — что это такое, для чего он нужен и как с ним работать. И когда модель пройдет проверку регулятором, а каждый сотрудник, глядя на модель, которую ему предоставил блок «Риски», поймет, о чем она говорит, поверит ей и на ее основе примет решение, я буду считать, что наш блок свою миссию выполнил успешно. Пока же мы идем по этому пути.
Поделитесь материалом с коллегами и друзьями
Финансовая сфера
Риском управлять должны все!
Консультант практики по управлению рисками компании SAS Варвара Солодилова рассказала «Б.О» о том, кто должен управлять операционными рисками, а также о риск-культуре в организации
Консультант практики по управлению рисками компании SAS
— Варвара, что сейчас происходит на рынке труда в области специалистов по управлению операционными рисками?
— Несмотря на то что во многих организациях из-за пандемии наем новых сотрудников был заморожен, в ряде компаний различных отраслей открыты вакансии специалистов в области риск-менеджмента.
Если бы мы в конце 2020 года зашли на сайт одной из популярных компаний интернет-рекрутмента и осуществили поиск таких вакансий, открытых нашлось бы более 9 тыс. за последний месяц, за последние три дня — более 3 тыс., за последние сутки — около 1 тыс. Числа кажутся внушительными. Но для сравнения позиций в области управления персоналом, открытых за последний месяц, — более 16 тыс., а области финансов — более 40 тыс.
На том же популярном ресурсе для поиска работы в конце 2020 года были размещены объявления чуть более 1,3 млн компаний. Если предположить, что все 9 тыс. вакансий по управлению рисками — от разных компаний, то всего лишь каждая 147-я компания нуждается в специалистах по управлению рисками, в то время как потребность в финансистах испытывает каждая 33-я.
Выводы о спросе на ту или иную профессию требуют глубокого анализа, однако доступные данные позволяют предположить, что не в каждой компании рисками управляют в масштабах всей организации. Если делать выводы об уровне зрелости процессов управления рисками, основываясь на более прикладном опыте — опыте консультанта рисковой практики вендора ПО, а в прошлом консультанта BIG4, то можно подтвердить сделанное заключение.
— Очевидно, это один из признаков незрелости риск-менеджмента?
— Безусловно! По итогам взаимодействия с компаниями — представителями производственной сферы, ретейла и даже финансовой отрасли с уверенностью могу сказать, что далеко не в каждой даже крупной компании управление рисками выделено в отдельную функцию. Во многих отсутствуют методология и регламенты, а также нет сотрудников, занимающихся исключительно риск-менеджментом.
В то же время сотрудники средних и крупных компаний в России воспринимают «риски» как отдельную профессиональную область, знают своих «коллег-рисковиков». Но далеко не каждый сможет объяснить, чем эти коллеги занимаются, поскольку достаточно часто процессы риск-менеджмента обособлены. В лучших практиках управления бизнесом давно признано, что риски есть у любой организации, и если, например, рыночные или комплаенс-риски требуют специальных знаний и присущи не всем видам деятельности, то операционные риски — это неопределенность, существующая на каждом этапе любого процесса. По идее, каждый участник процесса эти риски должен понимать, а каждая организации должна ими управлять.
На практике же для большинства сотрудников риски — это какие-то сакральные знания, ведомые только отделу по управлению рисками.
Это свидетельствует о том, что компании предпринимают попытки выделить риск-менеджмент в отдельный процесс, но в то же время говорит о не самой высокой эффективности этого элемента управления. Как эту эффективность измерить, кто должен управлять операционными рисками и почему о рисках нужно знать не только риск-менеджерам?
Мировые стандарты по управлению рисками пытаются помочь организациям найти ответы на эти вопросы.
— Расскажите, пожалуйста, немного об этих стандартах.
— Согласно стандарту управления рисками COSO ERM, один из основных компонентов управления — контрольная среда.
Комплексный подход в работе риск-менеджмента включает оценку уровня рисков с учетом имеющихся в процессах компании контролей. Соответственно риск-менеджеры тесно связаны с системой внутренних контролей. Кроме того, лучшие практики предполагают вовлечение всей организации в оценку рисков и контролей, а также в дальнейшую проработку и реализацию мероприятий по снижению уровня риска.
В различных отраслях требования регуляторов к процессам управления рисками различаются. Самое строгое регулирование — в финансовом секторе: банковская отрасль зачастую является не только объектом жесткого контроля со стороны регуляторов, но еще и лидером по зрелости процессов управления и IT. Многие банки уже выстроили процессы управления рисками, а вот вне финансового сектора риск-менеджмент развит в меньшей степени. При этом есть достаточно зрелые системы управления в компаниях других отраслей — производство, телекоммуникации, ретейл и пр.
С 1 октября 2020 года в силу вступило Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», которое обязывает банки выстроить полноценную систему управления операционным риском.
Одним из основных инструментов этой системы Банк России видит самооценку рисков: «Самооценка операционного риска проводится кредитной организацией в виде анкетирования выделенных для данной процедуры работников подразделений кредитной организации по всем направлениям деятельности, в том числе в разрезе составляющих их процессов».
То есть для банков уже на уровне регулятора закреплено требование вовлекать в управление рисками сотрудников из бизнес-подразделений. Очень вероятно, что многие организации из других отраслей тоже выберут такой подход для выстраивания процессов риск-менеджмента.
— В чем причина такого решения и есть ли подходы, которые помогают наладить совместную работу в области рисков?
— На мой взгляд, это обусловлено тем, что никто не знает процесс лучше, чем его участники. Соответственно и риски процесса лучше всего знают сотрудники, работающие с ними каждый день.
Распространенным путем для обеспечения эффективного взаимодействия между подразделениями является подход трех линий защиты, который предполагает вовлечение всей организации в управление рисками:
Остановимся на выстраивании взаимодействия между первой и второй линиями защиты. Полный жизненный цикл управления риском предполагает непрерывное функционирование этапов:
— Какая роль отводится каждой из линий защиты на этапах жизненного цикла процесса управления рисками и как достичь максимальной эффективности на каждом из них?
— Начну со сбора информации и идентификации рисков. Сотрудники бизнес-подразделений, например департамента розничного бизнеса в банке или отдела логистики в производстве, обладают более полной информацией о процессе выдачи кредита или транспортировки сырья соответственно. Они же — и владельцы риска.
Обладая экспертизой, менеджер по управлению рисками может идентифицировать потенциальную угрозу, классифицировать ее, но именно специалист, ежедневно принимающий заявки на получение кредита и регистрирующий договоры в системах банка, может наиболее точно описать условия потенциальной реализации риска, именно менеджер по логистике может точно обозначить источники и сферу влияния риска.
Определяя риск выдачи кредита по ставке ниже согласованной, риск-менеджер должен получить информацию от исполнителя процесса в виде регламента исполнения процесса, данные о распределении ролей между сотрудниками, задействованными в информационных системах. Оценивая риск срыва срока поставки сырья, риск-менеджер должен узнать, какие существуют в цепочке поставок рамки и ограничения, получить сведения о контрагентах, прецедентах реализации риска.
Система внутреннего контроля на этом этапе должна обладать информацией о наличии контролей в процессе, например контроля четырех глаз, который предотвращает самостоятельное исполнение операции и контроль за ней одним сотрудником. Такую информацию также должны предоставлять непосредственные участники бизнес-процесса.
В производственных процессах контрольные процедуры редко формализованы, но это не означает, что их не существует. Достоверная информация, подтверждающая регулярность работы этих процедур, находится у владельца бизнес-процесса. В таких ситуациях плотное взаимодействие первой и второй линий защиты служит залогом эффективного риск-менеджмента.
— Как происходит оценка рисков?
— Это задача второй линии защиты, а именно риск-менеджеров, которые должны определить, каким образом, с какой частотой будут оцениваться риски, то есть разработать методологию, которая будет обеспечивать адекватную, качественную и полную оценку.
Первая линия защиты на этапе оценки должна привлекаться в качестве экспертов, которые будут оценивать риск с учетом ежедневно накапливаемого опыта и информации о реализации риска в прошлых периодах. Служба внутреннего контроля на этом этапе включает в оценку информацию о контролях процесса, об их операционной эффективности и помогает учесть влияние контрольной среды на уровень риска.
Здесь стоит поговорить о мотивации первой линии защиты правильно и добросовестно оценивать риски. Часто вопрос эффективности самооценки рисков упирается в ряд проблем:
Если говорить о непонимании необходимости оценки и эффекта от нее, то часто оценка риска воспринимается как нечто формальное и бесполезное. Однако организациям следует чаще просвещать бизнес-сотрудников в части основ риск-менеджмента, а именно на примере конкретных подразделений показывать последствия несвоевременной идентификации риска и его недобросовестной оценки. Это могут быть примеры потери компанией крупного заказчика в силу утраты доверия или потери денежных средств в силу мошеннических действий. При этом важно не усилить у сотрудников страх ответственности.
Страх препятствует объективной оценке. Часто среди сотрудников организации можно встретить мнение о том, что если в процессе и есть риски, то только потому, что сами сотрудники не справляются со своими задачами, плохо работают, и первое, что сделает руководство после того, как увидит выявленные риски, — начнет всех наказывать и увольнять. Несмотря на то что организации активно развивают риск-культуру, многие из них в рамках проектов внедрения комплексной системы по управлению рисками одним из первых озвучивают вопрос: «Как заставить сотрудников добросовестно оценивать риски и регистрировать рисковые события?». И здесь руководству важно уйти от концепции «заставить» и начать движение в сторону «помочь» и «стимулировать».
Бывает, что в компании риск-культура развита на высоком уровне, сотрудники понимают, зачем оцениваются риски, но существуют трудности в понимании того, как это можно делать. Организации, стремящиеся к зрелой культуре управления рисками, должны формализовать процедуру оценки риска, разработать шаблоны оценок, простые и понятные анкеты для самооценки.
Полноценное вовлечение сотрудников в управление рисками требует некоторого количества времени, что также препятствует построению эффективного процесса. Руководство не горит желанием отвлекать сотрудников от решения бизнес-задач, а рядовые служащие не хотят тратить время на то, что не входит в их прямые обязанности. Кроме того, часто оценка рисков — это редкое заполнение файлов, которые потом отправляются по почте и забываются до следующей оценки.
В такой ситуации необходимо показать каждому сотруднику, что оценка риска — это не самоцель, а мощный инструмент изменений в компании. Дайте сотрудникам единое пространство для оценки риска, коммуникации с риск-менеджерами и руководством, покажите влияние их оценки на общую оценку риска в организации, пусть они увидят отчеты по рискам, узнают, что оценка риска — это начало большего процесса управления, результатом которого являются оптимизация всех процессов, совершенствование работы каждого участка в организации. Качественно выстроенный процесс — возможность для сотрудника проще и быстрее выполнять собственные KPI и получать соответствующее вознаграждение.
И раз уж мы заговорили об оптимизации, подчеркну, что процессы управления рисками можно и нужно сделать более унифицированными, быстрыми, понятными и эффективными.
Сбор информации и идентификация риска будут осуществляться оперативнее, если дать сотрудникам бизнес-подразделений простой и понятный инструмент для быстрого ввода информации о реализовавшихся событиях или выявленных проблемах. При этом у сотрудников будет возможность сразу же вносить информацию о причинах проблемы и вариантах решения. Этот ресурс можно использовать как пространство для анализа процессов и предложений по их улучшению.
Доступ к этому ресурсу должны иметь как система внутреннего контроля, так и риск-менеджмент, так как при помощи такого ресурса гораздо проще и быстрее запрашивать информацию, актуализировать, разделять или агрегировать ее в зависимости от целей использования.
Потребность в изменении и улучшении процессов гораздо проще донести до руководства, имея в качестве дополнительных аргументов уровень риска процесса и уровень убытков, которые могут быть снижены при реализации этих изменений. Службе внутреннего контроля будет проще «заставить» бизнес-подразделения внедрить контроли, если бизнесу будет доступна и понятна информация о том, какой риск эти контроли призваны исключить и как внедрение контроля позволит изменить шаги процесса, перераспределить задачи, чтобы процесс функционировал максимально эффективно.
— Что происходит на этапе реагирования?
— После идентификации и оценки рисков, а также анализа причин и последствий необходимо принять решение, что с этими рисками делать: оставить все как есть, застраховать деятельность от потенциальных потерь, отказаться от процесса или осуществить действия по минимизации рисков.
Такое решение должно приниматься совместно первой и второй линиями защиты. Если в условиях обособленной работы риск-менеджеры создают план мероприятий, который может включать разработку внутренних контролей, и далее этот план транслируется на бизнес-подразделения, которые обязаны выполнить все предписанные действия, то при комплексном подходе источником предложений и планов мероприятий является первая линия защиты, то есть непосредственные участники бизнес-процесса.
Так, для снижения уровня риска могут быть предложены программа найма и обучения персонала, внедрение дополнительного контроля и пр. В комплексном управлении рисками первая линия защиты должна участвовать в детальной проработке плана, предлагать способы минимизации риска с учетом влияния этого плана не только на уровень риска, но и на эффективность бизнес-процесса.
— Кто и как осуществляет мониторинг?
— Контроль уровня рисков, отслеживание изменений в процессах и сбор статусов исполнения планов — основные инструменты, обеспечивающие руководство актуальной информацией для принятия решений.
На этом этапе инструменты, внедренные второй линией, позволяют бизнесу использовать для принятия решений наиболее актуальную информацию: ключевые индикаторы риска помогут контролировать уровень убытков, статус выполнения планов. Служба внутреннего контроля, со своей стороны, оценивает, как изменится контрольная среда при условии реализации всех планов по минимизации рисков: не появятся ли при этом дополнительные риски, не станут ли какие-то контроли избыточными и не потребуются ли дополнительные ресурсы для проверки процессов.
— Как оценить эффективность управления рисками?
— Отталкиваясь от определения риска в ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство» («Риск — следствие влияния неопределенности на достижение поставленных целей»), можно сказать, что если компания в полной мере достигает своих целей, то рисками управляют эффективно. Однако это очень общий и сложно измеримый показатель. Тем не менее компании могут анализировать эффективность, оценивая уровень потерь от реализации риска, затраты на меры по митигации рисков в сопоставлении с эффектом от таких мер, количество повторяющихся рисковых событий, количество замечаний от внешних проверяющих и др.
Если оценивать, насколько продвинуто компания управляет рисками, то хорошим ориентиром будут уровень риск-культуры, количество сотрудников, пользующихся риск-инструментами, и инициативность бизнеса в части изменений таких инструментов. Например, для мониторинга уровня рисков используются ключевые индикаторы риска (КИР), дизайн которых разрабатывают риск менеджеры, однако при сборе информации по КИР может оказаться, что в таком разрезе показатель неинформативен и никак не отражает реальное положение дел.
— Так как же улучшить процессы, контролировать уровень риска и при этом не отвлекать подразделения от основных задач?
— Обеспечить сотрудникам единое пространство для работы, доступ к одним и тем же ресурсам, инструмент для быстрой коммуникации и оперативной трансляции необходимой информации. Такое пространство — автоматизированная информационная система (АИС) по управлению рисками.
АИС — это мощный инструмент выстраивания коммуникации между различными подразделениями, готовый унифицированный процесс с возможностью увидеть подсказки на каждом шаге, с опциями оперативной трансляции любых комментариев и задач, а также с механизмами отслеживания результатов действий каждого из сотрудников. Простой и современный интерфейс, понятная интерактивная отчетность, доступность анализа различных блоков информации (с соблюдением разграничения полномочий) — дополнительный способ мотивации сотрудников вовлекаться в процессы управления рисками.
Да, системы такого класса в явном виде не приносят компании дополнительной прибыли, однако унифицированные процессы, преднастроенные жизненные циклы согласования, единые справочники, инструменты оперативного мониторинга — это своевременно выявленные актуальные риски, правильно расставленные приоритеты по реагированию, полная информация для принятия решений и как следствие сокращение потерь и оптимизация бизнес-процессов. Важными условиями извлечения максимальной пользы от комплексного подхода к управлению рисками являются грамотно выстроенная ролевая модель, достаточная мотивация и высокий уровень риск-культуры.
В современных условиях высокой неопределенности и постоянных изменений знания о назначении и функционале инструментов риск-менеджмента, их комплексное использование каждым из сотрудников — одни из ключевых факторов достижения организацией ее целей. Поэтому управлять операционным риском должны все.
