Автор:
Алия Мустафина
Методы управления рисками и 3 линии защиты: почему риск-координатор необходим каждой компании
Как бы много ни было сказано и написано о стратегии и отдельно – о методах управления рисками – до сих пор многие успешные управленцы неохотно воспринимают идею тратить время и деньги здесь и сейчас на то, что может стать существенной проблемой в будущем. Оно же неопределенно. Между тем, именно наличие риск-департаментов в банках, которые выжили, а не потерпели крах в финансовом кризисе в итоге стало решающим – так показывает опыт. В нашем обзоре мы изучили основные методы управления рисками, разобрав их преимущества по отдельности, рассмотрели значение трех линий защиты в методике риск-менеджмента с использованием карты гарантий, а также оценили роль риск-координаторов в системе управления рисками и значение уровня их профессионализма для глобальной стратегии компании в целом.
Основные методы управления рисками
Идет ли речь о транснациональной корпорации или небольшом стартапе, избежать рисков со 100%-ной гарантией не получится ни в одном из случаев. Это часть любого нового или уже представленного на рынке дела.
Лучший способ снизить последствия негативного воздействия – взять во внимание методы риск-менеджмента, которые впишутся в структуру внутреннего контроля той или иной компании.
В целом, управление рисками – полезный процесс, при котором риски идентифицируются и контролируются проактивно. Это позволяет компаниям повышать свои шансы на успех за счет минимизации угроз и максимального использования возможностей.
Методы управления рисками на предприятии помогают:
- предотвратить финансовые потери и увеличить доход;
- определить проекты, которые могут привести к проблемам;
- заранее подготовиться к неожиданным угрозам;
- получать достаточно данных для принятия эффективных решений относительно тех или иных проектов и мероприятий;
- улучшить коммуникации между заинтересованными сторонами и проектными командами;
- сосредоточиться командам на ключевых результатах.
На сегодня риск-инструментарий представлен достаточно широко. Существуют методы управления экологическими рисками, методы управления финансовыми рисками, методы управления предпринимательскими рисками, методы управления кредитными рисками, методы управления валютными рисками и т.д. Причем система управления рисками не запрещает использовать имеющиеся инструменты одновременно и взаимовыгодно.
При выстраивании данной интегрированной системы и выборе нужных инструментов помимо сферы деятельности компании значительную роль играют:
- масштабы предприятия,
- нормативная база,
- внутренняя культура и иные условия.
Одним из самых востребованных методов управления рисками на сегодня принято считать страхование, подразумевающее переадресацию ответственности за возмещение возможного ущерба стороннему предприятию. Однако покупка страховки покрывает лишь часть проблемы управления рисками.
Предотвращение, снижение, передачу и удержание также относят к наиболее распространенным методам управления рисками:
- Предотвращение – это устранение возможной опасности, отказ от слишком рисковой деятельности. Например, иски домовладельца об ответственности за укусы собак. Если вы не хотите, чтобы ваша собака кого-то укусила, а вы попали в суд – постарайтесь ею управлять или не заводите собаку.
- Снижение – это процесс уменьшения вероятности предъявления претензии с признанием неизбежности определенных рисков, иными словами, профилактика. Так, домовладелец может установить в своем доме спринклерную систему пожаротушения, систему обнаружения дыма и огнетушитель, чтобы снизить вероятность потерь от пожара или уменьшить общую сумму претензий.
- Передача – это тот самый аутсорсинг или страхование затратных рисковых функций.
- Удержание или принятие риска на себя – это сохранение имеющихся запасов либо создание резервов с целью минимизации риска.
Три линии защиты в методике риск-менеджмента
С развитием системы управления рисками и востребованностью методов их идентификации значительно изменился и штат команд. Сегодня руководители заинтересованы во внутренних аудиторах, специалистах по управлению рисками, комплаенс-менеджерах, сотрудниках внутреннего контроля, инспекторах качества и других экспертах по рискам и контролю.
Каждая из данных специальностей имеет свой уникальный набор навыков, полезных компании, однако и здесь возникают трудности. Зачастую деятельность, связанная с управлением рисками и контролем, подразделена на отделы и департаменты, между которыми возникают как коммуникационные, так и организационные барьеры. Необходима эффективная координация их действий и обязанностей – в целях недопущения продолжающихся споров о том, кто за что отвечает или неправильной трактовки представленной информации.
В начале 2000-х годов международный Институт внутренних аудиторов (IIA) представил так называемую модель Трех линий защиты. Она призвана координировать процессы управления рисками и внутреннего контроля через строгое определение и делегирование необходимого функционала и обязанностей, достигая таким образом поставленных целей.
По словам главного исполнительного директора IIA Р. Чемберса, данная модель рассматривается как основа для надежного управления рисками. Она дает полное представление о том, кто несет ответственность за обеспечение гарантий в структуре организации и на каком уровне.
Модель позволяет по-новому взглянуть на текущие процессы, способствуя улучшению этапов по управлению рисками – в любой организации, независимо от того, представлена в ней формально структура управления рисками или нет. Если говорить о небольших компаниях, как правило, они адаптируют модель под себя, ограничиваясь 1 и 2 линиями.
Модель различает три линии или группы, вовлеченные в эффективное управление рисками:
- группы, владеющие рисками и управляющие ими;
- группы, контролирующие их;
- группы с независимой функцией.
Рассмотрим каждую подробнее.
1 ЛИНИЯ: ОПЕРАЦИОННОЕ УПРАВЛЕНИЕ
В качестве 1-ой линии защиты выступают операционные менеджеры, владеющие и управляющие рисками. Они же несут ответственность за выявление, уменьшение уровня рисков, анализ и подготовку управленческой отчетности по основным рискам.
Также они ответственны за выполнение корректирующих действий и контроль так называемых недостатков при выполнении процедур контроля рисков на ежедневной основе.
Руководители подразделений несут ответственность за организацию «работающей» системы внутреннего контроля, за реализацию контрольных процедур в вверенных им бизнес-процессах, за создание и внедрение регламентирующих нормативных документов. Представители 1-ой линии на регулярной основе задаются вопросами – «Что может пойти не так?» и «Что я сделал, чтобы этого не произошло?».
2 ЛИНИЯ: УПРАВЛЕНИЕ РИСКАМИ
В идеальном мире, возможно, потребуется только одна линия защиты для обеспечения эффективного управления рисками. Однако в реальных условиях такой сценарий неприемлем.
Речь идет о департаментах, ответственных за управление рисками. По их части – методологический подход с определением стандартов и координацией действий в области управления рисками. Сюда нужно отнести установленные процессы, технологии и культуру.
Подразделения из этой линии не отвечают за своевременное выявление и оценку рисков, поскольку это – задача первой линии. Они призваны обеспечить защиту той самой 1-ой линии – при необходимости обучить сотрудников или предоставить рекомендации по разработке и внедрению контрольных процедур, предотвращению мошенничества и т.д.
К ключевым функциям 2-ой линии относят:
- Функцию управления рисками, контроль внедрения эффективного управления рисками в операционное управление, помощь владельцам рисков в выявлении предпосылок подверженности риску.
- Комплаенс-функцию с целью мониторинга различных конкретных рисков, в том числе несоблюдение законов и правил, внутренних нормативных актов и пр.
- Функцию контроля, отслеживающую финансовые риски и вопросы финансовой отчетности.
В состав 2-ой линии в крупных компаниях входят департаменты, ответственные за управление рисками, СВК, безопасность, комплаенс и др., обеспечивающие безостановочный мониторинг процесса создания и действия контрольных процедур.
3 ЛИНИЯ: ВНУТРЕННИЙ АУДИТ
Проводить объективную оценку и согласование уровня рисков, исходя из стратегических задач компании, а также контроль эффективности всей системы управления рисками Совету директору помогают внутренние аудиторы.
Они предоставляют высшему руководству заключения, основанные на независимой оценке, определяют нарушения, разрабатывают рекомендации по доработке и улучшению структуры управления рисками, контролируют функции 1-ой и 2-ой линий защиты и т.д.
Совет директоров, в свою очередь, принимает заключения аудиторов как безоговорочное руководство к принятию соответствующих мер.
Организация профессионального внутреннего аудита в идеальном видении должна быть требованием для всех предприятий. Это важно не только для больших и средних компаний, но и для маленьких, поскольку они так же могут сталкиваться со сложностями при создании организационной структуры для обеспечения эффективного управления рисками.
Лучшее решение для компании – создать и поддерживать независимую и профессиональную службу внутреннего аудита (в том числе из имеющегося кадрового состава специалистов с необходимым опытом), которая:
- действует в соответствии с признанными международными стандартами практики внутреннего аудита;
- подотчетна на достаточно высоком уровне в компании, чтобы иметь возможность самостоятельно выполнять свои обязанности.
Карта гарантий при управлении рисками
Поскольку каждая компания уникальна, а конкретные ситуации различаются, нет единого способа в разработке линий защиты. При координации этапов управления рисками важно правильно разграничить обязанности участников, обеспечив тем самым плодотворное сотрудничество и обмен необходимыми данными между ними, в том числе сбор необходимой отчетности.
Часто при регламентировании зон ответственности прибегают к Карте гарантий. Что это такое?
Это документ, координирующий деятельность подразделений с контрольными функциями на разных уровнях, в который входят следующие данные:
- список имеющихся бизнес-процессов и рисков;
- владельцы риска;
- лица, несущие ответственность за оценку, контроль в отношении того или иного риска.
Создание Карты гарантий допускается при использование внутренних документов – классификатор рисков и процессов, карта рисков и др.
Роль риск-координатора в системе управления рисками
Рассматривая основные методы управления рисками, важно особое внимание уделить работе риск-координаторов и их значительной роли в системе управления в целом.
Координаторы по управлению рисками имеют ряд задач, но, в первую очередь, несут ответственность за минимизацию рисков и потерь организации. Это касается как движения денежных средств, так и имущества или персонала.
Риск-координаторы предпринимают все необходимые шаги для снижения и смягчения рисков для компании, а их повседневные обязанности включают мониторинг тех или иных условий работы, чтение и интерпретацию кодексов, юридических требований для компании, опрос клиентов, ведение переговоров с сотрудниками относительно условий труда и пр.
Координаторы также ответственны за то, чтобы внутри компании отсутствовали факты мошенничества, если же они имеют место быть – от них требуется надлежащее принятие юридических мер для предотвращения последствий.
Для должности риск-менеджеров, как правило, принципиальна степень бакалавра в финансовой области, а также опыт работы в качестве специалиста по убыткам.
Если выделять задачи координатора управления рисками тезисно, они звучат так:
- управление претензиями, расследование инцидентов, анализ рисков с решениями по минимизации воздействия;
- помощь юрисконсульту, право представления компании во время судебных разбирательств;
- проведение программ обучения и проверок по технике безопасности с целью контроля исполнения сотрудниками и клиентами установленных стандартов;
- обновление и внедрение политики управления рисками и стандартов безопасности.
Так или иначе, в далеко нестабильных условиях все больше компаний желают минимизировать свои риски, оградившись от неприятных последствий. Для этого они используют разные методики, рекомендации, программы и платформы. Необходимость выбора обусловлена различными причинами возможных рисков – это могут быть как внешние факторы (форс-мажоры, смена власти, пандемии и пр.), так и внутренние (сбои в поставке товаров, непрофессиональный анализ, некачественное прогнозирование рисков и т.д.).
Качественное моделирование системы внутреннего контроля, профессиональный подход к разработке методологии и регламентов, их внедрение на основе актуальных автоматизированных процедур – это то, что сегодня действительно может помочь организации в достижении поставленных бизнес-целей, с учетом возможных / реальных трудностей и угроз.
При этом риск-менеджмент многовариантен – он не запрещает сочетать в себе стандартные методики одновременно с непривычными, подходящими под сугубо данное рисковое событие.
Как бы много ни было сказано и написано о стратегии и отдельно – о методах управления рисками – до сих пор многие успешные управленцы неохотно воспринимают идею тратить время и деньги здесь и сейчас на то, что может стать существенной проблемой в будущем. Оно же неопределенно. Между тем, именно наличие риск-департаментов в банках, которые выжили, а не потерпели крах в финансовом кризисе в итоге стало решающим – так показывает опыт. В нашем обзоре мы изучили основные методы управления рисками, разобрав их преимущества по отдельности, рассмотрели значение трех линий защиты в методике риск-менеджмента с использованием карты гарантий, а также оценили роль риск-координаторов в системе управления рисками и значение уровня их профессионализма для глобальной стратегии компании в целом.
Основные методы управления рисками
Идет ли речь о транснациональной корпорации или небольшом стартапе, избежать рисков со 100%-ной гарантией не получится ни в одном из случаев. Это часть любого нового или уже представленного на рынке дела.
Лучший способ снизить последствия негативного воздействия – взять во внимание методы риск-менеджмента, которые впишутся в структуру внутреннего контроля той или иной компании.
В целом, управление рисками – полезный процесс, при котором риски идентифицируются и контролируются проактивно. Это позволяет компаниям повышать свои шансы на успех за счет минимизации угроз и максимального использования возможностей.
Методы управления рисками на предприятии помогают:
- предотвратить финансовые потери и увеличить доход;
- определить проекты, которые могут привести к проблемам;
- заранее подготовиться к неожиданным угрозам;
- получать достаточно данных для принятия эффективных решений относительно тех или иных проектов и мероприятий;
- улучшить коммуникации между заинтересованными сторонами и проектными командами;
- сосредоточиться командам на ключевых результатах.
На сегодня риск-инструментарий представлен достаточно широко. Существуют методы управления экологическими рисками, методы управления финансовыми рисками, методы управления предпринимательскими рисками, методы управления кредитными рисками, методы управления валютными рисками и т.д. Причем система управления рисками не запрещает использовать имеющиеся инструменты одновременно и взаимовыгодно.
При выстраивании данной интегрированной системы и выборе нужных инструментов помимо сферы деятельности компании значительную роль играют:
- масштабы предприятия,
- нормативная база,
- внутренняя культура и иные условия.
Одним из самых востребованных методов управления рисками на сегодня принято считать страхование, подразумевающее переадресацию ответственности за возмещение возможного ущерба стороннему предприятию. Однако покупка страховки покрывает лишь часть проблемы управления рисками.
Предотвращение, снижение, передачу и удержание также относят к наиболее распространенным методам управления рисками:
- Предотвращение – это устранение возможной опасности, отказ от слишком рисковой деятельности. Например, иски домовладельца об ответственности за укусы собак. Если вы не хотите, чтобы ваша собака кого-то укусила, а вы попали в суд – постарайтесь ею управлять или не заводите собаку.
- Снижение – это процесс уменьшения вероятности предъявления претензии с признанием неизбежности определенных рисков, иными словами, профилактика. Так, домовладелец может установить в своем доме спринклерную систему пожаротушения, систему обнаружения дыма и огнетушитель, чтобы снизить вероятность потерь от пожара или уменьшить общую сумму претензий.
- Передача – это тот самый аутсорсинг или страхование затратных рисковых функций.
- Удержание или принятие риска на себя – это сохранение имеющихся запасов либо создание резервов с целью минимизации риска.
Три линии защиты в методике риск-менеджмента
С развитием системы управления рисками и востребованностью методов их идентификации значительно изменился и штат команд. Сегодня руководители заинтересованы во внутренних аудиторах, специалистах по управлению рисками, комплаенс-менеджерах, сотрудниках внутреннего контроля, инспекторах качества и других экспертах по рискам и контролю.
Каждая из данных специальностей имеет свой уникальный набор навыков, полезных компании, однако и здесь возникают трудности. Зачастую деятельность, связанная с управлением рисками и контролем, подразделена на отделы и департаменты, между которыми возникают как коммуникационные, так и организационные барьеры. Необходима эффективная координация их действий и обязанностей – в целях недопущения продолжающихся споров о том, кто за что отвечает или неправильной трактовки представленной информации.
В начале 2000-х годов международный Институт внутренних аудиторов (IIA) представил так называемую модель Трех линий защиты. Она призвана координировать процессы управления рисками и внутреннего контроля через строгое определение и делегирование необходимого функционала и обязанностей, достигая таким образом поставленных целей.
По словам главного исполнительного директора IIA Р. Чемберса, данная модель рассматривается как основа для надежного управления рисками. Она дает полное представление о том, кто несет ответственность за обеспечение гарантий в структуре организации и на каком уровне.
Модель позволяет по-новому взглянуть на текущие процессы, способствуя улучшению этапов по управлению рисками – в любой организации, независимо от того, представлена в ней формально структура управления рисками или нет. Если говорить о небольших компаниях, как правило, они адаптируют модель под себя, ограничиваясь 1 и 2 линиями.
Модель различает три линии или группы, вовлеченные в эффективное управление рисками:
- группы, владеющие рисками и управляющие ими;
- группы, контролирующие их;
- группы с независимой функцией.
Рассмотрим каждую подробнее.
1 ЛИНИЯ: ОПЕРАЦИОННОЕ УПРАВЛЕНИЕ
В качестве 1-ой линии защиты выступают операционные менеджеры, владеющие и управляющие рисками. Они же несут ответственность за выявление, уменьшение уровня рисков, анализ и подготовку управленческой отчетности по основным рискам.
Также они ответственны за выполнение корректирующих действий и контроль так называемых недостатков при выполнении процедур контроля рисков на ежедневной основе.
Руководители подразделений несут ответственность за организацию «работающей» системы внутреннего контроля, за реализацию контрольных процедур в вверенных им бизнес-процессах, за создание и внедрение регламентирующих нормативных документов. Представители 1-ой линии на регулярной основе задаются вопросами – «Что может пойти не так?» и «Что я сделал, чтобы этого не произошло?».
2 ЛИНИЯ: УПРАВЛЕНИЕ РИСКАМИ
В идеальном мире, возможно, потребуется только одна линия защиты для обеспечения эффективного управления рисками. Однако в реальных условиях такой сценарий неприемлем.
Речь идет о департаментах, ответственных за управление рисками. По их части – методологический подход с определением стандартов и координацией действий в области управления рисками. Сюда нужно отнести установленные процессы, технологии и культуру.
Подразделения из этой линии не отвечают за своевременное выявление и оценку рисков, поскольку это – задача первой линии. Они призваны обеспечить защиту той самой 1-ой линии – при необходимости обучить сотрудников или предоставить рекомендации по разработке и внедрению контрольных процедур, предотвращению мошенничества и т.д.
К ключевым функциям 2-ой линии относят:
- Функцию управления рисками, контроль внедрения эффективного управления рисками в операционное управление, помощь владельцам рисков в выявлении предпосылок подверженности риску.
- Комплаенс-функцию с целью мониторинга различных конкретных рисков, в том числе несоблюдение законов и правил, внутренних нормативных актов и пр.
- Функцию контроля, отслеживающую финансовые риски и вопросы финансовой отчетности.
В состав 2-ой линии в крупных компаниях входят департаменты, ответственные за управление рисками, СВК, безопасность, комплаенс и др., обеспечивающие безостановочный мониторинг процесса создания и действия контрольных процедур.
3 ЛИНИЯ: ВНУТРЕННИЙ АУДИТ
Проводить объективную оценку и согласование уровня рисков, исходя из стратегических задач компании, а также контроль эффективности всей системы управления рисками Совету директору помогают внутренние аудиторы.
Они предоставляют высшему руководству заключения, основанные на независимой оценке, определяют нарушения, разрабатывают рекомендации по доработке и улучшению структуры управления рисками, контролируют функции 1-ой и 2-ой линий защиты и т.д.
Совет директоров, в свою очередь, принимает заключения аудиторов как безоговорочное руководство к принятию соответствующих мер.
Организация профессионального внутреннего аудита в идеальном видении должна быть требованием для всех предприятий. Это важно не только для больших и средних компаний, но и для маленьких, поскольку они так же могут сталкиваться со сложностями при создании организационной структуры для обеспечения эффективного управления рисками.
Лучшее решение для компании – создать и поддерживать независимую и профессиональную службу внутреннего аудита (в том числе из имеющегося кадрового состава специалистов с необходимым опытом), которая:
- действует в соответствии с признанными международными стандартами практики внутреннего аудита;
- подотчетна на достаточно высоком уровне в компании, чтобы иметь возможность самостоятельно выполнять свои обязанности.
Карта гарантий при управлении рисками
Поскольку каждая компания уникальна, а конкретные ситуации различаются, нет единого способа в разработке линий защиты. При координации этапов управления рисками важно правильно разграничить обязанности участников, обеспечив тем самым плодотворное сотрудничество и обмен необходимыми данными между ними, в том числе сбор необходимой отчетности.
Часто при регламентировании зон ответственности прибегают к Карте гарантий. Что это такое?
Это документ, координирующий деятельность подразделений с контрольными функциями на разных уровнях, в который входят следующие данные:
- список имеющихся бизнес-процессов и рисков;
- владельцы риска;
- лица, несущие ответственность за оценку, контроль в отношении того или иного риска.
Создание Карты гарантий допускается при использование внутренних документов – классификатор рисков и процессов, карта рисков и др.
Роль риск-координатора в системе управления рисками
Рассматривая основные методы управления рисками, важно особое внимание уделить работе риск-координаторов и их значительной роли в системе управления в целом.
Координаторы по управлению рисками имеют ряд задач, но, в первую очередь, несут ответственность за минимизацию рисков и потерь организации. Это касается как движения денежных средств, так и имущества или персонала.
Риск-координаторы предпринимают все необходимые шаги для снижения и смягчения рисков для компании, а их повседневные обязанности включают мониторинг тех или иных условий работы, чтение и интерпретацию кодексов, юридических требований для компании, опрос клиентов, ведение переговоров с сотрудниками относительно условий труда и пр.
Координаторы также ответственны за то, чтобы внутри компании отсутствовали факты мошенничества, если же они имеют место быть – от них требуется надлежащее принятие юридических мер для предотвращения последствий.
Для должности риск-менеджеров, как правило, принципиальна степень бакалавра в финансовой области, а также опыт работы в качестве специалиста по убыткам.
Если выделять задачи координатора управления рисками тезисно, они звучат так:
- управление претензиями, расследование инцидентов, анализ рисков с решениями по минимизации воздействия;
- помощь юрисконсульту, право представления компании во время судебных разбирательств;
- проведение программ обучения и проверок по технике безопасности с целью контроля исполнения сотрудниками и клиентами установленных стандартов;
- обновление и внедрение политики управления рисками и стандартов безопасности.
Так или иначе, в далеко нестабильных условиях все больше компаний желают минимизировать свои риски, оградившись от неприятных последствий. Для этого они используют разные методики, рекомендации, программы и платформы. Необходимость выбора обусловлена различными причинами возможных рисков – это могут быть как внешние факторы (форс-мажоры, смена власти, пандемии и пр.), так и внутренние (сбои в поставке товаров, непрофессиональный анализ, некачественное прогнозирование рисков и т.д.).
Качественное моделирование системы внутреннего контроля, профессиональный подход к разработке методологии и регламентов, их внедрение на основе актуальных автоматизированных процедур – это то, что сегодня действительно может помочь организации в достижении поставленных бизнес-целей, с учетом возможных / реальных трудностей и угроз.
При этом риск-менеджмент многовариантен – он не запрещает сочетать в себе стандартные методики одновременно с непривычными, подходящими под сугубо данное рисковое событие.
Комментариев ещё нет.