Вы находитесь на странице: 1из 105

Управление рисками организаций

Интегрированная модель

COSO ERM
Содержание презентации

1. Обзор основных принципов


2. Внутренняя среда
3. Постановка целей
4. Выявление потенциальных событий
5. Оценка рисков
6. Реагирование на риски
7. Контрольные процедуры
8. Информация и коммуникация
9. Мониторинг
10. Функции и обязанности
11. Ограничения СРМ

2
1. ОБЗОР ОСНОВНЫХ ПРИНЦИПОВ

COSO ERM
Стандартизация РМ
COSO Internal Control – Integrated Framework 1992 г.
Внутренний контроль. Свод общих положений

Система критериев контроля (Канада) 1995 г .

Базельское соглашение II 2001 г.


Базельский комитет по банковскому надзору

Кодекс корпоративного управления


Тернбулла (Великобритания) 2003 г.

Стандарты управления рисками FERMA 2003 г.


Федерация европейских ассоциаций риск-менеджеров

Управление рисками COSO ERM 2001 – 2004 г.г.

ERM: Frameworks, Elements, and Integration 2006 г.


Institute of Management Accountants

ISACA. Cobit 5, Risk IT постоянное


Information Systems Audit and Control Association обновление

4
Стандарты РМ в России
Кодекс корпоративного управления РФ

ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения


ГОСТ Р МЭК 61160-2006 Менеджмент риска. Формальный анализ проекта
ГОСТ Р 51901.4-2005 Менеджмент риска. Руководство по применению при проектировании
ГОСТ Р 51901.3-2007 Менеджмент риска. Руководство по менеджменту надежности
ГОСТ Р 51901.13-2005 Менеджмент риска. Анализ дерева неисправностей
ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем
ГОСТ Р 51901.12-2007 Менеджмент риска. Метод анализа видов и последствий отказов
ГОСТ Р ИСОМЭК 16085-2007 Менеджмент риска. Применение в процессах жизненного цикла
систем и программного обеспечения

ГОСТ Р 51705.1-2001 Системы качества. Управление качеством пищевых продуктов на основе


принципов ХАССП. Общие требования
ГОСТ Р ИСО 14971-2006 Изделия медицинские. Применение менеджмента риска к
медицинским изделиям

Классификация видов экономической деятельности по классам профессионального риска

Положение о системе независимой оценки рисков в области пожарной безопасности


Правила проведения расчетов по оценке пожарного риска
Руководство по оценке пожарного риска
Правила оценки соответствия объектов защиты установленным требованиям пожарной
безопасности

5
Стандарты COSO
COSO
Committee of Sponsoring Organizations of the Treadway Commission
Комитет спонсорских организаций Комиссии Трэдуэй

2004
Enterprise Risk Management
Управление рисками организаций
Volume 1 - Integrated Framework (COSO ERM Framework)
Том1. Интегрированная модель. Свод общих положений
Volume 2 - Application Techniques
Том2. Методы применения

2010
Developing Key Risk Indicators to Strengthen Enterprise Risk Management
Разработка ключевых индикаторов риска, чтобы усилить управление рисками
2011
Embracing Enterprise Risk Management: Practical Approaches for Getting Started
Охват управления рисками: практические подходы для быстрого старта
6
Неопределенность и стоимость
Каждая компания действует с целью увеличения своей стоимости
для заинтересованных сторон.
Все организации сталкиваются с неопределенностью.
Стоимость компании:
создается,
сохраняется
или уменьшается
в зависимости от решений, принимаемых руководством.

Главная цель для компаний Группы «ПРОТЕК» -


увеличение стоимости для их акционеров

Рост стоимости будет максимальным, если руководство определяет стратегию и


цели таким образом, чтобы обеспечить оптимальный баланс между:

ростом компании, ее прибыльностью и рисками.


7
События – риски и возможности

Событие – это происшествие или случай, имеющий внутренний или внешний


источник по отношению к организации и оказывающий влияние на достижение
поставленных целей
Влияние событий на организацию может быть положительным, отрицательным
или смешанным

Риск – это:
событие (или состояние),
имеющее вероятностный характер,
возникновение которого окажет
отрицательное воздействие на достижение поставленных целей

Возможность – это событие (или состояние),


имеющее вероятностный характер,
возникновение которого окажет положительное
воздействие на достижение поставленных целей
8
Управление рисками компании
Управление рисками компании – это:

процесс,
осуществляемый Советом директоров, менеджерами и другими сотрудниками,
который начинается при разработке стратегии
и затрагивает всю деятельность компании.

Он направлен на выявление потенциальных событий,


которые могут влиять на компанию,
и управление связанным с этими событиями риском,
а также контроль за непревышением риск-аппетита компании и

предоставлением разумной уверенности в достижении целей компании.

9
Риск - аппетит
Риск-аппетит –
это степень риска, которую компания в целом считает для себя
допустимой в процессе создания стоимости.
Другие термины: толерантность (терпимость) к риску

Многие компании оценивают риск-аппетит в качественном выражении


(высокий, средний или низкий),
другие используют количественные измерители,
отражающие цели в отношении роста, доходности и риска.

Допустимые уровни риска

Допустимый уровень риска представляет собой


приемлемый уровень отклонения от поставленной цели.

10
Достижение целей
Стандарт COSO ERM выделяет 4 основных категории целей:

1. Стратегические –
цели высокого уровня, соотнесенные с миссией/видением компании

2. Операционные -
цели, относящиеся к обеспечению экономичного и производительного
использования ресурсов компании.

3. Цели в области подготовки отчетности –


цели, относящиеся к обеспечению достоверности различных видов отчетности
компании

4. Цели в области соответствия требованиям –


цели, относящиеся к соответствию компании требованиям внешнего
законодательства, внутренних нормативных документов, договорным
обязательствам и др.

11
Компоненты процесса управления рисками
Процесс управления рисками состоит из 8 взаимосвязанных компонентов:

1. Внутренняя среда
2. Постановка целей
3. Выявление потенциальных событий
4. Оценка рисков
5. Реагирование на риски
6. Контрольные процедуры
7. Информация и коммуникация
8. Мониторинг

12
Компоненты процесса управления рисками
Внутренняя среда
Является фундаментом Оценка рисков
управления рисками. • Риски анализируются
Включает: с учетом вероятности
• Совет Директоров; их возникновения и
• Философию управления степени влияния с
рисками; целью определения
• Риск аппетит; того, какие действия
• Честность и этические в отношении них
ценности;
необходимо
• Важность компетенции;
предпринять.
• Организационную структуру;
• Риски оцениваются с
• Делегирование полномочий и
распределение точки зрения
ответственности; присущего и
• Стандарты управления остаточного риска.
персоналом.

Постановка целей Выявление потенциальных


• Цели должны быть событий
определены до того как • Внутренние и внешние
руководство начнет выявлять
события, которые могут события, оказывающие
оказать влияние на их влияние на достижение целей
достижение; организации, должны
• Руководство компании имеет определяться с учетом их
правильно организованный разделения на риски или
процесс выбора и
формирования целей, и эти возможности;
цели соответствуют миссии • Возможности должны
организации и уровню ее учитываться руководством в
риск-аппетита процессе Формирования
стратегии и постановки целей. 13
Компоненты процесса управления рисками

Реагирование на риск Мониторинг


• Руководство выбирает • Весь процесс управления
метод реагирования на рисками организации
риск: отслеживается и
- избежание риска; по необходимости
- принятие; корректируется;
- снижение; • Мониторинг
- передача. осуществляется в
• Разработанные рамках текущей
мероприятия деятельности
позволяют привести руководства или путем
выявленный риск в проведения
соответствие с допустимым периодических оценок.
уровнем риска и риск-
аппетитом компании.

Контрольные процедуры Информация и коммуникация


• Политики и процедуры • Необходимая информация
разработаны и определяется, фиксируется и
установлены таким передается в такой форме и в
образом, чтобы такие сроки, которые
обеспечивать «разумную» позволяют сотрудникам
гарантию того, что выполнять их обязанности;
реагирование на • Эффективный обмен
возникающий риск информацией в рамках
происходит эффективно и организации по вертикали и
своевременно. по горизонтали.

14
Матрица - куб процесса управления рисками
Существует прямая взаимосвязь между целями, компонентами процесса
управления рисками и структурой компании:

4 категории целей – стратегические, операционные, цели в области подготовки


отчетности и соответствия требованиям – представлены на верхней грани куба.

8 компонентов управления рисками представлены в горизонтальных рядах.

Структура компании и ее подразделений представлены в вертикальных рядах.

15
Эффективность процесса управления рисками
Оценка эффективности процесса управления рисками в
компании является предметом суждения, формирующегося в
результате оценки наличия и эффективного функционирования
всех 8 компонентов управления рисками.
Компоненты эффективно функционируют, если:
 отсутствуют существенные недостатки,
 риски должны быть сведены к пределам, не выходящим за рамки
риск - аппетита данной компании

Вопрос: можно ли оценивать эффективность


процесса управления рисками
путем соотнесения с результатами деятельности компании,
а не на основе суждений относительно
наличия и функционирования всех его компонентов?
«Победителей не судят»?
16
Эффективность процесса управления рисками
Если процесс управления рисками организации считается эффективным по
каждой из 4 категорий целей, то
Совет директоров и руководство имеют разумную уверенность в том, что:
• они обладают информацией о том, насколько стратегические цели
компании достигаются;
• они обладают информацией о том, насколько операционные цели
компании достигаются;
• все виды отчетности компании являются достоверными;
• деятельность компании соответствует требованиям
законодательства и ВНД.

Таким образом,
для того чтобы процесс управления рисками
мог считаться эффективным,
должны присутствовать и эффективно
функционировать все 8 компонентов
с учетом принципов, изложенных
в последующих разделах.
17
Сравнение стандартов COSO
Внутренний контроль (COSO IC) Управление рисками (COSO ERM)
Определение
Внутренний контроль – это процесс, Управление рисками – это процесс, осуществляемый Советом
осуществляемый Советом директоров, директоров, менеджерами и другими сотрудниками, который
менеджментом и другим персоналом начинается при разработке стратегии и затрагивает всю деятельность
организации, направленный на организации. Он направлен на выявление потенциальных событий,
обеспечение разумной уверенности в которые могут влиять на организацию, и управление связанным с
достижении целей по 3 основным этими событиями риском, а также контроль за непревышением риск-
категориям. аппетита организации и предоставлением разумной уверенности в
достижении целей организации
Категории целей
1. Эффективность и результативность 1. Стратегические – цели высокого уровня, соотнесенные с
деятельности миссией/видением организации;
2. Операционные – цели, относящиеся к обеспечению экономичного
и производительного использования ресурсов организации
2. Достоверность финансовой отчетности 3. Цели в области подготовки отчетности – цели, относящиеся к
обеспечению достоверности различных видов отчетности
организации
3. Соответствие применимым 4. Цели в области соответствия требованиям – цели, относящиеся к
требованиям: внешнего законодательства, соответствию организации требованиям внешнего законодательства,
ВНД и др. внутренних нормативных документов и др.
Основные компоненты
1. Контрольная среда 1. Внутренняя среда
2. Постановка целей
2. Оценка и управление рисками 3. Выявление потенциальных событий
4. Оценка рисков
5. Реагирование на риски
3. Контрольные процедуры 6. Контрольные процедуры
4. Обмен информацией и коммуникации 7. Информация и коммуникация
5. Мониторинг 8. Мониторинг
18
2. ВНУТРЕННЯЯ СРЕДА

COSO ERM
Сильная внутренняя среда
В какой компании Вы хотели бы работать?
Слабая внутренняя среда Сильная внутренняя среда
Философия управления рисками
Пренебрежение управлением рисками Эффективное управление рисками по всем 8
Сознательное нарушение установленных компонентам
правил и процедур Соблюдение установленных правил и процедур
Расхождение декларируемых принципов и Соответствие декларируемых принципов и
реальных поступков поступков
Риск-аппетит
Принятие неоправданных рисков без Реагирование на риски в соответствии с
надлежащего управления (реагирования) установленным риск-аппетитом
Честность и этические ценности
Мошенничество: Ведение бизнеса в принятых стандартах поведения,
1. Присвоение активов основанных на честности и соблюдении этических
2. Коррупция принципов
3. Манипуляции с финансовой
отчетностью
Неэтичное поведение
Компетентность руководства и персонала
Некомпетентность руководства и Компетентность руководства и сотрудников
сотрудников
Делегирование полномочий
Передача большого (неограниченного) Делегирование полномочий в необходимых рамках
объема полномочий без надлежащего с эффективным последующим контролем
контроля
Управление кадрами
Отсутствие адекватных процедур проверки Адекватные стандарты и правила в областях
кандидатов при приеме на работу приема на работу, назначения на должности,
Необоснованное продвижении по службе продвижения, оценки, обучения, вознаграждения и
Неадекватная система вознаграждений и мер воздействия
мер административного (дисциплинарного
воздействия)
Отсутствие обучения сотрудников 20
3. ПОСТАНОВКА ЦЕЛЕЙ

COSO ERM
Стратегические цели и стратегии

Стратегические цели – это цели самого высокого уровня.


Стратегии отражают выбор руководством подхода, которого компания будет
придерживаться в процессе создания стоимости.

Капитализация
$ 500 млн.
При анализе альтернативных
собственных оригинальных препаратов

возможностей достижения стратегических


целей руководство определяет риски,
Разработка и внедрение

производственного портфеля
связанные с различными стратегиями и
Органическое расширение

рассматривает их возможные
последствия.
етение
Приобр Контрак
в и др. тн
произво ое
патенто дство
НМА
M&A
Сделки

Капитализация
$ 250 млн.

22
Тактические цели
По результатам определения стратегических целей и стратегии руководство
разрабатывает тактические цели на уровне компании и конкретные цели на более
низких уровнях по различным видам деятельности: продажи, производство,
инженерные разработки и организация инфраструктуры и т.д.
Стратегическая цель:
увеличить стоимость производственной компании
в течение 5 лет с $250 млн. до $500 млн.

Выбранная стратегия:
органическое развитие собственного портфеля за счет регулярного его
пополнения перспективными дженериками, способными обеспечить валовой доход не
менее $5 млн. на третий год его продвижения.

Тактические операционные цели:


Отдел Обеспечить поиск и обоснование возможности ежегодного введения в портфель не менее
исследований и 10 новых препаратов, способных обеспечить не менее $5 млн. валовой прибыли на
разработок третий год их продвижения
Производственный Обеспечить своевременную подготовку и запуск в производство новых препаратов,
департамент представленных ОИиР
Департамент Обеспечить ежегодный прирост валовой прибыли по новым препаратам не менее $30 млн.
маркетинга
23
Категории тактических целей
Операционные цели - соответствующие цели второго уровня, касающиеся вопросов:
 эффективности и производительности компании
 обеспечения сохранности ресурсов.
Они определяют желаемые параметры эффективности
и показывают, насколько рационально организация ведет
свою хозяйственную деятельность.

Цели в области подготовки отчетности - связаны


с обеспечением достоверности всех видов отчетности.
Они охватывают внутреннюю и внешнюю отчетность
как финансового, так и нефинансового характера.

Цели в области соответствия требованиям - связаны


с обеспечением соответствия применимым требованиям:
действующему законодательству, требованиям ВНД,
контрактным обязательствам и др.
24
Сравнение стандартов COSO по компоненте «Цели»

Внутренний контроль (COSO IC) Управление рисками (COSO ERM)

Категории целей

<Аналог отсутствует> 1. Стратегические – цели высокого уровня,


соотнесенные с миссией/видением организации;
1. Эффективность и результативность 2. Операционные – цели, относящиеся к
деятельности обеспечению экономичного и производительного
использования ресурсов организации
2. Достоверность финансовой отчетности 3. Цели в области подготовки отчетности –
обеспечение достоверности различных видов
отчетности организации
3. Соответствие применимым 4. Цели в области соответствия требованиям –
требованиям: внешнего законодательства, соответствие организации требованиям внешнего
ВНД и др. законодательства, внутренних нормативных
документов и др.

25
Пределы контроля над достижением целей
Достижение целей, относящихся к категориям
«Обеспечение достоверности отчетности» и
«Соответствие требованиям законодательства и ВНД»
находится в пределах контроля компании
и напрямую зависит от того, насколько эффективно в ней
осуществляется соответствующая деятельность.

Достижение стратегических или операционных целей


не всегда находится под контролем компании.
Управление рисками не может предотвратить неверных оценок,
решений или внешних событий, которые не позволят компании
достичь поставленных стратегических или операционных целей.

Тем не менее,
процесс управления рисками увеличивает вероятность
того, что руководство примет наиболее правильное решение.

26
Риск-Аппетит
Риск-аппетит –
это степень риска, которую компания в целом считает для себя допустимой
в процессе создания стоимости. Риск-аппетит на уровне компании
устанавливается Советом директоров.
Компании оценивают риск-аппетит как в качественном выражении (высокий, средний
или низкий), так и с помощью количественных измерителей.

Пример.
Компания №1 с высоким риск-аппетитом может использовать любую
возможность неоднозначного толкования налогового законодательства в
свою пользу для уменьшения суммы уплачиваемых налогов в текущем
периоде, рассчитывая в дальнейшем при налоговой проверке отстоять свою
позицию, в т.ч. в судебном порядке.

Компания №2 с низким риск-аппетитом, напротив, может использовать в


такой же ситуации консервативный подход, уплачивая большую сумму
налогов в отчетном периоде, но при этом избегая возможных штрафных
санкций в виде пеней и штрафов по результатам налоговых проверок.

27
Допустимые уровни риска
Допустимый уровень риска представляет собой приемлемый уровень
отклонения от поставленной цели.
Поскольку допустимый уровень риска связан с целями компании, его лучше всего
измерять в тех же единицах, что и соответствующую цель.

Пример 1. Компания устанавливает:


 плановый показатель поставок, произведенных вовремя, равным 98%
с допустимым отклонением по времени в интервале 97-100%;
 плановый показатель по обучению сотрудников – 90% успешно прошедших
тестирование при минимальном приемлемом значении 75%;
 сотрудники должны обрабатывать жалобы клиентов в течение 24 часов,
но считается приемлемым, что до 25% жалоб могут обрабатываться в
течение 24-36 часов.

Пример 2. Недостача в сумме 300 тыс. рублей считается:


«Нормальной» при инвентаризации товарного запаса на крупном складе;
«Недопустимой» при инвентаризации денежных средств в кассе компании.

28
Риск-Аппетит
Имея общую картину рисков на каждом уровне компании, руководство оценивает
взаимосвязанные риски с интегрированной точки зрения на уровне компании в целом:
1. Риски отдельных подразделений могут соответствовать допустимым уровням риска,
установленным для этих подразделений, но в совокупности могут превышать
риск-аппетит компании в целом (кумулятивный эффект).
2. События могут представлять риск для одного подразделения, который следовало
бы признать неприемлемым, если бы не уравновешивающее влияние другого
подразделения (компенсирующий эффект).

Взаимосвязанные риски подлежат выявлению и управлению с тем, чтобы совокупный


риск соответствовал риск-аппетиту компании.

Пример 1. Риск-аппетит по снижению чистой прибыли для всей Группы компаний


был установлен на уровне 10%. После этого для каждой компании Группы были
рассчитаны и доведены свои уровни риск-аппетитов в денежном выражении,
пропорциональные их вкладу в этот показатель.

Пример 2. В консолидированной ФО по МСФО Группы компаний начисляется резерв


по налоговым рискам на уровне 50 млн. руб. в год. Исходя из этого, для каждой
компании Группы рассчитывается свой уровень резерва, пропорциональный валовому
доходу компании.
29
Разумная уверенность
Грамотное построение и внедрение
процесса управления рисками
может дать руководству и Совету директоров
разумную уверенность в
достижении целей компании.

Формулировка «разумная уверенность»


отражает тот факт, что неопределенность и риск
относятся к будущему, которое
никто не может предсказать точно.

Разумная уверенность не является абсолютной.


Даже эффективный процесс управления рисками
может дать сбой (в отдельном разделе
рассматриваются ограничения
процесса управления рисками).
30
4. ВЫЯВЛЕНИЕ
ПОТЕНЦИАЛЬНЫХ СОБЫТИЙ

COSO ERM
События – риски и возможности

Событие – это происшествие или случай, имеющий внутренний или внешний


источник по отношению к организации и оказывающий влияние на достижение
поставленных целей
Влияние событий на организацию может быть положительным, отрицательным
или смешанным

Риск – это:
событие (или состояние),
имеющее вероятностный характер,
возникновение которого окажет
отрицательное воздействие на достижение поставленных целей

Возможность – это событие (или состояние),


имеющее вероятностный характер,
возникновение которого окажет положительное
воздействие на достижение поставленных целей
32
Внешние факторы влияния
Экономические
К ним относятся изменение уровня цен, доступности капитала или снижение барьеров
для входа на рынок конкурентов. Эти события ведут к увеличению или уменьшению
стоимости капитала и появлению новых конкурентов.
Природные
К ним относятся наводнения, пожары, землетрясения, которые наносят ущерб
оборудованию или зданиям, ограничивают доступ к сырьевым ресурсам или приводят
к потерям человеческих ресурсов.
Политические
К ним относятся выборы, приводящие к смене политического курса, а также принятие
новых законов, в результате которых, например, открывается или ограничивается
доступ на иностранные рынки или происходит снижение или увеличение налогов.
Социальные
К ним относятся изменение демографической ситуации, изменение структуры семьи и
сдвиг приоритетов в выборе между работой/личной жизнью, а также террористические
акты. Они ведут к изменению спроса на продукты, появлению новых мест совершения
покупок и проблем с человеческими ресурсами, а также к остановке производства.
Технологические
Примеры: развитие электронной коммерции, приводящее к повышению доступности
данных и снижению затрат на инфраструктуру, а также к увеличению спроса на услуги,
основанные на применении высоких технологий. 33
Внутренние факторы влияния
Инфраструктурные
К событиям в этой области можно отнести увеличение капитала, выделяемого на
профилактическое техническое обслуживание и поддержку горячей линии для
потребителей, снижение количества случаев простоев оборудования и повышение
уровня удовлетворенности клиентов.
Кадровые
К этой группе относятся аварии на рабочем месте, мошенничество, расторжение
трудовых соглашений. Они ведут к потере персонала, денежному ущербу, ухудшению
репутации и остановке производства.
Операционные
К ним относятся изменения бизнес-процессов без применения соответствующих
процедур по управлению изменениями, ошибки при их выполнении, передача работ на
аутсорсинг без надлежащего контроля со стороны компании. Такие события приводят к
потере доли рынка, неэффективности процессов и неудовлетворенности покупателей.
Технологические
Эти события включают увеличение ресурсов, необходимых для обработки
изменяющегося объема данных, сбои в системах безопасности, потенциальные
простои информационных систем. Они ведут к накоплению невыполненных заказов,
мошенничеству и неспособности продолжать хозяйственную деятельность.

34
Методы определения событий
Методология определения событий организации может включать сочетание
различных методов и вспомогательных средств.

Методы выявления потенциальных событий предполагают анализ как


прошлого, так и будущего.

Перечень обычных методов выявления потенциальных событий:


1. Реестр потенциальных событий
2. Направляемые семинары
3. Интервью
4. Вопросники и опросы
5. Анализ процессов
6. Отслеживание данных по событиям, связанным с убытками
7. Текущее выявление потенциальных событий

35
Реестр потенциальных событий
Руководство использует реестры типовых потенциальных событий
для определенной отрасли или функциональной области.

Реестр разрабатывается специалистами компании


на основе внутренних данных или
на основе внешних типовых реестров.

При использования внешних реестров они дорабатываются и адаптируются


с учетом специфики деятельности компании таким образом, чтобы
обеспечить наилучшее отражение рисков компании и соответствие единому
принятой в ней терминологии управления рисками.
Пример:
Выдержка из Приказ Минздрава РФ и Минэкономики РФ от 3 декабря 1999 г. N 432/512
"О введении в действие Стандарта отрасли ОСТ 42-510-98 "Правила организации
производства и контроля качества лекарственных средств (GMP)"

«…Наиболее часто встречаются ошибки двух типов:


- перекрестная контаминация;
- смешивание и/или перепутывание готовых продуктов.»
36
Направляемые семинары
Направляемые семинары по выявлению потенциальных событий обычно
проводятся с участием специалистов различных функциональных
подразделений и различного уровня с целью использования коллективных
знаний группы («мозговой штурм») для разработки реестра событий,
относящихся, например, к стратегическим целям компании, целям
хозяйственного подразделения или бизнес-процесса.

Результаты семинаров обычно зависят от


квалификации организатора семинара,
а также объема и глубины информации,
которую обсуждают их участники.

В процессе постановки стратегии некоторые организации проводят семинары


с участием высшего руководства по определению событий, которые могут
оказать влияние на достижение стратегических корпоративных целей.
37
Интервью
Интервью обычно проводятся один на один, иногда интервьюера
сопровождает коллега, ведущий записи.
Цель заключается в том, чтобы выявить точку зрения интервьюируемого
лица и имеющуюся у него информацию о фактических прошлых и
потенциальных будущих событиях.
Пример программы проведения интервью
1. Определить ключевые цели в рамках хозяйственного подразделения интервьюируемого
2. Определить, каким образом цели соотносятся со стратегиями и целями предприятия и
поддерживают их
3. Определить единицу измерения по каждой цели и соответствующие установленные целевые
показатели
4. Определить установленный уровень допустимого риска
5. Обсудить факторы, определяющие потенциальные события, которые связаны с достижением
цели
6. Определить потенциальные события, создающие риски в процессе достижения целей, а также
благоприятные возможности
7. Рассмотреть, каким образом интервьюируемый определяет приоритетность данных событий с
учетом их вероятности и влияния
8. Определить события, которые имели место в течение прошедших 12 месяцев и оказали влияние
на предприятие, но не были заранее выявлены руководством и персоналом
9. Рассмотреть необходимость укрепления механизмов выявления рисков
38
Вопросники и опросы
В вопросники включается ряд вопросов, на которые должны ответить
заполняющие их лица. Внимание опрашиваемых при этом должно
направляться на внутренние и внешние факторы, которые привели или могут
привести к каким-либо событиям.

Вопросы могут быть открытыми или


закрытыми, в зависимости от поставленной цели.

Они могут адресоваться одному или нескольким лицам, задаваться в


рамках более широкого опроса, как внутри компании, так и среди
покупателей, поставщиков и прочих внешних сторон.

39
Пример заполнения вопросника
Компания требует от персонала подразделения заполнять вопросник перед
началом работы с новым поставщиком. При ответе на вопросы сотрудник
выявил следующие потенциальные события, которые могут произойти с
компанией, если она начнет работать с данным поставщиком:

Тематика вопроса Ответ Оценка


Процессы обеспечения Поставщик не имеет сертификата в соответствии с требуемыми
стандартами качества. Существует риск того, что поставленные
качества материалы не будут отвечать требованиям компании к качеству,
что приведет к производственным проблемам, потере клиентов и 
повредит репутации компании

Процессы управления Репутация данного поставщика на рынке: известны прецеденты


рисками
несоблюдения сроков поставок, что представляет собой риск для
компании возникновения сбоев в цепочке поставок 
Страховое покрытие Поставщик не застрахован на случай поставки
производственного брака. Существует риск, что компания
окажется неспособной реально взыскать с поставщика
соответствующие убытки

Контрактные условия Согласно условиям работы с поставщиком необходимо
заключение договора со стороны компании на период до 2 лет. В
случае изменения потребностей компании данное условие ведет 
к риску возникновения экономических убытков

40
Анализ процессов
Анализ процесса включает его представление в виде диаграммы для
лучшего понимания взаимосвязей между его компонентами, задач процесса,
результатов процесса и обязанностей его участников.
После составления диаграммы можно выявлять потенциальные события и
рассматривать их влияние на цели процесса.

41
Процессно-ориентированная методика HACCP

Примером современной процессно-ориентированной методики является


методика НАССР, с успехом применяемая в производстве пищевой,
косметической и медицинской продукции. В ее основе лежит 7 принципов:

1. Проведение анализа рисков

2. Определение
Критических Контрольных Точек (ККТ).

3. Определение критических пределов


для каждой ККТ.

4. Установление системы мониторинга ККТ.

5. Установление корректирующих действий.

6. Установление процедуры ведения записей.

7. Установление процедур проверки системы HACCP.


42
Данные о событиях, связанных с убытками
Базы данных по событиям, приводящим к убыткам, содержат
информацию по фактическим событиям, отвечающим заданным критериям.

Например, существует база данных, содержащая информацию по разным


отраслям, касающуюся событий, приведших к убыткам от операционной
деятельности в размере свыше 1 миллиона долларов США, информация о
которых была где-либо опубликована.

БД по событиям, ведущим к появлению убытков,


созданными и поддерживаемыми третьими сторонами,
в США можно пользоваться на основе подписки.

43
Взаимосвязи потенциальных событий
На достижение целей организации могут оказывать влияние множественные
события.

Для понимания их взаимосвязи используются различные инструменты:


 Метод "Диаграмма связей"
 Метод "Диаграмма Исикавы" («рыбий скелет»)
 Метод «5W» («5 Почему?»)

44
Метод "Диаграмма связей"
Назначение метода
Применяется для систематизирования большого количества логически
связанной информации. Японский союз ученых и инженеров включил его
в состав 7 методов управления качеством.

Цель метода
Выявление логических связей между
причинами возникновения проблемы
и определение звеньев,
которые ведут к решению проблемы.

Достоинства метода
Наглядность, простота освоения
и применения.

Недостатки метода
Низкая эффективность при проведении анализа сложных процессов.

45
Метод "Диаграмма Исикавы" («рыбий скелет»)
Назначение метода
Диаграмма Исикавы - инструмент, обеспечивающий системный подход к определению
фактических причин возникновения проблем.

Цель метода
Отобразить и обеспечить поиск
истинных причин проблемы,
представить взаимосвязь
между причинами и сопоставить
их относительную важность

Достоинства метода
позволяет в доступной форме
систематизировать все
потенциальные причины рассматриваемых
проблем, выделить самые существенные и
провести поуровневый поиск первопричины.

Недостатки метода
Не рассматривается логическая проверка цепочки причин, ведущих к первопричине,
т. е. отсутствуют правила проверки в обратном направлении от первопричины к
результатам.
Сложная и не всегда четко структурированная диаграмма не позволяет делать
правильные выводы. 46
Метод «5W» («5 Почему?»)
Назначение метода
Применяется в процессе анализа проблем и поиска первопричин их возникновения.
Автор метода: Сакити Тоёта, 1930 г.
Цель метода
Обеспечить поиск истинных причин рассматриваемой проблемы.
План действий
1. Определить конкретную проблему, которую необходимо решить.
2. Прийти к согласию относительно формулировки рассматриваемой проблемы.
3. При поиске решения проблемы следует начинать с конечного результата
(проблемы) и идти в обратном направлении (в направлении возникновения
первопричины), спрашивая, «Почему возникает проблема?».
4. Ответ записать под проблемой.
5. Если ответ не выявляет первопричину проблемы, снова задать вопрос "Почему?" и
новый ответ записать ниже.
6. Вопрос "Почему?" необходимо повторять до тех пор, пока первопричина проблемы
не станет очевидной.
Достоинства метода
Один из простейших инструментов. Определяет взаимосвязи между различными
причинами проблемы, помогает установить ее первопричину.
Недостатки метода
Решение только относительно простых задач.

47
Пример использования метода «5W»
При применении метода «5W» количество вопросов варьируется
от 3 до 7 вопросов.
Для повышения эффективности данный метод лучше применять
при групповой работе.

Пример применения метода 5W


W-этап Причина Корректирующие Вопрос
действия
0 Смазка в пищевой продукции. N/A Почему смазка оказалась
в пищевой продукции?
1 Потому что существует утечка смазки. Проверить и починить Почему существует
оборудование утечка смазки?
2 Потому что вал слишком малого Заменить вал Почему вал слишком
диаметра. малого диаметра?
3 Потому что закуплен некачественный Изменить ТУ для валов Почему был закуплен
вал. некачественный вал?
4 Потому что мы закупали по самой Изменить стратегию Почему мы закупали по
низкой цене. отдела закупок самой низкой цене?
5 Потому что мы оцениваем отдел Изменить показатели
закупок с учетом показателей оценки отдела закупок Конец анализа
краткосрочного снижения
себестоимости.

48
Группировка событий
Существуют тысячи событий, которые могут оказать влияние на достижение
целей компании. Работа с таким массивом информации представляет
серьезные трудности, которые преодолеваются с помощью
группировки аналогичных событий.

Одним из наиболее распространенных способов группировки событий


является группировка по функциональному признаку с целью назначения
единого ответственного (владельца и/или управляющего агрегированным
риском) за выявление, оценку и реагирование на данную группу событий.

После группировки аналогичных событий профиль рисков становится


обозримым, рабочим инструментов высшего руководства компании с
возможностью детализации при необходимости каждой категории событий.
Пример:
Наименование риска: НАЛОГОВЫЕ РИСКИ
Владелец риска: Финансовый директор
Управляющий риском: Зам. главного бухгалтера по налогам
Допустимый уровень: 5 млн. руб. в год
Оценка вероятности: Высокий уровень
49
5. ОЦЕНКА РИСКОВ

COSO ERM
Оценка рисков: вводные замечания
Оценка рисков позволяет компании учитывать, в какой степени
потенциальные события могут оказать влияние на достижение ее целей.
Руководство оценивает события с двух точек зрения:
1) вероятности возникновения и
2) последствий (степени влияния)
и обычно использует для этого сочетание
количественных и качественных методов.

При оценке риска руководство учитывает влияние


ожидаемых и непредвиденных событий.

Для обычных и повторяющихся событий действия по реагированию на них


предусмотрены в программах руководства и операционных бюджетах,
непредвиденные события могут нанести компании значительный ущерб
вплоть до остановки и потери бизнеса.

Хотя термин «Оценка рисков» иногда используется при проведении разовых


мероприятий в рамках процесса управления рисками организации,
компонент «Оценка рисков» представляет собой цепочку действий,
непрерывно и последовательно осуществляемых по всей организации.
51
Присущий и остаточный риск
Присущий риск – это риск для компании при отсутствии действий со
стороны руководства по изменению вероятности или степени влияния
данного риска.

Остаточный риск – это риск, остающийся после принятия руководством


мер по реагированию на него.
Оценка проводится сначала в отношении присущих рисков.
После разработки мер реагирования на риск руководство оценивает
остаточный риск.

Пример.
Оценка аудиторского риска пропуска существенных искажений в ФО

AR = IR * CR * DR
Допустим AR = 1 * 0,3 * 0,1 = 0,03 или 3%

В 2010 г. аудиторы PwC оказали услуг гарантии на $13,2 млрд.,


в т.ч. 415 компаниям из списка Fortune Global 500.

Если ответственность равна сумме контракта: 3%*$13.2 млрд. = $396 млн.


52
Шкалы измерений
В COSO ERM приводится 4 общих способа выбора шкал измерения:
Номинальное измерение - предполагает только группировку событий по
категориям, но не предполагает какого-либо ранжирования. Позиции не
могут упорядочиваться, ранжироваться или складываться.
Порядковое измерение - события перечисляются в порядке их важности, с
присвоением таких пометок, как высокая, средняя или низкая важность,
или других по некоторой шкале.
Интервальное измерение - использует шкалу равных числовых
интервалов. Например, влиянию событий могут быть присвоены оценки:
Событие №1 – «3» балла, №2 – «6» баллов, №3 – «9» баллов. При этом
отличия (разность) влияния события №3 от №2 такое же, как №2 от №1.
Однако, это не означает, что влияние события, получившего оценку «6», в
два раза выше, чем влияние события, получившего оценку «3».
Пропорциональное измерение - позволяет заключить, что если влияние
события №1 оценивается на «3», а №2 - на «6» баллов, то влияние события
№2 вдвое превосходит влияние первого.
В COSO ERM номинальные и порядковые измерения рассматриваются как
качественные методы, а интервальные и пропорциональные - как
количественные.
53
Оценка вероятности и влияния риска
Вероятность представляет собой возможность того, что данное событие
произойдет, в то время как влияние отражает его последствия.

Как оценить, какое внимание (приоритет) должно быть уделено конкретному


риску из всего спектра рисков, с которыми сталкивается компания?

Способы определения приоритетов: Количественный / Качественный


Количественный:
Приоритет = P события * СУММА ПОТЕРИ или
Приоритет = P угрозы * Р уязвимости * СУММА ПОТЕРИ

Качественный:
Вероятность события / серьезность
Пренебрежимые Малые Средние Серьезные Критические
последствий
Практически не случается Низкий Низкий Низкий Средний Средний
Случается редко Низкий Низкий Средний Средний Высокий
50 на 50 Низкий Средний Средний Средний Высокий
Сорее всего произойдет Средний Средний Средний Средний Высокий
Почти обязательно произойдет Средний Высокий Высокий Высокий Высокий

54
Источники данных для оценки
При оценке вероятности риска и его воздействия часто используются
данные о событиях, наблюдавшихся в прошлом, что может привести к
более объективному результату, чем просто использование субъективных
оценок.

Данные, собранные внутри компании на основе ее опыта, как правило,


менее субъективны и обеспечивают получение лучших результатов, чем
при использовании данных из внешних источников. Однако даже в
случае базирования оценки на внутренних данных, внешние данные могут и
должны использоваться в качестве средства проверки и расширения
анализа.

Пример. При оценке остановок производства в связи с поломкой


оборудования руководство компании сначала учитывает частоту и
влияние предыдущих сбоев производственного оборудования на работу
предприятия. Затем проводится сравнение с аналогичными данными по
отрасли. Это позволяет получить более точную оценку вероятности и
влияния поломок и разработать более эффективный график
профилактических работ.

55
Ограничения в использовании прошлых данных
Необходимо проявлять осторожность при использовании данных о
прошлых событиях для составления прогнозов на будущее, поскольку
факторы, оказывающие влияние на события, могут кардинально
изменяться с течением времени.

В. Черномырдин «Отродясь такого не было, и вот опять…»


Н. Талеб - «Черный лебедь»

56
Пример качественной оценки налоговых рисков
Процесс оценки налогового риска включает в себя анализ рисков, определение
суммы последствий и вероятности наступления риска, на основании чего
определяется приоритетность минимизации рисков.
Применяется качественная оценка вероятности осуществления налоговых рисков:
высокая (В), средняя (С), низкая (Н). В случае явного нарушения требований
налогового законодательства вероятность оценивается как высокая (В).
Если существует неоднозначность в толковании налогового законодательства, то
вероятность реализации риска оценивается в зависимости от следующих факторов:
1) позиция налоговых органов и/или Минфина России;
2) арбитражная практика
в соответствии с приведенной ниже таблицей.
Факторы, влияющие на вероятность Арбитражная практика
реализации налогового риска
«-» «+/-» «+» Отсутств.
Позиция налоговых «-» В В С В
органов и/или Минфина «+/-» В С Н С
России Отсутств. В С Н В
«-» - фактор имеет неблагоприятный характер для налогоплательщиков;
«+/-» - существуют как благоприятные, так и неблагоприятные значения фактора
для налогоплательщиков;
«+» - фактор имеет благоприятный характер для налогоплательщиков;
«Отсутств.» – информация по данному фактору отсутствует. 57
Методы количественной оценки
Методы количественной оценки, как правило:
 требуют большей точности, усилий и использования математических моделей;
 используются в отношении более сложных и комплексных видов деятельности;
 являются наиболее подходящими в отношении рисков, по которым есть
исторические данные и которые, вследствие этого, можно надежно спрогнозировать.
Классификация методов количественной оценки рисков:
1. Сравнение с эталоном. Процесс, основанный на обмене информацией между
группой предприятий, нацеленный на оценку конкретных событий или процессов и
предусматривающий сравнение показателей и результатов с использованием общих
параметров, а также определение возможностей для улучшения.
2. Вероятностные модели. Вероятностные модели позволяют определить
вероятность событий и их влияние на основании определенных допущений, прошлых
данных и моделирования результатов.
Примеры: модели стоимости, подверженной риску (VAR), денежных потоков,
подверженных риску, доходов, подверженных риску, а также распределения кредитных
и операционных убытков. Используются чаще всего финансовыми институтами для
оценки изменения стоимости финансовых инструментов с течением времени.
3. «Невероятностные» модели. В данных моделях при оценке влияния событий
используются субъективные допущения БЕЗ количественного определения их
вероятности. Оценка влияния событий основывается на прошлых данных и на
допущениях о будущем поведении.
Примеры: оценка чувствительности к событию, стресс-тестирование и сценарный
анализ.
58
Рекомендуемая последовательность применения
Изложенные ниже методы исследования неопределенности и оценки рисков
рекомендуется применять в следующей последовательности:

1. Сценарный анализ: моделирование наиболее вероятного,


оптимистического и пессимистического варианта развития событий.
2. Факторный анализ: исследование влияния каждого фактора по
отдельности и определение чувствительности результата к ним.
3. Стресс-тестирование: исследование устойчивости к маловероятным,
но очень существенным по влиянию событиям.
4. Метод Монте-Карло: моделирование сотен сценариев будущего
развития и определение статистических результатов.
5. Метод дерева событий: наглядное представление разветвленных
сценариев будущего развития.
6. Метод реальных опционов: встраивание в прогноз вариантов смягчения
негативных последствий неопределенности и использования
позитивных возможностей.

59
Объекты для исследования
Указанные методики применимы ко всем экономическим процессам,
которые могут быть представлены в виде математических моделей:

1. Инвестиционные проекты по выпуску нового продукта или услуги


(устойчивость NPV)
2. Годовой бюджет (устойчивость прибыли)
3. Бизнес-план деятельности предприятия
4. Результат слияний и поглощений (устойчивость синергии)
5. Оценка стоимости бизнеса

И многое другое.

Параметр 1
Математическая Результат
модель (NPV, EVA, др.)
Параметр N

60
Сценарный анализ
Сценарный анализ основан на расчете результатов деятельности компании
в различных обстоятельствах.

Обычно анализируются 3 основных сценария:


1. наиболее вероятный,
2. оптимистический и
3. пессимистический.

В случае, например, моделирования инвестиционных проектов анализу


может подвергаться любой из критериев его оценки:
NPV - чистая приведенная стоимость,
PI - индекс рентабельности,
IRR - внутренняя норма доходности,
DPP - период окупаемости с учетом дисконтирования

На практике чаще всего анализируется изменение NPV. Появление


отрицательных значений NPV сигнализирует о наличии риска в проекте.

61
Факторный анализ
При факторном анализе важно выяснить, как влияет каждый из входных
факторов на результат.

Рекомендации для проведения факторного анализа:


1. Составляется таблица факторов, и для каждого из факторов определяется
оптимистическое и пессимистическое значение. Эти значения получаются на
основе экспертных оценок.
2. Минимальное значение каждого фактора выбирается таким, чтобы
прогнозное значение фактора могло оказаться меньше этого значения
не более, чем в 5% случаев.
3. Максимальное значение фактора выбирается таким, чтобы
прогнозное значение фактора могло оказаться больше этого значения
не более, чем в 5% случаев

Таким образом, существует 90% вероятность того, что реальное


значение фактора будет заключено в пределах от мин до макс.

62
Диаграмма «Торнадо» - определение
Результаты факторного анализа принято отражать с помощью
диаграммы «Торнадо» (Tornado Diagram).

Диаграмма «Торнадо» строится вокруг вертикальной оси, символизирующей


нулевое отклонение от номинального значения
моделируемого результата (например, NPV проекта).

Пессимистические и оптимистические отклонения NPV от номинала


откладываются вправо и влево от оси в виде прямоугольников или отрезков
соответствующей длины.

Предварительно факторы ранжируются по пессимистическим отклонениям


NPV в порядке убывания отклонений, так, чтобы диаграмма приняла форму
воронки, сужающейся книзу.

Чем шире воронка, тем больше риск проекта. Пример диаграммы «Торнадо»
показан на следующем слайде.

63
Диаграмма «Торнадо» - преимущества
Преимущества диаграмма «Торнадо» :

1. При сравнении двух и более инвестиций сразу можно определить, какая из


них более рискованна по размаху «крыльев» торнадо
2. Можно сразу же определить наиболее значимые факторы и принять
меры по снижению их неопределенности
3. Можно видеть, симметрично ли воздействие каждого фактора
4. Диаграмма торнадо позволяет наглядно видеть результаты «работы над
рисками» 64
Стресс-тестирование
Стресс-тестирование (СТ) - это общий термин, объединяющий группу
методов оценки воздействия на финансовое положение организации
неблагоприятных событий, определяемых как «исключительные, но
возможные», - в английском варианте «exceptional but plausible».

Известно несколько групп сценариев, по которым осуществляется СТ.

1. Однофакторные сценарии, или так называемые тесты


чувствительности (simple sensitivity test) - Рассмотрение исключительного
изменения одного фактора при сохранении неизменными прочих условий
(т.е. падения валютного курса при сохранении уровня процентных ставок и
котировок ценных бумаг) - достаточно абстрактное исследование, однако
технически простое и наглядное, что определяет его практическое
распространение.

2. Многофакторные сценарии, которые подразделяются на исторические,


экспертные (т. е., по сути, гипотетические), статистические и сценарии
максимальных потерь.

65
Стресс-тестирование (окончание)
Исторические сценарии воспроизводят ранее реализовавшуюся
кризисную ситуацию, проверяя на ее примере рискозащищенность компании.
Экспертные сценарии, соответственно, создаются на основе экспертных
оценок, учитывающих как исторические кризисы, так и текущую конъюнктуру
рынка, и позволяют акцентировать внимание на наиболее существенных для
компании риск-факторах.
Статистические сценарии составлены на основе моделирования
возможных значений риск-факторов. В данном случае доминируют
вероятностно-определенные оценки, т. е. для последующего тестирования
предлагаются сценарии с определенной вероятностью реализации, что
позволяет интегрировать результаты стресс-теста в модели оценки
необходимого капитала.
Сценарии максимальных потерь рассматривают наименее благоприятное
для компании сочетание риск-факторов. При проведении такого анализа
важен не только и не столько сам результат, характеризующий запас
прочности компании, сколько вырисовывающийся профиль рисков, который
позволяет выделить наиболее существенные угрозы и принять необходимые
меры предосторожности.

66
Метод Монте-Карло
Свое название метод получил от рулетки, где равновероятно выпадение
каждого из чисел от 1 до 36 плюс ZERO.

В методе Монте-Карло каждый фактор также может принимать случайное


значение (как в рулетке).

Факторы, такие как объемы и цены продаж, удельные затраты на материалы


и зарплату могут принимать любые значения в установленном диапазоне.

Из набора факторов складываются сценарии развития проекта. Может


быть огромное количество сценариев

Отличие от рулетки в том, что случайные значения факторов выпадают не


равновероятно в диапазоне значений, а подчиняясь заданному закону
распределения вероятностей (чаще всего, это нормальное или Гауссово
распределение).

67
Г
С

68
Метод Монте-Карло (продолжение)
Возможны треугольное, равномерное, логарифмически нормальное, бета и
другие виды распределений входных факторов.

Возможны также дискретные вероятностные распределения,


описывающие такие факторы, как наличие/отсутствие конкурента.

Особенность метода Монте-Карло в том, что в каждом сценарии меняются


сразу все факторы.

После расчета очередного сценария значения всех факторов сбрасываются


и формируется новый набор значений факторов.

Все сценарии равновероятны.

Есть также возможность учесть влияние одного фактора на другой или


несколько других.

Метод Монте-Карло реализуем на компьютерах в Excel или в


специализированных программах, таких как Cristall Ball 2000 @Risk 5.0.

69
Метод Монте-Карло (продолжение)

70
Результаты моделирования
Результаты моделирования по методу Монте-Карло отображают в табличном

или графическом виде:

71
Дерево событий
Дерево событий (Event Tree) - это еще один способ анализа рисковых
ситуаций.

Он особенно удобен, если есть возможность:


 разбивки проекта на этапы;
 результаты одного этапа влияют на следующий этап;
 есть возможность изменения решений после окончания каждого этапа.

Этот метод лучше всего подходит для оценки проектов или программ, в
которых:
1. У каждого решения есть ограниченное число возможных результатов
(обычно 2-3).
2.Вероятность наступления каждого результата может быть оценена.

72
Дерево событий (продолжение)

73
Табличная карта рисков

74
Табличная карта рисков (окончание)

75
Матричная карта рисков

76
6. РЕАГИРОВАНИЕ НА РИСКИ

COSO ERM
Способы реагирования на риски
Способы реагирования на риски делятся на следующие 4 категории:
Избежание риска. Прекращение деятельности,
ведущей к риску. Избежание риска может включать
закрытие определенной линии продукции,
отказ от выхода на новые географические рынки
или решение о продаже подразделения.
Снижение риска. Предпринимаются действия по
уменьшению вероятности и/или влияния риска, что,
как правило, требует принятия большого числа
оперативных решений, касающихся деятельности.
Передача риска. Уменьшение вероятности и/или
влияния риска за счет переноса или
иного распределения части риска.
Распространенными способами перераспределения риска
является приобретение страховых полисов,
проведение операций хеджирования и
передача соответствующего вида деятельности
сторонней организации («аутсорсеру»).
Принятие риска. Не предпринимается
никаких действий для того, чтобы снизить
вероятность или влияние события. 78
Оценка соотношения затрат и выгод
Вследствие ограниченности ресурсов компании приходится учитывать относительные
затраты и выгоды, связанные с альтернативными вариантами реагирования на
риск:
ВЫГОДЫ > ЗАТРАТЫ

Расходы во многих случаях могут быть рассчитаны достаточно точно. Следует


учитывать все прямые издержки, связанные с реагированием на риск, а также
косвенные издержки в тех случаях, когда их возможно оценить.

Расчет выгод часто предполагает более субъективную оценку.


Например, выгоды эффективных программ обучения обычно очевидны, однако их
трудно измерить количественно.
В некоторых случаях в качестве выгод
оценивается нефинансовые показатели,
например, возможность сократить
травматизм и смертность на производстве.

Рассмотрение рисков как взаимосвязанных событий


при оценке затрат и выгод позволяет руководству объединить
действия по сокращению риска и по его перераспределению.
Например, при перераспределении риска на основе страхования может быть
полезным объединить риски в одном полисе, поскольку при страховании нескольких
рисков в рамках одного соглашения цена полиса обычно снижается. 79
Инструменты хеджирования финансовых рисков
Форвард (форвардный контракт) — договор (производный финансовый
инструмент), по которому одна сторона (продавец) обязуется в определенный
договором срок передать товар (базовый актив) другой стороне (покупателю) или
исполнить альтернативное денежное обязательство, а покупатель обязуется принять и
оплатить этот базовый актив, и (или) по условиям которого у сторон возникают
встречные денежные обязательства в размере, зависящем от значения показателя
базового актива на момент исполнения обязательств, в порядке и в течение срока или
в срок, установленный договором.
Обязательны к исполнению, даже если держателю форварда это не выгодно.

Фьючерсы - это стандартизованные контракты на покупку или продажу товаров,


валюты или других активов в будущем по фиксированной фьючерсной цене. Фьючерс
можно рассматривать как стандартизированную разновидность форварда, который
обращается на организованном рынке со взаимными расчётами, централизованными
внутри биржи.

Опционы - (лат. optio - выбор, желание, усмотрение) — договор, по которому


потенциальный покупатель или потенциальный продавец получает право, но не
обязательство, совершить покупку или продажу актива (товара, ценной бумаги) по
заранее оговорённой цене в определённый договором момент в будущем или на
протяжении определённого отрезка времени.

80
Реальные опционы
Реальный опцион подобно финансовому опциону представляет
возможность своему владельцу:
 использовать его в благоприятных условиях или
 отказаться от использования в неблагоприятных.

Реальные опционы не продаются и не покупаются на фондовых биржах.


Руководители компаний находят и создают их самостоятельно.

Стоимость реального опциона Real Option Value = ROV определяется как


разница между NPV проекта с опционом и NPV без опциона.

RОV можно интерпретировать, как дополнительную стоимость (ценность),


которая возникает, например, в проекте при использовании реального
опциона.

Как правило, RОV положительна.


Отрицательной RОV может стать при больших затратах на создание
опциона, превышающих выгоды от его использования.
81
Пример реального опциона
Перед компанией коммунальных услуг стоит выбор:
Строить котельную на мазуте или на газе.

Газ сейчас стоит дешевле, но, по мнению


специалистов, он будет дорожать на 7% в год.
Ожидаемый темп роста цены мазута 5%,
однако цена мазута более волатильна,
чем цена газа, т.к. это биржевой товар.

Руководство компании рассматривает вариант создания универсальной


котельной, которая один раз в год может переключаться с одного вида
топлива на другой, в зависимости от того, что будет дешевле: мазут или газ.

Таким образом создается реальный опцион, который позволит получить


выгоду в будущем. Но за этот опцион надо платить: инвестиционные
затраты для котельной с универсальным топливом будут больше.
Необходимо оценить стоимость, которую компания готова заплатить за такой
реальный опцион.

82
План реагирования на риск
После выбора метода реагирования руководству компании следует
разработать план его применения.
Одним из ключевых компонентов плана являются контрольные процедуры,
обеспечивающие реагирование на риск (обсуждаются далее).
Дополнительно необходимо:
 внести в БЮДЖЕТ расходы на минимизацию принятых рисков и
устранение последствий их реализации;
 для особых случаев (пожары, стихийные бедствия и др.) разработать
планы действий по устранению последствий рисков.

Современная практика риск-менеджмента


выделяет как наиболее адекватное
проактивное управление рисками
(работа по рискам до их реализации) в

противовес реактивному
(работа с последствиями реализации рисков).

83
Опережающие индикаторы
Для реализации проактивного управления рисками необходима система
опережающих индикаторов и пороговых значений.

Опережающие индикаторы событий,


или индикаторы состояния потенциальных (нереализовавшихся) рисков,
представляют собой измеряемые количественные или качественные
показатели, предупреждающие об увеличении вероятности
наступления событий. Чтобы такие индикаторы приносили пользу,
они должны быть доступны руководству своевременно,
в зависимости от вида информации –
вплоть до режима реального времени.

Пороговые значения
(нормативы, или предельные значения
индикаторов потенциального риска)
устанавливаются руководством для
каждого опережающего индикатора событий.
Превышение порогового значения
индикатором сигнализирует о необходимости принятия мер.
В HACCP – это ККТ и критические пределы. 84
Пример мониторинга индикаторов
Отчет по индикаторам реализации рисков (41 неделя/прогноз на октябрь)
Управ Предыду
Владе ляющ Единица щее Отклоне
№ Наименование Период Текущее Причины
лец ий Название индикатора измерени ПДУ значение ние от
п/п (краткое описание риска) оценки значение превышения
риска риско я индикат ПДУ
м ора
1 2 3 4 5 6 7 8 9 10 1100.0% 12
1 ВЫРУЧКА ОТ РЕАЛИЗАЦИИ
Выполнение плана по реализации за неделя % 100% 113.8% 96.1% -3.9%
Малинни

В.В./Леб
Риск невыполнения планов неделю, ЦВП
ДРУ
ков

1
по отгрузке Прогноз выполнения плана по реализации месяц % 100% 97.2% 97.1% -2.9%
на месяц (октябрь)
Стоимостная дефектура ЦВ "Протек" неделя % 8% 13.21% 8.78% 9.7%
Даниленко Т.А./Ширина М.Н.

Стоимостная дефектура группы "А" неделя % 5% 11.69% 7.05% 41.0%

Стоимостная дефектура группы "В" неделя % 15% 18.97% 14.58% -2.8%


Лебедева М.Г.

Риски потерь от
возникновения Стоимостная дефектура группы "С" неделя % 20% 23.52% 17.50% -13.4%
2
сверхнормативной
дефектуры Стоимостная дефектура Москва месяц % 5% 10.19% 7.25% 45.0%

Стоимостная дефектура по ресурсу неделя % 5% 11.62% 8.59% 71.8%


"Аптечный"
Стоимостная дефектура по системе неделя % 8% 7.45% 7.17% -10.4%
филиалов
2 СЕБЕСТОИМОСТЬ РЕАЛИЗОВАННОЙ ПРОДУКЦИИ
Выполнение плана по ТЗ неделя % 100% 105.14% 105.08% 5.1%

Нормативный ТЗ неделя % 100% 96% 98% -2.1%


Даниленко Т.А.
Лебедева М.Г.

Потери в результате в т.ч. по эксклюзивам неделя % 100% 95% 106% 5.8%


10 превышения планов по Коммерческий сверхзапас неделя % 100% 153% 142% 41.7%
оборачиваемости ТЗ в т.ч. по эксклюзивам неделя % 100% 113% 123% 22.9%
Логистический сверхзапас неделя % 100% 43% 35% -64.5%
Выполнение плана по ТЗ склад "Москва" неделя % 100% 115% 111% 11.2%
Выполнение плана по ТЗ система филиалов неделя % 100% 91% 92% -7.7%

85
7. КОНТРОЛЬНЫЕ ПРОЦЕДУРЫ

COSO ERM
Определение и классификация КП
Контрольные процедуры – это набор политик и процедур, обеспечивающих
реагирование на риски со стороны руководства. Они применяются по
организации в целом, на всех уровнях и во всех функциональных
подразделениях.
К ним относятся различные виды деятельности:
процедуры утверждения, авторизации,
проверки, сверки, анализ показателей,
обеспечение безопасности активов
и распределение полномочий.

Существует различные классификации


контрольных процедур, которые включают:
превентивные (предупредительные), поисковые,
коррективные процедуры, процедуры, выполняемые вручную,
автоматизированные (компьютерные) процедуры и процедуры контроля со
стороны руководства.

Контрольные процедуры также могут быть классифицированы исходя из


установленных целей контроля, таких, например, как обеспечение полноты
и точности обработки.
87
Примерный список КП
1) распределение и делегирование ключевых полномочий и ответственности в
Обществе, обеспечение эффективного взаимодействия структурных
подразделений и сотрудников;
2) доведение до всех сотрудников их обязанностей в сфере внутреннего контроля;
3) определение критериев и оценка эффективности работы структурных
подразделений, должностных лиц и иных сотрудников;
4) контроль над исполнением бюджета, сравнение оперативных данных с бюджетом;
5) анализ результатов исполнения бюджета и разработка мероприятий по контролю за
экономической оправданностью расходной части бюджета;
6) организация системы сбора, обработки и передачи информации, в том числе
формирования отчетов и сообщений, содержащих операционную, финансовую и другую
информацию о деятельности компании,
7) установление эффективных каналов и средств коммуникации, обеспечивающих
вертикальные и горизонтальные связи внутри компании;
8) анализ эффективности требований, предъявляемых к деятельности структурных
подразделений, подготовка предложения по их совершенствованию;
9) координация работы структурных подразделений;
10) установление эффективной связи компании с третьими лицами, использование
информации из внешних источников в целях контроля;
11) использование адекватных способов учёта событий и операций, проверка
правильности документооборота и бухгалтерских записей;
12) утверждение и осуществление операций только теми лицами, которые наделены
соответствующими полномочиями;
13) разделение ключевых обязанностей между сотрудниками (в том числе
обязанностей по одобрению и утверждению операций, учёту операций, выдаче,
хранению и получению ресурсов, анализу и проверке операций); 88
Примерный список КП (окончание)
14) разграничение доступа руководства компании, руководителей подразделений и
иных сотрудников к определенным ресурсам и информации, установление
ответственности за несанкционированный доступ;
15) физическое ограничение доступа к активам, первичной документации, регистрам
учета и компьютерным бухгалтерским файлам;
16) контроль над использованием материальных активов;
17) проведение инвентаризаций имущества компании и ее обязательств, проведение
сверок и подтверждений расчетов;
18) проведение проверок сохранности активов компании;
19) надлежащее документирование процедур внутреннего контроля;
20) регулярные оценки качества системы внутреннего контроля;
21) осуществление контроля за устранением нарушений, выявленных в результате
проверок и служебных расследований;
22) анализ результатов аудиторских проверок, осуществление контроля за
разработкой и выполнением планов мероприятий по устранению нарушений;
23) проверки и служебные расследования по основным направлениям финансово-
хозяйственной деятельности компании;
24) рассмотрение проектов решений органов управления на предмет их соответствия
финансово-хозяйственным интересам компании;
25) рассмотрение проектов договоров компании на предмет их соответствия
финансово-хозяйственным интересам компании;
26) проверки коммерческих предложений и обоснованности выбора контрагентов по
договорам, оценки эффективности сделок;
27) анализ внутренних и иных документов компании, регламентирующих ее ФХД;
28) подготовка предложений по совершенствованию процедур внутреннего контроля,
разработка соответствующих внутренних документов. 89
8. ИНФОРМАЦИЯ И КОММУНИКАЦИЯ

COSO ERM
Эффективность подкомпоненты «Информация»
В COSO ERM устанавливаются следующие критерии эффективности
подкомпоненты «Информация»:
1. Соответствующая информация получается из внутренних и внешних
источников.
2. Организация фиксирует и использует прошлые и текущие данные для
поддержания эффективного управления рисками.
3. Информационная инфраструктура трансформирует первичные данные в
релевантную информацию, которая оказывает содействие персоналу при
выполнении обязанностей по управлению рисками и прочих обязанностей.
4. Информация предоставляется в сроки, в которые она является актуальной,
и в форме, обеспечивающей возможность принятия мер, включая
необходимость определять, оценивать риски и реагировать на них.
5. Исходные данные и информация являются надежными и предоставляются
своевременно в нужном месте для обеспечения эффективного принятия
решений.
6. Скорость движения информации соответствует темпам изменений во
внутренней и внешней обстановке.
7. Информационные системы изменяются в соответствии с новыми целями.
91
Эффективность подкомпоненты «Коммуникация»
В COSO ERM устанавливаются следующие критерии эффективности
подкомпоненты «Коммуникация»:
1. Руководство распространяет конкретную и целенаправленную информацию,
касающуюся ожиданий в отношении поведения и обязанностей персонала,
включающую четкое распределение полномочий.
2. Распространение информации о процессах и процедурах соответствует желаемой
корпоративной культуре и способствует ее формированию.
3. Все сотрудники получают четкие указания от высшего руководства о важности
управления рисками. Персонал знает, каким образом его деятельность связана с
деятельностью других лиц, что позволяет ему определять проблемы, выявлять их
причины и предпринимать действия по их устранению.
4. Персонал знает, какое поведение является приемлемым и неприемлемым.
5. Существуют открытые каналы коммуникации, а персонал уверен, что начальство
действительно желает знать о проблемах и будет эффективно их решать.
6. Существуют каналы коммуникации за рамками обычных отношений подотчетности, и
персоналу известно об отсутствии санкций за предоставление важной для
руководства информации по этим каналам.
7. Существует открытый канал коммуникации между высшим руководством и Советом
директоров, и вся надлежащая информация сообщается на своевременной основе.
8. Существуют открытые внешние каналы коммуникации, через которые важные
сведения могут предоставляться покупателями и поставщиками.
9. Компания сообщает важную информацию регулирующим органам, финансовым
аналитикам и прочим внешним сторонам.
92
9. МОНИТОРИНГ

COSO ERM
Текущий мониторинг
Мониторинг системы управления рисками (СУР) компании проводится для
определения способности СУР обеспечить выполнение поставленных перед ней задач.
Оценка СУР осуществляется как в ходе текущей деятельности, так и путем проведения
дополнительных периодических проверок.
Текущий мониторинг организуется
руководством компании в режиме
реального времени, что позволяет
оперативно адаптировать СУР к
изменяющимся условиям деятельности.
Текущий мониторинг более оперативен и эффективен,
чем периодические внешние и внутренние проверки,
которые проводятся постфактум.

Он представляет собой неотъемлемую часть текущей деятельности руководства и


сотрудников компании по совершенствованию СУР, которая в том числе включает
анализ расхождений, сравнение информации из различных источников, разрешение
неожиданных вопросов и проблем и т.п.

Кроме того, в рамках текущего мониторинга руководство и сотрудники получают


информацию о недостатках СУР от внешних сторон: государственных регулирующих и
контролирующих органов, клиентов, поставщиков и других заинтересованных внешних
сторон.
94
Периодические проверки
Периодические проверки СУР проводятся:
1) в форме самопроверки, когда руководители подразделений компании
проверяют эффективность контрольных процедур и процедур управления
рисками в своей области;
2) внутренними аудиторами в отношении деятельности компании в рамках
своих обычных обязанностей или по указанию Совета директоров, его
Комитета по аудиту и других Комитетов, руководства компании;
3) внешними аудиторами компании путем проведения тестирования системы
внутреннего контроля в рамках проведения аудита финансовой
отчетности.

Оценка СУР Общества может проводиться с использованием различных


подходов и методов. В базовом виде проверка проводится в 2 этапа:
1) формирование общего представления о СУР, первичная оценка ее
эффективности и надежности;
2) подтверждение первичной оценки СУР путем проверки фактической работы
ее существенных элементов.

95
10. ФУНКЦИИ И ОБЯЗАННОСТИ

COSO ERM
Внутренние и внешние участники
Управление рисками компании осуществляется рядом сторон, каждая из
которых выполняет свои важные обязанности.

Внутренними участниками процесса управления рисками, несущими


полную ответственность за осуществление его различных процедур и
механизмов, являются:
Совет директоров компании и его Комитеты, руководство компании,
руководство и сотрудники подразделений компании, сотрудники
подразделений внутреннего аудита компании.

Внешние по отношению к компании стороны, такие как:


внешние аудиторы, государственные регулирующие и контролирующие
органы, клиенты, поставщики и т.п.
могут оказывать влияние на процесс управления рисками в компании и его
совершенствование, однако они не несут ответственность за надлежащее и
эффективное функционирование СУР компании.

97
Совет директоров
Совет директоров, назначая руководство компании, и определяя
требования в отношении честности и этических ценностей, в ходе
осуществления своих надзорных функций проверяет соответствие
названных руководителей установленным требованиям.
Надзорные функции Совета директоров компании и его Комитетов (в первую
очередь Комитет по аудиту и Комитет по стратегическому планированию и
рискам), включают:
1) утверждение ВНД по управлению рисками компании и организацию процесса
постоянного их совершенствования;
2) определение того, в какой степени руководство компании смогло реализовать
эффективное управление рисками в компании, в т.ч. через изучение отчетов о
состоянии и оценке СУР и отчетов о результатах деятельности внешних и
внутренних аудиторов;
3) получение информации о ключевых рисках деятельности компании, их оценку и
сравнение с установленными допустимыми уровнями, а также о мерах,
принимаемых руководством компании в этом отношении.
При необходимости Совет директоров и его Комитеты используют ресурсы компании
для проведения специальных расследований и устанавливают ничем не
ограниченное взаимодействие по всем вопросам управления рисками с
руководством компании, руководством подразделений компании, начальниками
юридических и аудиторских подразделений, внешними аудиторами компании. 98
Руководство компании
Руководство компании во главе с ее Генеральным директором,
являющимся главным риск-менеджером, несет ответственность за все виды
деятельности, включая эффективное функционирование СУР.
В этих целях ГД делегирует определенные полномочия руководителям
подразделений компании, ответственным за те или иные области
управления рисками - Владельцам рисков и Управляющим рисками.
Владельцы рисков (как правило, функциональные или линейные
директора/руководители, в подчинении у которых находятся Управляющие
рисками) занимаются контролем своевременного выявления рисков в зоне
ответственности, проработкой целей управления рисками, утверждением
методологии достижения поставленных целей по рискам, контролем
результативности работы Управляющих.
Управляющие рисками (как правило, функциональные или линейные
руководители среднего звена управления) осуществляют непосредственное
управление рисками детализированного профиля рисков по своей зоне
функциональной ответственности.
Управление рисками, относящимися к достижению целей подразделений
компании, является обязанностью руководителей этих подразделений, при
этом особую значимость для деятельности по управлению рисками имеют
руководители финансовых и юридических подразделений компании.
99
Внутренние аудиторы
Подразделения внутреннего аудита компании осуществляют внутреннюю
оценку эффективности СУР компании.

При выполнении своих обязанностей сотрудники подразделений ВА


компании оказывают содействие Совету директоров, его Комитетам и
руководству компании в повышении адекватности и эффективности
процессов управления рисками компании путем:
 их изучения,
 оценки,
 составления отчетов и
 предоставления рекомендаций
и консультаций.

Подразделения ВА компании содействуют достижению поставленных


стратегических и тактических целей компании, используя
систематизированный и последовательный подход к оценке и повышению
эффективности систем внутреннего контроля, управления рисками и
корпоративного управления.
100
11. ОГРАНИЧЕНИЯ СРМ

COSO ERM
Факторы ограничений

По мнению некоторых наблюдателей,


процесс управления рисками дает
гарантию успешной деятельности компании,
то есть достижения целей на постоянной основе.
Данное мнение является ошибочным.

При рассмотрении ограничений процесса управления рисками компании


необходимо учитывать 3 фактора:
 Первое ограничение отражает тот факт, что никто не может с точностью
предсказать будущее.
 Второе касается признания того, что некоторые события просто находятся
за пределами контроля со стороны руководства.
 Третье имеет отношение к реальности того, что ни один процесс не будет
всегда функционировать таким образом, как задумано.

Ниже рассматриваются основные причины ограничений.

102
Причины ограничений
Субъективность суждения
Эффективность управления рисками ограничена субъективными возможностями лиц,
принимающих решения.
Намеренное нарушение процедур со стороны руководства
Менеджер подразделения или член высшего руководства может нарушить процедуры
управления рисками по многим причинам. Это означает:
 неприменение политик или процедур в незаконных целях (личной выгоды);
 завышенное представление финансового положения компании;
 создание видимости соответствия законодательным требованиям.
Сбой
Хорошо спроектированная система управления рисками может дать сбой. Персонал
может неправильно истолковать инструкции. Может быть вынесено неверное решение
на основе неверного суждения или возникнуть ошибки по причине небрежности,
рассеянности или усталости.
Сговор
Сговор двух или более лиц внутри и/или вне компании, действующих совместно с
целью совершения правонарушения и сокрытия своего действия, может привести к
сбоям системы управления рисками.
Затраты и выгоды
Как обсуждалось ранее, ограничения по использованию ресурсов существуют всегда, и
менеджеры должны учитывать относительные затраты и выгоды, связанные с
принятыми решениями, в том числе относящимися к деятельности по реагированию
на риск. 103
СПАСИБО ЗА ВНИМАНИЕ !

104
105