Управление рисками: 13 наиболее часто задаваемых вопросов Денис Камышев 9 октября 2007 Управление рисками Промышленные компании

PricewaterhouseCoopers 9 октября 2007 Стр. 2 "Управление рисками в России-2007, Эксперт РА Вопросы: 1.Что такое корпоративное управление рисками? 2.Какие концепции управления рисками стали на сегодня общепринятыми стандартами? 3.Что дает КСУР компании? 4.Что значит когда КСУР интегрирована в бизнес планирование? 5.Какая организационная структура нужна для поддержания функции управления рисками? 6.Роли риск менеджера, внутреннего аудитора и менеджмента? 7.Какие задачи будет решать КСУР? 8.Какие процессы управления рисками должны быть в организации? 9.С чего начать? 10.Как оценить риски (качественно, количественно)? 11.Кто получатель информации в системе управления рисками? 12.Какое программное обеспечение необходимо для поддержки КСУР? 13.Какие препятствия могут быть в процессе внедрения КСУР?

Что такое корпоративное управление рисками? 1

PricewaterhouseCoopers 9 октября 2007 Стр. 4 "Управление рисками в России-2007, Эксперт РА Что такое корпоративное управление рисками? 1.Корпоративное управление рисками это процесс управления неопределенностью и риском, осуществляемый менеджментом организации, который направлен на повышение стоимости организации. 2.Управление рисками - это процесс, осуществляемый Советом директоров, руководством компании и другим персоналом, направленный на выявление потенциальных событий, которые могут оказать отрицательное влияние на деятельность компании, и осуществление мер по снижению рисков до заданного уровня (уровня толерантности к риску), обеспечивающих разумную степень уверенности в отношении достижения компанией поставленных целей. 3.Корпоративное управление рисками: - Обеспечивает согласование риск-аппетита и стратегии организации - Позволяет достичь согласование между ростом организации, риском и доходностью - Совершенствует мероприятия по реагированию на риск - Снижает потери от операционной деятельности - Позволяет на постоянной основе выявлять и управлять рисками организации - Обеспечивает выработку интегрированных мероприятий по управлению рисками - Позволяет улучшить управление капиталом организации 4.Управление рисками – неотъемлемая часть процесса принятия решений, расширяющее количество рассматриваемых факторов при принятии решений.

PricewaterhouseCoopers 9 октября 2007 Стр. 5 "Управление рисками в России-2007, Эксперт РА Пример: Риски компании и роль КСУР 2. КСУР = управление неопределенностью и обеспечение разумной уверенности в достижении целей организации. Имущество, перерыв в производстве,, ОМС, ДМС, Жизнь Рыночный риск (валютный, %, фондовый), кредитный риск, риск ликвидности, моделирование (CF, VaR) Кредитная аналитика Стратегические риски Узкие места, контроль процессов COSO, SoX СМК Само-оценка контролей (аудиты СМК, ВА, СВК) Управление стратеги- ческими, операцион- ными и рисками бизнес- процессов Управление страховой программой Корпоратив- ная оценка рисков ОТиПБ, Экология и т.п. M&A CAPEX Финансы Страхование Стратегия Операционная деятельность Бухгалтерия Проектная деятельность КСУР 1. Риск = (вероятность, последствия/воздействие).

Какие концепции управления рисками стали на сегодня общепринятыми стандартами? 2

PricewaterhouseCoopers 9 октября 2007 Стр. 7 "Управление рисками в России-2007, Эксперт РА Наиболее распространенные концепции управления рисками International Convergence of Capital Measurement and Capital Standards (Basel II) 2004 Базельский комитет по банковскому надзору Solvency II Комитет по надзору за страхованием и пенсионным обеспечением в странах Европейского союза Enterprise Risk Management: Integrated Framework (COSO ERM) Комитет спонсорских организаций комиссии Тредуэя, PricewaterhouseCoopers AS/NZS 4360:1999: Risk Management (AS/NZS) Совет по стандартам Австралии и Совет по стандартам Новой Зеландии FERMA: Стандарты управления рисками Институт Риск Менеджмента (IRM), Ассоциация Риск Менеджмента и Страхования (AIRMIC) и Национальный Форум Риск Менеджмента в Общественном Секторе

Что дает КСУР компании? 3

PricewaterhouseCoopers 9 октября 2007 Стр. 9 "Управление рисками в России-2007, Эксперт РА 7-й Ежегодный опрос руководителей крупнейших компаний мира проведенный PricewaterhouseCoopers. На графике перечислены преимущества от внедрения КСУР. Дано процентное соотношение респондентов оценивающих положительно или более чем положительно эффект от внедрения системы управления рисками Повышение эффективности корпоративного управления Обеспечение более последовательных процедур обоснованного принятия риска руководством для повышения стоимости компании Повышение уверенности высшего руководства в эффективности бизнес-операций Повышение качества оперативного контроля за результатами деятельности компании Упрощение отчетности регулирующим органам Эффективное информационное взаимодействие с акционерами и заинтересованными сторонами Укрепление репутации компании Упрощение процесса принятия решений на всех уровнях организации Поддержка способности Генерального директора мыслить в корпоративных и инновационных категориях (понимание «big picture») Способствует в достижении стратегических целей Увеличение доходности компании Основные преимущества от внедрения КСУР

PricewaterhouseCoopers 9 октября 2007 Стр. 10 "Управление рисками в России-2007, Эксперт РА Акционеры/Совет директоров: Сводная картина по всем рискам бизнеса. Принятие решений по управлению отдельными рисками с учетом их критичности. Учет рисков при принятии Советом Директоров стратегических решений. Уверенность в достижении параметров бюджета (например, через хеджирование, создание финансового резерва под аварийные ситуации и проч.). Предотвращение внеплановых потерь. Высшее руководство компании: Постановка целей с учетом существующих рисков. Уход от субъективного фактора при оценке угроз. Контроль достижения целей структурных подразделений. Выявление узких мест в операционном процессе. Корректировка бизнес процессов. Закрепление ответственности за управление рисками. Линейный менеджмент: Способ донесения информации по рискам. Учет мероприятий по управлению рисками при бюджетировании. Влияние рисков подразделения на достижение целей компании. Пример: КСУР для основных пользователей в российской промышленной компании

Что значит когда КСУР интегрирована в бизнес планирование? 4

PricewaterhouseCoopers 9 октября 2007 Стр. 12 "Управление рисками в России-2007, Эксперт РА Интеграция КСУР в процесс бизнес-планирования Определяются и формализуются стратегические и тактические цели организации. Стратегические и тактические цели декомпозируются на цели отдельных бизнес-единиц и бизнес-процессов. Определяется «приемлемый» уровень отклонения целей от заданных параметров (задается уровень приемлемого риска). Уровень приемлемого риска по каждой цели согласовывается на уровне менеджмента компании в пределах своих полномочий. Совокупный допустимый уровень риска утверждается советом директоров. Корректировка целей советом директоров, менеджментом (при необходимости). Интеграция с проектной деятельностью.

Какая организационная структура нужна для поддержания функции управления рисками? 5

PricewaterhouseCoopers 9 октября 2007 Стр. 14 "Управление рисками в России-2007, Эксперт РА Типы организационной структуры - Модератор Отдел управления рисками собирает всю информацию по управлению рисками и координирует деятельность по управлению рисками по всей организации. Отдел подчиняется исполнительному директору, ответственному за управление рисками. Внутренний аудит проводит оценку эффективности процессов управления рисками, тестирование ключевых контролей и мероприятий по управлению рисками. Модератор Генеральный директор Бизнес-единицы Внутренний аудит Управление рисками Финансовый дир, Нач.юр.службы Технический дир, Дир. по ИТ и т.п. Руководитель Внутреннего аудита Совет директоров Информационная безопасность Предотвращение рисков мошенничества Страхование Планирование непрерывности бизнеса Исполнительный директор по рискам ЗГД/ ВП Комитет по аудиту

PricewaterhouseCoopers 9 октября 2007 Стр. 15 "Управление рисками в России-2007, Эксперт РА Типы организационной структуры - Исполнитель Отдел управления рисками также отвечает за ключевые мероприятия по управлению рисками в дополнение к функциям сбора информации и координированию деятельности (модератор). Отдел подчиняется исполнительному директору по рискам. Внутренний аудит выполняет ту же роль, что и в варианте «Модератор». Генеральный директор Бизнес-единицы Внутренний аудит Фин.дир, Нач.юр.службы Технический дир, Дир. по ИТ и т.п. Руководитель Внутреннего аудита Совет директоров Информационная безопасность Предотвращение рисков мошенничества Страхование Планирование непрерывности бизнеса Исполнительный директор по рискам ЗГД/ ВП Комитет по аудиту Исполнитель Управление рисками

PricewaterhouseCoopers 9 октября 2007 Стр. 16 "Управление рисками в России-2007, Эксперт РА Типы организационной структуры – «2в1» и Децентрализация Отдел управления рисками отвечает за управление рисками и комплаенс. Обеспечивает, чтобы в организации эффективно действовали контроли (выполнялись мероприятия по управлению рисками), проводит тестирование контролей и мероприятий. Подчиняется Комитету по аудиту и рисками, в сферу ответственности которого входит также и деятельность организации по управлению рисками. Децентрализованное управление рисками. Управление рисками сосредоточено в бизнес-процессах, функциях, бизнес-единицах, которые ответственны за построение и выполнение данной функции в организации. Отчетность и информация по рискам по вертикали и горизонтали передается в рамках существующей организационной структуры. Роль внутреннего аудита – также как и в варианте «Модератор».

PricewaterhouseCoopers 9 октября 2007 Стр. 17 "Управление рисками в России-2007, Эксперт РА Типы организационной структуры – «2в1» и Децентрализация Генеральный директор Бизнес-единицы Управление рисками и внутренний аудит Фин.дир, Нач.юр.службы Технический дир, Дир. по ИТ и т.п. Руководитель внутреннего аудита и управления рисками Совет директоров Информационная безопасность Предотвращение рисков мошенничества Страхование Планирование непрерывности бизнеса Исполнительный директор по рискам ЗГД/ ВП Комитет по аудиту 2 в 1 – Управление рисками и внутренний аудит

Роли риск менеджера, внутреннего аудитора и менеджмента? 6

PricewaterhouseCoopers 9 октября 2007 Стр. 19 "Управление рисками в России-2007, Эксперт РА Внутренний аудит:Менеджмент: Риск-менеджер: При построении организационной структуры необходимо формализовать роли основных участников КСУР Выявление всех рисков, относящихся к сфере компетенции. Мониторинг выявленных рисков. Информирование по реализовавшимся рискам. Разработка мер по снижению последствий "своих" рисков. Анализ затрат на предупреждение рисков и устранение последствий. Выполнение мероприятий по управлению рисков. Анализ портфеля выявленных рисков (причинно-следственные связи, ранжирование и т.п.). Организация информационного взаимодействия в рамках КСУР. Поддержание отчетности по рискам. Координация действий различных подразделений компании в части управления рисками. Мониторинг рисков и контрольных процедур на регулярной основе. Согласование мероприятий по реагированию на риск. Кризис-менеджмент и коррекция процессов (анализ причин реализовавшихся рисков). Обучение персонала. Передача в Совет директоров/ Комитет по аудиту информации обо всех существенных вопросах в области управления рисками. Оценка эффективности процедур управления рисками, соответствия установленному уровню толерантности рискам, контрольных процедур и доведение информации до совета директоров и комитета по аудиту. Планирование аудитов на основе выявленных рисков. Выявление новых рисков в процессе аудитов. Консультации по повышению эффективности ERM и СВК.

Какие задачи будет решать КСУР? 7

PricewaterhouseCoopers 9 октября 2007 Стр. 21 "Управление рисками в России-2007, Эксперт РА Вариант 1: Методологическая поддержка Разделение обязанностей Планирование мероприятий по обеспечению непрерывности деятельности и антикризисное управление Поддержка соблюдения внешних нормативно-правовых требований (комплаенс) Задачи КСУР отражают стратегические цели компании с учетом принятого организационно-функционального дизайна КСУР. Например: Какие задачи основные задачи решает КСУР? Вариант 2: Поддержка функции внутреннего аудита (риски как основа для формирования риск- ориентированного плана аудитов) Формирование сводной отчетности по рискам Обучение Вариант 3: Определение параметров программы страхования (лимитов, франшиз, условий) Управление кредитным риском (мониторинг дебиторской задолженности)

Какие процессы управления рисками должны быть в организации? 8

PricewaterhouseCoopers 9 октября 2007 Стр. 23 "Управление рисками в России-2007, Эксперт РА 1. Выявление рисков 7. Коррекция процессов 6. Анализ причин реализации риска 5. Реагирование на реализовавшийся риск 1.1. Классификатор рисков 2.1. Метрика оценки 2.2. Механизм ранжирования 2.3. Критерии принятия решений 3.2. Процедуры контроля отдельных рисков 4.1. Шаблоны мониторинга 4.2. Карта рисков 4.3. Процедуры по информи- рованию 5.1 кризис менеджмент: критерии инициации процедуры, роли, ответственность, критерии завершения 6.1 процедура расследований реализовавшихся рисков 6.2.процедуры информирования о результатах (lessons learnt) 2. Оценка рисков 3. Реагирование на выявленный риск 4. Мониторинг рисков Коррекция 7.1. процедур КСУР 7.2. бизнес процессов 7.3. триггеров внешней среды Какие процессы управления рисками должны быть в организации? Базовый уровень Продвинутый уровень

С чего начать? 9

PricewaterhouseCoopers 9 октября 2007 Стр. 25 "Управление рисками в России-2007, Эксперт РА Вспомогательные процессы Управление персоналом Информационные технологии Финансы (Корпоративные финансы, Казначейство, Бухгалтерия, Бюджетирование, Налоги, Управленческая отчетность, Управление активами) Охрана труда, окружающей среды, промышленная безопасность Взаимоотношения с внешними сторонами Корпоративное развитие Основной операционный процесс Анализ рынка, клиентов Разработка видения и стратегии Дизайн продукта, услуги Маркетинг, продажи Биллинг и сервисное обслуживание Производство и доставка (логистика) продуктов, услуг Управление рисками и внутренний контроль Сформировать понимание существующих рисков в цепочке стоимости организации

PricewaterhouseCoopers 9 октября 2007 Стр. 26 "Управление рисками в России-2007, Эксперт РА Подход к выявлению и оценке рисков 1. Выявление и приоритезация рисков 2. Оценка рисков, определение ключевых (существенных) рисков, картирование рисков Определение основных проблем (риски или угрозы) с которыми сталкивается компания. Приоритезация и представление в виде списка выявленных рисков. Определение владельцев рисков, т.е. тех, в чьей сфере ответственности находится тот или иной риск. Закрепление риска за владельцем, согласование с руководством компании. Экспертная оценка выявленных рисков. Выделение ключевых рисков, т.е. рисков которыми компания будет целенаправленно управлять (разрабатывать и реализовывать мероприятия по приведению рисков в допустимые, по мнению руководства и акционеров, границы и в дальнейшем оценивать эффективность этих мероприятий). Нанесение рисков на диаграмму цепочки стоимости и визуализация в виде карты рисков.

Как оценить риски (качественно, количественно)? 10

PricewaterhouseCoopers 9 октября 2007 Стр. 28 "Управление рисками в России-2007, Эксперт РА ПодходПримеры«За»«Против» Качес- твенная Матрица вероятность, последствия Цветовое кодирование индикаторов событий риска Ранжирование рисков (по уровням принятия решений) Экспертные оценки Вопросники и структурированные интервью Расчет не представляется трудоемким и особенно сложным Общие формулировки критических рисков Меньше времени на выявление и оценку рисков Отсутствие численных (количественных) расчетов Субъективные оценки Чувствительна к проводящему интервью Полуколи- чественная Матрица вероятность, последствия с описанием значений шкал Достаточно простое определение вероятности, последствий по заданной формуле Возможность быстрого перехода на количественные методы Использование количественных значений без детального количественного анализа может привести к упрощению рисков Количест- венная Анализ причин отказов и последствий Статистический анализ данных Дерево событий/рисков Диаграммы влияния Анализ затрат по жизненному циклу Сетевые методы Вероятностный анализ Компьютерное моделирование (например, метод Монте-Карло) Маркетинговые исследования Модель определения стоимости капитальных активов (CAPM) Объективные оценки, основанные на данных Расчет вероятностей и последствий, затрат/ выгод и т.д. последовательный и повторяемый Возможность компьютерного расчета, более точные оценки, просты для восприятия и пересчета Сложные расчеты, требующие пояснений Трудоемкий сбор качественной информации, на основании которой строится модель По оценкам требует во много раз больше трудозатрат, если расчеты производятся без средств автоматизации Чувствительность к ошибке Ограничения к применению Уровень сложности Уровень требований к данным Как оценить риски? Высокий Низкий Высокий Низкий

Кто получатель информации в системе управления рисками? 11

PricewaterhouseCoopers 9 октября 2007 Стр. 30 "Управление рисками в России-2007, Эксперт РА Пример: получатели информации в системе управления рисками. Внешняя среда: Партнеры и конкуренты. Государственные регулирующие органы и органы регулирования рынка ценных бумаг. Связи с общественностью в регионах присутствия. Рынки капитала и страховые рынки. Внутри организации: Служба внутреннего аудита. Департамент стратегического управления. Финансовый департамент, бюджетный департамент. Производственные департаменты. Департамент управления персоналом. Департамент ИТ. Департамент правового обеспечения. Подразделение по страхованию. месяц % квартал % год % Высшее руководство Совет директоров Акционеры Всей организации Регуляторы % 20% 40% 60% 80% 100%

Какое программное обеспечение необходимо для поддержки КСУР? 12

PricewaterhouseCoopers 9 октября 2007 Стр. 32 "Управление рисками в России-2007, Эксперт РА Альтернативы при выборе: Самостоятельная разработка или готовый продукт Интеграция с внутренним аудитом и/или внутренним контролем Хранение информации и отчетность, мониторинг в режиме реального времени Экспертная оценка рисков или точная количественная оценка Расчет параметров программы по управлению рисками (например, хеджирование) В КСУР должны быть разработаны инструменты, которые эффективно поддерживают функцию управления рисками и соответствуют текущим требованиям бизнеса

Какие препятствия могут быть в процессе внедрения КСУР? 13

PricewaterhouseCoopers 9 октября 2007 Стр. 34 "Управление рисками в России-2007, Эксперт РА Какие препятствия могут быть на пути к внедрению? 1. Недостаточно четко формализованы цели организации 2. Сложности в интеграции КСУР в процесс принятия решений высшим руководством 3. Превалирует контрольная функция риск-менеджера. 4. Излишняя бюрократизация процесса управления рисками. 5. Недостаточная поддержка и понимание функции производственными подразделениями. 6. Неверный выбор ИТ платформы. Самые сложные Персонал 20 Наличие информации 17 Чрезмерное регулирование 13 Несвоевременная информация 13 Несоответствие ожиданиям руководства 11 Компетенция 1010 Организационная структура 5 Технологии 5 Требуемые инвестиции 4 Структура службы внутреннего аудита % 10% 20% 30% 40% 50% 60% 70%

Вопросы?

Наши контакты: Мишель Мур Партнер Тел:+7 (495) Денис Камышев Старший менеджер Тел:+7 (495) © 2007 "ПрайсвотерхаусКуперс Раша Б.В.". Все права защищены.Под "PricewaterhouseCoopers" понимается компания "ПрайсвотерхаусКуперс Раша Б.В." или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть компаний PricewaterhouseCoopers International Limited, каждая из которых является самостоятельным юридическим лицом. *connectedthinking является зарегистрированным товарным знаком, принадлежащим PricewaterhouseCoopers LLP. Настоящая презентация подготовлена исключительно для создания общего представления об обсуждаемом в ней предмете и не является профессиональной консультацией. Не рекомендуется действовать на основании информации, представленной в настоящей брошюре, без предварительного обращения к профессиональным консультантам. Не предоставляется никаких гарантий, прямо выраженных или подразумеваемых, что информация, представленная в настоящей публикации, является полной. Сеть PricewaterhouseCoopers, ее члены, сотрудники и агенты не несут никакой ответственности за последствия чьих-либо действий или отказа от действий, основанных на информации, содержащейся в настоящей публикации, или за принятие решений на основании информации, представленной в настоящей публикации.