Нормативная плоскость базисной системы риск-менеджмента

Четвертой плоскостью БСРМ является нормативная плоскость, которая охватывает внутренние документы организации по вопросам управления рисками. В России пока нет своего национального стандарта по управлению рисками (но работы по его разработке уже ведутся [11; 31; 63]), поэтому при разработке нормативных документов отечественные специалисты по рискам руководствуются международными стандартами (табл. 2.4).

Основные стандарты в области управления рисками

Таблица 2.4

Название стандарта

Краткое описание

FERMA/AIRMIC/ALARM/

IRM Risk Management Standard (FERMA)

Европейский стандарт, раскрывающий основные этапы процесса управления рисками, а также условия, необходимые для правильной организации данного процесса

ISO 31000 Risk management-Principles and guidelines (ISO 31000)

Британский стандарт, пришедший на смену FERMA /AIRMIC/ALARM/ IRM Risk Management Standard

The COSO Enterprise Risk Management - Integrated

Framework (COSO ERM)

Является эволюцией более раннего стандарта по внутреннему аудиту «The COSO Internal Control - Integrated Framework». Он затрагивает внутренние системы контроля в компании (контроль факторов среды, оценка последствий рисковых событий, мероприятия по контролю, передаче информации, мониторингу)

The Turnbull Report

Устанавливает требования к организации аудита и управлению рисками организаций, котирующихся на фондовых площадках

The Australia /New Zealand Standard AS/NZS 4360:2004

Цель стандарта - определение общих требований для выявления условий возникновения, идентификации, обмена информацией, анализа, мониторинга рисков

The Cadbury and the Combined Code

Стандарт аналогичен COSO. Основной акцент сделан на процесс внутреннего контроля и аудита

The Criteria of Control Board (CoCo)

Аналог COSO, предлагающий двадцать параметров эффективного внутреннего аудита, разбитых на четыре группы: возможность, обязательство, мониторинг и обучение

The Control objectives for information and related technologies (Cobit)

Устанавливает общие основы безопасности и контроля в сфере информационных технологий на международном уровне

BASEL II

Регламентирует управление рисками в банковском бизнесе, при этом ряд положений может быть применен и к другим отраслям

Необходимо отметить, что в связи с выпуском нового стандарта ISO 31000 Risk management - Principles and guidelines [113], поддержка организацией FERMA стандарта AIRMIC/IRM/ALARM Risk Management Standard была прекращена, однако никто не запрещал его применять на практике, а потому он до сих пор активно применяется, хотя количество организаций, следующих ему, сократилось.

Из стандартов, приведенных в табл. 2.4, на практике чаще всего используются следующие [59; 141; 147]:

  • 1) AIRMIC/IRM/ALARM Risk Management Standard;
  • 2) the Australia/New Zealand Standard AS/NZS 4360:2004;
  • 3) the COSO Enterprise Risk Management - Integrated Framework.

При выборе того или иного стандарта необходимо руководствоваться тем, что каждый из них имеет свои отличительные особенности.

Во-первых, стандарт AIRMIC/IRM/ALARM Risk Management Standard разработан специалистами по управлению рисками для постановки системы риск-менеджмента любой организации. Стандарт The Australia/New Zealand Standard AS/NZS 4360:2004 во многом совпадает с предыдущим стандартом, но порядок ключевых процессов управления рисками несколько иной. Стандарт the COSO Enterprise Risk Management - Integrated Framework ориентирован, прежде всего, на повышение достоверности отчетности организаций и проведение аудиторских проверок. Поэтому первый и второй стандарты наиболее удобны для большинства сотрудников организации, а третий - для внутренних аудиторов.

Во-вторых, стандарт AIRMIC/IRM/ALARM Risk Management Standard обладает четко определенной последовательностью действий по постановке системы управления рисками и содержит конкретные рекомендации. Это позволяет использовать его при постановке системы управления рисками неподготовленному сотруднику. Внедрением стандартов The Australia/New Zealand Standard AS/NZS 4360:2004 и the COSO Enterprise Risk Management - Integrated Framework, по нашему мнению, должны заниматься опытные специалисты в области риск-менеджмента.

В-третьих, у каждого из этих стандартов разные пользователи и разные законодательные требования. Стандарты AIRMIC/IRM/ALARM Risk Management Standard и Australia/New Zealand Standard AS/NZS 4360:2004 предназначены, прежде всего, для специалистов по управлению рисками и фактически представляет собой необязательные рекомендации. Стандарт The COSO Enterprise Risk Management - Integrated Framework является обязательным для публичных организаций в США.

Все эти стандарты, несмотря на существенные различия, имеют много общего:

  • - дают определения базовым понятиям системы управления рисками;
  • - представляют управление рисками как процесс, отмечая необходимость применения гибкого подхода при выполнении тех или иных этапов процесса;
  • - могут быть применимы к широкому спектру организаций и отраслей;
  • - определяют место управления рисками в общей системе управления организацией;
  • - признают, что риски обладают двойственной природой, выражающейся в положительных или отрицательных результатах;
  • - излагают этапы процесса управления рисками, давая краткое описание каждого из них.

Ключевым моментом при работе с этими стандартами является то, что любой из них может стать основой для создания системы риск-менеджмента организации. При этом если цель организации - размещение акций на Нью-Йоркской фондовой бирже, то, разумеется, необходимо выбрать the COSO Enterprise Risk Management - Integrated Framework. Если же цель организации - построить систему управления рисками для внутреннего пользования, то целесообразно использовать AIRMIC/IRM/ALARM Risk Management Standard и Australia/New Zealand Standard AS/NZS 4360:2004, хотя и эти стандарты определяют требования к раскрытию информации. БСРМ, которую мы создаем, соответствует многим положениям вышеописанных стандартов.

На текущий момент отечественные организации чаще стремятся разработать и внедрить такие документы, как «Политика по управлению рисками», «Отчет о рисках» и «Карта рисков» [24]. Это можно объяснить тем, что российские специалисты по управлению рисками стараются начинать разработку документарной базы не с подробных правил и регламентов управления рисками, а со своеобразной подстраховки процесса внедрения системы риск-менеджмента - фиксирования объекта управления через документы «Отчет о рисках» и «Карта рисков». В го же время, организации на начальном этапе внедрения системы риск-менеджмента необходимо обеспечить гибкость этого процесса посредством простых правил управления рисками, формализованных в виде документа «Политика по управлению рисками», носящего общий характер.

По нашему мнению, в БСРМ, наряду с вышеназванными документами, должны входить «Стратегия в области управления рисками», которая будет носить более детальный характер в отличие от «Политики по управлению рисками», и «Карточка описания риска» (рис. 2.8).

Рассмотрим каждый из представленных документов более предметно.

1. «Политика по управлению рисками» служит основным определяющим документом организации по управлению рисками [146]. Она должна представлять собой общий концептуальный документ, содержащий единые подходы и принципы управления рисками, а также закрепляющий основные положения культуры риска.

Документ «Политика по управлению рисками» должен быть утвержден главным исполнительным органом организации и пересматриваться либо по инициативе собственников организации, либо по инициативе главного исполнительного органа, но не по инициативе подразделения по управлению рисками и не по инициативе внутреннего аудита организации.

Наличие «Политики по управлению рисками» предоставляет организации следующие преимущества [93]:

  • - руководство организации формализует и доводит до работников свою позицию относительно рисков, это фокусирует внимание последних на вопросах управления рисками;
  • - служит основой при подготовке прочих нормативных документов.
  • 2. Под «Стратегией в области управления рисками» (далее - «Стратегия») понимается комплекс направлений и способов использования средств, взаимосвязанных принципов и методов, направленных на достижение поставленных целей [19]. Основной целью «Стратегии» является внедрение в организации эффективного механизма идентификации, оценки и контроля рисков. «Стратегия» в рамках БСРМ должна включать в себя основные подходы при организации управления группами и частными рисками.

«Стратегию в области управления рисками», как и большинство других видов стратегий, необходимо формализовать [21 ] в виде отдельного нормативного документа, что позволит зафиксировать в ней все аспекты

управления. В качестве приложения к ней могут выступать различные документы, необходимые для достижения определенных целей «Стратегии», например, «Порядок управления операционными рисками».

«Стратегию в области управления рисками» утверждает главный исполнительный орган организации, а пересмотр производится либо по инициативе собственников, либо главного исполнительного органа организации, но не по инициативе подразделения по управлению рисками и не по инициативе внутреннего аудита организации, но с учетом предложений подразделения по управлению рисками организации.

3. Вся информация, полученная в ходе качественного и количественного анализа рисков, должна быть записана [116]. Процесс записи полученных данных называется описанием рисков, а документы, в которые заносятся сведения, называются «Карточка описания риска» и «Отчет о рисках».

Описание рисков должно быть максимально подробным и выполнено в определенном формате, что позволит упростить дальнейшую работу с рисками [146]. Если принимать во внимание последствия и вероятность каждого из рисков, то надлежащий формат описания рисков даст возможность расставить приоритеты и выделить те риски, подробное изучение которых требуется.

Таблица 2.5

Карточка описания риска

№ п/п

Наименование блока

Блок для заполнения

1

Наименование риска

Идентификационный признак или номер риска

2

Основные структурные элементы риска

Факторы, источник и причины рисковых событий

3

Описание риска

Качественное описание событий, их масштаба, типа, количества и сферы воздействия

4

Классификационная группа риска

Стратегический, финансовый, операционный, репутационный, юридический

5

Заинтересованные

лица

Заинтересованные лица и их ожидания

6

Количественное / качественное определение риска

Существенность и вероятность / возможность

7

Данные о потерях

Аналогичные рисковые события, описания потерь предшествующих периодов

8

Допустимость и приемлемость риска

Потенциальные убытки и финансовое воздействие риска.

Цена риска.

Вероятность и объем потенциальных убытков / прибылей.

Цель (цели) управления рисками и желаемый уровень исполнения поставленных задач. Склонность к риску

9

Механизмы управления и контроля над рисками

Первичные средства управления рисками, действующие в настоящее время.

Степень надежности существующих механизмов контроля над рисками.

Существующие протоколы учета и анализа контроля над риском

10

Возможности для

улучшения

Рекомендации по снижению риска.

Время, необходимое для внедрения рекомендаций.

Лица, ответственные за улучшение

Стандарт FERMА [119] предлагает свой вариант «Карточки описания риска». Нами доработан этот вариант с учетом особенностей БСРМ, в частности добавлен раздел об основных содержательных компонентах риска, рассмотренных в главе 1 (табл. 2.5). Сделано это для того, чтобы можно было понять, с учетом каких факторов, источников и причин рисковых событий риск-менеджер принимал решения по управлению рисками.

Информация, содержащаяся в «Карточке описания риска», переносится в «Отчет о рисках». Стандарты FERMA [116] и ISO 31000 [113, 152] не задают форму «Отчет о рисках», но задают требования к нему и предусматривают формирование его в двух вариантах для разных категорий пользователей:

1) «Отчет о рисках» для внутренних пользователей может быть представлен в виде таблицы с описанием рисков. На основании рекомендаций стандарта FERMA [119] нами разработана форма «Внутренний отчет о рисках (упрощенный)» (табл. 2.6).

Таблица 2.6

Внутренний отчет о рисках (упрощенный)

Номер на легенде

Наименование

риска

Описание

риска

Вероятность,

%

Ущерб,

руб.

В случае необходимости, например по итогам разработки мероприятий управления рисками, собственникам организации или главному исполнительному органу может быть представлена форма «Внутренний отчет о рисках (расширенный)» (табл. 2.7).

Внутренний отчет о рисках (расширенный)

Номер на легенде

Наименование

риска

Возможные мероприятия по управлению рыском

Ориентировочная стоимость мероприятий, руб.

Текущее значение риска, руб.

Остаточный риск, руб.

Изменение математического ожидания, руб.

Отношение изменения к стоимости мероприятий

2) «Отчет о рисках» публичных компаний для внешних пользователей должен отвечать требованиями законодательства. В России действует Приказ ФСФР «Об утверждении положения о раскрытии информации эмитентами эмиссионных ценных бумаг» от 10 октября 2006 г. № 06-117/пз-н, в котором указано, что проспект ценных бумаг должен содержать подробный анализ факторов риска, в частности отраслевых, страновых и региональных, финансовых, правовых, а также рисков, связанных с деятельностью эмитента. Кроме того, должна быть описана политика эмитента в области управления рисками.

В зарубежных странах принимают собственные правила по раскрытию информации в «Отчете о рисках» для внешних пользователей [119], а именно:

  • - методы контроля, в особенности касающиеся сферы ответственности в вопросе управления рисками;
  • - процессы, использовавшиеся для идентификации рисков, и то, каким образом они рассматриваются в рамках систем управления рисками;
  • - первичные системы контроля, предназначенные для управления значительными рисками;
  • - существующие системы мониторинга и обзора;
  • - любые значительные недостатки, выявленные системой, или недостатки самой системы вместе с мерами, предпринятыми компанией для исправления ситуации.

Заметим, что разработанная нами форма «Внутренний отчет о рисках (расширенный)» (табл. 2.7) нуждается всего лишь в незначительной доработке для соответствия требованиям внешних отчетов зарубежных стран.

4. «Карта рисков» содержит информацию о вероятности и последствиях каждого индивидуального риска из «Отчета о рисках» организации и позволяет проводить быстрое и удобное сопоставление величины рисков со склонностью к рискам всей организации.

Наиболее часто используемым вариантом построения «Карты рисков», если необходимо провести качественный анализ, является двухмерный график, где по оси «X» откладывается шкала последствий (ущерба), а по оси «У»- возможность или вероятность. Риск

размещается в точку пересечения его возможности или вероятности и последствий.

л

н

о

о

X

*

о

Высокая

Выше

5 среднего

о

со

Ниже

среднего

Низкая

©

17

» I © ® (2

©

__ ©

©

©

Э©

©

о

тя

©

.. Ниже Выше _

Малые Большие

среднего среднего

Последствия (ущерб)

о

- линия склонности к

риску

- риск

X

Рис. 2.9. Карга рисков качественной оценки

На «Карте рисков» размещается кривая линия, показывающая уровень склонности к риску. Риски, которые находятся выше данной кривой, считаются выше желаемых, а риски, расположенные ниже границы, воспринимаются как приемлемые. Разумеется, что в первую очередь должны разрабатываться программы по управлению рисками, находящимися выше кривой. Риски, расположенные ниже линии склонности, управляются в рабочем порядке.

Наряду с двухмерной «Картой рисков» может быть построена трехмерная карта, показывающая динамику изменения рисков с течением времени или различные сценарии развития событий. «Карта рисков» может быть построена либо для всей организации, либо для какого-либо подразделения. Кроме того, «Карты рисков» могут быть составлены для всех направлений деятельности организации или для отдельного проекта [51].

Наиболее простая «Карта рисков» возникает для качественного анализа. В этом случае шкалы возможности и последствий (ущерба) делятся на 2, 3, 4 или другое количество элементов, а каждый риск обозначается соответствующим ему порядковым номером и размещается в соответствующем квадрате. Выбор линии склонности к риску осуществляется решением руководства организации (рис. 2.9).

Если был проведен количественный расчет рисков, то карта будет иметь другой вид. В этом случае линия склонности будет выглядеть как

кривая. Шкала по вероятности всегда будет линейной. Шкала по последствиям (ущербу) может быть либо линейной (матрица слева на рис. 2.10), либо логарифмической (матрица справа на рис. 2.10).

-линия склонности к риску

Рис. 2.10. Виды карт рисков количественной оценки

- риск

о

Более наглядной является «Карта рисков» с линейной шкалой, потому что на ней, в отличие от карты с логарифмической шкалой, одинаковые расстояния имеют и одинаковые масштабы. С учетом того, что склонность к риску ЩК) является величиной постоянной, линия склонности к риску всегда будет гиперболой, строящейся по следующей формуле:

Ь/Я= рШЮ-сШЮ, (2.18)

где р(ЦЯ) - вероятность, соответствующая заданному уровню склонности к риску и ущербу; с(ЦК) - последствия (ущерб), соответствующие заданному уровню склонности к риску и вероятности.

«Карта рисков» должна разрабатываться, периодически обновляться и выноситься на рассмотрение уполномоченного органа в соответствии со сроками, закрепленными во внутренних документах организации. По нашему мнению, она должна пересматриваться не реже одного раза в месяц. «Карта рисков» помогает [51]:

определить склонность к рискам по всем направлениям деятельности организации;

  • - выявить критически важные риски, смягчать их и обеспечивать управление ими;
  • - разработать динамическую модель рисков организации, влияющих на достижение целей.
 
< Пред   СОДЕРЖАНИЕ     След >