Определение уровня рисков по основным направлениям деятельности, ключевым бизнес-процессам и разработка стратегии реагирования

Помимо рисков, связанных с действиями регулятора, чрезвычайно важное значение в условиях информатизации экономики для компаний имеют операционные риски. На это обращают внимание В.В.

ванного просмотра или изменения финансовой информации по счету клиента или во внутренней сети..» [60, с. 173]. Из этого следует, что в формируемых корпоративных системах управления рисками особое значение необходимо уделять также операционным рискам, которые в значительной степени влияют на финансовые результаты компании.

В процессе управления рисками необходимо определить ключевые бизнес-процессы по видам деятельности и возможные риски. Так при анализе финансовых показателей и областей риска в компании в ходе исследований выделены следующие направления в текущей деятельности, существенно влияющие на достижение планируемых финансовых целей, доходов компании:

оказание и продвижение «новых услуг»;

учет трафика в автоматизированной системе расчетов (АСР);

учет расчетов с присоединенными операторами;

оказание универсальных услуг связи;

осуществление контроля процедур по инвестиционной деятельности.

По данным направлениям выделены основные бизнес-процессы и определены ключевые точки их контроля, а также разработаны процедуры контроля и методики аудита по каждому бизнес-процессу.

В качестве примера разработана схема выявления основных ключевых точек одного из бизнес-процессов (рис. 2.14).

Более детальное описание бизнес-процессов на примере привлечения заемных средств и описание возможных рисков вынесено в Приложения К, К.1,К.2.

Диагностика рисков в бизнес-процессах проводится на основе анализа документированных бизнес-процессов компании.

Рис.2.14. Пример описания ключевых точек бизнес-процесса

(разработано автором)

Анализ бизнес-процесса и выявление риска раскладывается на следующие стадии:

разложение бизнес-процессов на подпроцессы в связке «функция- событие»;

выявление в каждой связке после реализации функции возможных рисков;

проверка актуальности причинно-следственной связи между выявленным риском и документированной функцией;

документирование выявленных рисков.

Всем выявленным рискам присваивается идентификационный номер показывающий принадлежность риска к определенному бизнес-процессу. Данные из таблицы с выявленными рисками по каждому бизнес-процессу добавляются в базу данных бизнес-процессов.

В результате диагностики бизнес-процессов и выявленных рисковых событий каждого бизнес-процесса осуществляется формирование реестра (перечня) рисков процесса.

Дальнейший шаг при формировании системы управления рисками - группировка и классификация рисков для их оценки и выбора адекватного метода управления.

В целях комплексного изучения рисков бизнес-процессов компании необходимо все возможные риски распределить по различным группам в зависимости от цели классификации. Составление классификации преследует несколько целей:

произвести предварительный «отсев» незначительных рисков на основании мнений функциональных экспертов;

подготовить материал в удобном виде для проведения качественной и количественной оценки рисков.

Классификация рисков бизнес-процессов производится на основе метода экспертных оценок. Для классификации рисков во взаимосвязи с конкретным бизнес-процессом предложена таблица, в которой каждому бизнес-процессу будет соответствовать перечень рисков (Приложение Д).

Классификация может осуществляться с использованием различных подходов.

Классификация по типу объекта - позволяет объединить риски по направлению возможного ущерба (риски, влияющие на изменение стоимости или функциональности собственности (имущества);риски, влияющие на изменение доходов; риски, влияющие на персонал; риски, результатом проявления которых является возникновение ответственности, например, профессиональная ответственность).

Цель этой классификации - оказать помощь при оценке степени влияния негативных последствий риска. В зависимости от классификационной группы выбирается методика оценки степени влияния риска: либо это прямой ущерб, либо это потеря упущенной выгоды, либо это дополнительные затраты, связанные с судебными разбирательствами и возникновением профессиональной ответственности и т. д.

Классификация по степени зависимости потерь (ущерба) от исходного события - позволяет оценить взаимосвязь первичных и вторичных рисков, то есть влияние неблагоприятного события и его последствий на взаимосвязанные и кросс-функциональные риски.

Первичные риски связаны непосредственно с неблагоприятным событием, а вторичные - с последствиями неблагоприятного исходного события (например, в случае риска ограниченности финансового рынка и рынков капитала, при привлечении долгосрочного валютного кредита под высокий процент с ограничениями по досрочному погашению и наличием условий о возможности изменения процентных ставок заимодавцем, имеется процентный риск (первичный риск), а в условиях резкого роста курсов валют возникает валютный риск (вторичный риск)).

Цель этой классификации - не упустить из внимания вторичные риски (поскольку при диагностике рисков даже опытные специалисты часто упускают из виду потери, связанные с вторичным проявлением вызванной риском проблемы).

Классификация по уровню возникновения и проявления риска - позволяет фиксировать риски и их влияние на разных уровнях управления (на уровне Компании, на уровне филиала; на уровне структурного подразделения).

Цели этой классификации - помочь в оценке вероятности возникновения рисков на разных уровнях управления и при разработке механизмов снижения вероятности рисков (один механизм может снизить вероятность возникновения всех рисков, входящих в одну группу по уровню возникновения).

Классификация по зависимости от времени осуществляется по двум группам - статические риски и динамические риски.

Первая группа включает в себя риски, не зависящие от времени, вторая - изменяющиеся во времени риски (например, риск аварий зависит от времени в силу зависимости степени износа оборудования от времени).

Цель этой классификации - оказать помощь при оценке вероятности возникновения рисков в зависимости от времени: вероятность возникновения

статических рисков не меняется во времени, вероятность возникновения динамических изменяется. Вероятность динамических рисков измерить сложно, поэтому рекомендуется использовать укрупненное значение периода, например фазу бизнес-процесса.

Классификация по степени распространенности риска осуществляется по двум группам - типичные (массовые) и специфические (уникальные).

По типичным (массовым) рискам, как правило, имеется статистическая информация, а значит, оценить их можно достаточно точно. По специфическим рискам невозможно собрать статистические данные, но, как правило, ущерб от них серьезен и ими обязательно нужно управлять.

Цель данной классификации - сориентироваться на предмет использования статистической информации при оценке вероятности возникновения рисков и степени влияния негативных последствий в случае его проявления.

До этапа разработки, согласования и утверждения стратегии и планов действий по управлению рисками бизнес-процессов, определения необходимых ресурсов, проводится углубленная качественная и количественная оценка экспертами с учетом всевозможных влияний различных факторов.

Так например, при поиске дополнительных резервов оборотных средств и источников поступлений в 2006 году были проведены исследования и оценка рисков бизнес-процессов в блоке учетных процессов.

Необходимость повышенного уровня контроля и управления рисками в области налоговой оптимизации была обусловлена тем, что уровень налоговых рисков и рисков, связанных с формированием отчетности, экспертами на тот момент оценивался как очень высокий и существенный - около 100 млн.долл. США. Поэтому разработанный комплекс мероприятий по минимизации налоговых рисков предусматривает: оптимизацию организационной структуры общества и учетных служб, переход на единое программное обеспечение, централизацию наиболее рисковых объектов учета, углубление специализации по направлениям, создание методологии по бизнес-процессам, улучшение организации взаимодействия с налоговыми органами и организация процесса подго

товки и передачи документов налоговым органам. Разработка и реализация этих мероприятий позволила существенно минимизировать риск предъявленных санкций и претензий со стороны налоговых органов на этапе до начала документальной налоговой проверки, что подтвердилось косвенно и суммой налоговых доначислений по налоговым проверкам (за период 2002-2003 гг. более 1,1 млрд. руб., за период 2004-2006 гг. около 0,3 млрд. руб.).

Особенностью является то, что компания имеет многофилиальную структуру, осуществляет централизованные закупки, платежи и расчеты, с одновременным распределением объектов поставки по филиалам. Принимая во внимание объем оборотов по расчетам с контрагентами, риски, связанные с несвоевременным возмещением налога на добавленную стоимость (НДС) - являются существенными. В связи с этим, для минимизации рисков, связанных с НДС, аналитические процедуры были проведены в 2006 году в три этапа: определение наличия остатков не возмещенного НДС по приобретенным материальным ценностям, работам и услугам; определение расчетного НДС, не подлежащего возмещению, исходя из наличия активов, не введенных в эксплуатацию и расходов будущих периодов; определение расчетного неоплаченного НДС, не подлежащего возмещению, исходя из требований налогового законодательства. Полученные расчетные величины, определили зону риска. Сумма, определяющая количественную величину риска отвлечения оборотных средств, оказалась существенной (среднее расчетное значение получилось свыше 10 млн. долл. США). После проведения мероприятий и контрольных процедур на первом этапе сумма налога к уплате была уменьшена более чем на 4,5 млн.долл. США и, соответственно, появился дополнительный объем свободных средств в бюджете компании. Кроме того, были внесены изменения в перечень действующих контрольных процедур и систему аналитического учета с целью дальнейшей минимизации указанного риска.

В ходе исследований бизнес-процессов по блоку управления инвестициями были выявлены риски вложения средств в убыточные проекты и проекты с длительным периодом окупаемости, риски искажения инвестиционных бюдже

тов, риски дефицита инвестиционного бюджета, риски намеренного нарушения персоналом процедур.

Экспертами, с участием автора исследования, разработаны предложения по оптимизации бизнес-процессов по инвестиционному планированию и реализации инвестиционных проектов, введена система мониторинга устранения зафиксированных рисков, предложен расширенный перечень мероприятий по контролю и анализу.

В системе управления рисками имеются финансовые риски, связанные с закупочной (тендерной, конкурсной) деятельностью.

Закупочная деятельность компании регламентируется Типовым положением о процедуре проведения конкурса по выбору поставщиков региональными конкурсными комиссиями. В соответствии с данным положением все закупки компании по основной номенклатуре оборудования и материалов осуществляются посредством проведения унифицированных конкурсных мероприятий. Также в компании сформированы центры ответственности, которым переданы функции по проведению конкурсных мероприятий, заключению договоров и контролю их исполнения, определены составы конкурсных комиссий по основным типам закупаемого оборудования и материалов.

При этом на основании проводимого годового анализа всех осуществленных закупок формируется номенклатура оборудования и материалов, на поставку которых конкурсные мероприятия инициируются на уровне Генеральной дирекции компании, а также номенклатура оборудования и материалов, на поставку которых конкурсные мероприятия разрешено проводить на уровне филиалов компании.

В каждом филиале созданы конкурсные комиссии, которые осуществляют выбор поставщиков оборудования и материалов по утвержденной номенклатуре.

Необходимо отметить, что существующая процедура инициирования и проведения конкурсных мероприятий в компании позволяет минимизировать и нивелировать возникающие риски:

риск ненадлежащего исполнения поставщиками или отказа поставщиков от исполнения обязательств по заключенным с ними договорам, необходимым для развития бизнеса компании;

риск выбора поставщиков, которые в силу определенных обстоятельств ограниченной платежеспособности и технической невозможности не смогут выполнить взятые на себя обязательства;

риск закупки товаров, работ, услуг по завышенной цене;

риск просрочки поставок;

риск, связанный с таможенным оформлением при импортных поставках.

Кроме этого эта процедура позволяет получить экономический эффект путем оптимизации цены, качества, условий расчетов и т.д. и обеспечить прозрачность выбора контрагентов.

В целях дальнейшего совершенствования и оптимизации бизнес- процессов в области закупок компании, регламентации и контроля соблюдения соответствующих процедур, разработано актуализированное Положение «О едином порядке проведения конкурсов в компании по выбору подрядчиков, поставщиков оборудования, продукции, консультационных, рекламных и иных видов услуг». В данном Положении в частности увеличивается доля ответственности Инициатора закупки за финансовые последствия неэффективных закупок.

В части совершенствования управления финансами (кредитной политикой) экспертами, совместно с автором исследования, проведена работа по оптимизации кредитного портфеля. Часть краткосрочной задолженности переведена в долгосрочную путем получения долгосрочных кредитов со сроком погашения три года и размещения облигационных займов со сроком погашения четыре года. Проведена реструктуризация задолженности перед поставщиками и подрядчиками путем выдачи векселей со сроком погашения 1,5 года. Внедрен механизм оперативного (ежедневного) управления денежными потоками. В ходе мониторинга и тестирования показателей и эффективности бизнес-процессов экспертами были отмечены риски падения кредитного рейтинга, несвоевремен

ного выполнения обязательств по долгам, риски роста стоимости привлеченных средств. Поэтому владельцами рисков проведена дополнительная работа по оптимизации кредитного портфеля и по переводу краткосрочной задолженности в долгосрочную, путем получения долгосрочных западных кредитов. Это позволило в 2006-2007 гг. минимизировать возможные риски посредством рефинансирования банковских кредитов и увеличения дюрации кредитного портфеля. Достигнута договоренность с кредиторами о равномерном распределении платежей на период с 2008 по 2013 год.

При оценке рисков и их последствий необходимо исходить из приемлемого уровня риска, затрат на его минимизацию до приемлемого уровня, а также из оценки управляемости и существенности, влияния и вероятности.

Управляемость рисков оценивается на основе экспертного подхода с применением критериев, представленных в таблице 2.1.

Таблица 2.1.

Критерии управляемости рисков

Целесообразно установить определенные параметры существенности рисков (рис. 2.15).

Приемлемый для акционеров уровень риска является мерой, определяющей уровень толерантности (терпимости, склонности) акционеров компании к риску. Приемлемый для акционеров уровень риска утверждается Советом директоров компании по представлению Комитета Совета директоров по аудиту. Риски, уровень существенности которых превышает приемлемый для акционеров уровень риска, выносятся на рассмотрение Совета директоров.

Контроль процесса управления умеренными рисками осуществляется Комитетом по рискам и Владельцами рисков.

Порог существенности на 2009 г. устанавливается в пределах 0,5% от годовой выручки Общества на последнюю отчётную дату = 100

млн.руб.

По влиянию на финансовые результаты деятельности

Существенные риски > 100 млн.руб.

Умеренные риски от 50 млн.руб. до 100 млн.руб.

Несущественные риски < 50 млн.руб.

По вероятности реализации рискового события Высокая (реализация рискового события каждый год или чаще) Средняя (реализация рискового события каждые 2-5 лет)

Низкая (реализация рискового события каждые пять лет и реже)

Рис. 2.15. Параметры существенности рисков

Оценка рисков по социальному критерию осуществляется экспертным путем на основании имеющегося опыта. Данный критерий используется для оценки рисков с точки зрения их влияния на возможность выполнения компанией государственных программ по обеспечению связью населения и организаций региональных филиалов в регионах покрытия, включая три группы абонентов: спецсвязь (3); социально значимые учреждения и экстренные службы (2); прочие абоненты (1 ). Для определения уровня существенности риска по данному критерию используется две категории показателей:

длительность периода отказа в обслуживании;

территориальный охват.

С участием автора исследований разработана методика количественной оценки наиболее существенных рисков.

Репутационный критерий предполагает оценку рисков с точки зрения их влияния на репутацию и имидж как компании, так и холдинга в целом.

Влияние на репутацию может выражаться в публикации негативной или позитивной информации о компании в средствах массовой информации, пресс- релизах и т.д., а также в публичном раскрытии такой информации любым другим путем. Оценка рисков по репутационному критерию производится на основе предположений о видах потенциальных источников раскрытия информации и масштабах влияния такой информации на репутацию компании.

Экспертное мнение следует применять только в случае практической невозможности количественной оценки риска на основании имеющегося статистического, вероятностного и математического аппарата.

На этом этапе выбора процедур управления рисками производится сопоставление эффективности различных методов воздействия на риск (избежание риска, снижение риска, принятия риска на себя, передачи части или всего риска третьим лицам), которое завершается выработкой стратегии управления риском. В основе разработки стратегии управления рисками лежит два показателя: уровень существенности рисков и степень управляемости рисков.

Стратегии реагирования на риск могут быть следующими:

Принятие риска - стратегия, в рамках которой не предусматривается каких-либо специальных действий в отношении определенного риска. Обычно данная стратегия применяется в случаях, когда уровень риска до проведения каких-либо мер по его снижению не превышает приемлемого для акционеров уровня;

Предупреждающее воздействие - стратегия, предусматривающая воздействие на причины риска (рискообразующие факторы). Обычно данная стратегия применяется в отношении рисков с достаточным уровнем управляемости;

Последующее воздействие - стратегия, предусматривающая воздействие на последствия реализации рискового события. Обычно данная стратегия применяется в отношении рисков, характеризующихся низким уровнем управляемости и/или низкой вероятностью реализации;

Страхование, хеджирование рисков, а также разработка планов чрезвычайных мероприятий, планов по обеспечению непрерывности бизнеса и т.п.;

Отказ от риска - стратегия, предусматривающая прекращение деятельности, связанной с риском. Эта стратегия обычно используется в отношении рисков, несущих в себе угрозу непрерывности деятельности компании и потенциально превышающих приемлемый для акционеров уровень риска, даже после применения стратегий предупреждающего или последующего воздействия.

Предложения в отношении стратегии по управлению рисками представляются владельцами рисков и утверждаются комитетом по рискам (кроме несущественных рисков).

Результаты каждого этапа являются исходными данными для последующих этапов, образуя систему принятия решений с обратной связью, что обеспечивает максимально эффективное достижение целей, позволяет корректировать как методы воздействия на риск, так и планы управления рисками.

При формировании планов мероприятий по минимизации рисков должен учитываться эффект от их реализации, сроки внедрения, источники финансирования и лица, ответственные за их выполнение. Планы мероприятий обязательно должны быть утверждены владельцами рисков и учтены при финансовопроизводственном планировании.

Планы действий по управлению рисками должны составляться не реже одного раза в год и пересматриваться по мере необходимости (но не реже одного раза в квартал). При этом по итогам ежеквартального заседания комитета по рискам проводится актуализация планов действий, возможно расширение списка мероприятий по управлению рисками.

Планы действий по управлению рисками состоят из отдельных мероприятий. Мероприятия, перечисленные в планах действий по управлению рис

ками, должны формулироваться четко, быть измеримыми, осуществимыми, устанавливать конкретные цели и сроки исполнения, указывать на ответственных исполнителей и содержать информацию о необходимых ресурсах.

После реализации всех мероприятий по управлению риском проводится оценка остаточного риска (риск, оцененный в текущий момент времени с учетом проведения контрольных процедур). Оценка остаточного риска предоставляется в рамках рассмотрения результатов работы компании по управлению рисками на комитет по рискам. Остаточный риск представляется ежеквартально на рассмотрение комитета по аудиту совета директоров с учетом проведенных контрольных процедур в рамках отчета о работе по управлению рисками.

Рассмотрим этапы формирования Текущего регистра рисков с учетом уровня существенности на примере рисков типичных для телекоммуникационных компаний (табл. 2.2).

Таблица 2.2

Оценка рисков по критериям (составлено с участием автора)

Результатом процедур контроля над управлением рисками является регулярное обновление информации о ходе выполнения планов действий по управлению рисками, а также принятие на основании такой информации необходимых управленческих решений, в том числе связанных с корректировкой и

повышением эффективности ранее утвержденных планов действий по управлению рисками.

Выбор контрольных процедур, либо мероприятий по минимизации рисков в этой системе имеет огромное значение. В ходе исследования разработана и предложена следующая схема: (рис. 2.16).

Условные обозначения:

КП - контрольные процедуры;

ОМиР - отдел методологии и рисков.

Рис.2.16. Выбор контрольных процедур (разработано с участием автора)

Следующим этапом по управлению рисками является формирование планов по выполнению контрольных процедур и последовательности определения контрольных процедур (рис. 2.17, 2.18).

Для завершения всего цикла контроля бизнес-процессов в исследовании также разработана блок-схема мониторинга выполнения контрольных процедур в рамках системы управления рисками, отражающая последовательность основных этапов, перечень участников и осуществляемые ими процедуры (рис. 2.19).

Бюджетные единицы

Условные обозначения:

КП - контрольные процедуры;

ДВА - департамент внутреннего аудита.

Рис.2.17. Содержание этапа «Формирование плана выполнения контрольных процедур» (разработано с участием автора)

ОМиР, ДВА, риск-менеджер

X

Условные обозначения: ДВА - департамент внутреннего аудита; СД - совет директоров; ОМиР - отдел методологии и рисков; КП - контрольные процедуры; БД - база данных.

Рис. 2.18. Последовательность определения эффективности

контрольных процедур (разработано с участием автора)

Отдел методологии и рисков, Департамент внутреннего аудита

Рис.2.19. Блок-схема мониторинга выполнения контрольных процедур (разработано с участием автора)

Из рис. 2.19 следует, что основная организационно-координирующая и методическая роль в системе мониторинга принадлежит отделу методологии и рисков. Его главными функциями являются контроль за выполнением контрольных процедур и оценка их эффективности, а также участие в подготовке независимых оценок Советом директоров, разработке предложений по корректировке плана контрольных процедур. При этом отдел методологии и рисков, совместно с Комитетом по рискам прямым образом влияют на принятие решений о том, целесообразно или нет изменение бюджетов отдельных структурных подразделений и основных бизнес-процессов.

Завершением системы контроля должно являться определение эффективности контрольных процедур.

Оценку эффективности производит независимый орган, обладающий соответствующими методиками и компетенциями.

В качестве примера тестирования эффективности действующих контрольных процедур, осуществляемых внутренним аудитом, рассмотрим алгоритм организационно-финансовых аспектов контроля бизнес-процессов в области универсальных услуг связи:

бизнес процесс - оказание универсальных услуг связи;

владелец бизнес-процесса - санитарно-эпидемиологическая служба;

уровень существенности бизнес-процесса - 2;

наименование документа (факта, события) в точке контроля - счета на потребление электрической энергии универсальным таксофоном;

количественный показатель - кВт-час / руб.;

лицо, ответственное за формирование документа (осуществление факта события) - энергетик;

существующая процедура контроля - разовая - контроль энергетика за наличием договора с энергоснабжающей организацией, постоянная - контроль за показаниями счетчика;

процедура аудита существующих контролей - проверка счетов на оплату энергии, потребляемую универсальными таксофонами, выявление фактов отсутствия счетов за электрическую энергию;

выводы о наличии рисков, результат, требующий принятия мер - отсутствие (существенное снижение) потребляемой электрической энергии может свидетельствовать либо о незаключении договора с энергоснабжающей организацией, либо о длительной неисправности универсального таксофона.

Аналогичным образом описаны и систематизированы в единую сводную таблицу имеющиеся в компании ключевые бизнес-процессы.

По нашему мнению реализация предлагаемых процедур позволяет:

выявить риски, которые в наибольшей степени влияют на результаты деятельности компании, и разработать эффективную систему мероприятий по минимизации таких рисков;

обеспечить проведение комплексной работы по управлению рисками на регулярной основе, четко разграничив ответственность за наступление рисковых событий между различными направлениями деятельности и уровнями управления в компании;

улучшить отдельные показатели эффективности деятельности компании, обеспечив снижение возможных рисковых потерь и оптимизацию затрат на мероприятия, направленные на минимизацию рисков;

повысить эффективность системы управления компанией за счет использования дополнительных критериев для принятия управленческих решений, получения обратной связи о реализации бизнес-процессов компании от ключевых специалистов и руководителей всех уровней;

увеличить уровень доверия к менеджменту компании со стороны акционеров, инвесторов, контрагентов компании;

обеспечить, повышение кредитных и инвестиционных рейтингов.