что такое риск культура в обществе
Риск-культура — 10 шагов к риск-ориентированному мышлению
По мнению риск-менеджеров российских компаний (на основании результатов ежегодных исследований АНО ДПО «ИСАР», Делойт, РИД), культура управления рисками — один из важнейших аспектов эффективного управления организацией. Основная задача набора мероприятий по развитию и укреплению культуры управления рисками — это внедрение риск-ориентированного мышления в ключевые сферы деятельности компании.
Цели кажутся благими. Что же делать на практике? Мы составили свой список и попросили российских риск-менеджеров высказаться. Вот набор идей, которые можно реализовать для развития риск культуры в вашей организации:
Мероприятия для внедрения
1 Развитие компетенций по управлению рисками
— Выявление рисков в процессе принятия решений
— Оценка рисков методом галстук бабочка
— Оценка рисков методом деревья решений
— Оценка рисков методом Монте-Карло
— Использование инструментов ModelRisk/ Alteryx для анализа данных и оценки рисков
2 Развитие компетенций по страхованию и урегулированию страховых случаев
— Страховые случаи в имущественном страховании
— Страховые случаи в страховании грузов
— Страховые случаи в страховании ответственности
— Использование онлайн систем для целей страхования / получения сертификатов
— Инструкции по урегулированию убытков
3 Актуализация бизнес процессов компании с учетом рисков
— Сбор и анализ информации о функционировании ключевых процессов компании
— Определение требований (целей) к бизнес-процессу
— Выявление и оценка рисков процесса
— Бизнес-моделирование процесса (определяется индивидуально для каждой компании: автоматизировано или иная форма визуализации процесса).
4 Повышение прозрачности принятия решений
— Адаптационный тип – наличие инициативных и нестандартных решений, при этом решения могут быть новыми.
5 Разработка шаблонов, типовых моделей оценки и библиотеки распределений и корреляций
6 Единое окно и прозрачная нормативная база по управлению рисками и страхованию
— актуальные версии нормативных документов,
— ссылки на позиционные и риск отчеты, ссылки на типовые модели, калькуляторы и библиотеку распределений,
— ссылки на онлайн курсы,
— ссылки на информационные системы по страхованию,
— пособия по страхованию,
— карта застрахованных объектов Группы,
— анонсирование графиков риск-сюрвеев и переоценок для целей страхования,
— другие информационные материалы по управлению рисками и страхованию
7 Истории успеха и обмен опытом
— еженедельный обзор HUMAN RISK, предоставление кейсов крупных игроков международного рынка
— ежеквартальная подборка insurance news
— описание реализованных проектов по управлению рисками в Группе и полученные уроки, возможности тиражирования
8 Мотивация сотрудников, роли и обязанности
9 Оценка эффективности и включение информации о рисках в управленческую отчетность и отчетность по проектам
10 Оценка эффективности и включение информации о рисках в управленческую отчетность и отчетность по проектам
Подробнее прочитать и внести свои предложения в план развития риск культуры можно по ссылке ниже:
Что такое риск культура в обществе
Библиографическая ссылка на статью:
Кудояров Л.В. Риск-культура как важная составляющая рационального функционирования Банка // Гуманитарные научные исследования. 2016. № 12 [Электронный ресурс]. URL: https://human.snauka.ru/2016/12/18109 (дата обращения: 20.11.2021).
В последнее время все больше и больше финансовых организаций развивают или пытаются развить (разработать) в своем внутреннем устройстве определенные подходы к такому понятию как «риск-культура».
Риск-культура в банковском учреждении – это бережное отношение к управлению рисками со стороны всех сотрудников организации с целью максимального извлечения прибыли и минимизации потерь. Риск-культура – ценности, убеждения, понимание и знания в сфере управления рисками, разделяемые и применяемые сотрудниками организации на всех уровнях.
Риск-культура эволюционирует и сегодня привела к созданию концепции сбалансированной риск-культуры.
Можно выделить следующие этапы развития:
1. До 1990-х годов: выполнение требований регулятора – риски рассматривались исключительно в контексте соблюдения требований регулятора;
2. 1990-е годы: максимизация выручки/доли на рынке – риски рассматривались как функции контроля и как препятствие для Бизнеса и высшего менеджмента;
3. 2000-е годы: максимизация прибыли – риски рассматривались как часть расходов Банка;
4. После 2008-го года: сбалансированная культура – у подразделений Бизнеса и Рисков общие цели для достижения, выстроено оптимальное соотношение риска и доходности.
Обращаясь к подходам, рекомендованным Базель, риск-культура основывается на «четырех китах»:
Базель выделяет три ключевых элемента высокой Риск-культуры:
В банках в сфере управления рисками часто доминируют либо формальные процедуры, либо неформальные принципы и убеждения. Наиболее успешные финансовые компании развивают и то и другое, добиваясь следующих характеристик в работе:
— риск-культура пронизывает организацию и определяет действия сотрудников;
— риск-осмотрительное поведение Бизнес-подразделений;
— усиление методологической и экспертной функции Риск-подразделений;
— воздействие через коммуникации.
Но не смотря на глобальную эволюцию риск-менеджмента, многие организации до сих пор не сформировали сбалансированную риск-культуру.
По-прежнему актуальными остаются следующие типы риск-культур:
1. Упор на объемы и доходы;
2. Упор на рентабельность (JPMorgan, HSBC);
3. Неприятие убытков любой ценой;
5. Сбалансированная культура (Goldman Sachs).
Риск-культура основана на изначально партнерской форме организации и усилена путем целенаправленных управленческих решений и действий:
Примером лучшей практики развитой риск-культуры является организация Goldman Sachs.
Ее основы и примеры реализации следующие:
— Масштабы деятельности лежат в основе вознаграждения
— Ротация сотрудников и менеджмента между Бизнес- и Риск-подразделениями
— Контролирующие подразделения имеют аналогичные с Бизнес-подразделениями статус, престиж и компенсации
— Комитеты по рискам ежедневно отчитываются перед высшим коллегиальным органом
Примером негативной практики риск-культуры может служить компания Bear Stearns[1] (BS). Несмотря на аналогичную Goldman Sachs (GS) систему партнерства, организационная структура BS была выстроена из отдельных «закрытых» блоков. Отсутствовало четкое представление о совокупности рисков в деятельности компании, их структуре и величине, также отсутствовало понимание целей, задач и полномочий Главного комитета по рискам. Отличием также выступало то, что функция рисков была направлена на выявление мошенничества, а не оценку и управление рисками, а применение процедур риск-менеджмента было сильно ограничено. Фронт-офис BS не проводил реальную оценку рисков перед заключением сделок.
Ее основы и примеры реализации следующие:
— Анализ рисков сводился к верификации цен, низкое качество риск-отчетности
— Решения не согласованы с уровнем риска и лимитами
— Функции риск-подразделений сводились к мониторингу и контролю
— Уровень компенсаций, а также статус существенно ниже, чем во Фронт-офисе
— Неэффективные управленческая отчетность и структура коллегиальных органов не поддерживали процессы анализа стратегических рисков и принятия решений
Касательно самой модели построения системы защиты в управлении рисками ключевая роль отводится первой линии. Схематично система должна выглядеть следующим образом (Три линии защиты):
1. Первая линия защиты – Бизнес:
— встроенные в бизнес-процессы процедуры риск-менеджмента применяются сознательно и без изъятий
— принятие решений с учетом оптимизации риска и доходности
— соблюдение аппетита к риску, лимитов и ресурсных ограничений
— ответственность за принятие рисков.
Примеры: визуальная оценка Заемщика при розничном кредитовании.
В корпоративном кредитовании – поиск Заемщиков с наилучшим профилем риска, полная идентификация рисков Заемщика / сделки.
2. Вторая линия защиты – Риски:
— построение процессов, моделей, инструментов
— независимая экспертиза принимаемых Банков рисков
3. Третья линия защиты – Аудит:
— комплексный аудит систем управления выделенными группами рисков.
В результате внедрения рациональных подходов для достижения высокого уровня риск-культуры, происходит следующее:
Бизнес-подразделения и Риск-подразделения не боятся признавать свои ошибки и нацелены на диалог.
[1] Bears Stearns до ипотечного кризиса 2007 года являлся пятым по величине инвестиционным банком в США. В марте 2008 года оказался в предбанкротном состоянии и был поглощен банком JPMorgan Chase.
Связь с автором (комментарии/рецензии к статье)
Оставить комментарий
Вы должны авторизоваться, чтобы оставить комментарий.
© 2021. Электронный научно-практический журнал «Гуманитарные научные исследования».
Финансовая сфера
Риском управлять должны все!
Консультант практики по управлению рисками компании SAS Варвара Солодилова рассказала «Б.О» о том, кто должен управлять операционными рисками, а также о риск-культуре в организации
Консультант практики по управлению рисками компании SAS
— Варвара, что сейчас происходит на рынке труда в области специалистов по управлению операционными рисками?
— Несмотря на то что во многих организациях из-за пандемии наем новых сотрудников был заморожен, в ряде компаний различных отраслей открыты вакансии специалистов в области риск-менеджмента.
Если бы мы в конце 2020 года зашли на сайт одной из популярных компаний интернет-рекрутмента и осуществили поиск таких вакансий, открытых нашлось бы более 9 тыс. за последний месяц, за последние три дня — более 3 тыс., за последние сутки — около 1 тыс. Числа кажутся внушительными. Но для сравнения позиций в области управления персоналом, открытых за последний месяц, — более 16 тыс., а области финансов — более 40 тыс.
На том же популярном ресурсе для поиска работы в конце 2020 года были размещены объявления чуть более 1,3 млн компаний. Если предположить, что все 9 тыс. вакансий по управлению рисками — от разных компаний, то всего лишь каждая 147-я компания нуждается в специалистах по управлению рисками, в то время как потребность в финансистах испытывает каждая 33-я.
Выводы о спросе на ту или иную профессию требуют глубокого анализа, однако доступные данные позволяют предположить, что не в каждой компании рисками управляют в масштабах всей организации. Если делать выводы об уровне зрелости процессов управления рисками, основываясь на более прикладном опыте — опыте консультанта рисковой практики вендора ПО, а в прошлом консультанта BIG4, то можно подтвердить сделанное заключение.
— Очевидно, это один из признаков незрелости риск-менеджмента?
— Безусловно! По итогам взаимодействия с компаниями — представителями производственной сферы, ретейла и даже финансовой отрасли с уверенностью могу сказать, что далеко не в каждой даже крупной компании управление рисками выделено в отдельную функцию. Во многих отсутствуют методология и регламенты, а также нет сотрудников, занимающихся исключительно риск-менеджментом.
В то же время сотрудники средних и крупных компаний в России воспринимают «риски» как отдельную профессиональную область, знают своих «коллег-рисковиков». Но далеко не каждый сможет объяснить, чем эти коллеги занимаются, поскольку достаточно часто процессы риск-менеджмента обособлены. В лучших практиках управления бизнесом давно признано, что риски есть у любой организации, и если, например, рыночные или комплаенс-риски требуют специальных знаний и присущи не всем видам деятельности, то операционные риски — это неопределенность, существующая на каждом этапе любого процесса. По идее, каждый участник процесса эти риски должен понимать, а каждая организации должна ими управлять.
На практике же для большинства сотрудников риски — это какие-то сакральные знания, ведомые только отделу по управлению рисками.
Это свидетельствует о том, что компании предпринимают попытки выделить риск-менеджмент в отдельный процесс, но в то же время говорит о не самой высокой эффективности этого элемента управления. Как эту эффективность измерить, кто должен управлять операционными рисками и почему о рисках нужно знать не только риск-менеджерам?
Мировые стандарты по управлению рисками пытаются помочь организациям найти ответы на эти вопросы.
— Расскажите, пожалуйста, немного об этих стандартах.
— Согласно стандарту управления рисками COSO ERM, один из основных компонентов управления — контрольная среда.
Комплексный подход в работе риск-менеджмента включает оценку уровня рисков с учетом имеющихся в процессах компании контролей. Соответственно риск-менеджеры тесно связаны с системой внутренних контролей. Кроме того, лучшие практики предполагают вовлечение всей организации в оценку рисков и контролей, а также в дальнейшую проработку и реализацию мероприятий по снижению уровня риска.
В различных отраслях требования регуляторов к процессам управления рисками различаются. Самое строгое регулирование — в финансовом секторе: банковская отрасль зачастую является не только объектом жесткого контроля со стороны регуляторов, но еще и лидером по зрелости процессов управления и IT. Многие банки уже выстроили процессы управления рисками, а вот вне финансового сектора риск-менеджмент развит в меньшей степени. При этом есть достаточно зрелые системы управления в компаниях других отраслей — производство, телекоммуникации, ретейл и пр.
С 1 октября 2020 года в силу вступило Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», которое обязывает банки выстроить полноценную систему управления операционным риском.
Одним из основных инструментов этой системы Банк России видит самооценку рисков: «Самооценка операционного риска проводится кредитной организацией в виде анкетирования выделенных для данной процедуры работников подразделений кредитной организации по всем направлениям деятельности, в том числе в разрезе составляющих их процессов».
То есть для банков уже на уровне регулятора закреплено требование вовлекать в управление рисками сотрудников из бизнес-подразделений. Очень вероятно, что многие организации из других отраслей тоже выберут такой подход для выстраивания процессов риск-менеджмента.
— В чем причина такого решения и есть ли подходы, которые помогают наладить совместную работу в области рисков?
— На мой взгляд, это обусловлено тем, что никто не знает процесс лучше, чем его участники. Соответственно и риски процесса лучше всего знают сотрудники, работающие с ними каждый день.
Распространенным путем для обеспечения эффективного взаимодействия между подразделениями является подход трех линий защиты, который предполагает вовлечение всей организации в управление рисками:
Остановимся на выстраивании взаимодействия между первой и второй линиями защиты. Полный жизненный цикл управления риском предполагает непрерывное функционирование этапов:
— Какая роль отводится каждой из линий защиты на этапах жизненного цикла процесса управления рисками и как достичь максимальной эффективности на каждом из них?
— Начну со сбора информации и идентификации рисков. Сотрудники бизнес-подразделений, например департамента розничного бизнеса в банке или отдела логистики в производстве, обладают более полной информацией о процессе выдачи кредита или транспортировки сырья соответственно. Они же — и владельцы риска.
Обладая экспертизой, менеджер по управлению рисками может идентифицировать потенциальную угрозу, классифицировать ее, но именно специалист, ежедневно принимающий заявки на получение кредита и регистрирующий договоры в системах банка, может наиболее точно описать условия потенциальной реализации риска, именно менеджер по логистике может точно обозначить источники и сферу влияния риска.
Определяя риск выдачи кредита по ставке ниже согласованной, риск-менеджер должен получить информацию от исполнителя процесса в виде регламента исполнения процесса, данные о распределении ролей между сотрудниками, задействованными в информационных системах. Оценивая риск срыва срока поставки сырья, риск-менеджер должен узнать, какие существуют в цепочке поставок рамки и ограничения, получить сведения о контрагентах, прецедентах реализации риска.
Система внутреннего контроля на этом этапе должна обладать информацией о наличии контролей в процессе, например контроля четырех глаз, который предотвращает самостоятельное исполнение операции и контроль за ней одним сотрудником. Такую информацию также должны предоставлять непосредственные участники бизнес-процесса.
В производственных процессах контрольные процедуры редко формализованы, но это не означает, что их не существует. Достоверная информация, подтверждающая регулярность работы этих процедур, находится у владельца бизнес-процесса. В таких ситуациях плотное взаимодействие первой и второй линий защиты служит залогом эффективного риск-менеджмента.
— Как происходит оценка рисков?
— Это задача второй линии защиты, а именно риск-менеджеров, которые должны определить, каким образом, с какой частотой будут оцениваться риски, то есть разработать методологию, которая будет обеспечивать адекватную, качественную и полную оценку.
Первая линия защиты на этапе оценки должна привлекаться в качестве экспертов, которые будут оценивать риск с учетом ежедневно накапливаемого опыта и информации о реализации риска в прошлых периодах. Служба внутреннего контроля на этом этапе включает в оценку информацию о контролях процесса, об их операционной эффективности и помогает учесть влияние контрольной среды на уровень риска.
Здесь стоит поговорить о мотивации первой линии защиты правильно и добросовестно оценивать риски. Часто вопрос эффективности самооценки рисков упирается в ряд проблем:
Если говорить о непонимании необходимости оценки и эффекта от нее, то часто оценка риска воспринимается как нечто формальное и бесполезное. Однако организациям следует чаще просвещать бизнес-сотрудников в части основ риск-менеджмента, а именно на примере конкретных подразделений показывать последствия несвоевременной идентификации риска и его недобросовестной оценки. Это могут быть примеры потери компанией крупного заказчика в силу утраты доверия или потери денежных средств в силу мошеннических действий. При этом важно не усилить у сотрудников страх ответственности.
Страх препятствует объективной оценке. Часто среди сотрудников организации можно встретить мнение о том, что если в процессе и есть риски, то только потому, что сами сотрудники не справляются со своими задачами, плохо работают, и первое, что сделает руководство после того, как увидит выявленные риски, — начнет всех наказывать и увольнять. Несмотря на то что организации активно развивают риск-культуру, многие из них в рамках проектов внедрения комплексной системы по управлению рисками одним из первых озвучивают вопрос: «Как заставить сотрудников добросовестно оценивать риски и регистрировать рисковые события?». И здесь руководству важно уйти от концепции «заставить» и начать движение в сторону «помочь» и «стимулировать».
Бывает, что в компании риск-культура развита на высоком уровне, сотрудники понимают, зачем оцениваются риски, но существуют трудности в понимании того, как это можно делать. Организации, стремящиеся к зрелой культуре управления рисками, должны формализовать процедуру оценки риска, разработать шаблоны оценок, простые и понятные анкеты для самооценки.
Полноценное вовлечение сотрудников в управление рисками требует некоторого количества времени, что также препятствует построению эффективного процесса. Руководство не горит желанием отвлекать сотрудников от решения бизнес-задач, а рядовые служащие не хотят тратить время на то, что не входит в их прямые обязанности. Кроме того, часто оценка рисков — это редкое заполнение файлов, которые потом отправляются по почте и забываются до следующей оценки.
В такой ситуации необходимо показать каждому сотруднику, что оценка риска — это не самоцель, а мощный инструмент изменений в компании. Дайте сотрудникам единое пространство для оценки риска, коммуникации с риск-менеджерами и руководством, покажите влияние их оценки на общую оценку риска в организации, пусть они увидят отчеты по рискам, узнают, что оценка риска — это начало большего процесса управления, результатом которого являются оптимизация всех процессов, совершенствование работы каждого участка в организации. Качественно выстроенный процесс — возможность для сотрудника проще и быстрее выполнять собственные KPI и получать соответствующее вознаграждение.
И раз уж мы заговорили об оптимизации, подчеркну, что процессы управления рисками можно и нужно сделать более унифицированными, быстрыми, понятными и эффективными.
Сбор информации и идентификация риска будут осуществляться оперативнее, если дать сотрудникам бизнес-подразделений простой и понятный инструмент для быстрого ввода информации о реализовавшихся событиях или выявленных проблемах. При этом у сотрудников будет возможность сразу же вносить информацию о причинах проблемы и вариантах решения. Этот ресурс можно использовать как пространство для анализа процессов и предложений по их улучшению.
Доступ к этому ресурсу должны иметь как система внутреннего контроля, так и риск-менеджмент, так как при помощи такого ресурса гораздо проще и быстрее запрашивать информацию, актуализировать, разделять или агрегировать ее в зависимости от целей использования.
Потребность в изменении и улучшении процессов гораздо проще донести до руководства, имея в качестве дополнительных аргументов уровень риска процесса и уровень убытков, которые могут быть снижены при реализации этих изменений. Службе внутреннего контроля будет проще «заставить» бизнес-подразделения внедрить контроли, если бизнесу будет доступна и понятна информация о том, какой риск эти контроли призваны исключить и как внедрение контроля позволит изменить шаги процесса, перераспределить задачи, чтобы процесс функционировал максимально эффективно.
— Что происходит на этапе реагирования?
— После идентификации и оценки рисков, а также анализа причин и последствий необходимо принять решение, что с этими рисками делать: оставить все как есть, застраховать деятельность от потенциальных потерь, отказаться от процесса или осуществить действия по минимизации рисков.
Такое решение должно приниматься совместно первой и второй линиями защиты. Если в условиях обособленной работы риск-менеджеры создают план мероприятий, который может включать разработку внутренних контролей, и далее этот план транслируется на бизнес-подразделения, которые обязаны выполнить все предписанные действия, то при комплексном подходе источником предложений и планов мероприятий является первая линия защиты, то есть непосредственные участники бизнес-процесса.
Так, для снижения уровня риска могут быть предложены программа найма и обучения персонала, внедрение дополнительного контроля и пр. В комплексном управлении рисками первая линия защиты должна участвовать в детальной проработке плана, предлагать способы минимизации риска с учетом влияния этого плана не только на уровень риска, но и на эффективность бизнес-процесса.
— Кто и как осуществляет мониторинг?
— Контроль уровня рисков, отслеживание изменений в процессах и сбор статусов исполнения планов — основные инструменты, обеспечивающие руководство актуальной информацией для принятия решений.
На этом этапе инструменты, внедренные второй линией, позволяют бизнесу использовать для принятия решений наиболее актуальную информацию: ключевые индикаторы риска помогут контролировать уровень убытков, статус выполнения планов. Служба внутреннего контроля, со своей стороны, оценивает, как изменится контрольная среда при условии реализации всех планов по минимизации рисков: не появятся ли при этом дополнительные риски, не станут ли какие-то контроли избыточными и не потребуются ли дополнительные ресурсы для проверки процессов.
— Как оценить эффективность управления рисками?
— Отталкиваясь от определения риска в ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство» («Риск — следствие влияния неопределенности на достижение поставленных целей»), можно сказать, что если компания в полной мере достигает своих целей, то рисками управляют эффективно. Однако это очень общий и сложно измеримый показатель. Тем не менее компании могут анализировать эффективность, оценивая уровень потерь от реализации риска, затраты на меры по митигации рисков в сопоставлении с эффектом от таких мер, количество повторяющихся рисковых событий, количество замечаний от внешних проверяющих и др.
Если оценивать, насколько продвинуто компания управляет рисками, то хорошим ориентиром будут уровень риск-культуры, количество сотрудников, пользующихся риск-инструментами, и инициативность бизнеса в части изменений таких инструментов. Например, для мониторинга уровня рисков используются ключевые индикаторы риска (КИР), дизайн которых разрабатывают риск менеджеры, однако при сборе информации по КИР может оказаться, что в таком разрезе показатель неинформативен и никак не отражает реальное положение дел.
— Так как же улучшить процессы, контролировать уровень риска и при этом не отвлекать подразделения от основных задач?
— Обеспечить сотрудникам единое пространство для работы, доступ к одним и тем же ресурсам, инструмент для быстрой коммуникации и оперативной трансляции необходимой информации. Такое пространство — автоматизированная информационная система (АИС) по управлению рисками.
АИС — это мощный инструмент выстраивания коммуникации между различными подразделениями, готовый унифицированный процесс с возможностью увидеть подсказки на каждом шаге, с опциями оперативной трансляции любых комментариев и задач, а также с механизмами отслеживания результатов действий каждого из сотрудников. Простой и современный интерфейс, понятная интерактивная отчетность, доступность анализа различных блоков информации (с соблюдением разграничения полномочий) — дополнительный способ мотивации сотрудников вовлекаться в процессы управления рисками.
Да, системы такого класса в явном виде не приносят компании дополнительной прибыли, однако унифицированные процессы, преднастроенные жизненные циклы согласования, единые справочники, инструменты оперативного мониторинга — это своевременно выявленные актуальные риски, правильно расставленные приоритеты по реагированию, полная информация для принятия решений и как следствие сокращение потерь и оптимизация бизнес-процессов. Важными условиями извлечения максимальной пользы от комплексного подхода к управлению рисками являются грамотно выстроенная ролевая модель, достаточная мотивация и высокий уровень риск-культуры.
В современных условиях высокой неопределенности и постоянных изменений знания о назначении и функционале инструментов риск-менеджмента, их комплексное использование каждым из сотрудников — одни из ключевых факторов достижения организацией ее целей. Поэтому управлять операционным риском должны все.