Главная / Статьи / Статьи "Финансы и учет для руководителей" (292) /

Как управлять рисками

Как управлять рисками

Скачать в архиве  Как управлять рисками

На какие вопросы Вы найдете ответы в этой статье

Также Вы прочитаете

Финансовый кризис вывел на повестку дня вопросы управления рисками: об этом следует задуматься высшему руководству практически всех компаний, планирующих выжить. До осени 2008 года управление рисками в формализованном виде существовало только в крупных российских компаниях и финансовых институтах, а компании, расположенные в рейтингах деловой успешности на более низких местах (по обороту или капиталу), вообще считали риск-менеджмент чем-то вроде очередной иностранной моды, красиво названной, но абсолютно бесполезной. При этом не вызывает никакого сомнения факт, что у компаний, продолжающих в нынешней неблагоприятной обстановке проводить операции и инвестировать в свое будущее, существует, пусть и не формализованный, пусть и фрагментарный, но при этом успешный риск-менеджмент. Просто руководители называют эту деятельность не риск-менеджментом, а охраной труда, внедрением стандартов качества, экологическим менеджментом, проверкой лояльности персонала, экономической, физической или информационной безопасностью, страхованием, хеджированием, резервированием и формированием запасов и так далее.

При этом мало кто из этих «риск-менеджеров поневоле» представляет себе, до какой степени он на своем посту имеет право рисковать, какой у компании общий уровень чувствительности к убыткам и финансовым потерям и каков порог убыточности, за которым компанию ждет разорение или смена собственника. Я рекомендую любой фирме сегодня проводить оценку своих операций с учетом риск-менеджмента, даже если у предприятия нет возможности содержать риск-менеджера в штате. Приведенные ниже советы помогут Вам систематизировать работу по оценке рисков.

Классификация рисков

Глоссарий

Риск – угроза того, что какое-либо событие или действие неблагоприятно повлияет на возможности добиваться желаемого результата в бизнесе, реализовывать цели и (или) стратегические планы (стандарты COSO ERM и AS/NZS 4360:2004).

Риск – случайное событие, имеющее две характеристики: вероятность наступления события и ущерб (выгода) как последствия наступления данного события (стандарты IRM / ALARM / AIRMIC и ISO/IEC RM Guide 73).

Управление рисками – процесс идентификации критических рисков, оценки их воздействия, выработки и реализации комплексного решения по управлению ими, объединяющего стратегию, персонал, процессы и технологию (стандарт COSO ERM).

Управление рисками – воздействие на риск, приводящее к изменению характеристик риска – изменению вероятности и (или) изменению последствий (источник: «Марш Риск Консалтинг» (Россия), на основе определения управления объектом, данного РАН).

Риски классифицируются по уровням возможных последствий в порядке убывания катастрофичности (вертикальная классификация), а также по природе их происхождения (горизонтальная классификация).

Существует более 20 классификаций рисков корпоративного уровня. Наиболее ориентированной на реальный сектор, самой простой и логичной я считаю следующую классификацию.

Стратегические риски, мешающие достижению долгосрочных целей компании. Как правило, они связаны с глобальными проектами, требующими больших вложений, – внедрением ERP-системы, строительством нового производства и т. п. Если такой риск реализуется, компания может оказаться на грани дефолта в достаточно короткий срок.

Финансовые риски – это опасности, связанные с деньгами: недостаточная ликвидность, скачки курсов валют, фондовые индексы, изменения процентных ставок и т. п. Перечни рисков схожи у всех: и у крупных нефтегазовых компаний, и у продуктового магазина, находящегося через дорогу от Вашего дома.

Операционные риски, связанные с ежедневной работой компании: производственным процессом, технологиями, IT, ошибками или нелояльностью персонала, транспортировкой грузов, готовой продукции и т. п.

Риски опасностей и угроз. Это риски в основном внешние – наводнения, пожары, взрывы, рейдерские захваты, судебные иски и т. п.

Юридические риски, связанные с соответствием Вашей деятельности нормам законодательства, отраслевым стандартам, нормам охраны труда, правилам общей и информационной безопасности, экологическим стандартам и т. п.

Развивающиеся риски (вновь появляющиеся). В эту категорию попадают, к примеру, генно-модифицированные продукты, мобильная связь (мы первое поколение, которое использует мобильную связь, и что будет из-за этого с нашими детьми и внуками – непонятно), нанотехнологии и т. п.

На самом деле классифицировать риски можно любым удобным и понятным владельцам и руководству компании образом – даже базируясь на организационной структуре Вашей компании (например, риски отдела продаж, риски финансового управления) или на распределении полномочий между руководителями (например, риски акционеров, риски финансового директора). Главное, чтобы в итоге все понимали, о каких именно рисках идет речь. Классификация нужна только для удобства группировки выявленных рисков и назначения ответственных – так называемых владельцев рисков.

Как структурировать работу по управлению рисками

Выявление рисков

На этом этапе можно использовать классические методики, такие как анкетирование и опрос ключевых сотрудников и топ-менеджеров компании, совещания и мозговые штурмы по выявлению рисков, бенчмаркинг по рискам (адаптация для Вашего предприятия рисков, присущих отрасли). Главное – идентифицировать, какие события любой природы могут быть для компании катастрофическими или опасными. В результате Вы сможете составить список рисков Вашей компании.

Оценка и приоритизация рисков

Риски, вошедшие в предварительный реестр, нужно тематически сгруппировать. Далее необходимо определить единые шкалы оценки рисков по двум основным параметрам – ущерб и его вероятность в интересующий Вас период. Временной горизонт выбирается, как правило, в соответствии с бюджетным циклом или циклом стратегического планирования. Единая шкала определяется в удобной для Вас валюте (той, в которой компания ведет управленческий учет и отчетность или в которой номинировано наибольшее количество контрактных обязательств). Важно, чтобы все риски, независимо от их типа, оценивались в одних и тех же единицах.

10 основных рисков 2009 года

Ежегодное исследование компании «Эрнст энд Янг» («Исследование в области бизнес-рисков 2009 года») основывается на опросе руководителей компаний. Вот какие риски, по их мнению, наиболее важны сегодня (в скобках указано, сколько позиций в рейтинге риск приобрел или потерял по сравнению с 2008 годом):

1. Кризис на рынке кредитования (+1).
2. Несоответствие законодательным требованиям (–1).
3. Углубление рецессии (новый вид рисков).
4. Радикальная экологизация (+5).
5. Рост конкуренции со стороны нетрадиционных для отраслей участников (+11).
6. Снижение затрат (+1).
7. Борьба за талантливых специалистов (+4).
8. Заключение союзов и сделок (–1).
9. Устаревание бизнес-моделей (новый вид рисков).
10. Репутационные риски (+12).

Приоритизацию рисков должны проводить те же эксперты, которые формировали первоначальный список рисков. Осуществляется она голосованием (тайным или открытым – зависит от того, оценки какой степени откровенности Вам нужны). В результате Вы получите оценки возможного ущерба от риска и вероятности его наступления.

Например, на Вашем производстве существует риск взрыва кислородного цеха. Директор по производству примерно (скорее всего, с очень небольшой погрешностью) представляет, сколько стоит разобрать завалы, построить новый цех, закупить оборудование. Предположим, риск экспертно оценили в миллион долларов США. Этот миллионный риск, умноженный на вероятность 10%, стоит 100 тыс. долл., а если вероятность взрыва 50%, то цена риска – 500 тыс. долл. Но при оценке такого риска нужно учесть и то, что время простоя будет зависеть от времени, которое потребуется на все мероприятия, предшествующие запуску цеха. Также нужно оценить, сколько времени компания будет в состоянии платить простаивающим работникам зарплату, какие пени начислят за непогашенные кредиты и как быстро компания сможет их погасить.

Без проведения должной оценки рисков с использованием общих единиц измерения при приоритизации Вы рискуете стать заложником самого харизматичного, самого красноречивого или самого образованного руководителя подразделения, «владельца рисков», который сможет наиболее убедительно доказать, что уж его-то риски (например, изношенные основные фонды у директора по капитальному строительству, «несуны» и террористы у начальника службы безопасности, невозможность привлечения средств у финансового директора) – всем рискам риски и мероприятия по управлению ими Вам следует финансировать в первую очередь, в полном объеме и с максимально возможным бюджетом.

Сравнение рисков с «уровнем чувствительности» компании

Полученный реестр рисков нужно сопоставить с «уровнем чувствительности» Вашей компании к рискам. Этот уровень также определяется экспертно исходя из возможного размера убытка: какой компания может выдержать, а какой – нет. Сравнение поможет выявить, какие риски на выбранном Вами временно2м горизонте являются малыми (в классификации риск-менеджеров – «до уровня толерантности»), какие – существенными (между толерантностью и «болевым порогом»), а какие – катастрофическими и могут привести к краху бизнеса (выше «болевого порога»). От этого зависит управление рисками: важно понимать, на какие из них не стоит обращать внимание, какими должно заниматься руководство компании, а какие относятся к компетенции владельцев бизнеса.

Первый проведенный цикл управления рисками, безусловно, не выявит абсолютно все риски и угрозы, сопровождающие деятельность Вашей компании. Но каждый следующий цикл будет давать все более и более достоверную информацию. Осознание основных рисков и расстановка приоритетов определенно является помощью руководителям и владельцам компаний в кризисные времена, которые неизбежно закончатся.

Рассказывает практик

Алексей Косарев Начальник отдела системного анализа и управления рисками ОАО «Магнитогорский металлургический комбинат»

Магнитогорский металлургический комбинат (ММК)
Сфера деятельности: производство и реализация металлопродукции . Форма организации: ОАО, группа компаний; акции котируются на ММВБ, в РТС, на Лондонской бирже металлов (London Metal Exchange) . Территория: головной офис и основное производство – в Магнитогорске, другие производства и предприятия – в Санкт-Петербурге и Щелково, а также в Турции . Численность персонала: около 26 000 . Объем произведенной продукции: 7 млн т сырой стали и 6,4 млн т товарной металлопродукции (здесь и ниже – данные за I полугодие 2008 года) . Консолидированная выручка: 5,6 млрд долл. США . EBITDA: 1,5 млрд долл. США.

Все риски могут быть сгруппированы по типам, перечень которых ограничен. Я рекомендую уделять основное внимание следующим рискам:

Для производственных предприятий значимыми рисками традиционно являются риски аварий, несчастных случаев и т. п. Для торговых компаний – риски логистики, цепочек поставок и сбыта, риски поставщиков (тем более если поставщик всего один), кредитные риски неоплаты со стороны оптовых покупателей (если продажа осуществляется на условиях оплаты с отсрочкой платежа).

У нас на предприятии сформирован типовой базовый перечень групп рисков и их факторов. Конкретные риски формулируются максимально четко и однозначно: это позволяет лучше видеть причины их возникновения, а также упрощает оценку рисков и разработку мероприятий по их снижению. Очень удобно изобразить конкретные риски графически – в координатах «ущерб / вероятность». Принципиальной разницы, будут ли риски описаны, представлены в таблице или в виде карты, нет. Просто координатная плоскость – наиболее удобный способ отображения подобной информации. К тому же на карте рисков можно отобразить их динамику. Укрупненная типизация рисков полезна при автоматизации системы риск-менеджмента, когда нужно оперировать информацией о рисках в разрезе видов деятельности, бизнес-процессов или структурных подразделений.

Финансовый кризис вывел на повестку дня вопросы управления рисками: об этом следует задуматься высшему руководству практически всех компаний, планирующих выжить. До осени 2008 года управление рисками в формализованном виде существовало только в крупных российских компаниях и финансовых институтах, а компании, расположенные в рейтингах деловой успешности на более низких местах (по обороту или капиталу), вообще считали риск-менеджмент чем-то вроде очередной иностранной моды, красиво названной, но абсолютно бесполезной. При этом не вызывает никакого сомнения факт, что у компаний, продолжающих в нынешней неблагоприятной обстановке проводить операции и инвестировать в свое будущее, существует, пусть и не формализованный, пусть и фрагментарный, но при этом успешный риск-менеджмент. Просто руководители называют эту деятельность не риск-менеджментом, а охраной труда, внедрением стандартов качества, экологическим менеджментом, проверкой лояльности персонала, экономической, физической или информационной безопасностью, страхованием, хеджированием, резервированием и формированием запасов и так далее.

При этом мало кто из этих «риск-менеджеров поневоле» представляет себе, до какой степени он на своем посту имеет право рисковать, какой у компании общий уровень чувствительности к убыткам и финансовым потерям и каков порог убыточности, за которым компанию ждет разорение или смена собственника. Я рекомендую любой фирме сегодня проводить оценку своих операций с учетом риск-менеджмента, даже если у предприятия нет возможности содержать риск-менеджера в штате. Приведенные ниже советы помогут Вам систематизировать работу по оценке рисков.

Классификация рисков

Глоссарий

Риск – угроза того, что какое-либо событие или действие неблагоприятно повлияет на возможности добиваться желаемого результата в бизнесе, реализовывать цели и (или) стратегические планы (стандарты COSO ERM и AS/NZS 4360:2004).

Риск – случайное событие, имеющее две характеристики: вероятность наступления события и ущерб (выгода) как последствия наступления данного события (стандарты IRM / ALARM / AIRMIC и ISO/IEC RM Guide 73).

Управление рисками – процесс идентификации критических рисков, оценки их воздействия, выработки и реализации комплексного решения по управлению ими, объединяющего стратегию, персонал, процессы и технологию (стандарт COSO ERM).

Управление рисками – воздействие на риск, приводящее к изменению характеристик риска – изменению вероятности и (или) изменению последствий (источник: «Марш Риск Консалтинг» (Россия), на основе определения управления объектом, данного РАН).

Риски классифицируются по уровням возможных последствий в порядке убывания катастрофичности (вертикальная классификация), а также по природе их происхождения (горизонтальная классификация).

Существует более 20 классификаций рисков корпоративного уровня. Наиболее ориентированной на реальный сектор, самой простой и логичной я считаю следующую классификацию.

Стратегические риски, мешающие достижению долгосрочных целей компании. Как правило, они связаны с глобальными проектами, требующими больших вложений, – внедрением ERP-системы, строительством нового производства и т. п. Если такой риск реализуется, компания может оказаться на грани дефолта в достаточно короткий срок.

Финансовые риски – это опасности, связанные с деньгами: недостаточная ликвидность, скачки курсов валют, фондовые индексы, изменения процентных ставок и т. п. Перечни рисков схожи у всех: и у крупных нефтегазовых компаний, и у продуктового магазина, находящегося через дорогу от Вашего дома.

Операционные риски, связанные с ежедневной работой компании: производственным процессом, технологиями, IT, ошибками или нелояльностью персонала, транспортировкой грузов, готовой продукции и т. п.

Риски опасностей и угроз. Это риски в основном внешние – наводнения, пожары, взрывы, рейдерские захваты, судебные иски и т. п.

Юридические риски, связанные с соответствием Вашей деятельности нормам законодательства, отраслевым стандартам, нормам охраны труда, правилам общей и информационной безопасности, экологическим стандартам и т. п.

Развивающиеся риски (вновь появляющиеся). В эту категорию попадают, к примеру, генно-модифицированные продукты, мобильная связь (мы первое поколение, которое использует мобильную связь, и что будет из-за этого с нашими детьми и внуками – непонятно), нанотехнологии и т. п.

На самом деле классифицировать риски можно любым удобным и понятным владельцам и руководству компании образом – даже базируясь на организационной структуре Вашей компании (например, риски отдела продаж, риски финансового управления) или на распределении полномочий между руководителями (например, риски акционеров, риски финансового директора). Главное, чтобы в итоге все понимали, о каких именно рисках идет речь. Классификация нужна только для удобства группировки выявленных рисков и назначения ответственных – так называемых владельцев рисков.

Как структурировать работу по управлению рисками

Выявление рисков

На этом этапе можно использовать классические методики, такие как анкетирование и опрос ключевых сотрудников и топ-менеджеров компании, совещания и мозговые штурмы по выявлению рисков, бенчмаркинг по рискам (адаптация для Вашего предприятия рисков, присущих отрасли). Главное – идентифицировать, какие события любой природы могут быть для компании катастрофическими или опасными. В результате Вы сможете составить список рисков Вашей компании.

Оценка и приоритизация рисков

Риски, вошедшие в предварительный реестр, нужно тематически сгруппировать. Далее необходимо определить единые шкалы оценки рисков по двум основным параметрам – ущерб и его вероятность в интересующий Вас период. Временной горизонт выбирается, как правило, в соответствии с бюджетным циклом или циклом стратегического планирования. Единая шкала определяется в удобной для Вас валюте (той, в которой компания ведет управленческий учет и отчетность или в которой номинировано наибольшее количество контрактных обязательств). Важно, чтобы все риски, независимо от их типа, оценивались в одних и тех же единицах.

10 основных рисков 2009 года

Ежегодное исследование компании «Эрнст энд Янг» («Исследование в области бизнес-рисков 2009 года») основывается на опросе руководителей компаний. Вот какие риски, по их мнению, наиболее важны сегодня (в скобках указано, сколько позиций в рейтинге риск приобрел или потерял по сравнению с 2008 годом):

1. Кризис на рынке кредитования (+1).
2. Несоответствие законодательным требованиям (–1).
3. Углубление рецессии (новый вид рисков).
4. Радикальная экологизация (+5).
5. Рост конкуренции со стороны нетрадиционных для отраслей участников (+11).
6. Снижение затрат (+1).
7. Борьба за талантливых специалистов (+4).
8. Заключение союзов и сделок (–1).
9. Устаревание бизнес-моделей (новый вид рисков).
10. Репутационные риски (+12).

Приоритизацию рисков должны проводить те же эксперты, которые формировали первоначальный список рисков. Осуществляется она голосованием (тайным или открытым – зависит от того, оценки какой степени откровенности Вам нужны). В результате Вы получите оценки возможного ущерба от риска и вероятности его наступления.

Например, на Вашем производстве существует риск взрыва кислородного цеха. Директор по производству примерно (скорее всего, с очень небольшой погрешностью) представляет, сколько стоит разобрать завалы, построить новый цех, закупить оборудование. Предположим, риск экспертно оценили в миллион долларов США. Этот миллионный риск, умноженный на вероятность 10%, стоит 100 тыс. долл., а если вероятность взрыва 50%, то цена риска – 500 тыс. долл. Но при оценке такого риска нужно учесть и то, что время простоя будет зависеть от времени, которое потребуется на все мероприятия, предшествующие запуску цеха. Также нужно оценить, сколько времени компания будет в состоянии платить простаивающим работникам зарплату, какие пени начислят за непогашенные кредиты и как быстро компания сможет их погасить.

Без проведения должной оценки рисков с использованием общих единиц измерения при приоритизации Вы рискуете стать заложником самого харизматичного, самого красноречивого или самого образованного руководителя подразделения, «владельца рисков», который сможет наиболее убедительно доказать, что уж его-то риски (например, изношенные основные фонды у директора по капитальному строительству, «несуны» и террористы у начальника службы безопасности, невозможность привлечения средств у финансового директора) – всем рискам риски и мероприятия по управлению ими Вам следует финансировать в первую очередь, в полном объеме и с максимально возможным бюджетом.

Сравнение рисков с «уровнем чувствительности» компании

Полученный реестр рисков нужно сопоставить с «уровнем чувствительности» Вашей компании к рискам. Этот уровень также определяется экспертно исходя из возможного размера убытка: какой компания может выдержать, а какой – нет. Сравнение поможет выявить, какие риски на выбранном Вами временно2м горизонте являются малыми (в классификации риск-менеджеров – «до уровня толерантности»), какие – существенными (между толерантностью и «болевым порогом»), а какие – катастрофическими и могут привести к краху бизнеса (выше «болевого порога»). От этого зависит управление рисками: важно понимать, на какие из них не стоит обращать внимание, какими должно заниматься руководство компании, а какие относятся к компетенции владельцев бизнеса.

Первый проведенный цикл управления рисками, безусловно, не выявит абсолютно все риски и угрозы, сопровождающие деятельность Вашей компании. Но каждый следующий цикл будет давать все более и более достоверную информацию. Осознание основных рисков и расстановка приоритетов определенно является помощью руководителям и владельцам компаний в кризисные времена, которые неизбежно закончатся.

Рассказывает практик

Алексей Косарев Начальник отдела системного анализа и управления рисками ОАО «Магнитогорский металлургический комбинат»

Магнитогорский металлургический комбинат (ММК)
Сфера деятельности: производство и реализация металлопродукции . Форма организации: ОАО, группа компаний; акции котируются на ММВБ, в РТС, на Лондонской бирже металлов (London Metal Exchange) . Территория: головной офис и основное производство – в Магнитогорске, другие производства и предприятия – в Санкт-Петербурге и Щелково, а также в Турции . Численность персонала: около 26 000 . Объем произведенной продукции: 7 млн т сырой стали и 6,4 млн т товарной металлопродукции (здесь и ниже – данные за I полугодие 2008 года) . Консолидированная выручка: 5,6 млрд долл. США . EBITDA: 1,5 млрд долл. США.

Все риски могут быть сгруппированы по типам, перечень которых ограничен. Я рекомендую уделять основное внимание следующим рискам:

Для производственных предприятий значимыми рисками традиционно являются риски аварий, несчастных случаев и т. п. Для торговых компаний – риски логистики, цепочек поставок и сбыта, риски поставщиков (тем более если поставщик всего один), кредитные риски неоплаты со стороны оптовых покупателей (если продажа осуществляется на условиях оплаты с отсрочкой платежа).

У нас на предприятии сформирован типовой базовый перечень групп рисков и их факторов. Конкретные риски формулируются максимально четко и однозначно: это позволяет лучше видеть причины их возникновения, а также упрощает оценку рисков и разработку мероприятий по их снижению. Очень удобно изобразить конкретные риски графически – в координатах «ущерб / вероятность». Принципиальной разницы, будут ли риски описаны, представлены в таблице или в виде карты, нет. Просто координатная плоскость – наиболее удобный способ отображения подобной информации. К тому же на карте рисков можно отобразить их динамику. Укрупненная типизация рисков полезна при автоматизации системы риск-менеджмента, когда нужно оперировать информацией о рисках в разрезе видов деятельности, бизнес-процессов или структурных подразделений.

Главная / Статьи / Статьи "Финансы и учет для руководителей" (292) /