Михаэль ван Халштайн – директор Deloitte Risk Advisory – консалтинговой практики Deloitte в Казахстане. Начал свою карьеру в Deloitte Risk Advisory в Амстердаме и имеет 12-летний опыт поддержки международных компаний по вопросам управления рисками, внутреннему контролю, управлению IT и кибербезопасности.
Сауле Медетова – старший менеджер с более чем 10-летним опытом работы в Deloitte в сфере финансовых услуг.
КАК ПОЯВИЛАСЬ МЕТОДОЛОГИЯ RISK INTELLIGENT
Традиционно во многих организациях отделы управления рисками, если таковые имеются, действуют как автономные подразделения. Они ответственны за выявление и управление так называемыми «невознаграждаемыми» рисками, например, такими как комплаенс-риски (риски применения юридических санкций или санкций регулятора) и риски искажения финансовой отчетности в целях защиты текущей стоимости организации. Взаимодействие таких департаментов с топ-менеджментом часто бывает ограниченным до тех пор, пока не произойдет крупный инцидент.
В результате того, что организации не смогли вовремя определить и отреагировать на риски (включая так называемые «отдаленные» риски, которые привели к финансовому кризису 2008 года), организации пришли к выводу, что необходимо становиться Risk Intelligent. Такая организация способна не только сохранять свою текущую стоимость, но и увеличивать свою стоимость в долгосрочной перспективе, эффективно распределяя ресурсы и поддерживая систему принятия стратегических решений, которые основаны на полном и своевременном понимании рисков всей организации.
В ЧЕМ СУТЬ ПОДХОДА?
Методология Risk Intelligence основана на девяти основополагающих принципах, разделенных на три уровня: управление рисками, инфраструктура рисков и владение рисками. Важной характеристикой этого подхода является внедрение системы выявления и мониторинга ключевых рисков. Организации могут использовать эту систему для создания модели прогнозируемого риска, тем самым способствуя принятию стратегических решений и эффективному и своевременному распределению финансовых ресурсов в нужных направлениях.
Эта методология была разработана глобальным консалтинговым офисом Deloitte
более семи лет назад. За эти годы на практике было доказано, что она может быть успешно использована для поддержки организаций по всему миру, включая страны СНГ и Казахстан в их стремлении стать более «Risk Intelligent».
КЕЙС: КРУПНЫЙ МЕЖДУНАРОДНЫЙ ОПЕРАТОР СОТОВОЙ СВЯЗИ
*название клиента Deloitte не раскрывается по правилам соглашения о конфиденциальности
В результате внутренней реструктуризации крупный международный оператор мобильной связи переместил свою штаб-квартиру в центр Европы. Новая штаб-квартира была основана как стратегический центр, с намерением централизации ряда функций, включая управление рисками и внутренний контроль. Deloitte поддержал компанию в процессе создания отдела управления рисками (ERM), в разработке последовательного подхода к управлению рисками и внедрении его в различных бизнес-подразделениях компании по всему миру.
В первую очередь консультанты провели оценку текущего состояния системы управления рисками в масштабах всей группы по методологии Risk Intelligent. Результаты анализа были использованы для разработки глобальной системы управления рисками, определения структуры управления, политики и процессов, ролей и обязанностей, допустимых пределов рисков, ключевых показателей рисков, мониторинга и отчетности.
В результате была создана глобальная структура управления рисками в масштабах всей группы, которая благодаря использованию автоматизированных инструментов (таких как SAP GRC, аналитика данных и информационные панели) оказалась способна отслеживать ключевые риски в бизнес-единицах по всему миру. Это обеспечило лучшее понимание потенциальных рисков и поддержку для высшего руководства в процессе принятия решений.
КАКИМ КОМПАНИЯМ МОЖНО ИСПОЛЬЗОВАТЬ МЕТОДОЛОГИЮ?
На данный момент методология используется преимущественно финансовыми и нефтегазовыми компаниями. Организации в сфере финансовых услуг традиционно более продвинуты в своих методах управления рисками, особенно в области моделирования финансовых рисков. В нефтяной и газовой промышленности некоторые крупные компании начали создавать структуры для анализа рисков, фокусируясь на рисках мошенничества.
Многие компании разработали политику управления предприятиями и стратегическими рисками и начали устанавливать «уровни аппетита» к рискам и лимиты рисков. Постоянный мониторинг и прогнозирование в большинстве организаций по-прежнему сосредоточены в основном на финансовых рисках. Однако все больше компаний, в том числе в Казахстане, начали работать над улучшением своего управления, над операционными и стратегическими рисками, распространяя и там мониторинг и прогнозы посредством таких инструментов как SAP и GRC.
В будущем мы ожидаем, что еще больше организаций получат доступ к качественным и интегрированным базам данных на основе таких интегрированных IT-систем, как SAP и другие. Это обеспечит про-активный и своевременный мониторинг и прогноз рисков, и будет способствовать достижению целей компаний стать “Risk Intelligent”.
Исследование международного рынка финансовых услуг, сделанное Deloitte в 2017 году, показывает, что внедрение программ управления рисками предприятий (ERM) имеет тенденцию роста: в 2006 году 35% опрошенных Deloitte компаний использовали программы управления рисками, а в 2016 году – уже 73%. Кроме того, еще 13% учреждений заявили, что они в настоящее время внедряют программу ERM, а 6 % – что планируют ее создать.
ЧТО НУЖНО УЧЕСТЬ ПРИ ВНЕДРЕНИИ
Для эффективной работы большинства методологий, и в том числе Risk intelligence, важно, чтобы она проникала во все уровни, включая высшее руководство, и была интегрирована с корпоративной культурой, процессами и системами.
Даже если адекватные процессы в области рисков уже налажены, управление рисками не может быть эффективным, если высшее руководство не воспринимает департамент управления рисками как стратегический фактор, влияющий на стоимость компании, а также поддерживающий компанию в области управления рисками. Отсутствие этого понимания обычно ведет к тому, что управление не получает достаточной поддержки со стороны руководства. На практике так случается из-за того, что эти управления готовят чрезмерно сложные отчеты по рискам, или не включают в них информацию, необходимую руководству.
Многие сложности внедрения системы управления рисками являются результатом чрезмерной сфокусированности на теоретических моделях или передовой международной практике. При том проекты и модели не согласуются с уровнем развития конкретной компании, потребностями управления и доступными ресурсами (людьми, системами или данными). Практическим примером таких ловушек является тенденция среди компаний, сосредотачиваться только на количественной оценке рисков: допустимых «аппетитах» к рискам и лимитах риска в финансовых показателях. В то же время другие – операционные – показатели могут лучше подходить для мониторинга или создания модели прогнозирования. И, само собой разумеется, для прогнозирования модели риска необходимы доступные и легко интегрирущиеся данные.
Внедрение любой методологии значительно влияет на компанию и должно быть адаптировано к конкретной среде, уровню развития бизнеса, его организационной структуре и т.д. Заявив о новых подходах в работе, руководитель должен всегда им следовать и иметь поддержку других управленцев.
Всем организациям без исключения, особенно с долгосрочными задачами, следует внедрять какие-то практики управления рисками, особенно, если они хотят повысить долгосрочную стоимость своих акций принимать правильные стратегические решения в перспективе.
КЕЙС: КРУПНАЯ КАНАДСКАЯ СТРАХОВАЯ КОМПАНИЯ
*название клиента Deloitte не раскрывается по правилам соглашения о конфиденциальности
Страховая компания хотела улучшить свою систему управления рисками по ряду причин:
- Недавно был назначен новый директор по управлению рисками, у которого не было большого опыта. Компании по-прежнему не хватало последовательного подхода (на уровне всей организации) к активному выявлению, оценке, управлению и созданию отчетов по важным финансовым и нефинансовым рискам. Это привело к тому, что Совет директоров не был уверен в адекватности принимаемых стратегических и операционных бизнес-решений.
- Компания проводила трансформацию своего бизнеса, чтобы повысить эффективность и конкурентоспособность. В этом контексте компания признала, что надежная и выстроенная структура управления рисками ей необходима, чтобы возвращать вложенные инвесторами средства и лучше распределять капитал. Deloitte оказал поддержку в разработке практики управления рисками и капиталом по методологии Risk Intelligence. Главное, чего хотели добиться консультанты, чтобы в итоге страховая компания могла определять, оценивать и сообщать о ситуации с важными финансовыми и нефинансовыми рисками на всех ее уровнях.
В работе использовался последовательный подход в масштабе всей страховой компании, включавший в себя организационную структуру, инструменты, шаблоны, процессы и понимание рисков. Это сформировало у менеджмента компании четкое представление о возможных и существующих рисках, позволило создать систему их отслеживания и разработать механизмы реагирования на них.
«Корпорация» - это совместный проект Vласти и «Самрук-Қазына», в котором ведущие эксперты рассказывают аудитории о современных методах управления бизнесом. Идея проекта – показать казахстанским бизнесменам на локальных и международных кейсах, как новые подходы меняют производство, логистику, маркетинг и планирование в компаниях разного масштаба.