Гід по створенню системи управління ризиками

11 вер. 2018


У попередній статті ми розглянули основні причини створення систем ризик-менеджменту. Давайте розберемося, як же організувати таку систему у своїй компанії.


Для ідентифікації ризиків і управління ними власники бізнесу і вищі керівники можуть створювати в організаціях відповідні бізнес-процеси і структурні підрозділи, однак останнім часом все частіше вдаються до послуг сторонніх організацій і фахівців, що надають також сервіс із побудови і/або оцінки цих систем на професійній основі.

Управління ризиками — ознака високої корпоративної зрілості компанії

Згідно із загальноприйнятими концепціями, існують 5 рівнів корпоративної зрілості.

Також іноді окремо виділяють 0-й рівень, коли немає ніяких ознак організації.


Перехід компанії на більш високий рівень зрілості – необхідна умова для зростання бізнесу, яка супроводжується появою ряду чинників, що дозволяють власникам і керівникам отримати більш високий рівень доходів, – наприклад, здешевлення собівартості типового виробництва, оптимізація використання робочої сили, впровадження механізмів самооптимизації і т. ін.

На 3-му рівні корпоративної зрілості ("Регламентованість") у компанії з'являються базові механізми зворотного зв'язку, які досягають своєї повноти у 4-й стадії ("Керованість"). До цих же механізмів належать й інструменти управління ризиками.

Регламентованість дозволяє організації вийти на принципово новий рівень розвитку і почати використовувати зворотний зв'язок, який при послідовному розвитку компанії формується в механізм самоадаптації та самооптимізації системи.

Завдяки формуванню механізму зворотного зв'язку у власників і вищого керівництва компанії з'являється можливість скласти "карту ризиків": діаграму оцінки кожного окремо взятого ризику за критеріями розміру пов'язаного збитку і вірогідності його виникнення.

Як влаштована система реагування на дію негативних факторів?

Відносно до управління ризиками зворотний зв'язок полягає у формуванні багатолінійної системи реагування на дію негативних чинників. Нині в якості базової моделі розглядається система "трьох ліній оборони", сенс якої представлений на малюнку нижче.

Перша лінія оборони самооборона

Як видно зі схеми, перша лінія оборони належить власникам бізнес-процесів – лінійному менеджменту (лінійному керівництву), який стикається з факторами ризику щодня і має всіляко попереджати поточні інциденти, а у разі потреби інформувати про виникнення загроз або виявлення інциденту вище керівництво і власників. Для компаній з ранніми формами організаційної зрілості ця лінія оборони, як правило, є єдиною.

Друга лінія оборони дільничні

Друга лінія оборони на схемі представлена підрозділами внутрішнього лінійного контролю в їхніх різних варіантах і формах. Сюди належать усі підрозділи, основною сферою діяльності яких є процедури внутрішнього контролю. І які спільно з лінійним менеджментом беруть участь в розробці та подальшому впровадженні в практику схем бізнес-процесів, регламентів і внутрішніх нормативів як виключно організаційно- розпорядчого, так і операційно-технічного характеру.


Варто відмітити, що ця лінія починає формуватися при переході від стадії повторюваності до стадії регламентованості й формує ланцюг зворотного зв'язку, з якого власники і вище керівництво починають отримувати перші відомості про неочевидні для них ризики, а також інциденти в діяльності компанії. На такому етапі вищому керівництву і власникам найважливіше усвідомлювати дві базові істини:

  • кожен впроваджуваний регламент не є остаточним, його варто періодично переглядати на предмет відповідності реальному життю;
  • належною реакцією на кожен новий виявлений ризик є оцінка його можливих наслідків. І тільки після цього (при необхідності) – розробка заходів з його попередження і мінімізації.

Коли в компанії, на думку вищого керівництва і власників, сформована повноцінна друга лінія із служб і окремих фахівців, що формують систему внутрішнього контролю, варто замислитися про впровадження служби зовнішнього нагляду за ними, тобто третю лінію оборони.

Третя лінія оборони патрульні

До третьої лінії оборони, яка формується на четвертій стадії організаційної зрілості ("Керованості") і приносить максимальну користь при досягненні компанією п'ятої стадії ("Самооптимізації"), відносять служби внутрішнього аудиту (СВА), які можуть складатися з власних постійних співробітників або залучених зовні фахівців, ключовою характеристикою яких є незалежність в оцінці процесів і систем компанії, а основне завдання – оцінка адекватності й ефективності системи внутрішнього контролю й управління ризиками.


Основи професійної діяльності внутрішнього аудитора визначаються Міжнародним інститутом внутрішніх аудиторів (The Institute of Internal Auditors, The IIA) і сформульовані таким чином.


Внутрішній аудит – це незалежна діяльність в організації (на підприємстві) з перевірки і оцінки її роботи в її ж інтересах. Внутрішній аудит допомагає організації досягти поставлених цілей, використовуючи систематизований і послідовний підхід до оцінки і підвищення ефективності процесів управління ризиками, контролю і корпоративного управління.


У діяльність СВА, що, як правило, здійснюється на плановій основі, входить оцінка стану внутрішнього середовища компанії, її окремих бізнес-процесів, впроваджених в них засобів внутрішнього контролю, окремих фактів і аспектів господарської діяльності, систем управління ризиками.


Одним з ключових завдань СВА є оцінка ризиків шахрайства, оскільки в цій стадії організаційної зрілості в компанії цілком може утворитися і досить зріла схема виведення активів, в якій рівною мірою можуть бути задіяні й співробітники виробничих підрозділів, і співробітники служб другої лінії (внутрішнього лінійного контролю), особливо при поєднанні цих повноважень однією особою (приклад – крах Barings Bank). Збиток від функціонування такої схеми можна порівняти з наслідками реалізації критичного ризику, він здатний значно похитнути фінансове здоров'я організації чи припинити її існування.

Повідомлення про інциденти від співробітників інформатори (Whistleblowers)

Окрім перерахованих на схемі у багатьох компаніях також впроваджується механізм Whistleblowing, який полягає в можливості кожного співробітника подати повідомлення про виявлений інцидент недобросовісної поведінки або шахрайства на гарячу лінію. Як правило, для того, щоб стимулювати появу такої інформації, в компаніях засновується деякий преміальний фонд, а для подальшого захисту інформаторів від переслідування з боку співробітників, що вчинили інцидент, впроваджуються політики захисту.


Для компаній, що беруть участь у торгах на фондових ринках США, захист інформаторів, що подають інформацію в Комісію з цінних паперів (SEC), і їхнє преміювання закріплені на рівні законодавства.


Варто також відмітити різницю в культурі сприйняття інформаторів у вітчизняному бізнесі і за кордоном. Термін Whistleblower означає не донощика, а людину, яка для інформування оточення дме у свисток, чим привертає увагу до небезпеки.

Детективи: розслідування інцидентів штатними або сторонніми фахівцями

Як ми відмічали вище, будь-який реалізований факт ризику необхідно розслідувати, у тому числі й для того, щоб не дати шансу подібним ризикам і запобігти таким інцидентам у майбутньому.


Для проведення розслідувань компанії високого організаційного рівня зрілості, які вже неодноразово стикалися з критичними інцидентами, зазвичай мають у своєму штаті групу спеціально підготовлених експертів, робота яких відрізняється міжрегіональним, а іноді й міжнародним характером.


Компанії, для яких виявлений інцидент є неординарним або має критичне значення, можуть реагувати власними силами або притягнути сторонні сили – вдатися до послуг компаній і фахівців, що проводять розслідування. В останньому випадку замовник таких послуг отримує цілий комплекс переваг:


  • забезпечується незалежність при формуванні матеріалів розслідування, що виключає вплив можливих зацікавлених осіб у вищому керівництві;
  • послуги надаються досвідченими фахівцями, які можуть попередити замовника про всі нюанси розслідування завчасно, дати дієві рекомендації з мінімізації можливих наслідків і компенсації збитку;
  • сторонні компанії, як правило, мають ряд незалежних висококваліфікованих технічних експертів з питань, які необхідно розглянути в ході розслідування;
  • витрати на послуги високої якості будуть меншими, ніж при існуванні власної служби розслідувань, яка може з часом втратити незалежність, зважаючи на внутрішньокорпоративні стосунки;
  • виключається особистий конфлікт замовника зі співробітниками, які перебувають з ним у довірчих стосунках і які зловживають такою довірою.

Результатом роботи кваліфікованого фахівця з розслідувань буде звіт, що містить:

  • об'єктивну оцінку ситуації і чинників, які до неї призвели;
  • посилання на важливі документи і обставини, оцінку доказової бази;
  • список осіб з визначенням можливих ролей в реалізації інциденту;
  • виявлені ознаки протиправних дій;
  • оцінку перспективи компенсації збитку, медіації та судового переслідування потенційно винних осіб;
  • рекомендації з відвертання подібних інцидентів.

Заздалегідь звертаємо увагу, що збиток, заподіяний протиправними діями, можливо компенсувати через суд лише у тому випадку, коли відносно підозрюваної особи ведеться кримінальне провадження, при цьому для компенсації збитків у рамках заздалегідь визначеної матеріальної відповідальності працівника можливе застосування судового механізму без залучення правоохоронних органів.


Система управління ризиками має бути в кожній компанії, яка хоче мінімізувати виникнення інцидентів і мати можливість розслідувати кожен такий випадок, попереджати інциденти, знаходити винних й компенсувати свій збиток. Коли система працює адекватно, компанії не доводиться мати справу з інцидентами – вони вивчені та пропрацьовані ще на стадії потенційного ризику.


Матеріал підготовлено провідним експертом Baker Tilly, Романом Гріневським, CFE


Picture: Designed by Dooder


 


Пов'язані новини



Подпишитесь на наши публикации
И еженедельно получайте идеи для развития Вашего бизнеса


« назад