У попередній статті ми розглянули основні причини створення систем ризик-менеджменту. Давайте розберемося, як же організувати таку систему у своїй компанії.
Для ідентифікації ризиків і управління ними власники бізнесу і вищі керівники можуть створювати в організаціях відповідні бізнес-процеси і структурні підрозділи, однак останнім часом все частіше вдаються до послуг сторонніх організацій і фахівців, що надають також сервіс із побудови і/або оцінки цих систем на професійній основі.
Управління ризиками — ознака високої корпоративної зрілості компанії
Згідно із загальноприйнятими концепціями, існують 5 рівнів корпоративної зрілості.
Також іноді окремо виділяють 0-й рівень, коли немає ніяких ознак організації.
Перехід компанії на більш високий рівень зрілості – необхідна умова для зростання бізнесу, яка супроводжується появою ряду чинників, що дозволяють власникам і керівникам отримати більш високий рівень доходів, – наприклад, здешевлення собівартості типового виробництва, оптимізація використання робочої сили, впровадження механізмів самооптимизації і т. ін.
На 3-му рівні корпоративної зрілості ("Регламентованість") у компанії з'являються базові механізми зворотного зв'язку, які досягають своєї повноти у 4-й стадії ("Керованість"). До цих же механізмів належать й інструменти управління ризиками.
Регламентованість дозволяє організації вийти на принципово новий рівень розвитку і почати використовувати зворотний зв'язок, який при послідовному розвитку компанії формується в механізм самоадаптації та самооптимізації системи.
Завдяки формуванню механізму зворотного зв'язку у власників і вищого керівництва компанії з'являється можливість скласти "карту ризиків": діаграму оцінки кожного окремо взятого ризику за критеріями розміру пов'язаного збитку і вірогідності його виникнення.
Як влаштована система реагування на дію негативних факторів?
Відносно до управління ризиками зворотний зв'язок полягає у формуванні багатолінійної системи реагування на дію негативних чинників. Нині в якості базової моделі розглядається система "трьох ліній оборони", сенс якої представлений на малюнку нижче.
Перша лінія оборони — самооборона
Як видно зі схеми, перша лінія оборони належить власникам бізнес-процесів – лінійному менеджменту (лінійному керівництву), який стикається з факторами ризику щодня і має всіляко попереджати поточні інциденти, а у разі потреби інформувати про виникнення загроз або виявлення інциденту вище керівництво і власників. Для компаній з ранніми формами організаційної зрілості ця лінія оборони, як правило, є єдиною.
Друга лінія оборони — дільничні
Друга лінія оборони на схемі представлена підрозділами внутрішнього лінійного контролю в їхніх різних варіантах і формах. Сюди належать усі підрозділи, основною сферою діяльності яких є процедури внутрішнього контролю. І які спільно з лінійним менеджментом беруть участь в розробці та подальшому впровадженні в практику схем бізнес-процесів, регламентів і внутрішніх нормативів як виключно організаційно- розпорядчого, так і операційно-технічного характеру.
Варто відмітити, що ця лінія починає формуватися при переході від стадії повторюваності до стадії регламентованості й формує ланцюг зворотного зв'язку, з якого власники і вище керівництво починають отримувати перші відомості про неочевидні для них ризики, а також інциденти в діяльності компанії. На такому етапі вищому керівництву і власникам найважливіше усвідомлювати дві базові істини:
- кожен впроваджуваний регламент не є остаточним, його варто періодично переглядати на предмет відповідності реальному життю;
- належною реакцією на кожен новий виявлений ризик є оцінка його можливих наслідків. І тільки після цього (при необхідності) – розробка заходів з його попередження і мінімізації.
Коли в компанії, на думку вищого керівництва і власників, сформована повноцінна друга лінія із служб і окремих фахівців, що формують систему внутрішнього контролю, варто замислитися про впровадження служби зовнішнього нагляду за ними, тобто третю лінію оборони.
Третя лінія оборони — патрульні
До третьої лінії оборони, яка формується на четвертій стадії організаційної зрілості ("Керованості") і приносить максимальну користь при досягненні компанією п'ятої стадії ("Самооптимізації"), відносять служби внутрішнього аудиту (СВА), які можуть складатися з власних постійних співробітників або залучених зовні фахівців, ключовою характеристикою яких є незалежність в оцінці процесів і систем компанії, а основне завдання – оцінка адекватності й ефективності системи внутрішнього контролю й управління ризиками.
Основи професійної діяльності внутрішнього аудитора визначаються Міжнародним інститутом внутрішніх аудиторів (The Institute of Internal Auditors, The IIA) і сформульовані таким чином.
Внутрішній аудит – це незалежна діяльність в організації (на підприємстві) з перевірки і оцінки її роботи в її ж інтересах. Внутрішній аудит допомагає організації досягти поставлених цілей, використовуючи систематизований і послідовний підхід до оцінки і підвищення ефективності процесів управління ризиками, контролю і корпоративного управління.
У діяльність СВА, що, як правило, здійснюється на плановій основі, входить оцінка стану внутрішнього середовища компанії, її окремих бізнес-процесів, впроваджених в них засобів внутрішнього контролю, окремих фактів і аспектів господарської діяльності, систем управління ризиками.
Одним з ключових завдань СВА є оцінка ризиків шахрайства, оскільки в цій стадії організаційної зрілості в компанії цілком може утворитися і досить зріла схема виведення активів, в якій рівною мірою можуть бути задіяні й співробітники виробничих підрозділів, і співробітники служб другої лінії (внутрішнього лінійного контролю), особливо при поєднанні цих повноважень однією особою (приклад – крах Barings Bank). Збиток від функціонування такої схеми можна порівняти з наслідками реалізації критичного ризику, він здатний значно похитнути фінансове здоров'я організації чи припинити її існування.
Повідомлення про інциденти від співробітників — інформатори (Whistleblowers)
Окрім перерахованих на схемі у багатьох компаніях також впроваджується механізм Whistleblowing, який полягає в можливості кожного співробітника подати повідомлення про виявлений інцидент недобросовісної поведінки або шахрайства на гарячу лінію. Як правило, для того, щоб стимулювати появу такої інформації, в компаніях засновується деякий преміальний фонд, а для подальшого захисту інформаторів від переслідування з боку співробітників, що вчинили інцидент, впроваджуються політики захисту.
Для компаній, що беруть участь у торгах на фондових ринках США, захист інформаторів, що подають інформацію в Комісію з цінних паперів (SEC), і їхнє преміювання закріплені на рівні законодавства.
Варто також відмітити різницю в культурі сприйняття інформаторів у вітчизняному бізнесі і за кордоном. Термін Whistleblower означає не донощика, а людину, яка для інформування оточення дме у свисток, чим привертає увагу до небезпеки.
Детективи: розслідування інцидентів штатними або сторонніми фахівцями
Як ми відмічали вище, будь-який реалізований факт ризику необхідно розслідувати, у тому числі й для того, щоб не дати шансу подібним ризикам і запобігти таким інцидентам у майбутньому.
Для проведення розслідувань компанії високого організаційного рівня зрілості, які вже неодноразово стикалися з критичними інцидентами, зазвичай мають у своєму штаті групу спеціально підготовлених експертів, робота яких відрізняється міжрегіональним, а іноді й міжнародним характером.
Компанії, для яких виявлений інцидент є неординарним або має критичне значення, можуть реагувати власними силами або притягнути сторонні сили – вдатися до послуг компаній і фахівців, що проводять розслідування. В останньому випадку замовник таких послуг отримує цілий комплекс переваг:
- забезпечується незалежність при формуванні матеріалів розслідування, що виключає вплив можливих зацікавлених осіб у вищому керівництві;
- послуги надаються досвідченими фахівцями, які можуть попередити замовника про всі нюанси розслідування завчасно, дати дієві рекомендації з мінімізації можливих наслідків і компенсації збитку;
- сторонні компанії, як правило, мають ряд незалежних висококваліфікованих технічних експертів з питань, які необхідно розглянути в ході розслідування;
- витрати на послуги високої якості будуть меншими, ніж при існуванні власної служби розслідувань, яка може з часом втратити незалежність, зважаючи на внутрішньокорпоративні стосунки;
- виключається особистий конфлікт замовника зі співробітниками, які перебувають з ним у довірчих стосунках і які зловживають такою довірою.
Результатом роботи кваліфікованого фахівця з розслідувань буде звіт, що містить:
- об'єктивну оцінку ситуації і чинників, які до неї призвели;
- посилання на важливі документи і обставини, оцінку доказової бази;
- список осіб з визначенням можливих ролей в реалізації інциденту;
- виявлені ознаки протиправних дій;
- оцінку перспективи компенсації збитку, медіації та судового переслідування потенційно винних осіб;
- рекомендації з відвертання подібних інцидентів.
Заздалегідь звертаємо увагу, що збиток, заподіяний протиправними діями, можливо компенсувати через суд лише у тому випадку, коли відносно підозрюваної особи ведеться кримінальне провадження, при цьому для компенсації збитків у рамках заздалегідь визначеної матеріальної відповідальності працівника можливе застосування судового механізму без залучення правоохоронних органів.
Система управління ризиками має бути в кожній компанії, яка хоче мінімізувати виникнення інцидентів і мати можливість розслідувати кожен такий випадок, попереджати інциденти, знаходити винних й компенсувати свій збиток. Коли система працює адекватно, компанії не доводиться мати справу з інцидентами – вони вивчені та пропрацьовані ще на стадії потенційного ризику.
Матеріал підготовлено провідним експертом Baker Tilly, Романом Гріневським, CFE
Picture: Designed by Dooder