Отчет о четвертой конференции «Корпоративные системы риск-менеджмента: лучшие практики» (день 2)

5-6 июня состоялась Четвертая конференция «Корпоративные системы риск-менеджмента: лучшие практики», организованная порталом CFO-Russia при поддержке Клуба финансовых директоров. Партнерами мероприятия выступили компании IBM Восточная Европа/Азия, КРОК, Incor Alliance Law Office и Национальная служба взыскания.

В рамках двухдневной конференции выступило 16 экспертов и топ-менеджеров из ведущих российских и международных компаний (АФК «Система», Росатом, РусГидро, КЭС, «Рольф» и другие).

• Ближайшая конференция по риск-менеджменту – Пятая конференция «Корпоративные системы риск-менеджмента».
• Чтобы приобрести материалы конференции, звоните по телефону +7 (495) 971-92-18 или пишите по электронной почте events@cfo-russia.ru

День 2

Второй день конференции открыло выступление Алексея Ожиганова, заместителя директора департамента казначейства и управления рисками компании «Рольф». Он поделился опытом в управлении рисками без службы риск-менеджмента, отметив, что основная работа в этом направлении ведется подразделением казначейства. Наиболее важные риски для компании – финансовые, в том числе валютный риск.

Для управления ими используется стратегия или политика риск-менеджмента и понятие «риск-аппетит» – баланс между риском и доходностью. Он означает, что ориентируясь на график «риск-доходность», а также с учетом своих возможностей (собственный капитал и резервы, ковенанты по банковским кредитам, ограничения по ликвидности) компания определяет, какой максимальный уровень риска она может себе позволить для максимизации своей доходности. Совокупный лимит рисков не может превышать размер собственного капитала и резервов, иначе реализация рисков может привести к банкротству или потере доли рынка. После установления лимитов по каждому риску определяется перечень мероприятий, благодаря которому риск должен быть снижен до приемлемого уровня.

Группа компаний «Рольф» все свои операции ведет в рублях, однако существенная доля ее кредитного портфеля состоит из валютных кредитов. И при отсутствии рублевых поступлений обслуживание валютного долга представляет существенный валютный риск. Поэтому в прошлом году акционеры поставили задачу защитить компанию от критических изменений валютного курса. Но поскольку, как отмечает Алексей Ожиганов, понятие «критическое изменение валютного курса» не было четко формализовано, приняли решение захеджировать «бюджетный курс», утвержденный на 2012 год. Для этого были использованы короткие контракты (до года) с возможностью продления на следующий период и выбраны два типа инструментов хеджирования:

• простые форварды (NDF), которые означают нулевой риск, так как курс жестко зафиксирован;
• бесплатные валютные коллары (zero cost collar), означающие минимальный риск внутри жестко заданного коридора.

Несмотря на то, что было захеджировано 100% кредитного портфеля, остаточный риск и соответствующая неопределенность в денежных потоках все равно сохранились. В частности, возник риск ликвидности, связанный с необходимостью платить margin call по причине использования Credit Support Annex (CSA). Кроме того, поскольку сроки хеджирующих контрактов короче, чем срок базового актива (используется механизм roll-over), возникает дополнительный риск долгосрочного отвлечения денежных средств при негативном финансовом результате от хеджирования.

И сам механизм roll-over содержит в себе риск того, что при очередном продлении контрактов премия форварда (разница между спот-курсом и форвардным курсом) может резко вырасти. Все это учитывается и контролируется казначейством в работе по предупреждению и минимизации рисков.

Далее Анна Советкина, заместитель директора департамента внутреннего аудита по управлению рисками корпорации «Вертолеты России», рассказала, как инструмент по управлению рисками может стать инструментом для принятия решений. Анна отметила, что система управления рисками начала внедряться в компании в конце 2011 года, а в качестве ее цели было обеспечение эффективных действий исполнительного руководства в условиях неопределенности и связанных с нею рисков и возможностей для достижения целей холдинга (стать высокорентабельной научно-производственной корпорацией и признанным мировым лидером вертолетостроения).

При построении системы была разработана единая методология управления рисками. Она включает в себя единые базы для классификации рисков (типы причин, событий, последствий); оценку рисков с использованием имеющихся финансовых моделей; единые критерии существенности и риск-аппетита и ключевые показатели рисков, которые соответствуют ключевым показателям эффективности работников. Также были введены понятия «владелец риска» и «владелец мер реагирования» с разными уровнями ответственности и полномочиями. Были разграничены и понятия «владелец бизнес-процесса» и «функциональное подразделение».

Все риски в компании были разделены на два типа: корпоративные риски и риски бизнес-процессов/проектов. К первым относятся события, влияющие на стратегические цели холдинга и относящиеся к нескольким бизнес-процессам или предприятиям. Ко вторым были отнесены риски, способные оказать отрицальное воздействие на достижение целей конкретного бизнес-процесса/проекта. После получения карты корпоративных рисков холдинга, как отмечает Анна Советкина, был введен риск-ориентированный анализ внутреннего аудита. В план внутреннего аудита попали стабильные, но рисковые бизнес-процессы и те риски, которые компания оценивает, как достаточно существенные. Одновременно создается карта операционных рисков, которая используется как база, присущая конкретному бизнес-процессу, а также проводится анализ эффективности имеющихся мер реагирования на риски.

Все проводимые мероприятия позволяют изменить корпоративную культуру и перейти от функционального управления к риск-ориентированному, к чему компания поступательно движется.

Об особенностях управления рисками холдингов рассказал Максим Сухарин, главный эксперт дирекции по управлению рисками «РусГидро». Он отметил, что такие риски имеют свою специфику. Это их стратегический характер из-за масштабности последствий большинства рисков, пониженная возможность возникновения рисков из-за высокого запаса прочности, сложность унификации существенных рисков из-за разнородности бизнеса, а также большая инерционность во времени.

В «РусГидро» приняты три уровня управления рисками. На самом низшем уровне – операционном – происходит сбор информации о рисках, внедрение оценки и оперативный мониторинг. На корпоративном уровне (управления филиалами) ведется формирование и актуализация реестра стратегических рисков холдинга, свод и контроль реализации плана мер по управлению стратегическими рисками и разработка методик оценки рисков по направлениям деятельности. А на самом верхнем уровне – стратегическом – разрабатывается стратегия и концепция риск-менеджмента, контролируется внедрение системы и оценивается ее эффективности.

Такая вертикаль позволяет собирать все риски холдинга воедино и принимать решение об их характере. Однако здесь, отмечает Максим Сухарин, возникают сложности с количественной оценкой риска из-за конфликта корпоративных приоритетов. Еще одна трудность связана с внедрением систем управления рисками в корпоративную культуру компаний холдинга, что головная компания пытается изменить.

Затем свой доклад представила Виктория Гаврилина, главный экономист управления операционных рисков и контроля департамента рисков Банка ЗЕНИТ. Она рассказала об опыте внедрения общекорпоративной системы сбора информации о событиях операционного риска. Эта система представляет собой интегрированное в почтовую систему банка приложение, что позволило сохранить понятный и привычный для всех интерфейс. В систему заложена специальная форма, в которую вносятся следующие данные:

• название, описание события и обстоятельства, в которых оно произошло; здесь же могут быть указаны подразделения, участвовавшие в событии;
• классификация события (его вид, направление деятельности и банковские продукты);
• связанность события с другими рисками (кредитный, рыночный, правовой, репутационный);
• потери (прямые, косвенные, потенциальные) и восстановление.

Обязанность по внесению события в систему возложена на ответственного за это сотрудника – линейного менеджера каждого подразделения, которому работники рассказывают о том или ином событии. У каждого ответственного есть памятки с перечислением событий операционного риска, что могут произойти в рамках их ответственности. После создания события информация о нем попадает к руководителю подразделения, который должен завизировать созданную запись (или отправить на доработку). После этого только запись о событии поступает к администратору системы – в управление операционных рисков. Здесь готовится заключение, насколько событие принципиально и будут ли по нему проводиться какие-либо мероприятия.

С помощью созданной системы в Банке ЗЕНИТ, как отметила Виктория Гаврилина, планируется повысить культуру работы с рисками и достоверность прогноза операционных рисков и расчета экономического капитала.

Оценку системы риск-менеджмента обсудили на одноименном «круглом столе» Анна Корбут, член наблюдательного совета РусРиск, Игорь Миронов, руководитель внутреннего аудита, внутреннего контроля и риск-менеджмента компании Nord Gold, и Михаил Рогов, советник директора по внутреннему контролю и управлению рисками «РусГидро». В частности, были рассмотрены вопросы аудита системы риск-менеджмента, разработка KPI для подразделения, распределение границ между внутренним контролем, внутренним аудитом и риск-менеджментом и т.д.

Михаил Рогов, затронув вопрос распределения границ между департаментами внутреннего аудита, внутреннего контроля и риск-менеджмента, заметил, что аудит должен быть независимым от риск-менеджмента. Но это выполняется не всегда. Во многих случаях он, наоборот, совмещен с внутренним аудитом. Более того, при оценке аудитом риск-менеджмента первому нужно ориентироваться на те или иные критерии/стандарты. Однако признаки, по которым можно это сделать, в стандартах ISO прописаны нечетко.

По словам Игоря Миронова, при оценке системы управления рисками внутренний аудит обычно проводит два теста: адекватности системы риск-менеджмента и ее эффективности. То есть, аудиторы должны оценить, как организован риск-менеджмент в целом, и сформулировать свои замечания и рекомендации по улучшению.

Анна Корбут поддержала это мнение и подчеркнула, что внутренний аудит должен быть компетентным в той области, в которой он аудирует. На практике же часто бывает, что он далек от той матчасти, в которой действует риск-менеджмент. Она также привела пример, когда ее подразделение по управлению рисками попросило аудиторов предоставить критерии и алгоритм аудирования системы. Но более-менее четкой методики оценки так и не было представлено. Проблема, по словам Корбут, в том, что внутренние аудиторы довольно часто дискретно смотрят на конкретные контрольные точки, их наличие или отсутствие. И поэтому они не способны охватить полностью стратегическую систему, которой риск-менеджмент является на практике.

В заключение конференции Евгений Яминский, главный аудитор компании «Интегра», рассказал о расширении функций внутреннего аудита для выявления мошеннических или коррупционных действий. Он отметил, что риск мошенничества – это риск рисков, и если мошенничество велико, то оно тормозит все процессы компании. Предпосылками рисков мошенничества становятся внешняя и внутренняя бизнес-среда. Во внутренней бизнес-среде в последнее время наметилась тенденция к смещению акцентов с того, насколько эффективен бизнес-процесс, к вопросам «где, когда и сколько». Отсюда следует, что бизнес-процесс не эффективен. Соответственно, необходимо вести речь о внедрении мер реагирования, то есть контрольных процедур. В этом помогает связь риск-менеджмента с внутренним аудитом и внутренним контролем. При выявленном реализовавшемся риске/факте мошенничества внутренний аудит проводит аудит бизнес-процесса, оценивает риски, рассчитывает последствия для компании в денежном выражении.

Евгений Яминский выделил 5 элементов эффективной системы по противодействию мошенничеству. Первый – система оценки рисков. Чем эффективней система управления рисками, тем меньше риски мошеничества. Вторая составляющая – разработанные контрольные процедуры, которые являются мерами реагирования на выявленные случаи. Третий элемент – горячая линия для сотрудников, поставщиков и подрядчиков. На горячую линию может поступать информация как о мелких хищениях в регионах с подробным описанием, так и о мошенничестве и хищениях на уровне руководящего персонала среднего и высшего уровня. Четвертый элемент – аудит. И, наконец, пятый, и самый главный, – наказание виновных лиц. По словам Евгения, если будут работать лишь четыре элемента, а пятый не будет, то можно считать, что система неэффективна.

Поскольку количество рисков мошенничества увеличивается, в компаниях (в рамках департамента внутреннего аудита) целесообразно создавать отдельные подразделения внутренних расследований. В зону ответственности такого подразделения будут входить помимо организации «горячей линии» проведение служебных расследований и оформление документальных доказательств, привлечение ресурсов для проведения проектов и т.д.

• Отчет о первом дне конференции «Корпоративное системы риск-менеджмента: лучшие практики»
• Ближайшая конференция по риск-менеджменту – Пятая конференция «Корпоративные системы риск-менеджмента».
• Чтобы приобрести материалы конференции, звоните по телефону +7 (495) 971-92-18 или пишите по электронной почте events@cfo-russia.ru

Текст: Снежана Дормидонтова

Фото: Тэодолус Сунарджая