Риск-менеджмент

В середине марта компания Marcus Evans совместно с Русским обществом управления рисками («РусРиск») организовала во Франкфурте-на-Майне конференцию «Управление корпоративными рисками в России и СНГ». География мероприятия предположительно сулила ликбез «от варягов», но, к счастью, этим не ограничилось: представители компаний реального сектора из СНГ обменялись опытом построения корпоративных систем управления рисками и подходами к решению насущных проблем.

Так, Владислав Образумов, руководитель департамента по корпоративному внутреннему аудиту Донбасской топливно-энергетической компании, предложил методы повышения значимости службы управления рисками. Потребность в этом может возникнуть, когда службу риск-менеджмента внедряют как дань моде. В результате ни руководство организации, ни ее сотрудники не понимают, чем занимается риск-менеджер, и уверены, что от него нет никакой пользы.

Американским Добровольческим корпусом по оказанию финансовых услуг совместно с Банковским институтом ГУ-ВШЭ в марте был организован московский семинар, в рамках которого сотрудники отдела уголовных расследований Налоговой службы США (Internal Revenue Service, IRS) рассказали слушателям об основных методах своей работы.

Ведущими семинара по финансовым расследованиям в Москве стали сотрудники офиса IRS-CI во Франкфурте

Налоговая служба США, и в частности отдел уголовных расследований (Criminal Investigation, IRS-CI), традиционно ведет международную деятельность. Однако в IRS-CI не только обмениваются информацией с коллегами из налоговых органов других стран, но и учреждают собственные зарубежные офисы в ключевых регионах мира. Ведущими семинара по финансовым расследованиям в Москве стали сотрудники такого офиса во Франкфурте – атташе Уильям Дж. Коттер и специальный агент Роберт Дж. Эриксон.

2007 год ознаменовался новым для России явлением – острой эскалацией трудовых конфликтов в крупных промышленных компаниях и резким ростом забастовочного движения. В 10 крупных забастовках приняло участие свыше 7 тыс. человек. Учитывая, что в 2006 году бастовало чуть более тысячи человек, а также тот факт, что в нашей посткоммунистической стране не было ни забастовочного опыта, ни установок на борьбу с администрацией в менталитете граждан, это явление действительно можно назвать новым и очень серьезным. Эксперты прогнозируют, что в 2008 году в забастовках примут участие уже десятки тысяч человек. Конфликты в социальных системах бизнеса представляют серьезную угрозу для развития и благополучия российских и иностранных компаний. Риски трудовых конфликтов в производственных социальных системах – область малоисследованная. Эти риски чрезвычайно опасны и сильно недооценены. В качестве аналогии можно привести возгорание торфяников.

Начавшийся в прошлом году кризис на рынке ипотечных бумаг, который вначале выглядел вполне безобидно, грозит перерасти в обвал всей мировой экономики. Ничего подобного ранее не было, несмотря на весьма обширный опыт человечества, неоднократно переживавшего финансовые катаклизмы. Первый из хорошо известных крахов рынка случился в 1557 году в Габсбургской империи. Впоследствии подобные события стали происходить все чаще. В XVIII веке было отмечено восемь финансовых катаклизмов разной величины, а в XIX веке – 20. В ХХ веке только широкомасштабных финансовых катастроф было не менее 12. Это без учета несчетного числа валютных кризисов и мелких крушений отдельных рынков.

Особенность современных кризисов заключается в том, что финансовые риски реализуются в качественно иной среде, которая, будучи взращенной на идеях глобализации, отличается чрезвычайно высокой «питательностью» для различного рода угроз в самых разных сферах – политике, финансах, инвестициях, экономике. Поскольку она только начала формироваться, с каждым годом будут не только расширяться масштабы финансовых катастроф, но и увеличиваться их глубина. Именно эта новая среда обуславливает крайнюю зыбкость экономического развития России. Подобную шаткость не способен укрепить даже процесс умножения числа позитивных макроэкономических факторов, влияющих на экомику. Как ни парадоксально, уверенность в их способности обеспечить стабильность как раз может стать причиной будущих невзгод россиян.

Впрочем, это лишь частный случай тех невзгод, которые могут обрушиться на Россию в ближайшие годы. Авторы национального доклада «Риски финансового кризиса в России» уверены, что подобный сценарий возникновения кризисных явлений в экономике является одним из множества вариантов развития событий. По мнению Якова Миркина, директора Института финансовых рынков Финансовой академии при Правительстве РФ, риски финансового кризиса в России стали абсолютно реальными именно в 2008 году. Причем разразиться новой катастрофе не помешают ни огромные золотовалютные резервы Банка России, ни благоприятная ценовая конъюнктура внешних сырьевых рынков, ни положительная динамика внутреннего производства.

Главная опасность сегодня – слишком высокая корреляция между финансовым сектором России и глобальными рынками. Цены на российские финансовые активы чрезмерно зависят от иностранных инвесторов. По существующим оценкам, в настоящее время на фондовом рынке нерезиденты обеспечивают около 70% спроса на отечественные бумаги. В то время как обороты торгов депозитарными расписками на российские акции составляют не менее 50% внутреннего рынка. Это создает высокую зависимость стоимости российских ценных бумаг от инвестиционных решений глобальных инвесторов, вложения которых носят в основном спекулятивный характер. Поэтому любое изменение настроений в стане инвестиционных менеджеров способно привести если не к краху рынка, то к значительным «турбулентностям» в отдельных сегментах финансовых рынков и даже в целых отраслях экономики.

Однако данный прогноз не является долгосрочным. По заключениям многих экспертов, если в течение ближайших 1,5 лет отечественный рынок проявит стойкость к «финансовой инфекции», то после 2009 года опасность финансового кризиса будет только увеличиваться. Причина заключается в том, что в 2009–2011 годах будут нарастать угрозы, связанные с чрезмерной концентрацией финансовых рисков. Испытанию на прочность могут подвергнуться в первую очередь валютный и инвестиционный рынки. Внутренний финансовый рынок рискует чересчур перегреться (что приведет к укреплению рубля) и подвергнуться валютной атаке при первых признаках переоцененности отечественной валюты. Хуже всего то, что эти новые опасности не исключают возможности реализации угроз импортированного кризиса. Напротив, все эти риски суммируются. Даже в случае реализации лишь одного из трех возможных сценариев способность российской финансовой системы противостоять угрозам серьезно ослабляется. Слишком уж шаткое финансовое основание у сегодняшнего экономического подъема России. За многие годы непрекращающейся банковской реформы Банк России так и не сумел создать систему рублевого рефинансирования коммерческих банков в качестве канала денежной эмиссии.

Выбор стандарта корпоративного риск-менеджмента становится значимым при выходе на глобальные рынки заимствований. Требования к наличию и действенности систем управления рисками и внутреннего контроля Нью-Йоркской, Лондонской, Гонконгской и прочих фондовых бирж стоит изучать через призму упомянутых выше культурных, профессиональных и временных факторов. Тогда вам станут понятны требования и ожидания регуляторов, инвесторов и рейтинговых агентств, и стандарт будет выбран адекватно.

Если же возникает необходимость фондироваться более чем в одном регионе, имеет смысл попытаться создать собственный универсальный стандарт по корпоративному управлению рисками, в котором бы четко прослеживались черты широко используемых международных образцов. Разработка собственного стандарта корпоративного управления рисками – задача увлекательная и несложная. Общепризнанных в рисковой индустрии стандартов десятки, а не сотни, и их изучение не займет много времени. Важно не упустить ключевые положения, содержащиеся в большинстве из них. Для этого следует учесть несколько рекомендаций.

Различные комбинации национальных, исторических, законодательных и культурных факторов наглядно проявляются во взаимоотношениях собственников бизнеса и управленцев, и поэтому дух и буква стандартов зависят от региона их возникновения.

В стандартах Азиатско-Тихоокеанского региона парадигма отношений между менеджером и собственником может быть определена как «доверие». Ее можно изложить следующим образом: играй по правилам – мы тебе доверяем, но не забывай периодически отчитываться владельцам. По мере движения к Западу управленческая парадигма отношений ужесточается. В Европейском регионе она формулируется как «частичное доверие», что можно трактовать так: играй по правилам и уведомляй собственника о возможном возникновении проблем, не уведомишь сам – за тебя это сделают твои коллеги или подчиненные. В Северной Америке парадигма строится уже на изначальной презумпции виновности менеджеров. Здесь девиз корпоративных отношений – «недоверие», которое можно выразить требованием собственника к менеджеру: постоянно доказывай обоснованность всех своих действий и по возможности стучи сам на себя и на всех вокруг.

С усилением глобализации новые стандарты во всех регионах вбирают в себя лучшую международную практику (как правило – западную) и становятся по отношению к наемным управленцам все более требовательными.

Единый мировой стандарт по корпоративному управлению рисками пока не создан, и вряд ли стоит ожидать его появления в ближайшее время. Существует несколько десятков национальных и региональных стандартов и рекомендаций по корпоративному риск-менеджменту, некоторые из них представляют собой руководства по управлению рисками или корпоративному управлению с элементами управления рисками, другие посвящены внутреннему аудиту или внутреннему контролю, большая же часть является более или менее успешным сочетанием перечисленных методик. Их отличия объясняются разницей национальных бизнес-традиций, периодом создания и профессиональным профилем авторов.

Время разработки и публикации

Как правило, на содержание стандарта оказывают влияние наиболее яркие или «болезненные» события: террористические акты, банкротства крупных компаний, корпоративные скандалы и мошенничества. Вновь разработанные стандарты оказываются более полными, комплексными и жесткими по сравнению с предыдущими, так как в них аккумулируется полученный профессионалами опыт.

Правильно оценивайте степень риска.

Специализированные компании, такие как N2 Check, могут провести суммарную оценку текущей задолженности по всем направлениям работы вашей компании и по торговым операциям в каждой группе. Часто в результате таких проверок оказывается, что совокупная задолженность и риск банкротства головной компании оказываются недопустимо высокими.

Проведите оценку страхования кредитов.

Схемы страхования кредитов громоздки и непросты для понимания, однако с введением онлайн-систем оценить лимит выплат и страховые премии стало гораздо проще. Более того, страховые полисы теперь могут не покрывать всю дебиторскую задолженность – можно застраховать контракты, например, с десятью важнейшими клиентами или страховать только отдельные операции, со специфическим риском. Страхование кредитов может также способствовать развитию бизнеса, поскольку позволяет компаниям работать с клиентами с более высокой степенью риска и быть защищенными от невозврата в случае их банкротства.

Еще одним признаком ухудшения деловой среды являются участившиеся случаи «подготовленных» банкротств, которые вызывают беспокойство кредиторов. Речь идет о продаже активов компании, согласованной до объявления банкротства. В таких случаях компанию часто выкупают назначенные временные управляющие. «Подготовленные» банкротства вызывают недоверие из-за недостаточной прозрачности процедуры. Согласно закону, права всех кредиторов обанкротившейся компании равны, но вместе с тем Высокий суд3 признал, что при «подготовленном» банкротстве некоторые кредиторы могут утратить свои права.

Риск неплатежеспособности и банкротства должников в настоящее время достиг высокого уровня и продолжает расти, считает Боб Лили, директор компании, осуществляющей страхование кредитов.

Как изменится процентная ставка по кредитам – повысится или понизится? Финансовых директоров в основном волнуют такие последствия ее колебаний, как рост затрат и снижение прибыльности. Однако подобный подход может оказаться слишком узким.

Действительно, из-за повышения процентной ставки может возникнуть риск ухудшения отчетности из-за несостоятельности заемщиков. Уровень этого риска в Великобритании сохраняется высоким на протяжении нескольких лет: согласно данным компании Dunn and Bradstreet, в 2007 году число банкротств предприятий выросло на 12% по сравнению с прошлым годом. Только с января по июль 2007 года прекратило свое существование рекордное количество компаний – 48 тыс. Неблагоприятную тенденцию подтверждают и другие данные: Британская ассоциация страховщиков сообщает, что выплаты по страхованию рисков непогашения кредиторской задолженности достигли максимума, и это учитывая, что такой вид страхования в Великобритании не очень распространен.

Структурирование оценок на всех этапах формирования выводов аудита позволяет сформировать статистическую основу для расчета предполагаемой динамики изменения различных процессных показателей в постпроверочном периоде. Полученные результаты могут быть использованы для формирования перспективного плана инвестиций в информационные технологии, взаимоувязанного с повышением уровня зрелости системы управления рисками. Как уже было сказано, чем сложнее информационная система, тем более зрелая система IT-управления ей должна соответствовать. Но существует и обратная зависимость. Например, если у компании несложная локальная система, то максимальной эффективности она достигнет при уровне зрелости 2,8–3,2. Более высокий уровень не даст решающего преимущества, но может привести к дополнительным расходам на менеджмент.

Расчет уровня зрелости IT-процесса

Данный расчет может быть проведен с использованием методологии CobiT, предлагающей определять пять ключевых характеристик зрелости процесса. Аудитор проводит группировку частных вопросов по указанным характеристикам процесса (компетенция, фактическая деятельность, документирование, измерение, совершенствование) и рассчитывает оценку для каждой группы. При этом рекомендуется учитывать весовые характеристики как вопросов внутри группы, так и самих групп. Определение конкретных значений выполняется экспертным путем и согласуется с заказчиком аудита в начале работы.

Отрицательный вектор тренда строится с учетом уровня документирования (итоговая оценка для данной группы вопросов). Чем ниже уровень документирования, тем больше вероятность в случае утраты ключевого персонала или изменений условий деятельности не достигнуть целей IT-деятельности (например, новые сотрудники не могут получить информацию о том, как должны выполняться те или иные процедуры). Соответственно для положительного тренда учитываются измерение и совершенствование как основа улучшения деятельности.

В качестве примера рекомендаций по проведению верификации по конкретному вопросу – «Реагирование на инциденты информационной безопасности» – может служить указание по аудиту, содержащееся в «Руководстве по внедрению и аудиту средств контроля стандарта BS 7799», разработанном Британским институтом стандартизации: «В организации должны быть разработаны и внедрены необходимые процедуры и созданы каналы связи с руководством для сообщения о случаях нарушения безопасности. Аудиторы должны удостовериться в том, что эти процедуры применимы для любых возможных инцидентов и обеспечивают принятие достаточно эффективных ответных мер. Если какая-либо организация заявляет, что у нее не бывает инцидентов, о которых нужно сообщать, и поэтому она не может продемонстрировать процесс представления сообщений, то, скорее всего, на самом деле инциденты происходят, только их никто не замечает.

• отсутствие четких договорных отношений (соглашений) с поставщиками IT-услуг, (включая определение ролей, ответственности и ожиданий, проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия) повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.

Влияние на достижение целей

IT-деятельности:

• обеспечение результативности IT-деятельности – умеренное влияние;

• обеспечение рациональности IT-деятельности – высокое влияние;

• обеспечение безопасности IT-деятельности – высокое влияние.

На предварительном этапе аудита – этапе планирования («I» на рис. 1), как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить, а также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться. На этапе проводится:

• предварительное ранжирование перечня IT-процессов и связанных IT-рисков, подлежащих оценке;

• согласование границ аудита: IT-сервисы, системы, программно-аппаратное обеспечение, подразделения и специалисты, в отношении которых будет проведен анализ;

• формирование и согласование детального плана аудита.

Аудитором обычно формируется эталонный перечень IT-рисков, которые согласно международным стандартам присущи стадиям планирования, разработки, внедрения и эксплуатации информационных автоматизированных систем. Инициатор аудита (заказчик) на основе указанного перечня определяет приоритеты для оценки.

CobiT (Control Objectives for Information and related Technology) – международный стандарт управления корпоративными информационными технологиями, который помогает согласовать стратегию бизнеса и IT, выстроить диалог между руководителями бизнес-подразделений и менеджментом информационной службы. Библиотека передового опыта ITIL (IT Infrastructure Library) – стандарт по управлению информационными технологиями, активно применяется во многих странах на протяжении последних 15 лет. ISO 20000 (Information technology — Service management) – стандарт, содержащий универсальные критерии, с помощью которых любая фирма или служба, предоставляющая IT-услуги, может оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как отраслевой – нацеленный на IT-услуги – аналог ISO 9001:2000.

Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:

• распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;

• наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;

Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации спе цифичных угроз информационной безопасности – вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

• выбора неоптимального решения по автоматизации;

• ошибок при проектировании;

• нарушения расчетных сроков и бюджета проекта;

• несоответствия между инфраструктурой и решениями по автоматизации;

Индикаторы в социально-политической сфере:

• резкая смена социального статуса физического лица как в сторону повышения, так и в сторону понижения. Кредитный риск (КР) этого физического лица в данном случае оценивается как высокий;

• смена социальной ориентации – КР высокий;

• резкое повышение или снижение реально проявляемой политической активности – КР низкий;

• смена места работы с изменением социального статуса – КР средний;

• изменение социального положения в связи с браком, наследством, обнаружившимися родственниками и др. – КР средний.

Известно, что серьезной проблемой при оценке банковских рисков является недостаток информации. Одним из ее возможных источников являются индикаторы рисков, которые представляют собой своеобразные сигналы раннего оповещения о потенциальной негативной ситуации. Эти индикаторы не требуют значительных организационных усилий и финансовых затрат по их обнаружению, идентификации и включению в оперативные циклы риск-менеджмента. Основная их задача – дать информацию об инициировании и активизации нестабильных агрессивных факторов окружающей среды, о возможно формирующихся при этом и усиливающихся рисках. Область действия и спектр этих индикаторов может быть очень широк. При формировании законченного комплекса банковского риск-менеджмента они должны занять свое место и играть важную роль. Использование индикаторов в качестве информационных инструментов риск-менеджмента предполагает их группировку, классификацию и ранжирование. Банки могут использовать эти индикаторы как по отношению к клиентам, так и в качестве информационных инструментов внутреннего аудита и контроля. Кроме того, указанные индикаторы могут использовать органы надзора, клиенты, партнеры банков и т.д.

А. Статистические результаты степени согласованности мнений экспертов в группе В распоряжении автора имеются статистические данные о работе экспертных групп в 107 российских банках. На рисунке на основании этих статистических данных построена функция распределения оценок степени согласованности мнений экспертов в группе Р% в виде F (P%) (показана зеленым цветом) и обратная ей функция распределения оценок степени несогласованности мнений экспертов в группе 1 - F (P%) (дана красным цветом). Как видно из рисунка 1, степень согласованности мнений экспертов 76% является наиболее вероятной, что, в свою очередь, означает, что наиболее вероятной степенью несогласованности мнений экспертов в их группе является 24%. Б. Проверка оценок степени согласованности мнений экспертов в группе на фрактальность Разработанный Х. Херстом (H. Hurst) метод анализа случайных рядов можно использовать и для анализа оценок степеней согласованности мнений экспертов в группе.

А. Экспертный анализ отдельного банка Как правило, математические методы базируются на анализе строго формализуемой информации, например на отчетности банка, а неколичественные аспекты его деятельности остаются без внимания (кадровая политика, качество менеджмента, в том числе риск-менеджмента, связь с криминальными структурами, судебные и арбитражные тяжбы и т.д.).

Но зачастую именно эти аспекты могут быть определяющими для оценки банка. Их трудно формализовать и тем более регламентировать степень их влияния на общее состояние банка в рамках стандартных неэкспертных методов. Экспертный подход при анализе отдельного банка позволяет учесть важные индивидуальные особенности банка, качественную информацию, а также использовать знания и опыт эксперта, которые невозможно применить в рамках стандартных методов. Но это является лишь частичным решением задачи анализа отдельного банка.

Экспертные методы давно подвергаются критике, и не безосновательно.

Существует ошибочное мнение, что эти методы и полученные с их помощью оценки являются самодостаточными. В связи с этим возникают и функционируют экспертные системы управления банками типа «крестиков-ноликов». Такой подход к управлению компанией, особенно банком, – это атавизм, и при наличии разнообразного современного математического инструментария подобный «менеджмент» сложных систем ничем не оправдан. Эксперт, в силу того что он хорошо разбирается в предметной области, способен выделить наиболее важные аспекты и охарактеризовать степень их влияния на результат. Однако сформулировать итоговые выводы, особенно в количественном выражении, эксперту очень сложно.

Существуют две модели надзора за рисками. Для первой модели характерна опора на внутренний контроль (самоконтроль) банка в рамках общих направлений методик Центрального банка. Такая модель предлагается Базельским комитетом по банковскому надзору и имеет следующие характеристики:

а) аксиомой является максимизация прибыли банка, в том числе за счет грамотного создания резервов только по операциям, где потребность в них действительно имеется. Модель ведет к укреплению позиций банка на рынке, повышению его устойчивости, улучшению имиджа, соответствует интересам акционеров;

б) методы контроля над рисками внутри банка постоянно совершенствуются, поскольку это является прямым конкурентным преимуществом и позволяет получать более высокую прибыль;

в) будучи регулируемой таким образом, любая банковская система более конкурентоспособна по сравнению с банковскими сообществами, регулируемыми иначе, так как ее банки имеют больше внутренних возможностей для маневра.

Базельский комитет по банковскому надзору официально рекомендует кредитным организациям использовать для оценки рисков внутрибанковские модели. Вот некоторые зарубежные подходы к решению этой задачи:

1. Вычисление ожидаемого убытка в условном множестве рейтингов.

2. Упрощенный метод вычисления кредитного риска, когда рассматриваются только два события: дефолт клиента и отсутствие дефолта клиента.

3. Подход, основанный на матрице переходных вероятностей, составляемой по публикуемой статистике дефолтов и ротации компаний в рейтинге. Такую информацию предоставляет, например, рейтинговое агентство Standard & Poor’s (США).

Риск-менеджерам-практикам необходимо активнее осваивать уже имеющиеся наработки. Например, внедрять VaR-лимиты и концепцию рентабельности с учетом риска (RARORAC)10. Творчески разрабатывать и внедрять системы KRI бизнес-процессов индивидуально для каждой отрасли и бизнес-линии. Обобщать отраслевой и межотраслевой опыт, внедрять в реальном секторе все лучшее, наработанное в банковском секторе, в стандарте Базель-II.

Важно помнить, что риск-менеджмент – это не попытка узнать что-то новое в ситуации неопределенности (разведка) и не попытка исправить последствия уже реализовавшихся рисков (антикризисное управление, восстановление), хотя эти две цели иногда попутно достигаются в ходе управления рисками. Риск-менеджмент – это управление имеющимся риском в условиях неопределенности, когда дальнейшее уточнение информации невозможно или неокупаемо, а борьба с последствиями реализовавшихся рисков является одновременно и защитой от еще не реализовавшихся новых рисков, а не только восстановлением как таковым.

Предположительно риск-менеджмент ожидают следующие направления развития:

• взрывной рост информации о конъюнктуре, возможно, приведет к концентрации на риск-менеджменте «сверху» и отказу от детального риск-анализа бизнес-процессов низшего и среднего уровня (кроме самооценки и выборочного риск-аудита);

• индивидуализация риск-менеджмента: влияние психологии лиц, принимающих решения (ЛПР), станет более явным, будет создан интерфейс «от клавиатуры к мыши»;

• проявится влияние этнокультурного контекста (например, исламского права);

• в риск-менеджменте будут применяться «квантовые» финансы и эконофизика;

• все большее количество специалистов начнет действовать, исходя из понимания того, что риск – это принципиальная невычислимость и в меньшей степени – стохастическая проблема;

Трудности в применении количественных методов анализа риска связаны с недостатками развития теории и практики риск-менеджмента. Можно отметить следующие ключевые проблемы теории:

• в современной картине мира подчеркивается случайная природа риска, тогда как значительная часть рисков имеет хаотический, а не случайный характер6. Кроме того, игнорируется взаимосвязь рисков и общность их природы. Например, отсутствие связи рыночных и кредитных рисков с операционными рисками – одно из самых глубоких заблуждений представления о рисках;

• слабо развит математический аппарат, предназначенный для выявления связей, корреляции и, следовательно, диверсификации портфеля. За исключением корреляции и коинтеграции, сфера применимости которых весьма ограничена, остальные меры зависимости нелинейно связанных величин либо не разработаны, либо малоизвестны. Риск-менеджмент основывается лишь на современных концепциях. Например, гипотетически модель реальных опционов могла бы в будущем вытеснить из практики общепринятую сейчас концепцию дисконтирования денежных потоков7;

Самая большая сложность в применении математических методов оценки рисков – получение исходных данных для расчетов – статистических, исторических. Какой бы совершенный метод оценки ни применялся, как известно, если загрузить мусор на входе – мусор получится и на выходе4. В России и других странах СНГ не существует подробной статистики дефолтов, а кредитные бюро недостаточно эффективны. Сбор отраслевой статистики затруднен инфантильной позицией участников рынка. Например, отечественные банки признают потребность в создании базы статистики операционных рисков, аналогичной базам данных западных банков (например, OpVantage), но при этом «жадничают», «расходятся по углам», не желая делиться имеющимися данными, и ждут добровольно-принудительной инициативы от Банка России или общественных организаций.

Наиболее распространенные в настоящее время методы оценки рисков основаны на определении чувствительности целевых показателей к изменению факторов риска и изменчивости этих факторов риска. Теоретически все виды рисков могут оцениваться с помощью расчета популярных показателей возможных потерь: Value-at-Risk (VaR), условный – conditional – VaR (cVaR), стресс-тестирование и т.п. VaR показывает величину, которую не превысят потери под воздействием рисков за определенный период с данной вероятностью. Например, недельный 95% VaR, равный 1 млн руб., означает, что за пять рабочих (торговых) дней потери под воздействием рисков не превысят 1 млн руб. с вероятностью 95%.

(VaR) показывает величину ожидаемых потерь в случае, если они превышают VaR. Продолжая предыдущий пример, недельный cVaR, равный 3,5 млн руб., означает, что если потери превысят VaR (в данном случае – если потери больше 1 млн руб.), то в среднем они составят, например, 3,5 млн руб. за неделю. Стресс-тестирование показывает, сколько составят потери в случае реализации сценариев стресса (рыночного шока или сбоев бизнес-процессов и т.д.). Например, потери в случае скачка обменного курса на 10% составят 10 млн руб.

Вслед за чикагским экономистом Фрэнком Найтом c 1921 года термин «риск» стал использоваться для обозначения именно той неопределенности, которую можно количественно измерить.

Развитие количественных методов в риск-менеджменте тесно связано с финансовой математикой, само существование которой возможно благодаря тому, что деньги выполняют функцию измерения стоимости и обладают таким удобным свойством, как делимость. В связи с этим количественные методы риск-менеджмента лучше всего развиты в управлении финансовыми рисками, а именно – рыночными и кредитными. Гораздо хуже дела обстоят с управлением операционными рисками (которые также являются финансовыми, так как отражаются на экономике, но многими данный факт недопонимается из-за нецелостного восприятия рисков и бизнеса).

– По каким критериям определяется уровень риска в вашей компании?

– Принятая у нас градация рисков на «существенные – умеренные – несущественные» предполагает, что самые серьезные угрозы будут передаваться совету директоров МРК, умеренные будут контролироваться топ-менеджментом компании, а несущественные – функциональными менеджерами. Уровень существенности риска определяется на основе трех критериев. Первой составляющей является ожидаемое влияние реализации риска на финансовые результаты деятельности компании в стоимостном выражении с учетом вероятности реализации риска. Вторая составляющая связана с необходимостью предоставления качественной фиксированной связи в срок и без перебоев на всей территории РФ. Третьей составляющей оценки является влияние на репутацию компании.

– Какие способы вы использовали при оценке рисков?

– Каждый риск был оценен по трем вышеупомянутым критериям с использованием количественных и качественных методов оценки, причем приоритет мы отдали количественной оценке. Мы направили в МРК рекомендации по применению VAR, CFAR, расчетов дюрации и других количественных методов оценки рисков. Конечно, существует ряд рисков, к которым невозможно применить количественную оценку, например риски, связанные с мотивацией персонала.

– Многие компании сталкиваются с сопротивлением персонала при внедрении ERM. Как вы преодолели эти трудности?

– Действительно, зачастую новшества нелегко воспринимаются сотрудниками компаний, и в этом «Связьинвест» не стал исключением. Поэтому мы решили вовлечь в проект максимальное количество сотрудников и головной, и региональных компаний. Во-первых, мы провели обучение персонала и подробно рассказали сотрудникам о проекте, его целях и задачах, о том, что успех проекта сделает более прозрачным управление рисками каждого функционального подразделения МРК. А во-вторых, мы постарались максимально упростить процесс внедрения ERM и интегрировать ее в системы стратегического планирования и бюджетирования.

– Перед построением ERM в холдинге в двух МРК был запущен пилотный проект по управлению операционными рисками. Какой опыт был вынесен из этой работы и как он повлиял на архитектуру корпоративной системы риск-менеджмента?

– Как осуществляется управление рисками в МРК?

– В каждой дочерней компании создана комиссия по рискам, возглавляемая генеральным директором, которая утверждает результаты оценки рисков и формирует перечень существенных рисков для дальнейшего представления совету директоров МРК. Как правило, владельцами рисков являются руководители профильных департаментов компаний: они выявляют и оценивают риски, разрабатывают мероприятия по их контролю и минимизации. За каждым риском, внесенным в перечень, закреплен соответствующий владелец риска и мероприятия. Одной из дополнительных возможностей данной системы является распределение рисков по всем уровням управления. Если риск относится к уровню управления данного специалиста, сотрудник может взять его под контроль и обозначить в своем отчете дополнительные ресурсы, необходимые для управления риском. Если же специалист сталкивается с риском более высокого уровня управления и не может адекватно на него реагировать, не имея достаточных компетенций, он может передать данный риск на рассмотрение комиссии по рискам, которая передаст его на более высокий управленческий уровень.

В марте 2007 года ОАО «Связьинвест» приступило к построению системы ERM.

- С чего началось построение системы управления рисками в компании?

- Мы создали рабочую группу, в которую вошли представители функциональных департаментов ОАО «Связьинвест» и межрегиональных компаний (МРК). Ее задачей стал контроль над разработкой системы управления рисками группы компаний «Связьинвест». Для построения ERM мы выбрали стандарты COSO, а высшим органом управления рисками стал совет директоров.

Работа проходила в несколько этапов. На первом управляющая компания разработала «Концепцию интегрированной системы управления рисками» и «Классификатор типичных телекоммуникационных рисков». Концепция содержит методические указания, рекомендуемые к использованию в программах по управлению рисками: материалы по организационной структуре риск-менеджмента, положения, регламентирующие деятельность подразделений по управлению рисками, описание процедур по выявлению, оценке и управлению рисками. В «Классификаторе типичных телекоммуникационных рисков» были перечислены потенциальные риски (угрозы и возможности), проанализированы вероятные причины их возникновения, описан набор методик по их оценке и управлению.

На мой взгляд, оценивать риски бизнес-процессов необходимо в самом начале аудита путем тестирования системы внутреннего контроля. В идеальном варианте результаты тестирования должны быть готовы к началу аудиторской проверки первичной документации для концентрации внимания аудиторов на документах, при составлении которых контроль мог быть недостаточен и имеет место высокий риск их некорректного составления. Но в связи с трудоемкостью этого тестирования и ограниченностью сроков проведения аудита, а также необходимостью получения полномочий – подписанного руководством банка приказа – запрашивать всю необходимую информацию от аудируемых подразделений, иногда результаты оценки могут быть получены уже тогда, когда вовсю идет проверка документов. Тогда документарная ревизия и оценка рисков бизнес-процессов дополняют друг друга по большей части лишь при написании финального отчета как две разные его части. Для оценки системы внутреннего контроля в деятельности проверяемого подразделения очень удобно применять сквозные тесты, то есть отслеживать прохождение операций через всю систему. Преимущество таких тестов состоит в том, что оценивается не только уровень контроля на конкретной контрольной точке, но и остаточные риски. Проведение подобных тестов и подготовка заключения об оценке аудиторских рисков и рисков системы внутреннего контроля позволяет выявить места в процессах, где наиболее вероятен сбой.

Затраты на контроль, осуществляемый на каком-либо участке деятельности банка, должны быть соотнесены с рисками, возникающими на данных участках. При риск-ориентированном подходе возникает возможность выявления не только уязвимых мест контроля, но также его возможной «избыточности» на некоторых этапах при проведении операций, которая может увеличивать себестоимость проводимых операций. При проведении проверок процесса корпоративного кредитования следует обратить внимание и на рыночный риск. Так, при рассмотрении вопроса ценообразования по кредитному продукту можно проверить соответствие процентной ставки, выработанной кредитной политикой банка (если рамки процентных ставок определены во внутренних документа банка), и фондирования данного кредитного продукта (под какую процентную ставку были привлечены денежные средства, выдаваемые по договору).

Достоверно определить вероятность возникновения данного риска, как правило, невозможно из-за нехватки накопленной статистики. Поэтому в силу значимости исполнения требований законодательства устанавливается уровень вероятности, равный единице. После получения материальной оценки риска появляется возможность оценить его воздействие на уровне всего процесса кредитования. Для этого следует проранжировать риски в зависимости от их значимости и степени чувствительности к ним процесса. Например, присвоив указанному риску средний уровень, можно говорить о среднем уровне юридического риска в конкретном бизнес-направлении.

Тестирование корректности начисления РВПС отражается в аудиторских рабочих бумагах и подразделяется на блоки: • тестирование корректности присвоения изменения ссудам соответствующей категории качества и величины резервирования кредитным подразделением; • проверка своевременности и правильности начисления/изменения резервов бэк-офисом. Допустим, что в ходе проверки правильности подготовки мотивированного суждения аудитор выявил следующее нарушение: категория качества ссуды, попавшей в выборку, определена неверно (например, изначально присвоена вторая категория качества вместо третьей). В связи с этим внутренний аудитор принимает решение увеличить резерв с 1% до 21% от размера ссуды. Данный риск классифицируется как юридический риск/риск несоответствия требованиям внутренних регламентов (legal/compliance risk), поскольку напрямую ведет к нарушению требований законодательства. Значимость данного риска определяется размером штрафных санкций, которые может применить ЦБ РФ за данное нарушение. В конкретном случае санкции определены в инструкции Банка России от 31.03.1997 № 59 «О применении к кредитным организациям мер воздействия за нарушения пруденциальных норм деятельности». Размер данного риска определяется, исходя из уровня максимальных потерь (exposure) и вероятности их возникновения (probability). Размер штрафных санкций приравнивается к максимально возможным потерям в случае реализации данного риска. Таким образом, величина риска определяется как «exposure × probability».

Риск персонала – это риск возникновения потерь, связанных со значительными изменениями в штате или кадровых резервах в подразделениях банка, уходом ключевого персонала, зависимостью от отдельных специалистов, недостаточной компетентностью сотрудников, а также случаями несанкционированного поведения персонала (мошенничество, дискриминация, несанкционированная деятельность). Денежная оценка риска персонала затруднена, поскольку к данному риску относятся такие факторы, как высокая текучесть кадров, низкая мотивация сотрудников и значительность доли «незаменимых» сотрудников. Для анализа данных факторов риска зачастую применяются качественные оценки на основе профессиональных суждений. Риск внешних событий – это риск возникновения потерь, связанных с неспособностью банка:

• оперативно восстанавливать операции и минимизировать потери в случае непредвиденных ситуаций (допустим, природных катастроф), которые могут нанести ущерб основному оборудованию, системам, технологиям и ресурсам банка;

Юридический риск/риск несоответствия требованиям внутренних регламентов – это риск возникновения потерь, связанных с нарушением действующего законодательства или требований регулирующих и надзорных органов, а также риск убытков, вызванных несоблюдением действующих внутренних политик, правил и процедур.

Наиболее ярким примером данного типа риска является неверное начисление резервов по ссудам. Величина риска измеряется штрафными санкциями за данное нарушение со стороны Банка России.

Риск бизнес-процессов – это риск возникновения потерь, связанных со сбоями в бизнес-процессах, отсутствием сквозной организации процесса, неправильным распределением функций, некорректным управлением процессами, систематическим некорректным взаимодействием с контрагентами, поставщиками и/или внутренними подразделениями банка, а также недостаточностью внутреннего контроля.

Классическим примером перекредитования является погашение инвестиционного кредита за счет овердрафта. А в соответствии с пунктом 3.7.2.4 положения ЦБ РФ от 26.03.2004 № 254-П обслуживание долга по подобной ссуде не может быть признано хорошим, и недоначисление резерва грозит санкциями со стороны надзорных органов. Возможен и вариант, когда бонусы менеджмента кредитного подразделения в удаленном регионе зависят от выполнения бизнес-планов. Тогда корпоративные заемщики, зависящие от подразделения банка, под давлением со стороны менеджмента банка вынуждены брать кредиты перед отчетной датой для погашения уже имеющихся кредитов и недопущения просрочки. При подозрениях на перекредитовку в другой кредитной организации, по моему опыту, целесообразно подключить службу безопасности банка. Это помогает быстрее прояснить ситуацию.

К операционным отнесены риски прямых или косвенных потерь в результате недостатков или ошибок во внутренних бизнес-процессах, действиях персонала, из-за сбоев в работе информационных систем или вследствие внешних событий. Такое определение включает в себя юридические риски, но исключает стратегический риск и риск потери репутации, что соответствует определению операционных рисков в Базеле 2. Операционные риски оценивают, если в ходе аудита выявляются какие-либо факты, приводящие к их возникновению. Оценка базируется в большинстве случаев на величине вероятных потерь.

Существует три основных подхода к оценке рисков:

• статистический (на этом методе построен анализ кредитного риска);

• «вопросник» (исходя из ответов на поставленные вопросы, риску присуждается соответствующий уровень);

• экспертный (риск оценивается на основании мнения одного или нескольких экспертов).

• юридический риск – риск возникновения у кредитной организации убытков вследствие:

– несоблюдения кредитной организацией требований нормативных правовых актов и заключенных договоров;

– допускаемых правовых ошибок при осуществлении деятельности. Как пример – неправильные юридические консультации или неверное составление документов, в том числе при рассмотрении спорных вопросов в судебных органах;

– несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в процессе деятельности кредитной организации);

– нарушения контрагентами нормативных правовых актов, а также условий заключенных договоров.

Итак, как мы выяснили, чтобы измерить кредитный риск, необходимо оценить вероятность дефолта заемщика и качество обеспечения. Внутренний аудитор должен удостовериться в том, что оценка необходимых параметров произведена верно. Для этого необходимо проверить полноту и корректность сведений, указанных в кредитной заявке. Качество обеспечения кредита можно проанализировать на основании данных, указанных в залоговом заключении. Если в ходе анализа кредитной сделки будут обнаружены нарушения (допустим, неправильная оценка финансового состояния заемщика или заложенного имущества), аудитор пересчитывает соответствующие рейтинги на основании корректных оценок. Скорректированные рейтинги используются для расчета кредитного риска.

Кроме того, рейтинги переоцениваются в случае, если аудитор обнаружит признаки неустойчивого финансового положения заемщика (например, перекредитование), которые свидетельствуют о повышенном кредитном риске. Все признаки и нарушения аудитор выявляет с помощью специальных аудиторских тестов:

• Тестирование перекредитования: внутренний аудитор анализирует счета заемщика, открытые в банке, и действующие кредитные соглашения на предмет использования заемных средств для погашения полученных кредитов.

По моему мнению, при всем разнообразии существующих подходов для классификации рисков целесообразно было бы применять рекомендации ЦБ РФ, изложенные в письме от 23.06.2004 № 70-Т. Они очень схожи с подходами, используемыми банками нашего холдинга в других странах. При этом мы оцениваем тот или иной вид риска относительно к проверяемому процессу. Например, к процессу корпоративного кредитования возможны следующие риски:

• кредитный риск (определение соответствует приведенному автором статьи);

• операционный риск, под которым понимается риск возникновения убытков из-за несоответствия внутренних порядков и процедур проведения банковских операций и других сделок характеру и масштабам деятельности кредитной организации и/или требованиям действующего законодательства. К операционным относится и риск нарушения внутренних процедур служащими банка или иными лицами вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия. Сюда же следует отнести риски несоразмерности (недостаточности) функциональных возможностей информационных, технологических и других систем, применяемых кредитной организацией, или нарушений их функционирования. IT-риск проявляется в том, что информационные системы имеют в самой архитектуре программ недостатки, допускающие некорректное проведение операций.

Под кредитным риском понимается вероятность потерь банка из-за неспособности либо нежелания клиента выполнить свои обязательства по договору (как по основному долгу, так и по просроченным процентам). Кредитный риск возникает каждый раз, когда банк инвестирует денежные средства или принимает обязательства по их предоставлению. При этом неважно, как эти суммы отражаются, – в составе активов на балансе или как условные обязательства вне баланса. Таким образом, все выданные кредиты и предоставленные банковские гарантии несут для банка кредитный риск. Для оценки этого риска был выработан следующий подход, основанный на собственной рейтинговой системе. В этом смысле он несколько перекликается с методом оценки кредитного риска на основе внутренних рейтингов Базеля 2 (internal rating-based approach). Система позволяет на основании ряда параметров (финансового положения, размера заемщика, его положения на рынке, кредитной истории) оценить вероятность дефолта заемщика (probability of default), а затем вычислить уровень ожидаемых потерь по кредиту с учетом качества обеспечения сделки (recovery rate). Это и будет денежным измерением кредитного риска (credit risk exposure – CR). Следовательно, общий уровень кредитного риска, присущего кредитному портфелю, будет равен сумме ожидаемых потерь по каждой ссуде:

Размер ожидаемых потерь определяется на основе регрессионного анализа статистики накопленных дефолтов.

Регрессионный анализ – это метод математической статистики, который позволяет установить выражение зависимости между исследуемыми признаками: результативными и факторными. В данном случае результативным признаком будет факт дефолта компании, а факторными признаками – причины этого дефолта.

Стратегический риск и риск потери репутации исключены Базелем 2 из понятия операционных рисков. В экстремальных случаях они могут быть вызваны кредитованием (например, волна дефолтов заемщиков вследствие кризиса). Но в связи с тем, что эти риски неизбежно повлияют на весь банк, они рассматриваются отдельно.

Одной из основных задач внутреннего аудита является оценка эффективности системы управления рисками организации.
После проверки можно дать оценку системы внутреннего контроля в разрезе рисков, свойственных проверенной области. О подходах к решению данной задачи при проведении внутреннего аудита процесса корпоративного кредитования и пойдет речь в данной статье.

Для эффективного решения поставленной задачи в нашей компании была разработана унифицированная методика, внедренная непосредственно в программу аудита. Она позволяет оценивать риски, исходя из выявленных нарушений и недостатков контроля.

Суть методики

При разработке методики, помимо общих задач внутреннего аудита, была поставлена еще одна: возможность интегрирования результатов, полученных после оценки рисков процесса, в матрицу рисков всего банка. Эта матрица дает собственникам, менеджменту и аудиторскому комитету наглядное представление об эффективности внутреннего контроля и уровне рисков в различных функциональных областях деятельности банка. То есть буквально на одном листе формата А4 можно увидеть состояние всех функциональных областей в разрезе присущих им рисков и определить наиболее проблемные зоны.

Многие компании создают относительно безопасные сетевые среды, отслеживают мировые тенденции в области средств безопасности и соответствующим образом модернизируют архитектуру сетей. К сожалению, большинство российских фирм живет по принципу «пока гром не грянет, мужик не перекрестится»: бюджет на развитие средств безопасности IT-подразделения получают лишь после того, как возникнет серьезная проблема.

Построению безопасных сетей мешает и внутрикорпоративная неразбериха. Во многих фирмах департаменты безопасности, телекоммуникаций и сервисных приложений действуют несогласованно. Например, автоматизированную банковскую систему, состоящую из сервера и клиентского программного обеспечения, обслуживают специалисты департамента коммуникаций, которые даже не задаются вопросом, как предотвратить нежелательные внешние воздействия на систему, поскольку считают, что их задача сводится к физическому обеспечению связи. А впоследствии приходят сотрудники службы безопасности и сообщают, что система построена неправильно. К сожалению, многие российские компании зачастую не задумываются о том, что перед запуском нового приложения необходимо проанализировать риски или провести IT-аудит, а департамент безопасности должен предложить набор мер по снижению уровня риска, после чего с участием остальных департаментов необходимо обсудить меры и технические решения по нейтрализации или снижению выявленных рисков.

В России активно развивается широкополосный интернет. К сети ежедневно подключаются миллионы неквалифицированных пользователей – это почва для распространения эпидемии «червей». По нашим оценкам, в московских домовых сетях скорость заражения новичка равняется одной-двум минутам. Рядовые пользователи ПК обычно не устанавливают дополнительных средств защиты, а возможностей встроенных в Windows межсетевых экранов недостаточно для того, чтобы предотвратить внедрение в компьютер сетевого «червя» – программы, содержащей вредоносный код. В результате «черви» проникают в сотни тысяч компьютеров и ожидают команды на исполнение кода от злоумышленников. Группы таких компьютеров, в фоновом режиме выполняющих программы-«черви», получили в среде IT-специалистов название «зомби». По нашим подсчетам, одна из крупнейших «армий зомби» насчитывала полгода назад примерно 990 тысяч компьютеров. Как только злоумышленник дает команду, «черви» с зараженных компьютеров начинают рассылать паразитные пакеты данных в адрес целевых серверов, чтобы забить у них каналы связи либо исчерпать ресурсы производительности и тем самым парализовать работу. Кроме того, «армия зомби» может использоваться для рассылки почтового спама. В результате именно такого типа атаки летом 2004 года без интернета остался весь юг России.

Минувшим летом южные регионы России на продолжительное время остались без доступа к интернету в результате хакерской атаки на крупнейшего местного провайдера – Южную телекоммуникационную компанию. Это лишь один из многочисленных примеров нарастающей зависимости общества от информационных систем.

Ключевой элемент в борьбе с рисками в IT-инфраструктуре – это корпоративная культура информационной безопасности, которая позволяет значительно снизить уровень угроз. К сожалению, судя по тому, что можно наблюдать в крупнейших российских компаниях, процесс формирования корпоративной культуры в России находится на зачаточном уровне: сотрудники не обладают достаточной информацией, чтобы оценить риски, связанные с поведением на рабочем месте. Например, во многих компаниях сотрудники пользуются флэш-накопителями, совершенно не задумываясь о том, что это противоречит корпоративным правилам. Просто потому, что их не поставили в известность о существовании таких правил. Сегодня отечественные компании в основном пытаются защититься от внутренних утечек информации, в связи с этим наблюдается всплеск интереса к решениям DLP (Data leakage prevention).

Страховщики не всегда могут предложить оптимальные для клиента условия страхования. Не только потому, что не хотят, но и потому, что не располагают полным объемом информации о рисках и стратегических целях компании-страхователя. Базовые страховые продукты, которые продвигают СК, строятся до знакомства с потребностями конкретного страхователя. Как правило, клиентам СК предоставляется несколько модификаций страхового полиса с предложением выбрать наиболее приемлемый вариант. То есть выбор возможен только из того, что предлагает страховщик. Однако насколько бы ни был широк спектр страховых услуг СК, реальные нужды потенциального клиента не могут быть предугаданы и предусмотрены страховщиком в полной мере. Использование же неэффективного шаблона для системы страхования с множеством пробелов не позволит полноценно компенсировать убытки, а в этом случае расходы на страхование оказываются неоправданными. В качестве примера, иллюстрирующего выбор неоптимального перечня рисков, подлежащих страхованию, можно привести ЗАО «Европейские технологии и сервис», владельца «Трансвааль-парка». Общество подало в суд иск о выплате страхового возмещения в связи с обрушением 14 февраля 2004 года крыши здания, в котором располагался аквапарк.

Нередко страхователь при заключении договора не учитывает конфликт интересов. Страховая компания – коммерческое предприятие, которое преследует вполне конкретные экономические цели, и в первую очередь – максимальную прибыль. Поэтому страховщики стремятся предложить клиенту избыточную страховую защиту, которая позволит получать от него большие страховые премии. В рамках этой стратегии страховые компании стараются навязать клиентам более доходные для себя виды страхования, чтобы компенсировать убыточность других видов. Очевидно, что такой подход не соотносится с интересами предприятия-страхователя, цель которого – покрыть максимум рисков по минимальной цене. Решением проблемы может стать самостоятельное выявление и оценка рисков самим предприятием. Если сотрудники компании недостаточно компетентны, чтобы своими силами определить уровни франшиз и диапазоны лимитов ответственности по видам страхования, то в этом им могут помочь независимые сюрвейерские компании или страховые брокеры.

Рассматривая практику российского страхового дела, можно отметить, что институт страхования в нашей стране формировался стихийно: отечественная система страховых отношений трижды менялась за время своего существования, отказываясь от сложившегося уклада и поворачивая к кардинально новым целям. В западных странах, где страхование развивалось естественным образом, сегодня имеются стабильные страховые институты и прочно укоренившиеся в сознании традиции страхования, благодаря чему вопрос о необходимости страхования решается положительно практически всегда. В нашем же обществе добровольное страхование рассматривается скорее не как правило, а как исключение. Для российской компании решение о заключении договора страхования чаще всего продиктовано требованиями третьей стороны: банков, кредиторов, контрагентов либо государства. Но единственной оправданной целью построения страховой защиты может быть минимизация убытков бизнеса путем получения страховых возмещений. Однако в действительности отечественные страхователи, похоже, не рассчитывают на получение страховых сумм. Компании убеждены, что страховщики избегают выплат страхового возмещения, по крайней мере, в полном объеме. Также неубедительно для страхователей зачастую выглядят причины задержки выплаты страховых сумм. Нередко поводом для возникновения спорных ситуаций становится незнание страхователем основ страхового дела и полного перечня своих прав по договору, а также его неспособность рассчитать ожидаемую сумму страхового возмещения. При этом большинство компаний предпочитает по возможности отказаться от страхования, а не пытаться выстраивать отношения со страховщиками на цивилизованной основе.

Ключевым стал вопрос о том, насколько эффективна применяемая в компаниях система РМ. Четверть компаний оценили формат ERM как «неэффективный», а некоторые сообщили, что просто не знали, какого эффекта они должны были достичь. И только 6% опрошенных считают, что система управления рисками в их компании абсолютно эффективна и соответствует стратегии.Распределение полномочий
В настоящее время на Новолипецком металлургическом комбинате комплексная система управления рисками отсутствует. С рисками работают подразделения, которые сталкиваются с ними в процессе производственной деятельности. Например, хеджированием валютных рисков занимается финансовая служба, промышленными рисками - технологические подразделения и управление охраны труда и промышленной безопасности. Сейчас мы изучаем, насколько полезно для нас объединение этих направлений в единый центр и внедрение комплексной системы.
Мы активно взаимодействуем с коллегами по отрасли, изучаем их опыт по внедрению ERM. Кроме того, мы сотрудничаем со страховыми брокерами и консультантами для оценки возможного эффекта от внедрения комплексной системы управления рисками в компании.

Только 11% опрошенных бизнесменов считают, что политика, процесс и стандарты ERM в их компаниях полностью определены и внедрены, причем наиболее популярным оказался стандарт IRM/AIRMIC/ ALARM – им пользуется 28% респондентов. Стандарты COSO ERM применяют 22% организаций. Некоторые компании используют другие стандарты, комбинируют различные методики, а также разрабатывают собственные версии стандартов. Однако 28% респондентов сообщили о том, что вообще не обращаются к каким-либо стандартам в области ERM.

Что касается конкретных мероприятий по управлению рисками, то наиболее распространенными оказались круглые столы и заседания комитетов по рискам при совете директоров.

составление профилей динамики рисков по бизнес-процессам и бизнес-единицам;
выявление индикаторов риска;
участие в форумах и конференциях по риск-менеджменту.

Настораживает тот факт, что только 22% респондентов сообщили, что проводят с сотрудниками тренинги по управлению рисками.Мнения разделились

Авторы исследования выделили ключевые факторы, указывающие на эффективность внедренной ERM.
Интеграция оценки рисков в стратегические и оперативные процессы. Поскольку процесс управления рисками становится неотъемлемой частью оперативного управления, менеджеры становятся более осмотрительными при принятии решений.
Внедрение более эффективной аналитической техники и техники раннего предупреждения. Выявление рисков на уровне бизнес-процессов приводит к принятию более взвешенных управленческих решений.
Улучшения в измерении и мониторинге конкретных рисков. Подготовка отчетов по ключевым рискам позволит обмениваться знаниями по различным аспектам ERM.
Уменьшение числа негативных событий в сравнении со средними показателями по отрасли.
Снижение затрат на привлечение капитала и увеличение стоимости акций. Эффективная система управления рисками дает компании возможность привлекать финансирование на более выгодных условиях и положительно влияет на ее капитализацию.

Зачем британские компании внедряют системы управления рисками

РИСК-МЕНЕДЖЕРЫ КРУПНЫХ КОРПОРАЦИЙ, А ТАКЖЕ ПРОФЕССИОНАЛЬНЫЕ КОНСУЛЬТАНТЫ НЕ СОМНЕВАЮТСЯ В НЕОБХОДИМОСТИ ВНЕДРЕНИЯ КОМПЛЕКСНЫХ СИСТЕМ УПРАВЛЕНИЯ РИСКАМИ. НО СУДЯ ПО РЕЗУЛЬТАТАМ ОПРОСА, ПРОВЕДЕННОГО БРИТАНСКИМ ЖУРНАЛОМ STRATEGIC RISK СОВМЕСТНО С КОМПАНИЕЙ PROTIVITI INDEPENDENT RISK CONSULTING, ЭФФЕКТИВНОСТЬ ТАКИХ СИСТЕМ НЕОЧЕВИДНА.

В исследовании приняли участие около 100 крупных британских компаний. Организаторов опроса интересовали причины, побуждающие предприятия внедрять ERM*.

Выяснилось, что около 60% респондентов стремятся улучшить корпоративное управление и процесс принятия решений. При этом более половины компаний внедряют ERM под давлением закона или подчиняясь требованиям регуляторов.

При собеседовании с кандидатом в рамках executive search, то есть при поиске кандидата на пост высшего руководителя, первостепенное значение имеют профессионализм хедхантера, его опыт, знание рынка, умение ставить вопросы и слушать ответы, его аналитические способности и интуиция. Без технологии, методологической базы, конечно, не обойтись, но и без умения рекрутера найти индивидуальный подход к кандидату успех маловероятен.
Как показывает практика, девять из десяти компаний хотят, чтобы предполагаемых кандидатов тестировали. Однако при подборе менеджеров высшего звена огромное значение имеет личность. А тест -это та самая «общая гребенка», которой в executive search не место. Кроме того, кандидат может негативно отреагировать на тест, вплоть до решительного отказа его проходить, а то и вообще продолжать общение с рекрутером. HR - это живой организм, здесь самое невероятное может стать реальностью. Тем не менее, для каждого «финта ушами» должны быть веские основания. Нужно вести диалог. Если заказчик не объяснит причин, по которым он отказывается брать кандидата, соответствующего исходным условиям, хедхантер в любом случае не сможет продолжить поиск: он не знает всех нюансов. Когда в дело вступают личные мотивы и, хуже того, заказчик отказывается их проговаривать, - это тупик.

Многие российские компании организуют поиск сотрудников для выполнения новых задач, например для внедрения комплексной информационной системы или организации работы с ключевыми клиентами. Речь также может идти о ситуации, когда генеральный директор компании или собственник, выполняющий его функции, решает делегировать часть своих полномочий наемному менеджеру. Риск принять на работу кандидата, не соответствующего должности, возможен в первую очередь из-за того, что работодатель неправильно формулирует требования. Приведенная на следующей странице таблица иллюстрирует основные проблемы, возникающие при подборе топа, а также методы их решения.

Как не ошибиться при поиске топ-менеджера

ЛЮБАЯ КОМПАНИЯ МОЖЕТ СТОЛКНУТЬСЯ С СИТУАЦИЕЙ, КОГДА ОНА ВЫНУЖДЕНА РАССТАТЬСЯ С ВНОВЬ ПРИНЯТЫМ НА РАБОТУ ВЫСШИМ РУКОВОДИТЕЛЕМ. В РЕЗУЛЬТАТЕ СТРАДАЕТ РЕПУТАЦИЯ КАК РАБОТОДАТЕЛЯ, ТАК И СОТРУДНИКА. КРОМЕ ТОГО, КОМПАНИИ ПРИДЕТСЯ ПОТРАТИТЬСЯ НА ПОИСК НОВОГО КАНДИДАТА. ЕСТЬ ЛИ СПОСОБ ИЗБЕЖАТЬ ПОДОБНЫХ ПРОБЛЕМ?

«Искать топ-менеджеров следует не только по резюме, хедхантер должен разбираться в бизнес-процессах конкретных отраслей»

Подбор топ-менеджера с помощью кадрового агентства в среднем обходится в сумму, эквивалентную 30% годового заработка такого сотрудника. Компания может заняться поиском кандидата на высший пост и самостоятельно, но сэкономить при этом вряд ли удастся - подбор сотрудника такого ранга потребует отвлечения значительных ресурсов.

Инновационный характер фармацевтической деятельности требует, чтобы значительное внимание уделялось правовой защите интеллектуальных достижений компании – изобретений, секретов производства, товарных знаков. Такая защита осуществляется путем получения патентов, регистрации марок, знаков обслуживания. Тем не менее немалое количество недобросовестных игроков фармацевтического рынка все же спекулируют чужими объектами интеллектуальной собственности. Как один из приемов недобросовестные компании или индивидуальные целители используют в своей рекламе узнаваемые слоганы, уже зарегистрированные в качестве товарных знаков или знаков обслуживания другими предприятиями (например, «Время худеть», «Чистый взгляд»). Тем самым нарушители наносят ущерб и товарному знаку, и компании-правообладателю.

Еще одно распространенное нарушение – производство и реализация запатентованных другой организацией лекарственных препаратов или элементов медицинского оборудования. Российское законодательство о товарных знаках и патентах все еще остается несовершенным, отсутствует единообразная судебная практика по аналогичным делам, поэтому компаниям для защиты этих активов приходится изобретать свои, подчас очень оригинальные способы.

Отдельно стоит упомянуть о проблеме, не урегулированной действующим законодательством РФ, но имеющей самое прямое отношение к деятельности фармацевтических компаний, – о правовом оформлении отзыва с рынка и возврата производителю лекарственных средств ненадлежащего качества. Иногда в лекарственных препаратах, уже выпущенных в рыночное обращение, после клинических исследований обнаруживаются вредные вещества или выявляются свойства, делающие рискованным их употребление. В этих случаях компания в порядке, установленном Росздравнадзором, принимает решение об отзыве препарата из обращения. Согласно письму Росздравнадзора от 08.02.2006 № 01И-92/06 опасные препараты должны быть немедленно вывезены со складов всех дистрибьюторов и из аптек и утилизованы либо возвращены поставщику или производителю. При этом, скорее всего, дистрибьюторы уже заплатили за препарат, поэтому возникает проблема взаиморасчетов.

В соответствии со ст. 129 ГК РФ отозванное лекарственное средство – это вещь, изъятая из оборота, которая не может отчуждаться или переходить от одного субъекта к другому.

С этой позиции возврат препарата невозможен, что противоречит принципу справедливости (ст. 6 ГК РФ), поскольку за товар деньги были уже уплачены тогда, когда он еще не был изъят из оборота. Гражданское право не содержит нормы, регулирующей правоотношения сторон в такой ситуации. Не имеет на этот счет специальных указаний и Федеральный закон «О лекарственных средствах».

Российское законодательство устанавливает ряд особых требований к рекламе лекарственных средств и медицинской техники, значительно более строгих, чем к рекламе других видов продукции. Например, в соответствии со ст. 24 Федерального закона «О рекламе» реклама лекарственных средств не должна содержать ссылки на конкретные случаи излечения от заболевания при применении данного лекарства, способствовать созданию у здорового человека впечатления о необходимости применения объекта рекламирования. Рассказ о препарате не должен создавать иллюзии ненужности обращения к врачу, гарантировать положительное действие препарата, представлять лекарство в качестве биологически активной добавки, содержать утверждения о том, что безопасность средства гарантирована его естественным происхождением. За несоблюдение этих требований ст. 14.3 Кодекса об административных правонарушениях предписывает взыскание штрафа в размере от 400 до 5 тыс. минимальных размеров оплаты труда (до 500 тыс. руб.). Так, в июле этого года Управление Федеральной антимонопольной службы по Ульяновской области вынесло решение о привлечении компании «Имплозия» к административной ответственности. Причина – использование в рекламе единой справочно-информационной службы «Имплозия Фармсправка» образа фармацевтического работника, что также запрещено законом о рекламе. Размер штрафа составил 160 тыс. руб.

Какие правовые риски наиболее опасны для фармпроизводителей

БОЛЬШИНСТВО КОМПАНИЙ ФАРМАЦЕВТИЧЕСКОЙ ОТРАСЛИ РАЗВИВАЮТСЯ БЛАГОДАРЯ ИННОВАЦИОННЫМ ТЕХНОЛОГИЯМ, ЧТО САМО ПО СЕБЕ СЧИТАЕТСЯ СЕРЬЕЗНЫМ ФАКТОРОМ РИСКА. В РОССИЙСКИХ УСЛОВИЯХ СУЩЕСТВУЕТ И ДОПОЛНИТЕЛЬНАЯ УГРОЗА – ПОСТОЯННО МЕНЯЮЩЕЕСЯ ПРАВОВОЕ ПОЛЕ.

В числе наиболее серьезных правовых рисков, с которыми сталкиваются участники фармацевтического рынка, – возникновение административной и гражданско-правовой ответственности за нарушение правил торговли лекарствами, прав на товарные знаки и патенты, а также за несоблюдение закона о рекламе.

Об условиях продажи

Нарушение установленных законом требований и условий продажи лекарственных средств является основанием для привлечения организации к административной ответственности.