Анна Корбут: «Сейчас наблюдается рост интереса к управлению операционными рисками, в частности – рисками бизнес-процессов»

Анна Корбут, вице-президент РусРиск, член совета директоров Federation of European Risk Management Associations и спикер Седьмой конференции «Корпоративные системы риск-менеджмента», рассказала CFO Russia о подходах к оценки рисков бизнес-процессов.

Анна, какие можно выделить новые тенденции и подходы в управлении рисками в компаниях?

В последнее время наблюдается существенный рост интереса к управлению операционными рисками, в частности – рисками бизнес-процессов. Основным фактором повышения такого интереса, с моей точки зрения, является смена этапов в жизненном цикле многих компаний: закончилась эра бурного развития и роста, и теперь с учетом изменившейся макроэкономической конъюнктуры необходимо найти ресурсы развития во внутренней оптимизации.

Необходимо отметить, что в компаниях существует несколько центров экспертизы в области менеджмента рисков бизнес-процессов.

1) Функция корпоративного риск-менеджмента

Для риск-менеджера риски бизнес-процессов являются частью общего профиля рисков организации, где операционные риски – это риски, связанные с функционированием людей, технологических процессов, управленческих систем. Риски управленческих систем, частью которых является портфель бизнес-процессов, относятся к внутренним рискам. Идентификация, оценка и разработка мер реагирования происходит в рамках интегрированного подхода с учетом задач приоритизации ресурсов.

2) Функция организационного развития

Специалист по организационному развитию по роду своих профессиональных задач отвечает за архитектуру бизнес-процессов, ее совершенствование, оптимизацию, регламентирование, выстраивание под цели и задачи организации. В этой области используется множество разнообразных методологий типа lean, функционально-матричных систем, дивизионных и пр. В настоящий момент эти специалисты очень востребованы.

3) Функция внутреннего аудита

Актуальная задача для многих подразделений внутреннего аудита компаний – переход к риск-ориентированному подходу в работе, что считается более широким и комплексным форматом. Часто декларируется, что он основан на правильном использовании методологии анализа и оценки бизнес-процессов и систем внутреннего контроля.

Каковы особенности идентификации операционных рисков?

При идентификации операционных рисков очень важно помнить, что риск – это комбинация вероятности события и его последствий (ISO/IECGuide 73). Такие формулировки, как «неэффективное налоговое планирование», «ИТ-система не обеспечивает в полном объеме потребности бизнеса», «неспособность менеджмента принять эффективное решение» и прочие подобные и, к сожалению, часто встречающиеся, формулировки не называют риск, поскольку не описывают событие.

Часто встречается следующая схема. Бизнес-процесс: «А», цель бизнес-процесса: «эффективное управление ресурсами предприятия», риск бизнес-процесса: «неэффективное управление ресурсами». Идентификацией рисков все это назвать никак нельзя. Слова «эффективный»/«неэффективный» столь же бессмысленны для выявления и формулирования риска, сколь интенсивно их пытаются использовать.

Целесообразно для идентификации рисков бизнес-процессов разработать (и регулярно пополнять) типологию последствий, типа «возникновение неплановых расходов», «непризнание налоговыми органами правильности исчисления базы налогообложения», «риск несчастного случая на производстве» и т.п. Тогда при идентификации рисков не придется выдумывать «красивости».

Как вы посоветуете классифицировать риски бизнес-процессов?

Для классификации рисков бизнес-процессов целесообразно «типологизировать» параметры и использовать больше, чем один параметр:

Параметр 1: области риска (когда элементы из этих областей в той или иной мере представлены практически во всех бизнес-процессах, так как относятся к обеспечению ресурсами и методологией). Например, ИТ-обеспечение (архитектура, включая миграцию данных), функционирование (оперативность, полнота, корректность данных), технические сбои (надежность); организационное развитие/процессинг (включая распределение полномочий, наличие регламентации и т.п.) кадровое управление (квалификация, мотивация, лояльность, достаточность), контроллинг (управление эффективностью – методология, планирование, КПЭ, отчетность) и т.д.

Параметр 2: последствия. Как уже говорилось, речь о типовых событиях, которые могут возникнуть практически в любом бизнес-процессе. Например, случаи возникновения незапланированных расходов (операционных, инвестиционных), случаи нарушения норм регулирования и законодательства (компанией, работниками), случаи противоправных действий (fraud) (работниками, третьими лицами), случаи получения упущенной выгоды (операционной, инвестиционной) и т.д.

Параметр 3: уровень управления. Уровень принятия стратегических решений, фронт-офис, бэк-офис, внутренний аудит.

И так далее. Таким образом можно создать многомерную матрицу классификатора рисков бизнес-процессов. Можно использовать маркеры параметров и таким образом получить полезную «аналитику» для руководства на основе многих источников информации:

• в какой области сосредоточены риски с наибольшей оценкой вероятности последствий;
• какие типовые последствия оценены как наиболее вероятные.

Излишне говорить, что для конкретной компании матрица должна быть построена индивидуально и вдумчиво.

Какие выделяются методы управления рисками? Как оценить их эффективность?

Управление рисками бизнес-процессов сродни уборке в доме. Оно всегда начинается и заканчивается во внутренней жизни компании. За исключением, разве что, законодательных рисков и обеспечения безопасности.

Необходимо помнить, что любой бизнес переживает циклы в своем развитии. Если компания агрессивно растет и/или находится в благоприятной экономической конъюнктуре, руководство скорее «примет» риски бизнес-процессов, нежели станет отвлекаться на «уборку», излишнюю бюрократизацию и т.п.

Если же доходят руки до поиска внутренних ресурсов роста (как правило, в период «плато» или в условиях кризиса), применяются методы «минимизации» рисков бизнес-процессов – то есть, уничтожение источника риска, изменение вероятности возникновения риска, изменение последствий риска.

Наиболее распространенными инструментами такого решения являются разнообразные системы контроля: внутренний контроль, промышленная безопасность и охрана труда, информационная безопасность и пр.

Со стороны ИТ-поддержки есть достаточно широкий выбор так называемых GRC-решений (Governance, Risks, Controls). Учитывая, что такие проекты, как правило, ресурсоемки, разумно максимально ответственно принимать решения о целесообразности «входа» в них.

Необходимо помнить, что регламентация бизнес-процессов – это область деятельности, в которой рациональное чувство меры является самым верным помощником. Создание корпоративной библиотеки регламентов и политик с многими тысячами страниц текста должно являться не целью, а средством. Бизнес-процессы (и контроли) могут меняться, «вырастая из одежек» регламентов.

Учитывая это, одним из методов управления рисками бизнес-процессов может являться повышение уровня так называемого «социального капитала» в организации и повышение качества и переоценка важности кадрового ресурса.

Нина Данилина

Более подробно познакомиться с опытом РусРиск и задать собственные вопросы Анне Корбут вы можете на Седьмой конференции «Корпоративные системы риск-менеджмента», которая состоится 26-27 марта 2015 года в Москве