– Утвердить прозрачную организационную структуру и распределение полномочий и ответственности в компании.
Вторым элементом является четкий процесс определения целей компании. В этой связи совет директоров должен задаться вопросами:
– Насколько четко определены видение, миссия, приоритетные цели компании?
– Донесены ли цели должным образом до сотрудников?
– Ясны ли цели и задачи сотрудникам компании?
Третий элемент – оценка рисков – предполагает выявление и анализ событий, способных повлиять на достижение целей компании. Это необходимо для выработки адекватной реакции на риск. Эффективная оценка рисков предполагает, что руководство компании и совет директоров:
– Проводят выявление, оценку внутренних и внешних факторов, которые могут неблагоприятно повлиять на достижение компанией поставленных целей. Оценка обычно проводится по шкале «значимость» (обычно оценивается размер потенциального ущерба в деньгах) и «вероятность» (в баллах, категориях или процентах). (См. Пример шкалы рисков в Приложении 2).
– Устанавливают приемлемые уровни риска (аппетит к риску), который может (должна) принимать на себя компания и ее подразделения для достижения поставленных целей (с учетом стратегии, мнения акционеров).
– Разрабатывают необходимые процедуры и процессы, направленные на выявление, отслеживание изменений и контроль за рисками.
Обычно на данном этапе составляется реестр рисков, в котором риски классифицируются по группам (например, по источникам риска). Как выглядит сегодня типичная карта рисков организации? С какими группами рисков сталкиваются советы директоров крупнейших компаний?
Источниками стратегических рисков могут быть политические события, технологические и социальные изменения, макроэкономическая ситуация, изменения в отрасли, развитие конкуренции и пр.
Финансовые риски, пожалуй, становятся предметом обсуждения на совете директоров чаще других. Как повлияет на бизнес изменение процентных ставок? Какие факторы влияют на рейтинги кредитоспособности? Каковафинансовая устойчивость (соотношение долга и EBITDA), достаточен ли денежный поток для обслуживания долга? Каковы возможные угрозы ликвидности компании?
Операционные риски могут быть связаны с персоналом, управлением затратами, наличием производственных мощностей, поведением поставщиков и подрядчиков, качеством управления запасами, информационными технологиями и пр.
Риски соответствия требованиям (комплаенс-риски) могут быть связаны с выполнением требований регуляторов, изменением законодательства.
Для целого ряда компаний имеют большое значение риски взаимодействия с окружающей средой, которые могут быть вызваны природными явлениями, в том числе событиями, не поддающимися контролю со стороны руководства компании. Пример карты рисков приведен в Приложении 3.
Чаще всего для выявления, классификации и оценки рисков применяется экспертный метод. В качестве экспертов обычно выступает топ-менеджмент компании (например, комитет по рискам правления), члены совета директоров. Эффективным может быть подход, при котором совет директоров проводит самостоятельное обсуждение и оценку ключевых рисков, а затем сравнивает полученные результаты с оценкой со стороны менеджмента и в ходе совместного обсуждения согласовывает единое понимание матрицы рисков компании. После того, как все заинтересованные стороны произведут свои обоснованные оценки, происходит компиляция и обсуждение результатов, чтобы выяснить, как разные люди в этой группе оценивают риски компании и почему.
Оценку рисков необходимо проводить ежегодно, а в случае высокой подверженности конкретным рискам соответствующую сферу деятельности нужно оценивать чаще. Если совет директоров считает те или иные риски особенно значимыми, он может отслеживать и переоценивать данные риски на каждом заседании совета директоров. Таким образом во время финансового кризиса поступали многие компании, столкнувшиеся с кредитными и инвестиционными рисками.
Некоторые компании строят так называемые «тепловые карты» рисков (см. Приложение 4), выделяя красным цветом наиболее значимые и вероятные риски в особую группу, требующую повышенного внимания со стороны совета директоров и высшего руководства.
Важным шагом является определение риск-аппетита компании. При установлении риск-аппетита совет директоров должен основываться на собственном бизнес-суждении, а также учитывать ряд дополнительных факторов:
– На каком этапе жизненного цикла находится компания? Вполне естественно, что стартапы по своей природе больше подвержены риску, чем более зрелые компании.
– Мнение основных заинтересованных сторон. Акционеры, кредиторы, держатели облигаций и пр. могут иметь различное мнение о риск-аппетите. Совет директоров должен учитывать их мнение при установлении риск-аппетита.
– Факторы внешней среды. Например, рецессия в экономике или существенное изменение в регулировании, кардинальные структурные изменения в отрасли могут существенно повлиять на риск-аппетит.
Самая простая рекомендация в отношении установления уровня риск-аппетита: «не откусывайте больше, чем Вы можете проглотить». Для компаний разных отраслей и разной стадии жизненного цикла риск-аппетит может быть сформулирован количественно (в сумме возможных потерь, предельных значениях или коридорах коэффициентов и пр.) либо в качественном выражении (путем описания). Например:
– достаточность капитала для покрытия ущерба определенного уровня;
– предельно допустимые значения по покрытию долга (долг/EBITDA);
– платежеспособность: компания должна быть в состоянии обеспечивать выполнение своих обязательств;
– структура доходов: компания считает критичной потерю более определенного процента доходов или хочет установить предельный процент зависимости доходов от одного или нескольких крупных клиентов.
Четвертый элемент – выработка реакции на риск – предполагает выработку стратегии реагирования на каждый выявленный риск. Базовые стратегии реакции на риск обычно предполагают:
– Избегание риска – руководство компании в таком случае решает не начинать или прекратить проекты или виды деятельности, приводящие к риску, выходящему за пределы риск-аппетита.
– Минимизация риска – руководство компании в таком случае предпринимает меры для уменьшения воздействия или вероятности риска путем разработки и внедрения соответствующей стратегии, плана действий, соответствующих контрольных процедур. В этом случае в ряде компаний также оценивается уровень остаточного риска – риска после применения контрольных процедур и мероприятий по снижению риска.
– Принятие риска – руководство компании в таком случае решает, что минимизация риска не является возможной или экономически оправданной, а выгоды, получаемые от проектов, процедур или видов деятельности, стоят принимаемого риска.
– Передача риска (перенос риска) – разделение с другой стороной возможных потерь или преимуществ от риска.
Ответственность за разработку мероприятий по управлению приоритетными рисками несут руководители и/или прочие ключевые работники подразделений, в наибольшей степени влияющих на управление данными рисками.
Контроль за реализацией мероприятий по управлению ключевыми (приоритетными) рисками должен осуществлять совет директоров, а контроль за рисками «желтой» и «зеленой» зоны находится целиком в зоне ответственности менеджмента, который должен обеспечить адекватность контрольных процедур для управления всеми рисками.