Риск-культура и контрольная среда
Риск-культура отражает основные ценности, поведение и модель принятия решений всеми органами управления и работниками организации. Риск-культура включает в себя желаемое поведение по отношению к риску, а также все элементы контрольной среды организации, такие как стиль руководства, корпоративная культура, этические ценности, организационная структура, подотчетность и ответственность руководителей направлений, структурных подразделений, компетентность и развитие работников, открытая коммуникация и т.д. Риск-культура влияет на решения линейных руководителей и работников, даже если они сознательно не принимают во внимание риски, присущие их ежедневной деятельности.
Формирование риск-культуры, разделяемой всеми работниками организации, является основополагающим фактором при обеспечении эффективного управления рисками с целью реализации стратегии и достижения бизнес-целей организации.
Совет директоров и исполнительные органы организации призваны подавать личный пример в разделении ценностей, поведенческой модели принятия решений, демонстрации и поддержании надлежащих практик управления рисками, то есть формировать поведенческую среду с учетом ожиданий заинтересованных лиц, социальных и этических норм и правил поведения.
Совет директоров и исполнительные органы призваны определять желаемую риск-культуру организации в целом, а ценности организации, в свою очередь, обуславливают ожидаемое поведение при принятии повседневных решений для целей соответствия ожиданиям заинтересованных лиц.
Для формирования риск-культуры рекомендуется развивать и повышать компетенцию работников (обучение, управление стрессом и давлением), совершенствовать систему мотивации (вознаграждение эффективной деятельности), обеспечивать условия и поддерживать взаимодействие участников (открытая коммуникация).
Кроме того, организации рекомендуется на регулярной основе повышать уровень информированности всех участников СУРиВК относительно реализуемой политики в области управления рисками и внутреннего контроля, что позволит всем органам управления и работникам на всех уровнях четко понимать роль и значение данной системы для деятельности организации, их непосредственную роль и функции в ней. Недостаточная информированность работников о рисках может увеличить вероятность нарушений в процессах, контроле, системах и риск утечки и (или) утери конфиденциальной информации. Для повышения уровня информированности и внедрения благоприятной риск-культуры в организации рекомендуется обращать внимание на модели поведения, демонстрируемые как советом директоров, так и исполнительными органами организации.
Уровень зрелости риск-культуры определяется общностью целей, ценностей, этических норм и терминологии; их единообразным пониманием и применением; ориентированностью на обучение; своевременной, открытой и честной коммуникацией; признанием ценности эффективного управления рисками; индивидуальной и коллективной ответственностью.
Риск-аппетит
Организации целесообразно применять риск-аппетит для:
- установления запретов и разрешений по величине риска, связанных с достижением бизнес-целей;
- единого понимания приемлемых рисков на всех уровнях управления организацией;
- достижения стратегических и операционных целей за счет контроля риска в пределах допустимых границ.
Риск-аппетит (приемлемый уровень риска) отражает общекорпоративный подход к определению приемлемости рисков для организации. После утверждения риск-аппетита все управленческие решения, включая формирование финансового плана и бюджета, рекомендуется принимать с учетом установленного риск-аппетита. Для учета риск-аппетита на разных уровнях принятия решений в организации рекомендуется определить подход к его каскадированию по уровням организационной структуры организации, а также определить показатели - измеримые и контролируемые метрики отклонения от целей бизнеса:
- толерантность к риску (допустимый уровень риска) - отклонение от конкретной цели, которое организация и заинтересованные стороны готовы принять в рамках воздействия неподконтрольных организации обстоятельств;
- лимиты на риск - пороговые значения рисков, связанные с конкретными показателями (например, ключевыми индикаторами риска).
Заявления о риск-аппетите целесообразно формулировать исходя из целей организации, в том числе на очередной период бизнес-планирования, среднесрочную или долгосрочную перспективу.
Риск-аппетит может быть выражен качественно и (или) на основе количественных показателей. Качественное выражение риск-аппетита подразумевает, что риск-аппетит не имеет четких количественных показателей, то есть представляет собой общее заявление о том, что допустимо, приемлемо или неприемлемо для Общества в процессе реализации своей миссии и достижения поставленных целей.
Помимо качественного выражения риск-аппетита организации также рекомендуется разрабатывать количественные показатели с учетом стратегии, бизнес-целей, анализа прошлых и текущих целевых показателей. Количественные показатели риск-аппетита могут быть выражены посредством целевого показателя, диапазона значений, верхнего или нижнего предела.
Пример. Шкала оценки воздействия риска на деятельность организации
Воздействие риска на деятельность |
Описание воздействия на деятельность |
Минимальное |
Несущественные негативные последствия для деятельности организации, выражающиеся в отсутствии потерь или незначительных потерях и не приводящие к затруднению бизнес-процессов (услуг) организации:
|
Незначительное |
Минимальные негативные последствия для деятельности отдельных бизнес-процессов организации, приводящие к затратам на восстановление отдельных функций подразделений организации и незначительному нарушению функционирования и простою отдельных бизнес-процессов (услуг) организации:
|
Среднее |
Средние негативные последствия для деятельности организации, выражающиеся в высоких потерях и/или приводящие к частичной приостановке одного из основных бизнес-процессов организации и/или приостановке нескольких вспомогательных процессов организации:
|
Значительное |
Высокие негативные последствия для деятельности организации, выражающиеся в значительных потерях и/или приводящие к приостановке (значительному нарушению функционирования) нескольких основных бизнес-процессов (услуг) организации:
|
Катастрофическое |
Критические негативные последствия для деятельности организации, выражающиеся в максимальных потерях и/или приводящие к долговременной остановке деятельности организации (большинства или всех основных бизнес-процессов):
|
При выборе параметров для определения риск-аппетита целесообразно рассмотреть возможность использования:
- стратегических параметров, таких как новые продукты, которые следует или не следует разрабатывать, показатели стратегических проектов и капитальных инвестиций;
- финансовых параметров, таких как выручка, доходность активов, доходность капитала, целевой рейтинг кредитоспособности и целевое соотношение заемного и собственного капитала;
- операционных параметров, таких как объем производства, реализация продукции, размер издержек, экологические требования, целевые показатели безопасности, качества и взаимодействия с клиентами.
Ограничения и допущения риск-аппетита
При применении концепции риск-аппетита организации рекомендуется учитывать ее ограничения и допущения, такие как:
- соответствие риск-аппетита ключевым стратегическим целям организации и наличие связи с ними;
- формулирование риск-аппетита посредством обозначения четких и понятных ориентиров для принятия решений, но не подробных инструкций к действию. Риск-аппетит целесообразно сформулировать таким образом, чтобы не оставалось сомнений и исключалась двусмысленность толкования;
- изменяемость риск-аппетита - рекомендуется пересматривать риск-аппетит на регулярной основе (как минимум ежегодно) для оценки его соответствия текущей ситуации с учетом изменений внешней и внутренней среды, готовности организации принимать риск за прошедшее время, пересмотра стратегии, бизнес-планов, ключевых показателей деятельности организации.
- каскадирование риск-аппетита на все уровни принятия решений.