Прежде чем вводить нормативные требования к небанковским участ- никам российского финансового рынка, следует изучить международный опыт. В данной статье проведен исторический экскурс стандартизации управления рисками в мире и дан краткий обзор основных международных стандартов риск- менеджмента. Также вскрыты проблемы, связанные со сложностью адаптации международных стандартов к российским реалиям
РИСК, РИСК-МЕНЕДЖМЕНТ: НЕМНОГО ИСТОРИИ
Этимология термина «риск» связана с мореплаванием. Слово «риск» означа- ло утес, риф, напоровшись на который, суда терпели крушение3. И первона- чально выражение «рисковать» означа- ло «лавировать между скалами». Любо- пытно, что вторая версия происхожде- ния слова «рисковать» связана с игрой в кости4. Не исключено, что терминоло- гия правил игры в кости заимствована из сленга моряков эпохи Раннего Воз- рождения, больших почитателей азарт- ных игр. Попытки оценить шансы в игре в ко- сти можно рассматривать как первые описания рисков. Однако первый практи- ческий механизм управления рисками связан со страхованием судоходных экс- педиций и торговых судов от кораблекру- шения и других негативных непредвиден- ных событий. Два всемирно известных астронома — Галилео Галилей и Эдмонд Галлей не- посредственно приложили свои знания к теории риска. Так, Великий герцог То- сканский просил Галилео составить практическое руководство по игре в ко- сти. Идя на поводу у своего «политиче- ского шефа», Галилео написал эссе «Об игре в кости», в котором дал деталь- ный анализ исходов, получаемых при бросании одной и нескольких костей, а также сделал выводы о частоте раз- личных комбинаций и указал типы исхо- дов. По сути, это была первая научная монография по игре в кости с описани- ем рисков. Собственно говоря, теория риска и риск-менеджмента берет свое начало из этой работы великого ита- льянского астронома. Еще более революционный прорыв в теории риска и риск-менеджмента со- вершил Э. Галлей. На его долю выпало изучение и анализ демографических дан- ных города Бреслау за 1687—1691 гг. Галлей составил демографические та- блицы, на основе которых произвел для того времени уникальные расчеты, ка- сающиеся продолжительности жизни, уровня смертности в зависимости от тех или иных профессий, прогноз данных о налогоплательщиках, количестве ижди- венцев, людей, которые будут годны для несения военной службы, и многие дру- гие расчеты. Анализ Галлея наполнил теорию вероятности конкретным содер- жанием и в конечном счете подключил его к управлению риском. Однако после опубликования таблиц и выводов Гал- лея в 1693 г. правительству Великобри- тании и страховым компаниям потребо- валось почти 100 лет для осознания важности этих результатов по вопросу страхования жизни и по вопросу про- центной ренты [1]. ?К 1725 г. математики уже соревно- вались друг с другом в составлении таблиц ожидаемой продолжительности жиз- ни, а британское правительство для по- полнения бюджета продавало права на пожизненную ренту. К середине XVIII в. в Лондоне уже вовсю велись операции по страхованию мореплавания?[2]. Профессор Чикагского университета Фрэнк Найт в 20-х гг. ХХ столетия, за не- сколько лет до Великой экономической депрессии, хорошо сформулировал про- блему современной экономики: ?В эко- номике проблема неопределенности не- избежна, потому что сам экономический процесс нацелен в будущее?. Эта фраза предопределила будущее мировой эконо- мики на пару десятилетий. До этого ни один из великих математиков и филосо- фов прошлого публично не подвергал со- мнению методологию, которая гласила: если четко зафиксировать факты и про- анализировать их с помощью законов, станет понятно будущее. Питер Бернстайн [2] описал ранее су- ществовавшую точку зрения: ?До этого момента представители классической экономической науки рассматривали экономику как свободную от риска си- стему, автоматически ведущую к опти- мальным результатам. Они уверяли, что ее стабильность гарантирована. Если лю- ди решали, что лучше копить, а не вкла- дывать деньги, процентные ставки пада- ли, ободряя инвесторов и разочаровы- вая вкладчиков, после чего равновесие восстанавливалось. Если руководители предприятий принимали решение о бы- стром расширении производства, а до- машние хозяйства не имели достаточных сбережений, чтобы дать кредиты на этот рост, процентные ставки начинали расти, и равновесие восстанавливалось. В та- кой экономике, за исключением, пожалуй, кратковременных периодов приспособле- ния, не могло быть длительной недобро- вольной безработицы или недостаточных прибылей. Отдельным инвесторам и фир- мам приходилось, конечно, рисковать, но экономика в целом была свободна от риска?. Первое упоминание профессии управ- ления рисками было зафиксировано в корпоративном секторе США в 1916 г., что обусловлено включением в число функций менеджера обеспечение безо- пасности. По сути, изначально управле- ние рисками в компаниях было связано с оценкой и минимизацией потерь при травматизме на производстве. До этого момента все управление рисками своди- лось к страхованию от ряда неблагопри- ятных случаев. Переход от страхования к более детальному управлению риска- ми ознаменовал становление профессии риск-менеджмента — на это ушло 70 лет. К началу 90-х гг. XX в. в обязанности управ- ляющего рисками вменялось создание превентивных мероприятий в организа- ции, направленных на избегание ряда неприемлемых последствий и снижение затрат при страховании от несчастных случаев, стихийных бедствий и иных не- благоприятных для корпорации послед- ствий. Финансовый риск-менеджмент как самостоятельная область деятельности имеет сравнительно недолгую историю — около 40 лет. Становление этой дисципли- ны относится к 1973 г. и связано с тремя значительными событиями: - окончанием политики фиксирован- ных валютных курсов (крах Бреттон-Вуд- ской системы); - началом работы Чикагской биржи оп- ционов (Chicago Board Options Exchange); - публикацией американскими эконо- мистами Блэком, Шоулзом и Мертоном модели оценки стоимости (европейских) опционов. Финансовый риск-менеджмент про- шел три стадии развития, в процессе ко- торого были сформированы новые мето- ды и подходы к оценке основных видов финансового риска (рыночный риск, кре- дитный риск, риск ликвидности, риск сто- имости деривативов и др.). Первый качественный этап в об- ласти методологии оценки, контроля и управления финансовым риском от- мечен появлением в конце 80-х—нача- ле 90-х гг. XX в. модели стоимостной ме- ры риска VaR (Value-at-risk, «стоимость под риском»). VaR означает абсолютный максимальный размер потерь при вла- дении финансовым инструментом. Пока- затель VaR сперва завоевал признание крупных финансовых институтов и лишь затем получил одобрение регуляторов финансового рынка. Последнее стало возможно в результате раскрытия ме- тодологии банком J.P. Morgan своей системы управления риском в рамках системы RiskMetrics в 1994 г. Таким образом, первый качественный скачок в области финансового риск-менеджмента был связан с оценкой, контролем и управлением рыночным риском (ри- ском негативной переоценки финансо- вого инструмента). Второй этап развития финансового риск-менеджмента связан с оценкой и контролем за кредитным риском и при- шелся на вторую половину 90-х гг. ХХ в. Первопроходцем здесь снова выступил банк J.P. Morgan, который обобщил свои методы оценки и контроля за рыночным риском к оценке кредитного риска ссуд- ного портфеля (по аналогии с методом VaR для рыночного риска). Разработан- ная J.P. Morgan система CreditMetrics была опубликована в 1997 г. Благодаря этим двум разработкам J.P. Morgan у ри- сковиков появилась возможность рассчи- тывать интегральный показатель ожида- емых потерь вследствие рыночного и кре- дитного рисков. Это впервые позволило говорить об интегрированном риск-менеджменте (применительно к финансовым ри- скам). Третий этап в сфере финансового риск-менеджмента начался в конце 1990-х гг., и с каждым годом процесс набирает обороты. В отличие от первых двух этапов, третий этап уже не связан с классическими финансовыми рисками, а имеет непосредственное отношение к операционному риску. В настоящее вре- мя участники финансового рынка пыта- ются разработать общий подход к коли- чественной оценке операционного риска в виде «операционного VaR». Считается, что численный контроль над операцион- ными рисками вместе с контролем над финансовыми рисками позволит полу- чить полную оценку принимаемых ри- сков профессионального участника рын- ка ценных бумаг. За последние 40 лет можно выделить четыре основных направления оценки финансовых рисков: • анализ чувствительности — сце- нарный метод исследования реакции на изменения внешних факторов; • анализ волатильности — изучение меры колебаний целевого показателя от- носительно ожидаемого значения; • анализ негативного риска (downside risk). Оценка VaR используется в дополнение к другим методам анализа риска. В частности, известны такие мето- ды, как LVaR и SaR. Подход LVaR доопре- деляет классический метод VaR статисти- кой по гепам (разрывам графика цен) и называется «ликвидный VaR». Методи- ка SaR — использует среднюю величину убытка (Shortfall-at-Risk) и применяется для анализа ожидаемого размера убытка в отличие от оценки граничной величины капитала (VaR); • относительный анализ риска — рассматривает риск через сопоставле- ние с бенчмарком (по выбранному ин- дексу) [3, 4].
РИСК-МЕНЕДЖМЕНТ: МЕЖДУНАРОДНЫЕ СТАНДАРТЫ
Еще в начале 90-х гг. XX в. риск- менеджмент рассматривался как фраг- ментарный, узкоспециализированный подход по управлению рисками. Наиболь- ших успехов по управлению рисками к то- му времени добились крупнейшие фирмы финансового сектора: • страховые компании и перестра- ховочные общества, которые были вы- нуждены проводить оценку и экспертизу различных рисков, обеспечивая страхо- вание частных корпораций и государ- ственных образований от всевозможных негативных последствий; • банковский сектор в связи с появ- лением сложных финансовых инструмен- тов и сильной автоматизацией бизнеса. За последние 25 лет произошел ре- волюционный переворот в области управ- ления рисками: риск-менеджмент пере- стал быть исключительной заботой фи- нансовых корпораций и стал активно применяться в других секторах экономи- ки. Новая парадигма управления риска- ми предполагает переход от фрагментар- ного подхода с узкой направленностью на конкретные операции и виды деятель- ности компании к комплексному управ- лению рисками компаний, холдингами и целыми отраслями экономики (рис. 1). Государственные институты стран ЕС так- же активно стали применять передовые практики риск-менеджмента для реше- ния экологических, технологических, со- циальных и иных задач. Риск-менеджмент стал важной и неотъемлемой составляю- щей менеджмента, показатели риска ста- ли фактором, влияющим на уровень воз- награждения и премирования, начиная от топ-менеджеров и кончая руководите- лями низших звеньев, а также одним из ключевых индикаторов KPI5. С начала 90-х гг. XX в. мировая прак- тика демонстрирует активное развитие процессов стандартизации в области риск-менеджмента (рис. 2). Распро- странение стандартов происходило как на страновом, так и на международном уровнях, а также на отраслевом уровне (банки и страховые компании) (табл. 1, 2, 3). Подтверждением тому являются национальные стандарты6 управления рисками, принятые в государствах с ан- глосаксонским правом (Австралии, Но- вой Зеландии, Японии, Великобритании, ЮАР, Канаде), а также стандарт, разра- ботанный Комитетом спонсорских орга- низаций комиссии Тредвея (COSO, США) [5], стандарт Федерации европейских ас- социаций риск-менеджеров (FERMA) [6] и стандарт по управлению рисками ISO 31000:2009 [7]. Одновременно с этим появились многочисленные требования регуляторов к построению и совершен- ствованию процесса управления ри- сками компаний, связанных с отрасле- вой спецификой. Среди отраслевых стандартов управления рисками наи- большую известность получили стандар- ты, затрагивающие деятельность стра- ховых компаний, перестраховочных об- ществ (Solvency, Solvency II) и банков (Basel, Basel II, Basel III). Стандартами в области риск-менеджмента предусматривается унификация: • используемой терминологии в дан- ной области; • составляющих процесса управле- ния рисками; • подходов к построению организа- ционной структуры риск-менеджмента.
Однако, несмотря на проведенную вну- три каждого стандарта управления рисками, терминологиями унификацию, методы и це- ли риск-менеджмента в различных стандар- тах отличаются. На рис. 1 представлены на- циональные и международные стандарты, терминология которых минимально различ- на. При попытке совмещения различных стандартов возможна путаница, так как де- финиция базовых терминов в них различна. Поэтому рассмотрим стандарты, получив- шие наибольшую мировую известность. Стандарт «Управление рисками ор- ганизаций. Интегрированная модель», разработанный Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, COSO) [5]. Данный документ представляет собой концептуальные основы управления рисками организаций и дает подробные ре- комендации по созданию корпоративной системы управления рисками в рамках ор- ганизации. Процесс управления рисками организации в интерпретации COSO состоит из восьми взаимосвязанных компонентов: 1) определение внутренней среды; 2) постановка целей; 3) определение (идентификация) ри- сковых событий; 4) оценка риска; 5) реагирование на риск; 6) средства контроля; 7) информация и коммуникации; 8) мониторинг. Таким образом, применительно к определению составляющих процесса управления риском рассматриваемый до- кумент следует уже сложившемуся в стан- дартах по риск-менеджменту пониманию процесса. В мировой практике стандарт, полу- чивший название «Куб COSO» (рис. 3), устанавливает взаимосвязь между целя- ми организации (стратегические, опера- ционные цели, подготовка отчетности и соблюдение законодательства), органи- зационной структурой компании (уровни компании, подразделения, хозяйственной единицы, дочернего предприятия) и уже обозначенными компонентами процесса управления рисками. 1. Внутренняя среда • Закладывает основы подхода к управлению рисками. Включает: - совет директоров; - философию управления рисками; - риск-аппетит; - честность и этические ценности; - важность компетенции; - организационную структуру; - делегирование полномочий и рас- пределение ответственности; - стандарты управления персоналом. 2. Постановка целей • Цели должны быть определены до того, как руководство начнет выявлять события, которые могут оказать влияние на их достижение. • Руководство компании имеет пра- вильно организованный процесс выбора и формирования целей, и эти цели соот- ветствуют миссии организации и уровню ее риск-аппетита. 3. Оценка рисков • Риски анализируются с учетом ве- роятности их возникновения и степени влияния с целью определения того, какие действия в отношении них необходимо предпринять. • Риски оцениваются с точки зрения присущего и остаточного риска. 4. Выявление потенциальных событий • Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определять- ся с учетом их разделения на риски или возможности. • Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей. 5. Реагирование на риск • Руководство выбирает метод реаги- рования на риск: - уклонение; - принятие; - снижение; - передача. • Разработанные мероприятия по- зволяют привести выявленный риск в со- ответствие с допустимым уровнем риска и риск-аппетитом организации. 6. Контрольные процедуры • Политика и процедуры разработа- ны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно. 7. Информация и коммуникация • Необходимая информация опреде- ляется, фиксируется и передается в фор- ме и сроки, позволяющие сотрудникам выполнять их обязанности. • Эффективный обмен информацией в рамках организации по вертикали и го- ризонтали. 8. Мониторинг • Весь процесс управления рисками организации отслеживается и по необхо- димости корректируется. • Мониторинг осуществляется в рам- ках текущей деятельности руководства или путем проведения периодических оценок. Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA) является совместной разработкой Института риск- менеджмента (IRM), Ассоциации риск- менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM) (2002) [6]. В отличие от рассмотренного выше Стандарта COSO ERM в части применяе- мой терминологии данный стандарт при- держивается подхода, принятого в доку- ментах Международной организации по стандартизации (Руководство ISO/IEC Guide 73 Risk Management — Vocabulary — Guidelines for use in standards). В частно- сти, риск определяется стандартом как «комбинация вероятности события и его последствий» (рис. 4). Риск-менеджмент рассматривается как центральная часть стратегического управления организацией, задачей ко- торой является идентификация рисков и управление ими. При этом отмечается, что риск-менеджмент как единая систе- ма управления рисками должна включать в себя программу контроля над выполне- нием поставленных задач, оценку эф- фективности проводимых мероприятий, а также систему поощрения на всех уров- нях организации. В соответствие со Стандартом FERMA выделяют четыре группы рисков организации: стратегические, операци- онные и финансовые, а также риски опасности. Кроме того, в документе приведены: 1. Краткая характеристика ключе- вых стадий процесса риск-менеджмента, в рамках которой обращает на себя вни- мание подробное описание требований к детализации информации в отчетах о ри- сках в зависимости от потребителя дан- ной информации (среди потребителей внутренних отчетов — совет директоров компании, ее отдельная структурная еди- ница, конкретный сотрудник организа- ции; внешних отчетов — внешние контрагенты организации). В частности, отчет о рисках компании для внешних пользо- вателей информации должен включать описание: • методов системы внутреннего кон- троля, а именно характеристику зон от- ветственности менеджмента организации в вопросах управления рисками; • способов идентификации рисков и их практического применения в дей- ствующей системе управления рисками организации; • основных инструментов системы внутреннего контроля в отношении наи- более значимых рисков; • действующих механизмов монито- ринга и слежения за рисками. 2. Описание организационной струк- туры управления риском (совет дирек- торов — структурная единица — риск- менеджер), а также основных требований к разработке нормативных документов в области риск-менеджмента на корпора- тивном уровне (Программа по управле- нию риском организации). В приложении к стандарту даны при- меры используемых на практике методов и технологий анализа рисков. Одним из наиболее полных и прора- ботанных национальных стандартов в об- ласти управления риском эксперты при- знают Стандарт по риск-менеджменту Австралии и Новой Зеландии. Стандарт AS/NZS 4360 имеет общий (внеотраслевой) характер, его основные положения адаптированы для построения систем управления риском рядом транс- национальных компаний.
Согласно Стандарту AS/NZS 4360 управление риском на уровне компании представляет собой совокупность пяти последовательно сменяющих друг друга стадий и двух процессов сквозного харак- тера (рис. 5). При этом под управлением риском в стандарте понимается ?сово- купность культуры, процессов и структур, ориентированная на использование по- тенциальных возможностей при одновре- менном управлении негативными воздей- ствиями?. Стадия 1. Определение окружения (среды) Среди факторов, определяющих необ- ходимость анализа и идентификации вну- тренней среды компании, следует выде- лить следующие: • управление риском должно осу- ществляться в контексте определенных целей и задач организации; • одним из основных рисков компа- нии является возникновение препят- ствий в процессе достижения поставлен- ных стратегических, операционных, про- ектных и прочих целей; • четкая формулировка принципов организационной политики и целей ком- пании будет способствовать определе- нию основных направлений корпоратив- ной политики в области управления рисками; • цели и задачи компании по сег- ментам деятельности, а также целевые ориентиры, формируемые при реализа- ции отдельных корпоративных проектов, должны рассматриваться в соответствии с целями компании как единое целое. В рамках рассматриваемой стадии управления риском также определяют спектр целевых показателей деятельно- сти, составляют перечень элементов стра- тегии компании, параметров ее функцио- нирования, на которые будут влиять про- цессы риск-менеджмента, обеспечивают баланс возможных затрат и выгод (так называемый этап идентификации среды риск-менеджмента). Также следует опре- делить требуемые ресурсы и учетные про- цедуры. Стадия 2. Идентификация рисков На данной стадии должны быть иденти- фицированы риски, обусловленные осо- бенностями внешней и внутренней среды, проанализированной на предыдущем эта- пе: рассматриваются все возможные ис- точники риска, а также имеющаяся инфор- мация о восприятии риска (осознание ри- ска) причастными сторонами, как внутренними по отношению к организа- ции, так и внешними. Особые требования предъявляются в отношении качества ин- формации (максимально возможный уро- вень релевантности, полноты, точности и временного соответствия при имеющихся ресурсах на ее получение) и ее источников. Важно, чтобы персонал, задейство- ванный в идентификации рисков, обла- дал всей полнотой знаний о процессах или деятельности, которые подвергаются анализу. Последнее обусловливает необ- ходимость участия в данном процессе специальных рабочих групп, составлен- ных из экспертов различного профиля. Стадия 3. Анализ рисков Результатом прохождения рассматри- ваемой стадии является определение уровня риска, отражающего оценки по- следствий и вероятности рисковых собы- тий. Используют количественный и каче- ственный анализ. Ценность и значение качественного анализа существенным об- разом повышаются в случае, если опре- деление риска формируется широким кругом причастных сторон. Стадия 4. Оценивание рисков Задачей данной стадии является при- нятие решения о допустимости/недопу- стимости риска (в отношении допустимо- го риска не применяются процедуры об- работки риска, предусмотренные стадией 5 рассматриваемого процесса управле- ния риском). Оценка риска предполагает исследо- вание уровней подконтрольности рисково- го события, затрат на осуществление воз- действия, потенциальных издержек и вы- год, связанных с рисковым событием. Результаты работы экспертов на данной стадии могут потребовать пересмотра кри- териев риска, установленных на первой стадии процесса (таким образом, решает- ся задача обеспечения попадания всех значимых рисков в область анализа). Стадия 5. Обработка риска На данной стадии осуществляется ра- бота с оцененными и ранжированными рисками, в отношении которых принято решение об их неприемлемости/недопу- стимости для компании в соответствии с критериями, определенными на началь- ных стадиях рассматриваемого процесса управления рисками. Альтернативные варианты обработки рисков: • Избежание риска, осуществляемое либо посредством прекращения деятель- ности, сопряженной с недопустимым для компании уровнем риска, или выбора других, более приемлемых направлений деятельности, отвечающих задачам орга- низации, либо в ходе избрания альтер- нативной, менее рисковой методологии в отношении организации рассматривае- мого процесса или направления деятель- ности. • Снижение вероятности реализации рискового события и (или) возможных по- следствий реализации; важно учитывать, что должен быть найден баланс между уровнем риска и издержками, сопряжен- ными со снижением риска до заданного уровня. Когда разработанные подходы к снижению риска отнесены к категории оправданных, одновременно имея высо- кие издержки реализации, необходимые затраты требуют бюджетирования. Реко- мендованные в рамках данной альтер- нативы процедуры: контроль; улучшение процессов; тренинги и повышение ква- лификации персонала; аудит и опреде- ление соответствия установленным пра- вилам. • Разделение риска с третьими сто- ронами. Необходимо учитывать, что пере- дающая сторона сталкивается с новым риском, связанным с неспособностью принявшей риск организации эффектив- но управлять им. • Удержание риска. Данная альтер- натива применяется в отношении оста- точных, а также не выявленных рисков. В рамках ISO разработаны и действу- ют стандарты, рассматривающие отдель- ные аспекты управления риском по ряду направлений деятельности, например, в нефтегазовой отрасли, в сфере экс- плуатации промышленного и медицин- ского оборудования и др. В 2002 г. в це- лях унификации терминологии в области управления риском, в том числе и при разработке стандартов на различных уров- нях, вступило в силу Руководство (ISO/IEC Guide 73 «Risk Management Vocabulary Guidelines for use in standards»). Следующим уровнем развития стан- дартизации в области риск-менеджмента является подготовка общего стандарта ISO в области управления рисками. Стан- дарт ISO 31000 «Риск-менеджмент — Принципы и руководства по примене- нию» (Risk Management — Principles and guidelines on implementation). Разработ- ку данного документа в 2009 г. заверши- ла Рабочая группа по стандартизации в области риск-менеджмента, состоящая из представителей национальных орга- нов по стандартизации 26 стран. Одно- временно с этим был обновлен Стан- дарт Руководство ИСО/МЭК 73:2002, разработан Стандарт ISO/МЭК 31010 «Риск-менеджмент — Руководство по оценке риска» (ISO/IEC 31010 Risk Management — Risk assessment guidelines).
* Принципы Комитета европейских регуляторов по страхованию и профессиональным пенсиям (CEIOPS) поддерживаются заменившим его Европейским агентством по страхованию и профессиональным пенсиям (EIOPA) в соответствии с полномочиями, закрепленными в Регламенте (ЕС) № 1094/2010 от 24 ноября 2010 г. о создании
Европейского надзорного агентства (Европейское агентство по страхованию и профессиональным пенсиям).
** Принципы и рекомендации Базельского комитета по банковскому надзору 1998—2013 (Basel).
*** Интегрированная концепция внутреннего контроля и управления рисками Комитета спонсорских организаций Комиссии Тредвея/КОСО 1992, 2004, 2013 (COSO (ERM/IC)).
**** Стандарт управления рисками (RMS), разработанный Институтом риск-менеджмента, Ассоциацией риск-менеджмента и страхования, Национальным форумом
риск-менеджмента в Общественном секторе/IRM, AIRMIC, ALARM — FERMA 2002.
***** Стандарты Международной организации по стандартизации/ИСО: 31000:2009, 9004:2009, 31010:2009 (ISO).
За основу при подготовке проекта Стандарта ISO 31000 разработчиками был принят рассмотренный выше стан- дарт Австралии и Новой Зеландии, о чем, в частности, свидетельствует схожесть использованного подхода к определению и описанию процесса риск-менеджмента и его отдельных со- ставляющих. Вместе с тем существуют некоторые отличия. Например, проектом Стандарта ISO 31000 стадии «Идентифи- кация риска», «Анализа риска», а также «Оценивание риска» рассматриваются не самостоятельно, а в качестве составляю- щих стадии «Оценка риска». Кроме того, отдельно подчеркивается необходимость документирования процесса управления риском с учетом выгод повторного ис- пользования накопленной информации для целей управления, оценки затрат на создание и хранение документов и ряда других факторов. Вместе с тем характеристика принци- пов риск-менеджмента и описание моде- ли управления риском отделены в рамках стандарта от характеристики собственно процесса риск-менеджмента. Признает- ся, что процесс управления риском не существует сам по себе, а должен стать составным элементом управления в орга- низации, должен внедряться в организа- ционную культуру, настраиваться под дей- ствующие в рамках организации бизнес- процессы. Среди принципов управления ри- ском, определяющих его эффективность, обращают на себя внимание следующие тезисы, приведенные в проекте стан- дарта: • Риск-менеджмент создает стои- мость, то есть вносит вклад в достижение поставленных целей, а также в совершен- ствование в таких областях как здоровье и безопасность человека, соответствие законодательным требованиям, защита окружающей среды, финансовая деятель- ности, корпоративное управление, репу- тация. • Риск-менеджмент — неотъемлемая часть организационных процессов в ком- пании. • Риск-менеджмент — составная часть процесса принятия решений в организа- ции. • Риск-менеджмент должен быть спе- циально «настроен» с учетом специфики деятельности организации. • Риск-менеджмент учитывает суще- ствование человеческого и культурного факторов. Модель управления риском в соответ- ствии со Стандартом ISO 31000 «Риск- менеджмент представлена на рис. 6. Обозначенные стандарты определяют цели, задачи, элементы системы, этапы процесса управления рисками, необходи- мую организационную структуру. Представ- ленные в стандартах по риск-менеджменту подходы к организации процесса управ- ления рисками носят общий внеотрасле- вой характер, отличаются различной степенью детализации. Стоит отметить, что более поздние итерации отраслевых стандартов — Basel II, Basel III и Solvency II (табл. 3) в качестве базового фундамен- та управления рисками используют мето- дологию COSO ERM. Детальное сравне- ние различных стандартов представлено в табл. 4, которая является дополненной экспертами ПАРТАД на основе материа- лов [8 и 9].
СТАНДАРТЫ РИСК-МЕНЕДЖМЕНТА: ПРОБЛЕМЫ АДАПТАЦИИ
Применение выше изложенных подхо- дов в рамках построения корпоративных систем риск-менеджмента в России по- зволит: • проводить оценку применяемых компанией подходов к организации управления рисками как экспертам в са- мой организации, так внешним стейкхол- дерам; выявлять слабые и сильные сторо- ны корпоративного риск-менеджмента с точки зрения изложенных в стандартах общепринятых подходов; • сократить затраты на подготовку основополагающих документов корпора- тивной системы управления риском и внесение необходимых изменений в ор- ганизационную структуру, сосредоточив- шись на «настройке» типовых подходов под требования бизнеса; • повысить эффективность процес- са передачи функций по проектирова- нию и внедрению корпоративных систем риск-менеджмента на аутсорсинг (в слу- чае, если компания планирует прибегнуть к подобным услугам) вследствие появле- ния возможности переложения на единую терминологическую базу рекомендации по построению отдельных элементов единой системы, поступающих от различных третьих организаций; • обмениваться опытом в области риск-менеджмента в практической и тео- ретической плоскостях, в том числе на на- циональном и международном уровнях. Однако будет полезным осветить не- которые нюансы, связанные с россий- ской спецификой. Исторически, со вре- мен советского прошлого, стандартиза- ция в России распространялась «сверху», централизованно. И принципиальные от- личия стандартизации в мировой прак- тике и России представлены на рис. 7. Особенности построения системы управ- ления рисками в нашей стране и мире изображены на рис. 8, а влияние госу- дарства на риски хозяйствующего субъ- екта — на рис. 9. Качественное изменение пруденци- ального надзора над небанковскими участниками российского финансового рынка [10] вызвало со стороны регулято- ра значительный рост нормативных доку- ментов, связанных с деятельностью этих институтов. В первую очередь это затро- нуло деятельность страховых компаний, негосударственных пенсионных фондов (НПФов) и компаний инфраструктуры фондового рынка. Проходящая на на- ших глазах очередная пенсионная ре- форма также внесла существенные кор- рективы в требования работы НПФов. Банк России в новых нормативных доку- ментах обозначил вектор развития риск- ориентированных подходов в надзорной деятельности над небанковским секто- ром. Ожидаемые требования к организа- ции служб управления рисками НПФов, дополнительные требования в области внутреннего контроля, новые ограниче- ния по инвестиционной деятельности привлекли внимание не только пенсион- ной индустрии, но и смежных небанков- ских секторов рынка. Серьезные опасения участников рын- ка вызваны мнением отдельных предста- вителей регулятора, допускающих прибли- жение новых требований в отношении не- банковских институтов к нормам Basel II, III. Между тем специфика деятельности не- банковских институтов и существующее законодательство не позволяют исполь- зовать для некредитных участников фи- нансового рынка «кальку» с банковских нормативов. Знаменательно, что главный аудитор Банка России Валерий Горегляд в статье «Карт-бланш. Не Базелем еди- ным» [11] даже в контексте банковского сектора отмечает: ?Прежде чем вводить новые требования к банкам, необходимо проанализировать опыт первопроходцев?. Перефразировав этот тезис, можно ска- зать: ?Прежде чем вводить нормативные требования к небанковским участникам российского финансового рынка, имеет смысл изучить международный опыт?. Очевидно, что регулятору придется учесть небанковские особенности некре- дитных институтов и найти такой подход риск-ориентированного регулирования, который бы не входил в противоречие с банковским и небанковским сектора- ми. К сожалению, в России спешат при- нимать решения, в то время как адапта- ция требования Solvency II для страховых институтов ЕС и Великобритании длилась почти 10 лет. Следует отдать должное Банку Рос- сии, который, находясь в цейтноте (руко- водство страны ждет от ЦБ РФ активное участие в регулировании и, по сути, в ре- формировании пенсионного и страхового секторов рынка), не вводит в срочном по- рядке узаконенные «наверху» нормативы, а стремится проанализировать опыт от- раслевых российских СРО, разработав- ших свои отраслевые стандарты7. Проект требований к организации служб управ- ления рисками в НПФах [12], подготов- ленный Банком России, а также Рекомен- дации по оценке системы оплаты труда в негосударственных пенсионных фондах [13] свидетельствуют о том, что регулятор подводит акционеров и топ-менеджеров НПФов к пониманию новой сущности риск-менеджмента, которая закреплена в международных стандартах. Эти доку- менты Банка России демонстрируют, что в парадигме регулятора риск-менеджмент — это не дополнительная нагрузка на собственные средства участников рынка, а инструмент выстраивания новой более качественной среды управления. В ней управление рисками и внутренний контроль являются неотделимыми состав- ляющими менеджмента, а учет рисков — необходимым индикатором для KPI. Та- кая концепция наиболее близка идеоло- гии COSO. В любом случае этот стандарт управления рисками и внутреннего кон- троля не вступает в противоречие с меж- дународными отраслевыми стандартами для участников финансового рынка — Basel III и Solvency II.
Список источников
1. Баранов А. В. Звездное небо над нами и нравственный закон внутри нас (I часть) // Инвестор.ру // http://www. investor.ru/article/33446/1815/ 2. Peter L. Bernstein Against the Gods. The Remarkable Story of Risk . Бернстайн П. Против богов. Укрощение риска. М.: «Олимп-Бизнес», 2008. 3. Баранов А. В. Исторический экс- курс о финансовом риск-менеджменте // Инвестор.ру // http://www.investor.ru/ community/content/48/1800/ 4. Баранов А. В. Служба риск-менеджмента НПФа — назревшая необходимость // Рынок ценных бумаг. 2010. Ноябрь. 5. Управление рисками организаций. Интегрированная модель, сентябрь 2004 COSO ERM The Committee of Sponsoring Organizations of the Treadway Commission // http://www.valtars.ru/files/upload/ Actual_info/coso_upravlenie_riskami_ organizacii_integrirovannaya_model.pdf 6. Стандарты управления рисками. Федерация европейских ассоциаций риск-менеджеров. Русское общество управления риска- ми // http://www.ferma.eu/app/ uploads/2011/11/a-risk-managementstandard- russian-version.pdf 7. Международный Стандарт ISO 31000 Риск-менеджмент — Принципы и руководства // http://www.pqm-online. com/assets/files/lib/std/iso_31000- 2009(r).pdf 8. Шамонина М. А. Международные стандарты управления рисками: пробле- мы адаптации// Банковские технологии. 2007. Июнь. 9. Лансков П. М., Зенькович Е. В. Ин- тегрированный подход к организации управления рисками и внутреннего кон- троля в рамках инфраструктурных инсти- тутов финансового рынка// Рынок цен- ных бумаг. 2014. Ноябрь. 10. Баранов А. В. Под мегарегулято- ром: что день грядущий нам готовит? // Там же. 2014. Март. 11. Горегляд В. П. Карт-бланш. Не Ба- зелем единым// Независимая газета. 2015. 29 января. 12. Проект Указания Банка России «Об отдельных требованиях к организа- ции системы управления рисками негосу- дарственного пенсионного фонда» // Га- рант.ру //http://www.garant.ru/products/ ipo/prime/doc/70890632/?prime 13. Письмо Банка России Негосудар- ственным пенсионным фондам от 20.04.2015 г. № 015-51/3497 «Рекомен- дации по оценке системы оплаты труда в негосударственных пенсионных фондах» // Вестник Банка России. 2015. № 38 (1634), 29 апреля. 14. Базовый стандарт управления ри- сками и внутреннего контроля участника финансового рынка — члена СРО ПАРТАД // http://www.partad.ru/materialy/all/ insurance/
http://www.rcb.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter
РИСК, РИСК-МЕНЕДЖМЕНТ: НЕМНОГО ИСТОРИИ
Этимология термина «риск» связана с мореплаванием. Слово «риск» означа- ло утес, риф, напоровшись на который, суда терпели крушение3. И первона- чально выражение «рисковать» означа- ло «лавировать между скалами». Любо- пытно, что вторая версия происхожде- ния слова «рисковать» связана с игрой в кости4. Не исключено, что терминоло- гия правил игры в кости заимствована из сленга моряков эпохи Раннего Воз- рождения, больших почитателей азарт- ных игр. Попытки оценить шансы в игре в ко- сти можно рассматривать как первые описания рисков. Однако первый практи- ческий механизм управления рисками связан со страхованием судоходных экс- педиций и торговых судов от кораблекру- шения и других негативных непредвиден- ных событий. Два всемирно известных астронома — Галилео Галилей и Эдмонд Галлей не- посредственно приложили свои знания к теории риска. Так, Великий герцог То- сканский просил Галилео составить практическое руководство по игре в ко- сти. Идя на поводу у своего «политиче- ского шефа», Галилео написал эссе «Об игре в кости», в котором дал деталь- ный анализ исходов, получаемых при бросании одной и нескольких костей, а также сделал выводы о частоте раз- личных комбинаций и указал типы исхо- дов. По сути, это была первая научная монография по игре в кости с описани- ем рисков. Собственно говоря, теория риска и риск-менеджмента берет свое начало из этой работы великого ита- льянского астронома. Еще более революционный прорыв в теории риска и риск-менеджмента со- вершил Э. Галлей. На его долю выпало изучение и анализ демографических дан- ных города Бреслау за 1687—1691 гг. Галлей составил демографические та- блицы, на основе которых произвел для того времени уникальные расчеты, ка- сающиеся продолжительности жизни, уровня смертности в зависимости от тех или иных профессий, прогноз данных о налогоплательщиках, количестве ижди- венцев, людей, которые будут годны для несения военной службы, и многие дру- гие расчеты. Анализ Галлея наполнил теорию вероятности конкретным содер- жанием и в конечном счете подключил его к управлению риском. Однако после опубликования таблиц и выводов Гал- лея в 1693 г. правительству Великобри- тании и страховым компаниям потребо- валось почти 100 лет для осознания важности этих результатов по вопросу страхования жизни и по вопросу про- центной ренты [1]. ?К 1725 г. математики уже соревно- вались друг с другом в составлении таблиц ожидаемой продолжительности жиз- ни, а британское правительство для по- полнения бюджета продавало права на пожизненную ренту. К середине XVIII в. в Лондоне уже вовсю велись операции по страхованию мореплавания?[2]. Профессор Чикагского университета Фрэнк Найт в 20-х гг. ХХ столетия, за не- сколько лет до Великой экономической депрессии, хорошо сформулировал про- блему современной экономики: ?В эко- номике проблема неопределенности не- избежна, потому что сам экономический процесс нацелен в будущее?. Эта фраза предопределила будущее мировой эконо- мики на пару десятилетий. До этого ни один из великих математиков и филосо- фов прошлого публично не подвергал со- мнению методологию, которая гласила: если четко зафиксировать факты и про- анализировать их с помощью законов, станет понятно будущее. Питер Бернстайн [2] описал ранее су- ществовавшую точку зрения: ?До этого момента представители классической экономической науки рассматривали экономику как свободную от риска си- стему, автоматически ведущую к опти- мальным результатам. Они уверяли, что ее стабильность гарантирована. Если лю- ди решали, что лучше копить, а не вкла- дывать деньги, процентные ставки пада- ли, ободряя инвесторов и разочаровы- вая вкладчиков, после чего равновесие восстанавливалось. Если руководители предприятий принимали решение о бы- стром расширении производства, а до- машние хозяйства не имели достаточных сбережений, чтобы дать кредиты на этот рост, процентные ставки начинали расти, и равновесие восстанавливалось. В та- кой экономике, за исключением, пожалуй, кратковременных периодов приспособле- ния, не могло быть длительной недобро- вольной безработицы или недостаточных прибылей. Отдельным инвесторам и фир- мам приходилось, конечно, рисковать, но экономика в целом была свободна от риска?. Первое упоминание профессии управ- ления рисками было зафиксировано в корпоративном секторе США в 1916 г., что обусловлено включением в число функций менеджера обеспечение безо- пасности. По сути, изначально управле- ние рисками в компаниях было связано с оценкой и минимизацией потерь при травматизме на производстве. До этого момента все управление рисками своди- лось к страхованию от ряда неблагопри- ятных случаев. Переход от страхования к более детальному управлению риска- ми ознаменовал становление профессии риск-менеджмента — на это ушло 70 лет. К началу 90-х гг. XX в. в обязанности управ- ляющего рисками вменялось создание превентивных мероприятий в организа- ции, направленных на избегание ряда неприемлемых последствий и снижение затрат при страховании от несчастных случаев, стихийных бедствий и иных не- благоприятных для корпорации послед- ствий. Финансовый риск-менеджмент как самостоятельная область деятельности имеет сравнительно недолгую историю — около 40 лет. Становление этой дисципли- ны относится к 1973 г. и связано с тремя значительными событиями: - окончанием политики фиксирован- ных валютных курсов (крах Бреттон-Вуд- ской системы); - началом работы Чикагской биржи оп- ционов (Chicago Board Options Exchange); - публикацией американскими эконо- мистами Блэком, Шоулзом и Мертоном модели оценки стоимости (европейских) опционов. Финансовый риск-менеджмент про- шел три стадии развития, в процессе ко- торого были сформированы новые мето- ды и подходы к оценке основных видов финансового риска (рыночный риск, кре- дитный риск, риск ликвидности, риск сто- имости деривативов и др.). Первый качественный этап в об- ласти методологии оценки, контроля и управления финансовым риском от- мечен появлением в конце 80-х—нача- ле 90-х гг. XX в. модели стоимостной ме- ры риска VaR (Value-at-risk, «стоимость под риском»). VaR означает абсолютный максимальный размер потерь при вла- дении финансовым инструментом. Пока- затель VaR сперва завоевал признание крупных финансовых институтов и лишь затем получил одобрение регуляторов финансового рынка. Последнее стало возможно в результате раскрытия ме- тодологии банком J.P. Morgan своей системы управления риском в рамках системы RiskMetrics в 1994 г. Таким образом, первый качественный скачок в области финансового риск-менеджмента был связан с оценкой, контролем и управлением рыночным риском (ри- ском негативной переоценки финансо- вого инструмента). Второй этап развития финансового риск-менеджмента связан с оценкой и контролем за кредитным риском и при- шелся на вторую половину 90-х гг. ХХ в. Первопроходцем здесь снова выступил банк J.P. Morgan, который обобщил свои методы оценки и контроля за рыночным риском к оценке кредитного риска ссуд- ного портфеля (по аналогии с методом VaR для рыночного риска). Разработан- ная J.P. Morgan система CreditMetrics была опубликована в 1997 г. Благодаря этим двум разработкам J.P. Morgan у ри- сковиков появилась возможность рассчи- тывать интегральный показатель ожида- емых потерь вследствие рыночного и кре- дитного рисков. Это впервые позволило говорить об интегрированном риск-менеджменте (применительно к финансовым ри- скам). Третий этап в сфере финансового риск-менеджмента начался в конце 1990-х гг., и с каждым годом процесс набирает обороты. В отличие от первых двух этапов, третий этап уже не связан с классическими финансовыми рисками, а имеет непосредственное отношение к операционному риску. В настоящее вре- мя участники финансового рынка пыта- ются разработать общий подход к коли- чественной оценке операционного риска в виде «операционного VaR». Считается, что численный контроль над операцион- ными рисками вместе с контролем над финансовыми рисками позволит полу- чить полную оценку принимаемых ри- сков профессионального участника рын- ка ценных бумаг. За последние 40 лет можно выделить четыре основных направления оценки финансовых рисков: • анализ чувствительности — сце- нарный метод исследования реакции на изменения внешних факторов; • анализ волатильности — изучение меры колебаний целевого показателя от- носительно ожидаемого значения; • анализ негативного риска (downside risk). Оценка VaR используется в дополнение к другим методам анализа риска. В частности, известны такие мето- ды, как LVaR и SaR. Подход LVaR доопре- деляет классический метод VaR статисти- кой по гепам (разрывам графика цен) и называется «ликвидный VaR». Методи- ка SaR — использует среднюю величину убытка (Shortfall-at-Risk) и применяется для анализа ожидаемого размера убытка в отличие от оценки граничной величины капитала (VaR); • относительный анализ риска — рассматривает риск через сопоставле- ние с бенчмарком (по выбранному ин- дексу) [3, 4].
РИСК-МЕНЕДЖМЕНТ: МЕЖДУНАРОДНЫЕ СТАНДАРТЫ
Не важно, какого кот цвета — черный он или белый. Хороший кот такой, ко- торый ловит мышей. Дэн Сяопин
Еще в начале 90-х гг. XX в. риск- менеджмент рассматривался как фраг- ментарный, узкоспециализированный подход по управлению рисками. Наиболь- ших успехов по управлению рисками к то- му времени добились крупнейшие фирмы финансового сектора: • страховые компании и перестра- ховочные общества, которые были вы- нуждены проводить оценку и экспертизу различных рисков, обеспечивая страхо- вание частных корпораций и государ- ственных образований от всевозможных негативных последствий; • банковский сектор в связи с появ- лением сложных финансовых инструмен- тов и сильной автоматизацией бизнеса. За последние 25 лет произошел ре- волюционный переворот в области управ- ления рисками: риск-менеджмент пере- стал быть исключительной заботой фи- нансовых корпораций и стал активно применяться в других секторах экономи- ки. Новая парадигма управления риска- ми предполагает переход от фрагментар- ного подхода с узкой направленностью на конкретные операции и виды деятель- ности компании к комплексному управ- лению рисками компаний, холдингами и целыми отраслями экономики (рис. 1). Государственные институты стран ЕС так- же активно стали применять передовые практики риск-менеджмента для реше- ния экологических, технологических, со- циальных и иных задач. Риск-менеджмент стал важной и неотъемлемой составляю- щей менеджмента, показатели риска ста- ли фактором, влияющим на уровень воз- награждения и премирования, начиная от топ-менеджеров и кончая руководите- лями низших звеньев, а также одним из ключевых индикаторов KPI5. С начала 90-х гг. XX в. мировая прак- тика демонстрирует активное развитие процессов стандартизации в области риск-менеджмента (рис. 2). Распро- странение стандартов происходило как на страновом, так и на международном уровнях, а также на отраслевом уровне (банки и страховые компании) (табл. 1, 2, 3). Подтверждением тому являются национальные стандарты6 управления рисками, принятые в государствах с ан- глосаксонским правом (Австралии, Но- вой Зеландии, Японии, Великобритании, ЮАР, Канаде), а также стандарт, разра- ботанный Комитетом спонсорских орга- низаций комиссии Тредвея (COSO, США) [5], стандарт Федерации европейских ас- социаций риск-менеджеров (FERMA) [6] и стандарт по управлению рисками ISO 31000:2009 [7]. Одновременно с этим появились многочисленные требования регуляторов к построению и совершен- ствованию процесса управления ри- сками компаний, связанных с отрасле- вой спецификой. Среди отраслевых стандартов управления рисками наи- большую известность получили стандар- ты, затрагивающие деятельность стра- ховых компаний, перестраховочных об- ществ (Solvency, Solvency II) и банков (Basel, Basel II, Basel III). Стандартами в области риск-менеджмента предусматривается унификация: • используемой терминологии в дан- ной области; • составляющих процесса управле- ния рисками; • подходов к построению организа- ционной структуры риск-менеджмента.
Однако, несмотря на проведенную вну- три каждого стандарта управления рисками, терминологиями унификацию, методы и це- ли риск-менеджмента в различных стандар- тах отличаются. На рис. 1 представлены на- циональные и международные стандарты, терминология которых минимально различ- на. При попытке совмещения различных стандартов возможна путаница, так как де- финиция базовых терминов в них различна. Поэтому рассмотрим стандарты, получив- шие наибольшую мировую известность. Стандарт «Управление рисками ор- ганизаций. Интегрированная модель», разработанный Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, COSO) [5]. Данный документ представляет собой концептуальные основы управления рисками организаций и дает подробные ре- комендации по созданию корпоративной системы управления рисками в рамках ор- ганизации. Процесс управления рисками организации в интерпретации COSO состоит из восьми взаимосвязанных компонентов: 1) определение внутренней среды; 2) постановка целей; 3) определение (идентификация) ри- сковых событий; 4) оценка риска; 5) реагирование на риск; 6) средства контроля; 7) информация и коммуникации; 8) мониторинг. Таким образом, применительно к определению составляющих процесса управления риском рассматриваемый до- кумент следует уже сложившемуся в стан- дартах по риск-менеджменту пониманию процесса. В мировой практике стандарт, полу- чивший название «Куб COSO» (рис. 3), устанавливает взаимосвязь между целя- ми организации (стратегические, опера- ционные цели, подготовка отчетности и соблюдение законодательства), органи- зационной структурой компании (уровни компании, подразделения, хозяйственной единицы, дочернего предприятия) и уже обозначенными компонентами процесса управления рисками. 1. Внутренняя среда • Закладывает основы подхода к управлению рисками. Включает: - совет директоров; - философию управления рисками; - риск-аппетит; - честность и этические ценности; - важность компетенции; - организационную структуру; - делегирование полномочий и рас- пределение ответственности; - стандарты управления персоналом. 2. Постановка целей • Цели должны быть определены до того, как руководство начнет выявлять события, которые могут оказать влияние на их достижение. • Руководство компании имеет пра- вильно организованный процесс выбора и формирования целей, и эти цели соот- ветствуют миссии организации и уровню ее риск-аппетита. 3. Оценка рисков • Риски анализируются с учетом ве- роятности их возникновения и степени влияния с целью определения того, какие действия в отношении них необходимо предпринять. • Риски оцениваются с точки зрения присущего и остаточного риска. 4. Выявление потенциальных событий • Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определять- ся с учетом их разделения на риски или возможности. • Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей. 5. Реагирование на риск • Руководство выбирает метод реаги- рования на риск: - уклонение; - принятие; - снижение; - передача. • Разработанные мероприятия по- зволяют привести выявленный риск в со- ответствие с допустимым уровнем риска и риск-аппетитом организации. 6. Контрольные процедуры • Политика и процедуры разработа- ны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно. 7. Информация и коммуникация • Необходимая информация опреде- ляется, фиксируется и передается в фор- ме и сроки, позволяющие сотрудникам выполнять их обязанности. • Эффективный обмен информацией в рамках организации по вертикали и го- ризонтали. 8. Мониторинг • Весь процесс управления рисками организации отслеживается и по необхо- димости корректируется. • Мониторинг осуществляется в рам- ках текущей деятельности руководства или путем проведения периодических оценок. Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA) является совместной разработкой Института риск- менеджмента (IRM), Ассоциации риск- менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM) (2002) [6]. В отличие от рассмотренного выше Стандарта COSO ERM в части применяе- мой терминологии данный стандарт при- держивается подхода, принятого в доку- ментах Международной организации по стандартизации (Руководство ISO/IEC Guide 73 Risk Management — Vocabulary — Guidelines for use in standards). В частно- сти, риск определяется стандартом как «комбинация вероятности события и его последствий» (рис. 4). Риск-менеджмент рассматривается как центральная часть стратегического управления организацией, задачей ко- торой является идентификация рисков и управление ими. При этом отмечается, что риск-менеджмент как единая систе- ма управления рисками должна включать в себя программу контроля над выполне- нием поставленных задач, оценку эф- фективности проводимых мероприятий, а также систему поощрения на всех уров- нях организации. В соответствие со Стандартом FERMA выделяют четыре группы рисков организации: стратегические, операци- онные и финансовые, а также риски опасности. Кроме того, в документе приведены: 1. Краткая характеристика ключе- вых стадий процесса риск-менеджмента, в рамках которой обращает на себя вни- мание подробное описание требований к детализации информации в отчетах о ри- сках в зависимости от потребителя дан- ной информации (среди потребителей внутренних отчетов — совет директоров компании, ее отдельная структурная еди- ница, конкретный сотрудник организа- ции; внешних отчетов — внешние контрагенты организации). В частности, отчет о рисках компании для внешних пользо- вателей информации должен включать описание: • методов системы внутреннего кон- троля, а именно характеристику зон от- ветственности менеджмента организации в вопросах управления рисками; • способов идентификации рисков и их практического применения в дей- ствующей системе управления рисками организации; • основных инструментов системы внутреннего контроля в отношении наи- более значимых рисков; • действующих механизмов монито- ринга и слежения за рисками. 2. Описание организационной струк- туры управления риском (совет дирек- торов — структурная единица — риск- менеджер), а также основных требований к разработке нормативных документов в области риск-менеджмента на корпора- тивном уровне (Программа по управле- нию риском организации). В приложении к стандарту даны при- меры используемых на практике методов и технологий анализа рисков. Одним из наиболее полных и прора- ботанных национальных стандартов в об- ласти управления риском эксперты при- знают Стандарт по риск-менеджменту Австралии и Новой Зеландии. Стандарт AS/NZS 4360 имеет общий (внеотраслевой) характер, его основные положения адаптированы для построения систем управления риском рядом транс- национальных компаний.
Согласно Стандарту AS/NZS 4360 управление риском на уровне компании представляет собой совокупность пяти последовательно сменяющих друг друга стадий и двух процессов сквозного харак- тера (рис. 5). При этом под управлением риском в стандарте понимается ?сово- купность культуры, процессов и структур, ориентированная на использование по- тенциальных возможностей при одновре- менном управлении негативными воздей- ствиями?. Стадия 1. Определение окружения (среды) Среди факторов, определяющих необ- ходимость анализа и идентификации вну- тренней среды компании, следует выде- лить следующие: • управление риском должно осу- ществляться в контексте определенных целей и задач организации; • одним из основных рисков компа- нии является возникновение препят- ствий в процессе достижения поставлен- ных стратегических, операционных, про- ектных и прочих целей; • четкая формулировка принципов организационной политики и целей ком- пании будет способствовать определе- нию основных направлений корпоратив- ной политики в области управления рисками; • цели и задачи компании по сег- ментам деятельности, а также целевые ориентиры, формируемые при реализа- ции отдельных корпоративных проектов, должны рассматриваться в соответствии с целями компании как единое целое. В рамках рассматриваемой стадии управления риском также определяют спектр целевых показателей деятельно- сти, составляют перечень элементов стра- тегии компании, параметров ее функцио- нирования, на которые будут влиять про- цессы риск-менеджмента, обеспечивают баланс возможных затрат и выгод (так называемый этап идентификации среды риск-менеджмента). Также следует опре- делить требуемые ресурсы и учетные про- цедуры. Стадия 2. Идентификация рисков На данной стадии должны быть иденти- фицированы риски, обусловленные осо- бенностями внешней и внутренней среды, проанализированной на предыдущем эта- пе: рассматриваются все возможные ис- точники риска, а также имеющаяся инфор- мация о восприятии риска (осознание ри- ска) причастными сторонами, как внутренними по отношению к организа- ции, так и внешними. Особые требования предъявляются в отношении качества ин- формации (максимально возможный уро- вень релевантности, полноты, точности и временного соответствия при имеющихся ресурсах на ее получение) и ее источников. Важно, чтобы персонал, задейство- ванный в идентификации рисков, обла- дал всей полнотой знаний о процессах или деятельности, которые подвергаются анализу. Последнее обусловливает необ- ходимость участия в данном процессе специальных рабочих групп, составлен- ных из экспертов различного профиля. Стадия 3. Анализ рисков Результатом прохождения рассматри- ваемой стадии является определение уровня риска, отражающего оценки по- следствий и вероятности рисковых собы- тий. Используют количественный и каче- ственный анализ. Ценность и значение качественного анализа существенным об- разом повышаются в случае, если опре- деление риска формируется широким кругом причастных сторон. Стадия 4. Оценивание рисков Задачей данной стадии является при- нятие решения о допустимости/недопу- стимости риска (в отношении допустимо- го риска не применяются процедуры об- работки риска, предусмотренные стадией 5 рассматриваемого процесса управле- ния риском). Оценка риска предполагает исследо- вание уровней подконтрольности рисково- го события, затрат на осуществление воз- действия, потенциальных издержек и вы- год, связанных с рисковым событием. Результаты работы экспертов на данной стадии могут потребовать пересмотра кри- териев риска, установленных на первой стадии процесса (таким образом, решает- ся задача обеспечения попадания всех значимых рисков в область анализа). Стадия 5. Обработка риска На данной стадии осуществляется ра- бота с оцененными и ранжированными рисками, в отношении которых принято решение об их неприемлемости/недопу- стимости для компании в соответствии с критериями, определенными на началь- ных стадиях рассматриваемого процесса управления рисками. Альтернативные варианты обработки рисков: • Избежание риска, осуществляемое либо посредством прекращения деятель- ности, сопряженной с недопустимым для компании уровнем риска, или выбора других, более приемлемых направлений деятельности, отвечающих задачам орга- низации, либо в ходе избрания альтер- нативной, менее рисковой методологии в отношении организации рассматривае- мого процесса или направления деятель- ности. • Снижение вероятности реализации рискового события и (или) возможных по- следствий реализации; важно учитывать, что должен быть найден баланс между уровнем риска и издержками, сопряжен- ными со снижением риска до заданного уровня. Когда разработанные подходы к снижению риска отнесены к категории оправданных, одновременно имея высо- кие издержки реализации, необходимые затраты требуют бюджетирования. Реко- мендованные в рамках данной альтер- нативы процедуры: контроль; улучшение процессов; тренинги и повышение ква- лификации персонала; аудит и опреде- ление соответствия установленным пра- вилам. • Разделение риска с третьими сто- ронами. Необходимо учитывать, что пере- дающая сторона сталкивается с новым риском, связанным с неспособностью принявшей риск организации эффектив- но управлять им. • Удержание риска. Данная альтер- натива применяется в отношении оста- точных, а также не выявленных рисков. В рамках ISO разработаны и действу- ют стандарты, рассматривающие отдель- ные аспекты управления риском по ряду направлений деятельности, например, в нефтегазовой отрасли, в сфере экс- плуатации промышленного и медицин- ского оборудования и др. В 2002 г. в це- лях унификации терминологии в области управления риском, в том числе и при разработке стандартов на различных уров- нях, вступило в силу Руководство (ISO/IEC Guide 73 «Risk Management Vocabulary Guidelines for use in standards»). Следующим уровнем развития стан- дартизации в области риск-менеджмента является подготовка общего стандарта ISO в области управления рисками. Стан- дарт ISO 31000 «Риск-менеджмент — Принципы и руководства по примене- нию» (Risk Management — Principles and guidelines on implementation). Разработ- ку данного документа в 2009 г. заверши- ла Рабочая группа по стандартизации в области риск-менеджмента, состоящая из представителей национальных орга- нов по стандартизации 26 стран. Одно- временно с этим был обновлен Стан- дарт Руководство ИСО/МЭК 73:2002, разработан Стандарт ISO/МЭК 31010 «Риск-менеджмент — Руководство по оценке риска» (ISO/IEC 31010 Risk Management — Risk assessment guidelines).
* Принципы Комитета европейских регуляторов по страхованию и профессиональным пенсиям (CEIOPS) поддерживаются заменившим его Европейским агентством по страхованию и профессиональным пенсиям (EIOPA) в соответствии с полномочиями, закрепленными в Регламенте (ЕС) № 1094/2010 от 24 ноября 2010 г. о создании
Европейского надзорного агентства (Европейское агентство по страхованию и профессиональным пенсиям).
** Принципы и рекомендации Базельского комитета по банковскому надзору 1998—2013 (Basel).
*** Интегрированная концепция внутреннего контроля и управления рисками Комитета спонсорских организаций Комиссии Тредвея/КОСО 1992, 2004, 2013 (COSO (ERM/IC)).
**** Стандарт управления рисками (RMS), разработанный Институтом риск-менеджмента, Ассоциацией риск-менеджмента и страхования, Национальным форумом
риск-менеджмента в Общественном секторе/IRM, AIRMIC, ALARM — FERMA 2002.
***** Стандарты Международной организации по стандартизации/ИСО: 31000:2009, 9004:2009, 31010:2009 (ISO).
За основу при подготовке проекта Стандарта ISO 31000 разработчиками был принят рассмотренный выше стан- дарт Австралии и Новой Зеландии, о чем, в частности, свидетельствует схожесть использованного подхода к определению и описанию процесса риск-менеджмента и его отдельных со- ставляющих. Вместе с тем существуют некоторые отличия. Например, проектом Стандарта ISO 31000 стадии «Идентифи- кация риска», «Анализа риска», а также «Оценивание риска» рассматриваются не самостоятельно, а в качестве составляю- щих стадии «Оценка риска». Кроме того, отдельно подчеркивается необходимость документирования процесса управления риском с учетом выгод повторного ис- пользования накопленной информации для целей управления, оценки затрат на создание и хранение документов и ряда других факторов. Вместе с тем характеристика принци- пов риск-менеджмента и описание моде- ли управления риском отделены в рамках стандарта от характеристики собственно процесса риск-менеджмента. Признает- ся, что процесс управления риском не существует сам по себе, а должен стать составным элементом управления в орга- низации, должен внедряться в организа- ционную культуру, настраиваться под дей- ствующие в рамках организации бизнес- процессы. Среди принципов управления ри- ском, определяющих его эффективность, обращают на себя внимание следующие тезисы, приведенные в проекте стан- дарта: • Риск-менеджмент создает стои- мость, то есть вносит вклад в достижение поставленных целей, а также в совершен- ствование в таких областях как здоровье и безопасность человека, соответствие законодательным требованиям, защита окружающей среды, финансовая деятель- ности, корпоративное управление, репу- тация. • Риск-менеджмент — неотъемлемая часть организационных процессов в ком- пании. • Риск-менеджмент — составная часть процесса принятия решений в организа- ции. • Риск-менеджмент должен быть спе- циально «настроен» с учетом специфики деятельности организации. • Риск-менеджмент учитывает суще- ствование человеческого и культурного факторов. Модель управления риском в соответ- ствии со Стандартом ISO 31000 «Риск- менеджмент представлена на рис. 6. Обозначенные стандарты определяют цели, задачи, элементы системы, этапы процесса управления рисками, необходи- мую организационную структуру. Представ- ленные в стандартах по риск-менеджменту подходы к организации процесса управ- ления рисками носят общий внеотрасле- вой характер, отличаются различной степенью детализации. Стоит отметить, что более поздние итерации отраслевых стандартов — Basel II, Basel III и Solvency II (табл. 3) в качестве базового фундамен- та управления рисками используют мето- дологию COSO ERM. Детальное сравне- ние различных стандартов представлено в табл. 4, которая является дополненной экспертами ПАРТАД на основе материа- лов [8 и 9].
СТАНДАРТЫ РИСК-МЕНЕДЖМЕНТА: ПРОБЛЕМЫ АДАПТАЦИИ
- Пейте виски.
- Это не виски, это чай со льдом.
- Больше таинственности.
- А, понял. Буду делать вид, что думаю, где настоящий виски.
К/ф «Трудности перевода»
- Это не виски, это чай со льдом.
- Больше таинственности.
- А, понял. Буду делать вид, что думаю, где настоящий виски.
К/ф «Трудности перевода»
Применение выше изложенных подхо- дов в рамках построения корпоративных систем риск-менеджмента в России по- зволит: • проводить оценку применяемых компанией подходов к организации управления рисками как экспертам в са- мой организации, так внешним стейкхол- дерам; выявлять слабые и сильные сторо- ны корпоративного риск-менеджмента с точки зрения изложенных в стандартах общепринятых подходов; • сократить затраты на подготовку основополагающих документов корпора- тивной системы управления риском и внесение необходимых изменений в ор- ганизационную структуру, сосредоточив- шись на «настройке» типовых подходов под требования бизнеса; • повысить эффективность процес- са передачи функций по проектирова- нию и внедрению корпоративных систем риск-менеджмента на аутсорсинг (в слу- чае, если компания планирует прибегнуть к подобным услугам) вследствие появле- ния возможности переложения на единую терминологическую базу рекомендации по построению отдельных элементов единой системы, поступающих от различных третьих организаций; • обмениваться опытом в области риск-менеджмента в практической и тео- ретической плоскостях, в том числе на на- циональном и международном уровнях. Однако будет полезным осветить не- которые нюансы, связанные с россий- ской спецификой. Исторически, со вре- мен советского прошлого, стандартиза- ция в России распространялась «сверху», централизованно. И принципиальные от- личия стандартизации в мировой прак- тике и России представлены на рис. 7. Особенности построения системы управ- ления рисками в нашей стране и мире изображены на рис. 8, а влияние госу- дарства на риски хозяйствующего субъ- екта — на рис. 9. Качественное изменение пруденци- ального надзора над небанковскими участниками российского финансового рынка [10] вызвало со стороны регулято- ра значительный рост нормативных доку- ментов, связанных с деятельностью этих институтов. В первую очередь это затро- нуло деятельность страховых компаний, негосударственных пенсионных фондов (НПФов) и компаний инфраструктуры фондового рынка. Проходящая на на- ших глазах очередная пенсионная ре- форма также внесла существенные кор- рективы в требования работы НПФов. Банк России в новых нормативных доку- ментах обозначил вектор развития риск- ориентированных подходов в надзорной деятельности над небанковским секто- ром. Ожидаемые требования к организа- ции служб управления рисками НПФов, дополнительные требования в области внутреннего контроля, новые ограниче- ния по инвестиционной деятельности привлекли внимание не только пенсион- ной индустрии, но и смежных небанков- ских секторов рынка. Серьезные опасения участников рын- ка вызваны мнением отдельных предста- вителей регулятора, допускающих прибли- жение новых требований в отношении не- банковских институтов к нормам Basel II, III. Между тем специфика деятельности не- банковских институтов и существующее законодательство не позволяют исполь- зовать для некредитных участников фи- нансового рынка «кальку» с банковских нормативов. Знаменательно, что главный аудитор Банка России Валерий Горегляд в статье «Карт-бланш. Не Базелем еди- ным» [11] даже в контексте банковского сектора отмечает: ?Прежде чем вводить новые требования к банкам, необходимо проанализировать опыт первопроходцев?. Перефразировав этот тезис, можно ска- зать: ?Прежде чем вводить нормативные требования к небанковским участникам российского финансового рынка, имеет смысл изучить международный опыт?. Очевидно, что регулятору придется учесть небанковские особенности некре- дитных институтов и найти такой подход риск-ориентированного регулирования, который бы не входил в противоречие с банковским и небанковским сектора- ми. К сожалению, в России спешат при- нимать решения, в то время как адапта- ция требования Solvency II для страховых институтов ЕС и Великобритании длилась почти 10 лет. Следует отдать должное Банку Рос- сии, который, находясь в цейтноте (руко- водство страны ждет от ЦБ РФ активное участие в регулировании и, по сути, в ре- формировании пенсионного и страхового секторов рынка), не вводит в срочном по- рядке узаконенные «наверху» нормативы, а стремится проанализировать опыт от- раслевых российских СРО, разработав- ших свои отраслевые стандарты7. Проект требований к организации служб управ- ления рисками в НПФах [12], подготов- ленный Банком России, а также Рекомен- дации по оценке системы оплаты труда в негосударственных пенсионных фондах [13] свидетельствуют о том, что регулятор подводит акционеров и топ-менеджеров НПФов к пониманию новой сущности риск-менеджмента, которая закреплена в международных стандартах. Эти доку- менты Банка России демонстрируют, что в парадигме регулятора риск-менеджмент — это не дополнительная нагрузка на собственные средства участников рынка, а инструмент выстраивания новой более качественной среды управления. В ней управление рисками и внутренний контроль являются неотделимыми состав- ляющими менеджмента, а учет рисков — необходимым индикатором для KPI. Та- кая концепция наиболее близка идеоло- гии COSO. В любом случае этот стандарт управления рисками и внутреннего кон- троля не вступает в противоречие с меж- дународными отраслевыми стандартами для участников финансового рынка — Basel III и Solvency II.
Список источников
1. Баранов А. В. Звездное небо над нами и нравственный закон внутри нас (I часть) // Инвестор.ру // http://www. investor.ru/article/33446/1815/ 2. Peter L. Bernstein Against the Gods. The Remarkable Story of Risk . Бернстайн П. Против богов. Укрощение риска. М.: «Олимп-Бизнес», 2008. 3. Баранов А. В. Исторический экс- курс о финансовом риск-менеджменте // Инвестор.ру // http://www.investor.ru/ community/content/48/1800/ 4. Баранов А. В. Служба риск-менеджмента НПФа — назревшая необходимость // Рынок ценных бумаг. 2010. Ноябрь. 5. Управление рисками организаций. Интегрированная модель, сентябрь 2004 COSO ERM The Committee of Sponsoring Organizations of the Treadway Commission // http://www.valtars.ru/files/upload/ Actual_info/coso_upravlenie_riskami_ organizacii_integrirovannaya_model.pdf 6. Стандарты управления рисками. Федерация европейских ассоциаций риск-менеджеров. Русское общество управления риска- ми // http://www.ferma.eu/app/ uploads/2011/11/a-risk-managementstandard- russian-version.pdf 7. Международный Стандарт ISO 31000 Риск-менеджмент — Принципы и руководства // http://www.pqm-online. com/assets/files/lib/std/iso_31000- 2009(r).pdf 8. Шамонина М. А. Международные стандарты управления рисками: пробле- мы адаптации// Банковские технологии. 2007. Июнь. 9. Лансков П. М., Зенькович Е. В. Ин- тегрированный подход к организации управления рисками и внутреннего кон- троля в рамках инфраструктурных инсти- тутов финансового рынка// Рынок цен- ных бумаг. 2014. Ноябрь. 10. Баранов А. В. Под мегарегулято- ром: что день грядущий нам готовит? // Там же. 2014. Март. 11. Горегляд В. П. Карт-бланш. Не Ба- зелем единым// Независимая газета. 2015. 29 января. 12. Проект Указания Банка России «Об отдельных требованиях к организа- ции системы управления рисками негосу- дарственного пенсионного фонда» // Га- рант.ру //http://www.garant.ru/products/ ipo/prime/doc/70890632/?prime 13. Письмо Банка России Негосудар- ственным пенсионным фондам от 20.04.2015 г. № 015-51/3497 «Рекомен- дации по оценке системы оплаты труда в негосударственных пенсионных фондах» // Вестник Банка России. 2015. № 38 (1634), 29 апреля. 14. Базовый стандарт управления ри- сками и внутреннего контроля участника финансового рынка — члена СРО ПАРТАД // http://www.partad.ru/materialy/all/ insurance/
http://www.rcb.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter