 |
Ризики бувають різними: репутаційні, фінансові, кредитні, комплаєнс-ризики. І чим складнішим і більшим стає бізнес, тим важче ним управляти і тим вища вага ризиків та пов’язаних з ними наслідків. Простий приклад: громіздкі і складні будівлі й споруди вимагають більш ретельного проектування та технічного нагляду. Вони формують підвищені вимоги до будматеріалів на критично навантажених ділянках, піднімають поріг професійних вимог до кваліфікації працівників, які мають зводити об’єкт. Такий підхід справедливий і для фінансово-економічних процесів.
Без дотримання правил і регламентів рівень ризику зростає
Обвалення несучих конструкцій житлового будинку на 26 поверхів, автопоїзд, що вилетів у зустрічний потік автотранспорту на високій швидкості, банкрутство міжнародного банку через порушення службовцями вимог про перевірку заставної власності — як правило, сумні наслідки ігнорування правил або умисних недобросовісних дій працівників. Так, цемент і гальмівна рідина можуть бути неякісними або вкраденими й частково розбавленими. Управлінська звітність про поточні фінансові показники може виявитись фальсифікацією, а нерухомість, що передається в заставу — бути візуально привабливою, але не відповідати своєму призначенню.
При цьому і погіршення характеристик на виробництві, і розбавлення корисного дорогого компонента дешевшим, і видача великих кредитів під заставу неліквідних активів найчастіше є наслідком недобросовісних дій найманого персоналу. Який вирішив скористатися відсутністю певного контролю і нажитися, розкрадаючи матеріали або неналежно виконуючи свої обов’язки.
У сферах, де ціна помилки — людські життя, законодавство встановлює досить жорсткі вимоги до регламентації і контролю процесів з боку керівництва компаній. А от у фінансовій сфері, де на перший погляд неможливо відрізнити шахрайську транзакцію від нормальної, питання захисту співробітників від недобросовісних дій — турбота власника і найманого менеджменту.
Регламенти і правила допоможуть притягнути шахраїв до відповідальності
Як відомо з жартівливого закону Мерфі, все, що може піти не так, одного разу піде не так. Інше, менш оптимістичне формулювання свідчить, що заряджена рушниця обов’язково вистрілить. Завдання власника і найманого менеджера — зробити все, щоб запобігти цьому.
Багато керівників і власників бізнесу запитують: "Навіщо регламентувати процеси, які прекрасно працюють без регламентів і зайвих формальностей? Навіщо створювати купу непотрібних паперів? Я повністю довіряю своїм працівникам, для чого мені інструктувати їх і зайвий раз наголошувати на тому, що крадіжки і недобросовісність призводять до збитків компанії?".
Відповідь на ці питання та ж, що і в питаннях інструктажу будівельників перед виходом на об’єкт і водіїв перед виїздом у рейс. Коли людина проінструктована діяти відповідно до правил, вона повинна їх дотримуватись. Якщо ж, знаючи і розуміючи правила, порушує їх — це вже вина співробітника, а не працедавця, що міг знехтувати обов’язком інструктажу і регламентації робочого процесу.
Вітчизняні нормативні документи не встановлюють жорстких вимог для абсолютно всіх нюансів внутрішньої фінансової та господарської діяльності компаній. Водночас дозволяють власникові робити це, ухвалюючи організаційно-розпорядчі документи, встановлюючи правила, обмеження і розпорядки, пропонуючи найманим працівникам правила поведінки, обов’язки і права.
Інша ситуація виникає, якщо правила працівнику не були оголошені. Він міг про них і не знати, тому й не розумів, що так чинити не можна. Як би це не звучало дивно для представників бізнесу, але така обставина приймається судами як істотний аргумент про невинність або часткову провину співробітника, з яким пов’язаний інцидент. Також імовірно, що працедавець нестиме відповідальність за відсутність належного інструктажу.
У фінансовій сфері питання відповідальності співробітника, що завинив, також лежить у площині правил, регламентів і нормативів, які були йому донесені. Варто взяти до уваги, що навіть досконале дотримання посадових інструкцій і дії в рамках дійсних повноважень можуть призвести до укладання угод на невигідних для компанії-працедавця умовах. Тож певна річ, що профілактика шахрайства і фінансових зловживань — трудомісткий і набагато складніший процес, ніж інструктаж працівників або водіїв.
Окремо варто відмітити, що законодавство України при належній регламентації бізнес-процесів і розумному використанні засобів внутрішнього контролю має достатні підстави для притягнення корпоративних шахраїв як до кримінальної, так і до матеріальної відповідальності за ті чи інші зловживання.
Світова практика регламентації та оцінки ризиків
Розвинуті країни з більш прогресивною фінансовою інфраструктурою виразніше відчули на собі хвилі економічних криз. Їхні законодавчі органи ввели для суб’єктів, що розміщують свої акції на фондових біржах, та посадовців, відповідальних за ведення фінансової звітності, додаткові вимоги, правила ведення бізнесу та відповідальність. Одним з основних нововведень стало кардинальне підвищення уваги до адекватності засобів внутрішнього контролю і до систем управління ризиками (Enterprise Risk Management, ERM), з яких ключовою визначена загроза шахрайства.
Найбільш відомий з таких документів — Sarbanes Oxley Act (SOX), секція 404 якого крім приписів про незалежну оцінку засобів внутрішнього контролю зобов’язувала також керівництво компаній впроваджувати систему управління ризиками. Окрім цього, були ухвалені пакети законів, що посилюють заходи фінансового контролю та протидії відтоку неправомірно виведених коштів. А також встановлюють розширене коло осіб, що підлягають кримінальній відповідальності за злочини у фінансовій сфері, такі як шахрайство, хабарництво, легалізація грошових коштів, отриманих злочинним шляхом.
Такі заходи призвели до підвищення культури управління ризиками для керівників і власників бізнесу, появи незалежних професіоналів з управління ризиками, а також до формування методологічної бази з протидії шахрайству, комплексів процедур і прийомів зі зменшення та контролю чинників небезпек й нівеляції можливих наслідків.
Як зростає ризик і на що він перетворюється?
Природа ризику така, що, якщо його не обмежувати і не проводити профілактичні заходи, він подібно газу може заповнити собою весь вільний від перешкод простір. Тоді вірогідність реалізації ризиків і об’єм їхнього кумулятивного негативного фінансового ефекту з часом зростатиме. Тому перед власниками і менеджментом компанії виникає постійна необхідність проводити моніторинг і оцінку існуючих і виявлення нових джерел і власників ризику. Також необхідно періодично проводити профілактичні перевірки дотримання правил і регламентів, спрямованих на мінімізацію ризиків. Цей процес і називається ризик-менеджментом або управлінням ризиками.
З чого складається ризик-менеджмент (стисло)?
Процес управління ризиками й інцидентами містить комплекс різних заходів, які дадуть можливість власникам і вищому керівництву дієву можливість орієнтуватися у пріоритетах у справі запобігання загрозам для бізнесу.
На початковому етапі управління ризиками й інцидентами необхідно провести їх огляд. Найбільш відповідна аналогія — людська здатність бачити і орієнтуватися: ми йдемо вулицею або їдемо в автомобілі, а коли дорога повертає або зустрічається перешкода — повертаємо, щоб не зіштовхнутися, долаємо її або здійснюємо інший маневр.
Потім ризик слід оцінити, тому що не кожен камінчик на шляху варто об’їжджати — над деякими цілком можливо проїхати, не зачепивши. При цьому погано, коли управління ризиками проводиться лише на підставі огляду і цифрових методів оцінки, наприклад, статистики і бенчмаркінгу. Це схоже на момент, коли ви на вулиці побачили тигра: не факт, що вас з’їдять, адже це може бути і фотостенд, і переодягнений аніматор, що розважає дітей.
Окрім огляду бажано максимально усвідомлювати і по можливості досліджувати природу ризику. Адже тигр може виявитися й справжнім, і тоді потрібно терміново рятуватися, а камінчик на дорозі — уламком скла, що цілком здатний пробити колесо.
Ми вказали ризики, для оцінки яких немає необхідності бути експертом. Але в житті трапляються й більш складні ситуації. Вам може трапитись змія невідомого виду. Варто побоюватися, що вона отруйна? Вас може вкусити невідома комаха. Варто терміново шукати антидот? Ви понюхали квітку, після чого з’явилися неприємні відчуття у носоглотці: варто йти до лікаря?
Таким чином, для повноцінного усвідомлення загроз та адекватного реагування на них варто покладатися на експертів з ризиків у тих сферах, в яких ви хочете провести повноцінний ризик-менеджмент. Фахівці зможуть спрямувати, дати оцінку, розповісти про природу ризиків, систематизувати ваші навички в управлінні ними й показати всі переваги системного підходу. Як в автошколі або на тренуванні.
Ризики трапляються і з торговим павільйоном, і з транснаціональним банком. І в тих та в інших є можливість вийти з бізнесу, коли ризик, що спрацював, перетвориться на інцидент, що поглинув компанію. Таким чином, без ризик-менеджменту не може обійтися жодна компанія — ані та, що зростає, ані велика. Великим треба розуміти, що без вивчення і управління ризиками неможливо мінімізувати результати їхньої реалізації, а тим компаніям, що тільки зростають, потрібно досліджувати середовище, в якому вони розширюються.
Тож, перефразуючи приказку, можна поставити головне питання: навіщо наживати власний негативний досвід, який завжди обходиться недешево, якщо сьогодні ринок консультаційних послуг може запропонувати вам рішення, що відповідають саме вашому бізнесу?
Гід по створенню системи управління ризиками
Для ідентифікації ризиків і управління ними власники бізнесу і вищі керівники можуть створювати в організаціях відповідні бізнес-процеси і структурні підрозділи, однак останнім часом все частіше вдаються до послуг сторонніх організацій і фахівців, що надають також сервіс із побудови і/або оцінки цих систем на професійній основі.
Управління ризиками — ознака високої корпоративної зрілості компанії
Згідно із загальноприйнятими концепціями, існують 5 рівнів корпоративної зрілості.
Також іноді окремо виділяють 0-й рівень, коли немає ніяких ознак організації.
Перехід компанії на більш високий рівень зрілості — необхідна умова для зростання бізнесу, яка супроводжується появою ряду чинників, що дозволяють власникам і керівникам отримати більш високий рівень доходів, — наприклад, здешевлення собівартості типового виробництва, оптимізація використання робочої сили, впровадження механізмів самооптимизації і т. ін.
На 3-му рівні корпоративної зрілості ("Регламентованість") у компанії з’являються базові механізми зворотного зв’язку, які досягають своєї повноти у 4-й стадії ("Керованість"). До цих же механізмів належать й інструменти управління ризиками.
Регламентованість дозволяє організації вийти на принципово новий рівень розвитку і почати використовувати зворотний зв’язок, який при послідовному розвитку компанії формується в механізм самоадаптації та самооптимізації системи.
Завдяки формуванню механізму зворотного зв’язку у власників і вищого керівництва компанії з’являється можливість скласти "карту ризиків": діаграму оцінки кожного окремо взятого ризику за критеріями розміру пов’язаного збитку і вірогідності його виникнення.
Як влаштована система реагування на дію негативних факторів?
Відносно до управління ризиками зворотний зв’язок полягає у формуванні багатолінійної системи реагування на дію негативних чинників. Нині в якості базової моделі розглядається система "трьох ліній оборони", сенс якої представлений на малюнку нижче.
Перша лінія оборони — самооборона
Як видно зі схеми, перша лінія оборони належить власникам бізнес-процесів — лінійному менеджменту (лінійному керівництву), який стикається з факторами ризику щодня і має всіляко попереджати поточні інциденти, а у разі потреби інформувати про виникнення загроз або виявлення інциденту вище керівництво і власників. Для компаній з ранніми формами організаційної зрілості ця лінія оборони, як правило, є єдиною.
Друга лінія оборони — дільничні
Друга лінія оборони на схемі представлена підрозділами внутрішнього лінійного контролю в їхніх різних варіантах і формах. Сюди належать усі підрозділи, основною сферою діяльності яких є процедури внутрішнього контролю. І які спільно з лінійним менеджментом беруть участь в розробці та подальшому впровадженні в практику схем бізнес-процесів, регламентів і внутрішніх нормативів як виключно організаційно-розпорядчого, так і операційно-технічного характеру.
Варто відмітити, що ця лінія починає формуватися при переході від стадії повторюваності до стадії регламентованості й формує ланцюг зворотного зв’язку, з якого власники і вище керівництво починають отримувати перші відомості про неочевидні для них ризики, а також інциденти в діяльності компанії. На такому етапі вищому керівництву і власникам найважливіше усвідомлювати дві базові істини:
- кожен впроваджуваний регламент не є остаточним, його варто періодично переглядати на предмет відповідності реальному життю;
- належною реакцією на кожен новий виявлений ризик є оцінка його можливих наслідків. І тільки після цього (при необхідності) — розробка заходів з його попередження і мінімізації.
Коли в компанії, на думку вищого керівництва і власників, сформована повноцінна друга лінія із служб і окремих фахівців, що формують систему внутрішнього контролю, варто замислитися про впровадження служби зовнішнього нагляду за ними, тобто третю лінію оборони.
Третя лінія оборони — патрульні
До третьої лінії оборони, яка формується на четвертій стадії організаційної зрілості ("Керованості") і приносить максимальну користь при досягненні компанією п’ятої стадії ("Самооптимізації"), відносять служби внутрішнього аудиту (СВА), які можуть складатися з власних постійних співробітників або залучених зовні фахівців, ключовою характеристикою яких є незалежність в оцінці процесів і систем компанії, а основне завдання — оцінка адекватності й ефективності системи внутрішнього контролю й управління ризиками.
Основи професійної діяльності внутрішнього аудитора визначаються Міжнародним інститутом внутрішніх аудиторів (The Institute of Internal Auditors, The IIA) і сформульовані таким чином.
Внутрішній аудит — це незалежна діяльність в організації (на підприємстві) з перевірки і оцінки її роботи в її ж інтересах. Внутрішній аудит допомагає організації досягти поставлених цілей, використовуючи систематизований і послідовний підхід до оцінки і підвищення ефективності процесів управління ризиками, контролю і корпоративного управління.
У діяльність СВА, що, як правило, здійснюється на плановій основі, входить оцінка стану внутрішнього середовища компанії, її окремих бізнес-процесів, впроваджених в них засобів внутрішнього контролю, окремих фактів і аспектів господарської діяльності, систем управління ризиками.
Одним з ключових завдань СВА є оцінка ризиків шахрайства, оскільки в цій стадії організаційної зрілості в компанії цілком може утворитися і досить зріла схема виведення активів, в якій рівною мірою можуть бути задіяні й співробітники виробничих підрозділів, і співробітники служб другої лінії (внутрішнього лінійного контролю), особливо при поєднанні цих повноважень однією особою (приклад — крах Barings Bank). Збиток від функціонування такої схеми можна порівняти з наслідками реалізації критичного ризику, він здатний значно похитнути фінансове здоров’я організації чи припинити її існування.
Повідомлення про інциденти від співробітників — інформатори (Whistleblowers)
Окрім перерахованих на схемі у багатьох компаніях також впроваджується механізм Whistleblowing, який полягає в можливості кожного співробітника подати повідомлення про виявлений інцидент недобросовісної поведінки або шахрайства на гарячу лінію. Як правило, для того, щоб стимулювати появу такої інформації, в компаніях засновується деякий преміальний фонд, а для подальшого захисту інформаторів від переслідування з боку співробітників, що вчинили інцидент, впроваджуються політики захисту.
Для компаній, що беруть участь у торгах на фондових ринках США, захист інформаторів, що подають інформацію в Комісію з цінних паперів (SEC), і їхнє преміювання закріплені на рівні законодавства.
Варто також відмітити різницю в культурі сприйняття інформаторів у вітчизняному бізнесі і за кордоном. Термін Whistleblower означає не донощика, а людину, яка для інформування оточення дме у свисток, чим привертає увагу до небезпеки.
Детективи: розслідування інцидентів штатними або сторонніми фахівцями
Як ми відмічали вище, будь-який реалізований факт ризику необхідно розслідувати, у тому числі й для того, щоб не дати шансу подібним ризикам і запобігти таким інцидентам у майбутньому.
Для проведення розслідувань компанії високого організаційного рівня зрілості, які вже неодноразово стикалися з критичними інцидентами, зазвичай мають у своєму штаті групу спеціально підготовлених експертів, робота яких відрізняється міжрегіональним, а іноді й міжнародним характером.
Компанії, для яких виявлений інцидент є неординарним або має критичне значення, можуть реагувати власними силами або притягнути сторонні сили — вдатися до послуг компаній і фахівців, що проводять розслідування. В останньому випадку замовник таких послуг отримує цілий комплекс переваг:
- забезпечується незалежність при формуванні матеріалів розслідування, що виключає вплив можливих зацікавлених осіб у вищому керівництві;
- послуги надаються досвідченими фахівцями, які можуть попередити замовника про всі нюанси розслідування завчасно, дати дієві рекомендації з мінімізації можливих наслідків і компенсації збитку;
- сторонні компанії, як правило, мають ряд незалежних висококваліфікованих технічних експертів з питань, які необхідно розглянути в ході розслідування;
- витрати на послуги високої якості будуть меншими, ніж при існуванні власної служби розслідувань, яка може з часом втратити незалежність, зважаючи на внутрішньокорпоративні стосунки;
- виключається особистий конфлікт замовника зі співробітниками, які перебувають з ним у довірчих стосунках і які зловживають такою довірою.
Результатом роботи кваліфікованого фахівця з розслідувань буде звіт, що містить:
- об’єктивну оцінку ситуації і чинників, які до неї призвели;
- посилання на важливі документи і обставини, оцінку доказової бази;
- список осіб з визначенням можливих ролей в реалізації інциденту;
- виявлені ознаки протиправних дій;
- оцінку перспективи компенсації збитку, медіації та судового переслідування потенційно винних осіб;
- рекомендації з відвертання подібних інцидентів.
Заздалегідь звертаємо увагу, що збиток, заподіяний протиправними діями, можливо компенсувати через суд лише у тому випадку, коли відносно підозрюваної особи ведеться кримінальне провадження, при цьому для компенсації збитків у рамках заздалегідь визначеної матеріальної відповідальності працівника можливе застосування судового механізму без залучення правоохоронних органів.
Система управління ризиками має бути в кожній компанії, яка хоче мінімізувати виникнення інцидентів і мати можливість розслідувати кожен такий випадок, попереджати інциденти, знаходити винних й компенсувати свій збиток. Коли система працює адекватно, компанії не доводиться мати справу з інцидентами — вони вивчені та пропрацьовані ще на стадії потенційного ризику.
Ілюстрація: svetabelaya / Shutterstock.com
|
|
