Формирование отчетов о подверженности рискам для рассмотрения руководством на всех уровнях — одна из самых важных обязанностей Риск-офицера. Эффективная отчетность о рисках имеет основополагающее значение для надежной программы управления рисками компании и это –  то, что каждый специалист по управлению рисками, от уровня аналитика до уровня главы риск-менеджмента, должен понимать и делать хорошо.

Компания не сможет оценить и определить свой профиль риска и, соответственно, вероятность достижения поставленных бизнес-целей, если руководители не знают о том, что это за риски и каково их реальное влияние. Отчет о рисках имеет основополагающее значение для такого обсуждения. Соответственно, в отчете о профиле риска должна содержаться информация о наиболее актуальных рисках компании, а также о том, насколько хорошо компания управляет этими рисками в данный момент в соотнесении с исполнением стратегических и тактических задач.

Грамотно и исчерпывающе составленная отчетность о рисках помогает Совету директоров давать стратегические рекомендации. Например, в отчете о рисках может содержаться предупреждение о высокой регуляторно-бюрократической нагрузке при выходе компании на новый рынок. Этот отчет может смотивировать Совет директоров пересмотреть вопрос о целесообразности расширения, побудить поставить менеджменту задачу о пересмотре бизнес-процессов или организационной структуры.  Отчеты о рисках и возможностях помогут понять, как может потребоваться изменить процессы и операции, чтобы вести бизнес более осознанно и эффективно с учетом рисков.

Отчетность о ключевых рисках важна для регулирующих органов, бизнес-партнеров и стейкхолдеров. Предоставление отчетов для ряда таких пользователей носит обязательный характер и регулируется по содержанию и формату.

Отчеты о подверженности рискам должны быть регулярными и всегда актуальными в быстроменяющейся среде современного бизнеса. При этом необходимо продумать, как изменения в рутинных операциях компании могут изменить характер долгосрочных рисков, с которыми компания всегда сталкивалась. Например, в текущих условиях особую важность приобрели репутационные и кибер- риски, в связи с чем практически каждый современный бизнес рано или поздно сталкивается с необходимостью отдельного внимания, оценки и, соответственно, разделов отчета о профиле риска по данным направлениям.

В целом, любую отчетность по рискам можно разделить на:

• обязательную – т.е. отчетность содержание и структура которой определяются внешними сторонами, как правило, это – регулятор, кредиторы, партнеры, надзорные органы и пр. Примером такого рода отчетности могут служить требования Центрального банка, Министерства Финансов, Росимущества и пр;
• добровольную – любого рода отчетность, которая формируется и предоставляется внутри и вовне организации на добровольной основе. Формат и содержание такого рода отчетов определяются на усмотрение организации. Примером такого рода отчетов могут служить годовые отчеты компании, как правило, содержащие разделы по управлению рисками, отчеты по КСО и пр
• внутреннюю – то есть отчетность, предоставляемую и используемую внутри компании ее менеджментом;
• внешнюю – обязательную и добровольную отчетность, предоставляемую вовне.

В цикле статей об управлении рисками на уровне Советов директоров мы уже остановились на ключевых требованиях к отчету о профиле риска для уровня Высшего руководства [возможна ссылка на соответствующую статью в цикле о Совете директоров]. В данной статье мы рассмотрим некоторые дополнительные аспекты, которые делают отчеты касательно управления рисками полезными и качественными.

Что касается содержания отчета, полезно включать следующую информацию:

• резюме или Executive Summary –краткий обзор существенных рисков для руководства с соответствующими рекомендациями [возможна ссылка на соответствующую статью в цикле о Совете директоров];
• оценка риска –базовое описание потенциального влияния рисков на соответствующие цели (в качественном или количественном выражении);
• текущая емкость риска –показатель, отражающий, какой риск организация может себе позволить в данный момент времени, поскольку данный показатель может меняться. Например, емкость к рискуможет быть оценкой того, сколько средств организация может потерять, не оказавшись банкротом, не нарушив ковенанты или не прекратив свое существование [возможна ссылка на соответствующую статью о риск-аппетите];
• риск-аппетит и толерантности к рискам –оценка того, какой риск организация готова взять на себя в рамках достижения своих целей, такие оценки, как правило, существенно ниже емкости риска [возможна ссылка на соответствующую статью о риск-аппетите];
• ключевые индикаторы риска (KRI или КИР) –метрики, связанные с выявленным риском и позволяющие судить о подверженности конкретному риску и его динамике. Если одна из этих метрик достигает порогового значения или значения толерантности, это может указывать на то, что требуется принятие срочных мер. Таким образом, КИР (KRI) действуют как система раннего предупреждения, которая может дать управленческим командам запас времени для предотвращения нежелательных событий или снижения их возможных последствий;
• эффективность управления рисками – раздел, в котором объясняется, каким образом организация в прошлом действовала по поводу ключевых рисков, насколько это было эффективно и как компания планирует снижать или устранятьвыявленные риски в будущем;
• ответственные за управление рисками – перечень ключевых лиц, ответственных за управление существенными рисками.

Что касается оформления отчета и деталей, для лучшего восприятия информации рекомендовано включать:

• диаграммы или другие графические элементы в соотношении около 50/50 к текстовой информации;
• временной диапазон существования риска в привязке к жизненному циклу реализации соответствующей цели, поскольку бывают ситуации, когда риск существует только на определенном этапе реализации задачи или затрагивает сразу несколько целей за пределами горизонта конкретной оцениваемой инициативы, области или проекта;
• четкое описание риска, объясняющее угрозу в наиболее конкретном виде, возможно – с примерами и соответствующей статистикой;
• четкое описание критериев его закрытия, объясняющее, что именно будет служить показателем эффективного управления риском.

Широко известным примером формата добровольной отчетности по рискам может служить карта рисков организации. Такая карта закрывает собой сразу две задачи: представить наглядно весь перечень ключевых рисков и продемонстрировать их существенность, соотнесение друг с другом, и потенциальное чистое влияние на цели организации, проекта, процесса или инициативы.

Организации часто формируют разные типы отчетности по рискам в разрезах проектов, бизнес-блоков, бизнес-процессов, регионов и т.п. Детальность, регулярность и форматы таких отчетов могут существенно отличаться, как и их основные пользователи в зависимости от размера и структуры компании, природы предоставляемых ею услуг или производимого продукта, особенностей отраслей и рыночной ситуации, особенностей регулирования и взаимоотношений с ключевыми заинтересованными сторонами.

Помимо стандартных текстовых отчетов, организации часто практикуют использование кратких графических информационно-аналитических презентаций 1-pager в качестве поддерживающей информации для рассмотрения различных стратегических и тактических альтернатив.

Составление эффективных и лаконичных отчетов, как с точки зрения формата и наполнения, так и с точки зрения регулярности и круга вовлеченных лиц и пользователей – очень сложная и нетривиальная задача для больших организаций, где циркулирует огромное количество информации по разным направлениям и необходимо «выиграть» в этом потоке внимание менеджмента всех уровней к риск-аналитике. Качественная и внимательная подготовка такого рода информации необходима не только для эффективного процесса управления рисками – но и для эффективного управления и развития любой организации.

Ирина Андропова (с)