Завершая тему обзорных статей по управлению рисками на уровне Совета директоров, осталось рассмотреть блок о лидерстве в этой области на уровне корпоративных органов управления:

1. выбор совещательных органов, которые должны быть ответственными в вопросах управления рисками на уровне Совета директоров,
2. выбор и назначение конкретных людей, компетенции и опыт которых необходимы и достаточны для того, чтобы осуществлять эффективный риск-менеджмент и надзор за соблюдением установленного риск-аппетита компании.

Для того, чтобы принять решение по этим ключевым пунктам вспомним, чем занимается Совет директоров в компаниях. Основными функциями и задачами для Совета директоров являются:

• определение приоритетных направлений деятельности (стратегии) и бюджета;
• реализация и защита прав акционеров, а также содействие разрешению корпоративных конфликтов;
• обеспечение эффективной деятельности исполнительных органов общества, назначение и отстранение от должности ключевых лиц в исполнительном руководстве, а также определение политики их вознаграждения;
• формирование комитетов совета директоров (наблюдательного совета) общества;
• определение принципов и подходов к организации в обществе управления рисками, внутреннего контроля и внутреннего аудита;
• утверждение подходов к выявлению и урегулированию конфликтов интересов;
• утверждение информационной политики и контроль за практикой раскрытия информации;
• контроль за практикой корпоративного управления, утверждение ключевых корпоративных действий;
• контроль финансово-хозяйственной деятельности и утверждение годовой бухгалтерской (финансовой) отчетности общества, решения об увеличении уставного капитала общества, дополнительной эмисии, контроль оценки, решения об использовании резервного фонда и иных фондов общества

 и так далее, в зависимости от юрисдикции, в которой Совет директоров работает. Очевидно, что практически во всех вышеперечисленных задачах присутствует элемент управления рисками и контроля.

Обычно при советах директоров есть несколько ключевых органов – комитетов, которые помогают ему осуществлять вышеперечисленные функции. Это, как правило:

• аудиторский комитет;
• часто комитет по кадрам и назначениям;
• возможно, стратегический комитет или финансовый комитет – иногда их функции объединяются;
• выделяют и отдельный комитет по рискам, функции которого могут входить в состав стратегического комитета, комитета по аудиту, если это не отдельный орган;
• иногда есть комитеты по HSE (health, safety, environment);
• могут выделяться отдельные комитеты для управления специфическими направлениями деятельности, как например, ядерная безопасность.

В целом, как правило, всевозможными требованиями (в частности, для листинговых компаний) закрепляется обязательное наличие аудиторского комитета, поскольку этот орган должен давать надежное представление собственнику или группе собственников о реальном уровне контроля внутри компании и, в частности, качества и достоверности финансово-хозяйственной отчетности, в связи с чем, во избежание конфликта интересов, внутренние аудиторы не подчиняются первому лицу компании –  но подчиняются аудиторскому комитету Совета директоров. Что же касается остальных перечисленных органов – они часто опциональны и для того, чтобы понять, необходимо ли компании создавать специальный комитет для управления рисками либо достаточно уже имеющихся, стоит проанализировать, способен ли Совет директоров и уже существующие органы ответить на ключевые вопросы о состоянии компании с точки зрения управления рисками*:

1. насколько стратегия компании соответствует ожиданиям всех стейкхолдеров, например, владельцев, инвесторов, кредиторов, общества, насколько она соответствует практике рынка и своевременно обновляется в соответствии с его динамикой;
2. какие ключевые риски могут оказать влияние на деятельность компании и достижение ее целей, в том числе, стратегических, и как компания управляет этими негативными рисками и факторами;
3. насколько менеджмент и сотрудники компании на всех уровнях понимают и исполняют подход компании к управлению рисками, знают емкость риска и соответствующий риск-аппетит, каскадированный на отдельные функции (толерантность к риску), установлены ли в компании нулевые толерантности по каким-то направлениям и что это за направления;
4. насколько в компании развита и продолжает развиваться инфраструктура и культура управления рисками: есть ли у организации понятный пакет правил, нормативов, техник, каналов коммуникаций касательно риск-менеджмента, доведенных и исполняющихся на всех уровнях;
5. есть ли план восстановления бизнеса на случай катастрофы и план обеспечения непрерывности бизнеса, тестируются ли эти планы;
6. насколько часто происходит пересмотр политик в области управления рисками по всем направлениям, включая ВСМ и ESG;
7. рассматриваются ли одновременно с рисками и возможности;
8. как распределена ответственность за те или иные действия в рамках управления рисками, насколько оценка профиля рисков является независимой, насколько люди, вовлеченные в процессы выявления и оценки рисков имеют полную и актуальную информацию из всех источников;
9. каким образом осуществляется защита интересов и активов компании, в том числе физических и т.д.

В зависимости от сложности бизнеса и структуры организации, специфики отрасли и запроса владельцев, соответствующие вопросы могут отслеживаться Советом директоров непосредственно, может быть принято решение включить их в функции одного из существующих комитетов (часто это комитет по аудиту или комитет по стратегии и инвестициям) либо выделить отдельный орган, ответственный за контроль профиля риска компании на уровне корпоративного управления.

Когда такое решение принято, следующим шагом является проработка процедурно-операционной составляющей работы соответствующего органа, а именно*:

1. частоты рассмотрения вопросов по управлению рисками, которая зависит от специфики деятельности компании, рынка, на котором компания действует и пр.

В частности, для компаний, которые работают в высоко динамичной среде, где риски меняются очень часто, что характерно, например, для финансовых рынков, вопросы рассмотрения профиля рисков будут регулярными в рамках каждого заседания как Совета директоров, так и ответственных комитетов. То же самое происходит при реализации крупных проектов. Если же речь идёт о простой операционной деятельности на не слишком волатильном рынке внутри одной страны и среднего размера компании – то вопросы риск-менеджмента могут рассматриваться раз в квартал или раз в полгода.

2. частоты и основания для пересмотра самих практик управления рисками, постановка бенчмарков для практик и профиля рисков.

Решение по этому пункту также часто зависит от отрасли и скорости роста компании: цифровые и быстрорастущие бизнесы в динамичных отраслях требуют гораздо более частого пересмотра практик, чем бизнесы традиционные.

3. ответственности за отслеживание конъюнктуры рынка, на котором компания действует, а также текущих тенденций в управлении рисками, т.е. приятие решений о том, кто в компании или вне ее должен быть основным поставщиком информации для работы соответствующего органа.

В этой части возможны как традиционные подходы с созданием выделенной функции управления рисками внутри структуры организации – так и, например, консалтинговый аутсорсинг. Выбор подхода всегда является балансом между требуемым уровнем качества и проработки информации и соответствующих затрат.

4. инфраструктурных решений для эффективного, своевременного и надёжного управления рисками в компании: информационных систем, технических и технологических инструментов и пр.
5. каналов и правил коммуникаций между контрольно-аналитическими функциями (управление рисками, внутренний контроль, внутренний аудит, комплаенс, безопасность и т.д.), бизнес-функциями и основными внешними контрагентами компании и т.д.

После определения целей, планов и регламентов управления рисками на уровне корпоративного управления встает вопрос о том, кто именно может быть ответственным за этот процесс на уровне совета директоров. Существует несколько вариантов, которые могут дополнять друг друга в зависимости от запроса стейкхолдеров и текущей ситуации. Базовым условием реализации любой из моделей является компетентность выбранного эксперта (группы экспертов) как в вопросах управления рисками – так и в вопросах стратегического и корпоративного управления и анализа: стратегическом планировании, управлении, принятии решений, разрешении конфликтов, сложных переговорах (поскольку зачастую процедуры оценки и управления рисками, могут быть достаточно конфликтными, а, соответственно, потребуют способностей договариваться и одновременно отстаивать позицию, не бояться задавать вопросы касательно профиля риска и эффективности риск-менеджмента, целесообразности тех или иных решений и степени их проработанности). Как правило, такие эксперты должны, помимо стратегического видения и операционного опыта, обладать хорошими финансовыми знаниями и, как минимум,  пониманием ключевых драйверов стратегии компании, ее ключевых стресс-факторов и допустимых уровней материальности, чтобы разумно проанализировать предложенный риск-аппетит и текущую динамику финансовых показателей с точки зрения эффективного управления рисками и возможностями. В связи с этим логично и предпочтительно, чтобы хотя бы один из членов Совета директоров (предпочтительно, независимый) или соответствующего комитета был профессиональным риск-менеджером, однако это не является обязательным условием, поскольку исполнять соответствующие функции могут и другие эксперты, обладающие перечисленными квалификациями и опытом. И хотя крайне желательно, чтобы соответствующий эксперт был постоянным членом Совета директоров для потенциальной возможности реализации права «вето» (в случае наделения им от имени владельцев компании) в особо критических решениях, возможно построение модели корпоративного управления, при которой компания может приглашать уважаемого и известного в своих профессиональных кругах специалиста, который будет выступать либо модератором, либо консультантом по вопросам риска. Плюсы такого решения являются независимый взгляд в связи с невовлеченностью в постоянную деятельность компании и потенциально более психологически низкий порог работы с возражениями для внешнего человека. Какую бы модель ни выбрала компания, оптимально, чтобы и председатель совета директоров или председатель комитета, которому вменены функции по управлению рисками, имел детальное представление о том, как должна работать эффективная система и процесс управления рисками и обладал всеми вышеперечисленными навыками, поскольку мы помним, что риск-менеджмент – это, в первую очередь, инструмент осознанного принятия решений, а управление рисками как часть обеспечения разумной уверенности в достижении поставленных целей и защите интересов акционеров пронизывает всю деятельность корпоративных органов управления.

И в заключении всего цикла статей, целесообразно ещё раз повторить ключевые идеи, которые освещались во всех предыдущих выпусках, и без реализации которых невозможно получить максимальную пользу от риск-менеджмента вообще и на уровне совета директоров, в частности:

1. Управление рисками – это не отдельный процесс или функция, это – культура осознанного принятия решений. Риск-менеджмент, его инструментарий и техники вписаны во все бизнес-процессы компании и работают на всех уровнях, а ключевым заинтересованным в эффективной системе управления рисками являются владелец компании, первое лицо на уровне Совета директоров, первое лицо в самой компании –  в её топ-менеджменте.
2. Внедрение эффективного управления рисками возможно только при полной поддержке и заказе сверху.
3. На сегодня существует множество бизнес-моделей, техник, инструментов и инфраструктурных решений для реализации процессов риск-менеджмента, возможности их внедрения очень широки, могут отличаться от компании к компании, но ключевым условием их полезного и эффективного внедрения является экспертиза профессионалов в управлении рисками.
4. Процесс управления рисками как повседневная культура осознанности в ведении бизнеса формируется не сразу, и хотя построение эффективной системы риск-менеджмента занимает время –  при грамотной ее настройке компания может получить очень серьёзные, долгосрочные плюсы, серьёзную поддержку внутри и извне в развитии, достижении поставленных целей компании и общества и обеспечении устойчивости бизнеса.
5. Совет директоров является одним из ключевых заказчиков и потребителей результатов разумной и эффективной системы управления рисками, и поэтому его постоянное образование в области риск-менеджмента и непосредственное вовлечение в соответствующие процессы является необходимым условием для исполнение задач, для реализации которых и создаются органы корпоративного управления.

Ирина Андропова (с)