В прошлой статье цикла, посвященной управлению рисками на уровне Совета директоров, была поднята тема того, на какие области стоит обратить внимание Собственникам или членам Совета директоров/Высшего менеджмента с точки зрения эффективного управления рисками. В этой статье, продолжая рассматривать тему, предлагается практический опыт того, каким именно образом возможно организовать рассмотрение вопросов о текущем профиле рисков организации на высшем уровне управления.

Ранее уже упоминалось, что ключевыми точками приложения риск-экспертизы для Собственника и Членов Совета директоров могут являться:

• доступность ресурса (прошлое и настоящее);
• организация ключевых процессов (настоящее);
• направления развития и роста (будущее).

Так каким же образом организовать работу по выявлению, оценке, анализу и управлению рисками на указанном уровне в практической плоскости?

Начнем с ключевого ресурса для принятия любых решений – информации. Мы уже упоминали о том, что ключевыми факторами для подготовки полезного и используемого отчета будут являться:

• качество информации;
• актуальность;
• простота восприятия материала.

Давайте рассмотрим, как можно подойти к реализации каждого из перечисленных критериев успеха.

Итак – качество. Под качеством информации в контексте управления рисками будет целесообразно рассмотреть соответствие требованиям, широко принятым как в аудите, так и в ИТ, управлении информаций и пр:

• точность;
• полнота;
• согласованность;
• целостность и истинность;
• разумность и соответствие поставленной задаче;
• актуальность;
• уникальность/отсутствие задвоений;
• проверяемость – валидируемость;
• доступность.

Соответствие информации указанным критериям во многом напрямую зависит от системы работы с информацией и отчетности в компании в целом, однако есть несколько прямых методов определения качества представленной информации:

– если речь идет о цифрах, информация должна соответствовать указанной в управленческой и аудированной финансовой отчетности, которая регулярно предоставляется на рассмотрение Совету директоров. Сделать подобную сверку должно быть достаточно легко, если не по конкретным данным – то по логике и трендам в целом;

 – любая информация (в числовом и текстовом виде) должна быть целостной – то есть данные по одному и тому же вопросу и периоду, предоставленные в разных разрезах, разным адресатам и с разными целями должны соответствовать друг другу. Из этого требования вытекает разумная подсказка членам Совета директоров делать перекрестную сверку всех предоставляемых (и ранее предоставленных) материалов;

 – за редким и объяснимым исключением, любые данные и информация имеют тенденцию, поскольку процессы в любой достаточно крупной компании имеют временной горизонт, необходимый для изменения тренда, т.е. – инерцию. Таким образом, логично проверить, насколько представленные данные продолжают ранее выявленные тенденции;

 – взаимовлияние или портфельный подход: процессы компании, а также макроэкономические и политические процессы всегда оказывают достаточно прозрачное влияние друг на друга. Очевидно, что информация касательно изменений в том или ином процессе или аспекте деятельности компании будет влиять или подвергаться влиянию со стороны других процессов и областей деятельности (бизнеса). Логическая проверка представленных оценок и выводов по разным областям деятельности/процессов может также показать качество/недостаточное качество представленной или использованной информации.

В каждом из случаев, если предоставленные данные не соответствуют указанным критериям, рекомендуется подготовить вопросы менеджменту компании касательно исходных данных, выводов или решений, подготовленных на рассмотрение Совету директоров. Вышеуказанный подход применим не только к отчетам по профилю риска компании/проекта, но к любой информации, представленной на рассмотрение для высшего менеджмента/собственника/членов совещательных и наблюдательных органов, и сам по себе является одним из инструментов управления рисками.

Когда вышеуказанные вопросы проработаны, стоит убедиться в том, что представленные данные являются разумными и актуальными, то есть соответствуют как поставленным целям/задачам компании (в зависимости от рассмотрения стратегии/бизнес-плана/инвестиционного горизонты и пр.) и целям и задачам совещательного органа, на рассмотрение которого они представлены. Например, информация о тенденциях потребительского сектора в момент до начала пандемии COVID в большинстве случаев будет неактуальной в качестве основания для принятия маркетинговых решений, как и, например, показатели инвестиционного климата в Казахстане до волнений, происходящих там сейчас, в январе 2022 года. Актуальность использованной информации должна быть подтверждена свежими фактами и исследованиями, а также прямым отношением к текущей поставленной перед Советом директоров задачи (например, рассмотрение вопроса о перспективности вложений в цифровой рынок актуально в рамках рассмотрения маркетинговой или инвестиционной стратегии – но не в момент принятия решения о методах киберзащиты, куда могут быть, например, приложены данные о трендах развития цифровизации и соответствующих возможностях и угрозах).

Простота восприятия материала. Ключевой задачей для руководства, представляющего отчеты о профиле риска компании, помимо качества представленной информации ( и в том числе, ее полноты), является ее достаточная лаконичность для обеспечения понятности и полноценного восприятия людьми, не являющимися экспертами в вопросах управления рисками и не погруженными в ежедневную деятельности компании. Другими словами, представленные отчеты должны быть достаточно краткими – но содержательными и user-friendly. В целом, таким требования можно отнести к любым видам отчетов, представляемым на рассмотрение высшего руководства. Однако, применительно к вопросам управления рисками, рассмотрим основные и традиционные составляющие соответствующих отчетов. Поскольку, риск-менеджмент как дисциплина, во многом основан на статистико-аналитических исследованиях и анализе, ключевыми составляющими соответствующих отчетов будут:

• цифры;
• графическая информация;
• текстовая информация.

В предыдущей статье серии уже говорилось о том, что на практике приходилось встречаться с многостраничными отчетами, сформированными мелким шрифтом в длинные нечитабельные таблицы, воспринимать которые, несмотря на очень детальное описание каждого риска и возможности, не представлялось возможным в рамках нормальной подготовки к заседанию и обсуждения на Совете директоров. Приходилось сталкиваться и со сложными математическими формулами и графиками, дополненными цветными схемами и диаграммами, которые, тем не менее, не делали более вызывающими доверие и понятными выводы, представленные в отчетах.

В соответствии с широкоизвестным методом McKinsey, принципы которого часто используют как золотой стандарт презентации или питчинга, рекомендованным и наиболее приемлемым на практике является комбинация цифровых, графических и текстовых материалов, изучение которых не должно занять более 20% времени, отведенного на соответствующий вопрос в целом, но давать 80% представления о вопросе, достаточного для принятия решений (золотое правило Парето). Кроме того, отчет должен быть настолько лаконичен, чтобы при необходимости, его основную идею можно было изложить менее, чем за минуту. Из практического опыта для того, чтобы представленный отчет был воспринят читателем, необходимо кратко указать:

в качестве вступления:

• источник информации и данные, на основании которых проводился анализ и делались выводы;
• методы проведенного анализа и доказательства их применимости;

основную часть:

• представленные выводы в кратком цифровом и графическом виде в соотношении с теми целями, влияние рисков на которые было рассмотрено, а также с риск-аппетитом компании в целом и по исследуемой области;
• краткие и емкие выводы и предложения в текстовом виде, сформированные на основании проведенного анализа;
• результаты проведенного сравнительного анализа или тренда по исследуемой области, а также «выученные уроки»/ исторический анализ / прогноз уже исполненных, а также предлагаемых в настоящий момент методов управления риском;

в качестве заключения:

• исполнителей и авторов анализа и выводов, а также мнение/резюме генерального директора по этому поводу (которое, ВНИМАНИЕ, может совпадать с указанными в отчете, или не совпадать, что является нормальным, поскольку риск-менеджмент должен сохранять свою независимость)

Из практики работы международных компаний, можно сказать, что большинство информативных и кратких отчетов по ключевым вопросам, как правило, не превышает 3 страниц презентации или текста, однако, за таким кратким резюме или executive summary всегда должен существовать (и прилагаться) полноценный отчет со всеми данными для того, чтобы члены Совета директоров при желании и необходимости могли ознакомиться с проведенным анализом.

При соблюдении указанных выше рекомендаций к качеству и представлению информации эффективность и полезность рассмотрения материалов касательно профиля управления рисками на заседании Совета директоров будет разумно гарантирована.

Следует еще раз подчеркнуть важный фактор, несоблюдение которого автоматически приведет к бесполезности затраченных усилий: материалы касательно профиля риска по тому или иному аспекту/проекту/задаче должны напрямую зависеть и быть увязанными с целями соответствующей деятельности/инициативы/проекта и конкретного заседания совещательного органа и его функциями и полномочиями. Представление масштабного, содержательного и полезного отчета о профиле риска маркетинговой стратегии или нового инвестиционного проекта компании на комитете по кадрам и назначениям будет интересно, но совершенно неуместно, как и рассмотрение рисковости заключения контракта с ключевым поставщиком по проекту, когда контракт уже заключен и т.п.

Подготовкой такого рода материалов, как правило, занимается функция управления рисками внутри компании, соответственно, задача о подготовке соответствующих отчетов, после предварительной, надлежащим образом проведенной работы по выявлению рисков на всех уровнях, включая стратегический уровень работы совета директоров и собственника, должна быть поставлена СЕО или другому высшему исполнительному органу компании в виде распоряжения собственника/Совета директоров. Кроме того, отчеты о подверженности рискам в определенных аспектах готовит аудиторская функция внутри компании, внешние аудиторы (в том числе финансовые) и функция управления качеством, а их содержание, разница и пересечение определяются задачами и спецификой каждой конкретной компании. Однако бывают случаи, когда проведение такой работы доверяют третьей стороне (акционерный аудит, страховой сюрвей, due diligence и т.п.) В этом случае, Совету директоров следует внимательно проработать цели и задачи предстоящего риск-анализа и тщательно выбрать потенциального исполнителя данной работы, который должен обладать:

• независимостью;
• требуемой квалификацией и экспертизой;
• максимальным доступом к требуемой информации внутри и вне компании.

Удобным является привлечение к такой работе liaison-officers, однако такая возможность определяется в зависимости от специфики поставленной задачи и наличия данной функции в каждом конкретном случае.

Ирина Андропова (с)