5.1 Определение риск-аппетита
Риск-аппетит определяется исходя из миссии, видения и основных ценностей организации, а также ее предыдущих стратегий развития. Определение риск-аппетита может предшествовать разработке новой/актуализации текущей стратегии — в таком случае стратегия разрабатывается/актуализируется с учетом установленного риск-аппетита; либо выполняться одновременно с разработкой стратегии и соответствующим взаимным уточнением. Во внимание также следует принимать емкость риска: как правило, риск-аппетит следует определять на уровне, не превышающем емкость риска.
Риск-аппетит может быть выражен качественно и/или количественно. Качественное выражение риск-аппетита подразумевает, что риск-аппетит не имеет четкого количественного измерения, то есть представляет собой общее заявление или ряд заявлений. Количественный риск-аппетит может быть выражен посредством целевого показателя, диапазона значений, верхнего или нижнего предела. Для некоторых организаций может быть достаточно определить риск-аппетит только в качественном выражении, таком как текстовая формулировка, в т. ч. «нулевая толерантность1)», либо описательная или ранговая шкала, например, «высокий/средний/низкий риск-аппетит» (с описанием критериев отнесения к высокому/среднему/низкому уровню), в то время как другие предпочитают использовать количественное или комбинированное выражение, переходя к отдельным расчетам и прогнозированию/моделированию показателей, сценарному анализу. Риск-аппетит становится более точным в любом выражении по мере накопления организациями опыта в области менеджмента риска и периодического пересмотра заявлений, определенных ими ранее.
Риск-аппетит может быть определен в разрезе различных стратегических, функциональных и организационных направлений. Полноту включения данных направлений (то есть покрытия деятельности организации) при определении риск-аппетита устанавливает совет с учетом его восприятия риска и специфики организации (структуры, бизнес-процессов, модели управления и т. д.). Подход к формулированию и/или расчету риск-аппетита также зависит от специфики организации и зрелости и специфики менеджмента риска в ней. Не существует универсального риск-аппетита, который подходит для всех организаций, как и универсального метода его определения, однако можно выделить ряд ключевых подходов по определению риск-аппетита, которые могут по отдельности или в комбинации быть использованными любой организацией на основе:
- определения применимых задач, целей, показателей (требований и их параметров), задаваемых для организации применимыми нормативно-правовыми актами Российской Федерации, международными нормативными актами, внутренними нормативными документами, акционерами (участниками), правоприменительной практикой, разъяснениями уполномоченных органов, договорными отношениями, добровольно взятыми на себя обязательствами;
- внешнего анализа по различным параметрам, показателям и статистическим данным отрасли и ее участников, иных сопоставимых организаций (по выбранному критерию либо набору критериев, таким как выручка, размер активов, численность штата, регион присутствия и т. д.) и/или их отдельных бизнес-процессов, проектов (внешний бенчмаркинг), и внутреннего анализа по различным параметрам, показателям и статистическим данным, сопоставимым подразделениям, филиалам, дочерним и зависимым обществам (внутренний бенчмаркинг);
- оценки возможных негативных изменений основного финансового показателя (либо нескольких таких показателей) организации.
5.2 Определение толерантности к риску
Доведение риск-аппетита с корпоративного уровня (уровня органов управления) до нижестоящих уровней принятия решений необходимо осуществлять системно для прозрачности понимания сотрудниками своей ответственности и полномочий. Для этого рекомендуется выбрать подход к его каскадированию по уровням организации. Возможная система каскадирования представлена на рисунке 1.
КАРТИНКА!!!!!
Первым уровнем каскадирования является определение показателей толерантности к риску — измеримых и контролируемых метрик отклонения от целей бизнеса, которые организация и заинтересованные стороны готовы принять в случае реализации остаточных рисков. Данные метрики могут иметь один или несколько уровней детализации (например, отклонение от выручки в целом/по отдельным сегментам бизнеса). Толерантность к риску может определяться на основе анализа прошлых и текущих целевых показателей (стратегии, бюджета, программ, планов, проектов и т. д.) и их фактического достижения и может быть выражена посредством диапазона значений верхнего или нижнего предела целевого показателя, как правило в той же величине, что и сам целевой показатель.
При выборе показателей толерантности к риску целесообразно рассмотреть возможность использования любых параметров деятельности организации, включая:
- стратегические параметры, такие как показатели стратегических проектов и капитальных инвестиций;
- финансовые параметры, такие как выручка, доходность активов, доходность капитала, целевой рейтинг кредитоспособности и целевое соотношение заемного и собственного капитала;
- операционные параметры, такие как объем производства, реализация продукции, размер издержек, уровень цифровизации бизнеса, качество и взаимодействие с клиентами;
- ESG-параметры2, такие как показатели выбросов производства, объем инвестиций в вопросы ESG-повестки2, целевые показатели безопасности, показатели энергоэффективности.
5.3 Разработка лимитов на риск и ключевых индикаторов риска
Вторым уровнем каскадирования является разработка лимитов на риск и/или ключевых индикаторов риска, цель которых — выстроить и показать прямую взаимосвязь влияния остаточных рисков на достижение целевых показателей бизнеса и риск-аппетит, а также отношение организации к рискам. Лимит на риск может быть определен как отдельный уровень риска, который будет измеряться по установленной шкале оценки рисков и использоваться в качестве целевого уровня риска (т. е. уровня, который не будет превышен остаточным риском). КИР возможно определить как качественную или количественную метрику, предупреждающую о возможном наступлении риска либо отражающую факт его наступления. Конкретные значения и в том, и в другом случае определяются организацией исходя из степени возможного влияния идентифицированных рисков (групп рисков) на установленные показатели толерантности к риску.
В таблице 1 представлен пример определения риск-аппетита и его последующего каскадирования до лимита на риск и КИР. Лимит на риск «Невыполнение обязательств со стороны контрагента» превышен, соответственно, данный риск оказывает существенное влияние на установленную толерантность и, потенциально, на соблюдение риск-аппетита. Требуется разработка и внедрение дополнительных мероприятий по управлению риском и незамедлительное информирование органов управления.
Таблица 1. Пример определения и каскадирования риск-аппетита
| Заявление о риск-аппетите | Организация стремится обеспечить эффективность финансово-хозяйственной деятельности и достичь установленных показателей чистой выручки | |
| Целевой показатель | Чистая выручка | |
| Толерантность к риску | Отклонение в сторону уменьшения от целевого значения чистой выручки составляет не более XX млн руб. | |
| | ||
| Чистая выручка от сегмента бизнеса 1 — не менее 100 млн руб. | Ставки сегмента бизнеса 2 — в пределах 5 % от среднерыночного уровня | |
| Риск | Невыполнение обязательств со стороны контрагента | Значительные колебания ставок |
| Остаточный уровень риска | 3 балла/убытки от реализации риска 50 млн.руб. | 3 балла/убытки от реализации риска 40 млн.руб. |
| Лимит на риск | Не более 2 баллов/убытки от реализации риска не более 10 млн.руб. | Не более 4 баллов/убытки от реализации риска не более 70 млн руб. |
| Ключевой индикатор риска | Чистая выручка от сегмента бизнеса 1 по итогам первого полугодия менее 50 % от 100 млн руб. Истечение срока оплаты по договору (остаток менее 5 раб. дней) | Снижение на 3 % от консенсус-прогноза ставок сегмента бизнеса 2 |
Аналогично риск-аппетиту не существует универсальных КИР, которые были бы применимы ко всем рискам и/или ко всем организациям. КИР могут определяться с учетом следующих подходов:
- в качестве КИР используются любые, в т. ч. уже существующие показатели деятельности организации (ключевые показатели эффективности, бюджетные лимиты, сроки сдачи работ и др.), а также показатели, характеризующие существенное внешнее воздействие на деятельность организации в целом либо отдельного подразделения, бизнес-процесса, проекта (санкции и предписания со стороны контрольно-надзорных органов, санкции международных организаций и других стран, судебные иски/претензии контрагентов и др.);
- в зависимости от установленного порога/параметра один и тот же КИР может как предупреждать о возможном наступлении риска, так и отражать факт его наступления, поэтому по мере возможности для каждого КИР предпочтительно определять несколько пороговых значений, позволяющих установить как факт реализации риска, так и предрисковое состояние;
- реализация КИР автоматически инициирует рассмотрение необходимости изменения текущих мероприятий по управлению риском с точки зрения соблюдения соответствующего показателя толерантности к риску;
- при формировании КИР целесообразно проанализировать релевантные данные, доступные в ИТ-системах организации, для целей автоматизации их сбора и обработки.
КИР следует разрабатывать таким образом, чтобы они соответствовали ряду характеристик:
- измеримости КИР в абсолютном или относительном выражении;
- своевременности и актуальности расчета КИР для заданного риска, а также для соответствующего показателя толерантности к риску;
- однозначности и понятности расчета, направленности КИР, его источников данных;
- экономической эффективности КИР (потенциальный эффект от мониторинга КИР превосходит затраты на выполнение мониторинга).
КИР могут быть интегрированы в показатели толерантности к риску либо иные уже существующие показатели деятельности организации на уровне бизнес-процессов, проектов, отдельных функций и т. д., что позволяет минимизировать затраты по их разработке, а также повысить эффективность менеджмента риска в целом. Для интеграции КИР следует определить в существующих показателях допустимое отклонение (в случае показателей толерантности к риску — дополнительное, промежуточное пороговое значение), т. е. границы, превышение или недостижение которых будет сигнализировать о возможности реализации риска при отсутствии своевременного воздействия на него. Например, показатель частоты простоя ИТ-системы под нагрузкой может являться КИР недоступности ИТ-инфраструктуры: следует определить, какая частота простоя недопустима для бесперебойной работы инфраструктуры, а от этого значения — определить показатель частоты простоя, превышение которого будет сигнализировать о необходимости принятия неотложных действий для недопущения реализации риска недоступности ИТ-инфраструктуры. Таким образом, будет определен коридор, в рамках которого можно осуществить своевременное воздействие на риск; кроме того, появляется возможность проводить тренд-анализ данного показателя на заданном временном отрезке для выявления аномалий, причин роста частоты простоев под нагрузкой и др.
1) Под «нулевой толерантностью» понимается риск-аппетит в форме текстового заявления о недопустимости несоблюдения какого-либо ориентира (например, требований в области противодействия коррупции) или наступления какого-то события.
2) Под ESG-параметрами и ESG-повесткой понимаются соответственно параметры и повестка, касающиеся факторов, связанных с окружающей средой (в том числе экологических и связанных с изменением климата) (environmental — Е), обществом (социальных) (social — S) и корпоративным управлением (governance — G)
к Оглавлению ГОСТ Р 71034—2023 | Назад