Введение
Глобальная экономическая система на наших глазах переживает период глубокой трансформации. Объективные и субъективные факторы приводят к повышенной волатильности рынков, что особенно сказывается на развивающихся экспортоориентированных экономиках, к которым относится и российская. Немалое значение в общую турбулентность вносит также ускорение инновационных процессов в технологиях и в их использовании. Очевидно, что темп жизни и скорость принятия решений нарастают.
В этих условиях отечественные предприятия также вынуждены функционировать при высокой динамичности изменения факторов внешней и внутренней среды, негативные последствия которых необходимо своевременно выявлять и нейтрализовывать с помощью в том числе и современных инструментов риск-менеджмента. При этом, государственный сектор сохраняет высокое значение в экономике России – доля выручки компаний государственного сектора в совокупной выручке топ-100 отечественных компаний в период с 2005 по 2017 год колебалась в районе 50% [1, с. 19]. Однако на сегодняшний день отсутствуют систематизированные исследования, которые дали бы четкое описание тех основ и стандартов, на которые опираются отечественные компании нефинансового сектора с превалирующим государственным участием при внедрении системы управления рисками в свою деятельность.
Отсюда, целью исследования является систематизация, описание и краткий анализ оснований внедрения системы риск-менеджмента в государственных компаниях, а также системы стандартов в сфере управления рисками. При этом, под управлением рисками организации понимаются «любые процессы, политики, устройства, практики или иные условия или действия, которые направлены на изменение риска» [2, с. 5].
Материал и методы исследования
Теоретико-методологической базой исследования послужили официальные документы, международные и национальные стандарты, труды исследовательско-аналитических групп и отечественных авторов, посвященные стандартизации системы управления рисками в Российской Федерации и ее влияния на нефинансовый сектор экономики страны.
Применялись различные методы исследования: анализ и синтез, индукция и дедукция, аналогия и моделирование, обобщение и классификация. Информационно-эмпирическая база: поручение Президента Российской Федерации, нормативные документы министерств и ведомств, исследования Аналитического центра при Правительстве Российской Федерации, международные и национальные стандарты, научные и учебно-практические исследования, материалы сети Интернет.
Результаты исследования и их обсуждение
Нефинансовый сектор российской экономики, в отличие от финансово-кредитной сферы, где Центробанк России смог выстроить в целом непротиворечивую систему риск-ориентированного планирования деятельности кредитных и финансовых учреждений и эффективный контроллинг этой системы, существенно отстает в плане внедрения системы управления рисками в деятельность организаций. Так, по данным PriceWaterHouseCoopers, в 2014 году в российских компаниях нефинансового сектора методы управления рисками отставали от современной практики, а подавляющее большинство компаний вообще не приступили к разработке стратегии управления рисками, позволяющей привязать систему управления рисками предприятия (ERP) к стратегическим приоритетам компании [3, с. 2]. Не были исключением и компании с государственным участием. Известно, что Правительство Российской Федерации уделяет особое внимание повышению качества корпоративного управления в государственных компаниях. При этом, очевидно, что важную роль в обеспечении финансовой устойчивости и долговременного развития компаний и корпораций, их инвестиционной привлекательности в нестабильных экономических условиях играет внутренний аудит, управление рисками и внутренний контроль [4, с. 8]. Естественно, что зачаточное состояние указанных систем менеджмента в госкомпаниях не могло оставить равнодушными регулирующие федеральные органы исполнительной власти.
Первым документом, заложившим основы систематизации и внедрения принципов риск-менеджмента в отечественных компаниях нефинансового сектора с превалирующим государственным участием можно считать утвержденный 21 марта 2014 года Советом директоров Банка России и одобренный на заседании Правительства Российской Федерации 13 февраля 2014 года Кодекс корпоративного управления [5]. Именно в Кодексе впервые было указано, что «в обществе должна быть создана эффективно функционирующая система управления рисками и внутреннего контроля, направленная на обеспечение разумной уверенности в достижении поставленных перед обществом целей», а при ее создании необходимо применить «общепринятые концепции и практики работы в области управления рисками и внутреннего контроля» [5, с. 47]. В развитие нормативной базы, в 2015 году появились Методические указания Росимущества по подготовке положения о системе управления рисками в государственных корпорациях, государственных компаниях, а также открытых акционерных обществах с участием Российской Федерации [6]. Этот основополагающий документ был разработан в соответствии с требованиями российского законодательства, а также с учетом общепризнанных практик и стандартов деятельности, и распространяется на корпорации, компании, акционерные общества с превалирующем государственным участием в части, не противоречащей российскому законодательству [6, с. 2]. Методические указания определяют структуру и содержание положений о системе управления рисками компаний. Эти документы, в свою очередь, формируют основные цели, принципы и подходы в деятельности по управлению рисками и являются основой для разработки прочих организационно-распорядительных документов компаний, регламентирующих процесс организации системы управления рисками.
На этом документарное регулирование риск-менеджмента непосредственно в госкомпаниях прекращается. Но есть ряд документов универсального характера, важных для учета при построении системы управления рисками в том числе и компаниями с государственным участием. Важнейшим документом такого рода становятся изданные лишь в октябре 2020 года Банком России Рекомендации по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах [2]. Банк России специально указывает, что «Рекомендации, в первую очередь, разработаны для использования в качестве методического материала публичными акционерными обществами, но могут быть использованы любыми организациями, заинтересованными в эффективной организации и осуществлении управления рисками, внутреннего контроля, внутреннего аудита, а также в целях повышения эффективности реализации советом директоров (наблюдательным советом) стратегических и контрольных функций. Рекомендации содержат базовые принципы и подходы к организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров по аудиту, которые могут быть использованы организациями с учетом масштаба и специфики деятельности, реализуемых корпоративных практик и бизнес-процессов» [2, с. 4]. В документе сделана попытка систематизировать лучшие имеющие практики по созданию и внедрению в нефинансовые компании систем управления рисками, внутреннего контроля и внутреннего аудита.
Есть и документы более узкого применения. Так, регулирование управления техническими и производственными рисками представлено в той или иной степени в федеральном законе «О техническом регулировании» [7]. Характеристика раскрытия информации по кредитному, рыночному риску, риску ликвидности и анализу чувствительности предприятия к каждому виду рыночных рисков дана путем введения Приказом Минфина России от 27 июня 2016 г. [8] на территории Российской Федерации Международного стандарта финансовой отчетности (IFRS). Кроме того, Минфин России еще в 2012 году дал достаточно подробное пояснение по необходимому минимуму в отношении раскрытия информации о рисках хозяйственной деятельности организации в годовой бухгалтерской отчетности [9].
Однако только нормативно-правовыми актами и ненормативной официальной правовой информацией регулирование системы управления рисками в нефинансовых организациях не ограничивается. Риск-менеджмент весьма динамичен. Эффективность его функционирования во многом зависит от быстроты реакции на изменения условий риска, экономической ситуации, финансового состояния компании и т.д. Поэтому система управления рисками организации должна основываться на неких стандартных приемах идентификации, оценивания и управления риском, которые позволят менеджменту быстро найти оптимальный выход из ситуации риска.
В настоящее время в глобальном риск-менеджменте наиболее распространены стандарты FERMA, COSO и Международной организации по стандартизации (ISO), которые используются и в России [10].
Стандарт по управлению рисками FERMA был разработан в Британии Институтом риск-менеджмента (The Institute of Risk Management), Ассоциацией риск-менеджмента и страхования (The Association of Insurance and Risk Management) и Национальным форумом риск-менеджмента в общественном секторе (The National Forum for Risk Management in the Public Sector) и принят в 2002 г. [11]. Схема, заложенная в документе, служит основой для внедрения системы управления рисками. Этот стандарт содержит определение риска и риск-менеджмента, объяснение внутренних и внешних факторов риска, процессов риск-менеджмента, процедуры оценки рисков, методы и технологии анализа рисков, мероприятия по управлению рисками, а также обязанности риск-менеджера. Стандарт с 2002 года не претерпевал изменений.
COSO ERM создавался ведущими профессиональными бухгалтерскими ассоциациями и институтами США и компанией PriceWaterHouseCoopers по поручению Комитета спонсорских организаций Комиссии Тредуэя (COSO). В связи с появлением новых рисков и изменениях в методах управления рисками, в 2017 году документ был актуализирован [12]. Основной лейтмотив изменений направлен на переход с реактивного подхода, к проактивной деятельности при построении системы управления рисками. Подлежит обязательному использованию всеми публичными компаниями в США.
Однако наиболее распространенной методологией построения системы управления рисками в России является ISO 31000, созданная Международной организацией по стандартизации (ISO) и предлагающая универсальный инструмент разработки системы риск-менеджмента для любой компании. Этот стандарт включает в себя практики из стандартов COSO, PMI, AS/NZS 4360:2004. Основной концепцией стандарта является интегрированность риск-менеджмента в операционные процессы и процесс принятия решений. Именно этот документ лежит в основе системы национальных стандартов России по управлению рисками.
В России принято более двадцати национальных стандартов (ГОСТов), которые так или иначе имеют отношение к риск-менеджменту. Однако, на взгляд автора, группа национальных стандартов Российской Федерации, которые оказывают непосредственное влияние на построение именно системы управления рисками в нефинансовых компаниях относительно невелико. К ним можно отнести следующие документы:
1. ГОСТ Р 51897-2011/Руководство ИСО 73:2009 [13]. Этот стандарт содержит определения основных терминов в области менеджмента риска и идентичен международному документу ISO Guide 73:2009 «Risk management – Vocabulary – Guidelines for use in standards».
2. ГОСТ Р ИСО 31000-2019 [14]. Стандарт идентичен международному документу ISO 31000:2018 «Risk management – Guidelines» и устанавливает ряд принципов, структуру и процессы, которые целесообразно соблюдать, для того чтобы менеджмент риска был эффективным.
3. ГОСТ Р 58771-2019 [15]. Документ является руководством по выбору и применению технологий оценки риска, которые используются для оказания помощи и содействия в принятии решений в случаях неопределенности, предоставления информации о конкретных рисках и в рамках процесса управления рисками. Стандарт разработан с учетом основных нормативных положений международного документа IEC 31010:2019 «Risk management – Risk assessment techniques», дополненных с учетом российской практики управления рисками организаций.
Важным элементом во внедрении системы управления рисками организации является группа стандартов, формирующих представление об общих принципах, правилах построения и категорировании опасных событий и инцидентов для включения в реестр рисков организации [16, 17, 18]. Реестр рисков является одним из основных и общепринятых способов представления и хранения информации об опасных событиях и рисках.
Остальные стандарты Российской Федерации носят откровенно вспомогательный характер с точки зрения стратегического риск-менеджмента организации, носят относительно узкий, прикладной характер и могут быть использованы лишь локально для оценивания отдельных рисков и групп рисков.
По мнению специалистов российского Института стратегического анализа рисков (ИСАР), применение риск-менеджмента и поддержание его в соответствии со стандартами на базе ISO в российских условиях дает организации возможность [19, с. 35]:
- повышать вероятность достижения целей;
- поддерживать активный менеджмент;
- осознавать необходимость идентификации и воздействия на риски во всех структурах организации;
- улучшать идентификацию возможностей и угроз;
- отвечать соответствующим законодательным и другим обязательным требованиям, международным нормам;
- улучшать обязательную и управленческую отчетность;
- улучшать управление;
- укреплять доверие заинтересованных сторон;
- создавать надежный базис для принятия решений и планирования;
- совершенствовать управление;
- эффективно распределять и использовать ресурсы для воздействия на риск;
- повышать функциональную эффективность и результативность;
- повышать уровень обеспечения безопасности, здоровья, а также защиты окружающей среды;
- совершенствовать предотвращение потерь и менеджмент инцидентов;
- сводить к минимуму потери;
- улучшать обучение в организации;
- повышать устойчивость организации.
Заключение
Анализируя систему стандартов, относящихся к отечественному риск-менеджменту, трудно не согласиться с мнением современного российского исследователя М.О. Габриеляна, который отмечал, что «в России нет собственных стандартов риск-менеджмента. Все стандарты, которые применяются в управлении рисками международные» [20, с. 171]. Конечно, в реальности, такие стандарты не полностью соответствуют потребностям управления рисками отечественной компании. В связи с этим, внедрение риск-менеджмента по международным стандартам сталкивается, зачастую, с определенным сопротивлением, которое связано прежде всего с различием между культурами, традициями операционного управления и управления капиталом.
Кроме того, касаясь нефинансовых компаний в госсекторе, отметим, что у нас полностью отсутствует регулирование риск-менеджмента, например, в системе госзакупок, не учтены риск-факторы в выстраивании системы стратегического планирования госкомпаний, все остальные элементы которой довольно жестко регламентированы регуляторными органами. Хотя, для акционерных обществ с превалирующим государственным участием, эффективность деятельности которых определяется системой ключевых показателей эффективности и достижения целей программных мероприятий, закрепленных в стратегиях и долгосрочных программах развития этих компаний, важным является специально отмеченный в Рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах посыл о том, что «надлежащее функционирование каждого из компонентов управления рисками способствует повышению устойчивости организации, а именно, помогает выявлять не только факторы риска, но и изменения, которые могут оказать влияние на результаты деятельности организации, и определять необходимость внесения изменений в стратегию» [2, с. 8]. Отсюда, риск-менеджмент представлен в указанном документе в качестве одного из важнейших инструментов управления, влияющего на стратегическое развитие компании. Надеюсь, что усиление важности управления рисками в системе современного менеджмента получит дальнейшее развитие в регулировании.
Также общей проблемой всего нефинансового сектора можно считать отсутствие стандартов в сфере определения риск-аппетита компании и его использования в менеджменте. Надо отметить, что оригинальная методика расчета риск-аппетита компании с государственным участием с учетом показателей ее долгосрочной программы развития как в части достижения ключевых показателей эффективности, так и в части исполнения программных мероприятий была разработана и успешно внедрена автором [21].
В любом случае, необходимо отметить, что регулирование и стандартизация построения риск-менеджмента в отечественных компаниях нефинансового сектора далеко от идеала и требует не только доработки недостающих элементов регулирования, но и, зачастую, пересмотра некоторых принципов этого регулирования (например, в ряде случаев ГОСТы могли бы иметь не рекомендательный, а обязательный к исполнению характер).