Внедрение ESG. STEEPLED-анализ и картографирование ESG-рисков

В этой статье описан подход, который вы можете использовать для идентификации ESG-рисков и составления карты климатических рисков и возможностей по TCFD. В результате вы будете понимать, как идентифицировать и ранжировать риски используя подходы, описанные в стандарте ISO 31000 с учетом требований TCFD и CDP. Однако, обратите внимание, что статья написана на основе работы, проделанной для конкретного заказчика с учетом именно его особенностей.

В самой основе предпринимательской деятельности лежит риск того, что что-то пойдет не так, что произойдет одно или несколько событий, которые негативно отразятся на деятельности предприятия или её отдельных аспектах. Поэтому риск-менеджмент в той или иной форме существует в каждой компании, а в крупном бизнесе им занимаются специальные подразделения. Оценка рисков – это достаточно часто обсуждаемая тема и вы без труда найдете массу материалов для ее изучения.

Хорошей практикой будет использование для управления рисками подхода, применяемого ISO 31000 «Менеджмент рисков» и IEC 31010 «Методы оценки рисков». Хотя по этим стандартам не проводится сторонний аудит и сертификация, их применение позволит вашим заинтересованным сторонам (стейкхолдерам) лучше понимать процесс вашего риск-менеджмента и увеличит оценку прозрачности вашего бизнеса.

ISO 31000:2018 ”Risk management – Guidelines” («Менеджмент риска — Руководства»), описывает принципы и процесс управления рисками, который строится в таком порядке: определяется контекст, в котором работает организация, границы и критерии оценки. После проведения оценки рисков, следует их обработка, построение коммуникации, составление документации и отчетности. Заканчивается всё мониторингом и регулярным пересмотром.

Стандарт IEC 31010:2019 – это, фактически, справочник по техникам оценки: в нем их 41, и к каждой дано пояснение, указан способ применения, а для некоторых техник даже приведены практические примеры использования. Интересно, что в редакции стандарта от 2009 года описывалась 31 методика. Многие из них предназначены для специфических задач, вроде отказов сложной техники, технологических аварий и пищевой безопасности, но и для общих случаев что-то найдется.

В этой статье мы раскроем вам один из технических подходов для оценки ESG-рисков, которая, согласно ISO 31000, состоит из их идентификации, анализа и оценки опасности.

Что говорят ESG-стандарты

Современные ESG-стандарты сфокусированы на описании принципов и регламентации состава отчетности. Вы не найдете в них ни требований, ни четких рекомендаций к организации риск-менеджмента. Их нет даже в фокусирующихся на климатических рисках рекомендациях TCFD.

Однако, надо обратить внимание на то, что все они предусматривают учет в процессе риск-менеджмента мнения заинтересованных сторон. О том, что это за стороны и как их определить смотрите нашу специальную статью.

Эта статья претендует на роль прикладного материала, поэтому перечислю основные требования стандартов. Начну с самого обширного – Global Reporting Initiative (GRI):

Кроме того, при раскрытии таких тем, как энергопотребление, водопользование, влияние на биоразнообразие, выбросы парниковых газов, безопасности труда, свободы участия в профсоюзах, наличия детского труда и рабства в цепочках поставок, влияния на местные сообщества, безопасности продукции и сервиса также предполагается раскрытие связанных с темой рисков.

GRI дает простые рекомендации по классификации климатических рисков (201-2) на основе классификации CDP, о которой поговорим ниже. Налоговые риски (207-2) GRI делит на комплаенс-риски, риски спорных налоговых вопросов, изменения законодательства и агрессивных налоговых практик компании.

Важную роль рисков для раскрытия информации о компании подчеркивает и стандарт Integrated Reporting (IR). Им посвящена целая глава 4D. В пункте 4.24 вы найдете требование по подробному раскрытию рисков и их влиянию на кратко-, средне- и долгосрочной перспективе. Риски рассматриваются и в главах Бизнес-модель (4С), Стратегия (4E) и Взгляд на будущее (4G). Кроме того, IR увязывает с рисками выбор показателей эффективности и определение границ отчетности.

Стандарты SASB вопросы рисков напрямую не затрагивают.

При раскрытии рисков нельзя забывать о стандарте TCFD (Task Force for Climate-related Disclosures). В своих рекомендациях он фокусируется только на климатических рисках, но последнее время они все чаще вытесняющих из нашего внимания остальные вопросы устойчивого развития. TCFD рекомендует рассматривать риски, группируя их по категориям:

1. Переходные

a.       Политические и Законодательные

b.       Технологические

c.       Рыночные

d.       Репутационные

2. Физические

a.       Острые

b.       Хронические

Интересно, что руководство по отчетности CDP (Carbon Disclosure Project), построенное на базе стандарта TCFD, предусматривает чуть иную группировку:

1. Текущее регулирование
2. Формирующееся регулирование
3. Технологии
4. Законодательство
5. Рынок
6. Репутация
7. Острые физические риски
8. Хронические физические риски

И TCFD, и CDP даже дают примеры некоторых рисков и их финансовых последствий. Я приведу их в отдельной публикации.

Так как темы изменения климата и снижения углеродного следа до крайности политизированы и становятся основным драйвером продвижения ESG-повестки в нашей стране, есть смысл обратить серьезное внимание на последние два стандарта, но не забывать о существовании остальных. Устойчивое развитие и ESG гораздо шире, чем вопрос углеродной нейтральности.

В какой мере учитывать рекомендации CDP/TCFD зависит от специфики вашего бизнеса. В описанном ниже подходе они учтены внутри категорий, но вы можете сделать их ключевыми в группировке и классификации.

UPD.07/02/22:

Опубликованный «черновик» европейского стандарта ESRS E1 «Изменения климата» использует классификацию TCFD (пункты AG90, AG102). Оттуда взяты даже примеры рисков и их финансовых последствий. Публикация окончательной версии должна произойти в середине 2022 года. То есть, если вы «нацелены» на европейский рынок или имеете там дочерние компании, подход TCFD становится обязательным.

Кроме того, в течение нескольких недель ожидается публикация стандартов ESRS 4, посвященный материальности, рискам и возможностям и ESRS G1, который будет затрагивать вопросы риск-менеджмента. Вероятно, их положения надо будет учесть. Как только появятся тексты – я обновлю статью.

Подготовка к идентификации рисков

Итак, вернемся к ISO 31000, который разделяет оценку рисков на три этапа: идентификацию, анализ и оценку опасности. Начнем с идентификации.

Звучит немного пафосно, но ответственность за управление рисками лежит на каждом сотруднике организации – будь то руководитель проекта, менеджер по устойчивому развитию, инвестиционный аналитик или менеджер по закупкам – каждый несет ответственность за выявление рисков. Их вовлечение – задача системы ERM (риск-менеджмента) компании.

В нашем подходе мы используем сочетание методики «мозгового штурма» и метода Делфи с контрольными листами. Для составления листов мы обычно используем слегка модернизированные с учетом требований TCFD схемы STEEPLED или PESTEL. В обоих случаях на последнее место мы ставим М – Market. Получается STEEPLEM или PESTEM. Но это, пожалуй, самая специфическая часть работы, которую вам надо сделать с оглядкой на именно ваши традиции и бизнес-процессы. Способов классификации рисков – великое множество. Так, например, если у вас кредитная организация, точно имеет смысл выделить группы кредитных рисков и рисков, связанных с ликвидностью. Если у вас небольшая компания – есть смысл взять за базу классификацию TCFD. Если вас всего 50 человек, есть смысл привлечь к процессу всех сотрудников без исключения. Импровизируйте!

Сокращение STEEPLEМ изначально задает классификацию рисков по типам: Социальные, Технологические, Экономические, Экологические, Политические, Законодательные, Этические, Рыночные. Этот вариант был выбран потому, что наиболее полно охватывает повестку ESG и на его основе удобно подготовить контрольные листы, которые понадобятся при мозговом штурме. Листы с заданными категориями, направлением и ключевыми словами сделают более эффективным творческий процесс размышления во время составления списка рисков. Контрольные листы не должны содержать заранее определенный список рисков, даже основных из них.

Пример списка по категориям:

Для того, чтобы сделать такие заготовки, вам понадобится определить ответственного, главного по рискам. Назовем его Риск-менеджер. Это один из важнейших шагов, для которых нет однозначного решения. От правильности выбора во многом зависит конечный результат. Важность вопроса предполагает, что действия должны координироваться высшим органом управления компании. Выбор ответственного, наделение его полномочиями и выделение ресурсов – шаги, без которых ничего не сдвинется с места.

Первоначальной задачей риск-менеджера будет кастомизация и подготовка процесса картографирования рисков. Выбор и уточнение методик и подходов.

Кроме того, стоит обратить внимание на формирование «экспертных» групп. Желательно заранее продумать их состав для того, чтобы уменьшить влияние факторов предвзятости мышления, которые могут серьезно снизить результат работы:

Создание списка. Собрание и мозговой штурм.

Приступая к идентификации рисков, надо помнить, что их определение и описание – крайне важный и ответственный процесс, который требует участия широкого круга специалистов в разных областях. Риски весьма разнообразны, могут возникать по всей цепочке создания стоимости, возникать внутри и приходить извне, иметь узкую, понятную лишь специалистам, специфику. Наиболее подходящим способом взаимодействия такого разнообразия специалистов можно назвать мозговой штурм. На нем необходимо собрать менеджеров высшего и среднего звена, экспертов и ключевых сотрудников, обладающих важными для бизнеса компетенциями. Для упрощения взаимодействия между менеджерами разных уровней не всегда дружелюбно настроенных друг к другу, есть смысл частично использовать метод Делфи. Это экспертный подход, при котором мнения выражаются индивидуально и анонимно, знакомясь в ходе процесса с мнениями других экспертов. Для этого нашу большую команду мы сначала поделим на группы.

Кроме того, разбивая людей на группы мы можем снизить влияние факторов предвзятости, упомянутых выше.

Перед началом работы необходимо выбрать ответственных за ведение списка рисков по каждой категории. Они станут его модераторами.

Далее потребуется разделить участников на группы, по 3-6 человек. Желательно чтобы групп было столько же, сколько и модераторов. Простой подсчет показывает, что для этого должно быть не менее 32 участников. Если у вас меньше – можно выбрать другое разделение рисков по категориям либо объединить некоторые категории вместе, так чтобы получилось требуемое деление по командам. Если вас набирается больше 80 человек, есть смысл изменить схему работы, так как группы станут слишком большими для эффективного вовлечения каждого участника.

В процессе работы над списком, модератор записывает идеи, озвученные в группе. Через какое-то время модераторы переходят в другую группу участников и это повторяется до тех пор, пока каждая группа не поработает над каждым списком.

Задача модератора здесь – записывать идеи участников, стараясь не допускать повторений. Он не должен отвергать предложенные идеи и что-либо вычеркивать, но, при этом, стремиться сфокусировать работу исходя их тематики риска. При этом необходимо помнить, что деление рисков на любые категории весьма условно.

По окончании этого этапа, каждый элемент каждого списка открыто обсуждается всеми участниками. Риски заносятся в общий реестр (пример см.ниже). При этом обязательно оцениваются горизонт возникновения, вероятность, сила, масштаб, продолжительность, периодичность каждого риска. По каждому риску определяется ответственное лицо, отвечающее за дальнейшую проработку деталей, более точную оценку параметров и действий, необходимых для управления соответствующим риском.

Последнее, что необходимо обязательно сделать на этой встрече – установить срок проведения следующей, на которой риски будут рассмотрены с учетом деталей, проработанных ответственными сотрудниками.

Что дальше?

На основе собранных на общей встрече материалов Риск-менеджер создаст первоначальный ранжированный реестр рисков. Риски с наиболее высоким рангом должны быть обработаны в первую очередь.

По каждому риску создается учетная карточка, в которой помимо уже указанной в реестре информации необходимо описать способы управления риском и планируемые действия с указанием сроков исполнения и ответственных сотрудников. Первоначальные предложения в этой области дают сотрудники, назначенные ответственными за ведение риска на нашем первом собрании.

Если рисков много, хорошим методом визуализации и стандартизации управления будет составление матрицы рисков по любой комбинации уже оцененных параметров.

Дальнейшее обсуждение лучше вести в разрезе каждого риска отдельно, следуя в порядке уменьшения их ранга. Это можно делать как на очном собрании, так и на основе электронных документов. По результатам обсуждения актуализируется первоначальный реестр, выбираются варианты воздействия на каждый из рисков, методы и планы действий по управлению, назначаются сроки и ответственные за исполнение.

И, конечно же, помните, что для начала активных действий не надо ждать полной обработки всех карточек рисков.

В идеале ESG риск-менеджмент должен быть органично включен в общую систему риск-менеджмента компании, должны быть рассмотрены различные климатические сценарии для физических и переходных климатических рисков, разработан план адаптации к климатическим рискам. В дальнейшем надо регулярно проводить стресс-тесты на изменение рисков, ввести систему KPI и финансовой мотивации, связанную с рисками, не забывать об обучении сотрудников.

Что еще изучить по управлению рисками

Помимо ISO 31000 существует еще несколько признанных руководств и стандартов по управлению рисками:

• COSO Enterprise Risk Management - Integrating with Strategy and Performance;
• COSO Applying Enterprise Risk Management to Environmental, Social and Governance-related Risks;
• BS 31100 Code of Practice for Risk Management;
• FERMA A Risk Management Standard;
• OCEG Red Book 2.0 (GRC Capability Model).

Эти документы на русском языке мне не встречались, но руководства COSO действительно стоят того, чтобы их изучить.

Выбор конкретного руководства – это не панацея от проблем и, скорее, дело вкуса. Что действительно важно, так это полностью вовлеченный совет директоров, заинтересованный генеральный директор, отработанный подход к интеграции управления рисками с основными процессами управления, открытая и прозрачная культура управления рисками, сбалансированная структура вознаграждения, а также воля и дисциплина, когда предупреждающие знаки очевидны.

Надеюсь, этот материал помог вам разобраться в теме и на его основе вы создадите свой собственный подход, учитывающий особенности именно вашего бизнеса.

Если будут вопросы – спрашивайте. Наши сотрудники помогут вам на любом этапе и в любом объеме – от проведения всей процедуры и составления документации до простых советов и разъяснений.

Вместе с коллегами мы подготовили однодневную бизнес-игру, которая поможет вам освоить описанную в статье методику. Мы всегда готовы помочь!

Ищите нас на:

https://t.me/esgtransformation - лента ESG-новостей - ежедневно, всё, что важно

https://teletype.in/@esg_online – мой основной блог по практике ESG

https://esg-online.livejournal.com/ – зеркало на ЖЖ для любителей олдскула

https://t.me/esg_online - канал уведомлений о публикациях

https://zen.yandex.ru/id/61f10c4c5a5b0426942eed96 - канал уведомлений о публикациях

http://esg-online.ru/ - когда-нибудь здесь будет удобный справочник