Предупреждение: эта статья может сильно расстроить отдельных консервативных риск менеджеров.
Управление рисками в современных нефинансовых компаниях сильно отличается по сравнению с 5-летней давностью. Уровень зрелости управления рисками, это нужно признать, вырос очень значительно.
Поскольку все больше и больше компаний уделяют внимание управлению рисками, спрос на консультантов по управлению рисками также растет. К сожалению, не все риск-консультанты способны приносить пользу для своих клиентов, вот три причины почему:
A. Консультанты продают неправильный продукт
Многие нефинансовые компании хотят приобрести, а риск-консультанты продолжают им продавать услуги по выявлению и оценке рисков, внедрению системы управления рисками, оценке риск-аппетита, разработку положений о системе управления рисками или формирование профиля рисков компании. Что общего у всех этих продуктов? Будучи умышленно провокационным, скажу, что все эти продукты не имеют ничего общего с реальным управлением рисками и несут больше вреда, чем пользы.
Их объединяет то, что они все направлены на выявление, оценку и описание рисков, заставляя нас думать, что риски и способы их управления являются конечной целью процесса управления рисками. Это не так!
Со временем тенденция относиться к управлению рисками как к отдельному, автономному (некоторые решаются даже назвать его независимым) процессу управления рисками со своими входными данными (статистика, интервью, эксперты) и выходами (отчеты о рисках, матрицы рисков, реестры рисков) прочно закрепилась в нашем сознании. В России даже появился абсурдный термин – система управления рисками. Сформировалось целое поколение риск-консультантов, которые, кажется, совсем не в теме.
Действительно, иногда может быть полезным целенаправленно анализировать именно сами риски, но это должно быть скорее исключением, чем нормой.
И так, если управление рисками не про риски, то про что тогда?
Я уверен, что управление рисками направлено, в первую очередь, на изменение того, как компании принимают решения и функционируют с учетом рисков.
В современном управлении рисками вырисовываются две тенденциями:интегрирование в бизнес-процессы / принятие решений и необходимость учитывать особенности человеческой психологии. Тем не менее, мне часто кажется, что большинство российских риск-консультантов полностью игнорируют обе эти тенденции. Например:
- В корне неправильно оценивать уровень риска, когда вместо этого можно измерять воздействие, которое оказывает один или несколько рисков на ключевые задачи или бизнес-решения, например, бюджет@risk, срок@risk, прибыль@risk или ключевые показатели эффективности@risk.
- Я считаю, что любые попытки качественно оценивать риска, в том числе на основе экспертных мнений – это зло. Интересно, что на английском языке оригинал этой статьи прочитали более 6000 раз и этот пункт вызвал самую бурную дискуссию.
- Неправильно внедрять единый нормативный документ управления рисками (руководство, положение, процедуру), когда вместо этого можно интегрировать принципы и процедуры управления рисками во все уже действующие политики и процедуры компании, такие как положение о бюджетировании, положение о планировании, положение по закупкам, финансовую политику и так далее. Держу пари, этот пример расстроит многих из современных консультантов.
- Ошибка внедрять единый общекорпоративный подход (иногда называют ERM) для оценки различных видов рисков. Различные риски, различные типы решений и различные бизнес-процессы требуют собственных методологий оценки рисков, инструментов и критериев оценки.
Присоединяйтесь к обсуждению в группе G31000 на LinkedIn, посвященной ISO31000: 2009 https://www.linkedin.com/groups/1834592, чтобы узнать о других современных тенденциях в области управления рисками. Как не странно, многие риск-консультанты до сих пор не читали ISO31000:2009, самый популярный стандарт по управлению рисками в мире (официально переведен и принят в 65+ странах мира), и не знают об изменениях, над которыми сейчас работает Технический комитет ИСО 262.
Реальность такова, что большинство консультантов по управлению рисками продают совершенно неправильные продукты. Руководство и акционеров не интересуют риски, их интересует принятие решений, зарабатывание денег и достижение целевых показателей. Не удивительно, почему многие руководители попросту игнорируют управление рисками.
Самое смешное то, что корпоративные риск-менеджеры совершают те же самые ошибки. Им также приходится доказывать ценность управления рисками, но не все в состоянии сделать это, фокусируются на рисках (их зона комфорта) вместо бизнес-процессов или решений (зона интереса бизнеса).
B. Консультанты путают управление рисками с комплаенсом
Знаете ли вы, что в отличие от других международных стандартов ИСО, ISO31000:2009 не предназначен для целей сертификации организаций? Это было сознательное решение, принятое разработчиками из более чем 20 крупнейших стран мира. В новой версии стандарта этот пункт остается без изменений.
Управление рисками совершенно не черно-белое, каждая организация находит свой уникальный путь как интегрировать управление рисками в культуру и процессы организации. Оценить эффективность управления рисками очень непросто.
Многие консультанты совершают огромную ошибку, настаивая на единой версии правды. Регулирующие и государственные органы в России совершают еще большую ошибку, делая методические рекомендации по управлению рисками слишком узкими и настаивая на их исполнении. Так как, например, COSO:ERM в США, отвратительный по своей сути и форме документ, стал обязательным для компаний, размещенных на фондовой бирже США. Это был хороший трюк узкого круга Американских консалтинговых компаний, вы знаете их имена. Подробнее о новом COSO:ERM: https://www.linkedin.com/pulse/cosoerm-2017-review-alex-sidorenko-alexei-sidorenko-crmp
Безусловно, лучшим способом оценить эффективность управления рисками является использование модели зрелости управления рисками. Но имейте в виду, что большинство существующих моделей зрелости разработаны теми самыми консультантами, которые не о том, смотрите пункт А.
C. Нежелание видеть мелкие детали
Одна из уважаемых российских риск менеджеров, Анна Корбут, как-то сказала – “Управление рисками это очень интимный процесс”. Мне понравилась эта фраза, которую я использую до сих пор. Управление рисками действительно является интимным и уникальным. Я проработал в области управления рисками более 13 лет в 4-х различных странах, и увидел около 300 разных примеров управления рисками и тем не менее каждый из них был уникален по-своему.
К сожалению, многие консультанты не копают достаточно глубоко, чтобы увидеть, как управление рисками действительно внедряется в организационные процессы и в общую культуру организации.
Управление рисками идет вразрез с человеческой природой (см. исследования Д.Канемана и A.Тверски), поэтому в большинстве случаев риск-менеджеры пользуются методами, которые граничат с нейролингвистическим программированием или созданием сети агентов влияния, как в лучших шпионских драмах.
В итоге, если специально не спросить, то большинство риск менеджеров никогда не раскроют секрет, как именно они развивают культуру управления рисками или как интегрируют анализ рисков в бизнес-процессы. В ISO31000:2009 управление рисками определяется как скоординированные действия по управлению организацией с учетом риска [Руководство ИСО 73:2009, определение 2.1]. Управление рисками состоит из 1000 мелочей, которыми занимаются риск-менеджеры на ежедневной основе, большинство из которых напрямую не имеют никакого отношения к формальному управлению рисками. Тем не менее, это те мелочи, которые помогают развивать культуру управления рисками в организации. К сожалению, большинство риск-консультантов быстро переходят к выводам и не утруждаются копнуть достаточно глубоко, чтобы увидеть самые интересные нюансы.
Управление рисками в каждой компании уникально, и это задача риск-консультанта, если уж его наняли, выяснить, как все эти процессы складываются во едино, чтобы сделать организацию риск-ориентированной.
P.S. Если ваш консультант демонстрирует любые из вышеперечисленных признаков, пришло время с ним об этом поговорить.
P.S.S. Пожалуйста, поделитесь своими мыслями в комментариях ниже.