Мировой риск менеджмент меняется

Мировой риск менеджмент меняется, смогут ли российские профессионалы адаптироваться?

Прошло семь лет с момента, когда я впервые задал этот вопрос на риск-завтраке, организованный вскоре после моего переезда из Сиднея в Москву. Мне кажется прошло достаточно времени, чтобы подводить итоги. И они, к сожалению, неутешительные. Смогут ли российские риск менеджеры адаптироваться? Не смогли. Уже не смогли. Большинство риск менеджеров российских нефинансовых компаний не смогли или не захотели менять сложившиеся подходы и отходить от классических инструментов управления рисками.

Российскому бизнесу в плане управления рисками не очень повезло. С 2004 по 2009 год в мире параллельно развивались два течения теории управления рисками, американское и австралийское. В этот промежуток времени некоторые крупные российские компании как раз размещались на американской фондовой бирже и на рынке России активно работали международные консультанты, поэтому, наверное, не удивительно, что именно американская школа риск менеджмента стала для России основной. В мире же управление рисками развивалось совершенно по иному вектору. В ноябре 2009 года, после нескольких лет работы, более 20 крупнейших стран мира, включая США, выбрали австралийский стандарт как эталон оптимальной модели управления рисками. В России стандарт был локализован как ГОСТ Р ИСО 31000 в 2010 году. К сожалению, этот факт остался незамеченным многими российскими риск менеджерами.

Человеку новому в профессии или риск менеджеру, не обладающему достаточным опытом, может показаться, что цель управления рисками это своевременное выявление, оценка и управление рисками. Это не так. На самом же деле управление рисками направлено не на управление этими самыми рисками, а на принятие управленческих решений с учетом рисков. Это не просто игра слов, а кардинально отличные подходы, инструменты и компетенции.

Выявление, анализ рисков и их митигация не самоцель, не конечный результат, не самостоятельный процесс, а промежуточный этап в процессе принятия бизнес решений на любом из уровней организации.

Это, пожалуй, сама важная мысль, которую пытаются донести авторы в новой редакции ISO31000. О том, что фокус управления рисками смещается в сторону риск-ориентированного управления всей организацией, говорят представители всех крупнейших стран, участвующих в актуализации ISO 31000. Интервью со многими из них есть на официальном YouTube канале Риск-академии и на официальном сайте ISO TC 262. Первыми весточками уже стали стандарты ISO9001 и ISO14001, обновленные версии которых вышли осенью 2015 года. Уверен, многие обратили внимание, что там нет ни слова про управление рисками, выявлении, оценке и митигации рисков, наоборот речь идет о риск-ориентированном управлении и мышлении.

При этом, я человек прагматичный и отдаю себе отчет, что эта мысль все равно будет неверно интерпретирована 80% читателей. Вот уже более пяти лет я повторяю одно и тоже, доказываю своими собственными внедрениями и лишь единицы прислушиваются, из них еще меньше что-то действительно меняют в организациях, где они работают.

Поэтому предлагаю всем читателям пройти короткий тест:

  • Результатом работы по управлению рисками в вашей компании являются карта, реестр, паспорта или отчет о рисках?
  • Выявление и анализ рисков проводятся с заданной периодичностью (ежегодно, каждые 6 месяцев, ежеквартально или раз в месяц)?
  • Для наиболее существенных рисков закрепляются владельцы рисков и разрабатываются мероприятия по управлению рисками?
  • Аппетит к риску формируется риск менеджером и утверждается генеральным директором / советом директоров?
  • В организации разработано и утверждено Положение о системе управления рисками или Регламент системы управления рисками?
  • Для анализа рисков используются качественные или квази-количественные (бальные шкалы, оценки вероятности или денежного ущерба, основанные на субъективных экспертных оценках) методы оценки?
  • Риск менеджер выполняет роль фасилитатора, координатора и методолога, не принимая участия в непосредственном принятии решений?

Если вы ответили да хоть на один вопрос, скорее всего то, что вы делаете имеет очень отдаленное отношение к реальному управлению рисками.

Сегодня, процесс управления рисками формально существует во многих крупных и средних российских компаниях. Классический процесс риск менеджмента зачастую сводится к тому, что риск-менеджер на регулярной основе проводит выявление и оценку рисков или, еще хуже посылает требование провести их в филиалы или дочерние компании, на основании собранной информации формирует реестры, карты, паспорта рисков, участвует в определении ответственных владельцев и разработке необходимых мероприятий по управлению рисками.

Основная проблема такого подхода заключается в оторванности от бизнеса и принимаемых руководством решений, которые происходят каждый день, а не раз в месяц или квартал. В лучшем случае подобный процесс управления рисками коллеги воспринимают как обязательную формальность, которую необходимо выполнять, в худшем – этот процесс игнорируется. Ни в первом, ни во втором случае информация о рисках, собираемая риск-менеджером, не отражает реального состояния дел.

Несмотря на подробное описание принципов управления рисками, инфраструктуры и процесса управления рисками в ГОСТ Р ИСО 31000:2010, многие риск-менеджеры продолжают игнорировать этот международный стандарт. Вот, например, один из принципов гласит «Риск-менеджмент не является обособленной деятельностью, которая отделена от основной деятельности и процессов в организации. Риск-менеджмент – это часть обязательств руководства и неотъемлемая часть всех организационных процессов, включая стратегическое планирование и все процессы управления проектами и изменениями». Вырисовывается явная необходимость сместить фокус с выявления, оценки и управления рисками на оценку бизнес решений и целей компании с учетом рисков. В будущем риски перестанут быть предметом анализа, а анализ рисков станет не результатом, а инструментом принятия решений.

Давайте меняться вместе. Задача современного риск-менеджера помочь менеджменту выстроить процессы принятия ключевых решений таким образом, чтобы риски, связанные с принимаемыми решениями, могли своевременно оцениваться и учитываться руководством.

Для этого риск менеджер должен обладать необходимыми компетенциями, участвовать в ключевых бизнес решениях, предоставлять проактивную и независимую оценку рисков, что просто невозможно без современных инструментов и новых навыков:

А. Современные инструменты оценки рисков

Привычные результаты качественной оценки рисков уже давно не удовлетворяют запросы руководства. От риск менеджера ждут структурированного, прозрачного и независимого анализа рисков принимаемых решений, а также рекомендации в отношении повышения эффективности этих самых решений. К сожалению, на текущий момент ни один из привычных способов экспертной или качественной оценки рисков не позволяет добиться необходимого уровня детализации, а главное, оценить влияние неопределённости на достижение целей компании или принимаемое решение.

Риск менеджерам необходимо развивать собственные навыки использования количественных методов оценки рисков, таких как имитационное моделирование, деревья решений, сценарный анализ, анализ чувствительности и скоринговые модели. Существует огромное заблуждение, что для этого у многих организаций недостаточно данных. Это попросту не соответствует действительности. Все эти инструменты уже много лет активно применяются западными компаниями и, что очень радует, некоторыми российскими компаниями.

Б. Новые компетенции для риск менеджеров

Современные риск менеджеры должны обладать не только базовыми компетенциями по управлению рисками, знанием международного стандарта ГОСТ Р ИСО 31000:2010 или навыками количественной оценки рисков, но и быть хорошими психологами, уметь бороться с ментальными ловушками при принятии решений, а самое главное, иметь отраслевые знания. Так, например, риск-менеджер в инвестиционном бизнесе должен хорошо разбираться в ключевых инвестиционных процессах и особенностях отрасли венчурных и прямых инвестиций, а риск-менеджер в производственной компании должен иметь инженерное образование.

Еще одна задача современного риск-менеджера поменять то, как сотрудники и руководители компании думают о рисках и относятся к неопределённости в процессе принятия решений.

При внедрении принципов управления рисками в корпоративную культуру организации, особое внимание стоит уделять индивидуальными особенностями человеческого разума. Одними из ярких работ, повлиявших на путь развития современной экономической теории, являются работы Даниэля Канемана и Вернона Смита, получивших Нобелевскую премию по экономике 2002 года «за применение психологической методики в экономической науке, в особенности – при исследовании формирования суждений и принятия решений в условиях неопределенности».  Ключевым результатом этой работы стало появление проблематики под названием ментальные ловушки. Ментальные ловушки это – систематические ошибки человеческого мозга, приводящие к неправильной интерпретации ситуации и, как следствие, неправильному принятию решения. На текущий момент, выявлено более 200 таких ментальных ловушек, многие из которых мешают руководителям видеть риски в процессе принятия решений, их адекватно оценивать и учитывать. Именно поэтому организациям необходимо системно встраивать инструменты управления рисками в ключевые бизнес процессы.

В. Внедрение в различные процессы, а не корпоративные системы управления рисками

Возможно будущее риск менеджмента также кроется в том, что не должно быть единого подхода, так называемого Enterprise Risk Management (ERM), вместо этого в каждом процессе и для каждого типа решений могут быть свои методики оценки влияния рисков, со своими критериями и инструментарием. Для каких-то решений могут использоваться деревья решений или простые сценарии (инвестиционные решения), для других может применяться имитационное моделирование (бюджетирование и стратегическое планирование) или скоринговые модели разных уровней сложности (закупки и работа с подрядчиками и поставщиками).

В будущем сам по себе риск менеджмент будет рассматриваться не как самостоятельная профессия, а как управленческий инструментарий. При этом компетенции по управлению рисками станут обязательными для финансистов и производственников, а роль самих риск менеджеров изменится.

Оригинал статьи опубликован в журнале Business Excellence 

Подписаться на журнал http://www.ria-stk.ru/subscribe_on_site/new/

One thought on “Мировой риск менеджмент меняется

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.