RISK-ACADEMY Blog

После более 5 лет работы и обработки нескольких тысяч комментариев, полученных от представителей 54 стран и множественных профессиональных ассоциаций, обновленный стандарт ISO31000 проходит последний этап согласования и, с высокой долей вероятности, будет опубликован в начале 2018 года.

В этой статье мы попросили высказаться ведущих риск менеджеров России на тему того, что меняется в новой версии стандарта, готовы ли российские компании и что необходимо предпринять для того, чтобы соответствовать ГОСТ Р ИСО31000:2018.

Немного о том, где мы сейчас в плане управления рисками

В 2015-2017 годах в рамках научно-исследовательской работы, проведенной экспертами Автономной Некоммерческой Организацией Дополнительного Профессионального Образования «Институт стратегического анализа рисков управленческих решений» (АНО ДПО «ИСАР») совместно с Комиссией по профессиональным стандартам и сертификации по риск-менеджменту в нефинансовом секторе ГИФА и информационным порталом www.risk-academy.ru, было сделано несколько интересных наблюдений о риск-ориентированном управлении в России:

А. Подход государства к управлению рисками сильно отличается от западных стран

Анализ практики управления рисками в государственных и частных структурах в развитых странах показал, что страны, которые делают упор на интеграции управления рисками в процессы принятия решений и культуру организации, достигли более высокого уровня зрелости в области управления рисками. Подобный подход подразумевает полноценную интеграцию управления рисками в процессы планирования, бюджетирования, систему мотивации и оценку эффективности деятельности организации, что отличается от классического для России подхода с созданием системы управления рисками и отдельно-стоящего самостоятельного процесса управления рисками.

Российская нормативная база в области управления рисками находится в достаточно незрелом состоянии по сравнению с развитыми странами. Несмотря на то, что различные государственные структуры активно развивают тематику управления рисками (Росимущество, Министерство Экономического Развития, ведомства, которые сейчас внедряют «риск-ориентированный» надзор), в некоторых случаях эта работа никак не синхронизирована с требованиями и принципами ГОСТ Р ИСО 31000, а часто прямо противоречит положениям международного стандарта. Это существенное отличие от западной практики, где ISO 31000 является основополагающим документом по управлению рисками для всех государственных ведомств и структур, а также частных организаций.

Существующая Российская нормативная база, включая профессиональный стандарт «Специалист в области управления рисками», нацелены на идентификацию и разработку мер воздействия на отдельные риски, а не на интеграцию управления рисками в общую систему управления, как того требует ГОСТ Р ИСО 31000. Это существенный недостаток.

Б. Развитие управление рисками в организациях очень сильно зависит от персональных предпочтений риск менеджера или аудитора

Неудивительно, что при отсутствие внятной единой политики государства в отношении управления рисками, в большинстве компаний реального сектора, риск менеджеры сами интерпретируют и внедряют положения стандарта ГОСТ Р ИСО 31000.

Многие опытные риск менеджеры используют эту возможность для внедрения современных инструментов имитационного моделирования, развития культуры управления рисками и встраивания в процессы и бизнес решения. Вот некоторые позитивные примеры управления организацией с учетом рисков:

• Изменение процесса стратегического планирования с учетом рисков – применение инструментов имитационного моделирования для тестирования вероятности достижения стратегических показателей, их целевых значений, их реалистичность и достижимость. В отдельных случаях руководство компании или члены совета директоров могут запросить углубленный анализ отдельных существенных рисков. Один из риск-менеджеров, которых мы опрашивали, рассказал о ситуации, когда риск ликвидности был особенно критичен для компании. Командой риск-менеджеров была подготовлена презентация специально по оценке риска ликвидности и влияния ликвидности на стратегию компании для презентации на стратегической сессии компании.
• Изменения процесса принятия инвестиционных решений – применение имитационного моделирования позволяет не только определить диапазон стоимости проекта и ожидаемой доходности, но и наиболее существенные допущения, сделанные менеджментом, которые влияют на ключевые показатели проекта.
• Изменение процесса бюджетирования с учетом рисков – замена, ограниченных по своим возможностям, инструментов анализа чувствительности и сценарного анализа на боле зрелые, такие как имитационное моделирование. Как показывает практика одной российской компании, наибольших результатов можно добиться в случае формирования бюджетных сценариев совместно с риск-менеджером. Обычно результатом риск-ориентированного бюджетирования становятся не фиксированные значения ключевых показателей, а их распределение, а также перечень наиболее критичных с точки зрения ликвидности факторов / рисков. После выявления и оценки ключевых рисков на основе бюджетной модели компании могут разрабатываться мероприятия по их нивелированию для включения их в бюджет на будущий период. Анализ бюджетных рисков также может привести к изменению стратегии и целевых показателей компании, в случае если уровень первоначальных рисков окажется не приемлемым.
• Изменение процессов оценки эффективности – оценка эффективности управления рисками может интегрироваться как в оценку личной эффективности менеджмента, так и в оценку корпоративной эффективности организации. Один из примеров, который привел опрошенный нами риск-менеджер, подразумевает использование прогрессивной шкалы для корпоративных ключевых показателей эффективности (КПЭ). В данном примере для оценки эффективности по итогам периода используется не точечное значение КПЭ, а диапазон отклонений от целевого (планового) показателя с учетом рисков. Для основных КПЭ также могут устанавливаться триггеры и ключевые индикаторы рисков для мониторинга возможного отклонения. Дополнительные КПЭ менеджмента могут включать контроль выполнения процедур анализа рисками принимаемых решений, а также оценку эффективности управления рисками по итогам проверок внутреннего аудита.

Другие наоборот выбирают или вынуждены выбирать самые простые и, зачастую неэффективные, инструменты качественной оценки рисков. Во многих компаниях управление рисками не рассматривается, как инструмент принятия решений (что является, пожалуй, лучшей практикой), а наоборот считается отдельной самостоятельной системой (такой подход противоречит принципам ГОСТ Р ИСО31000). Есть и по-настоящему печальные случаи, когда риск менеджер пытается внедрять инструменты управления рисками в процессы принятия решений, а внутренний аудит настаивает на абсолютно неэффективных практиках ведения реестра рисков, определения владельцев рисков или формирования ежеквартальной отчетности о рисках.

Очень надеемся, что дальнейшее развитие национальной сертификации по управлению рисками, синхронизация профессионального стандарта «Специалиста по управлению рисками» с ГОСТ Р ИСО 31000 и налаживание диалога между профессиональными сообществами по управлению рисками и по внутреннему аудиту позволят наделить российских риск менеджеров необходимыми инструментами для встраивания в процессы принятия решений.

Что меняется в самом распространённом стандарте по управлению рисками в мире и что делать российским компаниям?

Фундаментально, ничего не меняется. От части это связано с тем, что все правильные мысли были изначально заложены в первую версию стандарта, опубликованную в 2009 году. От части и с тем, что рабочая группа ISO TC262, ответственная за обновление стандарта, оказалась намного консервативнее, чем многим из нас хотелось.

Означает ли это, что можно ничего не делать и современный риск менеджмент в России уже соответствует новым требованиям ISO31000? Боюсь, это не совсем так. Результаты последнего исследования уровня зрелости управления рисками, проведенного компанией Делойт, АНО ДПО «ИСАР» и порталом www.risk-academy.ru, говорят о том, что лишь 18% опрощённых компаний оценивают текущий уровень зрелости как высокий. В 88% компаниях респондентах отсутствует полноценная интеграция управления рисками и стратегического планирования. 72% опрошенных говорят о том, что действующая в компании система целеполагания и оценки эффективности не связана напрямую с управлением рисками. В 84% опрошенных компаний управление рисками не имеет системной интеграции с процессами принятия решений.

Реалии таковы, что, несмотря на то, что стандарт в версии 2018 в целом похож на стандарт версии 2009, большинство российских компаний реального сектора на данный момент не соответствуют. Стандарт станет на 10 страниц короче, он станет более емким и ключевые принципы интеграции станут еще более очевидными. Продолжать внедрять искусственные системы управления рисками или интерпретировать стандарт иначе, чем задумывали авторы, станет намного сложнее.

Вот три ключевые мысли, которые теперь повторяются в стандарте практически на каждой странице, подчеркивая важность их осознания:

• Управление рисками не является отдельным самостоятельным процессов или системой, а инструментов, встраиваемым в бизнес процессы организации и используемым в рамках принятия ключевых решений. Выявление и анализ рисков должны осуществляться не с заданной периодичностью в течение года (ежеквартально, раз в месяц или неделю), а в момент принятия решений.
• Вместо единого процесса управления рисками (единого регламента управления рисками, единой шкалы оценки или единой методологии), процессов по управлению рисками должно быть множество, разные процессы (разные критерии оценки, разные методологии, разные инструменты, разные классификаторы рисков) должны использоваться в рамках принятия различных решений или осуществления деятельности организации.
• Качество анализа и управления рисками очень сильно зависит от человеческого фактора и поэтому риск менеджеры должны учитывать при разработке методологий, при встраивании в ключевые процессы и при работе с экспертами особенности человеческой психологии и восприятия рисков (risk perception), а также исследования в области нейроэкономики и ментальных ловушек.

Вы найдете более 15 практических рекомендаций, как выстроить управление организацией с учетом рисков в соответствие с принципами ISO31000:2018 в нашей бесплатной книге по управлению рисками https://www.risk-academy.ru/download/risk-management-book/

RISK-ACADEMY offers online courses

+

+

+