RISK-ACADEMY Blog

Риск-менеджмент не является обособленной деятельностью, которая отделена от основной деятельности и процессов в организации. Так гласит один из принципов международного стандарта серии ISO 31000. О том, почему в России и в мире так мало компаний следуют этому постулату, а также о том, что необходимо сделать, чтобы преломить сложившуюся ситуацию, рассказывают руководители Института стратегического анализа рисков (ИСАР).

Любовь ФРОЛОВА, к.э.н., CT31000, CRMP, C31000, директор АНО ДПО «ИСАР», начальник отдела управления рисками АО «Технодинамика»

Одной из важных компетенций риск-менеджера среди прочих, не менее важных, является умение развить культуру управления рисками в компании, а одной из составляющих здесь является обучение. Риск-менеджер — не тот, кто управляет рисками в процессах организации (этим должны заниматься руководители и даже рядовые сотрудники), а тот, кто может научить других риск-ориентированному подходу к управлению. Так и у нас. Основная цель ИСАР — развитие и внедрение риск-ориентированного мышления, популяризация современных подходов к риск-ориентированному управлению, количественной оценке и принятию решений с учетом рисков в России и СНГ.

Одна из важных задач ИСАР — системная работа по развитию дополнительного профессионального образования в области принятия решений и управления рисками. Для реализации данной задачи ИСАР привлекает лучших специалистов, в том числе иностранных, компании и ассоциации с целью создания комплекса образовательных программ и оценочных средств, научно-практической литературы для обучения в области принятия решений и управления рисками, в том числе в электронном дистанционном формате.

В 2016–2017 гг. разработаны обучающие программы, основанные на новейших мировых наработках в области принятия решений с учетом рисков и внедрения элементов управления рисками в ключевые процессы компании:

• риск-ориентированное принятие решений для руководителей;
• риск-менеджмент для специалистов по управлению рисками (является подготовкой к международной сертификации Certified ISO 31000 Risk management professional (C31000) и Approved ISO 31000 Risk management Trainer (AT31000));
• риск-ориентированное планирование для аудиторов;
• финансовое моделирование;
• имитационное моделирование и количественная оценка рисков;
• корпоративные программы по риск-ориентированному управлению организацией в соответствии с требованиями заказчиков.

За последние несколько лет обучение по разработанными ИСАР программам прошли более тысячи собственников бизнеса, топ-менеджеры Газпрома, Роснефти, РЖД, Северстали, Роснано, ГазпромНефти, Лукойл Оверсиз, а также студенты МИРБИС, ОтУС, Сколково, ВШЭ, МФЮА, УСИБ и портфельных компаний Сколково и Роснано.

К концу 2017 года мы достигли важного рубежа — сертифицированными профессионалами в области управления рисками в России и СНГ С31000 стали более 100 человек, компетенции тренера и сертификат в области управления рисками АТ31000 получили 10 специалистов.

Целевая аудитория наших учебных программ — руководители производственных отделов, финансовых и коммерческих департаментов, сотрудники департамента стратегии, директора и специалисты департаментов управления рисками, внутреннего аудита, внутреннего контроля, управления проектами и контрольно-ревизионного управления. Особое внимание в программах обучения уделяется следующим темам:

• разработка и внедрение практических инструментов принятия инвестиционных и управленческих решений с учетом рисков;
• психология восприятия рисков и развитие культуры управления рисками:
• встраивание инструментов управления рисками в стратегическое планирование, бюджетирование и другие ключевые бизнес-процессы;
• количественная оценка влияния рисков на цели и КПЭ компании или проектов (деревья решений, инструменты имитационного моделирования, использование скоринговых моделей для нефинансовых компаний);
• рекомендации для соответствия требованиям регуляторов и мировым трендам в области управления рисками, включая действующие ГОСТ 31000:2018, COSO:ER 2017 и требования методических рекомендаций Росимущества, Минэкономразвития России.

Участие в развитии стандартов в области управления рисками мы также считаем одной из приоритетных задач. Для этого наши специалисты участвуют в рабочих группах Международной организации по стандартизации ISO, а также в российских технических комитетах Росстандарта. В последние два года мы активно собираем комментарии отечественных экспертов к стандартам серии ISO 31000 и формируем консолидированную позицию для представления в ISO.

Касательно развития российских стандартов в области управления рисками: в настоящее время мы участвуем в доработке профессионального стандарта специалиста по управлению рисками с целью его гармонизации с серией стандартов ISO 31000.

Говоря о международных стандартах, стоит еще раз отметить, что в 2018 году будет представлена обновленная версия ISO 31000 «Управление рисками. Принципы и руководство». ISO 31000 называют даже золотым стандартом управления рисками в мире: он переведен и адаптирован в 88% стран (из топ-50 стран по показателю ВВП), а по рейтингу популярности на сайте ISO уже который год подряд входит в топ-5 и является самым распространенным стандартом по управлению рисками в мире.

Важная особенность ISO 31000 и описанного в нем риск-ориентированного подхода к процессам и управлению в целом — то, что стандарт существенно влияет на изменения других стандартов ISO. Один из самых показательных случаев — стандарты серии ISO 9001 «Система менеджмента качества». В ISO 9001:2015 формирование риск-ориентированного мышления стало основой. Также многие другие стандарты: ISO 28000 — безопасность в цепочках поставок, ISO 27000 — информационная безопасность, ISO 45001 — система менеджмента охраны труда и производственной безопасности, ISO 14001 — экологический менеджмент и т.д., — находятся в стадии ревизии или уже изменены на основе риск-ориентированного подхода.

Основной концепцией ISO 31000 является полная интегрированность риск-менеджмента в рабочие процессы и процессы принятия решений. При этом отсутствуют требования по стандартизированному управлению рисками, например, по тому, как проводить их анализ и оценку — риск-менеджмент предельно ориентирован на индивидуальные особенности компании. Этот факт важен, т.к. в большинстве организаций управление рисками сводится к формальному соответствию и наличию реестра, карты рисков и планов, которые никак не помогают реально управлять рисками. Для успешного развития риск-ориентированного управления важно найти индивидуальные инструменты к каждому процессу в организации и интегрировать их, не создавая при этом новых громоздких процедур и не усложняя существующую деятельность.

 

Константин ДОЖДИКОВ, к.э.н., CT31000, CRMP, C31000, руководитель направления по взаимодействию с учебными заведениями АНО ДПО «ИСАР», директор по управлению рисками ООО «УК «Роснано», основатель проекта PLAN4U

Риск-менеджмент — это прежде всего инструмент, который каждый эффективный руководитель должен использовать наряду с другими методами управления в современных быстро изменяющихся условиях. Какие преимущества это дает компании?

Благодаря анализу рисков становится ясно, что именно при реализации плана развития организации может пойти не так, и будут ли при этом достигнуты ключевые цели — цели бюджета и бизнес-плана, стратегии, КПЭ руководителей. Например, сможете ли вы вовремя начать выпуск еще одного продукта, или ситуация с поставщиками нового оборудования для его производства настолько нестабильна, что высока вероятность серьезного нарушения сроков. На первый взгляд, это абсолютно понятные для каждого руководителя вещи, но есть три важных момента, которые требуют особого внимания.

Первый. Человеческая психология зачастую не дает возможности адекватно оценивать ситуацию — это так называемые ментальные ловушки (cognitive biases). Их много, и каждый из нас периодически в них попадает. Одна из моих самых любимых — когда вы склонны думать, что какими-то отдельными процессами кто-то обязательно управляет и несет ответственность за их результаты, но на поверку оказывается, что это не так.

Попадаясь в подобные ментальные ловушки, мы не можем самостоятельно и точно оценить ситуацию и найти альтернативные решения.

В результате для того, чтобы быть реально эффективным управленцем, все-таки нужно пользоваться специальным инструментарием риск менеджмента. В самых простых ситуациях это может быть некий трафарет для ответа на ключевые вопросы (что может пойти не так) с дальнейшим анализом и выработкой на его основе оптимального решения.

Второй. Задача любого топ-менеджера компании — собрать данные о результатах деятельности отдельных подразделений или направлений бизнеса и сложить единую картину, чтобы понять, каким образом достигаются (или не достигаются) цели организации и его КПЭ в целом.

Без такой информации с мест невозможно ответить на вопрос, движемся ли мы в правильном направлении и достигнем ли в итоге поставленных целей. Инструментарий риск-менеджмента позволяет собрать на уровне всей компании все ключевые риски и понять возможности достижения целей с учетом различных комбинаций этих рисков.

Третий. Поскольку ресурсы организации не безграничны, регулярно встает задача их оптимизации и выбора приоритетных проектов или направлений деятельности. Инструменты риск-менеджмента дают возможность заранее оценить усилия, направленные на управление и стабилизацию той или иной рисковой ситуации, а также выбрать из двух или нескольких проектов с одинаковой или схожей ожидаемой доходностью вариант с наименьшей рисковостью.

Следует отметить, что риск-менеджмент сейчас и, например, в начале 2000-х гг. отличается своими возможностями. Как в любую другую область человеческой деятельности, в эту сферу ворвались информационные технологии. Появилось множество ИT-решений, в частности для моделирования рисков. Стали доступны нейронные сети, значительно упростилась работа с большими данными. Также стало доступно больше статистических данных, источников экспертных оценок, помогающих лучше понимать возможности и угрозы для развития компании в будущем. Изменился и подход к профессии в целом.

Одним из основных документов, которым руководствуются риск-менеджер в России, является профессиональный стандарт «Специалист по управлению рисками», созданный в 2015 году. Однако отдельные его положения не согласованы между собой, а иногда и прямо противоречат принципам ГОСТ Р ИСО 31000.

Кроме того, в стандарте никоим образом не учитывается специфика различных видов экономической деятельности. Так, например, финансовый сектор кардинально отличается от реального, и подходы к управлению рисками на этих направлениях также должны различаться.

Поэтому для российского профессионального сообщества очень важно как можно быстрее начать работу по обновлению данного стандарта. В этой связи совместно со своим партнером, Гильдией финансовых аналитиков и риск-менеджеров (ГИФА), мы решили инициировать этот процесс и уже направили предложения в соответствующий технический комитет. Надеемся, новая версия будет опубликована уже в 2018 году. Затем на основе обновленного стандарта планируем, также вместе с ГИФА, запустить на базе Центра оценки квалификаций риск-менеджеров ( ООО «ЦОК РМ») сертификацию по профессиональному стандарту Минтруда России. Для этого активно участвуем в разработке оценочных средств и будем рады предложить тренинги по подготовке к сдаче профстандарта.

В июле 2016 года в ГИФА была создана Комиссия по профессиональным стандартам и сертификации по риск-менеджменту в нефинансовом секторе. Комиссия состоит из экспертов с многолетним опытом в области управления рисками в реальном секторе (в нее вошли специалисты ИСАР), которые помогают Ассоциации ГИФА в обновлении профессиональных стандартов. Председателем комиссии назначен Алексей Сидоренко, который вместе со своей командой уже имеет опыт подготовки и проведения сертификации.

Работа комиссии сконцентрирована на решении следующих задач:

• Обновление российских профессиональных стандартов по управлению рисками в нефинансовом секторе.
• Создание российской системы сертификации по стандартам по риск-менеджменту в нефинансовом секторе.
• Формирование базы данных и материалов по обучению и проведению сертификации.
• Реализация консалтинговых проектов в области управления рисками для нефинансовых компаний.
• Проведение мероприятий, направленных
• на развитие риск-менеджмента в нефинансовых компаниях.
• Проведение исследований уровня зрелости управления рисками.

ИСАР и портал www.risk-academy.ru представляют уникальный чатбот для оценки уровня зрелости управления рисками в нефинансовых компаниях. Этот инструмент позволяет руководителям и риск-менеджерам коммерческих организаций и государственных структур проводить самооценку эффективности управления рисками, определяет с помощью самообучающегося искусственного интеллекта текущий уровень зрелости и эффективности управления рисками в соответствии с принципами ГОСТ Р ИСО 31000 и лучшей мировой практикой и помогает разработать рекомендации по развитию риск-ориентированного управления. В данный момент чатбот (https://www.risk-academy.ru/risk-management-chatbot) доступен всем пользователям мессенджера Telegram.

Данные чатбота можно также использовать для сравнительного анализа зрелости управления рисками с другими компаниями в отрасли/ стране (этот функционал пока находится в разработке и доступен по индивидуальному запросу); для определения слабых сторон в рамках управления рисками; для формирования дорожной карты оптимизации управления рисками. Хочу особо подчеркнуть, что мы гарантируем абсолютное соблюдение конфиденциальности во время проведения оценки и анализа данных. Еще один просветительский и консалтинговый ресурс появится благодаря тому, что ИСАР подписал партнерское соглашение с Ассоциацией предпринимателей по развитию бизнес-патриотизма (АВАНТИ). Планируется сформировать рабочую группу по поддержке малого и среднего бизнеса в части управления рисками. Первыми мероприятиями станут круглый стол и конференция по страхованию рисков малого и среднего бизнеса.

Мы также активно занимаемся другими новыми направлениями — разрабатываем методологию для оценки и управления отдельными рисками. В частности, вместе с партнером Dentons реализуем проект в области интеллектуальной собственности.

 

Дмитрий ШЕВЧЕНКО, CT31000, CRMP, C31000, руководитель направления по работе с органами государственной власти и профессиональными объединениями АНО ДПО «ИСАР», финансовый директор АО «Первая башенная компания»

Имея опыт в сфере риск-менеджмента и будучи финансовым директором АО «ПБК», я располагаю возможностью взглянуть на процесс управления рисками как изнутри, так и извне. В течение четырех лет я возглавлял департамент по управлению рисками ПАО «МегаФон», где была введена регулярная система оценки рисков, которая разбивалась на две составляющие.

Первая составляющая — классический подход, при котором выявляются статичные риски, в целом присущие бизнесу и сопровождающие любую коммерческую деятельность. Их можно разделить на стандартные группы: политические, экономические или налоговые риски, мошенничество, ИT-риски и т.д. Каждое направление тщательно анализировалось, и отрабатывался собственный подход.

Вторая составляющая: наряду со статичными существуют также риски, связанные с принятием решений. Проблема в том, что статичные риски всем известны. Поэтому, когда наш департамент докладывал об их наличии, вау-эффекта не возникало. Нужно было поменять ретроспективный подход на предупреждающий. Мы выработали концепцию оценки рисков исключительно перед принятием решения, т.е. когда его еще можно изменить. Все согласились с тем, что квалифицировать риски и управлять ими нужно до того, как начинать что-то делать, ведь психология и человека, и бизнеса такова, что сложно остановиться посредине пути и перестать заниматься проектом, даже если обнаружились настораживающие моменты.

Мы стали оценивать риски в результате проработки коммерческих инициатив, включившись в этот процесс на нулевом этапе. Причем не навязывали свое решение, а обеспечили ситуацию, чтобы риски выявляли сами сотрудники. Когда они подготавливали презентацию или разрабатывали модель, мы были промежуточным согласующим звеном, которое позволяло убедиться в том, что все риски озвучены. И люди сами понимали, что без правильной и качественной оценки этих рисков не смогут продвигать дальше свою идею. А руководство видело, что сотрудники, вынося проект на обсуждение, делают это непредвзято и не скрывают острых углов. Ведь обычно, желая, чтобы замысел был успешен, мы попадаем в ментальные ловушки и видим только то, что хочется видеть. Перейдя в другую компанию холдинга на другую должность, я попал в амбициозный проект создания «Первой башенной компании». Все вышки сотовой связи объединяются в отдельную организацию, где оптимизируются бизнес-процессы, затраты, в целом повышается привлекательность бизнеса. Я столкнулся с тем, что все проекты ограничены во времени, и я сам не успеваю делать то, что много лет пропагандировал — оценивать риски. В итоге понял, что нельзя обойтись без риск-менеджера, что в компании обязательно должен быть сотрудник, который бы консолидировал процесс управления рисками и способствовал его качественному и своевременному выполнению.

Наверное, основная трудность состоит в том, что риск-менеджмент, как и любой другой процесс, невозможен без достаточных инвестиций и вовлеченности руководства. Как только это становится мерой ответственности рядовых сотрудников, они сразу же перестают работать на качество. Необходим постоянный контроль, но мягкий, адекватный. Маятник может качнуться в обе стороны. Люди могут как формально писать давно уже неактуальные тезисы, так и, наоборот, указывать намного больше рисков, чем реально существует, чтобы снизить привлекательность проекта. Должен быть некий баланс.

Когда я рассматриваю функции риск-менеджера с позиции финансового директора, возникает аллегория: если финансовый директор — это баланс между активными денежными потоками компании, то риск-менеджер — это баланс между пассивными потоками. Такой пассивный поток — это то, что может или не может произойти. Это выручка, которая может или не может быть получена; это те штрафы, затраты, убытки, которые могут либо не могут быть понесены.

Риск-менеджер должен управлять не только рисками и потенциальными потерями компании, но еще и возможностями. Упущенные возможности — точно такой же убыток.

 

Алексей СИДОРЕНКО, CT31000, CRMP, C31000, руководитель направления международного сотрудничества АНО ДПО «ИСАР» и основатель www.risk-academy.ru

Самое важное, что произошло в 2017 году, — основополагающий стандарт по управлению рисками ISO 31000 обрел финальную форму. Риск-академия совместно с ИСАР организовала обратную связь с профессиональным сообществом риск-менеджеров, на основе которой подготовлены не просто комментарии и рекомендации, а фактически фундаментальные, кардинальные изменения в содержание стандарта. К сожалению, очень немногое из наших радикальных идей попало в итоговую версию, поскольку уровень зрелости управления рисками отдельных компаний в России, особенно тех, которые работают с ИСАР, существенно опережает средний показатель зрелости, существующий в мире.

Не прошло, например, положение о том, что теория управления рисками должна быть больше синхронизирована с теорией принятия решений. А инструменты, которые используются для учета рисков в процессе принятия решений, существенно отличаются по математической сложности и по своему использованию от традиционных инструментов риск-менеджмента. Нужно уходить от таких классических инструментов, поскольку они уже доказали свою несостоятельность, получили очень много критики со стороны научного сообщества, т.к. абсолютно ненаучны, нематематичны. Надо двигаться в сторону того, что, образно говоря, придумали нобелевские лауреаты. Большинство же риск менеджеров и в мире, и в России пока предпочитают использовать абстрактные инструменты, которые изобрели консультанты.

Также не удалось пролоббировать идею, что управление рисками — это не самостоятельная профессия, не отдельно стоящий процесс, а набор компетенций, который важен для любого руководителя в любой организации. Стандарт должен писаться не для риск-менеджеров (как управлять рисками), а для руководителей компаний (как лучше управлять организацией с учетом рисков). Эту идею поддержало большинство, но на словах, — в тексте документально она не прописана.

Несмотря на то, что мировое сообщество только начинает говорить о том, что управление рисками не должно быть отдельно взятым, самостоятельным процессом (риск менеджмент — это процесс, интегрированный в основную операционную деятельность организации), лишь очень немногие компании в мире смогли добиться этого на практике. Отрадно, что несколько из них находятся в России; в кои-то веки русские компании опережают, причем существенно, свои западные аналоги в плане управления рисками. Но, к сожалению, их поразительные успехи напрямую связаны с индивидуальными навыками и личными качествами риск-менеджера.

Отсюда вытекает вторая очень важная мысль об итогах 2017 года: законодательная база по управлению рисками в России, к сожалению, достаточно низкого качества, нормативно слабая. Из-за пока еще недостаточной популяризации международного стандарта ISO 31000 среди руководителей очень многое ложится преимущественно на плечи риск-менеджера, т.е. конкретного человека.

Одно из ключевых достижений 2017 года — то, что мы начали тесно работать с индивидуальными риск-менеджерами и специально для этого разработали программу обучения, которая подготовит их как к национальной, так и к международной сертификации. И главное: осознавая разрыв между лучшими практиками и уровнем компетенций большинства специалистов, мы создали уникальную программу, которая вводит новые компетенции по моделированию, корпоративным финансам, психологии, т.е. то, что обычно риск-менеджеры не используют и о чем даже не знают. Многие из них, осознавая, что само собой ничего не произойдет, начинают учиться, становятся проактивными, чтобы добиваться новых знаний и реализовывать их в своих компаниях. Следующий важный момент из того, что произошло в 2017 году: мы провели крупнейшее в стране исследование и попытались разработать модель зрелости, согласно которой оценили и будем в дальнейшем каждый год оценивать развитие управления рисками. Чтобы не просто говорить, что у всех всё хорошо или плохо, а иметь некий базовый срез, показывающий, например, что средний уровень зрелости по России и некоторым странам СНГ составляет 1,77 из трех возможных вариантов, где единица означает «очень плохо», два — «плохо», а три — «хорошо». Соответственно, текущий уровень зрелости, если суммировать показатели по всем респондентам (на момент начала исследования их было чуть больше 50, а сейчас уже порядка 70–80, поскольку мы продолжаем собирать данные в режиме онлайн) — между «очень плохо» и «плохо».

Следующее наше достижение в 2017 году — форум, который второй год подряд собирает проведена огромная просветительская работа, чтобы довести все изменения в стандарте до участников отечественного рынка. Будем активно участвовать в переводе стандарта и в его адаптации к российским условиям.

Вторая тема в наших планах — повторное исследование. Сделаем второй срез, и уже можно будет наблюдать определенные тренды, изменения в положительную либо отрицательную сторону.

Третье — в апреле 2018 года состоится следующий глобальный форум, и в этот раз вход на него мы сделаем для всех бесплатным. Это будет нечто грандиозное: в программе предполагается и новая интерактивная бизнес-игра, которую мы сейчас разрабатываем; представители около 200 риск-менеджеров со всей страны и ближнего зарубежья. Мы пригласили на него Нормана Маркса, одного из самых знаменитых спикеров по управлению рисками. Все материалы форума бесплатно доступны на сайте Риск-академии, можно послушать и скачать лекции.

Наше четвертое достижение — вышла в свет книга по управлению рисками, подготовленная двумя преподавателями ИСАР. Она также находится в бесплатном доступе, и на русском языке ее уже скачали порядка 10 тысяч человек, а на английском — более 16 тысяч, и продолжают скачивать примерно по 100 человек в день, т.е. книга достаточно популярна и в нашей стране, и за рубежом.

Что касается выстраивания дальнейших планов, в приоритете три ключевых направления:

• Во-первых, как только выйдет новая версия стандарта ISO 31000, мы начнем активно его популяризировать, продвигать в российских организациях, проводить образовательные сессии, где расскажем о том, что изменилось, что нужно учитывать, как к этому готовиться, что менять в своих подходах. Должна быть проведена огромная просветительская работа, чтобы довести все изменения в стандарте до участников отечественного рынка. Будем активно участвовать в переводе стандарта и в его адаптации к российским условиям.
• Вторая тема в наших планах — повторное исследование. Сделаем второй срез, и уже можно будет наблюдать определенные тренды, изменения в положительную либо отрицательную сторону.
• Третье — в апреле 2018 года состоится следующий глобальный форум, и в этот раз вход на него мы сделаем для всех бесплатным. Это будет нечто грандиозное: в программе предполагается и новая интерактивная бизнес-игра, которую мы сейчас разрабатываем; представители различных министерств и ведомств расскажут о своем видении риск-менеджмента, а также будет представлена точка зрения бизнеса, т.е. руководителей компаний.

В наших планах — направить еще больше ресурсов на обучение и сертификацию. Национальная сертификация станет для некоторых компаний обязательной, и для тех организаций, которым нужно будет проходить экзамен, мы попытаемся сделать всё, чтобы он был наполнен не только по форме, но и по сути. Постараемся разработать очные и дистанционные программы, чтобы облегчить людям подготовку к таким экзаменам.

Основная мысль на 2018 год: управление рисками должно перестать быть инструментом риск-менеджеров и какой-то отдельной дисциплиной. Оно должно стать инструментом менеджмента — для работы, принятия решений, общения с акционерами и аудиторами. Новая версия стандарта ISO ведет нас именно к этому.