На протяжении многих лет российские риск менеджеры пытались различными способами вовлечь бизнес подразделения в процесс управления рисками. Кто-то упрощал методологию выявления и оценки рисков, кто-то наоборот существенно усложнял тот же самый процесс. В принципе, результат можно охарактеризовать одинаково плачевно в обоих случаях. В лучшем случае ежегодный или ежеквартальный анализ рисков воспринимался сотрудниками компании как необходимое зло, ну а некоторыми сотрудниками не воспринимался вообще.
И тут вспоминается знакомая крылатая фраза: “Если гора не идет к Магомету, то Магомет идет к горе”.
Риск-менеджерам уже пора перестать создавать свою собственную параллельную вселенную, постоянно требуя от бизнеса информации, участия, оценки рисков, специальных мероприятий по управлению этими самыми рисками. Все это не укладывается в сознании бизнеса, который живет совершенно в иной логике, а самое странное, что это полностью противоречит базовым принципам ГОСТ Р ИСО 31000:2010.
Помогите бизнесу учитывать риски в своей работе не раз в квартал, а каждый день. Добиться этого можно только через реинжиниринг сложившихся процессов в компании (планирование, бюджетирование, инвестиционный менеджмент, оценка эффективности и так далее), чтобы сделать их более риск-ориентированными. И скорее всего каждый ключевой процесс заслуживает своего уникального подхода к оценке рисков. Не бойтесь сами приходить к владельцам бизнес процессов и рассказывать о ваших компетенциях по анализу рисков. Убеждайте их в том, что, если они добавят в свои материалы грамотно подготовленный с вашей помощью раздел, в котором отразят риски и пути работы с ними это только повысит качество их работы в глазах руководства. Очень часто это поможет обосновать запросы на дополнительные ресурсы в рамках того или иного проекта.
