Наши популярные онлайн курсы
На заключительной сессии конференции «Цель. Риски. Стратегия. Риск-ориентированные решения», которую модерировал основатель портала www.risk-academy.ru и руководитель направления международного сотрудничества АНО ДПО «ИСАР» Алексей Сидоренко, в центре внимания профессионального сообщества были мифы, с которыми приходится сталкиваться при внедрении управления рисками. Приглашенные эксперты прокомментировали каждый из этих мифов, опираясь на свой практический опыт, исследования и международных экспертов в области управления рисками.
Первый миф был посвящен тому, что в России управление рисками нередко рассматривается как некая система. Алексей Сидоренко заметил, что сегодня часто используются такие понятия, как «система управления рисками» (СУР), «комплексная система управления рисками» (КСУР), «автоматизированная система управления рисками» (АСУР), но по факту никакой СУР не существует.
— Само понятие «систему управления рисками» и то, что подразумевается под этим словосочетанием напрямую противоречит идеологии риск-менеджмента, годами складывавшейся в мире, — подчеркнул модератор.
Управляющий директор Департамента управления рисками Фонда Развития Дальнего Востока, Леонид Балановский предложил обратиться к международному стандарту ISO:31000, который является официальным стандартом по управлению рисками в России. В обеих редакциях документа (и 2009 года, и 2018-го) написано, что управление рисками — неотъемлемая часть деятельности организации, и она должна быть интегрирована в общую систему управления организацией.
— На это можно посмотреть с двух сторон — практической и теоретической. С практической выходит, что, когда процесс управления рисками рассматривается как некая система, происходит следующее: руководству, генеральному директору и акционерам мало интересна точка зрения риск-менеджера; владельцы рисков воспринимают риск-менеджера как субъект, создающим им дополнительную работу, бизнес решения принимаются зачастую без учета результатов работы системы управления рисками. В скором времени, не видя ценности в управлении рисками, вся организация начинает «ретушировать риски», придерживаясь обтекаемых формулировок в отчетах по рискам, воспринимать риск менеджмент как необходимое зло или комплаенс, требуемый для акционера. С теоретической точки зрения, риск — не сущность, не какой-то объект, которым можно управлять так, как управляем департаментом или автомобилем. Система же подразумевает целостность, единство элементов, входящих в нее, поэтому и возникло заблуждение про систему управления рисками как нечто обособленное, — комментирует спикер. — Важно сместить фокус с управления рисками на принятие управленческих решений с учетом рисков, то есть делать акцент не на риске, а на решении и эффекте неопределенности на это решение. Это подразумевает кардинально иной подход в отличие от того, что на данный момент делают большинство организаций в России, внедряя СУР.
Поскольку российские риск-менеджеры привыкли думать об управлении рисками как о некой обособленной системе, то возник второй миф, что управление рисками — это ежегодный, ежеквартальный или ежемесячный процесс. В таком случае, считает риск-менеджер Аэропорта «Внуково» Ольга Костина, управление рискам может превратиться в процесс ради процесса, не имеющий никакой ценности.
— Данные должны обрабатываться своевременно, а значит, необходимо проводить анализ рисков не с какой-то искусственно заданной периодичностью, а непосредственно в момент подготовки решения для принятия. Например, в ISO 9001 в последней редакции 2015 года выло введено понятие риск-ориентированного мышления: если у вас нет цели перейти на другую сторону дороги, вы не будете анализировать ни движение, ни наличие подземных переходов. То есть в век стремительных изменений и большого потока информации, нет смысла садиться и обсуждать что-то, если нет цели перейти на другую сторону и тем более бессмысленно обсуждать риски, если дорогу перешли в прошлом квартале. Нужно думать не о периодичности анализа рисков, а о встраивании этого процесса в ключевые решения организации, тогда будет гораздо легче вести диалог с подразделениями, которые хотят знать, как неопределённость влияет на то или иное решение.
Риск-менеджер компании Volga Group Галина Шаклеина предположила, что ежемесячные встречи с риск-менеджерами, вероятно, придумали люди, которые не хотят видеть риск-менеджеров часто. А ведь риск-менеджер должен постоянно держать руку на пульсе и вовлекаться не только в процессы принятия серьезных решений, но и быть в курсе, что происходит внутри и вне организации, следить за новостями, первым информировать руководство о возможных рисках.
Третий миф о том, что руководители и так думают об управлении рисками, когда принимают бизнес решения, прокомментировал Алексей Сидоренко:
— Управление рисками — не самостоятельная система, а инструмент принятия решений, думать о рисках и делать отчёты о них нужно не раз в квартал, а в момент подготовки к принятию решения, когда, допустим, готовится бюджет на год или оцифровывается инвестпроект. Безусловно, руководители могут принимать взвешенные решения, но часто этого не происходит – инструмент риск-менеджмента – это та шпаргалка, тот защитный механизм, который включается в процессе принятия решения, чтобы избежать ментальных ловушек и других искажений, которые влияют на принятие решений.
Четвертый миф относительно о том, что карта, матрица или реестр рисков позволяют приоритезировать ресурсы и принимать решения, развеял риск-менеджер компании КИВИ Илья Александров. Он подчеркнул: хотя такие инструменты, как карта и матрица рисков давно используется во многих компаниях, они не просто устарели, они содержат в себе такое количество методологических ошибок, что существенно искажают информацию, которую риск-менеджер доносит до руководителей или совета директоров. Подталкивая тем самых руководителей принимать ошибочные или неоптимальные решения. Обычно риск-менеджеры тратят большое количество на формирование отчетов, составляет карту рисков, но реальная ценность от этих инструментов на практике минимальна.
Пятый миф о том, что уровень риска можно измерить, умножив или сложив вероятность и ущерб, попыталась развеять Галина Шаклеина, заметив, что карта рисков не отвечает на главный вопрос руководителя — насколько достижима его цель. Риск-менеджер может показать, к какой зоне – красной или зеленой относятся возможные риски, но никогда на основании этой карты не сможет сказать, придет ли компания к желаемому результату. При этом вероятность риска — понятие относительное. К примеру, валютный риск — понятно, что колебания курса неизбежны, но к реализации какого риска и в каком масштабе это приведет, сказать сложно. Отдельный критицизм карт рисков заключается в том, что невозможно перемножать или складывать порядковые числа, а также в том, что карта рисков представляет каждый риск как единственный сценарий, одну точку на карте, на самом же деле риски это диапазоны возможных сценариев. Kарта рисков также не учитывает корреляции, какие-то риски могут влиять друг на друга, появляться вместе или раздельно; карта не может показать периодичность повторения рисков, насколько они управляемы, и что с ними делать.
В ходе всего выступления аудитория конференции активно принимала участие в интерактивном голосовании и задавали вопросы. Один из наиболее частых вопросов на этом этапе стал «Что же использовать, если не карты рисков». Спикеры перечислили следующие инструменты: деревья решений и скоринги для простейших решений, анализ чувствительности, стресс-тестирование или сценарный анализ для более сложных и материальных решений и имитационное моделирование для наиболее существенных решений.
Шестой миф — количественные методы оценки не применимы, потому что в нефинансовых компаниях недостаточно данных, развеяла член Правления Российского отделения PRMIA Ольга Котина. По ее мнению, оценивать риски количественно важно для того, чтобы взвешенно принимать решения, когда нужно сравнить какие-то альтернативные варианты и выбрать из них один с учетом риска; или когда нужно сравнить потенциальную выгоду против потенциальных потерь; или когда требуется спрогнозировать влияние неопределенности на результат, допустим, инвестиционного проекта. Тогда возникает логичный вопрос – сколько и каких данных нужно, чтобы принять такого рода решение.
— Взять, к примеру, кредитный риск, когда нужно выбрать покупателя, которому можно предложить отсрочку и понять размер отсрочки. Можно придерживаться простой бинарной модели: зная, что плохой заемщик – это тот, кто уже находится в процедуре банкротства или близок к ней, можно провести скоринг, имея небольшой набор данных. Даже такое простое одношаговое упражнение в разы повышает качество принимаемых решений. Другой пример — рассмотрение на инвестиционном комитете нового инвеспроекта. Казалось бы, уже посчитана финансовая модель, мы видим NPV, и можно делать какие-то выводы, но у компании может не быть большого опыта реализации таких проектов. Не имея десяти тысяч данных и базы для построения сложных моделей, мы знаем, что данная команда реализовала четыре проекта с опозданием до восьми месяцев. Только исходя из этого, можно сделать вывод, с каким результатом и в какой срок может быть реализован следующий проект. Даже если недостаточно данных внутри компании, потому что она этим никогда не занималась, всегда можно обратиться к отраслевым экспертам, провести соответствующий опрос или посмотреть опыт других организаций, — считает спикер. Дуглас Хаббард еще в 2007 написал книгу «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе».
Седьмой миф о том, что работа с рисками не требует особых компетенций, отличных от внутреннего контроля или внутреннего аудита, комментировал начальник отдела управления образовательными проектами «Газпром корпоративный институт», к.э.н., доцент Дмитрий Лапин. Он подчеркнул, что в больших компаниях – Сбербанке, Газпроме, РЖД, где трудятся больше миллиона человек, на риск-менеджерах лежит особая ответственность, тем более, когда акционеры требуют постоянного повышения эффективности деятельности организации. Однако крупные корпорации не могут позволить себе содержать 50 или 100 риск-менеджеров, поэтому команда риск менеджеров зачастую не многочисленна и должна в себе содержать весь набор необходимых компетенций.
— Для внедрения управления рисками в процессы принятия решений необходимы как минимум компетенции по: теории вероятностей, теории принятия решений, психологии восприятия рисков, отраслевой опыт и хорошее знание стандартов по управления рисками. Сегодня существуют различные образовательные программы для повышения компетенций в этой области, — уточнил Дмитрий Лапин.
Еще один миф о том, что должен быть единый подход к управлению для разных типов рисков развеял директор департамента по управлению рисками и внутреннему контролю ПАО «Вымпелком» Николай Лузан, подчеркнув, что различные виды рисков требуют разных подходов и пытаться подогнать процесс управления рисками под единый алгоритм невозможно. А описание различных подходов должно делаться не в едином общекорпоративном документе, а в существующих регламентах, описывающих бизнес-процессы.
По результатам сессии было проведено финальное голосование. Миф, который показался участникам наиболее интересным стал «Руководители и так думают об управлении рисками, когда принимают бизнес-решения». Миф 1. Управление рисками рассматривается как система, также как в финансовых институтах, миф 4. Карта, матрица и реестр рисков позволяют приоритезировать ресурсы и принимать решения и миф 8. Должен быть единый подход к управлению рисками для разных типов рисков заняли 2, 3 и 4 место соответственно.
