Источник: Риск-Академия

Опубликовано в журнале «Внутренний аудитор»

Оценка эффективности управления рисками, как, наверное, и оценка любого бизнес-процесса, сложный и нетривиальный рецепт, который состоит из нескольких важных ингредиентов: понимание целей управления рисками, критериев оценки и анализа фактуры. Об этом и поговорим.

А. Понимание целей управления рисками

Эксперты АНО ДПО «ИСАР» занимаются изучением особенностей управления рисками в компаниях реального сектора уже более 15 лет, и за это время многое поменялось в управлении рисками. Вот несколько современных трендов, которые должен понимать каждый внутренний аудитор перед началом формирования плана проверки эффективности управления рисками:

Цель управления рисками — это не эффективное управление рисками.

За редким исключением рисков, которыми необходимо управлять потому, что такие указания есть в действующем законодательстве (риски, связанные с охраной труда, экологией, противодействие коррупции и т.д.), «бизнес»-рисками, стратегическими, операционными, проектными рисками не управляют. На этом, обычно, у среднестатистического аудитора логика рушится. Читайте дальше, скоро все станет понятно. Я с вами лишь делюсь тем, что обсуждают и публикуют лучшие риск- менеджеры по всему миру.

В современной практике управление рисками рассматривается не как процесс и тем более не как система (общепринятый термин «система управления рисками» вообще противоречит всей идеологии управления рисками и международным стандартам, поэтому в АНО ДПО «ИСАР» он никогда не используется), а как инструмент принятия решений.

Это означает, что управление рисками должно быть не самостоятельным обособленным процессом со своими входами, выходами и документами, а встроено в процессы принятия решений и бизнес-процессы организации и риски должны анализировать не раз в квартал или полугодие, как это делается сейчас, а в момент подготовки любого важного решения. Это важно!

С точки зрения эффективной практики управления рисками, наличие политики, регламента управления рисками и обширного реестра рисков, который регулярно обновляется, но при этом стратегия, бюджет или инвестиционные решения принимаются без учета рисков является примером неэффективного управления рисками. А принятие инвестиционного решения только после валидации допущений менеджмента и анализа нескольких или нескольких тысяч сценариев, при отсутствие каких-либо отдельных отчетов о рисках, наоборот, считается эффективным риск-менеджментом.

Поэтому, одним из первых и наиболее важных тестов эффективности управления рисками в организации является уровень интеграции процессов выявления, анализа и управления рисками в процессы принятия управленческих, инвестиционных и операционных решений. Мы называем это «риск-менеджмент 2». Примером такого подхода может послужить крупная российская государственная структура, направленная на инвестиции в развитие высоких технологий, в которой все инвестиционные решения принимаются только после проведения независимой оценки рисков и их влияния на ключевые показатели проекта. Другой пример: крупная авиакомпания, в которой каждое стратегическое решение должно иметь несколько альтернативных вариантов, при этом каждый вариант оценивается с точки зрения рисков, влияющих на успех его реализации.

Мнение специалиста

Константин Дождиков, директор по управлению рисками ООО «УК «РОСНАНО»: «Для ООО «УК «РОСНАНО» очень важно чтобы каждое инвестиционное решение принималось с учетом рисков. Поэтому в отношении инвестиционных решений проводятся обязательные процедуры выявления и оценки рисков. При этом выявляют и оценивают риски как проектные команды, которые ведут проект, так и отдельные функциональные подразделения, которые пристально анализируют юридические, финансовые, технологические и др. аспекты сделки и проекта. Это обеспечивает более объективный и независимый анализ рисков инвестиционных решений».

Цель риск-менеджмента 2 – поддержка и информирование руководителей о рисках в процессе принятия решений. Задача риск-менеджера – сделать риски понятными и их влияние на цели или решение оцифрованным, чтобы позволить человеку, принимающему решения, сделать осознанный выбор, основанный на полной информации. Бывший глава риск-менеджмента LEGO на английском называет это intelligent risk taking, а Норман Маркс, автор и гуру риск-менеджмента, называет «риск-менеджмент 2» informed and intelligent risk taking. Хотите больше независимых точек зрения? Мы специально подобрали 11 наиболее полезных книг по управлению рисками, которые рассказывают именно о риск-менеджменте 2 и о многочисленных недостатках традиционного для России подхода к управлению рисками: https://riskacademy.blog/2017/01/14/my-favourite-risk-management-books

В таком контексте задача внутреннего аудитора – оценить, насколько управление рисками интегрировано в процессы принятия решений и насколько руководители эту информацию в процессе принятия решений используют, а также качество анализа рисков.

Но, если есть «риск-менеджмент 2», то есть и «риск-менеджмент 1»?

Помимо основной цели риск-менеджмента – информировать руководителей, принимающих решения, – есть и еще одна задача – удовлетворить требования к риск-менеджменту со стороны акционеров, регуляторов и проверяющих. Поэтому существует «риск-менеджмент 1». Риск-менеджмент 1 – это набор действий и документов, направленный на презентацию информации о рисках организации в формате, установленном внешними заинтересованными сторонами. К сожалению, требования к риск-менеджменту 1 очень сильно отличаются от инструментов и практик, которые используются в риск-менеджменте 2. И, несмотря на многолетнюю работу экспертов АНО ДПО «ИСАР» с представителями Министерства экономического развития и Счетной Палаты, требования к риск-менеджменту пока далеки от реальных инструментов, которые мы, риск-менеджеры, используем. Поэтому риск-менеджеры часто дублируют или генерируют набор документов, специально для регуляторов, которые в целом бесполезны для принятия решений и управления организацией. Что еще хуже, в контексте риск-менеджмента 1, риск-менеджеры вынуждены использовать инструменты (такие как оценка рисков через ущерб и вероятность, документация рисков в реестрах и формирование карт рисков), которые дают заведомо ложные и не полные данные.

Мнение специалиста

Любовь Фролова, директор АНО ДПО «ИСАР»: «Исследование практики управления рисками в государственных и частных структурах в развитых странах, проведенное АНО ДПО «ИСАР», показало, что страны, которые делают упор на интеграции управления рисками в процессы принятия решений и культуру организации, достигли более высокого уровня зрелости. Российская же нормативная база пока находится в достаточно незрелом состоянии. Несмотря на то, что некоторые государственные структуры активно развивают тематику управления рисками (ведомства, которые сейчас внедряют «риск-ориентированный» надзор), в некоторых случаях эта работа никак не синхронизирована с принципами ГОСТ Р ИСО 31000, а часто прямо противоречит положениям международного стандарта. Это существенное отличие от западной практики, где ISO 31000 является основополагающим документом по управлению рисками для всех организаций.»

Однако не все так плохо. Банки, рейтинговые агентства и страховые компании все еще поощряют риск-менеджмент 1, поэтому можно снизить стоимость страхования и улучшить условия привлечения финансирования даже с помощью риск-менеджмента 1.

Задача внутреннего аудитора в этом случае убедиться, что «потемкинская деревня» под названием риск-менеджмент 1 не сильно отвлекает менеджмент от работы, риск-менеджеры не заставляют руководителей заполнять безумные реестры рисков на 50 колонок и, при этом, все пункты, требуемые регулятором, выполнены. Хорошие риск-менеджеры делают все документы риск-менеджмента 1 сами. Аудиторы также должны убедиться, что риск-менеджмент 1, какой бы он ни был, приносит пользу компании через снижение страховых премий и снижение стоимости финансирования.

В следующей статье мы поговорим о критериях оценки, изменившихся стандартах по управлению рисками ISO31000:2018 и COSO:ERM 2017 и о конкретных процедурах, которые должны предпринять аудиторы для оценки эффективности управления рисками. Мы даже дадим вам конкретную модель зрелости с более 30 критериями, взвешенными по важности, которую используем сами, когда оцениваем управление рисками в компаниях по всему миру.

Продолжение