Риск менеджмент 1 или Риск менеджмент 2. В чем отличия и чем заниматься в первую очередь?

Долгое время мне наивно казалось, что внедряя качественный, проактивный риск менеджмент в Российских нефинансовых компаниях можно удовлетворить все заинтересованные стороны. Прошли годы и теперь, лично мне, абсолютно очевидно, что внутренние и внешние стейкхолдеры хотят видеть совершенно разный, практически не связанный между собой, риск менеджмент.

Так появился риск менеджмент 1 — управление рисками в интересах внешних стейкхолдеров (регуляторы, акционеры, совет директоров, банки, страховые, рейтинговые агентства) и риск менеджмент 2 — управление рисками, а скорее даже анализ рисков, в интересах руководителей, принимающих решения внутри организации.

В этой статье я приведу примеры и аргументы почему риск менеджмент 1 и риск менеджмент 2 не имеют ничего общего.

В качестве сквозной темы для статьи я выбрал фильм матрица, так как именно в нем нужно было выбрать между красной и синей пилюлей. Это красиво, но не совсем корректно. У риск менеджеров нет выбора между риск менеджментом 1 и риск менеджментом 2. Оба должны быть реализованы в компании. Это, скорее, выбор приоритетов. Мое правило, 10% времени или меньше на риск менеджмент 1 и 90% или больше на риск менеджмент 2. Это полная противоположность тому, как сейчас устроена работа по управлению рисками в российских компаниях. Ирония заключается в том, что большинство риск менеджеров хотят заниматься риск менеджментом 2, но жалуются, что на это просто не хватает времени из-за требований регуляторов, Росимущества и т.д. Это полная чушь и отговорки!

Хорошие риск менеджеры найдут способ как в десятки раз сократить трудозатраты на риск менеджмент 1 и заниматься большую часть времени риск менеджментом 2. Я повторю, задача хорошего риск менеджера сократить время на риск менеджмент 1 и перераспределить это время на риск менеджмент 2.

Аппетит к риску

На тему риск аппетита в нефинансовых компаниях я много писал на английском (herehere and here) и на русском Все что нужно знать о риск аппетите в нефинансовой компании

Говоря просто, отдельный документ/документы с аппетитом к риску не нужен, так как различные аппетиты к разным видам рисков уже прописаны в существующих документах уровня совета директоров (устав, политики и т.д.). Ну а если не прописаны, то и прописывать аппетиты к рискам нужно в существующих документах уровня совета директоров, а не создавать новые. Почему этого не понимают консультанты и Росимущество я не знаю.

Что делать, если вопреки здравому смыслу, совет директоров или регулятор настаивает на создании отдельного документа/документов. Бог с ними. Сделайте. Это просто скопировать-вставить из существующих документов и сделать красиво, сгруппировав аппетиты к привязке к стратегическим целям. Это занимает ровно 10 минут и не требует долгого обсуждения и согласования с бизнесом. Поздравляю вы только что сэкономили неделю работы!

Еще про риск аппетит и что делать написано вот здесь: Практические советы: ЗАДАЙТЕ ТОН СВЕРХУ

Регламент по управлению рисками

Регламент управления рисками, а тем более системы управления рисками, это риск менеджмент 1.  Никто этот документ, кроме самого риск менеджера и внутреннего аудитора, не читает и, уж тем более, для принятия решений не использует. Наивное решение многих риск менеджеров — это продвигать регламент и рассказывать о нем сотрудникам, чтобы они магическим образом и вопреки здравому смыслу начали его использовать. Есть более интересная альтернатива. В рамках риск менеджмента 2, вместо того, чтобы описывать процесс управления рисками в отдельном регламенте, компании вносят изменения в действующие процедуры, например регламент инвестиционной деятельности или процедуру бюджетирования.

Тот же самый подход может использоваться для всех ключевых процессов. Вместо единых централизованных документов по управлению рисками, владельцами которых являются риск-менеджеры, должны быть изменены существующие нормативные документы. Таким образом ответственность за соблюдение нормативных документов закрепляется за бизнес подразделениями.

Из этого также следует, что не должно быть единого процесса управления рисками в компании, на его смену должны прийти множество индивидуальных подходов для каждого из ключевых бизнес-процессов / типа принятия решений в организации. Когда я был директором по рискам, у меня было 5 разных риск менеджментов.

Корпоративный / стратегический реестр рисков

Корпоративные реестры рисков встречаются повсеместно и тем не менее они риск менеджмент 1. Как сказал один из основателей австралийской школы риск менеджмента, автор ISO31000 и, возможно один из первых, кто придумал в 1980х реестры рисков, Грант Перди, все, на что они годятся это туалет для хомячков. Послушайте полное интервью с ним здесь: Как рисками управляют в Австралии (часть 2)

В рамках риск менеджмента 2, анализ рисков проводится не для целей анализа рисков и даже не для их нивелирования, а в контексте принятия решений и реализации бизнес-процесса. Поэтому:

Есть правда нечто, что еще бесполезнее реестра рисков, это реестр рисков и возможностей. Это возможно предел человеческой тупости. Но об этом в следующий раз.

Отчеты о рисках

Удивительно, но даже отчетность о рисках — это риск менеджмент 1. Есть способ более эффективно интегрировать информацию о рисках в процессы принятия решений:

Комитет по управлению рисками

Технически, отдельный комитет по управлению рисками это риск менеджмент 1. Однако, большинство опрошенных нами риск-менеджеров утверждают, что наличие консультационного органа по управлению рисками на уровне правления оказывает существенный положительный эффект на развитие культуры управления рисками в организации.

Состав комитета по управлению рисками должен быть достаточно представительным, чтобы обеспечить рассмотрение различных точек зрения по вопросам управления рисками. На практике многого ожидать от комитета не стоит, но все же.

Комитет может фокусироваться на рассмотрении методологических вопросов с целью, в первую очередь, разгрузки повестки дня правления или принимать непосредственное участие в процессе принятия инвестиционных, проектных и прочих решений, связанных с высокими рисками, или же совмещать обе функции. Комитет по управлению рисками может собираться как на регулярной (ежемесячной или ежеквартальной) основе, так и по запросу председателя комитета при появлении вопросов, которые требуют анализа рисков. Важно, чтобы в составе комитета участвовали директора подразделений бэк-офиса (финансы, юристы, безопасность, внутренний аудит), так и представители бизнеса (производственные отделы, продажи, маркетинг).

Что еще по вашему мнению можно классифицировать, как риск менеджмент 1? 3 линии защиты, владельцы рисков, планы мероприятий, ключевые индикаторы рисков, информация о СУР в годовых отчетах? Пишите в комментариях ниже и репостите статью.