Риск-менеджерам нужно наращивать технические компетенции

Основатель портала Риск-академия Алексей Сидоренко проанализировал тренды, влияющие на деятельность риск-менеджеров

Эксперт в области риск-менеджмента, основатель портала www.risk-academy.ru и руководитель направления международного сотрудничества АНО ДПО «ИСАР» Алексей Сидоренко убежден: тренды в сфере риск-менеджмента можно разделить на две категории. К первой относятся те, которые у всех на слуху, но, если разобраться, нововведениями не являются, – лучшие риск-менеджеры в России и мире давно применяют их в своей работе. Ко второй категории можно отнести действительно новые тренды, возникающие на Западе; вопрос лишь в том, когда они придут в Россию и насколько изменят отечественный риск-менеджмент.

Будущее давно наступило

– Из тех трендов, что появились давно, а популярны стали только сейчас, я бы выделил то, что риск-менеджмент больше не рассматривают как отдельную систему и самостоятельный, обособленный процесс. Риск-менеджмент ради риск-менеджмента наконец‑то никому не нужен, – говорит Алексей Сидоренко. – Изменилось отношение и к анализу рисков – раньше он воспринимался как некая самоцель, результатом которой являются отчеты о рисках, сейчас же воспринимается скорее как инструмент принятия решений, осуществления деятельности и достижения целей компании. Это достаточно большая разница, поскольку традиционный подход подразумевает, что рисками нужно заниматься с какой‑то заданной периодичностью – например, обновлять профиль рисков и актуализировать риски и мероприятия по их управлению раз в квартал, раз в месяц, раз в полгода или даже раз в год. По факту такой подход никогда не работал, просто кто‑то когда‑то решил, что нужно делать так.

Современный же подход базируется на том, что о рисках необходимо думать не по графику, а в момент принятия решения, а точнее, при подготовке этого самого решения. Выходит, о рисках, связанных с бюджетированием, нужно думать в процессе подготовки бюджета; а о рисках, связанных с закупками, – в процессе выбора поставщика, при этом в процессе выбора каждого нового поставщика будут свои риски. О рисках, связанных с инвестициями, – в процессе подготовки инвестиционного решения, и в каждом инвестиционном решении будет свой набор рисков. Таким образом, нужно отказываться от одного большого реестра рисков, охватывающего все риски компании, в пользу анализа рисков для каждой конкретной ситуации, каждого конкретного решения. Хотя многие коллеги воспринимают подобный подход как своего рода прорыв, вынужден их разочаровать – те, кто не «в танке», делают так уже много лет.

Еще один «новый» тренд связан с тем, что в риск-менеджменте многое зависит от восприятия рисков человеком, его психологии, культуры, принципов и т.д. В связи с этим профессиональное сообщество начало задумываться о том, что разговор о рисках с неподготовленными экспертами не приведет к эффективным результатам, а скорее к заведомо ложной информации. Следовательно, при встраивании человека в процесс принятия решения нужно учитывать особенности его психологии и работы мозга, его возможные ментальные ловушки.

– Психологией восприятия рисков (risk perception) исследователи занимались с 1970‑х годов и даже получили две Нобелевские премии (в 2002 и 2017 годах). В 2011 году я провел первый риск-завтрак на тему ментальных ловушек и их влияния на управление рисками. То, что в 2018‑м стало открытием для некоторых российских риск-менеджеров, изучалось еще пятьдесят лет назад, – заметил Алексей Сидоренко.

Третий «старый новый тренд» касается доступности инструментов анализа, оцифровки и моделирования рисков. Если раньше из‑за вычислительной мощности компьютеров процесс просчета рисков и моделирования сценариев был сложным и длительным, то сейчас и компьютеры мощные, и программные продукты стоят недорого либо вообще доступны бесплатно. К примеру, такие продукты, как ModelRisk и Tamara, которые позволяют оценить базовый набор рисков в любом решении, доступны бесплатно. Таких продуктов на рынке появляется все больше, поэтому, по мнению специалистов, нет оправданий, чтобы не использовать современные инструменты анализа рисков в процессе принятия решений. Тем более, не нужно искать и устанавливать какие‑то суперсерверы для того, чтобы моделировать графики проектов с десятками тысяч различных факторов.

Учитывая обозначенные тренды, наблюдается вектор на встраивание риск-менеджмента в бизнес-процессы, стратегическое планирование, процесс принятия решений и эффективность работы. Это было прописано в международных стандартах, например, ICO 31000:2018 и COSO ERM:2017.

– С другой стороны, эти тренды вскрывают один неприятный нюанс – большинство риск-менеджеров не обладают компетенциями для того, чтобы встраиваться в процесс решений: они не знакомы с теорией принятия решений, а также не обладают компетенциями для работы с экспертами – не знают, какие бывают когнитивные искажения и как выстраивать методологии анализа рисков с учетом особенности человеческого восприятия неопределенности. Для многих станет сюрпризом, что оценка рисков с точки зрения ущерба и вероятности гарантированно приведет к неверным результатам и сделает результаты анализа рисков бесполезными и даже опасными для принятия решений. Самое главное – риск-менеджеры России практически не имеют математического образования. Соответственно, они абсолютно некомпетентны, когда речь заходит об оцифровке и оценке рисков. Эти три тренда на самом деле очень страшные в том плане, что большинство современных риск-менеджеров абсолютно некомпетентны, чтобы быть риск-менеджерами, – констатирует Алексей Сидоренко. – А ведь риск-менеджеры будущего должны разбираться в принятии решений, психологии и математике, в настоящий момент 90% российских риск-менеджеров не обладают компетенциями ни в одном из перечисленных направлений.

Придется перестраивать мышление

Что касается абсолютно новых трендов, один из ключевых связан с тем, что многие риски – и операционные, и репутационные – становятся более технологичными и касаются вопроса цифровизации.

– Допустим, раньше собственники боялись, что завод остановится, и защищали производство самым простым способом – надежным забором, охраной. Теперь же никакой забор не поможет – хакер на мопеде, сидя на парковке, может несколькими кликами взломать сервер предприятия и остановить рабочий процесс. Другой пример – прежде боялись, что компания может обанкротиться потому, что ее директор будет воровать миллиарды, а сегодня акции компании могут обрушиться из‑за того, что какая‑нибудь поп-звезда написала в социальной сети, что ей не понравился сервис. То есть к каждому из традиционных рисков добавился риск-фактор, связанный с онлайн или технологическим пространством, – комментирует Алексей Сидоренко. – В связи с этим выросла потребность в специалистах, обладающих компетенциями в сфере ИТ-безопасности и цифровизации. На мой взгляд, это последний гвоздь в «могилу» российского риск-менеджмента, поскольку киберриски – чистая математика. И если для моделирования рисков, в общем‑то, достаточно среднего уровня знаний в области корпоративных финансов и математики и риск-менеджеры умеют моделировать риски в инвестиционных проектах, закупках, бюджетировании – все это уровень седьмого класса по сравнению с тем университетом, который сейчас требуется риск-менеджеру. Риск-академию, да и АНО ДПО «ИСАР» нередко ругают за то, что мы слишком прогрессивные, рассказываем коллегам про космос, но, если разобраться, то, о чем мы говорим, и те инструменты, которые применяем, – всего этого недостаточно для борьбы с новыми угрозами, там математика на порядок сложнее. Даже меня пугает то, как сложно будет оцифровывать риски будущего. Те модели, которые мы используем, замечательно работают, когда у нас есть месяц, чтобы замоделировать ситуацию и принять какое‑то инвестиционное решение. Когда же у нас в запасе всего несколько часов или даже минут, нужно прибегать к помощи инструментов, которые сейчас кажутся мне космосом. В июне я учился в Америке у Нассима Талеба и был шокирован тем, что там у риск-менеджеров уровень математики на порядок, а может быть, и на несколько порядков выше нашего.

Угрозы, которые исходят из киберпространства, требуют еще более сложных технических компетенций, и риск-менеджерам в ответ на эти новые вызовы нужно серьезно задумываться о своей технической подготовке. То есть сегодня недостаточно быть просто хорошим коммуникатором, фасилитатором и успешным менеджером проектов, нужно наращивать технические компетенции, в том числе в области моделирования, и параллельно налаживать связи с профильными вузами, чтобы привлекать в команду молодых специалистов.

– Будем откровенны: вероятность того, что директор по рискам, которому, допустим, 35+ лет, сможет чему‑то вдруг научиться в математике, нулевая, поскольку для этого требуются фундаментальные знания. Поэтому я бы не стал рассчитывать на то, что риск-менеджеры смогут переучиться, но никто не мешает им искать перспективных дата-аналитиков и математиков, которые смогут оцифровывать процессы, ведь за этим будущее. Мы уже разработали искусственный интеллект, который позволяет оценить зрелость управления рисками, но технологии не стоят на месте, и искусственный интеллект будет охватывать все большее количество процессов. Значит, в идеале риск-менеджеры должны разбираться в математике и программировании. Но что мы видим на конференциях по рискам: риск-менеджеры собираются, чтобы обсудить текущие проблемы, поделиться наработками, а если завтра они столкнутся с настоящими серьезными рисками, то не смогут отреагировать на них, – говорит Алексей Сидоренко. – За границей ситуация другая: там у профессионального сообщества, а я активно участвую в сообществе G31000 из 60 тысяч риск-менеджеров, есть четкое осознание происходящего, они каждый день говорят об этом, выходит множество публикаций по теме. Кроме того, запущены соответствующие программы по подготовке риск-менеджеров, учитывающие реально необходимые данным специалистам компетенции, в частности по математике. И если в России об этом задумываются менее 5% специалистов, то там на порядок больше – 30–50%. Неудивительно, что пока другие учатся, придерживаются стратегии действия на опережения, отечественные риск-менеджеры продолжают составлять карты и реестры рисков, обсуждают, какой софт для этого лучше использовать. Чтобы идти в ногу со временем, нужно перестраивать мышление, расширять кругозор, перенимать иностранный опыт.

СПРАВКА

Алексей Сидоренко более 14 лет работает в области стратегического консалтинга и управления рисками в России, Австралии, Польше и Казахстане. В середине 2012 года основал портал www.risk-academy.ru для поддержки бизнеса в области управления рисками.

Алексей является соавтором глобальной методологии по управлению рисками компании PricewaterhouseCoopers (единственным в Восточной Европе) и выпустил несколько публикаций на тему управления рисками на русском и английском языках, включая публикацию книги по управления рисками «Рецепт эффективного управления рисками», которую скачали уже более 40 тысяч человек на двух языках.

Елена Восканян