Риск-менеджеры должны стать поставщиками комфортного принятия решений

Эксперты назвали пять главных ошибок специалистов по рискам

Наиболее распространенные ошибки, совершаемые риск-менеджерами при оценке рисков в компаниях нефинансового сектора, обозначили участники совместной встречи членов Института внутренних аудиторов и Института стратегического анализа рисков. Мероприятие состоялось в пресс-центре Интерфакс.

Первая ошибка связана с использованием некачественных методов оценки рисков, гарантирующих искажение информации и приводящих к неверным решениям и неэффективному распределению ресурсов.

– Процесс оценки риска, безусловно, предполагает определенную долю субъективизма. С субъективизмом и ментальными ловушками можно бороться, калибруя экспертов, чтобы они готовили свои прогнозы более адекватно, – комментирует основатель портала www.risk-academy.ru и руководитель направления международного сотрудничества АНО ДПО «ИСАР» Алексей Сидоренко. – Другое дело, что сам по себе такой инструментарий, как оценка рисков через ущерб и вероятность, и отображение на карте рисков скрывает большое количество внутренних методологических ошибок, и какую бы хорошую информацию ни закладывали в методологию оценки риска через ущерб и вероятность, на выходе будет гарантированно неправильный ответ. Да, оценивать риски с точки зрения ущерба и вероятности легко, быстро и наглядно, но если цена вопроса большая, такой подход приведет к заведомо неверным решениям, и здесь от профессионализма риск-менеджера практически ничего не зависит. Однако изобретать велосипед не нужно – по этой теме, начиная с 2000‑х годов, проведено огромное количество исследований. Хотя одним из самых популярных инструментов риск-менеджеров и остается карта рисков, он давно устарел. Проблемы карт рисков были подробно описаны в этом https://www.researchgate.net/publication/266666768_The_Risk_of_Using_Risk_Matrices и других исследованиях. По сути, карты рисков ничем не отличаются от гороскопов, которые все читают, понимая, что всерьез их воспринимать нельзя. На самом деле нам уже давно доступны инструменты, которые содержат меньше системных, методологических ошибок: деревья решений, сценарный анализ, имитационное моделирование и другие.

Вторая ошибка – использование стандартных настроек программных продуктов для оценки рисков может скрывать значительные ошибки и тяжело реплицироваться.

– Как показывает практика, даже на простых кейсах желательно проверять используемое программное обеспечение. Удивительно, но факт: когда результаты имитационной модели вызывают логические вопросы, иногда простые решения без использования специальных средств позволяют проверить кейс и найти разницу. При этом важно в конце процесса ответить на вопрос: почему вы получили такой результат и почему он странный, – прокомментировал руководитель направления по взаимодействию с учебными заведениями АНО ДПО «ИСАР», директор по управлению рисками ООО «УК «РОСНАНО», к.э.н. Константин Дождиков.

Алексей Сидоренко добавил, что при переходе из одной программы анализа рисков в другую возникает дополнительная прослойка ошибок, поскольку программа, которая принимает данные, по‑своему их интерпретирует. В частности, могут возникать проблемы с планами-графиками проектов, бюджетами и т.п. Важно выявлять такие ошибки. В этой связи задача аудитора – убедиться, что риск-менеджеры перепроверяют свою работу перед тем, как показать ее руководителям.

Еще одна проблема возникает, когда риск-менеджеры используют готовые продукты для анализа рисков, ведь встроенный туда генератор случайных чисел зачастую является неким блэкбоксом («черным ящиком»). Хотя компании, изобретающие эти продукты, делают все возможное, чтобы генераторы были адекватные, работали без сбоев, тем не менее с разницей в пять минут они могут показать разные результаты, ведь устройство генерирует новые наборы случайных чисел. Поэтому риск-менеджер может увидеть один результат, а решивший проверить его аудитор – другой.

В таком случае эксперты рекомендуют использовать решение наподобие SIPs, когда программа позволяет вывести генератор случайных чисел в открытое пространство – сохранять генерируемые результаты в отдельном файле, который хранится вместе с моделью. Таким образом, тот, кто будет проверять оценку рисков, пытаться анализировать корректность модели, всегда сможет обратиться к исходнику, который можно проаудировать и понять, ошибся ли риск-менеджер при оценке рисков или проблема в программном продукте.

Третья категория ошибок включает ошибки при работе со случайными переменными в ходе моделирования в финансовых моделях.

– Мы привыкли к простым математическим действиям. Нам кажется: если взять две переменные и сложить, получится определенный результат. Допустим, если объем продаж умножить на цену, получится выручка. Также есть убеждение, что ключевые показатели эффективности можно посчитать делением или вычитанием определенных параметров внутри финансовой модели – комментирует Алексей Сидоренко.

– Проблема заключается в том, что, как только мы начинаем переходить от детерминированных данных к неопределенным, эти правила не работают. Например, оказывается, нельзя вычитать две неопределенные величины одну из другой, нельзя делить величины друг на друга и т.п. Получится заведомо ложный результат. Следовательно, чтобы добавить в финансовую модель волатильность или оценку рисков, нужно предпринимать дополнительные шаги.

Константин Дождиков привел пример:

– Часто в финансовых моделях (как в стратегических, так и в бюджетных) не учитывается корреляция между случайными величинами. От того, что вы увеличиваете цену на 20%, объем продаж не меняется. Ровно то же самое происходит в имитационной модели: когда вы вставляете случайные величины, влияющие на цену и объем продаж, должна быть четко определена зависимость между ними, тем более речь идет об эластичных рынках, и при увеличении цены на продукцию должна быть обратная корреляция с объемом продаж – он должен снижаться. Что получается в итоге: вы закладываете в имитационной модели заведомо некорректные сценарии, оптимистичные или, наоборот, пессимистичные, что приводит к ложному результату, и они будут вводить в заблуждение финансистов и лиц, принимающих решение.

Четвертая ошибка, которую совершают риск-менеджеры и на что нужно обращать внимание внутреннему аудитору, связана с ошибочной интерпретацией результатов моделирования.

– Каждый раз, когда мы делаем анализ рисков, на выходе всегда есть диапазон, распределение и огромное количество возможных сценариев – какой будет бюджет с учетом рисков, какой будет срок реализации проекта с учетом риска, какой NPV будет с учетом риска, – поясняют эксперты. – Вообще, суть риск-менеджмента заключается в определении возможных будущих сценариев и снижении неопределенности. Задача риск-менеджмента – сделать диапазон насколько возможно узким, тем самым снижая неопределенность. Сегодня, используя карты рисков, специалисты пытаются показать руководству самый негативный сценарий. В 90–95% случаев они говорят с бизнесом на языке негатива, что убивает всю предпринимательскую инициативу внутри организации. А ведь в стандарте ISO 31000, обновленном в 2018 году, упоминается, что риск – это также возможность, значит, нужно показывать бизнесу и положительную сторону риска. К тому же вариантов будущего множество, и риск-менеджмент должен обозначать разные варианты будущего проекта или бюджета. Другое дело, что нас часто просят дать одну прогнозную точку. Это неправильно – риск-менеджмент говорит на языке диапазонов с доверительными интервалами. Многое упускается из анализа рисков, когда мы, вместо того чтобы коммуницировать положительные и отрицательные сценарии, выбираем один. Поэтому рекомендуем коллегам начать коммуницировать риски диапазонами, как это делают в крупных компаниях.

Пятая ошибка – ошибки при раскрытии допущений, используемых для оценки влияния рисков на цели и решения. Алексей Сидоренко замечает: многие риск-менеджеры забывают о прозрачности, качестве информации, не раскрывают допущения, ограничения, вводные, которые они использовали.

– Если мы используем сложные инструменты анализа рисков, все допущения, вводные параметры и возможные ограничения должны раскрываться в приложении к презентации, которую вы показываете на правлении или совете директоров. Почему это важно: члены совета директоров – такие же эксперты, которые не только смотрят на ваши прогнозы, но и пытаются проанализировать, насколько они реалистичны. У них, как правило, есть свой сценарий развития событий в организации, и в предлагаемых вами диапазонах они должны увидеть свой сценарий. Риск-менеджеры должны стать поставщиками комфортного принятия решений. Если вы сделали так, что менеджменту комфортно принимать решение и понятно, при каких параметрах и диапазонах могут реализоваться риски, значит, вы выполнили свою задачу, – поясняет Константин Дождиков. – К тому же при общении с иностранными специалистами мы все чаще говорим не о риск-менеджменте как таковом, а используем понятие «Informed risk taking» (информированное принятие риска). Следовательно, задача риск-менеджера – проинформировать руководителей, принимающих решения, о том, какой уровень риска они берут на компанию или на себя, подписывая тот или иной документ.

Алексей Сидоренко дополнил:

– Раскрытие вводных параметров, ограничений, допущений, источников информации, диапазонов, заложенных в расчетные механизмы, – это обязанность любого риск-менеджера, и аудитор должен его спрашивать – где приложение, в котором раскрываются расчеты. Кстати, у риск-менеджеров, использующих количественные методы оценки, есть некий этикет – они раскрывают допущения в своих материалах. А вот их коллеги, работающие с картами и реестрами рисков, игнорируют данный аспект. Это повод задуматься.

Алена Бехметьева