По мнению соавтора ISO 31000, автора многих руководств и книг по управлению рисками Гранта Перди (Австралия), многослойный подход к управлению рисками, сложившийся к настоящему времени, мешает принимать решения. Об этом он рассказал в ходе форума «Неделя риск-менеджмента-2020» (Risk Awareness Week), проходившего в апреле в онлайн-формате. Журнал «Риск-менеджмент. Практика» публикует основные тезисы выступления господина Перди.
– Мы постоянно слышим фразу «управление рисками», но задумываемся ли о ее значении? До сих пор нет общей точки зрения на то, что такое управление рисками или почему мы на самом деле управляем ими. Звучат различные утверждения, что риск-менеджмент поддерживает принятие решений или является частью корпоративного управления. Однако зачастую управление рисками скорее препятствует качественному принятию решений, чем помогает в этом.
Дело в том, что подход к управлению рисками представляет собой неуклюжую, многослойную конструкцию, которая меняется каждый день под влиянием различных факторов, в том числе появления новых требований, что сопровождается бумажной волокитой. Для многих компаний управление рисками стало, образно говоря, «бременем на шее» и не приносит желаемых результатов. Чтобы понять причину происходящего, предлагаю всем, кто работает в сфере управления рисками, поразмышлять: если управление рисками – ответ, то каким был вопрос? При этом постарайтесь не использовать в ответе слово «риск».
Работая в данной области 44 года, я пришел к выводу, что решения – это «ингредиенты», обеспечивающие результаты, которые мы хотим. Но часто мы получаем результаты, не соответствующие нашим ожиданиям. Большинство из них имеют незначительные последствия, но иногда невинные, на первый взгляд, решения могут привести к серьезным негативным последствиям, которые будут иметь многослойный характер или привлекут значительное внимание общественности. Известные примеры: крах корпорации Enron в 2001 году, крушение «Титаника», катастрофа шаттла «Челленджер». Во всех этих случаях принятые решения не привели к результату, который лица, их принимавшие, хотели бы получить.
Я начал свою карьеру в Великобритании в 1970‑е годы в сфере охраны труда и промышленной безопасности (ОТиПБ) и могу констатировать, что до 1972 года почти все законодательные акты в данной области носили предписывающий характер. Причем предписания выдавались только в том случае, если негативные события повторялись часто. Мы поняли, что неправильно, когда государственные регуляторы контролируют выдачу предписаний, и решили передать управление рисками на уровень компаний, которые могли бы эффективно их оценивать и принимать взвешенные решения о дальнейших действиях. Однако нашлись люди, которые начали использовать термин «управление рисками», придуманный для описания различных усилий, направленных на то, чтобы предостеречь людей от совершения ошибок и принятия неудачных решений, как вывеску для продажи своих услуг и возвысили его до уровня системы убеждений. Отмечу: нередко такие системы основываются на неподтвержденных утверждениях и концепциях. Неудивительно, что топ-менеджмент начал расценивать управление рисками как лженауку и не поверил в эффективность такого подхода. Все усугублялось тем, что сфера риск-менеджмента представляла собой «закрытый клуб», участники которого использовали непривычный жаргон. Через 30–40 лет жаргон стал более обширный, концепции – более сложными.
В настоящее время взгляды даже на базовые определения риск-менеджмента сильно различаются, и управление рисками является инородным телом для организации, которое обычные люди не могут или не хотят понимать.
Тем не менее управление рисками выжило и даже процветает. Это связано с несколькими факторами.
Первый – активность последователей данной системы убеждений, ставших внешними и внутренними консультантами организаций. Прежде многие из них были связаны со страхованием и аудиторскими услугами и, следовательно, имели некоторые дополнительные рычаги влияния, позволившие сделать так, чтобы организации хотя бы в общих чертах задумались об управлении рисками как о чем‑то существенном.
Второй фактор – объединившись, такие последователи попытались подогнать псевдонауку под эту систему убеждений путем создания некоторых стандартов: австралийско-новозеландского стандарта, стандарта ISO, COSO, британского стандарта Института управления рисками (IRM) и других. Причем руководствовались они благородной целью – пытались согласовать подход, однако по факту сделать это не удалось.
Еще один фактор – стремление регуляторов и законодателей обязать отдельные компании и даже секторы экономики управлять рисками. Допустим, в третьем издании руководства по корпоративному управлению, опубликованному Австралийской фондовой биржей, указаны конкретные требования по управлению рисками. В частности, в документе говорится, что в секторе финансовых услуг нужно не только эффективно управлять рисками, но и делать это по определенным правилам, иметь определенные документы – заявления о риск-аппетите, план по управлению рисками, реестр рисков. В действительности многие в принципе не знают, что это такое и какова цель этих документов. Организации, осознав, что им нужна помощь в соблюдении требований, стали обращаться к консультантам и внутренним сотрудникам.
«В настоящее время взгляды даже на базовые определения риск-менеджмента сильно различаются, и управление рисками является инородным телом для организации, которое обычные люди не могут или не хотят понимать.»
Одна из характеристик управления рисками в настоящее время – наличие так называемых «основ» управления ими. Вы можете называть их системами или методологическими основами. По сути, система убеждений, которая называется «управлением рисками», требует не только другого способа мышления, но и фактически другой организационной структуры и собственного языка. Хотя в требованиях часто сказано, что вы можете настроить систему под свою организацию, правда заключается в том, что «универсальный размер не универсален». Существует только одна метрология, ваша документация должна иметь такие‑то названия и включать такие‑то элементы, и вы должны их вписать в эту модель. Но ведь мы знаем, что все организации разные, у каждой своя цель, свой механизм принятия решений, своя логика. И применение пятимерной карты рисков не является рецептом, подходящим для всех. Считаю, он вообще никому не подходит.
В течение многих лет я наблюдал использование компаниями «правильной» и хорошо проработанной матрицы рисков. Разница между ней и фактическими данными в большинстве случаев значительна. У 98% организаций, которые я изучил за 30 лет, карта рисков была неверна. Если посмотреть глобально на компании – не просто на те, кто участвует в опросах, выпущенных аудиторскими компаниями, а в целом на все действующие в мире организации, – окажется, что на самом деле очень немногие что‑то делают в рамках управления рисками. Среди тех, кто делает, только небольшая доля компаний показала хороший результат за эти годы.
С другой стороны – если мы переписываем стандарты в течение почти 30 лет, почему возникают сложности с их адаптацией? Почему организации не сделают это естественной частью процесса принятия решений? Выскажу самую причудливую идею – это вопрос интеграции и встраивания в другие процессы. Все стандарты указывают на то, что управление рисками должно быть интегрировано в процессы принятия решений. Однако это выглядит странно: как вы можете интегрировать что‑то, что имеет иной язык, базируется на отличных относительно известных вам вещей принципах, требует полного изменения подхода к принятию решений, переворачивает его вверх дном, чтобы вписаться в эту неестественную концепцию управления рисками? Как это может быть интегрировано и встроено? Если разобраться, все это совершенно нелепо, поэтому я утверждаю, что управление рисками стало бременем для организаций.
«Если вы являетесь профессионалом в области управления рисками, у меня для вас плохая новость – то, что вы делаете, не имеет большой ценности для компании.»
Если вы являетесь профессионалом в области управления рисками, у меня для вас плохая новость – то, что вы делаете, не имеет большой ценности для компании. Несмотря на то что вы можете убедить людей в вашей организации в необходимости управления рисками, истина такова: это конфликтует с обычным способом работы компании, это накладно, затратно, требует создания специальных команд внутри организации, специальных ИТ-систем, отправки сотрудников на тренинги для повышения их компетенции. Откровенно говоря, это просто удручающе. Многие, кому приходится управлять рисками, говорят: меня принуждают делать это таким образом, заставляют вести реестр рисков. Часто риск-менеджерам приходится вести открытые обсуждения, в ходе которых они сами усложняют значения слов: допустим, вместо слова «культура» говорят «риск-ориентированная культура», вместо «управление» – «риск-ориентированное управление». Мы сами придумываем сложные термины, а потом удивляемся, что нас не понимают.
Все мои исследования были направлены на то, чтобы показать: управление рисками создает ценность, но таких случаев очень мало, чаще практикующие специалисты путают такие понятия, как «корреляция» и «причинно-следственная связь». Многие успешные компании тратят большие средства на кажущееся эффективным управление рисками, но на деле вряд ли эффективное управление рисками приведет к повышению эффективности компании. Нет никаких доказательств того, что есть прямая связь между стандартами и их внедрением, с одной стороны, и повышением эффективности компаний – с другой, особенно когда первые определяются регулирующим режимом. Таким образом, реальная проблема в том, что управление рисками высасывает ресурсы из других функций компании. Это создает ложное чувство безопасности, уверенности и невнимание к ресурсам, к тому, что люди должны делать, чтобы повысить качество принимаемых решений.
Следовательно, как бы некомфортно для вас это ни прозвучало, управление рисками скорее препятствует, чем помогает лицам, принимающим решения. Оно фактически не дает им возможности принимать обоснованные решения. Постарайтесь вспомнить, когда в последний раз вы использовали реестр рисков для принятия правильного решения в вашей компании?
Я создал сотни, может быть, даже тысячи таких реестров, и мне неизвестно, как взять реестр рисков и применить для принятия решения. Однажды я видел реестр рисков из 60 столбцов. Сколько же времени тратит риск-менеджер на его заполнение, не говоря уже о том, чтобы объяснить лицам, принимающим решения, что все это значит? В итоге у них появляется просто стопка бумаг, на которую они совершенно не опираются при принятии решений.
Таким образом, можно сделать вывод, что управление рисками является искусственно сотворенной концепцией: никто толком не знает, что это значит, не существует согласованного определения, нет согласованности с особенностями и контекстом компании и даже с ее целью – по сути, это внешний фактор. И это что‑то внешнее нам нужно как‑то хорошо интегрировать. У нас нет науки управления рисками, оно не было научно доказано и даже на практике не используется последовательно во всем мире: каждая организация, каждый практик применяет его по своему усмотрению по разным причинам.
В основе управления рисками нет надежной базы знаний. Мой коллега, проведя анализ стандартов ISO, обнаружил, что существуют 40 отдельных значений слова «риск». Напомню: ISO – это международная организация по стандартизации, но даже в ней не могут договориться, что означает «риск». Как же мы можем договориться о том, что означает управление рисками, если нет определения риска?
Каждый раз, когда люди используют его, они подразумевают разный контекст и трактовку. Одни применяют его как глагол – рисковать чем‑нибудь, другие используют как существительное, третьи – имеют в виду шанс на успех, четвертые – последствия, связанные с тем, что имела место реализация риска. Все, что мы до сих пор делали, – увеличивали сложность процесса управления рисками, чтобы нормальные люди, сталкивающиеся с принятием решений, находили их слишком сложными.
Управление рисками – это история больше про избежание потерь, чем про достижение успеха. Следовательно, пришло время отказаться от управления рисками. Это не означает просто заменить одни слова на другие. Я имею в виду, что существующая сегодня концепция оказалась нежизнеспособной. Она была обречена на провал изначально, поскольку фундаментально неверна. Вы можете попытаться исправить ее, но натолкнетесь на путаницу с терминологией как в примере с термином «риск».
«Мой коллега, проведя анализ стандартов ISO, обнаружил, что существуют 40 отдельных значений слова «риск».»
Нельзя создать систему убеждений с помощью лженауки и ждать, что она будет работать. Единственный выход – выбросить все, что мы знали ранее, и начать заново. Возможно, сейчас вы скажете, что задачу по управлению рисками поставил регулятор. В таком случае рекомендую вам поставить под сомнения требования регулятора, попросив предоставить предписания, почему вы должны действовать именно таким образом, и продемонстрировать, как это может использоваться ежедневно.
Остановитесь, взгляните на созданные ранее конструкции и демонтируйте их как можно скорее. Не стоит поручать это самому риск-менеджеру – людям сложно расстаться с некоторыми привычками. Управление рисками похоже на рак: если оставить несколько зараженных клеток, он снова распространится, поэтому нужно избавиться от них полностью.
Сместите фокус на то, как ваша компания принимает более обоснованные решения, используя обыкновенный язык. Поверьте, для этого не нужны новые разработки, принятие решений – лишь часть жизни, вам не нужно иметь особый орган «департамент по принятию решений», вы сами с этим справитесь.
За 44 года работы в этой сфере ко мне неоднократно обращались за советом, как повысить качество принимаемых решений и быть уверенным, что они приведут к желаемым результатам и не приведут к нежелательным последствиям. Я верю в то, что принятие решений является относительно простым действием, основополагающей методологией, к которой люди адаптированы в большей или меньшей степени. В рамках компании все принимаемые решения должны соответствовать ее цели.
Подготовила Елена ВОСКАНЯН