Эффективное управление рисками, по мнению дипломированного финансового аналитика, сертифицированного аудитора по управлению рисками, старшего исполнительного директора в отставке Нормана Маркса, предполагает не предотвращение вреда, а достижение успеха. «Необходимо избегать болтовни и использовать язык бизнеса. Управление рисками можно считать эффективным, когда руководители организации и лица, принимающие решения на всех уровнях, утверждают, что оно помогает им добиться успеха. Периодический пересмотр рисков является небольшой частью управления рисками. Речь идет о том, чтобы помочь лидерам понять вероятность достижения целей, а не размер рисков вне контекста. «Управление рисками – это эффективное управление», – заявил эксперт в ходе своего выступления на Risk Awareness Week-2020. Сегодня мы публикуем тезисы выступления Нормана Маркса.
Принять или избежать?
– Я работаю с частными лицами и организациями по всему миру, консультирую их по вопросам управления рисками, внутреннего аудита, корпоративного управления, эффективности работы предприятия и ценности информации. В связи с этим хочу поделиться своими принципами эффективного управления рисками.
Расскажу о маленьком трюке, который я «провернул» недавно с группой специалистов по рискам крупной глобальной организации. Эту встречу на северо-западе США я начал с того, что спросил одного из участников, чей мобильный телефон лежал на столе: «Вы уверены, что в курсе всех рисков владения и использования мобильного телефона? К примеру, отследив местоположение вашего устройства, злоумышленникам не составит труда найти вас и напасть. Да и некоторые приложения отслеживают, что вы говорите, и затем, не уведомляя об этом, передают сведения посторонним. Готовы ли вы отдать мне свой телефон, чтобы избежать этого риска?» Ответ, разумеется, был отрицательным: мы не готовы расстаться с гаджетом, нам проще принять этот риск.
Риск-менеджеры порой забывают, что, защищаясь от какого‑либо риска, смотрят только на одну сторону медали, вместо того, чтобы взглянуть на обе и помочь людям, принимающим решения, рассмотреть все последствия совершаемых ими действий.
Увидеть общую картину
– Как показывает мой опыт, мы часто зацикливаемся на киберрисках. На днях стало известно о новой «бреши», из‑за которой данные миллионов людей об их номерах социального страхования и другая личная информация были украдены. Хорошо еще, что не данные кредитных карт. Услышав подобные новости, люди, конечно, начинают беспокоиться, но давайте разберемся – насколько существенны киберриски на самом деле и нужно ли выделять их обособленно?
Представим, что вы живете в Мадриде и создаете новую компанию, подумывая об открытии офиса в Алжире. Киберриск – только один из рисков, который встанет перед вами наравне с другими: политическими, рисками комплаенса и подбора персонала, а также рисками частной собственной ЕС. Только увидев общую картину, можно сформировать продуманное бизнес-решение. К тому же на повестке дня будет множество других вопросов – запуск новой маркетинговой кампании, развитие новой технологии и так далее. Словом, принимая решение об открытии офиса, вы оцените, будут ли потенциальные выгоды перевешивать потенциальные издержки.
Изучая возможности запуска нового бизнеса, люди, в первую очередь, думают об издержках, а надо думать и о выручке.
Современный риск-менеджмент – все меньше о риске как таковом, нежели о том, как риски влияют на достижение целей или успех организации.
Перед принятием важного решения вы должны быть готовы взвесить все «за» и «против». Звучит элементарно, но это делают не все. Например, если вы думаете о покупке нового дома, необязательно составлять перечень аспектов, из‑за которых все может пойти не по нужному вам сценарию, и других вещей, которые вам не нравятся. Наоборот, вы набрасываете список того, что вам нравится, и ориентируетесь на них.
Изучая возможности запуска нового бизнеса, люди, в первую очередь, думают об издержках, а надо думать и о выручке. Не нужно фокусироваться только на одной стороне вопроса, как это зачастую бывает, негативной, ведь многие полагают, что на позитивной сфокусируется кто‑то другой из их окружения. Бывает, что в компании профессионал по рискам – специалист в данной дисциплине, проведя моделирование и проверку, на выходе представляет анализ негативных сценариев, а кто‑то другой, гендиректор или директор по продажам, будучи вечным оптимистом, во всем видит только плюсы. Нужно найти баланс между плюсами и минусами, ведь ваша задача – помогать руководству принимать обоснованные и продуманные бизнес-решения.
Как стать полезными бизнесу?
– В последнее время термин «риск» приобрел некий негативный оттенок, многие думают, что он относится только к вещам/событиям, которые могут пойти не по плану. Неудивительно, что руководители и члены совета директоров не видят ценности риск-менеджмента – не понимая, как риски могут помочь им поддержать бизнес, они переносят 80% рисков в область комплаенса.
Если специалисты, отвечающие за управление рисками, хотят в чем‑то убедить руководство, то должны стараться информировать его о своих выводах, рисках и последствиях, это поможет топ-менеджменту принять продуманное решение. Но для начала все же советую обратиться к вопросу – а что им нужно? По-английски это звучит как «What’s in it for me?». Если люди не думают о том, что есть что‑то, способное принести им выгоду, слушая, читая или размышляя о принятии риска, они не понимают, почему стоит тратить время на него. Если же они видят, что управление рисками помогает их бизнесу быть успешным, процветающим, ситуация будет отличаться кардинально.
В недавнем исследовании Deloitte говорится, что в ходе опроса руководителей и членов совета директоров о том, скольким из них управление рисками помогает формировать и внедрять бизнес-стратегию, утвердительно ответили: только 13%. Всего 15% заявили, что в их компаниях риск-аппетит установлен как ключевой элемент стратегии. Таким образом, мы видим несбалансированность между ведением бизнеса и ограниченностью людей в отношении того, какой риск они могут принять. 10% опрошенных отметили, что заявление о риск-аппетите (risk appetite statement) влияет на принятие решений.
Вот и выходит: мы, рисковики, фокусируемся на традиционном риск-менеджменте, вместо того чтобы думать о наших клиентах, продвижении бизнеса, выяснении того, что им нужно.
Да, мы можем продолжать делать то, что делали всегда, в том числе формулировать заявления о риск-аппетите. К тому же сейчас среднестатистический член совета директоров ожидает увидеть такое заявление, хотя, по сути, оно является бесполезным. Риск-менеджеры не придумали, как оформить его в полезный инструмент принятия решений. Но мы все же идем по порочному кругу, продолжая делать то, что кто‑то когда‑то придумал.
Я рекомендую вам напрямую обратиться к людям, принимающим решения, и спросить у них: что вы можете сделать, чтобы помочь им принять очень сложные и неоднозначные решения лучшим образом, как можете помочь им улучшить качество процесса принятия решений?
Заявление о риск-аппетите – это, скорее, дополнение к отчетности, нежели аргумент, непосредственно влияющий на решения, и сопоставимо для меня с тем, когда кто‑то изобретает новый инструмент без понимания того, что в действительности надо делать. Заявление о риск-аппетите на деле не влияет на решения, принимаемые людьми в повседневном бизнесе почти каждую минуту.
Работая в сфере риск-менеджмента, вы должны понимать, чего хотите достичь, применяя соответствующий инструментарий, и на чем вам надо сфокусировать внимание в данный момент. Риск-менеджмент – история не про установление лимитов, не про ограничения, потому что если мы только исключаем риск, то единственный путь для нас – уйти из бизнеса.
Готовой инструкции нет
Мне часто задают вопрос «Что такое эффективный риск-менеджмент?» Он действительно помогает принимать эффективные и продуманные решения, давая понимание, что может случиться. Задача риск-менеджера – помочь топ-менеджменту увидеть не разрозненную мозаику, а общую картину, какие риски могут наступить, какая на них может быть реакция и с какими последствиями столкнется бизнес. При этом управлять рисками должны все‑таки профессионалы.
Часто компании ищут так называемых эффективных менеджеров, но не каждый эффективный менеджер умеет структурировать порядок принятия решений. Если вы не способны понимать, что может произойти, как найти необходимую информацию, относящуюся к какому‑либо вашему решению с учетом времени, которое у вас есть, это обнаружится достаточно быстро – в тот момент, когда вам нужно будет такое решение. Консультируйтесь с кем‑то, кого могло бы затронуть данное решение. Все эти моменты – часть эффективного управления рисками.
Создавая новую компанию или запуская бизнес, собственники, как правило, фокусируются на том, что что‑то может пойти не так. Но у них нет инструкции, в которой говорилось бы, как взвесить потенциальные негативные эффекты с помощью цифр и сравнить с потенциальными выгодами. Я не увидел в ISO какой‑либо инструкции для сравнения вероятности роста выручки с вероятностью неудовлетворительного состояния продукта. Не это ли самое важное? Какой смысл придумывать что‑то вроде оценки риска и не объяснить людям, как этим пользоваться? COSO ERM вообще идет обратным путем, а именно предполагает, что все компании должны иметь список и реестр рисков.
Риск-менеджмент не имеет различий с процессом принятия продуманных решений. Это просто менеджмент. Причина того, почему мы прибавляем сюда слово «риск», в том, что множество исследований по нейроэкономике, то есть разделу, в котором затронуты биологические аспекты работы мозга, а также по теории вероятности – математической науке, пытающейся посчитать эффекты неопределенности, говорят о том, что менеджеры должны думать о риске и принимать умные решения. Но многие этого не делают. Не потому, что они плохие менеджеры, а потому, что эволюция сделала нас такими – наш мозг привык все упрощать. И пока мы не остановимся и не сделаем что‑то вроде переключения с системы мышления 1 на систему мышления 2, вероятно, будем скатываться в какую‑нибудь из множества ментальных ловушек, которые могут существенно снизить качество принимаемых нами решений.
Другой момент фундаментальных исследований, предопределяющий специфику менеджмента, – согласно теории вероятности, размышление о будущем, которое может быть связано с миллионами взаимосвязанных и независимых факторов, очень сложный процесс. Будущее непредсказуемо по определению. Лучшее, что мы можем сделать, – подойти к этому вопросу с оценками, с потенциальными сценариями, с возможным видением того, какие разные варианты будущего могут сложиться. Однако даже это фундаментальное послание утеряно многими менеджерами. Нет определенного будущего, оно мультивариантно. Нет одного будущего, только того, в котором при определенных действиях мы сгенерируем сотни миллионов выручки. Есть неисчислимое количество возможных вариантов, и мы не знаем, какой из них окажется настоящим. Знаем только, какой из них более, а какой менее вероятен.
Кажется, что, если мы просто положимся на интуицию и наш опыт, не сможем принять лучшее возможное решение. Поэтому все еще используем риск-менеджмент – инструмент, помогающий понять будущее, неопределенности в нем, и обнаружить вероятные ментальные ловушки, которые влияют на принятие решений.
Риск-менеджмент не имеет различий с процессом принятия продуманных решений.
Это просто менеджмент.
Нужно быть более осторожными
Чтобы отобразить будущие результаты, мы используем диапазоны, показывающие позитивные и негативные сценарии. То есть всегда, когда мы отчитываемся по риску, делаем это с помощью вероятности достижения цели, вероятности перевыполнения цели и вероятности очень плохих сценариев. Таким образом, можем дать людям, принимающим решения, все три фрагмента головоломки, говоря, что такова вероятность чего‑то поразительного; вероятность, что все будет так, как обещано акционерам; и вероятность действительно чего‑то ужасного. Это помогает топ-менеджменту принимать наиболее оптимальные решения.
Принимая во внимание все, что может случиться, как хорошее, так и плохое, видим, какова вероятность неудачи, вероятность достижения и вероятность превышения целей. Но нет никаких подробностей этого с точки зрения конкретных источников как для возможностей, так и для угроз. Углубление в это потребует некоторой работы. После предоставления такого рода информации лицу, принимающему решение, риск-менеджер должен быть готов к множеству вопросов: что нужно делать, чтобы увеличить показатели, что можем сделать, чтобы увеличить вероятность целей, и так далее.
Множество раз я присутствовал на встречах исполнительного комитета и видел ситуацию, когда финансовый директор представляет комитету прогноз на следующие несколько месяцев или даже до конца года, и когда дело доходит до выручки, никто не спрашивает, какова вероятность достижения прогноза, что можно сделать, чтобы превысить его, каковы возможные варианты неполучения выручки.
Думаю, что нам нужно быть более осторожными. Слишком много убежденности в том, что является на самом деле довольно хрупкой основой. Поэтому цифры, выходящие из инструментов управления рисками, не являются однозначными. Оставьте попытки думать о риске как о каком‑то значении. Риск никогда не является просто цифрой, это всегда диапазон.
Подготовила Елена ВОСКАНЯН