Топ-5 проблем, которые должны волновать риск-менеджеров

530
Алексей СИДОРЕНКО, эксперт по управлению рисками, основатель портала «Риск-Академия» risk-academy.ru

В конце года, как правило, появляется множество рейтингов. Мы предлагаем вашему вниманию топ-5 проблем, о которых риск-менеджеры должны беспокоиться вчера, сегодня и, скорее всего, завтра.

 

Проблема № 1. Быть исключенным из процесса планирования и принятия решений

Самая большая проблема, которую необходимо преодолеть специалистам по рискам, это убедить лиц, принимающих решения, позволить выслушать мнения о рисках за столом переговоров и пригласить риск-менеджера для принятия решения.

Дело в том, что большинство бизнес-процессов, связанных с планированием, прогнозированием, составлением бюджета, принятием решений или управлением производительностью, изначально спроектированы так, чтобы игнорировать неопределенность. Откройте книги по стратегическому планированию, руководства по составлению бюджета или процедурам управления эффективностью – там практически нет упоминания о риске или риск рассматривается как параллельная запоздалая мысль. Управленческие дисциплины являются детерминированными, а не стохастическими, и убеждают нас в том, что существует одно предсказуемое будущее, хотя по факту это не так. Неудивительно, что для большинства лиц, принимающих решения, ценность анализа рисков неочевидна.

Риск-менеджеры должны беспокоиться о том, как участвовать в принятии важных решений и оправдывать время и усилия, необходимые для проведения анализа рисков, а также как убедить лиц, принимающих решения, использовать результаты анализа. Часто это требует значительного реинжиниринга процесса. Я делал это для страхования, закупок, инвестиционных решений, стратегии, операционных рисков и технического обслуживания. Каждый раз это новая история: то, что сработало в одной организации, не сработало в другой. Следовательно, требуется постоянное переосмысление.

 

Проблема № 2. Отсутствие компетенции для проведения своевременного количественного анализа рисков

Беспокойство по поводу отсутствия нужных компетенций часто является препятствием, которое мешает многим риск-менеджерам попросить разрешения сесть за стол переговоров. В этой ситуации я могу предложить четыре варианта:

• наймите специалиста по количественной оценке, чтобы он присоединился к команде риска (это то, что я делал на своей предыдущей работе);
• передайте на аутсорсинг создание квантов и моделей (это то, чем я занимаюсь сейчас);
• используйте программное обеспечение, в основе которого лежит надежная квантовая методология, где кто-то уже выполнил за вас сложную математику (это делает, например, компания Archer Insights);
• повысьте квалификацию и станьте специалистом по количественной оценке (полезной отправной точкой может стать проводимый АНО ДПО «ИСАР» форум Risk Awareness Week).

Продать обещание ценной информации о рисках сложно, но еще труднее не выполнить обещание. Иногда достаточно собрать людей в комнате и заставить их говорить, делиться информацией, чтобы генерировать идеи, но реальная ценность, экономия и новаторские идеи приходят от всестороннего анализа рисков, который невозможно провести качественно. Это подводит нас к следующему пункту.

 

Проблема № 3. Ошибка модели

Сегодня методология и фреймворки управления рисками доступны для всех. Много книг написано о личном опыте одного риск-менеджера или конкретной компании. И, естественно, у каждого консультанта есть своя уникальная методология. В 2021 году, просто ради интереса, я обратился к коллегам – специалистам по управлению рисками с просьбой провести повторные тесты, чтобы увидеть, насколько хорошо на самом деле работают применяемые ими методологии. Представьте мое удивление, когда большинство компаний не только не смогли их провести, но оказалось, они никогда не слышали о бэктестах.

В любом случае, любой риск-менеджер должен помнить о модельном риске (этот термин я использую для описания эффективности моделей риска, методологий и подходов), поскольку большинство идей, лежащих в основе таких распространенных вещей, как ERM, ESG или общие методы, такие как тепловые карты, как было доказано, добавляют столько ошибок, что компаниям лучше вообще не заниматься управлением рисками, чем использовать их. К такому выводу пришли авторы исследования «The Risk of Using Risk Matrices» («Риск использования матриц рисков») https://www.researchgate.net/publication/266666768_The_Risk_of_Using_Risk_Matrices.

Хорошие риск-менеджеры повторно тестируют свои модели и очень прозрачно относятся к ограничениям. Например, я знаю, что некоторые из моих моделей работают при CI 90% (CI – confidence interval, доверительный интервал.– Прим.ред.) и не работают при более высоких доверительных интервалах.

 

Проблема № 4. Лица, принимающие решения, игнорируют результаты анализа рисков

Еще одна серьезная проблема заключается в том, что принятие решений по-прежнему остается делом рук человека. Это означает, что независимо от того, насколько хорош или полезен анализ рисков, в конечном итоге решение принимает человек – со своей склонностью к риску, восприятием, предубеждениями и предпочтениями.

Исследования поведенческой экономики говорят нам, что, столкнувшись с выбором, когда нужно что-то предпринять в отношении рисков или ничего не предпринимать, многие выберут вариант, требующий меньших усилий.

Математика, лежащая в основе анализа рисков, обычно довольно проста и последовательна, однако то, как вы формулируете выводы, зависит от лица, принимающего решения. Я, например, потратил много времени и усилий, чтобы выяснить, как наилучшим образом представить результаты анализа рисков и как использовать программное обеспечение для создания дашбордов, помогающих в решениях.

 

Проблема № 5. Концентрация внимания на слишком большом количестве рисков

Команда по управлению рисками имеет ограниченную пропускную способность, поэтому решения, в которых они участвуют, и тип анализа рисков, который они выполняют, должны быть тщательно отобраны. Моя команда работала лучше всего, когда нам разрешалось иметь узкий мандат с конкретными рисками, на которых мы фокусировались. Всеми остальными рисками управляли владельцы рисков или вторая линия, ответственная за эти риски, у которых всегда была возможность обратиться к моей команде за консультацией по методологии. Например, у меня не было возможности глубоко погрузиться в киберриск, и это оставалось обязанностью ИТ-отдела.

Чтобы получить реальную пользу и экономию от снижения риска, нужно действительно глубоко погрузиться в тему. Потребуются недели и месяцы построения моделей и проведения симуляций. Я называю это стандартизированными и передовыми подходами к анализу рисков и рассказываю об этом на Risk Awareness Week 2022. При этом не забывайте, что большинство рисков должно быть охвачено базовым подходом, лишь немногие – стандартизированным и продвинутым.

 

Алексей СИДОРЕНКО, эксперт по управлению рисками, основатель портала «Риск-Академия» risk-academy.ru