Риск-ориентированный подход к бизнес-процессу подразумевает его выполнение через призму вопроса «А что может пойти не так?», то есть осознанное выявление, учет и минимизацию рисков на каждом шаге всеми его участниками. Казалось бы, сотрудник всегда может технически по алгоритму или инструкции проводить осмотр оборудования или проверку контрагента, сформировать план закупок; возможно, так даже будет быстрее. Но если человек привык выполнять задачи, не подключая критическое мышление, он в конечном счете может упустить существенные риски и не достичь цели своей работы и бизнес-процесса даже при полном соблюдении процедур. Эту актуальную для риск-менеджеров тему рассмотрел дипломированный внутренний аудитор (CIA), член Рабочей группы по разработке проектов Национальных стандартов по управлению рисками при ТК010, лауреат конкурса «Лучший риск-менеджер России-2020» в номинации за общий вклад в развитие риск-менеджмента в России, старший менеджер Группы компаний Б1 Артем Курбатов на международном Профессиональном Форуме РусРиска.
– Нужно понимать, что компания живет не одним бизнес-процессом – ее деятельность представляет собой цепочку создания стоимости, в рамках которой каждый бизнес-процесс имеет поставщиков и входы, выходы и потребителей; таким образом, один процесс, безусловно, влияет на другие. Поэтому предполагается, что все сотрудники осознанно подходят к своей работе и применяют риск-ориентированный подход на системной основе, то есть каждый раз, выполняя какую‑то задачу, критически осмысливают свои действия. Выделим основные области для такого анализа:
• бизнес-контекст (как процесс вписывается в цепочку создания стоимости, насколько хорошо он функционирует в текущей бизнес-среде, насколько приспособлен к ее изменениям и т. д.);
• организационный контекст (что стимулирует получение качественных результатов процесса, как результаты процесса учитываются в вознаграждении за выполненную работу и т. д.);
• эффективность (насколько бизнес-процесс достигает целевых уровней эффективности и результативности, какая предусмотрена реакция на отклонения и т. д.);
• вовлечение персонала (насколько большие вариации привносит человеческий фактор, насколько обучены для выполнения задачи исполнители и т. д.);
• передача работы или информации между участниками процесса (в каком месте передача ответственности, вероятнее всего, приведет к задержке процесса, и т. д.);
• регламентация (нет ли в ней разрывов логики, неоднозначностей или противоречий, и т. д.);
• производительность, узкие места и вариации (масштабируем ли процесс в сторону увеличения или уменьшения, что происходит далее по выполняемым процессам, когда рассматриваемый процесс ускоряется или замедляется, и т. д.);
• автоматизация (можно ли автоматизировать дополнительные действия по процессу, как процесс будет выполняться при сбое систем, и т. д.);
• затраты (какова полная стоимость процесса с учетом частоты и обстоятельств его выполнения, можно ли ее уменьшить, за счет чего, и т. д.).
Так как бизнес-процесс является цикличной последовательностью шагов, то основным подходом к реагированию на риски в нем является внедрение и поддержание процедур внутреннего контроля. Теперь представим, что компания проанализировала бизнес-процессы и выявила их риски, проработала и внедрила процессные контроли, общие компьютерные контроли, контроли корпоративного уровня, направленные на минимизацию этих рисков, проводит мониторинг рисков, тестирование контролей. Казалось бы, вот он – внедренный риск-ориентированный подход, и бизнес должен работать как хорошо настроенный механизм. Но зачастую приходится сталкиваться с тем, что люди – это не шестеренки, не винтики в машине, и человеческий фактор никуда не денется до тех пор, пока нас полностью не заменят искусственный интеллект и роботы. Пример: на опасном производстве людям выдают средства индивидуальной защиты, оборудование, огораживают территорию, организовывают сопутствующее наблюдение, их обучают, сертифицируют, проводят вводный инструктаж перед началом смены, выдают заказ-наряд на конкретную работу, но человек идет и, допустим, голыми руками работает с проводами под напряжением. Такое происходит чаще, чем можно предположить, и, как ни странно, в том числе с теми, у кого за плечами большой опыт: они лучше знают, что, где и когда может случиться, но при этом убеждены, что с ними этого не произойдет. С чем это может быть связано?
Вспомним концепцию COSO (The Committee of Sponsoring Organizations of the Treadway Commission, Комитет организаций-спонсоров Комиссии Тредвея. – Прим. авт.) по внутреннему контролю, а именно те ограничения системы внутреннего контроля, которые там перечислены. Из шести ограничений четыре так или иначе связаны с человеческим фактором, при этом два пункта относятся к непреднамеренной ошибке, совершаемой без злого умысла:
• существующая реальность, в которой людские суждения при принятии решений могут быть неверными и субъективными;
• сбои, которые могут произойти из‑за человеческих ошибок, в том числе самых простых.
Одна из основных причин таких ошибок кроется в расхождении между формализованными правилами и фактическим поведением людей, основанным на неформальных нормах и установках, принятых ими самими или перенятых у окружения – руководителя, коллег и т. д. Чтобы разобраться, почему люди не управляют рисками, как должны, давайте рассмотрим распространенные убеждения, предопределяющие их поведение:
• Все сбои, которые могут произойти из‑за человеческих ошибок, происходят по этой причине, сам процесс выстроен корректно. Как это ни парадоксально, наиболее предсказуемым выбором людей при определении причины ошибки, связанной с человеческим фактором, будет сослаться на этот самый фактор, и на этом закончить анализ. Но зачастую корневыми причинами человеческих ошибок являются несовершенные условия и процессы, в которых работает сотрудник. К примеру, ему надо срочно оформить заявку на потребность – покупку товарно-материальных ценностей или оборудования. У него под рукой может быть образец, который использовался ранее, на его основе оформляется заявка и отправляется на согласование. Она проходит этот этап и попадает в план закупок, закупка выполняется, но выясняется, что цены в образце были уже неактуальны и закупка проведена по завышенной цене. Возможно, сыграл роль человеческий фактор: сотрудник не обратил внимание на изменение цены, не обновил информацию перед составлением заявки. Но можно и нужно посмотреть на эту ситуацию с точки зрения совершенства процесса и систем: насколько она была предотвратима, есть ли вообще в компании справочник цен? Если да, то актуален ли он, насколько удобно с ним работать: можно ли его открыть в моменте, или его необходимо долго искать на сетевых ресурсах;
• Если человек не справляется – это его проблема, информация была предоставлена. Пример: человек приходит в компанию, ему проводят унифицированное вводное обучение по информационной безопасности, затем он приступает к выполнению своих функций. Предполагается, что сотрудник ознакомлен, владеет терминологией, подходами, знает, что можно делать, а что нельзя. Соответственно, его руководитель может считать, что если он нарушил установленные требования, значит, недостаточно квалифицированный для компании, ведь все получили одинаковый уровень информации. В действительности восприятие разных людей может существенно отличаться, и для сокращения этих отличий для разных позиций могут быть нужны разные способы донесения информации и ее детализация;
• По статистике, всегда есть выбросы из общей популяции – отклонения неизбежны. Пример: компания стремится обеспечить надлежащий уровень качества продукции и вносит изменения в производственный цикл. Сотрудник анализирует результат, полученный от выполнения дополнительных действий, и приходит к выводу, что эти действия не обеспечат существенного снижения уровня брака. Эта установка переходит в понимание, что в таком случае менять ничего не надо, а попытки изменить ситуацию воспринимаются как избыточные или бесполезные;
• Мы знаем, что это не сработает. Это убеждение представляет собой профессиональный скепсис сотрудника о том, что нет смысла принимать предлагаемые изменения, надо придерживаться устоявшихся подходов – по разным причинам: «Это особенность отрасли или географии, тут по‑другому никак» или: «Мы сами пробовали, спрашивали у коллег, приглашали консультантов, а в итоге получили то же самое» и т. д. Поэтому сотрудник решает, что проще, например, продолжать согласовывать вопросы в устной форме и не связываться с новой системой электронного документооборота;
• Зачем делать как положено, если можно делать как все. Пример: сотрудник приходит на работу к 9 утра, поскольку это регламентировано правилами внутреннего трудового распорядка и закреплено в трудовом договоре, но другие сотрудники появляются только в течение следующего часа. После некоторого наблюдения за ними он может сделать для себя вывод, что «здесь так принято» и ему так тоже можно;
• Инструкция всегда права. Сотрудник считает, что ему все надо делать по инструкции, а отклонение от нее будет наказываться. Но эта инструкция (положение, регламент, методика и т. д.) зачастую может быть либо устаревшей и неточной, либо чрезмерно детальной и негибкой, и, если он будет пытаться выполнить каждый пункт, это может существенно замедлять процесс, не принося дополнительной пользы компании;
• Нельзя вмешиваться в работу других: им виднее. Пример: сотрудник часто опасается заходить на «чужую территорию», так как его неправильно поймут, если он что‑то подскажет коллеге или от чего‑то предостережет. В результате часть рисков может остаться незакрытой;
• Все существующие задачи контролируются. Сотрудник разделяет задачи на те, которые контролируются, и те, что не контролируются. Если задача является важной – ее выполнение будет контролироваться через систему КПЭ, через прямые поручения руководителя или иным образом, невыполнение – наказываться. Соответственно, все остальные задачи не требуют той же проработки и внимания, их можно отложить на потом или сделать в упрощенном виде.
Роль риск-менеджера в работе с человеческим фактором заключается в формировании и поддержании нужного поведения людей через развитие риск-культуры. Одна из ключевых задач риск-менеджера в этой работе – приложить усилия к тому, чтобы у людей не возникало желания отступить от правил и требований компании. Для этого недостаточно просто учитывать перечисленные и иные убеждения – требуется системная проработка таких убеждений в рамках развития риск-культуры компании, потому что они напрямую отражаются на ней и приводят к ее негативному восприятию.
Так, на их основе у сотрудника может сформироваться установка о том, что управление рисками – еще одна «обязаловка», и, если сотрудник не будет делать ничего – его накажут, но если расскажет лишнее, к нему придут за подробностями и в итоге тоже накажут; поэтому ему целесообразно доводить до сведения других лишь необходимый минимум информации о возможных проблемах.
Роль риск-менеджера в работе с человеческим фактором заключается в формировании и поддержании нужного поведения людей через развитие риск-культуры.
Другое негативное восприятие риск-культуры выражается в ассоциации управления рисками с тратой усилий на рутину и констатацию факта. Люди загружены и не хотят тратить ограниченное время на какие-то банальности, которые повторяются из года в год, поэтому они просто копируют старую информацию.
Еще один вариант негативного восприятия – «не надо меня учить, как делать мою работу». Бизнес-подразделения часто приходят к мнению, что они без посторонней помощи знают, что нужно делать, и сами эффективно управляют своими рисками, даже если это выполняется интуитивно и будет непрозрачно для других.
Комплексный подход, который можно здесь предложить, – это проактивная риск-культура. Переход к ее развитию начинается с формирования понимания, чем должна быть риск-культура для компании – целевой модели, состояния «to be» (желательное и неприемлемое поведение сотрудников, основные механизмы, влияющие на поведение сотрудников, и т.д.), потом определяется подход к оценке риск-культуры, например, совокупность качественных показателей и количественного анализа. Следует смотреть на различные внешние и внутренние источники информации: статистику, результаты проверок и аудитов, оценку рисков, мнение органов управления, данные выходных интервью и горячей линии и иные. Собранная информация анализируется, на ее основе определяется текущее состояние риск-культуры в выбранных разрезах, после чего разрабатывается и внедряется комплекс мероприятий по достижению состояния «to be». Как пример – обучение: допустим, компания уже проводит различные обучающие сессии, но с точки зрения целевой модели они могут быть недостаточно эффективными. Значит, нужно проработать формат и содержание обучения для разных адресатов, понять, как люди восприняли информацию: проводить тестирования, периодически собирать обратную связь, т.е. анализировать уровень усвоения материала. Также целесообразно внедрить институт наставников или чемпионов риск-культуры – людей, которые будут помогать понять и принять проведенное обучение в пределах своих бизнес-процессов, проектов, подразделений, в том числе трансформировать негативные убеждения в позитивные и полезные для компании.
Таким образом, в рамках развития риск-культуры компании риск-менеджеру следует задавать себе и руководству три вопроса:
– чем должна быть риск-культура для компании?
– как она выстроена на текущий момент?
– что компания предпринимает или может предпринять для улучшения своей риск-культуры?
Ответив на них, риск-менеджер и руководство смогут совместно определить слабые места и направления ее дальнейшего развития.
Елена ВОСКАНЯН