Как показывает 2020 год, самое важное правило текущего времени абсолютно для всех – риск-ориентированное ведение бизнеса и принятие решений с учётом рисков и неопределённостей. Мы поговорили с директором по управлению рисками и внутреннему контролю Департамента по управлению рисками и внутреннему контролю ООО «УК «РОСНАНО», членом Наблюдательного совета Гильдии инвестиционных и финансовых аналитиков, руководителем направления АНО ДПО «ИСАР» Константином Дождиковым о том, что такое риск-ориентированное управление, в чём заключается отличие между риск-менеджментом 1 и риск-менеджментом 2, какие существуют угрозы для бизнеса с точки зрения управления рисками в России и как они изменились за период пандемии, какое обучение риск-менеджменту рекомендуют практики и ещё о многих аспектах, связанных с темой управления рисками.

Публикуем отдельные фрагменты в виде текста, полную версию интервью смотрите на нашем YouTube-канале 

За 20 лет развития риск-менеджмента в России появились новые понятия: риск-ориентированное управление, принятие управленческих решений с учётом рисков, такие термины, как ментальные ловушки, планирование с учётом рисков, бюджетирование с учётом рисков, количественная оценка рисков. И что самое важное – стали доступны программные продукты, которые способны всё то, что я сейчас назвал, реализовывать лёгким образом с использованием математического аппарата.

Почему эти понятия появились в принципе? Ведь раньше уже было понятие системы управления рисками. Дело в том, что с 2009 года в международных стандартах вы не увидите ни одного упоминания или термина, говорящего «система управления рисками». Речь везде идёт о риск-ориентированном подходе, о принятии решений с учётом рисков.

В чём разница? Когда мы говорим о системе управления рисками, мы подразумеваем большую надстройку системы в корпоративном управлении организации, которая якобы управляет определёнными рисками. То есть акцент делается на рисках. Но почему сейчас мы стали использовать новые термины? Потому что благодаря им смещается акцент: не риски, а цели организации, принятие решений в организации. Поэтому на первом месте всегда стоит принятие управленческих решений с учётом рисков. Такая последовательность расставляет точки над i в отношении современного риск-менеджмента.

В России сейчас большое количество риск-менеджеров пытается внедрять эту концепцию. Не систему управления рисками, а риск-ориентированное управление организацией. Главное в этой истории – цели организации, после определения которых можно анализировать риски, которые на них влияют. Это существенная разница, которая произошла в современном риск-менеджменте в России. Плюс добавляются новые программные продукты, которые дают, в том числе, возможность количественно оценивать всё то, что мы привыкли раньше в части риск-менеджмента оценивать качественно: высокий, средний, низкий. Сейчас это логично считать в отношении к цели. Если цель не достигается, то насколько? Если есть вероятность достижения цели, то насколько она высока? Это всё более предметные вещи, которые появлялись на протяжении последних лет.

Кто принимает участие в риск-менеджменте и в риск-ориентированном управлении организацией? По большому счёту в этом процессе участвуют все те, кто готовит решения (как мы помним, есть термин «принятие решений с учётом рисков») и все те, кто принимает эти решения. Если начать снизу, то это аналитики, эксперты и по восходящей до членов совета директоров, акционеров компании, инвесторов.

Давайте приведём понятный всем пример принятия решения с учётом рисков – покупка лотерейного билета. У нас есть возможность либо купить лотерейный билет, либо не купить. Большинство риск-менеджеров в России по классической системе риск-менеджмента начинают с идентификации рисков, как это написано во всех учебниках. Но это абсолютное заблуждение, потому что в данном решении важно понять, какова его цель до того, как мы начнём разговаривать о каких-либо рисках.

С точки зрения цели допустимо много различий. Один человек скажет: «Я хочу выиграть миллиард». При этом есть люди, которые делают это совершенно по другим причинам. «Я хочу подарить этот билет своему племяннику/маме на день рождения, чтобы дать возможность порадоваться шансу выиграть миллиард». Некоторые ставят себе цель – просто порадовать себя. Целей, как вы видите, много и все они разные.

Далее начинаем определять, какова рискованность или какова достижимость этой цели с учётом рисков. В данном случае каждая из этих целей будет по-разному достижима. Начнём с последнего: достичь цели доставить себе удовольствие – это простая цель. То есть, вероятность достижения этой цели гораздо больше, чем если мы сравним это с целью выиграть джек-пот, потому что вероятность выиграть джек-пот крайне мала. Если мы говорим в категориях риск-менеджмента, то дальше разворачивается весь процесс анализа рисков, приоритезации и возможности управлять этими рисками. Тогда в отношении целей понятно, что за риски и, соответственно, какова рискованность этой цели, а также стоит ли нам принимать решение о том, чтобы покупать этот лотерейный билет. И если риск высок, как в случае с лотереей, стоит ли покупать этот билет? В процессе размышления над этим вопросом вы анализируете затраты – много ли это для вас, 100 рублей за лотерейный билет. То есть, вы пытаетесь принять решение в отношении цели: «Я готов потратить 100 рублей, чтобы получить шанс заработать миллиард?». Точно так же в корпоративной среде – когда мы принимаем те или иные проекты, необходимо оценивать, какая есть возможность и какие риски. Очень часто даже профессионалы в области риск-менеджмента забывают о том, зачем они принимают это решение и берут на себя эти риски.

Если вернуться к примеру с лотереей, первым шагом должно быть понимание цели, после этого определение, какие есть риски в достижении этой цели, какова вероятность ее достижения. Затем – что мы можем сделать с этими рисками. В процессе принятия решений надо также обсудить альтернативы и возможности управления рисками. И только после этого принимать решение.

Мы часто упоминаем термины «Риск-менеджмент 1» и «Риск-менеджмент 2». Откуда взялись эти понятия? Это касается той парадигмы, которая изменилась в риск-менеджменте с 2000 года. Если раньше все строили систему управления рисками, то теперь мы пытаемся встраивать риск-менеджмент в принятие решений и управление организацией. Поэтому мы и даём аудитории понять, что есть Риск-менеджмент 1 и есть Риск-менеджмент 2, проводим таким образом границу между ними.  

Атрибутами Риск-менеджмента 1 является классическая история – то есть, система управления рисками, реестры рисков раз в год или раз в квартал, отчёты на комитет по аудиту и тому подобное. Если резюмировать, то Риск-менеджмент 1 – это всё, где в начале есть слово «риски». Вторая парадигма – Риск-менеджмент 2. Атрибуты Риск-менеджмента 2: процессы принятия решений, бизнес-процессы, в которые встроен или не встроен инструментарий риск-менеджмента, непосредственное рассмотрение планов и бюджетов, стратегий с учётом рисков и так далее. Если на первый план выходят цели, а не риски и только вторым тактом говорится о рисках при достижении целей – это и есть Риск-менеджмент 2.

Как выбрать, куда двигаться и что эффективнее? Это всё равно, что отвечать на вопрос: «Что лучше – яблоки или бананы?». Нашими регуляторами пропагандируется Риск-менеджмент 1, но при таком подходе тратится очень много ресурсов на поддержание структуры системы риск-менеджмента – и со стороны топ-менеджмента, и экспертов, и аудиторов, и совета директоров. В определённом смысле Риск-менеджмент 1 является требованием со стороны регуляторов и обойти его нельзя.

Риск-менеджмент 2, в свою очередь, готов приносить эффективность бизнесу: это повышение эффективности принятия решений, взвешивание этих решений с учётом рисков, анализ будущего корпорации или компании с учётов тех макро-факторов, которые происходят в мире.

Кстати, говоря об отличиях, в Риск менеджменте 1 очень часто применяется единый подход к оценке рисков. В Риск-менеджменте 2 для каждой цели и для каждого бизнес-процесса свои процедуры: анализы, идентификации, оценки и так далее. Поэтому я думаю, что ключевой ответ на вопрос «Что эффективнее?» - для бизнеса Риск менеджмент 2, для регуляторов всё ещё остаётся ценным Риск менеджмент 1.

Скажу несколько вещей, которые важны тем, кто только начинает выстраивать дорогу в области риск-менеджмента или думает, куда развиваться. С точки зрения встраивания риск-менеджмента в процессы принятия решений крайне важно начать с изучения тех бизнес-планов, стратегий, финансово-экономических моделей, которые есть в организации. Это первый пункт. А второе – это план-графики проектов. Это два столпа, которые компании давно используют и это именно то, куда имело бы смысл встраивать современный инструментарий учёта рисков в этих планах.

Если говорить кратко о базе, которая нужна, чтобы начать и уметь это встраивать в такие процессы:

1) Финансово-экономическое планирование организации

2) Проектное управление (планы-графики проектов)

Если человек нарастит базу в этих вещах, то дальше встраивать риски в эти процессы будет легко с помощью необходимого инструментария. Тем более, в базовых версиях этот инструментарий – бесплатный. ИСАР уже разработал калькуляторы рисков, которые можно будет легко использовать при принятии решений (без специализированного ПО, но с необходимым встроенным инструментарием).

Для тех, кому нужно освоить риск-ориентированный подход (Риск-менеджмент 2) для практического внедрения, ИСАР совместно с АНО «еНано» разработали линейку курсов и программ: для самостоятельного обучения и обучения с преподавателем. Уже 5 октября стартует группа по курсу «Количественная оценка рисков». Это курс для продвинутых пользователей, которые уже понимают, что такое Риск-менеджмент 2. В том числе, в нем есть практическое задание по созданию калькуляторов рисков, о котором я уже говорил. Поэтому после обучения на курсе пользователи смогут самостоятельно выполнять такие работы и создавать необходимый инструментарий.