Статья написана Еленой Восканян специально для журнала «Эффективное Антикризисное Управление. Практика»; подписка на журнал Основатель портала Риск-академия и Руководитель направления международного сотрудничества, АНО ДПО “ИСАР” Алексей Сидоренко проанализировал тренды, влияющие на деятельность риск-менеджеров
Эксперт в области риск-менеджмента, основатель портала http://www.risk-academy.ru Алексей Сидоренко убежден: тренды в сфере риск-менеджмента можно разделить на две категории. К первой относятся те, которые у всех на слуху, но, если разобраться, нововведениями не являются — лучшие риск-менеджеры в России и мире давно применяют их в своей работе. Ко второй категории можно отнести действительно новые тренды, возникающие на западе; вопрос лишь в том, когда они придут в Россию, и насколько изменят отечественный риск-менеджмент.
Будущее давно наступило
— Из тех трендов, что появились давно, а популярны стали только сейчас, я бы выделил то, что риск-менеджмент больше не рассматривают как отдельную систему и самостоятельный, обособленный процесс. Риск-менеджмент ради риск-менеджмента наконец-то никому не нужен, — говорит Алексей Сидоренко. — Изменилось отношение и к анализу рисков — раньше он воспринимался как некая самоцель, результатом которой являются отчеты о рисках, сейчас же это скорее воспринимается, как инструмент принятия решений, осуществления деятельности и достижения целей компании. Это достаточно большая разница, поскольку традиционный подход подразумевает, что рисками нужно заниматься с какой-то заданной периодичностью – например, обновлять профиль рисков и актуализировать риски и мероприятия по их управлению раз в квартал, раз в месяц, раз в полгода или даже раз в год. По факту такой подход никогда не работал, просто кто-то когда-то решил, что нужно делать так. Современный же подход базируется на том, что о рисках необходимо думать не по графику, а в момент принятия решения, а точнее при подготовке этого самого решения. Выходит, о рисках, связанных с бюджетированием, нужно думать в процессе подготовки бюджета; а о рисках, связанных с закупками — в процессе выбора поставщика, при этом в процессе выбора каждого нового поставщика будут свои риски. О рисках, связанных с инвестициями — в процессе подготовки инвестиционного решения, и в каждом инвестиционном решении будет свой набор рисков. Таким образом, нужно отказываться от одного большого реестра рисков, охватывающего все риски компании, в пользу анализов рисков для каждой конкретной ситуации, каждого конкретного решения. Хотя многие коллеги воспринимают подобный подход как своего рода прорыв, вынужден их разочаровать — те, кто не в танке, делают так уже много лет.
Еще один «новый» тренд связан с тем, что в риск-менеджменте многое зависит от восприятия рисков человеком, его психологии, культуры, принципов и т.д. В этой связи, профессиональное сообщество начало задумываться о том, что разговор о рисках с неподготовленными экспертами не приведет к эффективным результатам, а скорее к заведомо ложной информации. Следовательно, при встраивании человека в процесс принятия решения, нужно учитывать особенности его психологии и работы мозга, его возможные ментальные ловушки.
— Психологией восприятия рисков (risk perception) исследователи занимались с 1970-х годов и даже получили две Нобелевские премии (в 2002 и 2017 годах). В 2011 году я провел первый риск завтрак на тему ментальных ловушек и их влияния на управление рисками. То, что в 2018 году стало открытием для некоторых российских риск-менеджеров, изучалось еще пятьдесят лет назад, — заметил Алексей Сидоренко.
Третий «старый новый тренд» касается доступности инструментов анализа, оцифровки и моделирования рисков. Если раньше, из-за вычислительной мощности компьютеров, процесс просчета рисков и моделирования сценариев был сложным и длительным, то сейчас и компьютеры мощные, и программные продукты стоят недорого, либо вообще доступны бесплатно. К примеру, такие продукты, как ModelRisk и Tamara, которые позволяют оценить базовый набор рисков в любом решении, доступны бесплатно. Таких продуктов на рынке появляется все больше, поэтому нет оправданий, чтобы не использовать современные инструменты анализа рисков в процессе принятия решений. Тем более, не нужно искать и устанавливать какие-то суперсерверы для того, чтобы моделировать графики проектов с десятками тысяч различных факторов.
Учитывая обозначенные тренды, наблюдается вектор на встраивание риск-менеджмента в бизнес-процессы, стратегическое планирование, процесс принятия решений и эффективность работы. Этот нюанс был прописан в международных стандартах, например, ICO 31000:2018 и COSO ERM:2017.
— С другой стороны, эти тренды вскрывают один неприятный нюанс — большинство риск-менеджеров не обладают компетенциями для того, чтобы встраиваться в процесс решений — они не знакомы с теорией принятия решений, а также не обладают компетенциями для работы с экспертами — они не знают, какие бывают когнитивные искажения, и как выстраивать методологии анализа рисков с учетом особенности человеческого восприятия неопределенности. Для многих сюрприз, что оценка рисков с точки зрения ущерба и вероятности (умножение или складывание 2 величин ущерба / последствий и вероятности) гарантированно приведет к неверным результатам и сделает результаты анализа рисков бесполезными и даже опасными для принятия решений.
Самое главное — риск-менеджеры России практически не имеют математического образования. Соответственно, они абсолютно не компетентны, когда речь заходит об оцифровке и оценке рисков. Эти три тренда на самом деле очень страшные в том плане, что большинство современных риск-менеджеров абсолютно не компетентны, чтобы быть риск-менеджерами, — констатирует Алексей Сидоренко. — А ведь риск-менеджеры будущего должны разбираться в принятии решений, психологии и математике, в настоящий момент многие российские риск-менеджеры не обладают компетенциями ни в одном из перечисленных направлений.
Придется перестраивать мышление
Что касается абсолютно новых трендов, один из ключевых связан с тем, что многие риски — и операционные, и репутационные становятся более технологичными и касаются вопроса цифровизации.
— Допустим, раньше собственники боялись, что завод остановится, и защищали производство самым простым способом — надежным забором, охраной. Теперь же никакой забор не поможет — хакер на мопеде, сидя на парковке, может парой кликов взломать сервер предприятия и остановить рабочий процесс. Другой пример — прежде боялись, что компания может обанкротиться потому, что ее директор будет воровать миллиарды, а сегодня акции компании могут обрушиться из-за того, что какая-нибудь поп-звезда написала в социальной сети, что ей не понравился сервис. То есть к каждому из традиционных рисков добавился риск-фактор, связанный с онлайн или технологическим пространством, — комментирует Алексей. — В этой связи, выросла потребность в специалистах, обладающих компетенциями в сфере ИТ и информационной безопасности и цифровизации. На мой взгляд, это последний гвоздь в «могилу» российского риск-менеджмента, поскольку киберриски — чистая математика. И если для моделирования рисков, в общем-то, достаточно среднего уровня знаний в области корпоративных финансов и математики, и риск-менеджеры умеют моделировать риски в инвестиционные проектах, закупках, бюджетировании – все это уровень седьмого класса по сравнению с тем университетом, который сейчас требуется риск-менеджеру. Риск-академию, да и АНО ДПО «ИСАР» нередко ругают за то, что мы слишком прогрессивные, рассказываем коллегам про космос, но, если разобраться, то, о чем мы говорим, и те инструменты, которые применяем — всего этого недостаточно для борьбы с новыми угрозами, там математика на порядок сложнее. Даже меня пугает то, как сложно будет оцифровывать риски будущего. Те модели, которые мы используем, замечательно работают, когда у нас есть месяц, чтобы замоделировать ситуацию и принять какое-то инвестиционное решение. Когда же у нас в запасе всего несколько часов или даже минут, нужно прибегать к помощи инструментов, которые сейчас кажутся космосом мне. В июне я учился в Америке у Нассима Талеба и был шокирован тем, что там у риск-менеджеров уровень математики на порядок, а может быть, и на несколько порядков выше нашего.
Угрозы, которые исходят из киберпространства, требуют еще более сложных технических компетенций, и риск-менеджерам в ответ на эти новые вызовы нужно серьёзно задумываться о своей технической подготовке. То есть сегодня недостаточно быть просто хорошим коммуникатором, фасилитатором и успешным менеджером проектов, нужно наращивать технические компетенции, в том числе в области моделирования и параллельно налаживать связи с профильными вузами, чтобы привлекать в команду молодых специалистов.
— Будем откровенны: вероятность того, что директор по рискам, которому, допустим, 35+ лет, сможет чему-то вдруг научиться в математике, нулевая, поскольку для этого требуются фундаментальные знания. Поэтому я бы не стал рассчитывать на то, что риск-менеджеры смогут переучиться, но никто не мешает им искать перспективных дата-аналитиков и математиков, которые смогут оцифровывать процессы, ведь за этим будущее. Мы уже разработали искусственный интеллект, который позволяет оценить зрелость управления рисками, но технологии не стоят на месте, и искусственный интеллект будет охватывать все большее количество процессов. Значит, в идеале риск-менеджеры должны разбираться в математике и программировании. Но что мы видим на конференциях по рискам: риск-менеджеры собираются, чтобы обсудить текущие проблемы, поделиться наработками, а если завтра они столкнутся с настоящими серьезными рисками, то не смогут отреагировать на них, — говорит Алексей Сидоренко. — За границей ситуация другая: там у профессионального сообщества, а я активно участвую в сообществе G31000 из 60000 риск-менеджеров, есть четкое осознание происходящего, они каждый день говорят об этом, выходит множество публикаций по теме. Кроме того, запущены соответствующие программы по подготовке риск-менеджеров, учитывающие реально необходимые данным специалистам компетенции, в частности по математике. И если в России об этом задумываются менее 5% специалистов, то там на порядок больше – 30-50%. Неудивительно, что пока другие учатся, придерживаются стратегии действия на опережения, отечественные риск-менеджеры продолжают составлять карты и реестры рисков, обсуждают, какой софт для этого лучше использовать. Коллеги, чтобы идти в ногу со временем, нужно перестраивать мышление, расширять кругозор, перенимать иностранный опыт.
«Долгое время мне казалось, что внедряя качественный, проактивный риск-менеджмент в российских нефинансовых компаниях можно удовлетворить все заинтересованные стороны. Прошли годы и теперь, лично мне, абсолютно очевидно, что внутренние и внешние стейкхолдеры хотят видеть совершенно разный, практически не связанный между собой, риск менеджмент. Риск менеджмент 1 и Риск менеджмент 2»