Интересно, а понимает ли кто-нибудь, что внедрение СУР в действительности является плохой практикой риск менеджмента?

В соответствии с концептуальными основами создания интегрированной системы управления рисками (СУР, ERM) COSO ERM, термин “интегрированная система управления рисками” подразумевает совокупное наличие в организации таких компонентов, как культура, навыки, используемые практики, которые интегрированы в процесс формирования и реализации стратегии и на которые организация полагается организация в процессе управления рисками с целью создания, сохранения и реализации ее стоимости.

Звучит не плохо.

В данной статьей я планирую оспорить тот факт, что, следуя описанному подходу, пропагандируемому организацией COSO, большинством консультантов и лучшими практиками, по сути является примером плохой организации риск-менеджмента.

Ради данной статьи я не буду оспаривать тот факт, что СУР представляет собой ничем не заполненную концепцию, которая не имеет твердой базы, и является исключительно наукой, активно продвигаемой компаниями Большой Четверки, Институтом внутренних аудиторов, провайдерами специального программного обеспечения, а также прочими учеными умами. Уже это по сути является достаточным основания для желания избегать данной концепции, как чумы, но давайте представим, что мы искренне и всецело хотим внедрить СУР в нашей организации. Я попытаюсь объяснить почему же данный подход является плохой идеей и примером плохой организации риск менеджмента.

Получить поддержку в процессе внедрения СУР

СУР предлагает нам целостное и прозрачное видение рисков, которые могут оказать влияние на стратегические цели и т.д. Звучит весомо. И вот тут-то как раз и есть подвох. С одной стороны, нам необходимо заручиться поддержкой всех менеджеров, членов совета директоров и рядовых сотрудников компании. С другой стороны, мы несем это высокопарное сообщение, вещающее о великом благе.

А теперь спросите самого себя – кто будет всеми руками за ту идею, которую привносит с собой СУР?

Комитет по аудиту – вне всяких сомнений!

Члены совета директоров – разумеется да!

Генеральный директор – скорей всего …

Оставшаяся часть руководства и рядовые сотрудники – ни произнесут ни слова … но это не означает, что им все равно, просто все, о чем они думают в этот момент – а что за этим последует непосредственно для меня и откуда на это возьмутся деньги? И это совершенно верно, и в таком случае позвольте мне только пожелать Вам удачи в продвижении идеи создания СУР.

Когда я недавно вернулся в ряды трудящихся, заняв должность Директора по рискам, я начал с чего-то более простого, но в то же время более привлекательного –принятие решений на основе вероятностного анализа. Без единого упоминания об СУР, я продавал идею необходимости внедрения риск-менеджмента различным заинтересованным сторонам: я говорил с финансовым директором об использовании стохастического анализа при формировании корпоративного бюджета, руководителем стратегического блока мы вели беседу о пересмотре и обновлении сценарного анализа в рамках Монте-Карло, с руководителем блока инвестиций мы говорили о необходимости проведения симуляции взамен традиционного анализа чувствительности проекта, руководителем проектного офиса мы говорила об анализе рисков графика и стоимости проекта, главой казначейского департамента мы говорили о принимаемых им решениях и каким образом мы могли бы сделать их более вероятностными. И несмотря на то, что руководство может все еще игнорировать результаты анализа рисков, мы, по крайней мере, уже не ведем дебатов в отношении необходимости проведения риск анализа в рамках принятия важных бизнес-решений.

Самым распространенным барьером на пути внедрения СУР является отсутствие поддержки со стороны руководства. Надеюсь, что теперь вы понимаете, с чем это связано в первую очередь. И это совершенно надуманный барьер. Не существует препятствий в продвижении идеи принятия решения на основе вероятностного анализа.

Внедрение СУР

По сути, напоминает базовый вариант проектного управления. Какой из проектов менее рисковый? Проект, в рамках которого вы ставите целью внедрить масштабную инициативу в периметре всей компании или тот, в рамках которого вы совершает изменения поступательными движениями, внедряя изменения по нарастающей, начиная с принятия одного решения? Даже странно, что я пишу об этом. Такой подход называется риск менеджмент под номером 101. Начинаем с малого, проводим пилотное тестирование, получаем быстрые победы и масштабируем.

Когда риск-менеджеры начинают внедрение СУР, они, литературно выражаясь, выстреливают себе в ногу. Даже с самыми благими намерениями, организации попросту слишком сложные системы, слишком волатильны для внедрения проекта, которые несут масштабные изменения для компании. Разве СУР системы не реализуются годами и не стоят миллионы? А теперь представьте внедрение проекта аналогичного масштаба, но без бюджета. Безумство.

Как бывалый рисковик, я пошел другим путем. Я выбрал 5 областей, которые позволили бы мне сократить объем страхования или уменьшить издержки, связанные с внешним финансированием, и начал использовать по отношению к ним процедуру принятия решения на основе вероятностных моделей:

  • Стресс-тестирование модели потока денежных средств компании:
    • вероятность положительных денежных потоков / дефицита денежных средств
    • вероятность соблюдения / нарушения требований ковенантов
    • количественная оценка большинства стратегических рисков
    • стресс-тестирование изменения спроса и предложения
  • Формирование количественной модели политики страхования:
    • справедливая франшиза
    • лимит с поправкой на риск
    • пересмотренные премии
  • Внедрение в проектное управление процедуры анализа рисков графика и стоимости:
    • бюджет проекта с поправкой на риск
    • график проекта с поправкой на риск
    • план управления рисками для пилотного проекта
  • Интегрированный анализ рисков при прогнозировании состояния рынка:
    • вероятность изменения цены в положительную и отрицательную сторону
    • прогнозируемые изменения спроса и предложения
  • Интеграция анализа рисков в процесс оценки деятельности и ключевые показатели эффективности:
    • КПЭ с поправкой на риск
    • вероятность достижения установленных КПЭ
    • ключевые риски, связанные с КПЭ

К отдельному направлению работ относятся корпоративная культура и уровень осведомленности сотрудников о рисках. Как правило, анализ рисков не лежит в основе принятия ими решений, что требует со стороны риск-менеджеров приложения особых усилий для изменения такого отношения, а также разъяснения руководству организации необходимости и безусловной пользы, которую может принести открытое обсуждение потенциального эффекта от неопределенности, для процесса принятия бизнес-решений.

В любом случае, какой бы способ Вы не рассматривали, внедрение СУР не имеет никакого смысла. Докажите, что я ошибаюсь, написав свои комментарии ниже.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.