26.12.18

В октябре этого года автор сайта посетил замечательное мероприятие, ежегодно проводимое ACFE. Рекомендую всем хотя бы раз в 2-3 года ходить на такие. Интересно посмотреть, как там что развивается в профессии, с коллегами пообщаться, ну и т.д. и т.п., но сейчас не об этом.

На конференции в первый день было два замечательных доклада про управление рисками. Авторов называть не буду, но один был прочитан апологетом COSO ERM, а второй – адептом нового риск-менеджмента. Доклады были с небольшим интервалом, что подчеркивало принципиальную разницу. Кстати, слова с церковным прошлым подобрались при написании случайно, но в целом разное восприятие риск-менеджмента действительно напоминает разные религии.

Итак, доклад 1. Жили люди по COSO ERM 2004, заполняли таблички (хорошие такие, большие таблички. В компании – сотни юридических лиц, то есть деревьев погибло много). И все у них было хорошо, и все довольны. И тут вдруг раз – и выходит COSO ERM 2017. И оказалось, что новая книжка не содержит прямой необходимости производства значительной части макулатуры, которая на регулярной основе изготавливалась соответствующими подразделениями на протяжении последнего десятилетия. Люди думают, как доказать полезность дальше. Уверен, докажут. 

Доклад 2. В нем отрицалась полезность большинства «традиционных» методов и, особенно, документов (как-то реестры рисков, отчеты о рисках и т.п.). И говорились заклинания о том, что «принятие решений должно быть с учетом риска непосредственно при принятии решения» и т.п. При этом ни одного решения в конкретном процессе докладчик не предлагал, говорил все больше общими словами. Кстати, С.А. Мартынов хорошо написал про такой подход к риск-менеджменту и историю его возникновения, приведу цитату:

И новое поколение риск-менеджеров больше не рассуждает о методиках оценки рисков – а вдруг опять что не так оценишь? Они теперь, всё больше, про «культуру риск менеджмента», про «взаимодействие с советом директоров», про то, что в кабинет менеджера нужно входить на цыпочках и ласковым голосом намекать, что оценивать риски – это хорошо. А не оценивать – плохо. В общем, вопрос «а как же вы всё-таки оцениваете риски» стал в профессии нетактичным, mauvaises manières и вообще рассматривается как троллинг.

Критиковать никого не собираемся, более того, предлагаем всех похвалить. Давайте взглянем, что на самом деле происходило и происходит:

  • руководитель внутреннего аудита, который качественно понимал идеологию COSO ERM, стоил в середине 2000-х рублей эдак 800 в оклад + бонусы + всякие другие коврижки. За такие денежки производить необходимый объем макулатуры на протяжении 10 лет – да почему бы и нет. Даже автор сайта согласился бы, хотя и не любит дурную работу;
  • человек, который про «культуру риск-менеджмента», уже раздал 150+ сертификаций (почти все — платно), успешно продает корпоративные курсы и прочие консультационные услуги. Согласитесь, продавая что-то близкое к 10 заповедям (в ISO 31000 конкретных рекомендаций, скажем так, маловато) и странные расчеты, зарабатывать (скорее всего, неплохие) деньги на жизнь – да что может быть лучше!

Кстати, возможно, и реальную пользу все приносят (может, с избыточной трудоемкостью, но, так как методологически верно — с высокой степенью гарантии). 

А теперь, собственно, основная мысль этого небольшого эссе – а почему же получилось, что у всех риск-менеджмент меняется, а у нас почти нет и чем лучше у нас?

По поводу первого вопроса, IMHO – люди делали чего-то для соответствия чему-то, не задумываясь о пользе для бизнеса. Так вот, это чего-то в какой-то момент просто отменили (в случае доклада 1) либо оказалось совершенно бесполезным (в случае доклада 2 и кризиса 2008 года). И почва из-под ног была выбита вплоть до сокращения подразделений.

А чем у нас лучше и почему не меняется – да хотя бы тем, что большая часть из написанного на сайте полезно для бизнеса. И мы не удаляем старые мысли, а дописываем новые. Для сайтов про риск-менеджмент — увы, редкость. Примеры того, о чем писали 4 года назад и почему нам не приходится что-то отматывать назад:

  • представляете, на сайте про внутренний контроль и риск-менеджмент в идеальной структуре нет подразделения внутреннего контроля и риск-менеджмента (!). При этом основная часть сайта — именно про риск-менеджмент. Да, подразделение риск-менеджмента присутствует здесь, но как-то факультативно. Потому что уже давно было понятно, что не нужно. Даже в книжке есть подразделение внутреннего контроля (ошибка — не внутреннего аудита) и нет подразделения риск-менеджмента. То есть у нас риск-менеджмент давно «встроен в процессы»;
  • поиск рисков. Он неплох, проверено временем. Например, недавно было интервью с Л. Маммедзаде из группы «Сумма», озаглавленное как «Аресты акционеров не бывают в карте рисков». Посмотрите на нашу страницу, вкладка «Риски холдингов». В картах рисков проблемы акционеров, влияющих на бизнес, все-таки бывают;
  • про разные типы мероприятий, особенно нравится про «реальные» и «виртуальные» мероприятия. И типовые рекомендации – сделать что-то, что изменит бизнес (купить поставщика, внести изменения в процессы, …);
  • раздел про процессы. Одна из основ управления рисками — нормальная система внутреннего контроля с вариациями в зависимости от компании. Описаны именно реальные контрольные процедуры для снижения рисков, причем уже все встроено куда надо;
  • отсутствие необходимости применения сложной математики. Если не в банке и не в страховой работаете – бесполезно. Отметим, что слова ЦПТ и ЗБЧ для нас не ругательные – автор закончил физтех (базовая кафедра – Институт прикладной математики им. М.В. Келдыша), эксперт – экономико-математический факультет РЭА им. Г.В.Плеханова (кафедра математических методов в экономике).

Так что 4 года назад, как нам кажется, был выбран правильный путь. Кстати, интуиция подсказывает, что в ближайшие 5-10 лет исправлять ничего не будем, даже если появятся новые принципиально новые стандарты (что может появиться – загадывать не будем).

А рекомендация всем – что нужно для бизнеса, тем и пользуйтесь. Считаете полезным COSO с табличками – да почему бы и нет. Просто трудоемкость зашкаливать будет, а вероятность пропустить что-то существенное и очевидное — как в анекдоте про встречу динозавра. Считаете полезным расчеты инвестиционного проекта методом Монте-Карло на 7 лет вперед – можем даже подсказать, кто поможет. Просто зачем? А раз считаем, что незачем – на сайте не увидите.  

Мы, в свою очередь, обещаем и дальше поддерживать сайт (пока будет работать голова), в т.ч. уточнять отдельные моменты. Именно поэтому рекомендуем почитывать статьи непосредственно с сайта, потому что могут быть обновления.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.