Готовы ли мы к выходу нового ГОСТ Р ИСО 31000?

Алексей Сидоренко,

основатель и руководитель Риск-академии,

Константин Дождиков,

руководитель направления по взаимодействию с учебными заведениями АНО ДПО «ИСАР», директор по управлению рисками ООО «УК «Роснано», основатель проекта PLAN4U

Готовы ли мы к новому выходу нового ГОСТ Р ИСО 31000?

Обновленный стандарт ISO 31000 «Менеджмент риска. Принципы и руководство» проходит последний этап согласования. Предполагается, что он будет опубликован в начале 2018 года. Для его подготовки потребовались пять лет; обработано несколько тысяч комментариев, полученных от представителей 54 стран и множества профессиональных ассоциаций. Ведущие риск-менеджеры России высказались на тему того, что меняется в новой версии стандарта, готовы ли к ее внедрению отечественные компании и что необходимо предпринять, чтобы соответствовать ГОСТ Р ИСО 31000:2018.

В 2015–2017 гг. в рамках научно-исследовательской работы, проведенной экспертами Автономной некоммерческой организации дополнительного профессионального образования «Институт стратегического анализа рисков управленческих решений» (АНО ДПО «ИСАР») совместно с Комиссией по профессиональным стандартам и сертификации по риск-менеджменту в нефинансовом секторе Гильдии финансовых аналитиков и риск-менеджеров (ГИФА) и информационным порталом www.risk-academy.ru, сделаны наблюдения о риск-ориентированном управлении в России.

Свой путь

Отечественный подход к управлению рисками сильно отличается от западной практики. Анализ показывает, что страны, которые делают упор на интеграции риск-менеджмента в процессы принятия решений и культуру организации, достигли более высокого уровня зрелости в данной области. Подразумевается полноценное включение управления рисками в планирование, бюджетирование, систему мотивации и оценку эффективности деятельности компании. Это отличается от классического для России подхода с созданием отдельного, самостоятельного процесса управления рисками.

Российская нормативная база в области риск-менеджмента находится в достаточно незрелом состоянии по сравнению с развитыми странами. Несмотря на то, что различные государственные структуры активно развивают данное направление (Росимущество, Министерство экономического развития РФ и др.), в некоторых случаях эта работа никак не синхронизирована с требованиями и принципами ГОСТ Р ИСО 31000, а часто прямо противоречит положениям международного стандарта. Это существенное отличие от западной практики, где ISO 31000 является основополагающим документом по управлению рисками для всех государственных ведомств и структур, а также частных организаций.

Российская нормативная база, включая профессиональный стандарт «Специалист в области управления рисками», нацелена на идентификацию и разработку мер воздействия на отдельные риски, а не на интеграцию риск-менеджмента в общую систему управления, как того требует ГОСТ Р ИСО 31000. Это существенный недостаток.

Персональные предпочтения

Неудивительно, что при отсутствии внятной единой политики государства в отношении управления рисками в большинстве компаний реального сектора риск-менеджеры сами интерпретируют и внедряют положения стандарта ГОСТ Р ИСО 31000. Развитие управления рисками в организациях очень сильно зависит от персональных предпочтений конкретных специалистов.

Многие опытные риск-менеджеры используют эту возможность для внедрения современных инструментов имитационного моделирования, развития культуры управления рисками и встраивания в процессы и бизнес-решения. Вот некоторые позитивные примеры управления организацией с учетом рисков.

· Изменение процесса стратегического планирования с учетом рисков. Применение инструментов имитационного моделирования для тестирования вероятности достижения стратегических показателей, их целевых значений, их реалистичности и достижимости. В отдельных случаях руководство компании или члены совета директоров могут запросить углубленный анализ отдельных существенных рисков. Один из риск-менеджеров, опрошенных в ходе исследования, рассказал о ситуации, когда риск ликвидности был особенно критичен, и команда специалистов подготовила презентацию по его оценке для стратегической сессии организации.

· Изменение процесса принятия инвестиционных решений. Применение имитационного моделирования позволяет не только определить диапазон стоимости проекта и ожидаемой доходности, но и наиболее существенные допущения, сделанные менеджментом, которые влияют на ключевые показатели.

· Изменение процесса бюджетирования с учетом рисков. Замена ограниченных по своим возможностям инструментов анализа чувствительности и сценарного анализа на более зрелые, такие как имитационное моделирование. Как показывает практика, наибольших результатов можно добиться в случае формирования бюджетных сценариев совместно с риск-менеджером. Обычно результатом риск-ориентированного бюджетирования становятся не фиксированные значения ключевых показателей, а их распределение, а также перечень наиболее критичных с точки зрения ликвидности факторов. После выявления и оценки ключевых рисков на основе бюджетной модели компании могут разрабатываться мероприятия по их нивелированию для включения в бюджет на будущий период. Анализ бюджетных рисков также может привести к изменению стратегии и целевых показателей организации в случае, если уровень первоначальных рисков окажется неприемлемым.

· Изменение процессов оценки эффективности. Оценка эффективности управления рисками может интегрироваться в оценку как личной эффективности менеджмента, так и организации в целом. Для корпоративных ключевых показателей эффективности (КПЭ) можно использовать прогрессивную шкалу: в данном случае для оценки по итогам периода используется не точечное значение КПЭ, а диапазон отклонений от целевого (планового) показателя с учетом рисков. Для основных КПЭ также могут устанавливаться триггеры и ключевые индикаторы рисков для мониторинга возможного отклонения. Дополнительные КПЭ менеджмента могут включать контроль выполнения процедур анализа рисками принимаемых решений, а также оценку эффективности управления рисками по итогам проверок внутреннего аудита.

Другие специалисты, наоборот, выбирают самые простые и зачастую неэффективные инструменты качественной оценки рисков. Во многих компаниях риск-менеджмент не рассматривается как инструмент принятия решений (что является лучшей практикой), а, наоборот, считается самостоятельной системой (такой подход противоречит принципам ГОСТ Р ИСО 31000).

Есть и по-настоящему печальные случаи, когда риск-менеджер пытается внедрять инструменты управления рисками в процессы принятия решений, а внутренний аудит настаивает на абсолютно неэффективных практиках ведения реестра рисков, определения владельцев рисков или формирования ежеквартальной отчетности.

Хочется надеяться, что дальнейшее развитие национальной сертификации по управлению рисками, синхронизация профессионального стандарта «Специалист по управлению рисками» с ГОСТ Р ИСО 31000 и налаживание диалога между профессиональными сообществами позволят наделить российских риск-менеджеров необходимыми инструментами для встраивания в процессы принятия решений.

Что меняется в стандарте?

Что делать российским компаниям?

Фундаментально — ничего не меняется. Отчасти это связано с тем, что все правильные мысли были изначально заложены в первую версию, опубликованную в 2009 г. А также с тем, что рабочая группа ISO/ TC 262, ответственная за обновление стандарта, оказалась намного консервативнее, чем многим хотелось.

Означает ли это, что можно ничего не делать, и современный риск-менеджмент в России уже соответствует новым требованиям ISO 31000? Боюсь, это не совсем так. Результаты проведенного исследования говорят о том, что лишь 18% опрошенных компаний оценивают текущий уровень зрелости управления рисками как высокий. В 88% компаниях-респондентах отсутствует полноценная интеграция риск-менеджмента и стратегического планирования, а 72% говорят о том, что действующая в организации система целеполагания и оценки эффективности не связана напрямую с управлением рисками. В 84% опрошенных компаний управление рисками не имеет системной интеграции с процессами принятия решений.

Реалии таковы, что, хотя стандарт в версии 2018 г. в целом похож на версию 2009 г., большинство российских компаний реального сектора на данный момент ему не соответствуют. Стандарт станет на 10 страниц короче, сделается более емким, ключевые принципы интеграции будут еще очевиднее. Продолжать внедрять искусственные системы управления рисками или интерпретировать стандарт иначе, чем задумывали авторы, окажется намного сложнее.

Вот три ключевых мысли, повторяющиеся теперь в стандарте практически на каждой странице, что говорит об их важности:

· Управление рисками является не отдельным самостоятельным процессом или системой, а инструментом, который встраивается в бизнес-процессы организации и используется в рамках принятия ключевых решений. Выявление и анализ рисков должны осуществляться не с заданной периодичностью (ежеквартально, раз в месяц или неделю), а в момент принятия решений.

· Вместо единого процесса управления рисками (единых регламента, шкалы оценки или методологии) должно быть множество процессов (разные критерии оценки, методологии, инструменты, классификаторы), которые будут использоваться в рамках принятия различных решений или осуществления деятельности организации.

· Качество анализа и управления рисками сильно зависит от человеческого фактора, поэтому риск-менеджеры должны учитывать при разработке методологий, встраивании в ключевые процессы и при работе с экспертами особенности психологии и восприятия рисков (risk perception), а также исследования в области нейроэкономики и ментальных ловушек.

Более 15 практических рекомендаций, как выстроить управление организацией с учетом рисков в соответствии с принципами ISO 31000:2018, можно найти в бесплатной книге по управлению рисками https://www.risk-academy.ru/download/risk-management-book/.

ВРЕЗЫ

Российская нормативная база нацелена на разработку мер воздействия на отдельные риски, а не на интеграцию риск-менеджмента в общую систему управления, как того требует ГОСТ Р ИСО 31000

Развитие управления рисками в организациях очень сильно зависит от персональных предпочтений риск-менеджера

Управление рисками является не отдельным самостоятельным процессом или системой, а инструментом, который встраивается в бизнес-процессы организации

01.12.2017

---

448

Поделиться: