Практический опыт показывает, что для собственников, первого лица компании и Совета директоров далеко не всегда понятно, в чем реальная польза от системы управления рисками, и какую роль в этой системе должны играть вышеперечисленные игроки. Причем, это характерно для нефинансовых компаний как на территории бывшего СССР – так и в весьма продвинутых в вопросах менеджмента западных компаниях. Бытует мнение, что:

• риск-менеджмент, исходя из здравого смысла, конечно, необходим, ведь не зря внедрение соответствующих систем и регламентов является нормативным требованием для многих отраслей;
• но занимаются им только специально обученные люди, а участие каждого отдельно взятого топ-менеджера, члена Совета директоров или собственника необходимо только в виде поддержки на первом этапе, или эпизодически, или по остаточному принципу, поскольку есть вещи требующие первоочередного стратегического внимания.

Непрофессионалы в этой области, как правило, не представляют себе, что такое процесс РМ, как и кем он организован и какие полезные результаты он гарантирует лично «для меня», в связи с чем вопросы управления рисками отдаются на откуп специальному подразделению (внутри компании) или СЕО/CFO/COO (в Совете директоров). И даже при получении материалов касательно профиля риска компании или проекта, зачастую их не обсуждают или обсуждают крайне поверхностно.

Как правило, ключевыми причинами такого отношения являются две:

1. Подготовленные материалы просто неактуальны или сложны для восприятия.

Часто приходится встречать два типа отчетов по профилю риска:

• очень комплексные убористые тексты, таблицы и формулы, которые выглядят весьма солидно, но сложны для восприятия ввиду своей массивности (один из отчетов, представленный на рассмотрение, составлял более 60 листов формата А4 в таблице, заполненной шрифтом Arial 10) и специфичности (другая крайность – математические формулы, графики, названия, которые не будут понятны не инженеру/математику);
• довольно простые картинки – карты рисков, но показывающие банальности, которые и так ясны всем присутствующим из здравого смысла, непонятны для применения, устарели как информация, или, что тоже бывает, выглядят крайне неправдоподобно.

Касательно «правдоподобности»: помимо чрезмерного полагания на теорию и не слишком глубокое погружение риск-аналитиков в процессы, что и приводило к результатам анализа, весьма оторванным от здравого смысла – приходится сталкиваться и с тем, что даже при корректно осуществленном анализе читатель просто не подготовлен к реальному положению вещей. Люди склонны преуменьшать проблему если считают, что легко смогут ее решить без огласки (вспомним историю с Barings, которая послужила отправной точкой для развития системы операционных рисков в банковском секторе) или если понимают, что вскрытие проблемы повлечет серьезные последствия для них персонально или для репутации компании/проекта. Вполне закономерно, что с такой подачей информации даже вполне заинтересованные на первом этапе руководители вскоре разочаровываются в функции и перестают обращать внимание на аналитические материалы.

1. Подчеркнем еще раз, что управление рисками воспринимается как один из отдельно существующих «в себе» операционных бизнес-процессов.

Исторически управление рисками как дисциплина зародилась в рамках статистического анализа/анализа вероятностей и применялась на финансовых рынках для прогнозирования будущего на основании анализа прошлого, довольно долго оставаясь «вещью для профессионалов», как, например, технический анализ. Логично, что даже сегодня многие менеджеры все еще продолжают считать, что управление рисками – это некий технико-математический процесс и его результаты учтет специально назначенный менеджер, например, финансист, для разработки бизнес-плана или инвестиционной оценки, или «все менеджеры по умолчанию», поскольку в рамках соответствующих процедур, например, внутреннего контроля, РМ итак включен во все процессы компании, а соответственно нет никаких причин отдельно поднимать вопросы конкретных рисков в обсуждениях весьма занятых менеджеров/директоров, чье время оплачивается очень дорого.

Ключевой ошибкой здесь является то, что большинство руководителей действительно не осознают, что процесс управления рисками, по-хорошему, является неотъемлемой частью принятия практически любого решения, как в бизнесе – так и в жизни, от короткого взгляда на светофор при пересечении шоссе – до решения взять или дать деньги в долг. И провести соответствующую культурную работу с менеджерами всех уровней – одна из ключевых задач риск-менеджера. Но допустим, высшее руководство это понимает. Так куда же стоит обращать внимание при обсуждении ключевых вопросов, выносимых на Совет директоров и соответствующие комитеты?

Исходя из практики и здравого смысла, Совет директоров призван давать собственникам и руководству компании экспертное мнение по стратегическим вопросам, помогая выработать оптимальные решения по направлениям развития и соответствующим действиям с целью процветания/устойчивости бизнеса. Из этого глобального понимания вытекают и все практические цели, задачи и вопросы, рассматриваемые его членами: выбор направлений инвестирования или прекращения некоторых видов деятельности, определение дивидендной политики, одобрение крупных заимствований, назначение ключевых лиц и т.п. Но для прикладного понимания вопросов, которые требуют риск-анализа на уровне Совета директоров, давайте попробуем перейти от идеи к практике последовательно.

Поскольку любой бизнес производит некий продукт, крайне укрупненно основные области ответственности менеджмента, определяющие возможность существования и процветания компании, можно рассмотреть под следующим углом:

• Доступность ресурса (прошлое и настоящее)

Сюда относится все, что необходимо бизнесу, чтобы производить свой продукт: вполне физический/материальный ресурс, если применимо (например: руда, химические препараты, пластик, электричество и т.п); регуляторный ресурс (разрешения, лицензии и т.п.); финансовый ресурс; человеческий ресурс; технологии; информационный ресурс и т.д..

Отдельно стоит отметить репутацию, поскольку мы живем в информационно-цифровом обществе, где репутация компании может ее как критически поддержать, как ресурс – так и критически разрушить (вспомним кейс Кендалл Дженнер и компании Пепси-Кола, когда в рекламе Дженнер присутствовала на акции протеста и передала банку пепси офицеру полиции в качестве мирного предложения. Потребители были немедленно возмущены, так как они почувствовали банальную рекламу движения Black Lives Matter и широкомасштабные протесты против жестокости полиции, имевшие место в том году. Многие истолковали эту рекламу так: «Все, что нам нужно, чтобы поладить, – это разделить банку газировки», игнорируя годы системного угнетения, которые испытывали маргинализированные сообщества.)

• Организация ключевых процессов (настоящее)

Сюда относится сама технология работы компании, ее организационная структура, ключевые бизнес-процессы, внутренний информационный обмен и документооборот, взаимодействие внутри и с внешними участниками бизнеса, другими интересантами, кредиторами и, собственно, потребителем продукта и т.п.

• Направления развития и роста (будущее)

В этой категории находятся все среднесрочные (бизнес-план) и долгосрочные планы компании: инвестиции, стратегия (в том числе неденежная), маркетинг, новые проекты и т.п.

Успешно организованная работа по каждой из областей логично приводит к долгосрочному существованию и процветанию компании – т.е. ту самую задачу, поддержку решения которой Совет директоров призван обеспечить. Поэтому, как правило, ключевые вопросы для решения или одобрения из каждой из перечисленных сфер так или иначе выносятся на рассмотрение членов Совета директоров и его Комитетов.

Памятуя о том, что управление рисками -это процесс принятия осознанных решений на основании всей доступной информации (анализируя прошлое и настоящее, чтобы сделать разумный прогноз), а также переходя от общего к частному, закономерно предположить, что ключевые риски лежат в областях решений по вопросам*:

• Собственно стратегии, а также выбора направлений инвестирования, решения по старту/отказу от реализации ключевых проектов и т.п – развитие и рост в предложенной выше классификации. Примером реализации стратегического риска может служить кейс компании Nokia, которая, неверно оценив потенциал и тренды рынка, из лидеров производства и продажи смартфонов – практически этот рынок потеряла.
• Политики/регуляторной области/репутации и PR – области доступных ресурсов и, в некотором смысле развития, поскольку мы помним, что репутация – это ресурс и продукт одновременно (см.пример выше), а действие санкций, введенных против России по политическим причинам еще в 2014 году, многие компании испытывают и сегодня.
• Ключевых конфликтов всех уровней, как внутри компании – так и, например, между акционерами, или с поставщиками/подрядчиками/заказчиками в случае, если эти конфликты определяют эффективность, или даже возможность функционирования компании – области организации ключевых процессов, а также ключевого ресурса. Примеров реализации такого риска множество, но специфической является нередкая ситуация, когда один из акционеров является и одним из, или ключевым, подрядчиком или поставщиком в реализации проекта. Кроме того, примером конфликта, который существенно снизил эффективность компании может являться известная история увольнения Стива Джобса из Apple с последующим его возвращением.
• Бизнес-ступора или стагнации, которые являются одновременно причиной и результатом недостаточно эффективно организованной работы или сбоев по всем трем направлениям (ресурсы – операции-выборы) и часто вытекают из предыдущих пунктов, примерами же управления ими настолько же просты – насколько и блестящи: система раннего оповещения об изменениях, специальный мониторинг внешней среды и конкурентов, работа с потребителями и клиентами, полагание на факты и статистику, вместо эмоций и «общего мнения» и пр.
• Безопасность и технологии (в том числе кибер-, ВСМ, HSE и пр) – области организации ключевых процессов, о который сегодня говорят все. По ожиданиями на 2017 год, ущерб от киберпреступлений ежегодно будет стоить к концу 2021  – 6 млрд долларов), согласно отчету consumers international потребители все более серьезно относятся к социальной ответственности компаний, а пандемия настолько существенно организационно изменила бизнес-ландшафт, что потребовала очень быстрой технологической перестройки для большинства больших компаний.
• Люди, то есть ключевые назначения, мотивация, организация и условия работы персонала. Вынесенные в данной статье в последний пункт, и однако, являющиеся ключевым ресурсом, деятелем, потребителем и участником любого процесса нашего общества, поскольку любой бизнес делают люди и для людей.

Безусловно, перечень вопросов, на которые членам Совета директоров и высшему руководству/собственникам стоит обратить внимание, проведя отдельный риск-анализ и обсуждение, не ограничивается перечисленным. Однако чаще всего, даже по этим вопросам, достаточная работа в части управления рисками не проводится, хотя организовать ее достаточно просто. Но этот вопрос уже лежит за рамками данной статьи.

* Напомним, что для принятия качественного решения необходимым, хотя и недостаточным, условием является полнота и качество имеющейся по вопросу информации. И организация представления такой информации должна быть требованием собственников и Совета директоров и обязанностью менеджмента (и может быть одной из задач Директора по рискам).

Ирина Андропова (с)