— Варвара, что сейчас происходит на рынке труда в области специалистов по управлению операционными рисками?

— Несмотря на то что во многих организациях из-за пандемии наем новых сотрудников был заморожен, в ряде компаний различных отраслей открыты вакансии специалистов в области риск-менеджмента.

Если бы мы в конце 2020 года зашли на сайт одной из популярных компаний интернет-рекрутмента и осуществили поиск таких вакансий, открытых нашлось бы более 9 тыс. за последний месяц, за последние три дня — более 3 тыс., за последние сутки — около 1 тыс. Числа кажутся внушительными. Но для сравнения позиций в области управления персоналом, открытых за последний месяц, — более 16 тыс., а области финансов — более 40 тыс.

На том же популярном ресурсе для поиска работы в конце 2020 года были размещены объявления чуть более 1,3 млн компаний. Если предположить, что все 9 тыс. вакансий по управлению рисками — от разных компаний, то всего лишь каждая 147-я компания нуждается в специалистах по управлению рисками, в то время как потребность в финансистах испытывает каждая 33-я.  

Выводы о спросе на ту или иную профессию требуют глубокого анализа, однако доступные данные позволяют предположить, что не в каждой компании рисками управляют в масштабах всей организации. Если делать выводы об уровне зрелости процессов управления рисками, основываясь на более прикладном опыте — опыте консультанта рисковой практики вендора ПО, а в прошлом консультанта BIG4, то можно подтвердить сделанное заключение.

— Очевидно, это один из признаков незрелости риск-менеджмента?

— Безусловно! По итогам взаимодействия с компаниями — представителями производственной сферы, ретейла и даже финансовой отрасли с уверенностью могу сказать, что далеко не в каждой даже крупной компании управление рисками выделено в отдельную функцию. Во многих отсутствуют методология и регламенты, а также нет сотрудников, занимающихся исключительно риск-менеджментом.

В то же время сотрудники средних и крупных компаний в России воспринимают «риски» как отдельную профессиональную область, знают своих «коллег-рисковиков». Но далеко не каждый сможет объяснить, чем эти коллеги занимаются, поскольку достаточно часто процессы риск-менеджмента обособлены. В лучших практиках управления бизнесом давно признано, что риски есть у любой организации, и если, например, рыночные или комплаенс-риски требуют специальных знаний и присущи не всем видам деятельности, то операционные риски — это неопределенность, существующая на каждом этапе любого процесса. По идее, каждый участник процесса эти риски должен понимать, а каждая организации должна ими управлять. 

На практике же для большинства сотрудников риски — это какие-то сакральные знания, ведомые только отделу по управлению рисками.

Это свидетельствует о том, что компании предпринимают попытки выделить риск-менеджмент в отдельный процесс, но в то же время говорит о не самой высокой эффективности этого элемента управления. Как эту эффективность измерить, кто должен управлять операционными рисками и почему о рисках нужно знать не только риск-менеджерам?

Мировые стандарты по управлению рисками пытаются помочь организациям найти ответы на эти вопросы.

— Расскажите, пожалуйста, немного об этих стандартах.

— Согласно стандарту управления рисками COSO ERM, один из основных компонентов управления — контрольная среда.

Комплексный подход в работе риск-менеджмента включает оценку уровня рисков с учетом имеющихся в процессах компании контролей. Соответственно риск-менеджеры тесно связаны с системой внутренних контролей. Кроме того, лучшие практики предполагают вовлечение всей организации в оценку рисков и контролей, а также в дальнейшую проработку и реализацию мероприятий по снижению уровня риска.

В различных отраслях требования регуляторов к процессам управления рисками различаются. Самое строгое регулирование — в финансовом секторе: банковская отрасль зачастую является не только объектом жесткого контроля со стороны регуляторов, но еще и лидером по зрелости процессов управления и IT. Многие банки уже выстроили процессы управления рисками, а вот вне финансового сектора риск-менеджмент развит в меньшей степени. При этом есть достаточно зрелые системы управления в компаниях других отраслей — производство, телекоммуникации, ретейл и пр.

С 1 октября 2020 года в силу вступило Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», которое обязывает банки выстроить полноценную систему управления операционным риском.

Одним из основных инструментов этой системы Банк России видит самооценку рисков: «Самооценка операционного риска проводится кредитной организацией в виде анкетирования выделенных для данной процедуры работников подразделений кредитной организации по всем направлениям деятельности, в том числе в разрезе составляющих их процессов».

То есть для банков уже на уровне регулятора закреплено требование вовлекать в управление рисками сотрудников из бизнес-подразделений. Очень вероятно, что многие организации из других отраслей тоже выберут такой подход для выстраивания процессов риск-менеджмента.

— В чем причина такого решения и есть ли подходы, которые помогают наладить совместную работу в области рисков?

— На мой взгляд, это обусловлено тем, что никто не знает процесс лучше, чем его участники. Соответственно и риски процесса лучше всего знают сотрудники, работающие с ними каждый день.

Распространенным путем для обеспечения эффективного взаимодействия между подразделениями является подход трех линий защиты, который предполагает вовлечение всей организации в управление рисками:

• первая линия — бизнес-подразделения, исполнители и владельцы процессов;
• вторая линия — служба по управлению рисками и служба по управлению внутренними контролями;
• третья линия — служба внутреннего аудита.

Остановимся на выстраивании взаимодействия между первой и второй линиями защиты. Полный жизненный цикл управления риском предполагает непрерывное функционирование этапов:

• сбор информации и идентификация рисков;
• оценка рисков; 
• реагирование; 
• мониторинг.

— Какая роль отводится каждой из линий защиты на этапах жизненного цикла процесса управления рисками и как достичь максимальной эффективности на каждом из них?

— Начну со сбора информации и идентификации рисков. Сотрудники бизнес-подразделений, например департамента розничного бизнеса в банке или отдела логистики в производстве, обладают более полной информацией о процессе выдачи кредита или транспортировки сырья соответственно. Они же — и владельцы риска.

Обладая экспертизой, менеджер по управлению рисками может идентифицировать потенциальную угрозу, классифицировать ее, но именно специалист, ежедневно принимающий заявки на получение кредита и регистрирующий договоры в системах банка, может наиболее точно описать условия потенциальной реализации риска, именно менеджер по логистике может точно обозначить источники и сферу влияния риска.

Определяя риск выдачи кредита по ставке ниже согласованной, риск-менеджер должен получить информацию от исполнителя процесса в виде регламента исполнения процесса, данные о распределении ролей между сотрудниками, задействованными в информационных системах. Оценивая риск срыва срока поставки сырья, риск-менеджер должен узнать, какие существуют в цепочке поставок рамки и ограничения, получить сведения о контрагентах, прецедентах реализации риска.

Система внутреннего контроля на этом этапе должна обладать информацией о наличии контролей в процессе, например контроля четырех глаз, который предотвращает самостоятельное исполнение операции и контроль за ней одним сотрудником. Такую информацию также должны предоставлять непосредственные участники бизнес-процесса.

В производственных процессах контрольные процедуры редко формализованы, но это не означает, что их не существует. Достоверная информация, подтверждающая регулярность работы этих процедур, находится у владельца бизнес-процесса. В таких ситуациях плотное взаимодействие первой и второй линий защиты служит залогом эффективного риск-менеджмента.

— Как происходит оценка рисков?

— Это задача второй линии защиты, а именно риск-менеджеров, которые должны определить, каким образом, с какой частотой будут оцениваться риски, то есть разработать методологию, которая будет обеспечивать адекватную, качественную и полную оценку. 

Первая линия защиты на этапе оценки должна привлекаться в качестве экспертов, которые будут оценивать риск с учетом ежедневно накапливаемого опыта и информации о реализации риска в прошлых периодах. Служба внутреннего контроля на этом этапе включает в оценку информацию о контролях процесса, об их операционной эффективности и помогает учесть влияние контрольной среды на уровень риска.

Здесь стоит поговорить о мотивации первой линии защиты правильно и добросовестно оценивать риски. Часто вопрос эффективности самооценки рисков упирается в ряд проблем:

• непонимание необходимости оценки и эффекта от нее;
• страх ответственности;
• непонимание процесса оценки;
• нежелание тратить время на оценку;
• отсутствие простого и удобного инструмента проведения оценки.

Если говорить о непонимании необходимости оценки и эффекта от нее, то часто оценка риска воспринимается как нечто формальное и бесполезное. Однако организациям следует чаще просвещать бизнес-сотрудников в части основ риск-менеджмента, а именно на примере конкретных подразделений показывать последствия несвоевременной идентификации риска и его недобросовестной оценки. Это могут быть примеры потери компанией крупного заказчика в силу утраты доверия или потери денежных средств в силу мошеннических действий. При этом важно не усилить у сотрудников страх ответственности.

Страх препятствует объективной оценке. Часто среди сотрудников организации можно встретить мнение о том, что если в процессе и есть риски, то только потому, что сами сотрудники не справляются со своими задачами, плохо работают, и первое, что сделает руководство после того, как увидит выявленные риски, — начнет всех наказывать и увольнять. Несмотря на то что организации активно развивают риск-культуру, многие из них в рамках проектов внедрения комплексной системы по управлению рисками одним из первых озвучивают вопрос: «Как заставить сотрудников добросовестно оценивать риски и регистрировать рисковые события?». И здесь руководству важно уйти от концепции «заставить» и начать движение в сторону «помочь» и «стимулировать». 

Бывает, что в компании риск-культура развита на высоком уровне, сотрудники понимают, зачем оцениваются риски, но существуют трудности в понимании того, как это можно делать. Организации, стремящиеся к зрелой культуре управления рисками, должны формализовать процедуру оценки риска, разработать шаблоны оценок, простые и понятные анкеты для самооценки.

Полноценное вовлечение сотрудников в управление рисками требует некоторого количества времени, что также препятствует построению эффективного процесса. Руководство не горит желанием отвлекать сотрудников от решения бизнес-задач, а рядовые служащие не хотят тратить время на то, что не входит в их прямые обязанности. Кроме того, часто оценка рисков — это редкое заполнение файлов, которые потом отправляются по почте и забываются до следующей оценки.

В такой ситуации необходимо показать каждому сотруднику, что оценка риска — это не самоцель, а мощный инструмент изменений в компании. Дайте сотрудникам единое пространство для оценки риска, коммуникации с риск-менеджерами и руководством, покажите влияние их оценки на общую оценку риска в организации, пусть они увидят отчеты по рискам, узнают, что оценка риска — это начало большего процесса управления, результатом которого являются оптимизация всех процессов, совершенствование работы каждого участка в организации. Качественно выстроенный процесс — возможность для сотрудника проще и быстрее выполнять собственные KPI и получать соответствующее вознаграждение.

И раз уж мы заговорили об оптимизации, подчеркну, что процессы управления рисками можно и нужно сделать более унифицированными, быстрыми, понятными и эффективными.

Сбор информации и идентификация риска будут осуществляться оперативнее, если дать сотрудникам бизнес-подразделений простой и понятный инструмент для быстрого ввода информации о реализовавшихся событиях или выявленных проблемах. При этом у сотрудников будет возможность сразу же вносить информацию о причинах проблемы и вариантах решения. Этот ресурс можно использовать как пространство для анализа процессов и предложений по их улучшению. 

Доступ к этому ресурсу должны иметь как система внутреннего контроля, так и риск-менеджмент, так как при помощи такого ресурса гораздо проще и быстрее запрашивать информацию, актуализировать, разделять или агрегировать ее в зависимости от целей использования.

Потребность в изменении и улучшении процессов гораздо проще донести до руководства, имея в качестве дополнительных аргументов уровень риска процесса и уровень убытков, которые могут быть снижены при реализации этих изменений. Службе внутреннего контроля будет проще «заставить» бизнес-подразделения внедрить контроли, если бизнесу будет доступна и понятна информация о том, какой риск эти контроли призваны исключить и как внедрение контроля позволит изменить шаги процесса, перераспределить задачи, чтобы процесс функционировал максимально эффективно.

— Что происходит на этапе реагирования?

— После идентификации и оценки рисков, а также анализа причин и последствий необходимо принять решение, что с этими рисками делать: оставить все как есть, застраховать деятельность от потенциальных потерь, отказаться от процесса или осуществить действия по минимизации рисков.

Такое решение должно приниматься совместно первой и второй линиями защиты. Если в условиях обособленной работы риск-менеджеры создают план мероприятий, который может включать разработку внутренних контролей, и далее этот план транслируется на бизнес-подразделения, которые обязаны выполнить все предписанные действия, то при комплексном подходе источником предложений и планов мероприятий является первая линия защиты, то есть непосредственные участники бизнес-процесса.

Так, для снижения уровня риска могут быть предложены программа найма и обучения персонала, внедрение дополнительного контроля и пр. В комплексном управлении рисками первая линия защиты должна участвовать в детальной проработке плана, предлагать способы минимизации риска с учетом влияния этого плана не только на уровень риска, но и на эффективность бизнес-процесса. 

— Кто и как осуществляет мониторинг?

— Контроль уровня рисков, отслеживание изменений в процессах и сбор статусов исполнения планов — основные инструменты, обеспечивающие руководство актуальной информацией для принятия решений.

На этом этапе инструменты, внедренные второй линией, позволяют бизнесу использовать для принятия решений наиболее актуальную информацию: ключевые индикаторы риска помогут контролировать уровень убытков, статус выполнения планов. Служба внутреннего контроля, со своей стороны, оценивает, как изменится контрольная среда при условии реализации всех планов по минимизации рисков: не появятся ли при этом дополнительные риски, не станут ли какие-то контроли избыточными и не потребуются ли дополнительные ресурсы для проверки процессов.

— Как оценить эффективность управления рисками?

— Отталкиваясь от определения риска в ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство» («Риск — следствие влияния неопределенности на достижение поставленных целей»), можно сказать, что если компания в полной мере достигает своих целей, то рисками управляют эффективно. Однако это очень общий и сложно измеримый показатель. Тем не менее компании могут анализировать эффективность, оценивая уровень потерь от реализации риска, затраты на меры по митигации рисков в сопоставлении с эффектом от таких мер, количество повторяющихся рисковых событий, количество замечаний от внешних проверяющих и др. 

Если оценивать, насколько продвинуто компания управляет рисками, то хорошим ориентиром будут уровень риск-культуры, количество сотрудников, пользующихся риск-инструментами, и инициативность бизнеса в части изменений таких инструментов. Например, для мониторинга уровня рисков используются ключевые индикаторы риска (КИР), дизайн которых разрабатывают риск менеджеры, однако при сборе информации по КИР может оказаться, что в таком разрезе показатель неинформативен и никак не отражает реальное положение дел.

— Так как же улучшить процессы, контролировать уровень риска и при этом не отвлекать подразделения от основных задач? 

— Обеспечить сотрудникам единое пространство для работы, доступ к одним и тем же ресурсам, инструмент для быстрой коммуникации и оперативной трансляции необходимой информации. Такое пространство — автоматизированная информационная система (АИС) по управлению рисками.

АИС — это мощный инструмент выстраивания коммуникации между различными подразделениями, готовый унифицированный процесс с возможностью увидеть подсказки на каждом шаге, с опциями оперативной трансляции любых комментариев и задач, а также с механизмами отслеживания результатов действий каждого из сотрудников. Простой и современный интерфейс, понятная интерактивная отчетность, доступность анализа различных блоков информации (с соблюдением разграничения полномочий) — дополнительный способ мотивации сотрудников вовлекаться в процессы управления рисками.

Да, системы такого класса в явном виде не приносят компании дополнительной прибыли, однако унифицированные процессы, преднастроенные жизненные циклы согласования, единые справочники, инструменты оперативного мониторинга — это своевременно выявленные актуальные риски, правильно расставленные приоритеты по реагированию, полная информация для принятия решений и как следствие сокращение потерь и оптимизация бизнес-процессов. Важными условиями извлечения максимальной пользы от комплексного подхода к управлению рисками являются грамотно выстроенная ролевая модель, достаточная мотивация и высокий уровень риск-культуры.

В современных условиях высокой неопределенности и постоянных изменений знания о назначении и функционале инструментов риск-менеджмента, их комплексное использование каждым из сотрудников — одни из ключевых факторов достижения организацией ее целей. Поэтому управлять операционным риском должны все.