Антидисклеймер
Все современные управленческие инструменты корпоративного формата, в первую очередь управление рисками и внутренний аудит, могут применяться с пользой для дела. Однако, как это часто бывает, многое меняется при ответе на вопрос «как?».
По началу вам может показаться, что основная аудитория данной статьи — это внутренние аудиторы. Однако, это далеко не так. Но их роль в этой истории значима и одновременно порочна, так как вместо прояснения, они еще больше ее запутывают. Ибо что запутать имеется в избытке.
Лирическое отступление.
Вообще внутренний аудит всегда был, есть и будет одной ногой в «космосе». Это в среднем, так как есть аудиторы, которые ни на капельку, ни на сантиметр, ни на секундочку там никогда не были, то есть это такие закоренелые прагматики, а есть прям деятели, которые шпарят от одной галактики к другой без остановки. Термин «космос», как вы понимаете, это иносказательно, как некая характеристика степени отрыва от реальности. Кстати, люди, которые занимаются популяризацией аудита, предпочитают привлекать для этого именно закоренелых прагматиков. Хотя общераспространенное методологическое обеспечение профессии способствует формированию именно «космонавтов». Прагматики появляются исключительно по личной инициативе и благодаря личным же качествам. И когда они участвуют в пиар мероприятиях, они создают у менеджмента позитивное восприятие профессии и иллюзию того, что все аудиторы такие. Но это первое впечатление очень часто возвращается бумерангом резко негативного отношения после того, как менеджмент сталкивается с более распространенным вариантом начинки внутреннего аудитора. Разумеется, это происходит только тогда, когда менеджменту или СД или собственникам нужна реальная отдача от аудита. В остальных случаях, аудит может быть спокоен за свою судьбу, пока у компании водятся деньги, конечно, и сам аудит тихо попискивает в уголке (при этом мудро рассуждая «помолчу – за умного сойду»).
Ну да мы немного отвлеклись. Итак, приступаем.
Пролог
Вообще, риск-ориентированность в целом означает, что имеет место следование канонам риск-менеджмента как управленческой дисциплины в том или ином виде. Пусть даже вы никогда и не слышали про такие вещи как, например, ИСО 31000 (Международный стандарт по управлению рисками). Другими словами, вы можете выполнять ряд действий и даже не подозревать, что чему-то там следуете. Весь вопрос какие именно эти действия и как они выполняются.
С практической точки зрения явно выделяются четыре основных, так скажем, смысловых вектора риск-ориентированности (то есть в каком обычно контексте используется/встречается данный термин). Именно они и определяют зачем вообще эта тема рассматривается в данной статье.
Вектор 1
Если вы риск-ориентированы, то вы, как минимум, пытаетесь использовать «контроли» (которые порой могут называться еще и «средства контроля») или «внутренние контроли» для минимизации и/или управления рисками. При этом, часто делается акцент именно на упреждение и превентивность, которые во многих случаях весьма условны, но об этом обычно не распространяются. Также обратите внимание, что термин «контроль» используется в значении, обозначенном в ИСО 31000 как «мера по управлению рисками». Это важный нюанс, так как с точки зрения менеджмента как искусства и науки управления, контроль — это в первую очередь действие по сопоставлению/сравнению фактического результата с желаемым (вспомните, например, цикл PDCA). В российской практике, этот важный нюанс мало кто осознает. Впрочем, наверное, как и на Западе, но там просто одно слово («controls») для всего. А у нас говорят «контроль рисков» и думают, что речь идет о контроле с управленческой точки зрения (как часть PDCA), хотя есть отдельный официальный термин «меры по управлению» рисками. Складывается впечатление, что на Западе такой путаницы не возникает, так как, судя по всему, они ориентируются на конкретный контекст, в рамках которого упоминается термин «контроль». Что, впрочем, не избавляет их от его поверхностного восприятия и следующей за этим путаницы – там тоже многие уверены, что для управления рисками достаточно выполнять сопоставление плана и факта (то есть контроля в управленческом смысле).
Вектор 2
Упоминается в контексте тематики различных видов контроля и надзора, в том числе государственного, и обычно принимает форму термина «риск-ориентированный контроль» или, соответственно, «риск-ориентированный надзор» (или, соответственно, «риск-ориентированный подход» к…). При этом часто это является некой целенаправленной деятельностью или функцией. Суть проста – если речь о различных форматах контроля/надзора, то обычно это звучит в контексте выявления или предотвращения некоего ущерба или нарушения неких требований, устранения опасности, минимизации негативных последствий. Но с практической точки зрения, что касается профилактического эффекта всех этих телодвижений в широком смысле этого слова, то это обычно больше фантазия, чем реальность.
Чем-то это напоминает древнюю игру, где волк из «Ну, погоди!» ловит яйца. По мере увеличения счета, яйца падают все быстрее и быстрее, поэтому в итоге пальчиками надо мельтешить в бешенном темпе. Вместо того, чтобы сделать так, чтобы яйца вообще перестали падать – например, устранить наклон насестов кур-несушек, сделать их горизонтальными. В игре, понятно, не в этом цель. Но вот в реальной жизни так бы и надо сделать, но предпочитают изображать бурную контрольную деятельность.
Вектор 3
Упоминается в контексте тематики внутреннего аудита и обычно принимает форму термина «риск-ориентированный аудит» (или, соответственно, «риск-ориентированный подход» к…). Суть проста – если речь о внутреннем аудите, то значит, объект для внутреннего аудита выбирается с учетом способности создавать риски как для самого себя, так и для взаимодействующих с ним объектов, что препятствует достижению цели процессов. Но нюанс в том, что выбор рисков обычно, мягко говоря, не совсем удачный.
Вектор 4
Если вы риск-ориентированы, то при принятии управленческого решения, вы учитываете влияния соответствующих рисков (вплоть до использования сложных, так скажем, наукообразных моделей и расчетов), которые могут так или иначе препятствовать реализации данного решения. Соответственно, часть решения связана с созданием условий, которые будут способствовать успешной реализации данного решения на практике. Это, кстати, последний писк моды в риск-менеджменте на Западе. Настолько свежий, что пока не имеет широкого распространения, но активно обсуждается прогрессивной управленческой общественностью и даже пиарится наиболее продвинутыми экспертами в данной области.
Кстати, давайте ради эксперимента проанализируем содержания первых 10 ссылок по каждому из слов «риск-ориентированный» и «risk-based». Местами это лютый треш. При этом, первое словосочетание искалось с помощью Яндекса, второе – Гугла.
Таблица 1. "Риск-ориентированный".
п/п № |
Вектор |
Вектор 1 | |
Вектор 2 | |
Вектор 3 | |
Вектор 2 | |
Вектор 2 | |
Вектор 2 | |
Вектор 2 | |
Вектор 2 | |
Вектор 3 | |
Вектор 2 |
Таблица 2. "Risk-based".
п/п № |
Вектор |
Вектор 1,4 | |
Вектор 1 | |
Вектор 1 | |
Вектор 1 | |
Вектор 4 | |
Вектор 1 | |
Вектор 1 | |
Вектор 1 | |
Вектор 4 | |
Вектор 1 |
Ну как вам? Прочувствовали разницу в акцентах? Что тут скажешь, какие акценты, такие и результаты. А теперь представьте, что человек, незнакомый с темой, захочет погрузиться в нее, но владеет только русским. Какое представление о "риск-ориентированности" он получит?
Продолжим.
Как и многие современные управленческие технологии и понятия, риск-ориентированность принес в нашу гавань ветер перемен с условного Запада. Это ни хорошо и ни плохо, просто так случилось. Там, «за речкой» это весьма популярная концепция. Например, если вы наберете в Гугл фразу «risk-based», то поиск выдаст 3,2 млрд. упоминаний, «risk-driven» — 749 млн., «risk-oriented» — 484 млн. (все эти фразы переводятся как «риск-ориентированный», просто первые два имеют свои смысловые оттенки). Это, например, больше, чем упоминание фразы «internal audit» (внутренний аудит, 431 млн.) или «goal-driven» (1,43 млрд.) или «goal-oriented» (ориентированный на цели, 365 млн.).
Но, как это часто бывает в нашей стране, данная концепция была «расписана под хохлому» и у нас обрела свою собственную судьбу (опять же, см. результаты нашего эксперимента выше). Если на Западе риск-ориентированность часто ассоциируется с менеджментом как функцией, системами управления процессами или проектами и процессами принятия управленческих решений (как упоминалось выше, это самое передовое понимание риск-менеджмента), то у нас ее примотали изолентой к понятиям «надзор», «контроль» и «внутренний аудит». Последний как раз особо и не сопротивлялся и с энтузиазмом принялся козырять на каждом углу новой модной фразой и искренне пытаться выстраивать свою (а порой и чужую) работу, с оглядкой на риски (несмотря на проступающий здесь сарказм, это в принципе здравая идея).
Вопрос только – какие именно риски?
И это весьма уместный вопрос. В целом, российский менеджмент со скрипом осваивает управление рисками в его общераспространенном формализованном формате. По этой причине, управление рисками в компаниях часто продвигается именно внутренним аудитом на пару с подразделениями риск-менеджмента, там, где они есть (по сравнению с первым, последние это все еще более редкий зверь в российском бизнесе). А вокруг всего этого бегают кругами консультанты, до недавнего времени в основном из «Большой четверки», и время от времени смачно откусывают самые сочные куски от этой истории (например, написать политику по управлению рисками – ответственности и трудозатрат «ноль», а денюжка вот она, приятно хрустит), пытаясь одновременно подсадить клиента на источник сакральных знаний в своем лице.
В результате десятки, а то и сотни компаний в России охвачены креативной истерикой «риск-ориентированности», в попытке максимально исчерпывающим образом запечатлеть своего врага – риски. Но при этом мало задумываются о практической целесообразности и управленческой применимости. В результате появляются многостраничные реестры, содержащие нечто подобное:
- ...Риск неэффективного расходования денежных средств.
- Риск использования неправильных цен при оформлении заказа.
- Риск проведения тендера с нарушением тендерных процедур.
- Риск несвоевременного информирования заинтересованных сторон.
- Искажение финансовой отчетности предприятия.
- Непреднамеренное или умышленное нарушение сотрудниками требований технико-производственных регламентов, стандартов и процедур по организации производственного процесса и эксплуатации оборудования.
- Избыточно формализованные процедуры выбора подрядчиков, заключения договоров, согласований для принятия управленческих решений.
- Несвоевременная замена производственного оборудования.
- Выход из строя оборудования длительного изготовления (компрессор, вентилятор, насосы высокого давления, теплообменники, дробилки, мельницы и т.д.), не имеющие дублирования или запасных элементов.
- Неэффективная организационная структура…
Создание подобных перечней (троеточие в начале и в конце указывает, что это поистине бесконечная история, не имеющая вразумительного финала), не говоря уже о попытке как-то работать с ними, сродни попытке вскипятить океан. Но часто участники этого увлекательного процесса так закидываются своим энтузиазмом, что даже не в силах осознать этого. А рядом стоят и держат свечку те самые консультанты и умоляют продолжать, нашептывая, что вот-вот из-за поворота вырулит эффективность и непознаваемый простым смертным смысл.
И ничто, даже время, не в силах это вылечить. Что же здесь не так?
Завязка
Несмотря на то, что моя первая книга формально была посвящена теме внутреннего аудита, почти половина ее (с 202 по 401 страницу) описывала структуру и содержание ключевых бизнес-процессов, включая их систему управления. Тем не менее, в первой книге я изо всех сил старался оставаться в рамках общераспространенной на тот момент (хотя мало что поменялось с тех пор) методологии как внутреннего аудита, так и внутреннего контроля и управления рисками. Моментами это было весьма непросто. Например, тогда многие аудиторы совершенно не понимали как из стандартной карты рисков сделать план аудита. Во многом этот вопрос так и остался открытым до сих пор. Каждый решал и решает его по-своему. И тому есть вполне банальные причины, о которых чуть позже. Также, я знаю ряд компаний, в которых пытались выстраивать работу аудита в соответствии со структурой кубика COSO (речь о концептуальной модели внутреннего контроля COSO). И это было жалкое зрелище. Что позже признавали и сами участники этих экспериментов.
К чему это я?
В первой книге при формулировании и описании рисков я вынуждено пошел тем путем, которым понапрасну продолжают сейчас идти многие и внутренние аудиторы в первых рядах – на основании личного опыта выявления отклонений в процессах, что практически всегда приводит к созданию перечней рисков, аналогичных приведенному выше (логика такая – отклонение же может повторится?! Значит это риск!). Но в книге я хотя бы делал акцент на том, что по описанным там процессам приведен не исчерпывающий перечень «рисков» и надо пополнять его своими находками.
Периодически на профессиональных форумах, конференциях и в кулуарах даже обсуждалась тема создания банка данных «рисков» в процессах. Типо, а давайте все аудиторы скинут в одну кучу перечень всего того, с чем они когда-либо разбирались, и работа превратится в копи-паст. Поиски «волшебной кнопки» — это очень по-человечески, а аудиторам, как бы странно это для кого-то не звучало, все человеческое не чуждо.
Теперь то я знаю, что эта бочка не имеет дна, но тогда это прозрение было для меня за горизонтом – как я писал в одном из недавних постов в телеграм-канале, 2 любых последовательно связанных процесса во взаимодействии с 4 вспомогательными процессами (которые общие для всех процессов) дают нам минимум 2080 «рисков», подобных упомянутым выше. В таком раскладе, создание исчерпывающего банка данных «аудиторских находок» — это удел, мягко говоря, очень оптимистичных и усидчивых людей. И очень напоминает попытку заучить, например, значения произведения всех пар трехзначных чисел (скажем, 123*123=15 129, 523*575=300 725 и т.д.) вместо того, чтобы использовать алгоритм умножения.
Я понимаю, что в это сходу сложно поверить, но есть и универсальный алгоритм, с помощью которого можно избежать превращения в маниакального коллекционера своего и чужого опыта выявления и анализа отклонений в работе процессов, то есть «рисков». Что все равно, не имеет объективно обозримых концов и краев, просто сам эксперт в какой-то момент решает, что ему пока хватит. Однако его опыт при этом всегда будет выглядеть как зубы у больного цингой – в наличии будут, мягко говоря, пробелы. Жестковато прозвучало, да? Но что поделать.
Да, аудиторы и все, кто заинтересован в улучшении процессов, все еще могут полагаться на свои и чужие коллекции отклонений-«рисков» и работать исключительно интуитивно. Также как и лесоруб может продолжать пользоваться топором, когда рядом стоит новенький и заправленный харвестер, а врач-травматолог – играть в угадайку, когда в соседнем кабинете в наличии аппарат МРТ последней модели. Все, что я хочу, так это показать вам, что есть выбор иного пути. Любая компания (или даже процесс) — это практически математическая модель, человеческий фактор не устраняет этого факта, он просто превращает модель в… систему (звучит парадоксально, но в соответствии с общей теорией систем, человеческий фактор это всего лишь один из элементов системы).
Лирическое отступление
Кстати, следствием увлечения рисками, подобным упомянутым в реестре выше, является распухание штата аудиторских подразделений. Причина банальна – если два процесса дают в совокупности 2080 «рисков», то осознание того, что происходит со всеми процессами, может запросто повергнуть в ужас. Прям не знаешь за что хвататься. Вот и возникает естественное желание нарастить ресурс. Но все это примерно, как боятся монстра в телевизоре – иллюзия. И как бита в вашей руке бесполезна против телепузика, так и набухающая масса аудиторов – в повышении эффективности процессов и достижении целей компании. Ибо нельзя ведрами вычерпать море. Даже если быть лучшим в этом деле. Даже во Вселенной. Даже если ты – Флэш.
Итак, давайте разбираться, как найти выход из этого лихолесья риск-ориентированности (Лихолесье – мрачный и заколдованный лес, в котором заблудились гномы на пути в Эребор в фильме «Хоббит, или туда и обратно»).
Кульминация
На самом деле, риски, аналогичные упомянутым в перечне выше,… не существуют. В первую очередь, именно с точки зрения практически целесообразного управленческого подхода (хотя, разумеется, при желании можно довести любую ситуацию до абсурда). Давайте попробуем осмыслить это с помощью обзора сценариев функционирования и динамики изменений/отклонений в работе любого процесса. Далее на рисунках для экономии места и улучшения восприятия будет представлена упрощенная версия структуры и содержания процесса. Просто имейте в виду, что есть еще ресурсы, участники, физическая инфраструктура и управленческая инфраструктура.
Рисунок 1.Сценарий 1 (рисунок 1).
Сам по себе, любой процесс большую часть времени существует в сбалансированном и стабильном состоянии. Параметры его результата при этом колеблются в определенных и, что крайне важно понимать, ожидаемых, предсказуемых диапазонах («собака лает, караван…» порхает). То есть по большей части каждый процесс для его владельца является абсолютно понятным и свободным от любой существенной неопределенности. А там, где нет неопределенности, нет и риска, так как он является ее прямым следствием. По этой причине, в обычных условиях (а это не менее 95% времени работы процесса) отсутствует смысл использования понятий и терминологии риск-менеджмента. Тем более, что существует абсолютно самодостаточный понятийный и методологический арсенал управления любым процессом. Именно управленческий арсенал (или алгоритм) – цели, структура процесса, элементы процесса, этапы выполнения, условия успешного выполнения, параметры результата. Все это формирует модель процесса, уникальную для конкретной ситуации, в которой нет места рискам как объекту формализованного управления.Рисунок 2.
Сценарий 2 (рисунок 2).
В силу различных причин, процесс может потребовать изменений. При этом в этом сценарии рассматриваются изменения, связанные исключительно со внутренними причинами самого процесса (чаще всего, это состояние элементов процесса). Например, износ оборудования может потребовать его замены, усталость работника – дополнительного отдыха, колебания свойств сырья – регулировки оборудования и так далее.
Здесь может создастся впечатление, что раз происходят изменения, то возрастает неопределенность, а значит пора подключать все волшебство риск-менеджмента на полную. Однако, это лишь на первый взгляд. По факту, здесь в игру вступает… процесс «Управление изменениями». И если, как говорится, этот процесс настроен как надо (то есть в наличии его оптимальная модель), то этого более чем достаточно.
Давайте начнем с простого примера – бытового. Вы готовите обед. Но сегодня вы чувствуете себя особенно голодным. И вы решаете увеличить порцию. При этом изменениям подвергается весь процесс в целом – возможно, увеличится время готовки, возможно надо будет добавить каких-то ингредиентов, масла, соли и прочего, возможно надо будет чаще помешивать и тому подобное. Все это проносится у вас в голове, можно сказать автоматически. Думаете ли вы при этом о рисках? Искренне надеюсь, что нет. Иначе пора к доктору.
Именно так и работает адекватно настроенный процесс управления изменениями. А если нет, то в первую очередь его надо довести до такого состояния. Это типичная управленческая логика – выработка оптимальной рабочей модели процесса исходя из имеющихся условий. И, кстати, контроль (в его исходном управленческом смысле) очень активно в этом помогает, обеспечивая оперативную обратную связь. Странно да? Контроль есть, а рисков нет. Ой, чудеса.
Рисунок 3.Сценарий 3 (рисунок 3).
Чем-то он напоминает Cценарий 2, вот только причины изменений конкретного процесса «приходят» из других процессов компании. При этом они могут быть как непосредственно связаны с нашим процессом, влияя на формирование его входа, либо пользуясь его выходом, так и не иметь такой прямой взаимосвязи, но при этом все равно оказывать влияние. Например, увеличение объема производства может потребовать как наращивания складских мощностей (как для готовой продукции, так и для сырья) или найма дополнительных менеджеров по продажам (прямое влияние), так и изменения методов или каналов продаж (непрямое) или всего этого вместе.
Понимаю, кто-то с надеждой поглядывает на запертую дверь с табличкой «Риск-менеджмент». Но и в этот раз, нет особого повода ее отпирать. И причина опять же в… состоянии процесса «Управление изменениями». Если он есть и адекватен, то взаимонастройка процессов произойдет как полагается. Если же его нет, то опять же, его надо создать и довести до ума. К чему нам эта многозначительная пауза на дискуссию о рисках? Она здесь просто не вписывается исходя из практической управленческой логики. Все опять же вращается вокруг универсального управленческого арсенала/алгоритма каждого процесса – целей, структуры процесса, элементов процесса, этапов выполнения, условий успешного выполнения, параметров результата. У вас одна задача – привести модели процессов вновь в стабильное и устойчивое состояние.
Здесь кстати весьма уместно вспомнить цитату Тома Питерса: «Test fast, fail fast, adjust fast» (Быстрее тестируй, быстрее облажайся, быстрее отрегулируй). Разумеется, есть ситуации, когда лучше так не делать, но чаще это вполне рабочий рецепт.
Управление изменениями это одна из ключевых управленческих компетенций, она просто обязана быть, как навык вождения (предполагающий реакцию на изменение дорожной обстановки) обязан быть у водителя. Иначе не совсем понятно, как вы формируете систему управления в компании.
Рисунок 4.
Сценарий 4 (рисунок 4).
В целом аналогично Сценарию 2 и 3, но есть пара нюансов.
Нюанс 1 – изменения оказывают существенное влияние на модель процесса (на рисунке выделено розовым). Если представить модель процесса как систему, то существенные изменения приводят к изменению, условно, эмерджентных свойств. Например, если вы мыли посуду руками, а потом установили посудомойку, то, условно говоря, вы изменили эмерджентные свойства системы мойки посуды – изменились все четыре параметра конечного результата (качество, количество, скорость и стоимость), появились новые риски (например, остановка процесса в результате отключения электричества, здесь данный термин, «риски», уместен), изменилась структура и содержание процесса.
Существенные изменения процессов сопоставимы по влиянию со внешними рисками (по отношению, так скажем, к периметру компании), так как создают в той или иной степени непознаваемую неопределенность. Поэтому при выполнении процесса «Управление изменениями» с какого-то момента, данные изменения могут рассматриваться как полноценные риски, как минимум, для прочих взаимосвязанных процессов.
Нюанс 2 – к процессу «Управление изменениями» должен подключится процесс «Управление рисками» со всем его инструментарием. Последний это в первую очередь все меры, которые экономически целесообразны для управления обозримыми и верифицируемыми (в той или иной степени) рисками. Например, раньше вы упаковывали готовую продукцию вручную, а сейчас вы установили упаковочный агрегат или целую линию. Если просто выполнять процесс «Управление изменениями», то вы, например, просто измените график или схему транспортировки готовой продукции на склад. Другими словами, учтете увеличение объема и/или изменение динамики транспортировки. Однако, использование нового агрегата или линии связанно с некоторой неопределенностью – вдруг что-то не учли при сборке или не на ту кнопку нажали или нарушили технологию процесса, не осознавая этого. По этой причине, вы предпримите ряд мер по управлению рисками. Например, что касается транспортировки готовой продукции на склад, то, скажем, вы на первое время сделаете гибкий график, обеспечите постоянное наблюдение за процессом упаковки для того, чтобы в случае чего быть готовым внести изменения, возможно создадите определенный резерв по времени или по упакованной готовой продукции, привлечете наиболее подготовленный персонал, начнете эксплуатацию в тестовом режиме и т.д.
К существенным изменениям процесса относятся в первую очередь изменения его элементов – входа (пример – было твердое сырье, стало жидкое сырье), участников (пример – работали сильные суровые мужики, заменили на хрупких изящных женщин), ресурсов (работали на угле, стали работать на газе), физическая инфраструктура (пример про упаковку), управленческая инфраструктура (пример – фиксировали показатели вручную по отдельным приборам, внедрили АСУТП, автоматическую систему управления технологическими процессами). К ним же относятся и существенные изменения/отклонения в работе во взаимодействующих процессах (например, для процесса производства это авария на линии подачи сырья) и во вспомогательных процессах (например, новый сотрудник отдела закупок может «тормозить» первое время и срывать поставки).
Рисунок 5.Сценарий 5 (рисунок 5).
В целом аналогичен Сценарию 4, вот только в качестве причины изменений/отклонений в работе выступают внешние (как уже указывалось выше, по отношению к периметру компании) события в самом широком смысле этого слова. Например, погодные условия могут привести к существенным задержкам поставок (замело пути или, наоборот, возгорание от нагревания). Именно в отношении такого рода событий и целесообразно использовать в полный рост понятие «риск». И, опять же, это в первую очередь связано с фактом неопределенности. Риск — это неопределенность. И на ее наличие надо ориентироваться при управлении риском. Там, где ее нет, нет и рисков.
И в данном контексте, интересно мнение одного из знаковых экспертов в области управления рисками в том числе, Нормана Маркса (опять же, на первый взгляд речь про аудиторов, но если вникнуть в суть, то получается не совсем). Он пишет:
“These practitioners and more (encouraged by GIAS and the IIA, it seems, who continue to require an assessment of risks to the entity being audited rather than to the enterprise) include risks in scope that are highly unlikely to represent a significant risk to the achievement of enterprise objectives. As a result, they perform large audits (making them anything but agile) and address issues of significance to middle but not top management or the board, while significant enterprise risks remain unaudited”.
или
«Эти (внутренние аудиторы, примечание автора) и многие другие специалисты (по всей видимости, поощряемые GIAS и IIA, которые продолжают требовать оценки рисков для объекта аудита, а не для предприятия в целом) включают в объем работ такие риски, которые вряд ли представляют значительный риск для достижения целей компаний. В результате они проводят масштабные аудиты (что делает их совсем не гибкими) и решают вопросы, имеющие значение для среднего, но не высшего руководства или совета директоров, в то время как значительные корпоративные риски остаются непроанализированными».
О чем здесь говорит Норман Маркс? Он говорит о том, что аудиторы зацикливаются на «рисках» отдельных процессов, которые, как мы с вами разобрались, весьма часто не являются рисками. В подавляющем большинстве случаев, это отклонения значений параметров результатов процесса, которые по тем или иным причинам были осознанно приняты как данность владельцами процесса. При этом, Норман сетует на то, что настоящие риски, риски, угрожающие достижению целей компании, игнорируются. Но здесь аудиторы как бы и не виноваты, ибо общераспространенная методология (которая мало того, что во многом изобретена… бухгалтерами, а не управленцами, так еще и тиражируется толпами болванчиков-последователей с критическим мышлением, уходящим в область отрицательных значений) активно призывает поступать именно так. Ведь с «риском» «ошибок в выполнении процедуры» намного проще работать, чем с полноценными риском «повышения уровня конкуренции на рынке».
Кстати, возможно, самое предметное упражнение в рамках общераспространенного подхода к управлению рисками заключается в управлении реестрами рисков в разрезе бизнес-процессов. Другими словами, для каждого процесса существует некий реестр рисков, который периодически обновляется. «Приходят» риски в результате анализа текущей ситуации в процессе, «уходят» в результате исполнения неких мероприятий по управлению рисками. Однако в большинстве случаев, опять же, то, что в таких реестрах называется «рисками», по сути ими не является. Подобные реестры в основном описывают некие недостатки в модели процесса, которые в той или иной мере владельцы процесса пытаются устранить. В основном, конечно, для галочки, так как во многих случаях реальное устранение либо экономически нецелесообразно, либо просто физически невозможно.
Как же выглядят НАСТОЯЩИЕ риски? Например, вот так:
Взято отсюда – это свежая оценка глобальных рисков от Всемирного экономического форума (ТОП-10 на перспективу 2 и 10 лет). Полный перечень включает по 34 риска в каждой категории. Они весьма кардинально отличаются от перечня в начале статьи. И все они представляют собой именно внешние риски по отношению к любой компании. И настоящая риск-ориентированность подразумевает ориентированность именно на риски подобного формата.
Развязка/Выводы
Лирическое отступление
Вообще одна из фундаментальных проблем риск-менеджмента заключается в отсутствии универсальной, целостной и доступной для понимания методологии. С одного края политика по рискам, с другого – мудрёные методики дискретных точечных расчетов по типу VAR и прочего, а посередине заявление, что риск-менеджмент надо как-то припаять к процессу принятия управленческих решений. Но вам будет крайне сложно найти адекватный ответ на вопрос «как?». Я посетил как-то раз двухдневный тренинг по риск-менеджменту. Все вроде было на месте – именитый спикер, знаковая контора. Но все что я вынес из этого тренинга так это то, что… надо прочитать книгу Канемана про когнитивные искажения полностью. Не менее четверти тренинга были посвящены именно этой теме. То есть какая-то польза все-таки была – учили как впаривать риск-менеджмент руководству и собственникам с использованием научного подхода. Но так ли данная тема должна преподносится?
Итак, как максимально целесообразно практиковать если уж не риск-менеджмент в целом, так хотя бы риск-ориентированность в частности (на тот случай, если вы-таки решились)?
Отчасти мы уже ответили на данный вопрос выше. Сублимируем.
Если вы находитесь внутри Сценариев 2 или 3, то все, что вам нужно это владеть управленческим инструментарием (цели, структура процесса, элементы процесса, этапы выполнения, условия успешного выполнения, значения параметров результата) и отработанным процессом «Управление изменениями». С технической точки зрения ваша основная задача — это удержать колебания отклонений значений результатов процесса в рамках, как минимум, исходного (до изменения процесса) диапазона колебаний. По-простому говоря, результаты работы процесса должны быть не хуже, чем раньше. Положительная динамика результатов процесса является отличным индикатором, что все идет как надо.
При этом, если здесь кто-то вам предложит обсудить риски, то не паникуйте, сохраняйте ровный и спокойный тон голоса, налейте человеку чая с мелиссой (говорят успокаивает) и по возможности незаметно вызовите санитаров. Временная изоляция возбужденного субъекта и специализированные профилактические мероприятия благотворно скажутся на состоянии как всех заинтересованных сторон, так и общества в целом.
Если вы находитесь внутри Сценария 4, то здесь возникает необходимость проявить риск-ориентированность. В соответствии с Вектором 4, при принятии управленческого решения, вам необходимо порассуждать на тему «что может пойти не так?», выполнить подготовительные мероприятия и внести дополнения/изменения в план действий, включая использование сценарного подхода. В процессе же реализации управленческого решения, вам останется только фиксировать момент, когда значимые риски либо уже реализовались, но их эффект еще не успел развиться в полную силу, либо возникают предпосылки для их реализации. Давайте пока остановимся именно на таком общем описании, так как более предметно алгоритм действий будет описан в отдельной статье.
Если вы находитесь внутри Сценария 5, то во многом порядок действий соответствует порядку для Сценария 4. Наиболее существенная разница заключается в объеме и качестве информации. В отношении динамики развития внешних событий, информация может и отсутствовать вовсе. И это скорее правило, чем исключение. Здесь особую значимость приобретает ваша способность своевременно распознать момент реализации риска и оперативно на это отреагировать наиболее оптимальным способом. Опять же, давайте пока остановимся на общем описании, так как более предметно алгоритм действий будет описан в отдельной статье.
Вы можете спросить – а как же Вектор 1, 2 и 3?
Вектор 1 – если вы будете следовать Вектору 4, то этого уже достаточно, так как Вектор 1 — это своего рода Зазеркалье относительно Вектора 4, его отражение. Другими словами, измененная реальность, которая весьма часто имеет мало общего с настоящей реальностью. Когда в рамках Вектора 1 начинают вместо мер по управлению рисками (то есть бизнес-процессов) использовать контрольные процедуры или контроль в управленческом смысле (сопоставление плана и факта), то это прямой путь к Вектору 2 – к бесконечному кругу расходящихся Петек как сказал бы Пелевин. Это работа со следствием, а не с причиной. Контроль (как часть цикла PDCA) сам по себе и не предназначен для устранения проблем – он нужен в первую очередь для их обнаружения.
Вектор 2 – помимо сказанного выше, это отличный способ придумать себе занятие, которое формально способно оправдать любую некомпетентность, особенно управленческую. Для чего данный вектор в основном и используется.
Вектор 3 – это болезнь внутреннего аудита и не только российского. Насколько легко устранимая сложно сказать, но в целом да, так как во многом это всего лишь отклонение, так скажем, в ракурсе анализа, угле зрения, семантике. Плюс, усугубляет общую ситуацию весьма распространенная отстраненность внутреннего аудита от насущных вопросов владельцев бизнес-процессов, излишний академизм. Что в том числе провоцируется и общераспространенной методологией.
Подводя итог, стоит еще раз сделать акцент на том, что риск-ориентированность — это часть управленческого подхода. Можно сказать, что риск-ориентированность равна управлению рисками. Многие управленцы ее и так практикуют, при этом не подозревая как там по-умному это все называется. Однако, ключевая проблема, перефразируя известную фразу, не в том, что суслика не видно, но он есть, а в том, что его видят там, где его нет. Станет намного проще, если все, что происходит внутри компании рассматривать с позиции управленческого инструментария – целей, структуры процесса, элементов процесса, этапов выполнения, условий успешного выполнения, параметров результата. Внутри самой компании неопределенность возникает только в отдельных случаях, в рамках Сценария 4. В остальном, она привносится извне, из внешней среды. А если нет неопределенности, то и нет и повода использовать термин «риск» и пытаться изображать «риск-ориентированность». «Язык мой – враг мой!». Суть, смысл и целесообразность должны быть на первом месте! И это именно то, с чего начинается эффективное управление.
Да пребудет с вами контроль!P.S. Обсуждайте статью и делитесь своими комментариями в ТГ-канале https://t.me/ok_kontrol, в чате Клана ОК-Контроль https://t.me/ok_kontrol_clan_chat