Лучший чек-лист для РМ2

Следуйте этим рекомендациям для интеграции риск-менеджмента в процессы принятия решений, бизнес-процессы и культуру

В течение последних 15 лет я внедрял риск-менеджмент в компаниях в Европе, Австралии и в Арабских странах. Ниже пошаговое руководство, как я это делал. Оно может не всегда работать, и некоторые руководители, принимающие решения, будут игнорировать риски вне зависимости от того, что мы делаем, но я верю в этот подход.

А. Несмотря на то, что риск-менеджмент — это инструмент принятия решений, вам, возможно, в первую очередь следует упорядочить риск менеджмент 1, чтобы держать на расстоянии аудиторов, рейтинговые агенства и регулирующие органы. Это РМ1, так что постарайтесь сделать это как можно проще и быстрее, это менее 10% общих усилий.

Аудиторы любят запрашивать политики/стратегии и процедуры, так что дайте им то, что они хотят, и сделайте их симпатичными.

А1. Разработайте краткую политику управления рисками, основанную на принципах ISO31000 — это очень просто, лишь следуйте пунктам ниже:

  • возьмите типовую форму существующей корпоративной политики
  • возьмите принципы стандарта ISO31000:2018
  • сформулируйте политику управления рисками на основе принципов стандарта ISO, сделайте ее краткой. У нас есть шаблон.

А2. Создайте высоко-уровневый регламент управления рисками, согласующийся с принципами ISO31000 — как указано выше, используйте стандарт ISO31000:2018 для разработки данного документа. Придерживайтесь формулировок стандарта насколько это возможно, не надо изобретать колесо. Позаимствуйте также пару хороших фраз из COSO ERM:2017, просто для развлечения. Заявите, что документ согласуется с обоими стандартами — аудиторы обожают это.

Лично я обычно так делал, в этот раз решил не делать даже этого, потому что у меня с возрастом все больше аллергия на РМ1.

А3. Определите и соблюдайте другие требования регулирующих органов и акционеров в отношении Управления рисками — это также важно, поскольку во многих отраслях промышленности есть дополнительные требования к осуществлению риск-менеджмента. Убедитесь, что вы учли их все при составлении документов.

По мнению многих «экспертов» организации должны иметь риск-аппетит и риск-профиль, так что сделайте это. Это не имеет ничего общего с действительностью, но вы приобретете несколько очков в свою пользу среди всех заинтересованных сторон.

А4. Создайте риск-профиль высокого уровня, увязав ключевые риски в связке со стратегическими целями компании — это, по существу, красочный реестр рисков. Вы можете обсудить его с ключевыми руководителями, принимающими решения, но это не обязательно. Посмотрите проспектусы конкурентов, отчеты 10К американских конкурентов и наш шаблон для составления реестра. Не нужно изобретать колесо и тем более проводить интервью для выявления рисков.

А5. Документальное оформление риск-аппетита — вы заметили, как я переместил риск-аппетит после риск-профиля? Все это для того, чтобы показать что РМ1 — лишь декорации. Не имеет значения, как вы это сделаете, это все равно неправда. Вы все еще не верите? Тогда позвольте Grant Purdy — создателю международных стандартов AS/NZS 4360 (Австралийский стандарт) и ISO3100 — поделиться своим отрезвляющим мнением. Это видео обязательно к просмотру для всех риск-менеджеров.

Документальное оформление риск-аппетита очень простое:

  • проанализируйте существующие политики уровня Совета директоров
  • определите любые корпоративные или регуляторные ограничения, например, инвестиционные сделки уровня выше 1В могут быть одобрены только Советом директоров — значит, это ограничение. Или нулевая толерантность к несчастным случаям/происшествиям, отмыванию денег или взяткам — также являются ограничениями. Финансовые полномочия также являются ограничениями.
  • соберите все существующие ограничения и сведите их в единый документ. Назовите его формулировкой риск-аппетита. Заламинируйте его и используйте различные цвета, чтобы показать аудиторам, что вы относитесь к нему серьезно.

 

Поздравляю!

Теперь у вас есть модный комплект документов РМ1 для предоставления в рейтинговые агенства, страховые компании и банки. Эта документация позволит вашей компании улучшить кредитный рейтинг, получать более дешевое финансирование/кредитование от банков и более низкие страховые взносы от страховых компаний. Количество денег, сэкономленное благодаря разработанной документации, покроет зарплаты команды Управления рисками по крайней мере последующие 5 лет.

В. Хорошо, теперь пришло время для настоящего риск-менеджмента (РМ2). Реализация РМ2 начинается с ключевых решений.

В6. Разработайте специализированную методологию анализа рисков для каждого типа ключевых решений — внедрение риск-менеджмента в организации должно осуществляться путем:

  • определения где, когда и какие типы решений принимаются в организации, кем они принимаются
  • изменения, в случае необходимости, текущих процессов принятия решений с помощью применения техник анализа рисков для этих процессов. Это поможет руководителям принимать обоснованные и разумные решения, основанные на соответствующем анализе рисков. Какие техники работают, а какие нет? У меня есть отдельная статья на эту тему.
  • обеспечения понимания и использования процедур управления рисками в компании

В7. Предоставьте инструменты для руководителей или выполняйте анализ рисков самостоятельно — это важный этап принятия решения, будет ли команда управления рисками являться подразделением методологии и мониторинга и фактический анализ рисков будет осуществляться руководителями, принимающими решения, либо команда управления рисками станет подразделением аналитической работы и будет осуществлять анализ рисков самостоятельно, предоставляя результаты руководителям. Это комплексное решение. Если руководители в организации незрелые, не обладают навыками количественного анализа и довольно предвзяты — команде управления рисками следует стать аналитическим центром и проводить анализ всех рисков. Важно работать совместно со службой/функцией внутреннего аудита для уверенности в том, что качество проводимого анализа рисков достаточно для поддержки принятия решений.

Это достаточно банальные вещи, но если теория принятия решений нова для вас — я рекомендую список хороших книг, где есть ответы на все вопросы за последние 10 лет.

Следующий шаг — интеграция анализа рисков в процессы планирования и бюджетирования

В8. Измените способ учета/измерения неопределенности на планирование путем перехода от одного пункта к другому. Sam Savage, исполнительный директор probabilitymanagement.org и автор книги Flaw of Averages (Ошибки средних чисел: Почему мы недооцениваем риски в условиях неопределенности), адъюнкт-профессор Инженерной школы Стэнфордского Университета и научный сотрудник Школы бизнеса Judge Кембриджского Университета, объяснит это лучше, чем я когда-либо смогу. Убедитесь, что вы посмотрели его воркшоп. Он бесплатный, но места ограничены.

В9. Замените традиционное финансовое моделирование (сценарный анализ) на более современное иммитационное моделирование с учетом рисков.

Следующий шаг — включить анализ рисков в KPI и управление эффективностью

В10. Используйте моделирование для изменения способов расчета KPI и целевых показателей и способов измерения показателей. У Sam Savage есть несколько любопытных примеров. Как и у Brian Putt, консультант по поддержке принятия решений компании Chevron более 25 лет.

С. Внедрение РМ2 — это больше про культуру, чем про процесс. Важно быть уверенным в том, что функции/роли и обязанности отражают процессы принятия решений с учетом рисков.

С11. Обновите существующие должностные инструкции путем добавления обязанностей по принятию решений, планированию и управлению эффективностью с учетом рисков.

С12. Обновите существующие уставные документы путем добавления обязанностей по принятию решений, планированию и управлению эффективностью с учетом рисков.

Большинство сотрудников не имеют навыков в части риск-менеджмента и не способны адекватно учитывать неопределенность в процессе принятия решений.

С13. Организуйте обучение по применению риск-ориентированного подхода в процессе принятия решений для руководителей. У меня есть множество курсов для этого онлайн и оффлайн на https://riskacademy.blog

С14. Включите навыки риск-менеджмента в существующие программы бизнес-обучения. Уже много лет я убеждаюсь, что намного эффективнее сделать каждый разработанный HR-департаментом курс чуть более риск-ориентированным, чем создавать отдельный большой тренинг-курс по рискам.

Серия воркшопов, рассказывающих больше о том, чему и как обучать руководителей (ссылка).

Необходимо создать понятные каналы коммуникаций.

Вот лишь несколько идей:

С15. Создайте Комитет по рискам и станьте секретарем.

С16. Презентуйте темы, связанные с риск-менеджментом, на каждой корпоративной встрече/презентации.

С17. Включите темы риск-менеджмента в повестки совещаний.

С18. Пишите доклады по риск-менеджменту для руководства при каждой возможности.

С19. Участвуйте в корпоративных мероприятиях и развивайте собственные компетенции в риск-менеджменте.

Важно обеспечить уровень прозрачности путем раскрытия информации.

С20. Раскройте информацию о принятии решений с учетом рисков в ежегодном годовом отчете.

С21. Раскройте информацию о принятии решений с учетом рисков на внутренней корпоративной сети.

С22. Раскройте информацию о принятии решений с учетом рисков на корпоративном веб-сайте компании.

D. Последний этап это создание подразделения по управлению рисками как такового. Риск-менеджмент требует специализированных компетенций.

D23. Развивайте навыки количественного анализа.

D24. Развивайте soft skills.

D25. Развивайте глубокое понимание характера предпринимательской деятельности/сути бизнеса и особенности процессов принятия решений внутри организации.

RM2 требует инструменты отличные от популярных и распространенных ИТ систем для ERM или GRC.

D26. Инвестируйте в правильные инструменты моделирования. На рынке есть множество ПО для RM2 и некоторые из программ действительно потрясающие.

D27. Автоматизируйте RM1, если это возможно. Тогда как большинство результатов GRC/ERM представляют собой лишь трату времени, в то же время  они позволяют автоматизировать RM1 и снизить количество времени, затрачиваемое на бессмысленную отчетность по рискам. Отчетность не перестанет быть бессмысленной, но большее количество времени может быть выделено на RM2.

Налаживание контактов должно стать важной задачей при создании команды.

D28. При любой возможности встречайтесь и обменивайтесь идеями с другими риск-менеджерами

D29. Быстро разделяйте экспертов в областях RM1 и RM2. Занимайте свое время взаимодействием/общением с экспертами и риск-менеджерами RM2, не тратьте свое время на гуру RM1. У меня есть целый список контактов экспертов RM2.

И наконец…

Получайте удовольствие. Если же вы не получаете удовольствия, делая все вышеперечисленное, если менеджмент компании блокирует любые усилия по улучшению процессов принятия решений, начните искать другую работу. Серьезно, ваша текущая компания, похоже, является болотом, и вам не нужно быть его частью в долгосрочной перспективе.

 

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.