Третья встреча из цикла встреч, посвященная вопросам риск-менеджмента
Андрей Шаронов – Генеральный директор «Национального альянса по вопросам устойчивого развития», член советов директоров, независимый директор ряда компаний, член Ассоциации профессиональных директоров
Игорь Ткаченко – Эксперт в области управления рисками, в том числе в медицине, Руководитель службы внутреннего аудита АО «Медицина»
Ильдар Хайруллин – Главный врач Первой градской больницы, Сопредседатель Комитета АНД по корпоративному управлению в системе здравоохранения, модератор встречи
И.Х. Наша очередная встреча в рамках цикла встреч «Совет директоров в медицине: взгляд изнутри, тренды, вызовы и практика», проводимых Комитетом АНД по корпоративному управлению в системе здравоохранения, посвящена вопросам риск-менеджмента. Нашими гостями являются Андрей Шаронов, генеральный директор «Национального альянса по вопросам устойчивого развития», последние 20 лет независимый директор ряда компаний, неоднократно признанный лучшим директором года и Игорь Ткаченко, эксперт в области управления рисками. Предлагаю в начале нашей беседы поговорить о профессиональном пути наших спикеров в корпоративное управление и риск-менеджмент.
А.Ш. Мой первый опыт работы в советах директоров начался 20 лет назад с совета директоров РАО «ЕЭС» и ОАО «РЖД», где я выполнял роль представителя государства, работая в то время в Министерстве экономического развития и торговли. Постепенно я перемещался в советы директоров частных компаний. Сейчас я работаю независимым директором в нескольких частных компаниях и в одной государственной компании, а также являюсь председателем комитета по аудиту. Тема риск-менеджмента, внутреннего контроля и внутреннего аудита мне близка и ее важность я хорошо осознаю. Очень интересным для меня является опыт работы в совете директоров АО «Медицина», а отношение к теме здравоохранения я имел еще с момента работы в Правительстве РФ и Правительстве Москвы.
И.Т. Я уже 18 лет занимаюсь всем, что связано с внутренним аудитом, внутренним контролем, управлением рисками. Мой опыт начинался с компании KEPT (бывшая KPMG), где я работал в подразделении, занимавшемся управлением рисками, внутренним контролем и внутренним аудитом. После этого я работал в разных компаниях и индустриях: «PepsiCo», «Ростелеком», СТС Медиа, после чего перешел в индустрию здравоохранения, в компанию «Мать и Дитя», а затем в АО «Медицина». На протяжении последних пяти лет я развиваю тему риск-менеджмента и внутреннего аудита. Я был и на стороне менеджмента во внутреннем контроле, помогая как консультант выстроить менеджменту систему контроля, и был внутренним аудитором при совете директоров, проверяя, как менеджмент выстроил систему внутреннего контроля. В АО «Медицине» я уже пять лет занимаюсь вопросами построения системы риск-менеджмента.
И.Х. Мне кажется, что у нас собралась неплохая компания: член совета директоров, риск-менеджер, а я возьму на себя роль простого врача, так как начинал когда-то как хирург, а сейчас являюсь главным врачом Первой градской больницы и могу рассуждать с точки зрения сотрудника медицинской организации. Когда мы говорим о риск-менеджменте, а, как говорил Пушкин, «все учились понемногу чему-нибудь и как-нибудь», мы все примерно понимаем, что это такое. Но давайте разберемся, что такое риск-менеджмент в деятельности медицинской организации с точки зрения члена совета директоров и риск-менеджера, как это должно быть построено, и, самое главное, зачем это нужно.
А.Ш. Я бы начал с более широкого понятия. Всё-таки, «риск-менеджмент» — это не специфическое явление для медицины, а это специфическое явление для всего корпоративного управления. Специфическим является природа рисков, да и то не всех. Скажем, есть риски, которые одинаковы для горно-металлургической отрасли и для медицины. Есть риски, которые сильно отличаются, и вы не найдёте их в другой индустрии. Поэтому, я бы начал с того, что такое риск. Риск — это возможное событие, которое несёт неблагоприятные перспективы для организации, а риск-менеджмент — это управление этой организацией таким образом, чтобы либо не допустить наступления этого события, либо уменьшить его негативные последствия.
В любой организации можно проследить эволюцию отношения к теме риск-менеджмента. Есть организации, в которых риск-менеджмент касается малой части сотрудников, например, директора, председателя совета директоров, менеджера, который этими вопросами занимается. А есть организации, где эта тема касается всех. Мне кажется, что нормальная эволюция и нормальное состояние, когда тема риск-менеджмента — это тема каждого сотрудника. Риск может реализоваться в каждом подразделении, он может случиться или не случиться, его последствия могут быть большими или маленькими в зависимости от поведения конкретного сотрудника, а не только директора или риск-менеджера. Очень важно, чтобы все сотрудники организации, а не только специально обученные люди, относились к этой теме как к своей теме. В таких организациях выстраивают систему, организовывают обучение, показывают плюсы и минусы таких подходов, последствия для компании при одной модели поведении и при другой, и тогда это действительно становится уделом всех.
И.Х. Мы затронули крайне важный вопрос культуры и технологий риск-менеджмента. Игорь, расскажите о Вашем опыте становления риск-менеджмента и достижения результатов. Как пройти этот путь?
И.Т. Я хотел бы начать с того, что такое управление рисками. Я не очень люблю слово «риск» в методологии, потому что весь процесс риск-менеджмента построен не вокруг рисков, а построен вокруг неопределенностей. Неопределенность может привести к ухудшению или наоборот, путем совершенствований, к улучшению. Когда мы понимаем наш бизнес, нам гораздо проще строить финансовые модели и финансовые потоки, гораздо удобнее и понятнее управлять финансовыми вложениями и возвратом инвестиций. Мы можем не создавать большие резервы под случающиеся события и риски, а использовать, например, средства для каких-то инвестиционных проектов или просто получения дивидендов. Последние 10 лет методология меняется и определение риска строится не на негативном событии, а на неопределенности, то есть событие может быть как негативным, так и позитивным. Особенно сейчас, в период турбулентности и дальнейшей неопределенности при наличии в компании системы управления рисками, финансовая модель становится менее неопределённой, и мы можем строить планы на более долгосрочные периоды, используя систему риск-менеджмента для того, чтобы эффективнее инвестировать средства, поддерживать бизнес-процессы и саму компанию в рабочем состоянии. Для компании крайне важно понятие устойчивости, особенно это важно на уровне акционеров и совета директоров. Владельцу компании нужно, чтобы компания продолжала работать в долгосрочной перспективе. Но какие-то события могут повлечь катастрофические последствия и, в итоге, можно остаться вообще без компании как актива.
И.Х. То есть вопросы управления рисками — это вопросы управления неопределённостью. А уменьшение неопределенности – это повышение уровня безопасности и устойчивости компании. Тогда провокационный вопрос к Игорю – надо ли управлять рисками в условиях определенности?
И.Т. Мы должны управлять рисками всегда, так как события неопределённости будут всегда существовать независимо ни от чего.
И.Х. Давайте рассмотрим риск-менеджмент с точки зрения трёх разных уровней: совета директоров, менеджера и сотрудника медицинской организации. Андрей, как совет директоров воспринимает построение системы риск-менеджмента?
А.Ш. Система управления рисками должна быть единой. Не может быть системы управления рисками для совета директоров, генерального директора, руководителя отделения и рядового врача — это просто разные элементы одной и той же системы. Можно тратить кучу времени на каждом совете директоров, обсуждая это, но если для рядовых сотрудников все это - пустой звук, то вы не достигнете никаких целей. Ваше внимание и интерес в этом случае будут базироваться на песочном фундаменте, который может быть размыт в любой момент. Поэтому важно не просто интересоваться наличием конкретных рисков, важно интересоваться и работать над тем, чтобы была система, которая заставляет, привлекает и направляет сотрудников рассматривать риски в каждый конкретный момент времени на своем рабочем месте. Задача совета директоров — не смотреть на конкретные риски, а смотреть, как работает система, которая должна реагировать на эти риски.
И.Х. Андрей, каковы для Вас, как члена совета директоров, критерии реализации системы риск-менеджмента на уровне компании? Когда Вы можете сказать, что система реализована?
А.Ш. Иногда можно услышать, что если у нас ничего плохого не происходит, то система управления рисками работает хорошо. Но ведь риски — это вероятностные события, а иногда это события с низкой вероятностью. Поэтому нам может пока везти, удача может нам сопутствовать, и мы пока просто могли не столкнуться с этими рисками. Это не наша заслуга и не заслуга системы управления рисками, просто этот момент ещё не наступил. Поэтому не нужно дожидаться проявления этих рисков, а нужно смотреть, на сколько работает эта система, на сколько она чувствительна к слабым звеньям. Не надо ждать момента, когда прилетит «чёрный лебедь», а нужно реагировать, когда происходит какое-то небольшое событие. Надо анализировать как система управления рисками «переваривает» эту ситуацию, как она её предотвращает, либо, если событие произошло, то быстро купирует негативные последствия, либо наступают незначительные последствия, которые были заранее предусмотрены. Поэтому, на мой взгляд, задача совета директоров — всё время смотреть на эти часы: работают, не работают, как работают, как они заведены, хорошо ли смазаны. Важную роль играет обучение, когда врачи, которые в том числе являются менеджерами, периодически изучают, например, вопросы управления финансовым результатом и издержками для того, чтобы они видели, как сотрудники разговаривают с пациентом, как чувствует себя этот пациент, как соблюдают технологии, на сколько это отдаляет компанию от рисков, от не больших или серьёзных угроз, вплоть до терминальных.
И.Х. То есть Вы говорите, что для вас крайне важны вопросы идентификации рисков, управления рисками, предотвращения и митигирования рисков, когда мы сводим к минимуму последствия в случае реализации рисков?
А.Ш. Да, а также то, что система создана не на бумаге и она работает, что люди понимают, что они часть этой системы, понимают цену того, что они занимаются управлением рисками, и показывают нам конкретные ситуации, когда система управления рисками сработала или не сработала, и если она не сработала, то почему, к чему это могло бы привести, что мы должны сделать, чтобы это не повторилось.
И.Х. Игорь, если совет директоров выступил заказчиком создания прозрачной системы по управлению рисками в организации, то что происходит дальше?
И.Т. Задачей совета директоров является сделать так, чтобы система работала и оценить, что система действительно работает. Для этого при совете директоров обычно создается комитет по аудиту, которому подчиняется внутренний аудитор. Один из видов аудита, которые проводит внутренний аудит — это аудит системы управления рисками. Внутренний аудит должен проверить как работает система риск-менеджмента и доложить об этом совету директоров. Важным вопросом является вопрос культуры риск-менеджмента и времени на ее внедрение. Культура быстро не строится. 3-5 лет — это минимум для того, чтобы система риск-менеджмента действительно начала работать так, как требует от нее совет директоров, то есть, чтобы она исходила изнутри организации. В медицинской компании мы прошли этот путь от начала, когда риск-менеджер настраивает некую систему, требует документы, отчётные формы и до уровня, когда сами руководители и сотрудники инициируют вопросы о рисках, выявляют незакрытые зоны, предлагают и инициируют процессы, которые помогают минимизировать вероятность возникновения риска или его последствия. Для реализации мероприятий по управлению рисками, естественно, требуются бюджеты, что в рамках, например, модели риск-менеджмента тоже является одним из инструментов. Система риск-менеджмента может задавать приоритеты тех или иных задач. Система начинает работать и быть эффективной тогда, когда сотрудники сами начинают инициировать вопросы, связанные с управлением рисками. Например, в отрасли медицины, особенно коммерческой, очень важно управление репутационными рисками. Достаточно одного события, например, врачебной ошибки, чтобы эта информация при помощи соцсетей, телеканалов, а может быть, даже конкурентов, приобрела такой масштаб, что клинику могут закрыть или лишить лицензии на какой-то определенный вид деятельности. Такие ситуации выливаются в реальные потери для компании и акционеров. Для того, чтобы предупредить это, должен быть выстроен механизм управления репутацией, процесс ежедневного мониторинга информации о компании в интернете и внутренний процесс реагирования на произошедшее событие. В компании должна быть некая пиар-стратегия и регламент, определяющие порядок действий в случае возникновения такого события, кто за что в этот момент отвечает и когда он это делает. Если такие механизмы в компании созданы, то данный риск можно считать почти закрытым.
И.Х. Игорь, для Вас как для руководителя этого направления, каковы критерии того, что система работает?
И.Т. У нас есть чётко выстроенная схема и модель зрелости управления рисками. Ежегодно мы проводим опрос по методологии и докладываем, в том числе и на совете директоров, о том, какой уровень зрелости в настоящий момент у нас в компании. После того как мы провели этот опрос, мы понимаем, какие элементы можно улучшить. Но опять же, система риск-менеджмента не идеальна, она требует огромных ресурсов, и не всегда нужно доходить до идеальных процессов. Система риск-менеджмента должна жить вместе с другими бизнес-процессами в компании. Если другие бизнес-процессы компании находятся на низком уровне, то невозможно внедрить риск-менеджмент на высоком уровне. Наш инструмент оценки эффективности риск-менеджмента – это ежегодная оценка с докладом на совете директоров.
И.Х. Вы оба подняли очень важный вопрос, что основой управления системой риск-менеджмента в медицинской организации является сотрудник на конкретном рабочем месте. Без вовлечения сотрудника в построение этой системы, без его заинтересованности, без его открытости, искренности, фиксации различных инцидентов систему не построишь. Как сделать так, чтобы сотрудники доверяли менеджерам, доверяли совету директоров, тому, что эта система прозрачна, и в случае выявления рисковых инцидентов не последует никакого наказания?
И.Т. Одним из таких инструментов является система KPI, когда менеджмент мотивирован на достижение тех или иных показателей своего подразделения. Средний уровень менеджмента общается не на уровне совета директоров. На среднем уровне есть определенная зона неопределенности: в следующем году менеджер может не достигнуть своей KPI и поначалу к нему придет риск-менеджер, а потом он сам будет приходить к риск-менеджеру и спрашивать о том, что может пойти не так и с какой долей вероятности, так как он заинтересован достичь KPI и получить свой бонус. То же самое происходит на уровне работника, которого не будет ценить руководитель, если сотрудник допускает нарушения в бизнес-процессах, особенно, если эти нарушения возникают постоянно.
Еще одним важным инструментом является обучение. Без обучения вообще никуда. Мы на регулярной основе организовываем обучение и проводим тренинги для сотрудников своими силами, а также с привлечением сторонних компаний. Также полезны электронные курсы для новых сотрудников, привлечение к курсам остальных сотрудников, проведение их оценки по системе управления риском, что помогает развивать культуру управления рисками.
И.Х. Перейдем от риск-менеджмента к внутреннему контролю. Есть комитет по аудиту при совете директоров, который контролирует менеджеров, менеджеры контролируют сотрудников. А вот внутренний контроль и риск-менеджмент — это одно и то же или разные вещи?
И.Т. Этот вопрос часто поднимается и обсуждается, особенно в связи с желанием сократить ресурсы на эти мероприятия. Объединять внутренний контроль, риск-менеджмент и внутренний аудит в одном и том же подразделении — это катастрофическая ошибка. У них совершенно разные задачи. У внутреннего аудитора — задача проверить, насколько менеджмент выстроил систему внутреннего контроля и управления рисками, у внутреннего контролера — задача помочь менеджменту выстроить эту систему. Поэтому даже среди этих двух ролей есть конфликт интересов, если это делает один и тот же человек. Если говорить о разнице между риск-менеджментом и внутренним контролем, то риск-менеджмент больше про будущее, про неопределенности, которые нас когда-то ждут. А внутренний контроль — это скорее работа уже с текущими обстоятельствами, текущей обстановкой и, может быть, даже какими-то рисками, которые уже реализовались. Поэтому, в идеале – это три разных роли. Но, например, риск-менеджмент и внутренний контроль можно объединять, потому что они оба работают для менеджмента. Но надо помнить, что они должны думать одновременно и про будущее, и про настоящее. Объединение внутреннего аудита и риск-менеджмента тоже допустимо, но в случае, если для аудита риск-менеджмента привлекаются сторонние компании, а не внутренний аудитор.
И.Х. Андрей, расскажите, пожалуйста, как происходит обсуждение на совете директоров вопросов, посвящённых риск-менеджменту, управлению внутренним контролем, как принимаются стратегические решения на уровне компании, как формируется бюджет этой службы, как она оценивается.
А.Ш. Я бы начал с работы комитета по аудиту, потому что основная работа сосредоточена там и комитет по аудиту докладывает совету директоров. В одной из компаний я являюсь председателем комитета по аудиту. Регулярно, раз в квартал мы заслушиваем руководителя службы внутреннего аудита, заслушиваем план работы подразделения внутреннего аудита и итоги проверок, которые проводятся в течение года. Реже, обычно один раз в год мы знакомимся с сотрудниками, которые работают в подразделении внутреннего контроля и управления рисками, которых, собственно, проверяет внутренний аудит. Кроме того, мы ежегодно утверждаем план обучения и бюджет. В течение года каждый сотрудник из этих подразделений должен пройти профессиональное обучение, а руководители должны подтвердить уровень своих знаний через сертификацию или другую форму подтверждения.
И.Х. Как вы оцениваете результаты работы совета директоров с точки зрения управления рисками в компании? Нужна ли такая сложная структура управления рисками или без нее можно обойтись, ограничившись отдельными менеджерами или сотрудниками? В чём ключевая роль комитета по аудиту и совета директоров в построении системы риск-менеджмента?
А.Ш. Давайте поднимемся на уровень выше. Задача совета директоров — обеспечить устойчивое, непрерывное, неопределённо долгое функционирование компании. В этом процессе нельзя не учитывать риски, причём не только катастрофические, но также средние и малые. Профессиональный совет директоров должен с этого начинать. Иногда можно увидеть, что члены совета директоров, которые имеют, например, профессиональный бэкграунд, работали в похожей индустрии или даже в этой же компании, как лошади, которые долго ходили в шахте, начинают ходить по кругу. Они возвращаются к своим менеджерским функциям или представлениям о том, как совет директоров должен помогать. Мне очень не нравится словосочетание «помогать менеджерам». Совет директоров не должен помогать менеджменту. Совет директоров не должен подменять менеджмент. Он может поменять менеджмент, это в его компетенциях, но подменять менеджмент он не может. Такой подход, на мой взгляд, признак непрофессионализма совета директоров. Задача совета директоров — установить требования к менеджменту, чтобы менеджмент создал систему управления рисками, которая включает рядовых сотрудников, которые не являются работниками подразделения внутреннего контроля, внутреннего аудита, управления рисками. Далее внутренний контроль, внутренний аудит требует от менеджмента доказательств, что система работает, и работает не в силу того, что нет рисков, а потому, что соблюдаются все регулярные профилактические процедуры, которые препятствуют появлению рисков и снижают тяжесть их последствий.
И.Х. Андрей, в Вашем профессиональном опыте как члена совета директоров можете ли Вы привести пример успешных кейсов предотвращения или уменьшения значимости реализованных рисков?
А.Ш. Этот вопрос мне напомнил про первый пример удачного риск-менеджмента, который описан в Ветхом Завете. Ноев Ковчег – это блестящая реализация риск-менеджмента. Согласно Священному писанию, Ной получил какие-то знаки того, что тяжёлое событие приближается и к нему нужно подготовиться, и он подготовился. Но, самое главное, он достиг цель, смог выжить вместе с семьёй и сохранить живность.
Сложно обсуждать то, что не случилось. Я работал в нескольких компаниях, которые связаны с горно-металлургической и горно-химической отраслью, где традиционно тяжелая ситуация с высокой смертностью и высоким производственным травматизмом. Современные компании ставят условие нулевой толерантности к смертности. Раньше в больших компаниях, в которых могло работать 100 тысяч сотрудники и большое количество подрядчиков, у которых также есть работники, так вопрос не ставился. Сейчас требуется нулевая толерантность, необходимо сделать все, чтобы смертельных случаев с сотрудниками и работниками подрядчиков не произошло. Если у подрядчиков высокая смертность на объектах компании, значит, компания выбирает не тех подрядчиков. В данном примере мы говорим только об одном виде риска, связанном с безопасностью труда, но это очень важный риск. В соответствии с системой, которую разработала компания Дюпон, если мы хотим, чтобы на верхних уровнях пирамиды, где находятся самые тяжелые и смертельные случаи, был ноль, то у нас должно быть очень широкое основание. В основании пирамиды лежат потенциально опасные случаи и факты само-заявления сотрудников. Таким образом, корпоративная культура должна поощрять вскрытие таких угроз, не наказывать за выявление и наказывать за замалчивание событий. Как пример, в одной из компаний, если руководитель замалчивает даже небольшое происшествие, он должен быть уволен. Если он декларирует, что несчастный случай определенной тяжести произошёл, то его ждёт меньшее наказание, чем в случае, если он скрыл это событие. Если мы узнаем о единичной ситуации и разберем ее, об этом узнают еще 100 подразделений и примут необходимые меры. А если единичный случай произошел, но был скрыт, то с большой степенью вероятности такой же случай произойдет еще раз. В такой открытой системе мы не сможем сказать, что мы предотвратили 8 смертей, 9 банкротств, 10 краж. Может быть, их было бы в 10 раз больше или в 10 раз меньше. Но существуют критерии, которые позволяют это оценить.
И.Х. Построение такой системы в рамках медицинской организации – это тоже достаточно сложный процесс. Если степень доверия низкая, то сотрудники не будут сообщать об инцидентах. И здесь надо переломить эту тенденцию и договориться с коллективом, договориться с сотрудниками, что за сокрытие мы наказываем, за выявление инцидентов мы не наказываем, мы разбираемся, выявляем критичные вещи и так далее.
А.Ш. В одной из частных компаний, работающей в сфере железнодорожной логистики, есть даже система, которая называется «фабрика идей». В этой системе люди получают вознаграждение за то, что они предлагают какие-то меры, связанные с уменьшением рисков. Это касается не только системы управления рисками хотя там очень много вопросов в сфере технологий, охраны труда и техники безопасности и связанных с рисками. Так что может применяться не только кнут, но и пряник.
И.Т. Еще очень важно дать сотрудникам удобный инструмент для сообщений об инцидентах или потенциальном событии. Например, это можно реализовать через внутренний корпоративный сайт. Может быть создана система отчетности о таких сообщениях, из которой можно выявить подразделения, которые являются лидерами по количеству сообщений и сделать вывод о том, что их руководители смогли донести до сотрудников важность процесса управления рисками.
И.Х. Мы у себя внедрили QR-код на рабочих местах. Если сотрудник выявляет какой-то инцидент или риск инцидента, то он может об этом сообщить, информация аккумулируется, а инциденты будут разбираться с сотрудниками. Игорь, расскажите об отраслевых рисках в медицине, а также, с учетом того, что АО «Медицина» аккредитована по JCI, что означает, что система риск-менеджмента есть и она работает, о том, как удалось построить эту систему?
И.Т. У нас есть отдельное подразделение, которое занимается внутренним аудитом и подразделение, которое занимается проверками, исходя из требований JCI и других контрольных задач. Они проверяют, чтобы все чек-листы были заполнены, чтобы соответствующие процедуры перед операцией были проведены, а также были выполнены процедуры, связанные с передачей информации по пациенту и коммуникацией. Такие проверки проводятся в течение года на периодической основе. Что касается риск-менеджмента и внутреннего аудита на уровне совета директоров, то в рамках общей оценки рисков в медицине остаточные медицинские риски находятся на низком уровне, так как внедрено огромное количество мероприятий и контрольных механизмов. Сами по себе медицинские риска являются высокими, но остаточный риск – это тот риск, который остаётся после реализации принятых мер.
И.Х. Получается, чем сильнее система риск-менеджмента в организации, тем меньше реализованных рисков. Как найти баланс между затратами на систему риск-менеджмента и эффектом от нее?
А.Ш. Не нужно себя обманывать. Поддержание системы риск-менеджмента стоит денег. То есть в некотором смысле мы оплачиваем страховку, которая снижает нам риски. И как только мы говорим, что у нас ничего не происходит и предлагаем не платить, то можем ожидать ситуацию, в которой мы заплатим гораздо больше, потому что риск случится.
И.Т. В качестве примера можно привести, например, риски, связанные с работой медицинского оборудования: мы покупаем медицинское оборудование, далее заключаем договор на обслуживание. Договор, в который входит быстрая замена дорогостоящих запчастей, обычно достаточно дорогой, поэтому возникает желание сэкономить. Это аппетит к риску. То есть мы понимаем, что вероятность события низкая, но материальность высокая и говорим, что готовы принять этот риск. Но если что-то случается с дорогостоящим медицинским оборудованием, в результате чего оно останавливается на месяц, можно потерять значительную часть выручки за этот период. Руководители должны принять для себя решение, как они управляют этими рисками. Кстати, функция внутреннего аудитора при совете директоров заключается в том числе и в том, чтобы посмотреть какие договоры заключены и соответствует ли они риск-аппетиту, установленному советом директоров.
И.Х. А какие есть внутренние ментальные установки специалиста, который занимается такой сложной ролью в организации как риск-менеджмент и внутренний контроль? Когда мы посещали клинику Мэйо, руководитель внутреннего контроля сказала, что она считает, что у нее нет «ловушки хорошего человека», а она должна быть просто честной и справедливой. Игорь, а какие принципы для Вас как для управленца важны?
И.Т. Для меня очень важно погрузиться в позицию менеджмента и не стоять на своём, думая о том, что так правильно. Важно понять, почему менеджмент поступает так. Существует огромное количество аспектов, почему менеджмент может так поступать, например, KPI или конкретный список задач на сегодня. Но при этом, я всегда держу в голове именно видение Совета директоров по долгосрочной бесперебойной работе бизнеса. У менеджмента может быть KPI по внедрению инновации, но риски могут быть так высоки, что менеджер может предпочесть получить свой годовой бонус и уйти в другую компанию. Задача внутреннего аудитора — предупредить это, но при этом быть на одном языке с менеджментом.
А.Ш. Здесь важна позиция первого лица — директора компании, потому что очень часто производственные подразделения, будь то медицина, горная металлургия или химия, считают, что зарабатывают деньги для компании, а вспомогательные подразделения мешают им работать. Они могут думать, что они работают 20 лет и все знают, а пришел умник, который говорит, что есть какие-то риски и на это надо потратить денег. Это очень плохая философия и её возможно пресечь, скорее всего, только на уровне первого лица. В такой ситуации первое лицо может сказать, что это его позиция, позиция всей компании и это нужно всем, так как обеспечивает безопасность и, по большому счёту, существование бизнеса. Даже если 20 лет мы что-то делали и не замечали больших рисков, то риск может быть настолько большой, что может разрушить компанию. Важно, чтобы включились все и поняли, что это тоже часть их ответственности. Бизнес-подразделения не просто должны зарабатывать деньги, но и выстраивать свою работу так, чтобы помогать сохранять эти деньги.
И.Х. Мне кажется, что получается очень интересный разговор и есть желание его продолжить, возможно в каких-то других форматах, например, в рамках двухдневных семинаров, которые проводятся на базе Комитета АНД по корпоративному управлению в системе здравоохранения, или авторских курсов. Все ли мы отметили или может быть есть что-то еще важное?
И.Т. Необходимо добавить, что культура — это самое важное, сотрудники должны осознавать важность этого процесса. Сложно сразу ощутить это на кончиках пальцев и понять важность, поэтому приходится об этом рассказывать и это доказывать. Необходимо вложить в культуру понимания первых лиц, топ-менеджмента и непосредственно каждого сотрудника на местах, что управление рисками — это важно и надо думать не только о перспективах, но и о том, что может произойти при достижении этих перспектив, что может пойти не так, и как риск-менеджмент поможет уменьшить эту неопределённость.
А.Ш. Я тоже хочу еще раз подчеркнуть важность культуры. Если в компании нет такой культуры, нет системы её насаждения, то любая блестящая стратегия не имеет под собой никаких корней и ее просто отбросят и проигнорируют. Есть пример, когда в одну крупную российскую энергетическую компанию пришёл очень крупный международный инвестор, отраслевой стратег, у которого подобный бизнес был по всему миру. Первое, что произошло, было столкновение культур, и особенно это было заметно в части требований к безопасности. Удивительным образом культура прививалась очень быстро. Так, водители топ-менеджмента сказали, что не повезут директоров, пока те не пристегнутся в машине, так как водителей уволят, если они тронутся с места с не пристегнутым пассажиром. Это был момент слома культуры. Если руководитель компании не пристёгивается, считая, что теория вероятности для него не существует, то это критично, так как система риск-менеджмента может быть внедрена только через волю первого лица, прежде всего генерального директора и совета директоров. Если переходить к теме здравоохранения, то критично, если не пересчитываешь количество инструментов до операции и после операции, что означает, что реальной веры в тему риск-менеджмента и в то, что своими действиями можно уменьшить риски, нет.
И.Х. Большое спасибо за этот интересный разговор. Хочу выделить несколько базовых тезисов, которые прозвучали: первое — это культура риск-менеджмента, второе — это система, которая внедряется в рамках медицинской организации, третье — это вовлечённость, которая должна пронизывать все структуры и уровни управления. Самое главное, что она управляет неопределённостью, уменьшает неопределённость с точки зрения безопасности пациента, с точки зрения безопасности сотрудника для того, чтобы цели, которые перед компанией ставят учредители и совет директоров, были реализованы.
/ 17.01.2024