Юлия Белякова: «Зарабатывающие мошенничеством люди – гениальны»

Если вы не готовы взять на работу бывшего мошенника, вы недостаточно компетентный риск-менеджер. Если это утверждение кажется вам слишком провокационно, эта статья не для вас. В своем интервью для CFO-Russia Юлия Белякова, начальник управления по анализу рисков ООО «Хевел», рассказала о возросшей роли риск-менеджера в компании, правильной презентации себя и своей функции, о правилах эффективного общения с топ-менеджерами, нетривиальном подходе к выбору сотрудников и многом другом.

Очень часто теория и практика менеджмента сильно отличается. Насколько это характерно для управления рисками?

В теории управление рисками — это процесс определения того, что может произойти, и одновременно обеспечение состояния готовности к этому. Хорошее определение, но слишком размытое. Конечно, каждый топ-менеджер знает, что существует внутренний контроль, знает, какие мероприятия входят в него, и кто является ответственным за каждое из них. Так, в рамках внутреннего контроля экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, должен организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя). Этот процесс направлен на получение достаточной уверенности в том, что экономический субъект обеспечивает:

а) эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;

б) достоверность и своевременность бухгалтерской (финансовой) и иной отчетности;

в) соблюдение применимого законодательства, в том числе при совершении фактов хозяйственной жизни и ведении бухгалтерского учета.

На практике этих знаний недостаточно, нам необходим закон, регулирующий процесс управления рисками в нефинансовых организациях. Подчеркиваю, в нефинансовых организациях. В финансовых — ситуация другая. Там Центробанк контролирует направления работы риск-менеджмента, кроме того, любое рекомендательное письмо ЦБ РФ воспринимается как закон. В нефинансовых организациях все сложнее. Направление работы риск-менеджер может определить, лишь опираясь на Статью 19 Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», которая, прямо скажем, не работает. Судебной практики нет, предусмотренные штрафы минимальны. Нам необходимо введение административной и возможно, уголовной ответственности за неэффективную систему внутреннего контроля и аудита в компаниях при условии достаточной доказательной базы.

То есть с точки зрения нормативного регулирования риск-менеджмента в нефинансовых организациях все очень плохо?

Да. Смотрите, «традиционные» методы управления рисками предусматривают:

• фрагментарность (каждое подразделение самостоятельно и на свое усмотрение управляет рисками в соответствии со своими функциями);
• эпизодичность (управление рисками происходит тогда, когда менеджер это сочтет нужным и когда ему это будет выгодно);
• ограниченное применение (внимание сосредоточено на определенном сегменте рисков).

Внедрение комплексной системы риск-менеджмента позволяет улучшить эту ситуацию. В теории мы получаем:

• интеграцию (процесс координируется руководством, каждый сотрудник рассматривает риск-менеджмент как часть своей работы);
• непрерывность (процесс управления рисками непрерывен);
• охват всех видов деятельности (рассматриваются все риски и возможности по их управлению);
• анализ каждого риска с разных точек зрения, так как каждое подразделение не только оценивает свои риски, но и системные риски компании.

Но очень важно, что это лишь в теории. У нас нет нормативных документов, чтобы ввести на законодательном уровне обязательные нормативы для нефинансовых организаций и ответственность за их нарушение. Риск-аудиту процессов и обязательному исполнению предписаний риск-менеджмента мешают сотрудники. Сколько раз от риск-менеджера утаивали важную информацию, сколько раз ему приходится слышать: «Сюда не лезьте, это не в вашей зоне ответственности». При этом когда ответственность наступает, она падает на плечи риск-менеджера, и вину за осуществление риска взваливают на рисковика, который не предотвратил его.

Другими словами, одна из основных проблем риск-менеджера — это нежелание представителей других подразделений с ним сотрудничать?

Абсолютно верно. И главных причин тут две:

1. Менеджмент не понимает пользу нашего труда и мало интересуется тем, что мы делаем.

2. Мы сами не умеем принести менеджменту нужную ему информацию.

Первый пункт обсуждается долгие годы, не думаю, что есть смысл детально о нем говорить. Хочу подробнее рассказать о втором. Рисковики не всегда понимают потребности топ-менеджмента, поэтому они преподносят абсолютно ненужную ему информацию, а затем обижаются, что их труд не ценят. Например, первоочередной своей задачей многие риск-менеджеры считают предоставление толстых отчетов о возможных рисках. Смиритесь, отчеты больше одного-двух листов никто не читает. Вторая ошибка — сосредоточение своего внимания исключительно на фактах воровства и их предотвращении. Согласна, это важно, но не настолько, чтобы забывать о других рисках.

Как же наладить эффективное сотрудничество с топ-менеджментом?

Чтобы наладить эффективное взаимодействие с топ-менеджерами, нужно понимать, что их интересует. На самом деле для директоров существует всего два вопроса, ответы на которые они хотят услышать от рисковиков: «Что мне за это будет?» и «Сколько мне это будет стоить?»

Конечно, это могут быть разные страхи (потеря денег, уголовная ответственность, налоговые последствия и т. д.). Но вопросов всегда два. Если вы научитесь правильно на них отвечать, вас будут ценить.

Что значит правильно?

Во-первых, вовремя (то есть, еще до того, как менеджер принял решение). Во-вторых, вы должны приводить конкретные аргументы: «Если вы подпишите вот этот документ, то произойдет то-то и то-то, и Вы возможно будете отвечать в рамках уголовного кодекса» или «Подписавшись под этим соглашением, вы потеряете 500 тыс. рублей, в виде штрафа в соответствии с такой то статьей КОАП». Вот такие ответы лучше всего предотвращают ошибки. Ни многостраничные отчеты, ни графики или диаграммы не смогут сделать это лучше.

Тут же хотелось бы отметить еще один момент. Вы должны презентовать себя так, чтобы топ-менеджеры воспринимали вас, как советника, который помогает им в продвижении бизнеса.

Я полностью уверена в том, что риск-менеджмент, служба аудита, безопасности и консалтинга должна представлять собой один механизм. Представители такого органа должны присутствовать на всех важных встречах (от заседаний правления до подписания договоров с контрагентами) и входить во все комиссии. Конечно, вам могут предоставить отчет об уже проведенном мероприятии, но, к сожалению, есть ошибки, которые очень сложно, а иногда и невозможно исправить.

Кроме того, создав такой общий орган, мы сможем избежать часто встречающихся ситуаций «не в моей компетенции». Поясню, что я имею в виду. Вы смотрите на договор и понимаете, что его нужно полностью переписывать. С этой проблемой вы обращаетесь к финансовой службе, и получаете ответ: «Вот тут все, что требуется от моего департамента. Все по правилам. Этот вопрос не ко мне. Это не в моей компетенции». Примерно такой ответ вы получаете от других департаментов. Вы понимаете, что все действительно сделали всё, что входило в их компетенцию, но договор получился такой, что плакать хочется. Это происходит по простой причине, слишком много вопросов находятся на стыке ответственности различных департаментов. Чем больше компания, тем больше таких стыков. И только изменение системы помогут их решить.

Вы говорите о недостаточной нормативной базе управления рисками в России. За рубежом есть множество стандартов риск-менеджмента. Почему нельзя использовать их?

Адаптации и внедрению международных стандартов по управлению рисками в отечественных компаниях мешают несколько факторов. Во-первых, в частном порядке их сложно использовать при отсутствии официальных документов, закрепляющих позицию регулятора. Напоминаю, что я сейчас говорю о нефинансовых организациях. Кроме того, перенимать западные стандарты управления рисками тяжело из-за разных подходов к их составлению. Если в США и Европе правительством задается общая концепция, и компании прописывают самостоятельно очень детальные корпоративные стандарты, то в России наоборот. Очень детальные государственные стандарты заставляют компании «вписывать» свои стандарты в стандарты регулятора.

Во-вторых, в России острый недостаток квалифицированных кадров (риск-менеджеров, внутренних аудиторов). Чтобы к вашему мнению прислушивались, вы должны быть специалистом в области, в которой работает ваша компания. Если у вас недостаточно знаний и опыта, вы дискредитируете не только себя, но и риск-менеджеров в принципе. Многие руководители после общения с одним-двумя рисковиками, которые не разбираются в области работы компании, будут считать, что мы все такие. Соответственно, будет подорвано доверие в целом.

В-третьих, фрагментарное присутствие в России опыта внедрения автоматизированных небанковских систем управления рисками и внутреннего аудита.

И наконец, менталитет менеджмента. Опираясь на собственный опыт работы с экспатами, хочу сказать, что у западного менеджера есть только два слова-вопроса: легализация и налоги. Если на оба он получает ответ «Ок», то знает, что ему можно действовать, если же «Не в порядке», то что-то нужно менять, при этом их волнует даже минимальная вероятность. С нашими руководителями сложнее, для них «Пока гром не грянет — мужик не перекреститься» — стиль управления. Как я уже говорила, нашем руководителям нужно приводить «железобетонные» аргументы, желательно с указанием конкретной статьи закона, где описывается наказание за определенное действие, или конкретной суммы, которую он потеряет. Поэтому и получается, что гораздо проще работать с людьми, которые уже прошли путь от кабинета до выхода из офиса в сопровождении людей с оружием, для бесед в компетентных органах. До них, аргументы о возможном или потенциальном наличие правовых рисков доходят быстрее.

У вас очень интересный взгляд на выбор коллег.

Да, я люблю нетривиальные подходы. Например, на должность контролера я стараюсь брать того, кто сам выполнял те функции, которые придется контролировать. Поймите меня правильно, работая в финансовом секторе, понимаешь, что зарабатывающие мошенничеством люди — гениальны. Они невероятно умны, их мозг настолько быстро учиться обходить все контроли, что остается только удивляться. Сотрудник, который сам «поработал ручками» будет намного эффективнее аудитора или риск-менеджера, или сотрудника службы безопасности, видеть возможные или совершенные действия и выявлять факты мошенничества или области, в которых сосредоточены риски.

Какой, на ваш взгляд, ключевой фактор эффективной работы риск-менеджера?

Подчинение напрямую владельцу бизнеса (причём не номинально, а реально) или, как минимум, генеральному директору. Но скажу вам честно, за генеральным директором нужен еще больший контроль, чем за любым другим сотрудником. А когда ваша трудовая книжка находится в его руках, то осуществлять полноценный контроль становится тяжелее. Поэтом я уверена, что лучший вариант — это подчинение риск-менеджера владельцу бизнеса.

Ирина Экзархо

Комментарии