Евгений Скареднов, Lamoda: «Стандарты не обязывают создавать регламенты, но намекают на неизбежность этого»

Справка о компании: Lamoda – это крупнейший в России и СНГ ритейлер в сфере моды, красоты и лайфстайл, объединяющий в себе онлайн-платформу и розничную сеть. На онлайн-платформе представлено более 10 млн товаров от 4-х тысяч мировых и локальных брендов. Розничная сеть Lamoda Sport включает 100 магазинов, расположенных в Москве, Санкт-Петербурге, Краснодаре, Сочи, Самаре, Екатеринбурге, Перми, Уфе и других городах. У компании 3 распределительных центра, более 900 пунктов выдачи заказов и свыше 30 транзитных складов. В компании работает более 10 тысяч сотрудников.

Зачем нам регламент?

Я не первый риск-менеджер в Lamoda: в прошлом компания была частью международного холдинга, и в рамках глобального управления мониторинг рисков был обязательным требованием, что с успехом выполнялось предыдущей командой. Однако сейчас мы полностью перестраиваем систему управления рисками уже согласно новым стратегическим задачам Lamoda как независимой российской компании.

Когда мы приступили к реорганизации системы управления рисками примерно год назад, встал вопрос о необходимости создания регламента. Интуитивно мы понимали, что без него не обойтись. Совет директоров также подтвердил необходимость введения регламентов. Поэтому практически сразу было зафиксировано, что регламент должен быть создан в любом случае, чтобы закрепить полномочия и обеспечить единые правила игры для всех участников процесса.

К примеру, мы столкнулись с проблемой разного подхода к оценке рисков. Без регламента это естественно вызывает сложности. Однако, когда мы ссылаемся на утверждённую методологию, процесс становится проще. У некоторых подразделений, например, у ИТ уже была своя методология и карта рисков. Мы решили интегрировать наши подходы, чтобы избежать разрушения устоявшихся подходов.

Таким образом было общее понимание, что проблемы, связанные с оценкой рисков, могут быть решены как раз с помощью регламента. Однако мы также осознавали, что важнее учитывать контекст и текущие потребности компании, а также внедрять риск-менеджмент постепенно, адаптируясь к процессам управления.

Потому в части сроков его внедрения возник вопрос: нужен ли регламент сразу в моменте или можно поработать без него и создать его позже?

Чтобы ответить на этот вопрос, мы обратились к стандартам по риск-менеджменту. COSO ERM и ISO 31000 не содержат конкретных указаний о необходимости создания регламента, фокусируясь скорее на развитии риск-культуры. В то же время FERMA и рекомендации Банка России подчёркивают важность регламентации, что создаёт впечатление обязательности его внедрения. Таким образом получается, что стандарты не обязывают создавать регламенты, но намекают на неизбежность этого.

Мы пришли к выводу, что немедленное создание отдельного регламента не является обязательным. Лучше внедрять его постепенно, чтобы он стал неотъемлемой частью процессов управления компанией.

Как нам удалось работать без регламента

Немного странным может звучать, что риск-менеджмент функционирует в компании без регламента. Но в действительности все вопросы, которые мы обычно стремимся вписать в политики и положения, можно закрыть, не прибегая к регламентации.

В нашем случае достаточно было обратиться к принципам ISO 31000, который показывает, какие компоненты риск-менеджмента необходимо внедрять для эффективного построения процесса управления рисками. Первый компонент – понимание организации среды, которое достигается за счет аудита рисков. Но для аудита регламент сам по себе не нужен. Конечно, если внутри компании нет слаженного взаимодействия и процесс идентификации и анализа рисков может быть саботирован из-за недоверия высшему руководству, которое его инициирует, то здесь без регламента не обойтись. Однако аудит рисков бизнеса – это процесс целиком в руках риск-менеджера. Здесь главное – подчеркивать его практическую значимость для компании. Ну и иметь экспертность, конечно же.

Второй компонент – демонстрация приверженности менеджменту риска. У нас она транслировалась за счет поручений Совета Директоров, и, что является очень важным моментом, была закреплена в заявлении о риск-аппетите.

Следующий компонент – определение ролей, полномочий, обязанностей и ответственности. В этом случае наличие чёткого регламента было бы весьма полезным, чтобы зафиксировать права и обязанности риск-менеджеров и других участников процесса. Однако благодаря развитой корпоративной культуре и пониманию важности управления рисками, подразделения самостоятельно взяли на себя роль наших помощников, обеспечивая поддержку и содействие другим подразделениям в достижении целей компании. Здесь нам очень повезло с коллегами и том-менеджментом.

Еще один компонент – это организация распределения ресурсов. Это также важный аспект для стейкхолдеров, так как они легко воспринимают риск-менеджмент как канал коммуникации о необходимых ресурсах. Мы помогаем им, собирая информацию и анализируя риски, чтобы определить приоритеты в использовании ресурсов. Создаем своеобразный механизм обмена информацией между бизнесом и акционером. Однако здесь критически важно соблюдать меру, чтобы риск-менеджмент не превратился в инструмент для необоснованного увеличения бюджета. Мы стремимся найти баланс между этими аспектами.

Последнее – это установление механизмов обмена информацией и консультирования. Упомянутый ранее механизм обмена информацией тесно связан с этим процессом, и консультирование уже воспринимается как насущная потребность. Когда риск-менеджер всячески показывает, что он на стороне бизнеса, он вовсе не ревизор, а помощник, то механизм выстраивается сам по себе. Риск-культура играет ключевую роль в этом вопросе, и мы активно её продвигаем.

В итоге становится ясно, что, по крайней мере, на начальном этапе выстраивания процесса управления рисками регламент не является определяющим для функционирования риск-менеджмента. Однако это не отменяет всей важности его создания.

Что мы получили за счет работы без регламента

За неполный год работы без регламента по рискам мы обнаружили ряд преимуществ такого подхода.

В первую очередь, это дало нам возможность итеративно и адаптивно подходить к формированию методологических подходов к управлению рисками. В условиях, когда мы не были ограничены определенной методологией, мы получили возможность вместе с владельцами выработать подходы к оценке рисков, учитывающие специфику рисков. Также у нас сформировалось намного более глубокое понимание оптимальных путей перераспределения ресурсов с целью митигации рисков. Гибкость в оценке сроков митигации позволила адаптироваться к изменяющимся обстоятельствам и избежать негативных последствий, связанных с неправильным планированием.

Теперь же, на следующем шаге, мы можем уже фиксировать все эти устоявшиеся подходы к оценке и управлению рисками и заносить их в регламент.

Стейкхолдеры со своей стороны оценили возможность участвовать в процессе управления рисками и влиять на его формирование, видя, что их мнение учитывается.

Таким образом, вместо навязывания новых порядков нам удалось выработать привычку к управлению рисков, и таким образом усилить риск-культуру в компании.

Чего нам не хватило без регламента

Но, конечно, не следует считать, что работа без регламента исключительно состоит из положительных моментов. Минусы такого подхода тоже есть, и они заключаются, в первую очередь, в отсутствии чётких правил и недостатке формальных полномочий.

Редко, но всё же, мы сталкивались и с отказами предоставления данных, и с непониманием сути запросов, и с игнорированием или не полным осознанием стейкхолдерами важности процесса. А без закрепленной в регламенте четкой методики оценки, подчас, приходилось доказывать владельцам рисков свою правоту – ведь все мы в оценке собственных рисков повержены когнитивным искажениям (которые мы, риск-менеджеры, называем ментальными ловушками)

Иногда возникают ситуации, когда необходимо пересмотреть решение, но договорённости могут быть нарушены. Поэтому важно закрепить ответственность за владельцами процессов, чтобы обеспечить выполнение задач и соблюдение установленных стандартов.

Как мы готовили регламент

Для начала мы изучили опыт других компаний и выяснили, что у большинства из них ожидаемо были регламенты по управлению рисками. Их количество и объем разнятся, поскольку некоторые предпочитают максимально зарегулироваться и создать как можно больше регламентов, что называется, «на все случаи жизни», и это даже оправдано, если мы говорим, например, о госсекторе – им это помогает эффективно управлять рисками. У других компаний минимальное количество регламентов, буквально один-два, и им этого вполне достаточно, как говорится, ничего лишнего. Мы, в свою очередь, решили начать с одного регламента, в процессе все-таки разделив его на общую и методологическую части – и, таким образом, по количеству дошли до двух документов, что соответствует среднему значению в корпоративном секторе.

В целом мы сосредоточились на следующих моментах. Во-первых, бенчмарк – мы изучили политику по рискам аэропорта «Внуково», которая как нельзя элегантно описывает основные принципы управления рисками.

Во-вторых, в части методологии оценки и анализа рисков мы использовали, наиболее системные и структурированные, на наш взгляд, подходы, которые можно встретить только у IT-компаний и телекоммуникационных операторов.

Естественно, при разработке как политики, так и методологии, мы учитывали особенности нашего многопрофильного бизнеса.

В-третьих, гармонизация с риск-аппетитом – мы обеспечили соответствие наших решений реальным стратегическим целям и финансовым возможностям компании.

Что касается процесса согласования, мы обратились к команде нашего Правового департамента для создания юридического дизайна документа, который выглядит привлекательно и понятен для пользователей, а также учли мнения Совета директоров и всех основных стейкхолдеров, уделив особое внимание вопросам митигации рисков и их интеграции в общий бюджет компании.

В результате мы разработали политику и методологию управления рисками, которые понятны и доступны для всех сотрудников компании.

Наши выводы из кейса

Мы убедились на собственной практике, что было правильным решением начать внедрять систему управления рисками без жёсткого регламента. Главное – своевременно сформировать и развивать культуру управления рисками. Тогда регламент станет своего рода приложением к ней, а не абстрактным сводом правил и законов, и процесс управления рисками выстроится органично.

В целом понимание бизнеса намного важнее регламентации процесса риск-менеджмента и должно быть первичным. Однако мы также поняли, что регламент необходим – ведь без него нет чётких правил игры.

Тем не менее необходимость регламента не говорит о том, что его необходимо внедрять в самую первую очередь, это вполне можно делать на более зрелых этапах – тогда он будет более оформленным, целостным и понятным для всех участников. И конечно же, важно избегать сложных и запутанных формулировок, делая регламент простым и удобным для чтения и понимания: не стоит забывать, что регламент – это инструмент, функциональность которого во многом зависит от того, как он устроен.

Мы планируем продвигать и актуализировать регламент, проводя тренинги, вебинары и другие мероприятия для повышения осведомлённости сотрудников. Таким образом, регламент будет актуальным и полезным для всей компании, и не превратится в регламент для регламента.

Евгений Скареднов, риск-менеджер, Lamoda

Комментарии