Время прочтения: 6 мин.

Всего десять лет назад мир столкнулся со значительными финансовыми последствиями из-за мирового финансового кризиса, в основном вызванными несоответствующим и неприемлемым поведением в секторе финансовых услуг. Несмотря на вред, причиненный кризисом, и обширную ответную реакцию регулирующих органов, крупные банки и финансовые компании продолжают быть вовлеченными в крупные скандалы и нести огромные штрафы. Регулирующие органы по-прежнему штрафуют компании, предоставляющие финансовые услуги, например, за отсутствие надлежащих инвестиций в контроль и борьбу с отмыванием денег. В Великобритании регулирующие органы обвинили крупные аудиторские фирмы — вероятно, сейчас забываются уроки, извлеченные из фиаско  Артура Андерсена в Enron — в том, что они слишком дружелюбны с проверяемыми   клиентами и игнорируют свои надзорные функции. В последнее время несколько крупных технологических компаний злоупотребили своими полномочиями, нарушив обязательства по обеспечению конфиденциальности, несмотря на то, что по крайней мере в течение десяти лет совершались серьезные нарушения в работе с данными, конфиденциальностью и безопасностью.

Таким образом, мы должны задаться вопросом: «Если организации увеличивают свои инвестиции в рисковую и аудиторскую деятельность, почему они не выявляют и не решают эти проблемы своевременно?» Большинство ответов, рассмотренных ниже говорят о том, что традиционный риск-менеджмент и аудиторские команды всё ещё фокусируются на систематизированном контроле, не освещают культурные и поведенческие вопросы, которые влияют на принятие решений и управляют рисками как частью их каждодневной работы.

За последние несколько лет глобальные регулирующие органы, в частности финансовые регуляторы, начали уделять гораздо больше внимания риск-культуре.  Они просили советы директоров и команды административного руководства продемонстрировать, что они понимают под риск-культурой  в своих организациях и какие шаги предпринимают для решения проблем, которые существуют в их фирмах.  В то время как некоторые компании приложили значительные усилия, чтобы понять, что означает риск-культура, другие в финансовом секторе — и за его пределами — все еще борются с этим термином и считают, что трудно отделить риск-культуру от организационной культуры, которая традиционно входила в рамки человеческих ресурсов.

Брать на себя поведенческий риск

Команды по управлению рисками и внутреннему аудиту теперь осознают, что многие из проблем, с которыми они борются, уходят корнями в «поведенческий риск». Действительно, многие работают над совершенствованием своих методов измерения и мониторинга того, как организационная культура  и команды создают поведенческий риск. Риск-культура больше не воспринимается как требование для «галочки».  Именно поведенческий риск влияет на поведение и способ принятия повседневных решений. 

Осознание этого подтолкнуло команды внутреннего аудита к изменению способа выполнения внутренних ревизий таким образом, чтобы они могли осветить поведенческие проблемы и объективно определить, где поведенческий риск является основной причиной того, что в бизнесе пошло что-то не так.  Команды внутреннего аудита внедряют несколько новых методов в целях поддержки совета директоров и исполнительных органов в оценке и улучшении риск-культуры. Такие инициативы включают в себя:

  • Диверсификацию набора навыков в рамках команд внутренних аудиторов, включая навыки исследователей поведенческой науки, организационных психологов, антропологов и сотрудников с другим нетрадиционным опытом работы для лучшей оценки поведенческого риска.
  • Переориентацию внимания внутренних аудитов с тем, чтобы они фокусировались на людях, так же, как и на документах и данных. Члены команды внутреннего аудита, обладающие навыками изучения поведенческой науки, взаимодействуют с сотрудниками с разными функциями и на разных уровнях, чтобы оценить, какие культурные факторы влияют на решения, принимаемые сотрудниками и руководителями, и на действия, которые они совершают. 
  • Внедрение новых индикаторов в аудит для измерения показателей поведенческого риска. В частности, добавляются упражнения по упорядочиванию поведенческих карт и проводятся интервью как   анонимных фокус-групп, так и индивидуальные.  Результаты обрабатываются с помощью классического анализа риска и контроля для формирования трехмерного представления об обстановке в среде контроля рисков. 

Действительно, сейчас компании содействуют менеджменту из разных областей в принятии целенаправленных мер, решающих проблемы поведенческого риска, выявленных внутренним аудитом. В частности, совет директоров и управляющие команды инструктируют отдел кадров в решении задач, связанных с поведением сотрудников и руководства. Они просят команды по регулированию рисковых событий принять меры в отношении инфраструктурных рисков, когда, например, стратегия и процесс недостаточно взаимодействуют с системой управления рисками. Также они направляют бизнес-лидеров заниматься теми областями, где команда не ясно представляют стратегию бизнеса.

Культурные факторы, определяющие поведенческий риск, обычно включают в себя:

  • Поведение высшего руководства, в том числе действия совета директоров и исполнительного руководства (высший уровень)
  • Поведение линейного менеджера
  • Подбор персонала (прием на работу и ввод в должность)
  • Вознаграждение и стимул
  • Инфраструктура риска, включая простоту и ясность политик, процедур и систем управления рисками
  • Структуры подотчетности в организации
  • Согласованность организации, команды и индивидуальных целей
  • Сотрудничество (внутри и вне команды)

Нелегкое восхождение в гору

В то время как организации, чьи команды внутреннего аудита внедрили методологии для измерения поведенческого риска в рамках своих проверочных действий, видят положительные последствия, существуют некоторые проблемы, связанные с интеграцией контроля поведенческого риска в традиционный аудит. Некоторые из общих препятствий, с которыми сталкивается внутренний аудит в этой области, включают в себя:

  • Недостаточно таланта. На рынке имеется мало специалистов, обладающих необходимыми навыками и опытом в области поведенческих наук или психологии, а некоторые из них просто не хотят работать в командах внутреннего аудита. Эта проблема усугубляется проблемами культурной интеграции, когда классические внутренние аудиторы и поведенческие аудиторы видят вещи по-разному.
  • Трудность достижения масштабности. Обеспечение объективной уверенности требует сбора необходимых данных, чтобы сделать взвешенные и содержательные выводы. Сбор достаточного количества поведенческих данных может быть особенно сложным в географически разбросанных организациях. Это связано с тем, что качество понимания зависит от того, как команды внутреннего аудита общаются и напрямую взаимодействуют с людьми с различными функциями, положением на работе и географическим местоположением, где могут возникать культурные стереотипы, которые влияют на сотрудников, принимающих решения.
  • Трудность в «ревизии». Может возникнуть неловкая ситуация для внутреннего аудита при анализе и воздействии на культуру среди лидеров бизнеса. Аудит поведенческих рисков вынуждают бизнес-лидеров смотреть в зеркало, и результаты могут быть конфронтационными.  Согласованные действия такого рода аудиторской работы часто требуют от лидеров бизнеса более тесного взаимодействия со своими командами, чтобы глубже понять поведенческие факторы риска в своих командах и «пойти на сделку», чтобы устранить их. Иными словами, поскольку многие культурные факторы зависят от высшего руководства, внутренний аудит должен быть готов «говорить правду власти».

Эволюция решений

Многие организации работают над решением этих проблем. Например, начинают появляться цифровые инструменты, которые облегчают сортировку поведенческих карт и виртуальных фокус-групп для контакта и взаимодействия с географически разбросанными командами в психологически безопасном режиме. 

Эти инструменты помогают командам внутреннего аудита сформировать достоверные выводы о поведенческих рисках, которые могут стимулировать действия лидеров всего бизнеса, в том числе с командами по управлению рисками и кадровыми ресурсами.

Ожидания сообщества меняются. Заинтересованные стороны на многих уровнях, включая акционеров и регулирующие органы, хотят видеть, что крупные организации ведут себя правильно и выявляют проблемное поведение, которое может привести к кризисам и другим проблемам. Внутренний аудит имеет все возможности для того, чтобы действовать по-новому и предоставлять исчерпывающую информацию, которая может существенно повлиять на результаты бизнеса. Развивающийся аудит, позволяющий понять, где поведенческий риск является основной причиной глубоких проблем в организации, добавит значительную ценность и даст возможность советам директоров, комитетам по аудиту и исполнительному руководству лучше справляться с риском и разорвать цикл повторения ошибок прошлого.

Ссылка на статью 17 июня 2019 года,  Джастин Гринштейн и Gavin Freeman