Риск-менеджмент
Что такое риск-менеджмент и почему без него нельзя
Риск-менеджмент - это процесс принятия грамотных управленческих решений и реализации стратегий, которые направлены на снижение возможных потерь при одновременном использовании всех преимуществ случайностей. А сопутствующие компании риски, как известно, могут быть самыми разными, от финансовых и юридических проблем до технических неполадок, несчастных случаев и стихийных бедствий.
Конечно, невозможно предусмотреть абсолютно все опасности, и именно поэтому так важно научиться управлять ими! Успешное управление рисками позволит компании продолжать работу даже в самые критические моменты, несмотря на угрозы как внутренние, так и внешние.
Таким образом, главные задачи риск-менеджмента заключаются в следующем:
-
прогнозирование вероятных рисков и угроз;
-
устранение возможных причин появления рисков;
-
принятие антикризисных решений, выработка и реализация антикризисной стратегии.
Помимо этого, менеджмент рисков исследует более глобальные взаимосвязи между потенциальными угрозами и тем, как они могут повлиять на стратегические цели компании в различных ситуациях и исходах. Поэтому главной целью риск-менеджмента и является не только устранение рисков, но и умение жонглировать ими, как мячиками. Согласитесь, некоторые риски вполне могут оправдать себя за счет полученного результата, например, повышения прибыли и показателей KPI.
Так, эффективное управление рисками приносит много преимуществ:
-
повышение осведомленности о рисках во всей организации;
-
убежденность в правильных целях и задачах организации;
-
более эффективное и точное соблюдение нормативных требований;
-
повышение эффективности деятельности за счет последовательного применения инструментов управления рисками;
-
повышение безопасности и охраны труда для сотрудников и клиентов;
-
конкурентное преимущество на рынке.
Пять шагов эффективного риск-менеджмента
Чтобы взять риски под контроль, опытные руководители и менеджеры предпринимают пять основных шагов. Этот процесс начинается, прежде всего, с самого выявления рисков, после чего следует их анализ, определение наиболее приоритетных рисков и разработка стратегии на их основе. Но остановимся подробнее на каждом этапе управления рисками.
Этап 1. Определение или идентификация рисков
Итак, начальным этапом управления рисками является выявление угроз. Так как бизнес подвержен большому количеству различных рисков, их принято классифицировать так:
-
Юридические и финансовые риски, которые также можно назвать комплаенс-рисками. Они связаны с нарушением законов, договоров или принятых стандартов, что может привести к финансовой ответственности, повлечь штрафы и другие санкции.
-
Регуляторные риски. Эта разновидность рисков подразумевает несоблюдение внешних или внутренних норм, касающихся любых аспектов деятельности.
-
Рыночные риски. Подразумевают влияние внешних факторов, возникающих в результате изменения конъюнктуры рынка, например колебания цен и курса валют.
-
Операционные риски. Так называют риск убытка в результате ошибочных внутренних процессов и сбоя систем, деструктивных действий сотрудников или внешних событий, например мошенничества.
-
Экологические или природные риски. Это вероятность возникновения отрицательных изменений в окружающей среде или неблагоприятных последствий этих изменений. Такие риски могут быть вызваны чрезвычайными ситуациями природного, антропогенного и техногенного характера.
Для того чтобы определить наиболее вероятные риски, необходимо ответить на ключевые вопросы, а именно:
-
Как обстоят дела с официальной документацией компании? Возможно, недавно появлялись новые или исправленные правовые акты, к которым необходимо подготовиться.
-
Каковы результаты последних аудитов, маркетинговых исследований, страховых отчетов?
-
Какие события негативно повлияли на компанию в прошлом? С какими рисками вы уже сталкивались? Иными словами, проанализируйте предыдущий негативный опыт, связанный с угрозами, но не забывайте и о позитивном опыте преодоления трудностей.
-
Какие риски наиболее вероятны в нынешней ситуации?
Так, мы прошли первый и основной этап управления рисками, без которого к следующим шагам переходить нельзя. Уделите особое внимание определению рисков! Не поленитесь выделить для этого дополнительное время и лучших сотрудников-аналитиков. Только после этого приступайте ко второму этапу.
Этап 2. Анализ выявленных рисков
Как только риск идентифицирован, необходимо его проанализировать. Для этого нужно определить масштаб выявленной угрозы и его последствия для бизнеса. Кроме того, важно понять, как этот риск появился, каковы его причины и способы устранения.
Если на первом этапе удалось выявить сразу несколько рисков (как зачастую и случается), следует определить приоритет каждого из них. Это определяется уровнем влияния одного конкретного риска на бизнес в целом и отдельные его процессы. Ведь чем больше аспектов бизнеса подвергается риску, тем выше эта угроза для всей компании. Например, для промышленного предприятия наиболее значимыми будут именно экологические или природные риски, которые могут возникнуть в результате негативного воздействия на окружающую среду. А для торговли наибольшее значение имеют бюджетные риски, ведь если не уложиться в определенный финансовый план и превысить затраты, потребуются дополнительные средства, что в итоге может привести к значительному сокращению бюджетов, нежелательным кредитам или даже банкротству.
Факторы, которые компании учитывают при определении приоритетов рисков, включают:
-
потенциальные финансовые потери;
-
потерянное или потраченное на устранение время;
-
наличие ресурсов и инструментов для управления риском в дальнейшем.
Именно этот этап помогает компаниям получить необходимую информацию для разработки мер реагирования на наиболее частые опасности.
Этап 3. Оценка рисков
Оценка рисков - это процесс не только идентификации возможных видов риска, но и оценки условий их возникновения и определения влияния на бизнес. Существует два типа оценки рисков: качественный и количественный.
Большинство рисков не поддается количественной оценке и измеряется только с точки зрения качества. Например, риск изменения климата, который является угрозой для многих предприятий. Так, качественная оценка - это анализ особенностей проявления и влияния возможных рисков с точки зрения специалистов.
А количественная оценка риска заключается в численном определении размеров отдельных угроз. Количественный анализ более точный, но применяется в основном для сложных проектов. Чаще всего с помощью количественных оценок анализируют риски, связанные с финансами, поскольку здесь фигурируют преимущественно цифры - будь то прибыль, процентные ставки, показатели эффективности и т.д. Количественные оценки рисков значительно легче автоматизировать. Также они считаются более объективными, нежели качественные оценки.
При этом важно понимать, что качественная оценка часто сопровождает количественную. Они могут использоваться как по отдельности, так и вместе, в зависимости от располагаемого времени, бюджета и особенностей бизнеса.
Этап 4. Снижение рисков и обеспечение безопасности
После всех пройденных этапов - выявления рисков, их анализа и оценки - пришло время действовать! Каждый риск должен быть устранен или минимизирован, насколько это возможно. То есть на данном этапе внедряются конкретные решения, планируются и проводятся мероприятия, с помощью которых можно ликвидировать возможные потери.
Начните с наиболее опасных рисков. Для наглядности следует создать план по устранению или смягчению последствий риска, в котором нужно подробно описать все шаги, необходимые для снижения опасности. Для этого можно связаться с экспертами в той области, к которой относится риск.
Есть несколько основных стратегий для управления рисками:
-
Полное исключение
Эта стратегия предполагает абсолютный отказ от опасных действий, чтобы снизить вероятности потерь до нуля. Наиболее целесообразно использовать такую стратегию, если риск имеет потенциально большое влияние на весь бизнес, например, может его обанкротить или разрушить. Однако в данном случае важно грамотно определить возможные опасности, ведь некоторые риски вполне могут оправдать себя и даже поспособствовать повышению прибыли компании.
-
Предотвращение и контроль
В таком случае необходимо исключить случайные риски и минимизировать возможный убыток, если угроза вдруг осуществится. Например, чтобы не допустить утечки данных, компании необходимо установить соответствующее ПО и обеспечить кибербезопасность.
-
Страхование
Когда случается то, чего компания опасалась, руководство получает компенсацию. То есть наступающий по определенной причине ущерб будет возмещен. Например, страхование профессиональной ответственности относится к способу избежать личных рисков для каждого специалиста. А если специалисты работают на опасном производстве, то следует позаботиться о здоровье и застраховать собственную жизнь.
Этап 5. Мониторинг и оценка результатов
Далее необходимо следить как за эффективностью выбранной антикризисной стратегии, так и за возникновением новых рисков. Ведь в процессе деятельности компании регулярно возникают новые опасности и угрозы, поэтому их необходимо постоянно контролировать.
При наступлении очередного кризисного момента важно оценить, насколько эффективным оказалось ранее принятое решение. Возможно, следует выбрать другую стратегию или скорректировать текущую. Для того чтобы понять, как действовать дальше, необходимо вести отчетность, то есть документировать, анализировать и обсуждать с коллегами информацию о результатах внедрения методов риск-менеджмента.
Также важно помнить, что все этапы управления рисками связаны и зависят друг от друга, а также от особенностей самого бизнеса и рынка. Поэтому их нужно рассматривать в контексте целой компании и применять, ориентируясь на имеющийся опыт.
Техники менеджмента рисков
На первом этапе управления рисками, то есть для того, чтобы максимально точно и объективно определить все факторы, влияющие на бизнес и создающие риски, есть несколько наиболее эффективных методик. Вот некоторые из них:
-
Составление карты рисков
Карта рисков - это инструмент для иллюстрации качественного и количественного анализа опасностей и угроз предприятия, то есть их наглядное отображение. Такая модель показывает все риски, присущие компании, визуализирует вероятность их возникновения и общую оценку рисков, а также демонстрирует меры реагирования и предотвращения опасностей.
На такой карте риски оцениваются с помощью следующих понятий: значимость - вероятность - причины. То есть каждый вероятный риск необходимо классифицировать в интервале от «наименее вероятного с наименьшим воздействием до наиболее вероятного с наибольшим воздействием». Эти данные могут оцениваться в процентах или баллах, а значимость, то есть последствия рисков, может быть выражена и в денежных средствах.
Аббревиатура расшифровывается как strengths (достоинства), weaknesses (недостатки), opportunities (возможности) и threats (угрозы). В процессе измерения эффективности работы компании SWOT-анализ поможет выявить сильные стороны (то, что дает компании преимущество и отличает от конкурентов), слабые стороны и уязвимости, внешние обстоятельства и внешние угрозы (это и будут различные риски, проблемы и кризисы, которые подстерегают бизнес).
-
Метод «дерева решений»
Это один из наиболее популярных способов принятия решений в условиях неопределенности. Дерево решений является графическим методом и позволяет наглядно соотнести между собой все элементы принятия решения, а также их последствия, условия и факторы внешней среды воздействия. Начинается построение дерева решений с наиболее раннего, первичного решения, после разрабатываются возможные результаты и последствия каждого из действий. То есть процесс работы представляет собой определенное «повышение ставок», или градацию рисков. Далее, исходя из полученной информации, вновь принимается решение - и так до тех пор, пока последствия всех решений не будут определены, а риски минимизированы.
-
Метод «рыбьей кости», или диаграммы Исикавы
Данный метод представляет собой схему, похожую на скелет рыбы. В «голову» помещают саму проблему, а на «костях» рыбы пишут те факторы, которые влияют на ситуацию. Схема позволяет разобраться в бизнес-процессах и снизить риски при планировании решений.
Для оценки и анализа угроз следует воспользоваться следующими методами:
-
Матрица рисков и влияния в управлении проектами
Это таблица, в которую заносятся наиболее значимые минимальные значения вероятностей возникновения рисков и максимальные значения последствий этих рисков. На пересечении строк и столбцов легко увидеть и оценить величину риска.
-
Диаграмма Парето
Система ученого Парето - упорядоченная нисходящая гистограмма, которая отражает соотношение разных факторов производства. Она заключается в том, что из всего множества причин, порождающих те или иные последствия, диаграмма Парето позволяет выделить самые главные, то есть те, чье влияние оказывается наиболее существенным.
После того как риски проанализированы, а их последствия сведены к минимуму, можно дополнительно воспользоваться техникой планирования для того, чтобы избежать наиболее опасных рисков в будущем. Она называется «Колесо фьючерсов» и представляет собой инструмент, который используется для определения прямых и косвенных результатов определенной стратегии, события или принятого решения. Колесо фьючерсов основано на методе мозгового штурма и предполагает, прежде всего, выявление последствий любого принятого решения путем коллективного поиска.
Управление корпоративными рисками
Управление рисками предприятия - это методология, которая рассматривает управление рисками глобально, то есть с точки зрения всего бизнеса. Такая стратегия также направлена на выявление, оценку и подготовку к потенциальным потерям, опасностям, угрозам, которые мешают деятельности и целям организации, приносят убыток или репутационные потери.
Важно понимать, что управление корпоративными рисками предполагает общую для всей организации стратегию. Иными словами, это не конкретное решение, принятое в определенной сложившейся ситуации, а долгосрочный план или тактика работы с бизнес-процессами. Ее осуществление обеспечивает каждый сотрудник компании, который выполняет определенные обязанности в сфере управления рисками. Это подразумевает и определение ролей для каждого сотрудника, разделение задач и полей ответственности, а также наделение некоторых сотрудников специальными полномочиями. Так, успешные стратегии ERM могут регулярно снижать финансовые и юридические, рыночные, операционные и другие риски.
Система управления рисками
В процессе становления риск-менеджмента были разработаны специальные стандарты по управлению рисками. Вот несколько основных структур, или, как их еще называют, систем менеджмента рисков:
Структура управления рисками NIST является федеральным руководством для организаций по оценке и управлению рисками для своих информационных систем. Она была создана Национальным институтом науки и технологий для обеспечения безопасности оборонных и разведывательных сетей. Федеральные агентства обязаны соблюдать эту систему управления рисками, но частные компании и другие организации также могут извлечь выгоду из следования ее руководящим принципам.
COBIT, или Control Objectives for Information and Related Technology, также предназначена для управления информационными технологиями на предприятии. Она была разработана Ассоциацией аудита и контроля информационных систем (ISACA) для установления надежных стандартов аудита.
Система CAS - Casualty Actuary Society. Стандарт принимали члены одноименного общества, то есть профессиональные эксперты в области страхования и перестрахования имущества, несчастных случаев, финансов и управления корпоративными рисками. Они помогают бизнесу принимать обоснованные стратегические, операционные и финансовые решения.
Также существует интегрированная система управления рисками предприятия COSO Enterprise. Платформа была разработана при участии пяти организаций - членов COSO и внешних консультантов и запущена еще в 2004 году, после чего обновлялась для решения наиболее сложных проблемы ERM. COSO Enterprise - это свод руководящих принципов или правил, установленных для помощи компаниям в управлении бизнес-рисками. В этой системе определяются ключевые концепции и принципы ERM, дается четкое руководство по управлению рисками. COSO акцентирует свое внимание на 5 компонентах системы управления угрозами:
-
руководство и культура;
-
стратегия и постановка целей;
-
производительность;
-
анализ и пересмотр;
-
коммуникация и отчетность.
Итоги
Подводя итог, можно смело утверждать, что управление рисками является неотъемлемой частью ведения бизнеса. По мере развития современной бизнес-среды компании должны постоянно оценивать и пересматривать риски и собственное отношение к ним. Но прежде всего следует осознать, что именно от допускаемых рисков и угроз зависит прибыльность и успешность предприятия. А наличие надежной системы управления может помочь организациям идентифицировать риски и подготовиться к решению возникших проблем заранее. Так, именно управление рисками позволяет обеспечить необходимый баланс между риском и безопасностью, что позволяет не отказываться от возможностей и в то же время сводить к минимуму негативные последствия.