Классификация рисков предприятия

Современное состояние управления рисками в России

В условиях современных российских реалий, к сожалению, говорить о создании полноценной системы риск-менеджмента на малых предприятиях пока не приходится. Речь можно вести о крупных компаниях и части бизнеса среднего масштаба, но уже имеющего развитые элементы регулярного менеджмента. Надо понимать, что у нас часто риск-менеджмент прорастает поэлементно, по назревшей потребности (например, имеются техногенные угрозы, экологические риски, постоянные потери, возникающие при транспортировке грузов). На Западе превалирует интегрированный подход к созданию СУР, в нем управление выстраивается для всей гаммы факторов риска. При этом методики внедрения и архитектура системы носят унифицированный характер.

В России несколько иначе. Допустим, институт страхования рисков исторически сложился в компании, и он начинает обрастать дополнительными «опциями», постепенно расширяясь в спектре работы с рисками. И в какой-то степени «велосипед изобретается заново» по уникальному алгоритму

Я не беру во внимание компании с участием иностранного капитала или бизнес олигополий или монополий. В них реализуется подход как раз с западной рисковой культурой

К сожалению, на отечественных предприятиях недостаточно реализуется принцип комплексности СУР. Этому много причин.

1. Первая, и, пожалуй, главная причина кроется в слабом осознании владельцами изменившейся среды бизнеса. Отдача от проектов внедрения СУР ими не ощущается в полной мере. Но ситуация быстро меняется, нужно выходить на внешние рынки. Это означает, что без реально работающих систем риск-менеджмента наши предприятия быстро проиграют конкуренцию. Владельцы бизнеса и топ-менеджмент уже начинают это понимать.
2. Вторая причина лежит в относительно высоких и длительных расходах на развитие систем управления рисками, которые имеют большой период окупаемости. Это в условиях продолжительной кризисной ситуации в экономике не способствует выделению соответствующих бюджетов. Однако эффективность СУР, к счастью, нетрудно рассчитать. Достаточно собрать статистику потерь от реализованных угроз за последние несколько лет и отследить динамику их изменений. Необходимо вычесть из суммы снижения потерь расходы на внедрение системы и эффект станет очевиден. Этот простой расчет может быть положен в основу KPI для руководителя отдела и риск-менеджеров, стать интересным стимулом для прямой мотивации сотрудников.

Управление рисками – не первый и не последний компонент системы менеджмента компании, который предстоит российскому бизнесу интегрировать в сферу своей регулярной деятельности. Конечно, это происходит непросто и не так быстро, как хотелось бы. Однако события развиваются своим чередом, и особых альтернатив у нас нет. Регуляторам хочется пожелать на базе международного опыта и национальных стандартов сделать хороший шаг вперед и разработать действительно добротную отечественную методику, подобную COSO. Бизнесменам же я желаю, считая экономику, смелее внедрять КСУР, не боясь экспериментировать. Это эффективно.

Проектов без рисков не бывает

Изучение опыта предприятий по проведению проектов автоматизации свидетельствует о том, что у руководителей функциональных подразделений предприятий часто возникает стремление «провести проект, как все» и использовать только типовые решения, которые на слуху. Создаётся иллюзия, если «быть как все», то рисков можно избежать. Более того, при этом часто руководствуются тезисом: «Мы не какие-нибудь авантюристы, чтобы реализовывать опасные проекты. Наш проект не должен быть слишком сложным, и на нем никто не собирается рисковать. Мы хотим внедрять типовую программу типовым способом, и не намерены делать рискованных шагов».

Но возможно ли, чтобы на ход и результат проекта «как все» не оказывали влияния никакие неопределенности? Как ни парадоксально, в предельном случае — да! Но только теоретически, поскольку в жизни, в том числе и в жизни предприятия, «абсолютно безопасные» проекты никому не нужны. Как писал в своих книгах Том де Марко1Том де Марко2, «Проекты без риска — удел неудачников».

В жизни, в том числе и в жизни предприятия, «абсолютно безопасные» проекты никому не нужны. «Проекты без риска — удел неудачников».

Строго говоря, проект тем и отличается от операционной деятельности, что при его выполнении создается нечто новое. Если при автоматизации предприятия до минимума урезать элемент новизны (совсем исключить не получится, поскольку внедряемая информационная система — новая, по определению), то соответственно уменьшаются неопределенности. Но одновременно снижаются возможные конкурентные преимущества, которые могло бы получить предприятие от новой системы. В лучшем случае будет реализовано то, что давным-давно работает на множестве других предприятий-конкурентов.

Означает ли это, что более рискованный проект предпочтительнее типового, поскольку больше инноваций создадут больше преимуществ? Нет, не означает! И большинство руководителей и специалистов подразделений понимают, что создавать заказную систему «с нуля» неоправданно безрассудно. Неоправданно, потому что те же самые преимущества можно получить с гораздо меньшими сопутствующими неопределенностями. А, самое главное, не факт, что новый продукт будет лучше, чем типовой, ведь можно изобрести давно изобретенный велосипед.

При выборе продукта для автоматизации (информационной системы) в рассматриваемом контексте надо обратить внимание на следующее:

• действительно ли он более инновационный и даст предприятию что-то дополнительное, чего нет в «более типовом» решении, с помощью которого ведут свою деятельность конкуренты;
• есть ли у поставщика инновационного решения готовые технологии для контроля рисков проекта.

Не обязательно, и, точнее, даже нежелательно, чтобы управление рисками воспринималось как сложный формализованный многоступенчатый процесс. На самом деле, заметки на листе бумаги или письмо по электронной почте уже могут быть частью контроля рисков. Суть не в том, чтобы «наворотить» как можно больше лишней бюрократии. Достаточно просто обозначать неопределенности, анализировать их и принимать меры по ограничению найденных угроз.

Не обязательно, и, точнее, даже нежелательно, чтобы управление рисками воспринималось как сложный формализованный многоступенчатый процесс.

Соответственно, приоритет в выборе продукта-прототипа и партнера для внедрения лучше устанавливать не по иллюзиям «самого безрискового проекта», а по информации об успешной практике контроля рисков.

Хорошие руководители проектов умеют определять и планировать задачи, которые необходимо выполнить для реализации проекта. Но только лучшие руководители проектов успешно справляются с тем, чтобы определить и создать резерв ресурсов под задачи, которые вдруг могут возникнуть в ходе проекта.

Планирование реагирования на риски проекта

Планирование реагирования на риски — это поиск и выработка способов снижения или повышения воздействия рисков на проект. Те риски проекта, которые отрицательно влияют на проект, команда проекта стрмиться свести к нулю, а риски проекта влияющие положительно на результат проекта команда стремиться приблизить и увеличить.

Планирование реагирования на риски проекта включает в себя идентификацию и ранжирование каждого риска по категориям. Эффективность этого процесса определяет насколько последствия воздействия рисков на проект будут положительными или отрицательными.

Стратегия планирования реагирования должна соответствовать типам рисков, доступности ресурсов и временным затратам. Обычно для каждого из важных рисков вырабатывается несколько вариантов стратегий реагирования на риски проекта.

Как управлять рисками с помощью BPM-системы

Разобраться с рисками раз и навсегда невозможно — нужно постоянно следить за результатами решенных рисков и появлением новых. Управление рисками — долгосрочный процесс, поэтому на всех его этапах должна быть возможность:

• собирать и документировать риски проекта;
• хранить и передавать информацию о выполненных задачах;
• обеспечивать мониторинг статусов рисков;
• обеспечивать контроль со стороны проектного менеджера над всеми работами.

Учесть все эти требования помогает процессный подход. Он позволяет построить последовательную цепочку задач и обеспечивает контроль их исполнения.

Процессный подход реализуется с помощью BPM-системы, в которой работа организована в виде бизнес-процессов. Бизнес-процесс — это совокупность взаимосвязанных операций, направленных на достижение цели.

Одним из примеров BPM-систем является система ELMA. С помощью дополнительного модуля Проекты+ она позволяет запустить бизнес-процесс прямо из карточки проекта. А используя мониторинг процессов, проектный менеджер сможет контролировать все этапы работы и получать подробную аналитику после завершения процесса.

Процессы управления рисками проекта могут запускаться несколько раз за проект. Например, в начале проекта для планирования и после прохождения контрольных точек — для актуализации реестра рисков. В зависимости от структуры компании и самого проекта, задачи бизнес-процесса могут отличаться, но этапы работы общие:

После запуска бизнес-процесса проектный менеджер самостоятельно или вместе с командой выявляет все опасности. Лучше сразу разделить риски по целям, которым они угрожают, источнику и силе последствий. Можно собрать общий реестр для всех проектов компании и выбирать из него угрозы для определенного проекта.
Для оценки всех рисков или отдельной группы выбираются эксперты. Им приходит задача в виде сформированного реестра с комментариями менеджера. Эксперты проводят качественный анализ и для каждой угрозы определяют статус. Во время оценки также должна быть возможность вносить в реестр новые незафиксированные риски проекта.
Реестр возвращается к проектному менеджеру с проставленными статусами и замечаниями экспертов. Дальше нужно провести количественный анализ. Для этого можно снова привлечь экспертов или оценить риски силами команды проекта

Важно зафиксировать все результаты количественного анализа в реестре и передать в следующую задачу. Еще один вариант: отказаться от детальной оценки и сразу перейти к выбору стратегии.
Менеджер проекта подводит итоги анализа, пересматривает реестр рисков и приступает к выбору стратегии

Любое изменение статуса риска, например, если он состоялся или решился, менеджер сможет зафиксировать в реестре.
Когда для всех рисков появится план решения, остается продумать необходимые мероприятия и поставить по ним задачи.
После выполнения работ проектный менеджер оценивает эффективность всего процесса.

Бизнес-процессы по управлению рисками выполняются многократно, так что менеджер получает достаточно данных для глобальной оценки всей работы: сколько времени требует оценка, риски какого типа наиболее опасны, какая стратегия выигрышная. При этом у него есть возможность непрерывно следить за статусом угроз.

Динамика инвестиционных рисков

Вероятность и значимость рисков должна быть регулярно переоценена инвестором, поскольку в результате динамики реализации строительного проекта риски изменяются. Строительный проект развивается, здание возводится, определенные риски уменьшаются или исчезают самостоятельно, а некоторые – увеличиваются. По итогам анализа динамики рисков инвертор вносит в ранее составленную карту рисков, квадрат рисков и рисковый план соответствующие изменения.

Работа над рисками не должна быть приостановлена на каком-то этапе строительства. Спонсор, не производящий постоянный мониторинг состояния рисков, может столкнуться с проблемной ситуацией, когда риски выйдет из под контроля. Информация о рисках не может быть достаточной и окончательной, она постоянно изменяется, поэтому исследовать ее необходимо непрерывно, на протяжении всего периода реализации строительного проекта по возведению объекта недвижимого имущества.

Безопасность действующего проекта, должна изучаться на протяжении времени окупаемости инвестиций. Это позволит спонсору избежать значительных финансовых потерь и извлечь из квартиры в новостройке дополнительную прибыль.

Спонсору следует помнить о том, что развитие ситуации со строительным проектом вариативно. Постоянно возникают новые обстоятельства, которые ранее не были учтены. Именно поэтому для спонсора полезно не прекращать работу по оценке рисков и принятию необходимых мер по их своевременному устранению.

Сущность управления рисками

В условиях неопределенности хозяйственной деятельности предприятия управление риском представляет собой комплекс регулирования стратегических, тактических, проектных и оперативно-производственных отношений. Комплексный подход имеет ряд преимуществ (ниже размещена соответствующая схема), и с позиции функций управления задействуется практически весь арсенал средств менеджмента, включая компоненты финансового управления, логистики, экономики, учета, продаж и т.д. Комплекс процедур направлен на:

• прогнозирование рисковых событий и их идентификацию;
• обоснование уклонения от риска;
• обоснование допустимости риска;
• минимизацию риска с применением доступной гаммы инструментов;
• устранение причин и последствий рисковых событий;
• адаптацию компаний, выстоявших в кризисный период, к новым условиям хозяйствования;
• защиту от банкротства.

Схема демонстрации преимуществ комплексного подхода к управлению рисками

Неопределенность деятельности слабо коррелирует с масштабами деятельности. Действительно, регулярный менеджмент, который удается развернуть на крупных предприятиях, дает значительную «фору» в сравнении с эмпирическими методами управления в малом бизнесе. Но, во-первых, себестоимость управления резко возрастает, во-вторых, само число факторов риска становится значительно больше. Поэтому с уверенностью можно утверждать, что одним из условий успешности деятельности является исполнение руководством бизнеса, независимо от его размера, антирисковых мероприятий. Другой вопрос, насколько системным является управление рисками?

Объектами управления выступают собственно риск, экономические отношения, сопутствующие вероятным неблагоприятным событиям и рисковые инвестиции. Субъекты управления могут быть рассмотрены как в широком, так и в узком смысле слова. С общей позиции ими выступают все члены коллектива организации, включая руководителей и сотрудников. В узком смысле субъектами являются специально уполномоченные руководители, сотрудники и подразделения компании. Цели и задачи управления рисками связаны с этапами развития бизнеса и прохождения им стадий жизненного цикла. Схема изменения состава целей управления на этапах деятельности организации и соответствующие им задачи показаны на схеме далее.

Динамика целей и состав задач управления рисками по этапам развития компании

Принцип Парето

Основной целью процедуры по оценке опасности рисков выступает поиск наиболее существенных и вероятных рисков, возникающих в процессе подготовки и реализации строительного проекта. Для достижения описанной цели успешно применяется принцип Парето. Этот принцип указывает на то, что устранение 20% наиболее существенных для проекта рисков дает инвестору 80% безопасности проекта.
Данное правило помогает понять, что инвестору не следует стремиться к преодолению стопроцентного показателя рисков

Безусловно, у спонсора не будет достаточного количества времени и средств, чтобы справиться со всеми возможными негативными факторами, однако стоит уделить внимание самым опасным из них.

Алгоритм построения КСУР в компании

Мы с вами помним аксиому, что менеджмент и его компоненты находятся в связке со стратегией компании. Она определяет принципы управленческой деятельности и основные акцентные точки. Специфика управления рисками состоит в том, что локальная стратегия работы с рисками подвергается серьезной корректировке в середине процесса управления. Для построения СУР важен опыт компании в практическом применении финансово-экономической теории, налогового и гражданского права, внешних нормативных актив и стандартов.

Внутренние и внешние опоры построения СУР в компании

Построение системы управления рисками по модели, которая предлагается ниже, основано на опыте российских компаний с ориентиром на методику COSO. Данная модель подразумевает следующие этапы алгоритма.

Ошибки при работе с рисками

Следует назвать ряд ошибок, распространенных в финансовой среде, которые совершают неопытные инвесторы. К ним относится:

• неспособность осуществлять эффективный анализ и поиск существенных и вероятных рисков;
• усиленный контроль над динамикой несущественных и маловероятных рисков, которые не могут вызвать вероятных негативных последствий;
• игнорирование, принятие и неспособность нейтрализовать или снизить существенные и вероятные риски.

Чтобы добиться максимальной продуктивности при работе с рисками указанных выше ошибок следует избегать

Такая тактика позволит спонсору уделить наибольшее внимание самым опасным существенным и вероятным рискам.. Такие риски должны быть правильно выявлены и проанализированы

Чтобы избежать возможного негативного влияния, спонсор оценивает степень рисков, классифицирует их по видам, систематизирует и вырабатывает стратегию борьбы с рисками. Для более оперативной и эффективной нейтрализации рисков инвестору следует воспользоваться рядом полезных деловых инструментов.

Такие риски должны быть правильно выявлены и проанализированы. Чтобы избежать возможного негативного влияния, спонсор оценивает степень рисков, классифицирует их по видам, систематизирует и вырабатывает стратегию борьбы с рисками. Для более оперативной и эффективной нейтрализации рисков инвестору следует воспользоваться рядом полезных деловых инструментов.

Идентификация рисков

Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков. Идентификация рисков не будет эффективной, если она не будет проводиться регулярно на протяжении реализации проекта.

Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.

Идентификация рисков — итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков. Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.

Вложение средств для устранения риска

Если инвестор вкладывает свои денежные средства для устранения рисков без осуществления их предварительной оценки, это свидетельствует о низком уровне его компетентности в вопросах инвестиционных рисков. Делая капиталовложения на удачу, он может рассчитывать в равной степени, как на положительные, так и на отрицательные последствия своих действий.

Принятие риска наиболее полезно для инвестора, когда рисковые последствия осмыслены и учтены. В таком случае угроза потери денежных средств не будет являться для спонсора неожиданностью. Имея в голове понятие о видах и степени опасности рисков, инвестор сможет создать оптимальный алгоритм действий, адаптированный к конкретной практической ситуации.

Управление рисками — ключ к финансовой стабильности компании

Грамотно выстроенная система риск-менеджмента на предприятии позволить извлечь из любой угрозы выгоду для предприятия и достойно справиться с кризисными ситуациями. Риск-менеджер должен уметь подбирать подходящие методы управления опасностями и быстро принимать нестандартные, но стратегически выверенные решения.

Пройдите курс «IPFM: Стратегический менеджмент», чтобы стать специалистом по финансовой стабильности компании!
Зарегистрируйтесь и пройдите 1-й урок курса бесплатно!

Стратегический менеджмент: обучение

Проверьте себя. Какой метод управления рисками может негативно сказаться на инвестиционной деятельности компании?

Кадровые риски: сложно предсказать, еще сложнее управлять

Кадровые риски сложно прогнозируемы и сильно влияют на благополучие организации. В условиях современной, основанной на знаниях, экономики квалификация и опыт персонала отыгрывают одну из ключевых ролей в развитии компании. Человеческие ресурсы наиболее непредсказуемы. В отличие от остальных активов они могут в один момент уйти, унося за собой ценные знания и умения.

Главная сложность состоит в том, что в поведении людей всегда присутствует фактор иррациональности. Поэтому объективную картину опасностей сформировать сложно

Важно также учесть вероятность, размер возможных убытков каждой из них

Оптимизация управления кадровыми опасностями предполагает:

• планирование персонала;
• создание резервов под компенсации, льготные выплаты;
• разработку программ мотивации сотрудников;
• контроль уровня квалификации персонала;
• организацию обучения персонала.

Перечисленные меры работают на предупреждение и используются для управляемых угроз. Но на некоторые повлиять практически невозможно. Для них предусмотрены следующие механизмы защиты:

• самострахование — создание финансового резерва под форс-мажорные ситуации;
• аутсорсинг, аутстаффинг — создание кадрового резерва;
• страхование здоровья, жизни сотрудников.

Хеджирование рисков

Одним из инструментов управления финансовыми рисками является хеджирование, которое можно применить путем перехода на заключение контрактов в национальной валюте, применения различных вариаций ускорения или отсрочки платежей, включение в контракты условий взаимной компенсации обязательств, заключать форвардные и фьючерсные контракты, валютные опционы, свопы, то есть продумывать различные варианты минимизации риска валютных колебаний, которые всегда сопутствуют периодам кризисов и текущей нестабильности мировой экономики. Такие же инструменты хеджирования можно использовать для управления процентными рисками, товарными и кредитными рисками. Например: заключать соглашения о будущей процентной ставке (FRA – Forward Rate Agreement), соглашения о выплате или получении разницы между фиксированной и базовой процентной ставкой (LIBOR, EURIBOR, MOSPRIME), опционы на процентные ставки (Caps, Floors), оформлять процентные свопы (Interest rate swaps), свопционы (Swaptions), валютно-процентные свопы (Cross currency interest rate swap) или товарные свопы, заключать товарные форвардно/фьючерсные контракты, кредитно-дефолтные свопы (CDS, Credit Default Swap), использовать факторинг и банковские гарантии, а также другие операции, позволяющие минимизировать риски компании.

Система классификации

Классификация рисков подразумевает систематизацию их множества по разным критериям, объединяющую подмножества в единые понятия.

При создании классификации учитываются понятия, относящиеся к характеристике рисков, в числе которых:

• период образования;
• причины и явления, способствующие возникновению;
• метод подсчета;
• тип последствий;
• ареал охвата.

Методика оценки финансовых рисков при формировании кредитной политики предприятия.

По периоду возникновения риски делят на:

• перспективные;
• ретроспективные;
• текущие.

По характеру учета риски бывают:

1. Внутренние, вызванные работой компании исходя из деловой активности ее руководства, показателей специализации, производительности, стратегии маркетинга, технической оснащенности.
2. Внешние, непосредственно не касающиеся производственного процесса и образуемые экономическими, политическими, географическими причинами.

В зависимости от последствий риски подразделяют на:

1. Спекулятивные. Они могут стать причиной как потерь, так и добавочной прибыли из-за резких колебаний курсов валют, законодательства (по налогам), рыночной конъюнктуры.
2. Чистые. Их характерной особенностью являются обязательные производственные потери из-за природных бедствий, войн, несчастных случаев.

По сфере образования риски делят на:

1. Производственный, связываемый с неисполнением планов и производственных обязательств организации из-за влияния (неблагоприятного) внешних обстоятельств или ошибочного применения новых основных или оборотных средств. Основными причинами его возникновения могут быть:
   • понижение планируемых объемов выпуска;
   • увеличение затрат;
   • оплата завышенных сумм обязательных платежей;
   • несоблюдение условий поставок;
   • поломка (уничтожение) оборудования.
2. Коммерческий, возникающий при продаже товаров (услуг), изготовленных или приобретенных организацией. Главными причинами служат:
   • понижение размера реализации по конъюнктурным или иным причинам;
   • рост стоимости закупа продукции;
   • уменьшение товарной массы в обращении;
   • увеличение издержек.
3. Финансовый, зависящий от возможности неисполнения компанией обязательств по причине:
   • обесценивания портфеля инвестиций из-за колебания курсов валюты;
   • непроведения проплат.
4. Страховой или шанс образования страховой ситуации, оговоренной сделкой, по которой страховщик обязан оплатить возмещение.

По причинам возникновения подразделяют риски на политические (война, запрещение вывоза/завоза товаров, запрет на передвижения/перемещения через границу) и экономические, вызванные изменениями в организации или в экономике государства (колебания рыночной конъюнктуры, дисбаланс ликвидности, падение уровня управления).

Исходя из производственного процесса риски делят на:

1. Организационные, возникающие из-за ошибок сотрудников или менеджмента компании, нарушений внутреннего контроля или правил выполнения работ.
2. Рыночные, зависящие от конъюнктуры рынка (товарной стоимости, спроса на товар, потери ликвидности, курсовых колебаний).
3. Кредитные, связанные с нарушением контрагентом срока исполнения обязательств по сделке. Имеют отношение к предприятиям с дебиторской задолженностью, к компаниям, занятым на рынке ценных бумаг.
4. Юридические, когда потери возникают из-за отсутствия учета законодательных норм, их изменения в период сделки, некорректности составления документации, несоответствия законов разных государств.
5. Технические и производственные, связанные с причинением вреда окружающей среде, с авариями из-за нарушения работы объекта из-за ошибок при проектировании, строительстве.

С учетом потенциальных последствий риски классифицируются на:

1. Допустимые, когда из-за отсутствия некоторых действий компании угрожает потеря дохода (прибыли). В этом случае коммерческая деятельность не лишается экономической целесообразности, так как размер потерь не больше размера прогнозируемого дохода.
2. Критические, при которых организации грозит утрата выручки, заведомо перекрывающей прогнозируемую прибыль. При самом плохом раскладе компании угрожает потеря всех средств, направленных на реализацию сделки.
3. Катастрофические, когда предприятие теряет платежеспособность. Размер потерь может превысить размер собственного капитала предприятия. К указанной категории относятся ситуации, угрожающие экологической катастрофой или безопасности граждан.

Оценка компании на предмет управления рисками

Что делать компании, если она только задумывается о внедрении СУР или, если элементы системы уже присутствуют, но непонятно, как и в каком направлении двигаться дальше? Специалисты рекомендуют в таком случае выполнить анализ системы управления рисками на предприятии с целью определить ее сильные и слабые стороны и пути дальнейшего развития.

Действующим и потенциальным заинтересованным сторонам в деятельности компании и в инвестировании в нее очень полезно было бы узнать о реальном состоянии дел с позиции регулярного риск-менеджмента. Консалтинговая группа KPMG в 2015 году проводила исследование «Практика управления рисками в России», в котором к 48 респондентам обратились с вопросом о проведении диагностики СУР. Результаты ответов представлены на диаграмме далее.

В исследовании отмечается, что в большинстве своем оценка системы проводится силами внутреннего аудита. Многие компании проводят диагностику силами других внутренних подразделений. Например, ответственность за эту работу возлагается на риск-менеджера или на подразделение, которое координирует функционирование СУР в компании. Значительная часть компаний приглашают консультантов. В основном это крупные компании и организации с участием иностранного капитала.

В любом случае, оценку системы проводить нужно и достаточно регулярно. Лучше, если диагностические мероприятия проводятся в независимом режиме, объективности больше. Однако на первых порах можно начать с процедуры самооценки. Это полезно и просто. Я бы предложил руководителю компании, начинающей работу в данном направлении, провести тестирование риск-менеджмента. Собрать совет директоров или правление, пригласить на него несколько перспективных и опытных специалистов, которые «болеют» за бизнес, и в режиме групповой работы заполнить размещенную ниже таблицу.

Таблица самооценки риск-менеджмента в компании

Выполните следующую инструкцию по работе с таблицей.

Разбейте собравшихся руководителей и специалистов на четыре группы.
Каждой группе выдайте пустой бланк таблицы.
Попросите каждую группу перечислить пять наиболее важных рисков, с которыми сталкивается компания.
Предложите участникам оценить каждый риск по 10-ти бальной шкале по критерию важности.
Попросите оценить эффективность управления каждым из рисков.
Соберите таблицы, поручите секретарю составить единый перечень рисков и подсчитать уровень разрыва для них в виде разницы между важностью и эффективностью.
Если ответы у групп будут существенно отличаться, то рисков вероятно окажется значительно больше, чем можно было себе представить.

Планирование реагирования на риски

Берет на себя ответственность за эффективность защиты проекта от воздействия на него рисков. Планирование включает в себя идентификацию и распределение каждого риска по категориям. Эффективность разработки реагирования прямо определит, будут ли последствия воздействие риска на проект положительными или отрицательными.

Стратегия планирования реагирования должна соответствовать типам рисков, рентабельности ресурсов и временным параметрам. Вопросы, обсуждаемые во время встреч, должны быть адекватны задачам на каждой стадии проекта, и согласованы со всеми членами группы по управлению проектом. Обычно требуются несколько вариантов стратегий реагирования на риски.

Планирование реагирования на риски

В практической деятельности обычно выделяют четыре категории последствий рисков:

• Влияющие на бюджет
• Влияющие на сроки
• Влияющие на качество продукта
• Влияющие на функционирование продукта

Планирование способов реагирования является регламентированной процедурой разработки плана снижения рисков. В этом процессе определяются оптимальные меры повышения вероятности успеха проекта, предполагающие реагирование на угрозы в порядке приоритета. При расчете проектного бюджета в него следует включать целевые ресурсы и операции, ответственность за которые распределена между участниками проекта.

Всего существует четыре основных метода реагирования на риски:

• Избегание рисков. Считается самым активным методом, однако применим он не всегда. Актуален в случаях, когда можно полностью исключить источники риска.
• Минимизация рисков. Еще один активный метод, состоящий в уменьшении вероятности и снижении опасности рисков. Риски в этом случае должны полностью поддаваться контролю (чаще всего это внешние риски).
• Передача-страхование рисков. Для использования метода нужно найти третью сторону, которая будет готова принять на себя риски и их негативные последствия.
• Принятие рисков. Предполагает осознанную готовность к рискам и направление всех последующих усилий на устранение последствий.

Такова вкратце методологическая база риск-менеджмента на сегодняшний день. Проект-менеджер в своей работе в обязательном порядке должен учитывать эту информацию, т.к. от нее и ее использование зависит эффективность командной работы и достижение целей проекта. Но намного важнее, конечно же, практические навыки идентификации, анализа и реагирования на риски. Поэтому в качестве дополнения к представленному материалу предлагаем вам познакомиться с десятью золотыми правилами управления рисками от Барта Джутта.

Подход к управлению рисками

Оцениваемые характеристки риска позволяют говорить об управлении рисками.

Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.

Управление рисками позволяет организации определить, в какой степени потенциальные события повлияют на достижение её целей. Согласно рекомендациям авторитетной организации COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:

• представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
• нацелено на определение событий, которые представляют опасность для организации.

У компании есть четыре варианта реакции на риск:

• принятие риска, когда не предпринимается никаких особых действий, связанных с данным риском;
• уменьшение риска посредством контроля за деятельностью и процессами либо принятия специальных мер;
• передача риска сторонней организации путём привлечения партнёров или страховых компаний;
• уклонение от риска — прекращение деятельности, ведущей к риску.

Остановлюсь особо на варианте уменьшения риска. Самая очевидная реакция на риск — организовать контроль за деятельностью и процессами. Однако этого не всегда достаточно: нередко риск требует принятия специальных мер. Различают несколько видов рисков:

• присущий риск — это уровень риска, если не предпринимается никаких действий для изменения вероятности риска или его влияния;
• остаточный риск — это уровень риска, остающийся после принятия минимальных мер по реагированию на риск (как правило, сюда входит контроль за деятельностью и процессами предприятия);
• приемлемый остаточный риск — это уровень риска, равный или ниже допустимого в данной организации и в данных условиях.

Логика снижения уровня риска показана на рис. 1. Как правило, первоочередные меры реагирования на риск — контроль за ходом деятельности и процессами организации. Это снижает присущий уровень риска, но если остаточный риск все же выше, чем приемлемый для организации, то необходимо предусмотреть специальные меры реагирования на риск. В идеале эти меры должны быть достаточными, чтобы уменьшить остаточный риск до приемлемого уровня. Уровень риска, который организация готова принять, называется  толерантностью к риску. Это индивидуальная характеристика: одни организации готовы рисковать чуть больше в надежде получить большую премию за риск, в то время как другие всячески обходят риски стороной.

Рис. 1. Общая логика снижения уровня риска до приемлемого уровня.