Управление рисками это: Система управления рисками в организации и на предприятии

Система управления рисками в организации и на предприятии

Современный деловой мир динамичен. После двух лет междувременья (2014-2015 гг.) постепенно проступают черты новой реальности для перспектив развития бизнеса в России. В условиях сжавшегося рынка и слабого рубля предприятия вынуждены формировать и всемерно развивать свой экспортный потенциал, что потребует дополнительной перестройки менеджмента. В этой связи система управления рисками, которую так или иначе придется создавать предприятиям, может стать ресурсом привлекательности для инвесторов и фактором успеха на внешних и внутренних рынках.

Сущность управления рисками

Данная статья перекликается с материалами статьи на тему организационных аспектов риск-менеджмента на предприятии. Под управлением рисками предлагается понимать совокупность целенаправленных процедур по выявлению, оценке и уменьшению риска до установленных стратегическим выбором значений, предполагающая многоступенчатый процесс реализации.

Экономической целью управления служит уменьшение или компенсация ущерба для организации при возникновении неблагоприятных последствий решений.

В условиях неопределенности хозяйственной деятельности предприятия управление риском представляет собой комплекс регулирования стратегических, тактических, проектных и оперативно-производственных отношений. Комплексный подход имеет ряд преимуществ (ниже размещена соответствующая схема), и с позиции функций управления задействуется практически весь арсенал средств менеджмента, включая компоненты финансового управления, логистики, экономики, учета, продаж и т.д. Комплекс процедур направлен на:

• прогнозирование рисковых событий и их идентификацию;
• обоснование уклонения от риска;
• обоснование допустимости риска;
• минимизацию риска с применением доступной гаммы инструментов;
• устранение причин и последствий рисковых событий;
• адаптацию компаний, выстоявших в кризисный период, к новым условиям хозяйствования;
• защиту от банкротства.

Схема демонстрации преимуществ комплексного подхода к управлению рисками

Неопределенность деятельности слабо коррелирует с масштабами деятельности. Действительно, регулярный менеджмент, который удается развернуть на крупных предприятиях, дает значительную «фору» в сравнении с эмпирическими методами управления в малом бизнесе. Но, во-первых, себестоимость управления резко возрастает, во-вторых, само число факторов риска становится значительно больше. Поэтому с уверенностью можно утверждать, что одним из условий успешности деятельности является исполнение руководством бизнеса, независимо от его размера, антирисковых мероприятий. Другой вопрос, насколько системным является управление рисками?

Объектами управления выступают собственно риск, экономические отношения, сопутствующие вероятным неблагоприятным событиям и рисковые инвестиции. Субъекты управления могут быть рассмотрены как в широком, так и в узком смысле слова. С общей позиции ими выступают все члены коллектива организации, включая руководителей и сотрудников.

В узком смысле субъектами являются специально уполномоченные руководители, сотрудники и подразделения компании. Цели и задачи управления рисками связаны с этапами развития бизнеса и прохождения им стадий жизненного цикла. Схема изменения состава целей управления на этапах деятельности организации и соответствующие им задачи показаны на схеме далее.

Динамика целей и состав задач управления рисками по этапам развития компании

Понятие и содержание систем управления рисками

Система управления рисками (СУР) как совокупность взаимосвязанных элементов, с одной стороны, содержит две подсистемы: управляющую и управляемую. Кроме того, СУР выступает компонентом системы более высокого ранга – общекорпоративного менеджмента и руководствуется предписаниями стратегии организации. С другой стороны, система включает в себя технологический комплекс управления и комплекс организационных средств и структур. Обратите внимание на схему «Здания СУР», представленную далее. В ней отображены основные элементы системы управления рисками.

Схема «Здание СУР» во взаимосвязи технологических и организационных аспектов

Система управления рисками на предприятии – это элемент механизма внутреннего контроля и управления рисками, который является частью общекорпоративного управления, технологическим средством и инструментами, обеспечивающими эффективность функционирования риск-менеджмента. Данная система обеспечивает организационные предпосылки, принципы и структуры для проектирования, внедрения и совершенствования бизнес-процессов управления рисками организации. Таким образом, СУР создает инфраструктуру для риск-менеджмента на регулярной основе.

Обеспечение минимизации уровня неопределенности в отношении достижимости поставленных перед руководством задач, разработка и практическое развитие процессов управления рисками является главной целью СУР. Под указанными задачами рассматриваются результаты, подлежащие достижению согласно стратегии развития, в программах тактического и операционного уровней. СУР служит регламентированному управлению оцененными рисками, а также поддержанию на уровне предпочтительного приемлемого риска интегрального риска компании. Схема взаимосвязи управления интегральным риском с заинтересованными сторонами размещена ниже.

Схема урегулирования конфликта ведущих лиц бизнеса через управление интегральным риском

Система риск-менеджмента, особенно в крупных компаниях, называется корпоративной системой управления рисками (КСУР). Помимо простого расширения аббревиатуры, это, как правило, влечет повышение требований к уровню регламентации деятельности в рамках системы. С позиции решения основных задач в КСУР последовательно выполняются следующие этапы.

1. Диагностика СУР на уровне единиц бизнеса и всей компании.
2. Разработка основных структур КСУР (организационной, информационной, финансовой и т.п.).
3. Создание регламентационного и методологического обеспечения КСУР.
4. Структуризация баз данных по выявленным рискам и состоявшимся рисковым событиям.
5. Разработка механизмов мониторинга и отчетности по возникшим событиям.
6. Выявление, идентификация и оценка рисков, составление плана по их минимизации и компенсации.
7. Формирование карты рисков.
8. Интеграция процедуры актуализации карты в процесс бизнес-планирования.
9. Анализ и оценка фактов реагирования на рисковые события.

Специфика стандартизации управления рисками

Системы управления рисками на отечественных предприятиях строятся на основе достаточно слабо адаптированных к нашим реалиям западных стандартов. Я не рассматриваю здесь опыт банков и страховых компаний. Представляется, что в данном секторе экономики точка невозврата пройдена и темпы развития риск-менеджмента и поддерживающих их СУР можно считать удовлетворительными. Интересует, на что могут опереться российские компании, в первую очередь, производственного сектора, чтобы достаточно оперативно нарастить свой потенциал управления рисками? Для этого нужно коснуться истории развития системного подхода к риск-менеджменту в мире и в нашем государстве.

Схема мировой истории развития стандартов в области управления рисками

Состав действующих национальных и международных стандартов в области риск-менеджмента

Выше представлены схема истории стандартизации и состав действующих стандартов в области риск-менеджмента в мире. Очевидно, что для того чтобы российское предприятие удовлетворяло запросам инвесторов и вызывало доверие на международной арене, подход к построению КСУР должен быть, по крайней мере, близок к мировым стандартам. И чтобы удовлетворить требования биржевых торговых площадок, международного и российского корпоративного законодательства, сама система должна быть прозрачна и понятна для компетентного заинтересованного лица.

Модель управления рисками COSO ERM не является стандартом и представляет собой глубокую методологическую разработку. Поэтому куб COSO трудно обойти вниманием и не акцентировать его основные постулаты. Ниже представлены две схемы, дающие обзорную картину данной концепции. В модели:

• определены основные понятия системы внутреннего контроля;
• подробно описаны основные компоненты процесса управления рисками;
• представлена интегрированная модель управления рисками в кубической визуальной форме;
• выработаны принципы настоящей системы управления;
• сформулированы функции и обязанности участников процесса управления рисками;
• описан собственно процесс управления;
• даны рекомендации внешним и внутренним заинтересованным сторонам в обеспечении успешного функционирования СУР в компаниях.

Основные компоненты модели управления рисками COSO ERM

Компания всегда остается один на один со своими рисками и на внутренних рубежах занимает оборону от угроз и последствий их воплощения. Регулятивные органы также занимают свое место на «дальних подступах к фронту боевых действий». И поддержка регуляторов, безусловно, нужна бизнесу. Другое дело, что отечественные стандарты представляют собой «кальку» с западных аналогов. При этом нужно понимать, что реальная практика общей массы фирм в развитых странах ушла далеко вперед в силу более длительной истории и другого уровня управленческой культуры. Тем не менее, в качестве базиса предоставляемые регуляторами ресурсы полезны для старта внедрения КСУР.

Схема состава регуляторов, определяющих требования к СУР

Алгоритм построения КСУР в компании

Мы с вами помним аксиому, что менеджмент и его компоненты находятся в связке со стратегией компании. Она определяет принципы управленческой деятельности и основные акцентные точки. Специфика управления рисками состоит в том, что локальная стратегия работы с рисками подвергается серьезной корректировке в середине процесса управления. Для построения СУР важен опыт компании в практическом применении финансово-экономической теории, налогового и гражданского права, внешних нормативных актив и стандартов.

Внутренние и внешние опоры построения СУР в компании

Построение системы управления рисками по модели, которая предлагается ниже, основано на опыте российских компаний с ориентиром на методику COSO. Данная модель подразумевает следующие этапы алгоритма.

1. Анализ среды. В первую очередь анализируют элементы внешней среды (деятельность ЦБ РФ, Госдумы, Минфина, ФНС и т.д.), предпринимательскую среду, конъюнктуру рынка, ресурсы предпринимательской деятельности. Все это создает внешние факторы риска.
2. Установление заказчика процессов управления рисками. От этого зависит успех внедрения КСУР. Очень часто в российских компаниях заказчиком выступает финансовая служба, что связано с доминирующей ролью финансовых рисков функционирования компании. Заказчиком в ряде случаев выступает генеральный директор, и особенно ценно, если его начинания поддерживаются позицией основных акционеров.
3. Определение организационной структуры управляющей подсистемы. Система может управляться специально выделяемым специалистом или руководителем обособленного подразделения, который координирует различные направления: рисковых вложений, страховых операций, венчурных инвестиций. Такое организационное построение носит название концентрированной модели. Вторым вариантом организации СУР может выступать распределенная модель управления рисками.
4. Разработка регламентирующей документации системы: политики управления рисками, положения (концепции) по управлению рисками, декларации о рисках. Политика служит основным документом КСУР, она находится в общем доступе на корпоративном портале.
5. Разработка и корректировка корпоративной карты рисков. Здесь циклически реализуются мероприятия по выявлению, идентификации и оценке рисков компании.
6. Выработка стратегии управления рисками. В стратегии, помимо принципов выбора методов работы с рисками, механизмов их финансирования, особое место занимают показатели эффективности СУР и распределение зон ответственности между управляющей компанией и единицами бизнеса.
7. Собственно реализация программы минимизации и компенсации рисков.
8. Разработка процесса оперативного регулирования рисков.
9. Регулярный аудит КСУР.
10. Внедрение процедур информирования об изменениях в КСУР.
11. Создание и развитие систем контроля и мониторинга.
12. Внедрение процедур сохранения и архивирования информации, генерируемой в системе.

Принципы реализации СУР

Принципы функционирования СУР в компании определяют также процессы ее внедрения и развития. Данные принципы подлежат соблюдению руководителями, ответственными за исполнение процедур системы специалистами и всеми сотрудниками компании.

1. Принцип ориентации на цели. Цели прописаны в стратегических документах компании: в стратегиях развития, плане стратегических мероприятий, корпоративных картах, бизнес-планах.
2. Принцип балансировки рисков и прибыли. СУР должен способствовать балансу между риском и доходностью (прибыльностью) бизнеса с учетом требований законодательных актов и положений внутренних регламентов.
3. Принцип учета неопределенности. Неопределенность присутствует в любой бизнес-деятельности и является неотъемлемой частью принимаемых в компании решений. СУР служит систематизации сведений об источниках (факторах) неопределенности и содействует ее снижению.
4. Принцип системности. Системный подход позволяет вовремя и полноценно выявить, идентифицировать и оценить риски, снизить их негативные последствия или компенсировать влияние на результаты деятельности.
5. Принцип качественной информации. Для функционирования СУР требуется своевременная, безопасная и точная информация. При принятии решений, тем не менее, нужно учитывать ограничения и допущения источников сведений, возможную субъективность позиции экспертов и особенности используемых методов оценки и моделирования рисковых ситуаций.
6. Принцип закрепления ответственности за управление рисками. Вводится понятие «владелец риска», этот статус присваивается одному из руководителей компании. Ему придается ответственность за соответствующие процедуры управления в пределах приданных полномочий и функционального состава.
7. Принцип эффективности. СУР должна обеспечивать разумное и экономически обоснованное сочетание результативности управления и расходов на его организацию и производство.
8. Принцип непрерывности. СУР функционирует в условиях регулярности (цикличности) основных процессов и их непрерывности. Процессы системы берут начало в момент разработки стратегии компании и охватывают все области ее деятельности.
9. Принцип интеграции. Система принятия решений на всех уровнях управления должна включать в свой состав предметную сферу СУР. Решения вырабатываются и утверждаются с учетом обстоятельств и вероятности возникновения неблагоприятных последствий, связанных с их принятием.
10. Принцип расширенности. СУР предполагает выявление, оценку и урегулирование всех возможных угроз деятельности, не ограничиваясь только финансовыми и страхуемыми рисками. По трем последним принципам далее представлены схемы их основных элементов.

Состав процедур принципа непрерывности СУР

Состав процедур принципа непрерывности СУР

Схема основных элементов принципа расширенности СУР

Оценка компании на предмет управления рисками

Что делать компании, если она только задумывается о внедрении СУР или, если элементы системы уже присутствуют, но непонятно, как и в каком направлении двигаться дальше? Специалисты рекомендуют в таком случае выполнить анализ системы управления рисками на предприятии с целью определить ее сильные и слабые стороны и пути дальнейшего развития.

Действующим и потенциальным заинтересованным сторонам в деятельности компании и в инвестировании в нее очень полезно было бы узнать о реальном состоянии дел с позиции регулярного риск-менеджмента. Консалтинговая группа KPMG в 2015 году проводила исследование «Практика управления рисками в России», в котором к 48 респондентам обратились с вопросом о проведении диагностики СУР. Результаты ответов представлены на диаграмме далее.

Результаты опроса 48 компаний России о диагностике СУР. Источник: KPMG Россия. 2015

В исследовании отмечается, что в большинстве своем оценка системы проводится силами внутреннего аудита. Многие компании проводят диагностику силами других внутренних подразделений. Например, ответственность за эту работу возлагается на риск-менеджера или на подразделение, которое координирует функционирование СУР в компании. Значительная часть компаний приглашают консультантов. В основном это крупные компании и организации с участием иностранного капитала.

В любом случае, оценку системы проводить нужно и достаточно регулярно. Лучше, если диагностические мероприятия проводятся в независимом режиме, объективности больше. Однако на первых порах можно начать с процедуры самооценки. Это полезно и просто. Я бы предложил руководителю компании, начинающей работу в данном направлении, провести тестирование риск-менеджмента. Собрать совет директоров или правление, пригласить на него несколько перспективных и опытных специалистов, которые «болеют» за бизнес, и в режиме групповой работы заполнить размещенную ниже таблицу.

Таблица самооценки риск-менеджмента в компании

Выполните следующую инструкцию по работе с таблицей.

1. Разбейте собравшихся руководителей и специалистов на четыре группы.
2. Каждой группе выдайте пустой бланк таблицы.
3. Попросите каждую группу перечислить пять наиболее важных рисков, с которыми сталкивается компания.
4. Предложите участникам оценить каждый риск по 10-ти бальной шкале по критерию важности.
5. Попросите оценить эффективность управления каждым из рисков.
6. Соберите таблицы, поручите секретарю составить единый перечень рисков и подсчитать уровень разрыва для них в виде разницы между важностью и эффективностью.
7. Если ответы у групп будут существенно отличаться, то рисков вероятно окажется значительно больше, чем можно было себе представить.

Современное состояние управления рисками в России

В условиях современных российских реалий, к сожалению, говорить о создании полноценной системы риск-менеджмента на малых предприятиях пока не приходится. Речь можно вести о крупных компаниях и части бизнеса среднего масштаба, но уже имеющего развитые элементы регулярного менеджмента. Надо понимать, что у нас часто риск-менеджмент прорастает поэлементно, по назревшей потребности (например, имеются техногенные угрозы, экологические риски, постоянные потери, возникающие при транспортировке грузов). На Западе превалирует интегрированный подход к созданию СУР, в нем управление выстраивается для всей гаммы факторов риска. При этом методики внедрения и архитектура системы носят унифицированный характер.

В России несколько иначе. Допустим, институт страхования рисков исторически сложился в компании, и он начинает обрастать дополнительными «опциями», постепенно расширяясь в спектре работы с рисками. И в какой-то степени «велосипед изобретается заново» по уникальному алгоритму. Я не беру во внимание компании с участием иностранного капитала или бизнес олигополий или монополий. В них реализуется подход как раз с западной рисковой культурой. К сожалению, на отечественных предприятиях недостаточно реализуется принцип комплексности СУР. Этому много причин.

1. Первая, и, пожалуй, главная причина кроется в слабом осознании владельцами изменившейся среды бизнеса. Отдача от проектов внедрения СУР ими не ощущается в полной мере. Но ситуация быстро меняется, нужно выходить на внешние рынки. Это означает, что без реально работающих систем риск-менеджмента наши предприятия быстро проиграют конкуренцию. Владельцы бизнеса и топ-менеджмент уже начинают это понимать.
2. Вторая причина лежит в относительно высоких и длительных расходах на развитие систем управления рисками, которые имеют большой период окупаемости. Это в условиях продолжительной кризисной ситуации в экономике не способствует выделению соответствующих бюджетов. Однако эффективность СУР, к счастью, нетрудно рассчитать. Достаточно собрать статистику потерь от реализованных угроз за последние несколько лет и отследить динамику их изменений. Необходимо вычесть из суммы снижения потерь расходы на внедрение системы и эффект станет очевиден. Этот простой расчет может быть положен в основу KPI для руководителя отдела и риск-менеджеров, стать интересным стимулом для прямой мотивации сотрудников.

Управление рисками – не первый и не последний компонент системы менеджмента компании, который предстоит российскому бизнесу интегрировать в сферу своей регулярной деятельности. Конечно, это происходит непросто и не так быстро, как хотелось бы. Однако события развиваются своим чередом, и особых альтернатив у нас нет. Регуляторам хочется пожелать на базе международного опыта и национальных стандартов сделать хороший шаг вперед и разработать действительно добротную отечественную методику, подобную COSO. Бизнесменам же я желаю, считая экономику, смелее внедрять КСУР, не боясь экспериментировать. Это эффективно.

Управление рисками в бизнесе — это шансы на успех

Риск — это часть нашей повседневной жизни. Мы рискуем, чтобы выиграть, чтобы обеспечить себе будущее. В глобальном смысле риск является одним из факторов развития человечества. Если мы не рискуем, то стоим на месте.

 

Но что же такое РИСК? Слово риск всем знакомо, на европейских языках звучит практически одинаково. Его стали часто употреблять специалисты в разных сферах. Как правило, в негативном смысле. Но значит ли, что риск — это всегда опасность и всегда что-то плохое? Можно ли его обратить себе на пользу, можно ли им управлять?

 

Сегодня мы говорим не о повседневном риске каждого человека, связанным с пользованием газом, спичками, ездой на велосипеде или автомобиле; не о биологическом понимании риска, связанном с опасностью, стрессами и т.п., а о рисках в деятельности нефинансовых организаций и предприятий.

 

Все, что связано с рисками в деятельности компаний, обычно называют риск-менеджментом, или говоря по-русски, управлением рисками. Это выявление рисков, их анализ и оценка, воздействие на риски или защита от них.

 

Несмотря на то, что Управление рисками широко применяется в мире уже более 20 лет, в России риск-менеджмент не популярен и практически не известен собственникам и топ-менеджерам малого и среднего бизнеса. Исключение составляют крупнейшие корпорации России, в которых есть системы управления рисками.

 

Единого определения у понятия риск нет, и это связано с тем, что оно используется в самых разных сферах деятельности – в бизнесе, в науке, в повседневной жизни.

 

Если говорить о деятельности компании, то риск — это неопределенное внешнее или внутреннее событие, влияющее на достижение целей компании. Что важно подчеркнуть — каждый риск имеет понятные причины и последствия. 

 

 

 

Риск характеризуют два параметра — ущерб, который может возникнуть в результате события, и вероятность того, что это событие произойдет.

 

Самое главное в начале разговора о риске — это необходимость разделить понятия НЕОПРЕДЕЛЕННОСТЬ и РИСК.

 

Символом риска для большинства людей является рулетка и кости (кубики). 

 

 

                         

Но это не так. Рулетка и кости — это символ неопределенности. А риск нельзя приравнивать к ней.

 

Неопределенность связана с будущим, которое в принципе непредсказуемо, а также с альтернативами и выбором.

 

Риск связан с неопределенностью, но считается, что риск возникает у человека или субъекта принимающего решение.

 

Как говорится, риск в глазах смотрящего!

 

 

 

Приведем простой пример неопределенности в нашей жизни. Какой будет курс евро через неделю? Мы можем угадать, но абсолютно точно мы этого не знаем. Но есть ли для нас риск в том, какой будет курс, и в чем он заключается?

1. 1) Если вы никак не связаны с данной валютой – не собираетесь покупать или продавать евро, экспортировать или импортировать продукцию, например, в Европу, то у вас нет риска, связанного с курсом евро.

1. 2) Но если вы планируете через неделю купить, допустим, 1000 евро, то Ваш риск заключается в том, что курс валюты пойдет вверх.

1. 3) Если же вы планируете, наоборот, продать 1000 евро, то Ваш риск в том, что курс валюты пойдет вниз.

 

Отсюда мораль — неопределенность объективна, а риск зависит от точки зрения.

 

Исследования говорят, чем более неопределенная ситуация для человека, тем более неправильное решение он примет!

 

Концепция, что рисками в бизнесе можно управлять, бурно развивалась во всем мире с конца ХХ века и на сегодня мы имеем парадоксальный результат. Ведущие риск-менеджеры и в России, и в мире говорят о том, что риск-менеджмент с его методами, разработанными 20-30 лет назад, устарел полностью, и требуется ребрендинг риск-менеджмента. Т.е. нужно не управлять рисками, а говорить о шансах на успех. Наиболее продвинутая концепция сегодня состоит в том, что управление компанией должно быть риск-ориентированным. Или иначе — предприниматели и управленцы должны принимать свои ключевые решения с учетом рисков.

 

Но возникает вопрос — а для чего предпринимателям, топ-менеджерам тратить силы, время и средства на какое-то управление рисками?

 

Этот вопрос, эта тема особенно актуальна в период кризиса, так как анализ рисков (а это и угроза, и новая возможность) становится и условием выживания компании, и важным конкурентным преимуществом в условиях неопределенности и непредсказуемости внешней среды.

 

Сама жизнь предоставила один из лучших кейсов о целях, задачах и эффекте от управления рисками. Простое и понятное обоснование мер по управлению рисками от В.В.Путина (диалог Президента с Потаниным 05 мая 2020г. по поводу ЧП в Норильске). Лучше потратить несколько миллионов и предотвратить ЧП, чем потом тратить десятки миллиардов на компенсацию убытков, уплату штрафов. (https://www.youtube.com/watch?v=CX3vESHS94A).

 

 

 

Одна из проблем состоит в том, что в обычной деятельности руководители компаний считают, что они знают все свои риски и у них все под контролем. Но оказывается 95% рисков мы не видим. Не хотим видеть и не можем видеть по самым разным причинам. Больше того, управление рисками противоречит человеческой природе!

 

Это явление выявлено и хорошо изучено достаточно новой наукой «поведенческой экономикой» и называется когнитивные искажения или проще — ментальные ловушки.

 

Т.е. интуитивным образом управлять рисками в деятельности своей компании не получится. Но хорошая новость на сегодня состоит в том, что никаких специфических знаний для управления рисками (защиты от рисков) не нужно. Нужны лишь практические инструменты и работающие методы.

 

В управлении рисками достаточно много инструментов и методов для самых разных ситуаций и условий. Выбор зависит от желания их применять, готовности компании к внедрению (например, наличия финансовой модели бизнеса), корпоративной культуры.

 

1. A.  Для неискушенных людей управлять рисками — это значит понимать, что есть ментальные ловушки при выявлении рисков, что есть так называемые качественные методы работы с рисками. По большому счету, на этом этапе достаточно простого снижения неопределенности при принятии какого-нибудь важного решения способом, доступным для понимания не статистиков.

1. B.  Для людей, знающих как принимаются управленческие решения, понимающих что такое корпоративные финансы и теория вероятности — это использование деревьев решений, других не очень сложных количественных методов и применение программного обеспечения в виде специализированных надстроек в обычном Excel.

1. C.  Для искушенных профессионалов, которые на ТЫ с математической статистикой, теорией вероятности, финансовыми моделями и поведенческой экономикой, управление рисками — это имитационное моделирование с использованием количественных методов (например, метод Монте-Карло), применение результатов нейроэкономических исследований, использование специализированных программ.

 

В любом случае, управление рисками — это и важный элемент корпоративного управления, и, самое главное, это практический инструмент принятия взвешенных и осознанных решений руководителями и сотрудниками организации. 

 

Сегодня часто можно услышать вопрос — ну и зачем нам управление рисками в компании, если риск-менеджеры не способны предсказать появление короновируса, пандемии и кризис в связи с этим?

 

На самом деле «пандемию» более правильно рассматривать не как риск, а как фактор для реализации других рисков (в частности, риски непоставки сырья и комплектующих, кадровые риски, неплатежи контрагентов и прочие). Крупные компании, которые видели эти риски заранее и предприняли заранее действия для минимизации этих рисков, существенно снизили последствия от «пандемии». Риск-менеджмент теперь стал более востребован!

 

Управление рисками не является средством от всех болезней и не является универсальной палочкой-выручалочкой, которая спасает от всех неприятностей и непредсказуемости нашей переменчивой жизни. Но риск-менеджмент может «подсветить», указать проблемные точки, расставить приоритеты. Подготовить компанию заранее к неожиданным события, учесть все риск-факторы, разработать антикризисные сценарии, особенно проработать план действий по обеспечению непрерывной деятельности в случае маловероятных, но критичных угроз.

 

По существу, суть риск-менеджмента в обеспечении непрерывности бизнеса при любых непредвиденных причинах. Да, в условиях пандемии управление компанией стало антикризисным, но это не должно быть неожиданностью, это должно быть проработано заранее! Должны уже быть планы реагирования на редкие события. Примером положительной работы с биологическими рисками (а они, по существу, стоят в одном ряду со стихийными бедствиями, пожарами, технологическими авариями и даже военными конфликтами) является опыт работы транснациональных компаний. Они работают в разных регионах планеты, в разных странах и у них есть заранее разработанный протокол на каждый подобный случай. Поэтому в экстренной ситуации не приходится действовать интуитивно в условиях нехватки времени, а работать по плану выхода из кризисной ситуации.

 

Управление рисками — это не предсказание и не прогнозирование. Это настрой на готовность к разного рода неопределенностям и умение вовремя отреагировать, чтобы выйти из ситуации с минимальными потерями или без них. И достичь поставленных перед компанией целей.

 

Владимир Здунов

 

Об авторе

 

Владимир Здунов — к.э.н., AT31000 — сертифицированный тренер по управлению рисками.

 

Более 20 лет руководства финансово-экономическими службами промышленных предприятий и банков, 24 года преподавательской деятельности.

 

Как эксперт-аналитик, готов дать комментарии по следующим профилям:

1. Проблемы принятия решений в условиях неопределенности;
2. Проблемы выявления, оценки и управления рисками в организации;
3. Современные концепции риск-менеджмента.

Проводит семинары по темам:

1. Повышение эффективности компании: риск-ориентированное управление организацией;
2. Встраивание риск-менеджмента в процессы принятия ключевых решений, бизнес-процессы и корпоративную культуру компании;
3. Разработка полного пакета документов для риск-менеджмента в организации.

О концерне

Для эффективного управления и устойчивого развития Госкорпорации «Росатом» решением ее руководства несколько лет назад была начата работа по формированию Корпоративной системы управления рисками (КСУР), предполагающей интеграцию накопленного входящими в Госкорпорацию «Росатом» организациями опыта управления рисками в общекорпоративную систему, обеспечивающую комплексное управление техническими, технологическими, операционными, инвестиционными и другими рисками.

Основной принцип Корпоративной системы управления рисками Госкорпорации «Росатом» — это встроенность в существующие процессы управления, в первую очередь – стратегическое и среднесрочное планирование, бюджетирование и инвестиционное планирование.

 

ОСНОВНЫМИ ЦЕЛЯМИ И ЗАДАЧАМИ РАЗРАБОТКИ ОБЩЕКОРПОРАТИВНОЙ ПОЛИТИКИ

ПО УПРАВЛЕНИЮ РИСКАМИ ЯВЛЯЮТСЯ:

• поддержка реализации стратегии Госкорпорации «Росатом» посредством управления рисками;

• своевременная идентификация возникающих рисков, оценка и минимизация угроз, способных повлиять на результаты деятельности Госкорпорации «Росатом» и ее организаций;

• внедрение процедур постоянного мониторинга и оповещения о рисках;

• определение владельцев рисков и их ответственности;

• интеграция процесса управления рисками в процессы принятия управленческих решений для оптимального использования ресурсов через управление балансом риска и доходности;

• оказание информационной поддержки руководству и работникам Госкорпорации «Росатом» и ее организаций для принятия управленческих решений, а также определения возможностей для оптимизации процессов риск-менеджмента.

Деятельность Концерна в области управления рисками направлена на обеспечение достижения стратегических целей с помощью интеграции процесса управления рисками в процессы принятия управленческих решений.

В силу специфики деятельности Концерн также особое внимание уделяет рискам ядерной, радиационной, технической и пожарной безопасности, физической защиты АЭС.

В дальнейшем Концерн планирует продолжить работу, направленную на совершенствование системы управления рисками.

«Управление рисками: необходимо для выживания» — Энергетика и промышленность России — № 17 (373) сентябрь 2019 года — WWW.EPRUSSIA.RU

Газета «Энергетика и промышленность России» | № 17 (373) сентябрь 2019 года

Понимая, что проще предупредить, чем исправлять последствия, многие компании встроили управление рисками в свою деятельность и активно развивают это направление. Не являются исключением организации, работающие в сфере энергетики.

Главное – постоянство и систематичность

– Создание системы управления рисками становится обязательным «гигиеническим» действием для любой компании, имеющей дело с долгосрочными инвестициями. Для компаний энергетического сектора с его высокой волатильностью и большой капиталоемкостью это просто необходимо для выживания, – уверена директор Центра энергетики Московской школы управления СКОЛКОВО Татьяна Митрова. – Не буду перечислять все риски – это довольно большой список, но особо выделю две группы: конъюнктурные (ценовые), которые в последние пять лет стали заметными для энергокомпаний, особенно для экспортно-ориентированных; и климатические, которые пока мало осознаны и недооцениваются как в России, так и за рубежом, но, судя по всему, в ближайшее время станут ведущими.

– Энергетическая отрасль является одним из стратегических направлений мировой безопасности, обеспечивает непрерывную работу промышленности, транспорта, коммунальных систем и служб, – добавляет партнер практики стратегии и операционной эффективности Althaus Group Герман Шеховцев. – Рост потребления влечет изменение структуры генерации, производства энергии и тепла, а также уплотнение компаний-поставщиков, дробление рынка и, как следствие, возрастание конкуренции. В таких условиях основой успеха и эффективности компании становится грамотное управление и распределение ресурсов – это то, что обеспечивает развитие отрасли, но также существует то, что обеспечивает само существование энергетики, ее жизнеспособность – безопасность и управление рисками.

По мнению эксперта, главным риском в энергетике остается риск отключения электроэнергии или тепла (особенно в зимний период).

– Реализация данного риска происходит по нескольким причинам, разделяемым по приоритетам. Первое – это сбой оборудования. Прогрессирующий износ производственных фондов, изменение инвестиционной политики и механизмов реконструкции и обновления производственных баз, нарастание объема изношенного оборудования. Без должного внимания это может привести к катастрофическим последствиям.

К тому же конъектура энергетической отрасли постоянно изменяется, на сегодняшний день ее основой является система высокотехнологичных устройств, обеспечивающих генерацию, транспортировку, учет распределения и потребления энергоресурса в режиме реального времени – перечисленные составляющие угрозы приобретают более высокую значимость в управлении рисками, – комментирует он. – Вторая причина – человеческий фактор.

Ошибки персонала могут повлечь за собой как урон финансовому благополучию отдельной компании, так и отключение энергии у массы потребителей. Более того, ошибки или халатность при обслуживании систем, ремонте или эксплуатации в конечном итоге могут иметь разрушительные последствия.

Третья – природные катаклизмы. За примерами далеко ходить не нужно – японская Фукусима, взрыв на АЭС, последовавший вслед за мощнейшим землетрясением и цунами. В результате помимо отключения от энергии большого числа потребителей в воздух и воды проникли зараженные радиацией вещества.

И четвертая причина – терроризм, который может быть не только физическим, как воздействие на объект генерации, но и информационным, в виде кибератак, реконфигурации мощностей, умышленного прерывания транспортировки ресурсов. Пути проникновения в систему компании могут быть различными, помимо похищения информации в результате взломов сервера, информация подвергается угрозе со стороны контрагентов, ведущих работу с инфоресурсами.

В целях защиты информации компаниям настоятельно рекомендуется внимательно относиться к информационной безопасности, использовать последние решения в области антивирусного программного обеспечения, следить за корпоративными сетями, привлекать квалифицированных специалистов, внимательно подбирать и контролировать действия подрядчиков.

Татьяна Митрова убеждена: система управления рисками должна быть именно системой, а не набором спорадических телодвижений. Постоянство и систематичность – вот основные ключи к успешному управлению рисками: это не антикризисный менеджмент.

– У меня сложилось впечатление, надеюсь, обманчивое, что в России практика управления рисками пока находится в зачаточном состоянии. По крайней мере, у большинства компаний. Так что, разумеется, нам необходимо как можно быстрее учиться и перенимать зарубежный опыт, – подчеркивает Татьяна Митрова.

Ориентир на лучшие мировые практики

Что ж, дадим слово самим компаниям.

В Группе компаний АО «Центрально-Азиатская Электроэнергетическая Корпорация» (ЦАЭК) система управления рисками и система внутреннего контроля находятся в стадии активной реализации согласно лучшим международным практикам. Поэтапно внедряются риск-ориентированные подходы при принятии управленческих решений. На данном этапе проанализированы и даны рекомендации по двадцати бизнес-процессам (8 из них – бизнес-процессы финансового учета, 12 – бизнес-процессы операционной деятельности).

Как рассказала директор департамента рисков и внутреннего контроля казахстанской компании АО «Центрально-Азиатская Электроэнергетическая Корпорация» Айжан Станбаева в ходе XIII конференции «Корпоративные системы риск-менеджмента», благодаря системе внутреннего контроля в Группе компаний АО «ЦАЭК» достигнуто несколько поставленных задач. Во-первых, проведен реинжиринг процессов дочерних организаций, в результате чего внедрены автоматизированные системы, позволившие снизить риски в бизнес-процессах и усилить контроль. Это новая биллинговая система в сбытовых организациях, автоматизированная система управления процессом технического присоединения, мобильное приложение для контроля объема трудозатрат на ремонт и обслуживание электроустановок.

Во-вторых, улучшилось качество обслуживания потребителей: созданы комфортные условия, работает система электронной очереди в целях обеспечения качественного и быстрого обслуживания.

В-третьих, снижены риски травматизма и несчастных случаев. В компании проводится постоянная работа по созданию безопасных условий труда, предупреждению травматизма и улучшению производственных условий труда работников. В частности, организованы взаимные аудиты по требованиям техники безопасности между дочерними предприятиями, ужесточены требования к подрядным организациям в части соблюдения техники безопасности и правил охраны труда. Также организованы видеоинструктажи по правилам техники безопасности для сотрудников и подрядных о­­­­­­­­­­­­­рганизаций, установлены требования по соблюдению правил дорожного движения на территории производственных предприятий. Кроме того, установлены видео­регистраторы на касках производственного персонала, проводятся мотивационные мероприятия для повышения культуры соблюдения техники безопасности и правил охраны труда среди населения. Также среди достигнутых результатов можно отметить унификацию многих бизнес-процессов в дочерних организациях холдинга.

– Работа над улучшением системы управления рисками и системы внутреннего контроля в «ЦАЭК» продолжается. Снижение рисков – актуальная задача, поскольку энергетический бизнес сталкивается с новыми вызовами, требующими своевременных решений, в том числе новых подходов в части риск-менеджмента, – уверена Айжан Станбаева.

СУР как инструмент для принятия сбалансированных решений

Компания «Россети Московский регион» (ПАО «МОЭСК») отмечает, что за последние десятилетия управление рисками превратилось в неотъемлемую часть эффективного ведения бизнеса. Риск-ориентированный подход помогает в достижении стратегических и операционных целей в области производства, финансов, безопасности. Риск-менеджмент в электроэнергетике особенно важен, поскольку от надежности и эффективности работы энергокомпаний во многом зависит развитие экономики страны.

Формирование системы управления рисками (СУР) в компании «Россети Московский регион» (ПАО «МОЭСК») осуществлялось с 2010 года. Так, в Обществе была утверждена политика управления рисками, определены риск-координаторы по основным направлениям деятельности, разработаны паспорта рисков, внедрена практика формирования и рассмотрения отчетности об управлении рисками.

В 2014‑2015 годах в МОЭСК, как и во всей группе компаний «Россети», произошла «перезагрузка» СУР. Основным результатом стала ее интеграция в процесс бизнес-планирования. Была сформирована нормативно-методическая база, совет директоров определил ключевые риски компании и распределил ответственность в части управления ими между всеми уровнями корпоративного управления. Совершенствование системы управления рисками продолжается и сегодня – уже как прикладного инструмента принятия управленческих решений в Обществе.

Сегодня наиболее значимыми рисками, влияющими на финансовые результаты компании, являются сдерживание со стороны государства темпов роста тарифов, снижение спроса на электроэнергию, рост затрат на потери электроэнергии при передаче, рост просроченной дебиторской задолженности.

Безусловно, для энергетических компаний по‑прежнему актуальны и риски, связанные с технологическими нарушениями, авариями на энергообъектах и отключениями потребителей. А также риски травматизма работников компании и сторонних лиц в электроустановках. Кроме того, в последние годы все большее значение приобретают риски информационной безопасности, напрямую связанные с надежностью энергоснабжения.

Воздействие на риски осуществляется как путем качественного и своевременного выполнения структурными подразделениями своих повседневных задач, так и за счет специальных мероприятий и программ по отдельным направлениям. Примерами могут послужить:

• План мероприятий по управлению рисками снижения чистой прибыли,
• Программа по снижению потерь электроэнергии,
• Комплексная программа по снижению рисков травматизма персонала,
• Программа по замене неизолированных проводов на ВЛ 0,4‑10 кВ на самонесущие изолированные провода (СИП),
• Программа реновации электросетевого оборудования и др.

Устойчивое развитие компании в долгосрочной перспективе предполагает внедрение цифровых технологий, увеличение нетарифной выручки за счет развития услуг в области энергоснабжения, внедрение системы антимонопольного комплаенса и развитие политики в области противодействия коррупции, совершенствование организационно-штатной структуры.

В настоящее время можно с уверенностью сказать, что управление рисками – неотъемлемая часть функционирования компании, система управления рисками интегрирована во все основные сферы деятельности Общества. Организационное и методологическое сопровождение СУР осуществляется специализированным подразделением – Дирекцией контроля и рисков, основными задачами которого являются:

• организация оценки ключевых рисков, анализ и систематизация полученных от профильных подразделений данных и представление информации о рисках менеджменту,
• обеспечение разработки мероприятий по снижению рисков и контроль их исполнения,
• адаптация методологии риск-менеджмента под актуальные потребности компании.

Особое внимание уделяется качеству и достоверности оценки рисков и анализу каждого значимого фактора, поскольку это обеспечивает более качественное планирование ключевых показателей деятельности компании и позволяет разработать более эффективные мероприятия по воздействию на риски.

Для эффективного участия в управлении рисками крупной компании риск-менеджерам требуется поддерживать уровень профессиональных компетенций. Работники Дирекции контроля и рисков регулярно проходят обучение – как в области внутреннего контроля и риск-менеджмента, так и по отраслевым дисциплинам. Не менее важен и обмен опытом и знаниями с коллегами в рамках семинаров и конференций.

– На сегодня руководство компании осознает практическую ценность системы управления рисками и пользуется ею для принятия сбалансированных, обоснованных решений. Для риск-менеджеров компании это настоящая оценка качества проделанной работы и стимул к развитию, – отмечает директор по контролю компании «Россети Московский регион» Александр Ульянов.

«Точка роста» для снижения травматизма

Еще один риск, актуальный для компаний энергетического профиля, обозначает технический эксперт Группы компаний «Энергоконтракт» Иван Галунов. Предприятия, эксплуатирующие электроэнергетические установки, аттестуя рабочие места при проведении спецоценки условий труда, акцентируют внимание на основных потенциальных рисках, предупреждении профзаболеваний.

– При проведении аттестации оценивается наличие различных опасных факторов, таких, как химический, биологический, воздействие электромагнитных полей, опасность поражения электрическим током, но вероятность получения ожоговой травмы не учитывается, так как она не регламентирована как отдельная категория опасных факторов, – комментирует эксперт. – Для устранения данного пробела требуется уточняющий документ, который бы регламентировал этот важный нюанс при проведении оценки рабочих мест сотрудников, занятых в области электроэнергетики и обслуживающих энергетические установки.

Вероятное значение термического воздействия электрической дуги нужно просчитывать и на основании полученных результатов определять, с каким уровнем защиты СИЗ должны получать энергетики. В таком случае уровень защиты будет определяться не произвольным образом, а выбор СИЗ будет исходить из реальной потребности, а не из минимального бюджета, как, к сожалению, иногда бывает.

Сейчас без детальной оценки риска работодатель может закупить СИЗ с минимальным уровнем защиты, что не будет противоречить типовым нормам. А в реальных условиях это хоть и позволит снизить уровень термического воздействия, но не будет гарантий, что этого окажется достаточно, чтобы сохранить человеку жизнь.

Несмотря на то что сейчас нет четкого регламентирующего документа по расчету термических рисков, мы, как разработчик и поставщик дугостойких комплектов, делаем такие расчеты на основании практик, которые существуют в других странах. Это позволяет более точно оценить риски, но, к сожалению, так делают не все. Повторюсь, официальной методики в нашей стране пока не принято, что, по нашему мнению, является «точкой роста» при снижении уровня травматизма.

Также вызывают вопросы «нестыковки» в нормах выдачи для разных отраслей, и получается, что люди, обслуживающие идентичное электрооборудование, допустим, на химическом заводе и на электростанции, получают СИЗы в различных комплектациях, поскольку один работает в сфере химической промышленности, другой – в электроэнергетике.

– Конечно, данные проблемы волнуют профессиональное сообщество. Для их решения нужны не только меры на уровне министерств, но и проведение соответствующих исследований и анализ мировых практик. Поэтому хотелось бы, чтобы при проведении спецоценок условий труда риски термического поражения не оставались без внимания, – резюмирует Иван Галунов.

Управление рисками — Microsoft Service Assurance

• 13.09.2021
• Чтение занимает 2 мин

В этой статье

Как Корпорация Майкрософт оценивает и управляет рисками на предприятии?

Управление рисками — это процесс выявления, оценки и реагирования на угрозы или события, которые могут повлиять на цели компании или клиента. Управление рисками в корпорации Майкрософт предназначено для прогнозирования новых угроз и обеспечения постоянной защиты для наших облачных систем и клиентов, которые их используют.

Управление рисками Корпорации Майкрософт соответствует Enterprise управления рисками (ERM). ERM обеспечивает общий процесс управления корпоративными рисками и взаимодействует с системой управления на предприятии для выявления наиболее значимых рисков корпорации Майкрософт, а также для обеспечения ответственности за их устранение.

Microsoft ERM позволяет использовать общие принципы управления рисками на предприятии, чтобы бизнес-подразделения могли самостоятельно облегчить согласованную и сравнительную оценку рисков. Такая координация позволяет Корпорации Майкрософт консолидировать сведения о рисках и сообщать о них консолидированно для управления. ERM предоставляет подразделениям Майкрософт общие методологии, инструменты и цели для процесса управления рисками. Microsoft 365 и другие инженерные группы и бизнес-подразделения используют эти средства для проведения отдельных оценок рисков в рамках собственных программ управления рисками под руководством ERM.

Как веб-службы Майкрософт работают с ERM?

Каждая онлайн-служба следует указаниям ERM для управления рисками по всему службы Майкрософт. Программа фокусируется на согласовании инфраструктуры ERM с существующими процессами разработки, обслуживания и соответствия требованиям, что делает программу управления рисками более эффективной и эффективной. Все действия по управлению рисками в интернете в конечном счете будут свернуты в процесс ERM и информируются об этом.

В рамках действий по оценке рисков каждая онлайн-служба анализирует разработку и операционную эффективность элементов управления, реализованных в рамках Microsoft Controls Framework (Framework). Framework — это рационализированный набор элементов управления, которые при правильной реализации наряду с поддержкой действий по обеспечению соответствия требованиям позволяют инженерным группам выполнять ключевые правила и сертификации.

Онлайн-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним требованиям и сертификациям. Обратитесь к следующей таблице для проверки элементов управления, связанных с управлением рисками.

Azure и Dynamics 365

Office 365

Внешние аудиты	Section	Дата последнего отчета
FedRAMP	CA-2: оценки безопасности CA-5: план действий и вехи RA-3: оценка рисков	24 сентября 2020 г.
ISO 27001/27002/27017 Утверждение применимости	A.5. Политики информационной безопасности	20 апреля 2021 г.
SOC 1;	CA-03: управление рисками	24 декабря 2020 г.
SOC 2;	CA-02: обязанности группы управления, риска и соответствия требованиям CA-03: управление рисками CA-17: политика безопасности Майкрософт CA-24: внутренняя оценка риска	24 декабря 2020 г.

Управление рисками в проекте

Как и любое серьезное начинание, ни один проект в процессе своей реализации не застрахован от рисков. Чем крупнее проект, тем больше и масштаб потенциальных рисков. Но когда речь идет об управлении проектами, по большей части нужно думать не об оценке рисков, т.к. она представляет собой промежуточное действие, а о разработке такого плана реагирования на изменения, который помог бы снизить степень рискованности. И в этом уроке мы поговорим о наиболее важных тонкостях и специфических особенностях управления рисками.

Проектные риски и неопределенность

Термин «риск» в проект-менеджменте означает вероятное событие, мешающее руководителю проекта и его команде достичь целей проекта или отдельных его параметров, обусловленных временными, количественными и стоимостными рамками. Риск связан с конкретными причинами и источниками и всегда имеет свои последствия. Другими словами, риск влияет на результаты проекта.

Риски проекта всегда связаны с неопределенностью. Исходя из этого, необходимо иметь представление о степени неопределенности и ее причинах. Неопределенность следует понимать как состояние объективных условий, в которых проект начинает реализовываться, но которое не позволяет предвидеть результаты принимаемых решений из-за неполноты и неточности информации. Степень неопределенности играет большую роль, т.к. проект-менеджер может управлять лишь теми рисками, по которым известно хотя бы что-то существенное.

Когда информации нет, любые риски называются неизвестными. Они требуют создания специального резерва без реализации управленческих процедур. Если же по угрозам есть даже минимальная информация, уже можно разрабатывать план реагирования, направленный на минимизацию риска. Ниже представлена схема управления рисками с позиции неопределенности:

Другой не менее важный нюанс для понимания специфики риска проекта – это динамичность карты рисков, изменяющаяся по мере решения проектных задач. Обратите внимание на модель динамики вероятности риска и объема потерь:

На начальном этапе проекта вероятность угрозы максимальна, однако возможные потери находятся на низком уровне. К окончанию же проектных работ возрастает величина потерь, но снижается вероятность угроз.

Руководствуясь этой особенностью, можно сделать два вывода: во-первых, в процессе осуществления проекта имеет смысл анализировать риски по нескольку раз (карта рисков всегда будет изменяться), а во-вторых, наиболее оптимально риски минимизируются на стадии разработки проекта или в процессе разработки проектной документации (это многократно снижает затраты, нежели на стадии непосредственной реализации проекта).

Концепция управления рисками

Методология управления рисками, имеющаяся на сегодняшний день, подразумевает активную работу с источниками и последствиями определяемых угроз. Вообще, управление рисками является совокупностью процессов, основой которых служит идентификация и анализ рисков и разработка мер по минимизации уровня негативных последствий как результата наступления рисковых событий.

В PMBoK (Своде знаний по управлению проектами (от англ. Project Management Body of Knowledge)) выделяются шесть основных процессов управления рисками. Визуальная схема их последовательности такова:

Т.е., к основным процедурам управления проектными рисками относятся:

• Идентификация рисков
• Анализ риска (качественный и количественный)
• Планирование реагирования на риски
• Контроль над рисками

Идентификация – это определение рисков, основанное на определении продуцирующих их факторов, а также документальное оформление параметров этих рисков. Качественный и количественный анализ причин возникновения и возможности отрицательных последствий необходимы для формирования оценочной процедуры. Планирование реагирования на найденные риски предполагает создание комплекса мер, направленных на снижение негативного воздействия рисков на параметры и результаты проекта. Но главенствующее место в этой системе занимают именно мониторинг рисков и контроль над ними – они осуществляются на протяжении всего жизненного цикла проекта.

Благодаря умелому управлению рисками можно достичь:

• Объективного восприятия и понимания участниками проекта неопределенностей и рисков, связанных с его реализацией, их источников и возможных отрицательных событий как результата появления рисков
• Поиска и расширения возможностей для эффективного решения проектных задач с учетом найденных неопределенностей
• Разработки путей минимизации проектных рисков
• Доработки проектных планов с учетом выявленных рисков и комплексов мер по их минимизации

Проектные риски могут управляться как менеджером проекта, так и всеми участниками проектной команды в разной степени. В процессе применяются методы экспертных оценок, мозговые штурмы, обсуждения и интервьюирование, а также программно-математический аппарат и т.д.

Перед тем как начинать управление рисками, необходимо сформировать информационный контекст, в который входят внешние и внутренние условия для решения задач. К внешним условиям относятся конкурентные, экологические, технологические, социальные, правовые и экономические, политические и прочие аспекты. А внутренние состоят из ряда характеристик – это:

• Характеристики проекта и его целей
• Характеристики структуры и целей компании-организатора проекта
• Корпоративные регламенты и стандарты
• Информация о ресурсном обеспечении проекта

Начинать же управление проектными рисками, как и следует полагать, нужно с планирования.

Планирование управления рисками

Планирование управление рисками – это первый процесс среди всего комплекса процедур по работе с проектными угрозами. Планирование – это инструмент, позволяющий определить выбранные методы, инструменты и степень организации управления относительно конкретного проекта. Институт по управлению рисками (PMI от англ. Project Management Institute) придает данному процессу огромное значение в плане коммуникации с каждой заинтересованной в проекте стороной. В Руководстве PMBoK предлагается такая схема планирования управления рисками:

План управления рисками является документом, состоящим из нескольких разделов, а именно из:

• Общих положений
• Основных характеристик компании-организатора проекта
• Уставных характеристик проекта
• Целей и задач управления рисками
• Методологического раздела с описанием методов, средств анализа и оценки, источников сведений, рекомендуемых для использования с целью управления проектными рисками (все инструменты и методы необходимо расписывать по стадиям проектной реализации)
• Организационного раздела, включающего в себя распределение ролей и ответственности среди членов проектной команды, а также описание взаимосвязей с другими элементами управления проектом
• Бюджетного раздела, включающего в себя правила формирования и обеспечения выполнения бюджета управления рисками
• Регламентного раздела с указанием сроков, периодичности и продолжительности операций по управлению рисками, форм и состава управляющих документов
• Метрологического раздела, состоящего из принципов оценки, правил пересчета параметров и справочных шкал (они выполняют функцию вспомогательных средств для качественного и количественного анализа)
• Пороговых значений рисков – допустимых значений рисковых параметров на уровне проекта и отдельных угроз (необходимо учитывать важность и новизну проектной реализации)
• Раздела отчетности, рассматривающего вопросы периодичности, формы, порядки заполнения, сдачи и рассмотрения отчетов
• Раздела мониторинга и документационного обеспечения управления проектными рисками
• Раздела шаблонов для управления проектными рисками

После завершения этапа планирования управления рисками следует процесс их идентификации.

Идентификация проектных рисков

В процессе идентификации определяются и демонстрируются проектные риски. Результатом становится перечень рисков, рассортированных по степени их опасности. Как и к планированию рисков, к их идентификации следует привлекать всех членов проектной команды и участников проекта.

Идентификация является повторяющимся процессом, т.к. по ходу развития проекта могут возникать новые риски и становиться известной ранее недоступная информация об уже выявленных. Частота повторений, а также состав участников идентификации могут варьироваться, исходя из ситуации. Риски всегда должны описываться последовательно, чтобы было обеспечено четкое и недвусмысленное понимание каждого из них – это позволит поддерживать эффективный анализ и разработку плана реагирования. Описания должны составляться так, чтобы было можно сравнивать взаимосвязи рисков с проектом и воздействием других рисков.

Идентификацию нужно проводить в соответствии с результатами изучения всех определенных ранее факторов, но нужно понимать, что далеко не каждый фактор может быть выявлен и управляем. По мере разработки и дополнения проектных планов нередко появляются новые источники угроз, а число потенциальных рисков увеличивается по мере продвижения проекта к полной реализации. Результативная идентификация зависит также от того, есть ли в распоряжении детальная классификация рисков. Одной из самых полезных классификаций служит классификация рисков по степени контролируемости, например, такая:

Классификация рисков по степени контролируемости полезна тем, что помогает четко определить, под какие конкретные неконтролируемые факторы необходимо создавать резервы. Однако контролируемость рисков не дает гарантии того, что в управлении ими будет достигнут успех, по причине чего нужно руководствоваться и иными способами деления. Также заметим, что универсальной классификации рисков на сегодняшний день нет, что обусловлено уникальностью каждого проекта и многообразием сопровождающих проекты рисков. Помимо этого достаточно сложно определить грань между схожими рисками.

Что касается типовых признаков классификации, то к ним относятся:

• Источники рисков
• Последствия рисков
• Методы минимизации угроз

На стадии идентификации чаще всего используют первый признак. Ниже предлагается одна из наиболее популярных классификаций проектных рисков по источникам возникновения:

Оставшиеся два признака полезны при анализе факторов риска. Поэтому имеет смысл рассмотреть виды проектных рисков на основе уникальности их факторов:

• Специфические риски с позиции локального проекта (риски, зависящие от инновационной технологии, и т.п.)
• Специфические риски с позиции типа реализации проекта (учитываются факторы для IT-проектов, инновационных проектов, строительных проектов и т.п.)
• Общие риски для всех проектов (низкий уровень бюджетной проработки, рассогласование планов и т.п.)

Правильная идентификация зависит от грамотной формулировки риска, и очень важно не перепутать риск, его источник и последствия. Формулировка риска состоит, как правило, из двух частей: указания источника возникновения риска и указания события, несущего в себе угрозу. После того как риски идентифицированы и сформулированы следует переходить к их анализу и оценке.

Анализ и оценка проектных рисков

Анализировать и оценивать риски необходимо для того чтобы преобразовать найденные на этапе идентификации сведения в данные, которые позволят принимать ответственные решения. Качественный анализ включает в себя комплекс экспертных оценок вероятных неблагоприятных последствий, зависящих от выявленных факторов. А количественный анализ позволяет определить и уточнить количественные показатели вероятности возникновения угроз. Количественный анализ отнимает больше сил, но более достоверен. Чтобы его провести, нужно иметь качественные входные данные и использовать эффективные математические модели. Проводить же его должен высококвалифицированный персонал.

Но нередко и качественных аналитических показателей бывает достаточно, однако для этого по завершении анализа проект-менеджер должен получить:

• Приоритизированный перечень рисков
• Перечень позиций, для которых нужно провести дополнительный анализ
• Общее заключение по рискованности проекта

Эксперты выделяют два вида оценок: оценку вероятности наступления рисковых событий и оценку степени их воздействия на проект. Главным результатом качественного анализа можно назвать перечень ранжированных рисков с произведенными оценками и карту рисков. Вероятности наступления рисковых событий и их воздействия разделяются на группы в определенном диапазоне значений.

После проведения оценок выстраиваются специальные матрицы с ячейками, где указываются результаты произведения значения вероятности на степень воздействия. Итоговые данные делятся на сегменты, играющие роль основания ранжирования рисков. Матрица вероятности и воздействия может выглядеть так:

Исходя из вероятности наступления риска и степени его воздействия на проект, каждому из рисков присваивается свой рейтинг. Матрица отображает выявленные организационные пороги для разных рисков (низких, средних и высоких), позволяющие произвести оценку рисков как низкие, средние и высокие применительно к проекту.

В итоге в матрице появляются сегменты недопустимых, средних и незначительных рисков, называемые пороговыми уровнями. Но кроме установления двух главных параметров (вероятности и воздействия) качественный анализ требует установления и самой возможности управления рисками. Так, риски могут быть:

• Управляемыми
• Частично управляемыми
• Неуправляемыми

Ниже представлен алгоритм принятия решения по выявлению степени управляемости и величины риска:

Если выявляются неуправляемые опасные риски, их нужно обсуждать с заказчиками и инвесторами, т.к. выявление подобных угроз может стать причиной остановки процесса осуществления проекта.

Другим результатом анализа и оценки риска является карта риска, в наглядной форме представляющая рассмотренную выше матрицу. Карты выглядит примерно так:

Большой круг в правом верхнем углу – это недопустимые риски. Вероятности, находящиеся снизу и слева от красной линии в центре – это неопасные риски. На основе этой карты рисков можно планировать способы реагирования на риски.

Планирование реагирования на риски

В практической деятельности обычно выделяют четыре категории последствий рисков:

• Влияющие на бюджет
• Влияющие на сроки
• Влияющие на качество продукта
• Влияющие на функционирование продукта

Планирование способов реагирования является регламентированной процедурой разработки плана снижения рисков. В этом процессе определяются оптимальные меры повышения вероятности успеха проекта, предполагающие реагирование на угрозы в порядке приоритета. При расчете проектного бюджета в него следует включать целевые ресурсы и операции, ответственность за которые распределена между участниками проекта.

Всего существует четыре основных метода реагирования на риски:

• Избегание рисков. Считается самым активным методом, однако применим он не всегда. Актуален в случаях, когда можно полностью исключить источники риска.
• Минимизация рисков. Еще один активный метод, состоящий в уменьшении вероятности и снижении опасности рисков. Риски в этом случае должны полностью поддаваться контролю (чаще всего это внешние риски).
• Передача-страхование рисков. Для использования метода нужно найти третью сторону, которая будет готова принять на себя риски и их негативные последствия.
• Принятие рисков. Предполагает осознанную готовность к рискам и направление всех последующих усилий на устранение последствий.

Такова вкратце методологическая база риск-менеджмента на сегодняшний день. Проект-менеджер в своей работе в обязательном порядке должен учитывать эту информацию, т.к. от нее и ее использование зависит эффективность командной работы и достижение целей проекта. Но намного важнее, конечно же, практические навыки идентификации, анализа и реагирования на риски. Поэтому в качестве дополнения к представленному материалу предлагаем вам познакомиться с десятью золотыми правилами управления рисками от Барта Джутта.

10 золотых правил управления рисками от Барта Джутта

Барт Джутт – управляющий директор нидерландской компании Concilio по разработке специализированного программного обеспечения и признанный авторитет в области риск-менеджмента с 15-летним опытом работы с проектами. В своем пособии по управлению рисками он формулирует 10 правил, позволяющих успешно работать с угрозами при реализации проектов.

1

Сделайте управление рисками частью проекта

Первое правило очень важно для успешного проектного риск-менеджмента. Если вы не сделаете управление рисками частью проекта, вы не сможете получить всех преимуществ от его использования. Некоторые компании, особенно те, которые сталкиваются с проектами впервые, не уделяют этому вопросу внимания, надеясь на то, что не столкнутся с рисками. От этого вся их проектная система становится неэффективной и подверженной массе опасностей. Но профессионалы всегда делают управление рисками частью своих ежедневных операций по проекту, в том числе и обсуждают соответствующие вопросы на совещаниях и мероприятиях по обучению персонала.

2

Определяйте риски на начальном этапе проекта

Первый этап в проектном риск-менеджменте основывается на выявлении присутствующих в проекте рисков. Для этого нужно сконцентрироваться на разработке возможных сценариев возникновения рисков. В работе следует использовать опыт и знания всех членов команды и участников проекта, а также сторонних экспертов. Такой подход позволит определить всевозможные угрозы, в том числе даже те, которые изначально не попали в поле зрения.

Для определения рисков рекомендуется проводить интервью и собеседования с членами команды, а также мозговые штурмы. Информация может заноситься в электронные документы и отражаться на бумаге. В качестве вспомогательных инструментов желательно использовать бизнес-планы, стратегии и прочие документы уже осуществленных проектов. Естественно, далеко не всегда можно определить все риски до их появления, но с помощью разных методов идентификации появляется возможность выявить большинство из них.

3

Сообщайте о рисках

Ошибка многих руководителей проектов состоит в том, что они не сообщают команде и другим участникам об угрозах. Причем это бывает даже в тех случаях, когда риски налицо. Но если у вас есть цель оперативно проработать угрозы, необходимо сразу же брать их во внимание и информировать о них других людей, чтобы своевременно включить в план работы задачи по их устранению.

4

На совещаниях по проекту информация о рисках всегда должна выноситься на повестку дня – это позволит обсудить проблемы, выделить время для их решения и выявить другие потенциальные угрозы, которые могут возникнуть. Не забывайте и о том, что обо всех рисках в обязательном порядке нужно сообщать спонсору и инициатору проекта.

5

Рассматривайте риски как возможности

Проектные риски – это в первую очередь угроза, но при помощи современных подходов можно найти положительные для проекта риски и сфокусироваться на них. Некоторые риски могут сослужить хорошую службу проекту, повлияв на его успешность и скорость реализации в позитивном ключе.

Чтобы у вас и у вашей команды была возможность найти обратную сторону рисков, нужно оставлять в запасе некоторое время на их дополнительное рассмотрение, а не бросаться, сломя голову, на их устранение. Даже 30 минут могут в корне изменить ситуацию, если вам удастся найти способ извлечь выгоду из, казалось бы, безвыходной ситуации.

6

Уточняйте вопросы ответственности

Ряд руководителей считает, что риски предупреждены уже после составления их перечня. Однако список служит лишь отправной точкой. Следующим шагом будет распределение ответственности за риски. За оптимизацию каждого риска для проекта должен отвечать конкретный сотрудник, и последствия такого подхода могут быть крайне благоприятны для исхода всего дела.

Изначально члены вашей команды могут чувствовать себя некомфортно, понимая, что на них возложена серьезная ответственность. Но с течением времени они адаптируются и станут выполнять действия и решать задачи по минимизации угроз должным образом.

7

Расставляйте приоритеты

Многие руководители предпочитают рассматривать и учитывать все риски в равной степени, считая, что это значительно упрощает реализацию проекта. Но это не лучшая стратегия, т.к. одни риски могут быть опаснее, чем другие, и степень их вероятности может быть выше. По этой причине лучше уделять время на проработку рисков, способных привести к самым крупным потерям.

Проанализируйте ваш проект на наличие недостатков, способных его подорвать. Если таковые имеются, присвойте им наивысший приоритет. Остальные риски следует приоритизировать, исходя из критериев важности, специфических для каждого конкретного проекта. Но обычно критериями служат последствия рисков.

8

Анализируйте риски

Четкое понимание характера риска – обязательное условие для управления им. По этой причине следует избегать поспешных выводов, а сосредотачиваться на более тщательном исследовании угроз. Анализ рисков осуществляется на нескольких уровнях. Если ваша цель – понять суть риска, подробно изучите его возможные последствия. Их скрупулезный анализ покажет вам особенности риска с позиции затрат, времени и качества результата.

А пристальное внимание к предшествующим возникновению риска событиям поможет составить список причин и обстоятельств его появления, благодаря чему можно будет разработать комплекс мер по их минимизации. Информация, собранная в процессе анализа, представляет собой ценные данные для проекта и служит исходным материалом для поиска мер по оптимизации рисков.

9

Планируйте риски

Наличие плана действий по работе с рисками повышает ценность всего проекта, т.к. вы имеете возможность предотвращать потенциальные угрозы и снижать воздействие уже существующих. А такой план можно составить только в том случае, если пройдены шаги, описанные выше, такие как разделение ответственности, приоритизация и анализ рисков.

При столкновении с угрозами есть несколько вариантов действий: минимизировать, избежать, принять или передать риски. Продумывайте стратегию реагирования на возможные риски, основываясь на этих вариантах. Понимание того, как действовать в ответ на угрозу, также помогает и в поиске самой угрозы.

10

Регистрируйте риски

Несмотря на то, что это правило по большей части относится к области бухучета, пренебрегать им не следует. Регистрация рисков позволяет отслеживать прогресс реализации проекта и всегда держать угрозы во внимании. Кроме того, это еще и отличный способ коммуникации, информирующий членов команды и участников проекта о происходящих событиях.

Заведите журнал рисков, в котором описывайте их, разъясняйте связанные с ними вопросы, анализируйте причины и следствия, а также фиксируйте наиболее эффективные способы реагирования. Такими записями вы всегда повысите эффективность своего риск-менеджмента.

Исследуйте риски и связанные с ними задачи

Благодаря регистрации рисков, о которой мы только что говорили, вы сможете отслеживать риски и связанные с ними задачи. Отслеживание является повседневной работой любого проект-менеджера, и его просто нужно внести в план своих дел на каждый день. Вместе с изучением сопутствующих задач гораздо легче выработать комплекс ответных мер.

Основное внимание в отслеживании рисков нужно уделять текущей ситуации в ходе проекта. Подумайте о том, какой риск наиболее вероятен на данный момент и изменились ли приоритеты рисков, чтобы понять, как действовать дальше и с какой стороны следует ожидать удара.

Грамотное управление проектными рисками сопряжено с множеством существенных выгод. Сюда относится и минимизация неопределенности, и нахождение массы возможностей и путей развития проекта, и соблюдение временных, стоимостных и качественных рамок, и, конечно же, получение прибыли.

Но все это станет реальностью только в том случае, если вместе с управлением рисками вы будете профессионально управлять и самими проектами. Для этого разработаны специальные методы, такие как Scrum, Agile, Kanban, PRINCE2 и некоторые другие. И в следующем уроке мы расскажем вам об этих методах и приведем их характеристики.

Проверьте свои знания

Если вы хотите проверить свои знания по теме данного урока, можете пройти небольшой тест, состоящий из нескольких вопросов. В каждом вопросе правильным может быть только 1 вариант. После выбора вами одного из вариантов, система автоматически переходит к следующему вопросу. На получаемые вами баллы влияет правильность ваших ответов и затраченное на прохождение время. Обратите внимание, что вопросы каждый раз разные, а варианты перемешиваются.

Сергей КрутькоКирилл Ногалес

Управление рисками проекта: методы управления рисками

Исследованию управления рисками проекта посвящено большое количество работ. Это не случайно, ведь данная тема носит актуальный характер в условьях современной экономики, для которой сегодня характерен глобальный подход к рассмотрению тем. Все работы об управлении рисками проекта написаны недаром, потому что исследованию управления рисками проекта необходимо большее и большее изучение в связи с ее недостаточной разработанностью и большой как теоретической, так и практической значимостью. Управление рисками применяется в различных областях деятельности.

Откуда берутся риски? Что является их причиной?

Риски появляются из неопределенностей, а неопределенности, как известно, есть всегда и везде. Все риски можно условно разделить на две категории. К первой категории относятся те риски, о которых мы знаем, которые возможно найти и оценить. Для таких рисков возможно планирование. Но бывают риски, которые мы не можем предсказать, которые появляются неожиданно. Такие риски относятся ко второй категории. Зачастую встречаются риски первой категории, которые можно предопределить, это известно из прошлого опыта.

Управление рисками представляет собой большое количество различных процессов, связанных с поиском и анализом рисков. Эти процессы, направлены на то, чтобы максимально уменьшить отрицательные последствия рисков и максимально увеличить количество положительных последствий.

Сегодня многие руководители уделяют большое внимание управлению рисками. Компании разрабатывают собственные корпоративные методы управления рисками и применяют их к тем проектам, которые отличаются большой степенью неопределенности в составляющих (целях, технологиях). Это очень удобно, потому что, разработанные самостоятельно методы управления рисками, учитывают специфику именно их компании и проекта.

Шесть процедур управления рисками от американского института управления проектами (PMI)

Первая процедура: планирование управления рисками. Оно заключается в планировании деятельности по управлению рисками и в выборе наиболее оптимальных подходов.

Вторая процедура: выявление рисков, проще говоря, их поиск. Суть в том, что нужно найти риски, которые могут повлиять на наш проект, а затем выявить их характеристики и свойства.

Третья процедура: качественная оценка рисков. Тут необходимо произвести качественный анализ самих рисков и такой же анализ условий их возникновения. Это необходимо для того, чтобы определить влияние рисков на эффективное завершение проекта.

Четвертая процедура: количественная оценка рисков. Она представляет собой анализ вероятности возникновения рисков, а так же анализ влияния последствий рисков на проект.

Пятая процедура: планирование реагирования на риски. На этом этапе необходимо определить действия и методы, которые будут направлены на ослаблению отрицательных последствий рисков.

Шестая процедура: контроль и мониторинг рисков. Тут нужно не забыть определить остающиеся риски и оценить эффективность действий по минимизации рисков.

Риски также могут быть связаны с «подводными камнями» в работе компании, которые не всегда заметны для руководства. Система управления клиентами, проектами, документооборотом, персоналом, финансами, коммуникациями «Простой бизнес» позволяет сделать менеджмент прозрачным и открытым, что является важным фактором предотвращения рисков. Благодаря CRM руководители отделов всегда будут знать, чем заняты их сотрудники, получать аналитику по продажам, контролировать переговоры с клиентами. Программа доступна на сайте разработчика, где можно также скачать версии продукта для мобильных телефонов и планшетов.

Попробовать бесплатно

Что такое управление рисками и почему это важно?

Управление рисками — это процесс выявления, оценки и контроля угроз капиталу и прибыли организации. Эти угрозы или риски могут происходить из самых разных источников, включая финансовую неопределенность, юридические обязательства, ошибки стратегического управления, аварии и стихийные бедствия. Угрозы ИТ-безопасности и риски, связанные с данными, а также стратегии управления рисками для их смягчения стали главным приоритетом для цифровых компаний.В результате план управления рисками все чаще включает в себя процессы компаний по выявлению и контролю угроз своим цифровым активам, включая частные корпоративные данные, личную информацию (PII) клиента и интеллектуальную собственность.

Каждый бизнес или организация сталкивается с риском неожиданных, вредных событий, которые могут стоить компании денег или привести к ее окончательному закрытию. Управление рисками позволяет организациям попытаться подготовиться к неожиданностям, минимизируя риски и дополнительные расходы до того, как они произойдут.

Важность

Реализуя план управления рисками и учитывая различные потенциальные риски или события до их возникновения, организация может сэкономить деньги и защитить свое будущее. Это связано с тем, что надежный план управления рисками поможет компании установить процедуры, позволяющие избегать потенциальных угроз, минимизировать их влияние в случае их возникновения и справляться с результатами. Эта способность понимать и контролировать риски позволяет организациям быть более уверенными в своих деловых решениях.Кроме того, строгие принципы корпоративного управления, в которых особое внимание уделяется управлению рисками, могут помочь компании достичь своих целей.

Другие важные преимущества управления рисками включают:

• Создает безопасную и безопасную рабочую среду для всех сотрудников и клиентов.
• Повышает стабильность деловых операций, а также снижает юридическую ответственность.
• Обеспечивает защиту от событий, наносящих ущерб как компании, так и окружающей среде.
• Защищает всех вовлеченных людей и имущество от потенциального вреда.
• Помогает определить потребности организации в страховании, чтобы сэкономить на ненужных страховых взносах.

Также была выявлена ​​важность сочетания управления рисками с безопасностью пациентов. В большинстве больниц и организаций отделы управления рисками и безопасности пациентов разделены; они включают различное руководство, цели и масштабы. Однако некоторые больницы признают, что возможность оказывать безопасную и качественную помощь пациентам необходима для защиты финансовых активов и, как следствие, должна быть включена в систему управления рисками.

В 2006 году Медицинский центр Вирджинии Мейсон в Сиэтле, штат Вашингтон, интегрировал свои функции управления рисками в свой отдел безопасности пациентов, в конечном итоге создав методы управления производственной системой Вирджинии Мейсон (VMPS). VMPS фокусируется на постоянном улучшении системы безопасности пациентов за счет повышения прозрачности в снижении рисков, раскрытии информации и отчетности. С момента внедрения этой новой системы Вирджиния Мейсон испытала значительное сокращение медицинских премий и значительный рост культуры отчетности.

Стратегии и процессы управления рисками

Все планы управления рисками следуют одним и тем же этапам, которые в совокупности составляют общий процесс управления рисками:

• Установить контекст. Поймите обстоятельства, при которых будет происходить остальная часть процесса. Также следует установить критерии, которые будут использоваться для оценки риска, и определить структуру анализа.
• Идентификация рисков. Компания выявляет и определяет потенциальные риски, которые могут негативно повлиять на конкретный процесс или проект компании.
• Анализ рисков. После определения конкретных типов рисков компания определяет вероятность их возникновения, а также их последствия. Цель анализа риска — глубже понять каждый конкретный случай риска и то, как он может повлиять на проекты и цели компании.
• Оценка рисков. Затем риск дополнительно оценивается после определения общей вероятности возникновения риска в сочетании с его общими последствиями. Затем компания может принять решение о том, является ли риск приемлемым и готова ли компания принять его, исходя из своего аппетита к риску.
• Снижение риска . На этом этапе компании оценивают свои наивысшие риски и разрабатывают план по их снижению с помощью специальных средств контроля рисков. Эти планы включают процессы снижения рисков, тактику предотвращения рисков и планы действий в чрезвычайных ситуациях в случае реализации риска.
• Мониторинг рисков . Часть плана смягчения последствий включает отслеживание как рисков, так и общего плана по постоянному мониторингу и отслеживанию новых и существующих рисков. Следует также соответствующим образом пересмотреть и обновить общий процесс управления рисками.
• Общайтесь и консультируйтесь. Внутренние и внешние акционеры должны участвовать в обмене информацией и консультациях на каждом соответствующем этапе процесса управления рисками и в отношении процесса в целом.

Стратегии управления рисками также должны пытаться ответить на следующие вопросы:

1. Что может пойти не так? Рассматривайте как рабочее место в целом, так и индивидуальную работу.
2. Как это повлияет на организацию? Учитывайте вероятность события и его влияние.
3. Что можно сделать? Какие шаги можно предпринять, чтобы предотвратить потерю? Что можно сделать, чтобы восстановить, если убыток все-таки произошел?
4. Если что-то случится, как организация за это заплатит?

Подходы к управлению рисками

После того, как конкретные риски компании определены и процесс управления рисками внедрен, существует несколько различных стратегий, которые компании могут использовать в отношении различных типов рисков:

• Избежание рисков . Хотя полное устранение всех рисков редко возможно, стратегия предотвращения рисков предназначена для отражения как можно большего числа угроз, чтобы избежать дорогостоящих и разрушительных последствий разрушительного события.
• Снижение риска . Иногда компаниям удается уменьшить ущерб, который определенные риски могут нанести корпоративным процессам. Это достигается путем корректировки определенных аспектов общего плана проекта или процесса компании или путем сокращения его объема.
• Разделение рисков. Иногда последствия риска распределяются между несколькими участниками проекта или бизнес-подразделениями. Риск также может быть разделен с третьей стороной, например с поставщиком или деловым партнером.
• Сохранение риска. Иногда компании решают, что риск стоит того с точки зрения бизнеса, и решают сохранить риск и справиться с любыми возможными последствиями. Компании часто сохраняют определенный уровень риска, если ожидаемая прибыль от проекта превышает стоимость его потенциального риска.

Ограничения

Хотя управление рисками может быть чрезвычайно выгодной практикой для организаций, следует также учитывать его ограничения. Многие методы анализа рисков, такие как создание модели или симуляция, требуют сбора больших объемов данных. Такой обширный сбор данных может быть дорогостоящим, и его надежность не гарантируется.

Кроме того, использование данных в процессах принятия решений может иметь плохие результаты, если простые показатели используются для отражения гораздо более сложных реалий ситуации.Точно так же принятие решения на протяжении всего проекта, которое было предназначено для одного небольшого аспекта, может привести к неожиданным результатам.

Еще одним ограничением является отсутствие аналитических знаний и времени. Компьютерные программы были разработаны для моделирования событий, которые могут оказать негативное влияние на компанию. Хотя эти сложные программы рентабельны, они требуют обученного персонала, обладающего всесторонними навыками и знаниями, чтобы точно понимать полученные результаты. Для анализа исторических данных с целью выявления рисков также требуется высококвалифицированный персонал.Эти люди не всегда могут быть задействованы в проекте. Даже если это так, часто не хватает времени, чтобы собрать все результаты, что приводит к конфликтам.

Другие ограничения включают:

• Ложное чувство стабильности. При оценке стоимости, подверженной риску, основное внимание уделяется прошлому, а не будущему. Таким образом, чем дольше дела идут гладко, тем лучше выглядит ситуация. К сожалению, это увеличивает вероятность спада.
• Иллюзия контроля. Модели риска могут дать организациям ложное представление о том, что они могут количественно оценить и отрегулировать каждый потенциальный риск. Это может заставить организацию пренебречь возможностью новых или неожиданных рисков. Кроме того, для новых продуктов нет исторических данных, поэтому нет опыта, на котором можно было бы основывать модели.
• Неспособность увидеть общую картину. Трудно увидеть и понять полную картину совокупного риска.
• Управление рисками незрелое. Политика управления рисками в организации недостаточно развита, и ей не хватает истории для проведения точных оценок.

Стандарты управления рисками

С начала 2000-х годов несколько отраслевых и государственных органов расширили правила соблюдения нормативных требований, которые тщательно проверяют планы, политики и процедуры компаний по управлению рисками. Во все большем числе отраслей от советов директоров требуется анализировать и сообщать об адекватности процессов управления рисками предприятия.В результате анализ рисков, внутренний аудит и другие средства оценки рисков стали основными компонентами бизнес-стратегии.

Стандарты управления рисками были разработаны несколькими организациями, включая Национальный институт стандартов и технологий (NIST) и Международную организацию по стандартизации (ISO). Эти стандарты разработаны, чтобы помочь организациям идентифицировать конкретные угрозы, оценивать уникальные уязвимости для определения их риска, определять способы снижения этих рисков, а затем реализовывать усилия по снижению рисков в соответствии со стратегией организации.

Принципы ISO 31000, например, обеспечивают основу для улучшения процессов управления рисками, которые могут использоваться компаниями, независимо от размера организации или целевого сектора. Согласно веб-сайту ISO, стандарт ISO 31000 разработан, чтобы «увеличить вероятность достижения целей, улучшить идентификацию возможностей и угроз, а также эффективно распределять и использовать ресурсы для обработки рисков». Хотя ISO 31000 не может использоваться для целей сертификации, он может помочь предоставить руководство для внутреннего или внешнего аудита рисков и позволяет организациям сравнивать свои методы управления рисками с международно признанными эталонами.

ISO рекомендует следующие целевые области или принципы, которые должны быть частью общего процесса управления рисками:

• Процесс должен создавать ценность для организации.
• Он должен быть неотъемлемой частью общего организационного процесса.
• Это должно влиять на общий процесс принятия решений в компании.
• Он должен явно учитывать любую неопределенность.
• Он должен быть систематическим и структурированным.
• Он должен быть основан на наилучшей доступной информации.
• Он должен быть адаптирован к проекту.
• Он должен учитывать человеческий фактор, в том числе возможные ошибки.
• Он должен быть прозрачным и всеобъемлющим.
• Он должен быть адаптирован к изменениям.
• Его следует постоянно контролировать и улучшать.

Стандарты ISO и другие подобные стандарты были разработаны во всем мире, чтобы помочь организациям систематически внедрять передовые методы управления рисками. Конечная цель этих стандартов — установить общие рамки и процессы для эффективной реализации стратегий управления рисками.

Эти стандарты часто признаются международными регулирующими органами или целевыми отраслевыми группами. Они также регулярно дополняются и обновляются, чтобы отражать быстро меняющиеся источники бизнес-рисков. Хотя соблюдение этих стандартов обычно является добровольным, их соблюдение может потребоваться отраслевыми регулирующими органами или посредством заключения деловых контрактов.

Примеры управления рисками

Одним из примеров управления рисками может быть бизнес, выявляющий различные риски, связанные с открытием нового места.Они могут снизить риски, выбрав места с высокой проходимостью и низкой конкуренцией со стороны аналогичных предприятий в этом районе.

Другим примером может быть парк развлечений на открытом воздухе, который осознает, что их бизнес полностью зависит от погодных условий. Чтобы снизить риск крупного финансового удара в плохой сезон, парк может постоянно тратить небольшие средства и наращивать денежные резервы.

Еще одним примером может быть инвестор, покупающий акции новой интересной компании с высокой оценкой, даже если они знают, что акции могут значительно упасть.В этой ситуации принятие риска отображается, когда инвестор покупает, несмотря на угрозу, чувствуя, что потенциал большого вознаграждения перевешивает риск.

См. Также: разведка рисков

Управление рисками: новая концепция

Примечание редактора. После того, как этот выпуск HBR был отправлен в печать, JP Morgan, чья практика управления рисками освещается в этой статье, обнаружила значительные торговые убытки в одном из своих подразделений.Авторы комментируют этот поворот событий в своем материале для информационного центра HBR по управлению рискованным поведением.

Когда Тони Хейворд стал генеральным директором BP в 2007 году, он поклялся сделать безопасность своим главным приоритетом. Среди новых правил, которые он ввел, были требования, согласно которым все сотрудники должны закрывать кофейные чашки во время ходьбы и воздерживаться от текстовых сообщений во время вождения. Три года спустя, по наблюдению Хейворда, в Мексиканском заливе взорвалась нефтяная вышка Deepwater Horizon, что привело к одной из самых страшных техногенных катастроф в истории.Комиссия по расследованию США объяснила катастрофу ошибками в управлении, которые ограничили «способность вовлеченных лиц выявлять риски, с которыми они сталкиваются, и должным образом оценивать, сообщать и устранять их». История Хейворда отражает общую проблему. Несмотря на всю риторику и вложенные в него деньги, управление рисками слишком часто рассматривается как проблема соответствия, которую можно решить, составив множество правил и убедившись, что все сотрудники их соблюдают. Многие из таких правил, конечно, разумны и действительно снижают некоторые риски, которые могут серьезно повредить компании.Но управление рисками на основе правил не уменьшит ни вероятность, ни последствия катастрофы, такой как Deepwater Horizon, точно так же, как не предотвратило банкротство многих финансовых учреждений во время кредитного кризиса 2007–2008 годов.

В этой статье мы представляем новую категоризацию рисков, которая позволяет руководителям определять, какими рисками можно управлять с помощью модели, основанной на правилах, а какие требуют альтернативных подходов. Мы исследуем индивидуальные и организационные проблемы, связанные с открытыми, конструктивными дискуссиями об управлении рисками, связанными со стратегическим выбором, и утверждаем, что компаниям необходимо закрепить эти обсуждения в своих процессах разработки и реализации стратегии.В заключение мы рассмотрим, как организации могут выявлять непредотвратимые риски, которые возникают вне их стратегии и операций, и подготовиться к ним.

Управление рисками: правила или диалог?

Первым шагом в создании эффективной системы управления рисками является понимание качественных различий между типами рисков, с которыми сталкиваются организации. Наши полевые исследования показывают, что риски делятся на одну из трех категорий. События риска из любой категории могут оказаться фатальными для стратегии компании и даже для ее выживания.

Категория I: Предотвращаемые риски.

Это внутренние риски, возникающие внутри организации, которые можно контролировать, и их следует устранять или избегать. Примерами являются риски, связанные с несанкционированными, незаконными, неэтичными, неправильными или несоответствующими действиями сотрудников и руководителей, а также риски сбоев в повседневных операционных процессах. Безусловно, компании должны иметь зону толерантности к дефектам или ошибкам, которые не причинят серьезного ущерба предприятию и для которых достижение полного исключения будет слишком дорогостоящим.Но в целом компаниям следует стремиться к устранению этих рисков, поскольку они не получают стратегических выгод от их принятия. Торговец-мошенник или служащий, подкупающий местного чиновника, может принести фирме некоторую краткосрочную прибыль, но со временем такие действия уменьшат стоимость компании.

Лучше всего управлять этой категорией риска посредством активного предотвращения: мониторинга операционных процессов и направления поведения и решений людей в соответствии с желаемыми нормами. Поскольку уже существует значительная литература по подходу к соблюдению, основанному на правилах, мы отсылаем заинтересованных читателей к врезке «Выявление и управление предотвращаемыми рисками» вместо полного обсуждения передовых практик.

Категория II: Стратегические риски.

Компания добровольно принимает на себя некоторый риск, чтобы получить превосходную прибыль от своей стратегии. Банк принимает на себя кредитный риск, например, когда ссужает деньги; многие компании берут на себя риски, проводя исследования и разработки.

Стратегические риски сильно отличаются от предотвратимых рисков, потому что они не являются нежелательными по своей сути. Стратегия с высокой ожидаемой доходностью обычно требует от компании принятия на себя значительных рисков, и управление этими рисками является ключевым фактором получения потенциальной прибыли.BP приняла на себя высокий риск бурения на несколько миль ниже поверхности Мексиканского залива из-за высокой стоимости нефти и газа, которые она надеялась добыть.

Рисками стратегии нельзя управлять с помощью модели контроля, основанной на правилах. Вместо этого вам нужна система управления рисками, предназначенная для снижения вероятности того, что предполагаемые риски действительно материализуются, и для улучшения способности компании управлять рисковыми событиями или сдерживать их в случае их возникновения. Такая система не остановит компании от рискованных предприятий; Напротив, это позволит компаниям брать на себя более рискованные и прибыльные предприятия, чем конкуренты с менее эффективным управлением рисками.

Категория III: Внешние риски.

Некоторые риски возникают в результате событий за пределами компании и находятся вне ее влияния или контроля. Источники этих рисков включают стихийные бедствия и политические бедствия и крупные макроэкономические сдвиги. Внешние риски требуют иного подхода. Поскольку компании не могут предотвратить такие события, их руководство должно сосредоточиться на идентификации (они, как правило, очевидны в ретроспективе) и смягчении их воздействия.

Компании должны адаптировать свои процессы управления рисками к этим различным категориям.Хотя подход, основанный на соблюдении требований, эффективен для управления предотвратимыми рисками, он совершенно неадекватен для стратегических рисков или внешних рисков, которые требуют принципиально иного подхода, основанного на открытом и явном обсуждении рисков. Однако это легче сказать, чем сделать; Обширные поведенческие и организационные исследования показали, что у людей есть сильные когнитивные предубеждения, которые мешают им думать и обсуждать риски, пока не станет слишком поздно.

Почему трудно говорить о риске

Многочисленные исследования показали, что люди переоценивают свою способность влиять на события, которые на самом деле во многом определяются случайностью.Мы склонны быть чрезмерно самоуверенными в отношении точности наших прогнозов и оценок рисков и слишком узкими в нашей оценке диапазона возможных результатов.

Мы также привязываем наши оценки к легкодоступным свидетельствам, несмотря на известную опасность линейных экстраполяций из недавней истории в весьма неопределенное и изменчивое будущее. Мы часто усугубляем эту проблему с предвзятостью подтверждения , , которая побуждает нас отдавать предпочтение информации, которая поддерживает наши позиции (обычно успешные), и подавлять информацию, которая им противоречит (обычно неудачи).Когда события расходятся с нашими ожиданиями, мы склонны усиливать приверженность, иррационально направляем еще больше ресурсов на наши неудачные действия — бросая хорошие деньги за плохими.

Организационные предубеждения также мешают нам обсуждать риски и неудачи. В частности, команды, находящиеся в неопределенных условиях, часто участвуют в групповом мышлении : после того, как курс действий получил поддержку в группе, те, кто еще не присоединился к команде, как правило, подавляют свои возражения — какими бы обоснованными они ни были — и подчиняются.Групповое мышление особенно вероятно, если командой руководит властный или самоуверенный менеджер, который хочет свести к минимуму конфликты, задержки и вызовы своему авторитету.

В совокупности эти индивидуальные и организационные предубеждения объясняют, почему так много компаний игнорируют или неправильно интерпретируют неоднозначные угрозы. Вместо того, чтобы уменьшать риск, фирмы фактически инкубируют риск посредством нормализации отклонения , , поскольку они учатся терпеть очевидные незначительные сбои и дефекты и рассматривать сигналы раннего предупреждения как ложные, а не предупреждения о надвигающейся опасности.

Эффективные процессы управления рисками должны противодействовать этим предубеждениям. «Снижение риска — болезненный процесс, который не является естественным для человека действием», — говорит Джентри Ли, главный системный инженер Лаборатории реактивного движения (JPL), подразделения Национального управления США по аэронавтике и исследованию космического пространства. Ученые-ракетологи в проектных группах JPL — лучшие выпускники элитных университетов, многие из которых никогда не терпели неудач в школе или на работе. Самая большая проблема Ли в создании новой культуры риска в JPL заключалась в том, чтобы заставить проектные группы чувствовать себя комфортно, думая и говоря о том, что может пойти не так с их прекрасным дизайном.

Правила о том, что делать и чего не делать, здесь не помогут. Фактически, они обычно имеют противоположный эффект, поощряя менталитет контрольного списка, который препятствует вызову и обсуждению. Управление стратегическими рисками и внешними рисками требует очень разных подходов. Мы начнем с изучения того, как выявлять и снижать риски стратегии.

Управление стратегическими рисками

За последние 10 лет исследований мы выявили три различных подхода к управлению стратегическими рисками.Какая модель подходит для данной фирмы, во многом зависит от контекста, в котором работает организация. Каждый подход требует совершенно разных структур и ролей для функции управления рисками, но все три побуждают сотрудников оспаривать существующие предположения и обсуждать информацию о рисках. Наш вывод о том, что «один размер не подходит для всех», противоречит усилиям регулирующих органов и профессиональных ассоциаций по стандартизации функции.

Независимые эксперты.

Некоторые организации, особенно такие, как JPL, которые расширяют границы технологических инноваций, сталкиваются с высоким внутренним риском, поскольку они реализуют длительные, сложные и дорогостоящие проекты по разработке продуктов.Но поскольку большая часть риска возникает из-за того, что вы подчиняетесь известным законам природы, риск медленно меняется с течением времени. Для этих организаций управление рисками может осуществляться на уровне проекта.

JPL, например, учредила комиссию по анализу рисков, состоящую из независимых технических экспертов, роль которых состоит в том, чтобы оспаривать решения инженеров по проектированию, оценке рисков и снижению рисков. Эксперты обеспечивают периодическую оценку рисков на протяжении всего цикла разработки продукта.Поскольку риски относительно неизменны, наблюдательный совет должен встречаться только один или два раза в год, при этом руководитель проекта и глава наблюдательного совета проводят заседания ежеквартально.

Заседания совета по анализу рисков проходят интенсивно, создавая то, что Джентри Ли называет «культурой интеллектуального противостояния». Как говорит член правления Крис Левицки: «Мы разрываем друг друга, бросая камни и очень критически комментируя все, что происходит». При этом инженеры-проектировщики видят свою работу с другой точки зрения.«Это отрывает их носы от точильного камня», — добавляет Левицки.

Встречи, как конструктивные, так и конфронтационные, не предназначены для того, чтобы помешать команде проекта выполнять весьма амбициозные задачи и замыслы. Но они заставляют инженеров заранее подумать о том, как они будут описывать и защищать свои проектные решения и достаточно ли они учли вероятные отказы и дефекты. Члены правления, выступая в роли защитников дьявола, уравновешивают естественную самоуверенность инженеров, помогая избежать эскалации приверженности проектам с неприемлемым уровнем риска.

В JPL комиссия по анализу рисков не только способствует активному обсуждению рисков проекта, но также имеет полномочия над бюджетами. Совет устанавливает резервы затрат и времени, которые должны быть зарезервированы для каждого компонента проекта в соответствии с его степенью инновационности. Например, простое продление предыдущей миссии потребует от 10% до 20% финансового резерва, тогда как совершенно новый компонент, который еще не работал на Земле — а тем более на неизведанной планете — может потребовать от 50% до 75% непредвиденных обстоятельств. .Резервы гарантируют, что, когда проблемы неизбежно возникнут, команда проекта получит доступ к деньгам и времени, необходимым для их решения, без ущерба для даты запуска. JPL серьезно относится к оценкам; проекты были отложены или отменены, если средств было недостаточно для покрытия рекомендованных резервов.

Управление рисками болезненно — это не естественный поступок для человека.

Посредники.

Многие организации, такие как традиционные предприятия энергетики и водоснабжения, работают в стабильной технологической и рыночной среде с относительно предсказуемым потребительским спросом.В этих ситуациях риски в значительной степени проистекают из кажущихся несвязанными операционных решений в сложной организации, которые накапливаются постепенно и могут оставаться скрытыми в течение длительного времени.

Поскольку ни одна группа сотрудников не обладает знаниями для управления рисками на операционном уровне в рамках различных функций, фирмы могут развернуть относительно небольшую центральную группу управления рисками, которая собирает информацию от операционных менеджеров. Это повышает осведомленность менеджеров о рисках, взятых на себя в организации, и дает лицам, принимающим решения, полную картину профиля рисков компании.

Мы наблюдали эту модель в действии в Hydro One, канадской электроэнергетической компании. Директор по рискам Джон Фрейзер при явной поддержке генерального директора ежегодно проводит десятки семинаров, на которых сотрудники всех уровней и функций выявляют и ранжируют основные риски, которые они видят для стратегических целей компании. Сотрудники используют технологию анонимного голосования для оценки каждого риска по шкале от 1 до 5 с точки зрения его воздействия, вероятности возникновения и силы существующих средств контроля.Рейтинги обсуждаются на семинарах, и сотрудники имеют право высказывать и обсуждать свое восприятие рисков. В конечном итоге группа вырабатывает консенсусное мнение, которое фиксируется на визуальной карте рисков, рекомендует планы действий и назначает «владельца» для каждого крупного риска.

Опасность внедрения риск-менеджеров в линейную организацию заключается в том, что они «становятся местными» — становятся участниками сделки, а не ее участниками.

Hydro One усиливает подотчетность, увязывая решения о распределении капитала и бюджете с выявленными рисками.В процессе планирования капиталовложений на корпоративном уровне выделяются сотни миллионов долларов, главным образом, на проекты, которые эффективно и действенно снижают риски. Группа риска привлекает технических экспертов для оспаривания инвестиционных планов линейных инженеров и оценок рисков, а также для обеспечения независимого экспертного надзора за процессом распределения ресурсов. На ежегодном собрании по распределению капитала линейные менеджеры должны защищать свои предложения перед коллегами и высшим руководством. Менеджеры хотят, чтобы их проекты привлекали финансирование в процессе планирования капитала с учетом рисков, поэтому они учатся преодолевать предвзятость, чтобы скрыть или минимизировать риски в своих областях ответственности.

Встроенные эксперты.

Отрасль финансовых услуг представляет собой уникальную проблему из-за нестабильной динамики рынков активов и потенциального воздействия решений, принимаемых децентрализованными трейдерами и инвестиционными менеджерами. Профиль риска инвестиционного банка может резко измениться в результате одной сделки или крупного движения на рынке. Для таких компаний управление рисками требует наличия встроенных экспертов в организации, которые должны постоянно отслеживать профиль рисков бизнеса и влиять на него, работая бок о бок с линейными руководителями, деятельность которых порождает новые идеи, инновации и риски — и, если все пойдет хорошо, прибыль. .

JP Morgan Private Bank принял эту модель в 2007 году, когда разразился мировой финансовый кризис. Риск-менеджеры, встроенные в линейную организацию, отчитываются как перед линейным руководителем, так и перед централизованной независимой функцией управления рисками. Личный контакт с линейными менеджерами позволяет опытным менеджерам по управлению рисками постоянно задавать вопросы «а что, если», подвергая сомнению предположения управляющих портфелем и заставляя их смотреть на различные сценарии. Риск-менеджеры оценивают, как предлагаемые сделки влияют на риск всего инвестиционного портфеля не только при нормальных обстоятельствах, но и в периоды экстремального стресса, когда корреляция доходности по разным классам активов возрастает.«Управляющие портфелем приходят ко мне с тремя сделками, и модель [риска] может сказать, что все три добавляют к одному и тому же типу риска», — объясняет Григорий Жикарев, риск-менеджер JP Morgan. «В девяти случаях из 10 менеджер скажет:« Нет, это не то, чем я хочу заниматься ». Затем мы можем сесть и изменить структуру сделок».

Главная опасность внедрения менеджеров по рискам в линейную организацию заключается в том, что они «становятся родными», присоединяются к внутреннему кругу руководящей группы бизнес-подразделения, становясь участниками сделки, а не лицами, задающими вопросы.Предотвратить это — обязанность старшего сотрудника по управлению рисками компании и, в конечном итоге, генерального директора, который задает тон культуре управления рисками компании.

Как избежать ловушки функций

Даже если у менеджеров есть система, которая способствует активному обсуждению рисков, их поджидает вторая когнитивно-поведенческая ловушка. Поскольку многие стратегические риски (и некоторые внешние риски) вполне предсказуемы — даже знакомы, — компании склонны маркировать и разделять их, особенно по направлениям деятельности.Банки часто управляют тем, что они называют «кредитным риском», «рыночным риском» и «операционным риском» в отдельных группах. Другие компании разделяют управление на «риск бренда», «риск репутации», «риск цепочки поставок», «риск человеческих ресурсов», «ИТ-риск» и «финансовый риск».

Такие организационные разрозненности рассредоточивают как информацию, так и ответственность за эффективное управление рисками. Они препятствуют обсуждению того, как взаимодействуют различные риски. Хорошие обсуждения рисков должны быть не только конфронтационными, но и комплексными.Бизнес может потерпеть неудачу из-за комбинации небольших событий, которые непредвиденным образом усиливают друг друга.

Менеджеры могут разработать перспективу рисков в масштабах компании, привязывая свои обсуждения к стратегическому планированию — единому интеграционному процессу, который уже есть в большинстве хорошо управляемых компаний. Например, Infosys, индийская компания, предоставляющая ИТ-услуги, генерирует обсуждения рисков с помощью сбалансированной системы показателей, своего инструмента управления для измерения стратегии и обмена информацией. «Когда мы спросили себя, какие риски нам следует учитывать, — говорит М.Директор по рискам Д. Ранганат: «Мы постепенно концентрировались на рисках для бизнес-целей, указанных в нашей корпоративной системе показателей».

При построении своей сбалансированной системы показателей Infosys определила «растущие отношения с клиентами» в качестве ключевой цели и выбрала показатели для измерения прогресса, такие как количество глобальных клиентов с ежегодными счетами, превышающими 50 миллионов долларов, и годовой процент увеличения доходов от крупных клиентов. При рассмотрении цели и показателей эффективности руководство осознало, что его стратегия привнесла новый фактор риска: дефолт клиента.Когда бизнес Infosys был основан на большом количестве мелких клиентов, дефолт одного клиента не поставил бы под угрозу стратегию компании. Но невыполнение обязательств клиентом за 50 миллионов долларов приведет к серьезной неудаче. Infosys начала отслеживать процент свопа кредитного дефолта каждого крупного клиента как ведущий индикатор вероятности дефолта. Когда ставка клиента увеличивается, Infosys ускоряет сбор дебиторской задолженности или запрашивает промежуточные платежи, чтобы снизить вероятность или влияние дефолта.

В качестве другого примера рассмотрим Volkswagen do Brasil (впоследствии сокращенно VW), бразильский филиал немецкого автопроизводителя.Подразделение по управлению рисками VW использует стратегическую карту компании в качестве отправной точки для диалога о рисках. Для каждой цели на карте группа определяет события риска, которые могут привести к тому, что VW не достигнет этой цели. Затем группа создает карту событий риска для каждого риска на карте, в котором перечисляются практические последствия события для операций, вероятность возникновения, опережающие индикаторы и возможные действия по снижению. Он также определяет, кто несет основную ответственность за управление рисками.(См. Выставку «Карточка событий риска».) Группа управления рисками затем представляет высшему руководству краткое изложение результатов. (См. «Отчет о рисках».)

Помимо внедрения систематического процесса выявления и снижения стратегических рисков, компаниям также необходима структура надзора за рисками. Infosys использует двойную структуру: центральная группа управления рисками, которая определяет общие стратегические риски и устанавливает центральную политику, и специализированные функциональные группы, которые разрабатывают и контролируют политики и средства контроля в консультации с местными бизнес-группами.Децентрализованные группы обладают полномочиями и опытом, чтобы помочь бизнес-направлениям реагировать на угрозы и изменения в их профилях рисков, передавая на рассмотрение центральной группе управления рисками только исключения. Например, если менеджер по работе с клиентами хочет предоставить более длительный период кредита компании, параметры кредитного риска которой высоки, функциональный менеджер по рискам может отправить дело на рассмотрение в центральную группу.

Эти примеры показывают, что размер и объем функции управления рисками не продиктованы размером организации.Hydro One, крупная компания, имеет относительно небольшую группу риска для повышения осведомленности о рисках и информирования всей фирмы, а также для консультирования исполнительной группы по распределению ресурсов с учетом рисков. Напротив, относительно небольшие компании или подразделения, такие как JPL или JP Morgan Private Bank, нуждаются в нескольких экспертных советах на уровне проектов или в группах встроенных менеджеров по рискам, чтобы применять знания в предметной области для оценки рисков бизнес-решений. И Infosys, крупной компании с широким операционным и стратегическим охватом, требуется сильная централизованная функция управления рисками, а также распределенные менеджеры по рискам, которые поддерживают местные бизнес-решения и способствуют обмену информацией с централизованной группой рисков.

Управление неконтролируемым

Внешние риски, третья категория рисков, обычно нельзя уменьшить или избежать с помощью подходов, используемых для управления предотвратимыми и стратегическими рисками. Внешние риски в значительной степени находятся вне контроля компании; компаниям следует сосредоточиться на их выявлении, оценке их потенциального воздействия и выяснении того, как лучше всего смягчить их последствия в случае их возникновения.

Некоторые события внешнего риска достаточно неизбежны, чтобы менеджеры могли управлять ими так же, как и рисками своей стратегии.Например, во время экономического спада после мирового финансового кризиса Infosys выявила новый риск, связанный с ее целью по развитию глобальной рабочей силы: всплеск протекционизма, который может привести к жестким ограничениям на рабочие визы и разрешения для иностранных граждан в нескольких странах ОЭСР. страны, в которых у Infosys было большое количество клиентов. Хотя протекционистское законодательство технически является внешним риском, поскольку он находится вне контроля компании, Infosys рассмотрела его как стратегический риск и создала для него Карту событий риска, которая включала новый индикатор риска: количество и процент сотрудников с двойным гражданством или существующих разрешения на работу за пределами Индии.Если это число сократится из-за текучести кадров, глобальная стратегия Infosys может оказаться под угрозой. Поэтому Infosys внедрила политику найма и удержания персонала, которая смягчает последствия этого внешнего риска.

Однако для большинства событий внешнего риска требуется иной аналитический подход либо потому, что вероятность их наступления очень мала, либо потому, что менеджерам трудно представить их во время своих обычных стратегических процессов. Мы выделили несколько различных источников внешних рисков:

• Стихийные бедствия и экономические катастрофы с немедленным воздействием. Эти риски в общих чертах предсказуемы, хотя их время обычно не определено (когда-нибудь в Калифорнии произойдет сильное землетрясение, но точно неизвестно, где и когда). Их можно ожидать только по относительно слабым сигналам. Примеры включают стихийные бедствия, такие как извержение исландского вулкана в 2010 году, которое закрыло европейское воздушное пространство на неделю, и экономические бедствия, такие как лопание крупного пузыря цен на активы. Когда возникают эти риски, их последствия, как правило, бывают резкими и немедленными, как мы видели на примере разрушений в результате землетрясения и цунами в Японии в 2011 году.

• Геополитические и экологические изменения с долгосрочными последствиями. Сюда входят политические сдвиги, такие как серьезные изменения в политике, перевороты, революции и войны; долгосрочные изменения окружающей среды, такие как глобальное потепление; и истощение важнейших природных ресурсов, таких как пресная вода.

• Конкурентные риски со среднесрочным влиянием. К ним относятся появление прорывных технологий (таких как Интернет, смартфоны и штрих-коды) и радикальные стратегические шаги со стороны игроков отрасли (например, выход Amazon на рынок розничной торговли книгами и Apple на рынок мобильных телефонов и бытовой электроники).

Компании используют разные аналитические подходы для каждого из источников внешнего риска.

Способность фирмы выдерживать штормы зависит от того, насколько серьезно руководители относятся к управлению рисками, когда светит солнце и на горизонте нет облаков.

Стресс-тесты хвостового риска.

Стресс-тестирование помогает компаниям оценить значительные изменения в одной или двух конкретных переменных, последствия которых будут значительными и немедленными, хотя точное время невозможно предсказать.Фирмы, предоставляющие финансовые услуги, используют стресс-тесты для оценки, например, того, как такое событие, как утроение цен на нефть, резкое колебание обменных курсов или процентных ставок, или дефолт крупного учреждения или суверенной страны, повлияет на торговые позиции и инвестиции.

Однако выгоды от стресс-тестирования в решающей степени зависят от предположений — которые сами по себе могут быть предвзятыми — о том, насколько изменится рассматриваемая переменная. Например, стресс-тесты многих банков в 2007–2008 годах предполагали наихудший сценарий, при котором U.Цены на жилье выровнялись и оставались неизменными в течение нескольких периодов. Очень немногие компании задумывались о том, чтобы проверить, что произойдет, если цены начнут снижаться — отличный пример тенденции привязать оценки к последним и легкодоступным данным. Большинство компаний экстраполировали недавние цены на жилье в США, которые в течение нескольких десятилетий не падали в целом, чтобы получить излишне оптимистичные рыночные оценки.

Сценарное планирование.

Этот инструмент подходит для долгосрочного анализа, обычно от 5 до 10 лет.Первоначально разработанный Shell Oil в 1960-х годах, анализ сценариев представляет собой систематический процесс определения вероятных границ будущих состояний мира. Участники изучают политические, экономические, технологические, социальные, регулирующие и экологические факторы и выбирают некоторое количество факторов, обычно четыре, которые окажут наибольшее влияние на компанию. Некоторые компании явно используют опыт своих консультативных советов, чтобы информировать их о важных тенденциях, выходящих за рамки повседневной деятельности компании и отрасли, которые следует учитывать в их сценариях.

Для каждого из выбранных драйверов участники оценивают максимальные и минимальные ожидаемые значения на период от 5 до 10 лет. Объединение крайних значений для каждого из четырех драйверов приводит к 16 сценариям. Около половины имеют тенденцию быть неправдоподобными и отбрасываются; Затем участники оценивают, как стратегия их фирмы будет работать в оставшихся сценариях. Если менеджеры видят, что их стратегия зависит от в целом оптимистичного взгляда, они могут изменить ее, чтобы учесть пессимистические сценарии, или разработать планы того, как они будут изменять свою стратегию, если ранние индикаторы покажут возрастающую вероятность того, что события повернутся против нее.

Военная игра.

War-gaming оценивает уязвимость фирмы перед разрушительными технологиями или изменениями в стратегиях конкурентов. В военной игре компания поручает трем или четырем командам разработать правдоподобные краткосрочные стратегии или действия, которые существующие или потенциальные конкуренты могут предпринять в течение следующих одного или двух лет — более короткий временной горизонт, чем у сценарного анализа. Затем команды встречаются, чтобы изучить, как умные конкуренты могут атаковать стратегию компании.Этот процесс помогает преодолеть предвзятое отношение лидеров к игнорированию свидетельств, противоречащих их текущим убеждениям, включая возможность действий, которые могут предпринять конкуренты, чтобы подорвать их стратегию.

Компании не могут повлиять на вероятность событий риска, выявленных с помощью таких методов, как тестирование риска хвоста, планирование сценариев и военные действия. Но менеджеры могут предпринять конкретные действия для смягчения своего воздействия. Поскольку моральный риск не возникает из-за непредвиденных событий, компании могут использовать страхование или хеджирование для смягчения некоторых рисков, как это делает авиакомпания, когда она защищает себя от резкого повышения цен на топливо с помощью производных финансовых инструментов.Другой вариант для фирм — делать инвестиции сейчас, чтобы избежать гораздо более высоких затрат в будущем. Например, производитель, располагающий объектами в сейсмоопасных районах, может увеличить затраты на строительство, чтобы защитить критически важные объекты от сильных землетрясений. Кроме того, компании, подверженные различным, но сопоставимым рискам, могут сотрудничать для их снижения. Например, ИТ-центры университета в Северной Каролине будут уязвимы для риска ураганов, в то время как центры сопоставимого университета на разломе Сан-Андреас в Калифорнии будут уязвимы для землетрясений.Вероятность того, что оба бедствия произойдут в один и тот же день, достаточно мала, чтобы два университета могли уменьшить свои риски, создавая резервные копии систем друг друга каждую ночь.

Вызов лидерства

Управление рисками сильно отличается от стратегии управления. Управление рисками сосредотачивается на негативе — угрозах и неудачах, а не на возможностях и успехах. Это полностью противоречит культуре «делать», которую большинство руководящих команд стараются развивать при реализации стратегии.И многие лидеры имеют тенденцию недооценивать будущее; они не хотят тратить время и деньги сейчас, чтобы избежать неопределенной будущей проблемы, которая может возникнуть в будущем на чьей-то стороне. Более того, снижение риска обычно включает в себя рассредоточение ресурсов и диверсификацию инвестиций, что прямо противоположно сосредоточенности успешной стратегии. Менеджеры могут посчитать, что отстаивание процессов, которые выявляют риски для стратегий, которые они помогли сформулировать, противоречат их культуре.

По этим причинам большинству компаний требуется отдельная функция для управления стратегическими и внешними рисками.Размер функции управления рисками будет варьироваться от компании к компании, но группа должна подчиняться непосредственно высшей команде. В самом деле, налаживание тесных отношений с высшим руководством, возможно, будет его самой важной задачей; Способность компании выдерживать штормы во многом зависит от того, насколько серьезно руководители относятся к своей функции управления рисками, когда светит солнце и на горизонте нет облаков.

Это то, что отделяло банки, потерпевшие крах во время финансового кризиса, от выживших.Обанкротившиеся компании переложили управление рисками на функцию комплаенса; их менеджеры по рискам имели ограниченный доступ к высшему руководству и советам директоров. Кроме того, руководители обычно игнорировали предупреждения менеджеров по рискам о высокоприбыльных и сконцентрированных позициях. В отличие от этого, Goldman Sachs и JPMorgan Chase, две фирмы, которые хорошо пережили финансовый кризис, обладали сильными внутренними функциями управления рисками и руководящими группами, которые понимали и управляли множественными подверженностями компаний рискам.Барри Зуброу, главный специалист по рискам в JP Morgan Chase, сказал нам: «Возможно, у меня есть титул, но [генеральный директор] Джейми Даймон является директором по рискам компании». Управление рисками не интуитивно понятно; это противоречит многим индивидуальным и организационным предубеждениям. Правила и соответствие могут снизить некоторые критические риски, но не все из них. Активное и рентабельное управление рисками требует от менеджеров систематического обдумывания множества категорий рисков, с которыми они сталкиваются, чтобы они могли разработать соответствующие процессы для каждой из них.Эти процессы нейтрализуют их управленческое предубеждение смотреть на мир таким, каким они хотели бы его видеть, а не таким, каким он есть на самом деле или каким он может стать.

Версия этой статьи появилась в июньском выпуске журнала Harvard Business Review за 2012 год.

Управление рисками — Обзор, важность и процессы

Что такое управление рисками?

Управление рисками включает в себя идентификацию, анализ и реагирование на факторы риска, которые составляют часть жизненного цикла бизнеса Жизненный цикл бизнеса Жизненный цикл бизнеса — это поэтапное развитие бизнеса с течением времени, которое чаще всего делится на пять этапов.Эффективное управление рисками означает попытку максимально контролировать будущие результаты, действуя проактивно, а не реагируя. Таким образом, эффективное управление рисками дает возможность снизить как вероятность возникновения риска, так и его потенциальное воздействие.

Структуры управления рисками

Структуры управления рисками созданы, чтобы делать больше, чем просто указывать на существующие риски. Хорошая структура управления рисками также должна рассчитывать неопределенности и прогнозировать их влияние на бизнес.Следовательно, в результате возникает выбор между принятием риска или отказом от него. Принятие или отклонение рисков зависит от уровней терпимости, которые бизнес уже определил для себя.

Если бизнес устанавливает управление рисками как дисциплинированный и непрерывный процесс с целью выявления и устранения рисков, то структуры управления рисками можно использовать для поддержки других систем снижения рисков. Они включают планирование, организацию, контроль затрат и составление бюджета. Бюджетирование — это тактическая реализация бизнес-плана.Для достижения целей стратегического плана бизнеса нам нужен какой-то тип бюджета, который финансирует бизнес-план и устанавливает меры и показатели эффективности. В таком случае бизнес обычно не испытывает много сюрпризов, потому что основное внимание уделяется проактивным действиям. управление рисками.

Реагирование на риски

Реагирование на риски обычно принимает одну из следующих форм:

• Предотвращение : бизнес стремится устранить определенный риск, избавившись от его причины.
• Смягчение последствий : Уменьшение прогнозируемой финансовой стоимости Типы финансовых моделей Наиболее распространенные типы финансовых моделей включают: модель с тремя отчетами, модель DCF, модель M&A, модель LBO, модель бюджета. Откройте для себя 10 основных типов, связанных с риском, снизив вероятность возникновения риска.
• Принятие : В некоторых случаях бизнес может быть вынужден принять риск. Этот вариант возможен, если у хозяйствующего субъекта возникают непредвиденные обстоятельства для смягчения воздействия риска в случае его возникновения.

При создании непредвиденных обстоятельств бизнесу необходимо использовать подход, основанный на решении проблем. В результате получается хорошо детализированный план, который можно выполнить, как только возникнет необходимость. Такой план позволит бизнес-организации Типы организаций В этой статье о различных типах организаций исследуются различные категории, на которые могут подпадать организационные структуры. Организационные структуры для преодоления препятствий или препятствий на пути к успеху, потому что они могут справляться с рисками, как только они возникают.

Важность управления рисками

Управление рисками — важный процесс, потому что он наделяет бизнес необходимыми инструментами, чтобы он мог адекватно идентифицировать потенциальные риски и справляться с ними. Как только риск был идентифицирован, его легко уменьшить. Кроме того, управление рисками дает бизнесу основу, на которой он может принимать обоснованные решения.

Для бизнеса оценка рисков и управление ими — лучший способ подготовиться к непредвиденным обстоятельствам, которые могут помешать прогрессу и росту.Когда бизнес оценивает свой план по устранению потенциальных угроз, а затем разрабатывает структуры для их устранения, у него повышаются шансы стать успешным предприятием.

Кроме того, прогрессивное управление рисками гарантирует, что высокоприоритетные риски решаются как можно более агрессивно. Более того, у руководства будет необходимая информация, которую они смогут использовать для принятия обоснованных решений и обеспечения прибыльности бизнеса.

Процесс анализа рисков

Анализ рисков — это качественный подход к решению проблем, который использует различные инструменты оценки для разработки и ранжирования рисков с целью их оценки и разрешения.Вот процесс анализа рисков:

1. Выявление существующих рисков

Идентификация рисков в основном включает мозговой штурм. Компания собирает своих сотрудников вместе, чтобы они могли проанализировать все источники риска. Следующий шаг — расположить все выявленные риски в порядке приоритетности. Поскольку снизить все существующие риски невозможно, расстановка приоритетов гарантирует, что те риски, которые могут существенно повлиять на бизнес, будут устранены в более срочном порядке.

2.Оценка рисков

Во многих случаях решение проблемы включает выявление проблемы и последующий поиск подходящего решения. Однако, прежде чем выяснять, как лучше всего справляться с рисками, бизнес должен определить причину рисков, задав вопрос: «Что вызвало такой риск и как это могло повлиять на бизнес?»

3. Разработайте соответствующий ответ

После того, как бизнес-объект настроен на оценку возможных средств устранения выявленных рисков и предотвращения их повторения, ему необходимо задать следующие вопросы: Какие меры могут быть приняты для предотвращения выявленного риска. повторяющийся? Кроме того, что лучше всего делать, если это повторится?

4.Разработайте превентивные механизмы для выявленных рисков

Здесь идеи, которые были признаны полезными для снижения рисков, превращаются в ряд задач, а затем в планы действий в чрезвычайных ситуациях, которые могут быть применены в будущем. Если возникают риски, планы могут быть реализованы.

Резюме

Наши коммерческие предприятия сталкиваются с множеством рисков, которые могут повлиять на их выживание и рост. В результате важно понимать основные принципы управления рисками и то, как их можно использовать для смягчения воздействия рисков на хозяйствующие субъекты.

Дополнительные ресурсы

CFI предлагает аналитика финансового моделирования и оценки (FMVA) ™. Стать сертифицированным аналитиком финансового моделирования и оценки (FMVA) ® Сертификат CFI по анализу финансового моделирования и оценки (FMVA) ® поможет вам обрести уверенность в себе. необходимость в вашей финансовой карьере. Запишитесь сегодня! программа сертификации для тех, кто хочет вывести свою карьеру на новый уровень. Чтобы продолжать учиться и продвигаться по карьерной лестнице, вам будут полезны следующие ресурсы CFI:

• Идиосинкратический риск Идиосинкратический риск Диосинкратический риск, также иногда называемый несистематическим риском, — это неотъемлемый риск, связанный с инвестированием в определенный актив, например, в акции,
• Неприятие убытков Неприятие убытков Неприятие убытков — это тенденция в поведенческих финансах, когда инвесторы настолько опасаются потерь, что они больше стремятся избежать убытков, чем получить прибыль.Чем больше человек терпит убытки, тем больше вероятность того, что он станет склонным к неприятию потерь.
• RAID LogRAID LogA RAID Log — это инструмент управления проектами, предназначенный для централизации и упрощения сбора, мониторинга и отслеживания данных проекта. опять таки. Эта характеристика обычно присваивается инвесторам или участникам рынка, которые предпочитают инвестиции с более низкой доходностью и относительно известными рисками инвестициям с потенциально более высокой доходностью, но также с более высокой неопределенностью и большим риском.

Что такое риск-менеджмент? | APM

Что такое управление рисками? | APM

Определение

Анализ рисков и Управление рисками — это процесс, который позволяет понимать отдельные события риска и общий риск и управлять ими проактивно, оптимизирует успех по минимизирует угрозы и максимизирует возможности и результаты.

Определение из Свода знаний APM 7 ^{-е издание} 📖

Управление рисками

Управление рисками сосредоточено на прогнозировании того, что может не соответствовать плану, и реализации действий по снижению неопределенности до допустимого уровня.

Риск может восприниматься как положительно (потенциальные возможности), так и отрицательно (отрицательные факторы).Риск — это возможность ситуации или события повлиять на достижение конкретных целей

Работая с владельцем риска, профессионал проекта гарантирует, что риски четко определены, прежде чем переходить к этапу анализа рисков в процессе управления рисками.

Процесс управления рисками проекта отражает динамичный характер проектной работы, улавливая и управляя возникающими рисками, а также отражая новые знания в существующих анализах рисков.

Реестр рисков используется для документирования рисков, анализа и реагирования, а также для четкого определения прав собственности на действия.

(Иллюстрация из 6-го издания Свода знаний)

Что такое анализ рисков?

Анализ рисков дает рекомендации относительно наиболее уязвимых мест.Поскольку анализ рисков в основном основан на восприятии, профессионалу проекта важно вовлечь заинтересованные стороны на раннем этапе для выявления рисков.

Чтобы понять различия в восприятии, важно четко описать события риска, отделяя причины (факты сейчас) от событий риска (ситуации, которые могут возникнуть), от последствий (которые влияют на одну или несколько мер проекта) . Это дает возможность последующего анализа и управления рисками.

Эффективный анализ рисков и планирование на случай непредвиденных обстоятельств будет видеть использование запланированного времени и / или непредвиденных обстоятельств.Неиспользованные непредвиденные расходы, скорее всего, вызваны переоценкой, удачей или эффективным управлением рисками. Недостаточная непредвиденная ситуация, скорее всего, вызвана оптимистической оценкой, невезением или неэффективным управлением рисками.

Результаты анализа рисков помогают специалисту по проекту:

• Понять вероятность достижения сроков окупаемости, затрат или
• Информировать и влиять на принятие решений о шансах достижения бизнес-модели и
• Согласуйте уровень непредвиденных обстоятельств, чтобы обеспечить требуемый уровень уверенности.

Изучение новых тенденций в управлении рисками БЛОГ
Презентация о возникающих тенденциях на рынке в условиях, когда управление рисками теперь рассматривается как важный фактор, способствующий принятию решений, а не просто «галочка» … подробнее

10 главных мифов о риске БЛОГ
С незапамятных времен человечество использовало мифы, чтобы разобраться в окружающей нас неопределенности… читать дальше

Какое отношение к риску имеют черные лебеди? БЛОГ
Иногда во время семинаров по рискам кто-то (обычно скрестив руки и с самодовольным выражением лица) поднимает тему черных лебедей … читать дальше

Свод знаний APM, 7-е издание

Вы можете узнать больше об управлении рисками в четвертой главе Свода знаний APM 7 ^th edition .

Свод знаний APM 7-е издание — это базовый ресурс, содержащий концепции, функции и действия, которые составляют профессиональное управление проектами . Он отражает развивающуюся профессию, признавая проектную работу на всех уровнях и во всех секторах для влиятельных лиц, лиц, принимающих решения, профессионалов проектов и их команд.

Седьмое издание продолжается в духе предыдущих выпусков, сотрудничая с проектным сообществом, чтобы создать основу для успешной реализации проектов, программ и портфелей.

Свод знаний APM

SIG о рисках APM

APM Risk SIG (Специальная группа по интересам) предоставляет форум для обмена знаниями и идеями, развития опыта и понимания, а также активного содействия внедрению управления рисками проекта.

SIG о рисках APM

Могли бы вы быть менеджером проекта?

Хорошее место для начала — посетить наш раздел карьеры; это предоставляет вам инструменты и ресурсы, чтобы начать свой путь к управлению проектами.

APM Карьера

Подпишитесь на рассылку новостей APM.

Что такое управление рисками | Управление рисками

Управление рисками — это непрерывный процесс выявления, анализа, оценки и обработки убытков, а также мониторинга контроля рисков и финансовых ресурсов для смягчения неблагоприятных последствий убытков.

Убыток может возникнуть в результате:

• финансовые риски , такие как судебные решения по искам и обязательствам
• операционные риски такие как забастовки
• риски периметра включая погодные или политические изменения
• стратегические риски , включая смену руководства или потерю репутации

Управление рисками предприятия расширяет сферу управления рисками, определяя риск как все, что может помешать компании в достижении ее целей.

Хотя случайные убытки непредвидены и незапланированы, существуют методы, которые могут сделать события более предсказуемыми. Чем более предсказуемо событие, тем меньше риск, поскольку его можно предотвратить или уменьшить; или, как минимум, расходы можно оценить и заложить в бюджет. Именно этот процесс, позволяющий сделать убытки более предсказуемыми, лежит в основе программ страхования.

Ключом к экономичной и эффективной программе управления рисками является контроль функций управления рисками с гарантией того, что выполняемые действия желательны, необходимы и эффективны для снижения общей стоимости операционного риска.

Программа управления рисками формулируется и оценивается примерно в единиц стоимости риска.

Стоимость риска состоит из:

• Нераспределенные убытки — франшиза, удержание или исключения
• Чистая страховая выручка
• Затраты на деятельность по контролю за убытками
• Расходы на управление претензиями
• Административные расходы на управление программой

Преимущества программы управления рисками должны привести к общей экономии для юридического лица при оценке этих компонентов в совокупности.Любая конкретная категория может показывать увеличение или уменьшение стоимости при индивидуальном рассмотрении или разделении в определенные временные рамки.

Типы рисков убытков , относящиеся к сфере управления рисками, включают:

• Имущество — Недвижимость и персонал, материальные и нематериальные активы
• Чистая прибыль — Уменьшение доходов или увеличение расходов; может быть вызвано потерей Имущества (вашего или поставщиков, или клиентов) или убытками из-за гражданских или установленных законом штрафов и судебных решений, или потерей ключевого персонала
• Ответственность — Гражданские и законодательные (правонарушения, компенсация работникам по закону, EPA и другие административные законы)
• Персонал — в результате смерти, потери трудоспособности или выхода на пенсию Ключевой персонал или катастрофическая потеря многих сотрудников

Стратегии управления рисками включают множество концепций.Некоторые из них включают следующие проблемы:

Элементы потерь расходов

• Фактические повреждения физических активов, подлежащие ремонту или замене.
• Увеличение расходов или уменьшение выручки из-за убытков.
• Стоимость расследования, судебные издержки, штрафы и вынесенные судебные решения.
• Снижение производительности труда и негативная реклама и общественное мнение.
• Более высокие потенциальные страховые премии.
• Выплаты в связи со смертью, потерей трудоспособности или увольнением сотрудников.

Методы контроля рисков

• Избегание действий, которые приводят к убыткам.
• Снижение частоты убытков — предотвращение рисков.
• Снижение тяжести убытка — снижение риска.
• Передача ответственности за возникновение убытка по договору.

Методы финансирования рисков

• Удержание убытков намеренно или по бездействию.
• Заимствование денежных средств или использование облигаций или использование других форм капитала
• Нестраховая передача ответственности за возмещение убытков по договору.
• Передача страховки не принадлежащей страховой компании, когда и если риск подлежит страхованию и стоимость не является чрезмерно высокой.

Управление рисками касается всех убытков, а не только тех, которые можно застраховать. Страхование — это метод финансирования некоторых убытков и, следовательно, часть более широкой концепции управления рисками; А не наоборот.

Что такое управление рисками? Основы, которые вам нужно знать | Mitratech Holdings, Inc

Установить контекст

Первый шаг в процессе управления рисками — это установить контекст , так как это создает критерии, по которым вы будете оценивать риски. Объем должен быть изложен в рамках целей вашей организации. Эти цели должны быть четко сформулированы, поскольку риски — это факторы неопределенности, которые могут повлиять на достижение ваших бизнес-целей.

При выборе бизнес-целей необходимо оценить как внутренние, так и внешние факторы, которые могут повлиять на вашу организацию.Их рассмотрение в начале вашего планирования оценки рисков поможет вам определить процессы, которые могут подвергаться повышенным рискам. Это процессы, которые извлекут наибольшую пользу из оценки рисков.

Определить риск

Всесторонняя идентификация основных рисков имеет решающее значение для эффективного управления рисками. Если вы не сможете определить потенциальный риск, он будет исключен из любого дальнейшего анализа, и уделение ему недостаточного внимания может иметь катастрофические последствия.Есть несколько шагов для эффективного выявления рисков:

1. Определите, что могло произойти, а также где и когда это могло произойти

На основе последнего шага, установления контекста, вам необходимо составить список потенциальных рисков, которые могут помешать достижению выбранных вами бизнес-целей. Используйте качественные термины для описания риска, даже если он произойдет. Некоторые фразы, с которых следует начать, — это «неспособность…» или «потеря…», но не включают последствия риска, просто идентифицируйте их.Задайте себе несколько вопросов, которые помогут вам снизить риск идентификации, например:

• • Как мы могли потерпеть неудачу?
  • Где мы уязвимы?
  • Что могло пойти не так?
  • Как кто-то может помешать нашей работе?
  • Как мы узнаем, достигаем ли мы наших целей?
  • На какую информацию мы больше всего полагаемся?
  • На что мы тратим больше всего денег?
  • Какие виды деятельности самые сложные?

2.Определите, почему и как это могло произойти

Теперь вам нужно рассмотреть возможные причин и последствия каждого риска.

Определите потенциальные триггеры, которые могут вызвать возникновение риска — один идентифицированный риск может иметь только одну причину или может иметь несколько. Различные риски могут иметь одну и ту же причину.

Теперь определите возможные последствия каждого события риска — опять же, один идентифицированный риск может иметь только одно последствие или несколько.Различные риски могут иметь одни и те же последствия.

На этом этапе вы можете использовать несколько различных техник. Вы можете выбрать постоянную идентификацию рисков, когда любой может идентифицировать риски, или вы можете рассмотреть возможность проведения кабинетной оценки рисков. Последний вариант является хорошим вариантом для довольно простых процессов и включает обсуждение и оценку рисков с людьми, которые участвуют в повседневной работе выбранного процесса.

Анализ и оценка рисков

Риски — это в основном неопределенность результатов.Вы должны учитывать, насколько вероятно событие риска, и возможный масштаб последствий. На основе анализа рисков вы присваиваете рейтинг риска. В анализ обычно входят:

• Анализ неотъемлемых рисков (каковы вероятность и последствия события риска, если оно произошло в неконтролируемой среде?)
• Выявление и оценка средств контроля (какие средства контроля существуют для борьбы с риском и насколько они эффективны?)
• Анализ остаточных рисков (каковы вероятность и последствия события риска, если оно произошло в текущих условиях?)

Оценка рисков дает представление об основных бизнес-рисках и о том, как они связаны с целями и процессами вашей организации.Вам необходимо разработать критерии, по которым вы будете оценивать риски — это субъективно, поэтому полезно, чтобы различные заинтересованные стороны оспаривали друг друга. Давайте рассмотрим эти шаги более подробно:

Анализ неотъемлемых рисков

Вы проводите этот анализ до того, как посмотрите на уже существующие элементы управления; это поможет вам понять роль средств контроля в снижении риска. По каждому риску спрашивайте:

• Насколько вероятно возникновение риска, если бы не было никаких средств контроля?
• Каковы масштабы вероятных последствий, если бы риск возник в отсутствие контроля?

Выявление и оценка средств контроля

Средства контроля — это любые ваши действия, которые снижают вероятность или последствия наступления события риска.По каждому риску спрашивайте:

• Что такое существующий контроль? Это может быть процесс, политика или действие, которые можно использовать для изменения вероятности или последствий события риска. Если ничего нет, значит, есть пробел в контроле.
• Насколько эффективен контроль? Это включает его дизайн и его работу.

Анализ остаточных рисков

На этом этапе оценивается риск после того, как меры контроля приняты во внимание. По каждому риску спрашивайте:

• Насколько вероятно возникновение риска в текущих условиях? Это следует сделать после проверки эффективности средств контроля.
• Каковы наиболее вероятные последствия события риска, если оно произошло в текущих условиях? Это должно предполагать, что средства управления работают с ожидаемой мощностью.

На основе этих факторов вы должны получить один общий рейтинг риска для остаточных рисков.

Почему управление рисками важнее, чем когда-либо

getty

Нет никаких сомнений в том, что 2020 год станет незабываемым годом.Хотя пандемия Covid-19 оказала огромное влияние, год принес с собой множество проблем — от лесных пожаров в Австралии в начале года до извержения вулкана Таал на Филиппинах — за которыми последовал длинный список сильных ураганов. и широко распространенные социальные волнения здесь, в США. Все это высветило реальность стойкой разрушительной нестабильности.

И нет никаких оснований думать, что волатильность снизится; на самом деле, скорее всего, он только увеличится.Как сказал Мэтью Бишоп, редактор журнала Economist в 2015 году: «В оставшуюся часть нашей жизни темпы изменений никогда больше не будут такими медленными, как сегодня». За последние 20 лет мы стали свидетелями краха доткомов, терактов 11 сентября и глобальной войны с террором, глобального финансового кризиса, а теперь и пандемии. Чрезвычайные события становятся нормой.

Ни один человек или организация не могут предсказать конкретные риски. Но организации могут и должны подготовиться к неопределенному и нестабильному будущему, которое включает в себя изменение климата, технологические нарушения, геополитические риски, угрозы для глобальной цепочки поставок и проблемы, связанные с киберпреступностью, защитой данных и конфиденциальностью.Как мы видели во время пандемии, некоторые современные методы ведения бизнеса (такие как глобализация и своевременное управление запасами) сами по себе создают риски. Регулирующие органы по всему миру продолжают развиваться и расширять сферу своей деятельности, решая такие вопросы, как защита данных и конфиденциальность, а также отмывание денег, финансовые преступления, нарушения санкций, взяточничество и коррупция.

Проблема поддержания бизнес-операций во все более изменчивой и сложной бизнес-среде требует проактивных интегрированных решений, охватывающих людей, данные и инфраструктуру.Организации должны установить четко определенные направления с верхнего уровня, чтобы было ясно, как действовать в случае возникновения проблем.

· Более тесная связь управления рисками с бизнесом и операциями фронт-офиса. Организациям необходимо двигаться быстрыми темпами, чтобы справляться с рисками по мере их развития, а этого невозможно достичь, если управление рисками будет изолировано где-то в бэк-офисе.

· Повышение эффективности использования технологий. Новые технологии, такие как машинное обучение и искусственный интеллект, обещают помочь менеджерам по рискам выявлять конкретные риски и быстрее реагировать на них.Однако многим группам управления рисками еще предстоит в полной мере воспользоваться преимуществами более зрелых технологий в таких областях, как данные, аналитика и моделирование. Помимо других преимуществ, эти технологии могут сократить усилия в областях с меньшим риском и помочь менеджерам сосредоточить свои усилия на реальных угрозах в критических частях организации.

· Согласование политики рисков с бизнес-стратегией. Многие неудачи в управлении рисками указывают на правильную политику в поддержку неправильной стратегии. Риск должен тесно сотрудничать с бизнес-направлениями и предприятием в целом для достижения консенсуса в отношении определения, измерения, контроля и снижения риска.Сотрудничество также помогает уменьшить дублирование усилий.

· Быть активным, а не пассивным или реактивным. Риск-менеджерам необходимо делать больше, чем просто выявлять и снижать потенциальные риски. Они могут, например, подключиться к внешним источникам данных для выявления цифровых сигналов, которые дают ранние индикаторы потенциальных будущих проблем. Новые технологии могут помочь превратить эти данные в аналитические данные и выявить ранее невиданные бизнес-угрозы или возможности.

Еще одно соображение: руководители рисков тратят много времени на размышления о том, как структурирована функция и где она вписывается в организацию.Хотя универсального ответа на этот вопрос не существует, способность риск-менеджеров эффективно функционировать на высоко децентрализованной основе во время пандемии демонстрирует, как эта проблема стала в некоторой степени отвлекающим маневром. Предприятиям нужен централизованный контроль, но им также нужны так называемые «датчики на грани», чтобы предоставлять объективные данные как с передовой, так и извне.