Как работать с рисками? Процесс риск-менеджмента

Времена сейчас сложные, все важнее становится оценивать риски и вырабатывать решения для их нивелирования.

Есть типичные подходы/ответы при разговорах про риск-менеджмент, для начала развеем их:

  1. «Мы и так знаем какие у нас риски!». Да, но никогда не занимались этим системно, а системная оценка может удивить. Обычно все работают интуитивно, концентрируясь на нескольких рисках.
  2. «Этих нескольких рисков, и так достаточно, они самые важные.» По вероятности возникновения или по величине ущерба? Если по величине ущерба, но вероятность мала, стоит ли овчинка выделки?
  3. «Нам не нужен полный профиль/банк гипотез, достаточно основных». Банки и профили вообще бесполезное дело, если с ними не работать. А у большинства компаний нет не только банка рисков, но и банка гипотез по развитию. Чаще есть банк задач по развитию продукта, но не компании. А риски ещё оценивается точечно и неполно.
  4. «У нас уже есть план по рискам». Чаще всего там набор действий, если риски наступят. Реже всего там, действия по предотвращению наступления риска.

В своей книге «Управление рисками» Валентин Никонов (https://www.litres.ru/valentin-nikonov/upravlenie-riskami-kak-bolshe-zarabatyvat-i-menshe-teryat-8326071/) предлагает 5 шагов к управлению рисками:

  1. Видеть и определять риски.
  2. Создавать профили рисков.
  3. Приоритизировать риски – с какими из них следует работать в первую очередь.
  4. Определить стратегию работы с рисками.
  5. Создать «подушку безопасности» – то есть план работы с рисками.
детали определения риска
Что надо определить

Чтобы работать с рисками, нам надо не только описать событие. Но и определить:

  • факторы уязвимости,
  • влияние,
  • вероятность этого риска.

Факторы уязвимости и действия

Это предпосылки, которые могут привести к возникновению риска. Если есть риск «попадание в ДТП», то факторами уязвимости могут быть «недостаток опыта водителя». А «сложные дорожные условия» это действия при которых наступает риск.

Риск – это некая концепция, риск может и не наступить, а уязвимое место – это факт, который существует.

Валентин Никонов

Вероятность возникновения риска выше, когда активны несколько факторов уязвимости. Меньше факторов уязвимости – меньше вероятность риска. Так что одной из задач по предупреждению рисков является максимальное уменьшение количества активных факторов уязвимости по риску.

Активные факторы уязвимости  содержат в себе сами факты, а также предполагаемые «действия», при которых наступит риск.

Например, при риске отсутствия рабочей силы.

  • Условие – 80 % сотрудников компании, это мужчины призывного возраста.
  • Действие – объявление о мобилизации.

Или при риске возникновения пожара.

  • Условия – на складе стоит цистерна с бензином.
  • Действие – конкуренты могут поджечь (вспомним горящие склады Протек и Natura Siberica. Или просто — сотрудники закурят на складе.

Иногда непонятно что является риском, а что является фактором уязвимости. Если доходить до крайностей, то есть всего два риска: не заработаем сколько надо, потратим больше, чем стоило.

Поэтому в ситуации, когда «Риск – убыток», а «фактор уязвимости – высокая дебиторка», то плохо  понятно что нужно делать. Если же поставить риском «высокую дебиторку», то мы можем увидеть другие факторы уязвимости например «неотработанный процесс предоставления отсрочки» или «низкий кредитный рейтинг у ООО Ромашка, которым мы отгрузили товар на миллион рублей».

Риски нужно определять таким образом, на таком уровне, чтобы было понятно какие меры надо принимать.

Управление риском – это устранение факторов уязвимости.

Валентин Никонов

Ещё раз.

Полностью определить риск  – это определить:

  1. Рисковое событие
  2. Вероятность
  3. Влияние
  4. Факторы уязвимости

 Процесс работы с рисками

1 — Определите риски

Наша задача, для начала определить перечень потенциальных рисковых событий и создать профиль рисков.

Для этого нам понадобится классификация рисков.

Какие типы рисков могут быть?

Существуют три основные группы рисков.

  1. Рыночные риски — основываются на изменение спроса, в том числе по конкурентным и макроэкономическим факторам.
  2. Кредитные риски — в основном связаны с тем, что контрагенты не оплатят счета.
  3. Операционные риски — неадекватные процессы, сбой процессов, ошибки людей и систем, внешние события и т.д.

А также большое количество дополнительных, уточняющих типов:

  • Стратегические риски — вспомните Полароид, Кодак, Нокиа.
  • Репутационные риски — что будет если будут писать про вас негативное.
  • Риски ликвидности — как скоро можно продать.
виды рисков
Неполный перечень видов риска

На картинке выше отнюдь не полный перечень возможных видов рисков. При этом одни и те же риски могут попадать одновременно в несколько видов. Например, маркетинговые риски могут оказаться и рыночными, и стратегическими и операционными, в зависимости от того, что это конкретно за риск.

Как искать риски? Для поиска рисков мы можем проводить обзор документации, интервью с сотрудниками, PEST, SWOT и конкурентные анализы, дерево текущей и будущей реальности и т.д.

2 — Определите критерии оценки рисков

Давайте тебе выберем наиболее значимые для нас риски и определим критерии классификации величины влияния/ущерба.

Нам надо оценить риски по 3 балльной шкале. Какие последствия можно оценить на 1 балл, а какие на 3?

Предположим, что наиболее важные для нас, для нашего успеха,  следующие категории рисков:

  • Безопасность (клиентов и сотрудников)
  • Имидж
  • Проверяющие органы
  • Производительность
  • Финансы

Что может быть последствием на 1 балл, что на 2, что на 3?

Безопасность: 1 балл — лёгкие травмы, 2 балла —  средней тяжести, 3 балла — тяжёлые последствия.

Имидж: 1 балл — негативные слухи, 2 балла — статьи в СМИ и соцсетях, 3 балла — явное отвращение к бренду.

Проверяющие органы: 1 балл — это замечания к исправлению, 2 балла — штрафы, 3 балла — отзыв лицензии, запрет на деятельность.

Производительность: 1 балл — дополнительная нагрузка на сотрудников, 2 балла — остановка некоторых услуг/продуктов, 3 балла — остановка всех продуктов/услуг.

Финансовые риски: 1 балл — потери, например, до 500.000 руб., 2 балла — потеря до 1.000.000 руб., 3 балла — более 1 миллиона рублей.

критерии влияния ущерба риска
Определение критериев ущерба

Но в практике, часто, выбирают лишь один — финансовый критерий, так как практически все можно свести к нему: недозаработали, перепотратились.

3 — Создайте мини-матрицу ИКАО

Теперь, определив критерий тяжести влияния, мы можем создать матрицу рисков ICAO и понять с какими рисками следует работать в первую очередь.

матрица икао icao

В матрице два вектора — вероятность и степень ущерба/влияния. С последним мы разобрались в предыдущем блоке. А вот степень вероятности можно определять просто интуитивно, или опросив коллег/экспертов и получив их оценку по 3 балльной шкале.

В идеале проработать надо все риски, причём делать это регулярно и системно. Но в первую очередь мы работаем с рисками из красной зоны.

Если получилось так, что во время работы разные группы по разному оценили ущерб или вероятность риска, тот тут надо или переоценить и понять почему происходит разница в оценках, или прийти к компромиссу. Самый простой вариант компромисса — лучше переоценить, чем недооценить, и идти по максимальной оценке.

Матрицу можно сделать и посложнее, погуглите, если интересно.

4 — Определите стратегию работы с каждым из рисков

Определив риски, мы должны определить стратегию работы с ними. Есть 4 основные стратегии работы с рисками.

  1. Принятие риска — то есть мы ничего не делаем, принимаем эту вероятность. Когда возможно так поступать, когда прибыль планируемая высока, а убытки низкие. Или то, что от нас никак не зависит.
  2. Смягчение риска — устранить факторы уязвимости (см. начало статьи).
  3. Избегание риска — не делать того, что содержит в себе риск.
  4. Перенос риска — аутсорсинг, страхование риска.
С факторами уязвимости мы работаем только в стратегии «смягчение».
В остальных случаях не трогаем, не делаем, или отдаем на откуп.

Например, есть вероятность получить высокую дебиторку.

Смягчить риск — создать критерии выдачи товарного кредита, описать и запустить процесс работы с дебиторкой. Подписать договор по факторингу.

Избежать риска — все отдавать только по предоплате, чтобы вообще не было дебиторки.

Перенести риск — застраховаться от высокой дебиторки.

Принять риск — ничего не делать, не давать дебиторку не можем, смягчить тоже не можем или не хотим, а страхование для нас не рентабельно.

Далее, по итогам мы заполняем финальную таблицу, подушку безопасности, которая содержит в себе перечень рисков, стратегию и тактику (необходимые действия) работы с ними.

карта рисков - стратегия и тактика
Финальная карта рисков

Форматы работы

В каком формате проводить работу? По сути их два: 1) это создаётся рабочая группа, или сразу отдел, и они в своём темпе реализуют эту работу. 2) это стратегическая сессия, где вы за 1-2 дня разбираете всю группу рисков, а дальше назначаются ответственные и задачи включаются в используемую систему управления, например их можно реализовывать по OKR. После чего наступит стадия контроля за исполнением.

В дальнейшем рекомендуется поставить оценку факторов риска и последствий на регулярную основу.

По PMI PMBOK в пятой редакции, предлагаются следующие 6 шагов по управлению рисками:

  1. Планирование управления рисками
  2. Идентификация рисков
  3. Качественный анализ рисков
  4. Количественный анализ рисков
  5. Планирование реагирования на риски
  6. Мониторинг и управление рисками

Как реализовать пункты со 2 по 5 включительно и были описаны в этой статье. 1 и 2 пункты связаны с постановкой регулярной оценки рисков и контроля исполнения.

Интересно? Поделитесь статьей.

Задайте свой вопрос:
(Ваш e-mail и сообщение увидит только администратор сайта)
Оцените статью
Гай Карапетян