Система управления рисками в компании

Хорошо, когда планы выполняются близко к идеалу или даже с превышением нормы. Но если что-то пойдёт не так по независящим от вас причинам? Подведёт поставщик. Не сможет внести оплату клиент. Нагрянет проверка, и работа головного офиса будет парализована на несколько дней. Или во время земляных работ случайно обрубят кабель вашего интернет-провайдера, и вы не сможете воспользоваться своим бизнес-софтом и базами данных (CRM, ERP и прочих информационных систем).

Варианты событий могут быть разными. Но чем крупнее бизнес и чем ответственнее задача, тем больше рисков вы должны предусмотреть, чтобы быть готовыми к их решению.

А чтобы систематизировать подход, на предприятии следует внедрить систему управления рисками. Что это такое и как это сделать – читайте ниже.

Что такое система риск-менеджмента (основные определения)

Система управления рисками в компании – это комплекс мероприятий, руководящих документов, правил и иных управленческих решений, которые направлены на выявление основных рисков и разработку мер по реагированию на них с целью минимизации негативных последствий.

Основная цель риск-менеджмента – сохранение стабильности предприятия, несмотря на внешние и внутренние негативные влияния.

Кто занимается управлением рисками

В зависимости от размера компании управление рисками может предполагать различный набор инструментов и организационных мероприятий.

Например, в небольшой компании риски могут быть только задокументированы с доведением до сотрудников основных алгоритмов реакций на те или иные критические ситуации. Таким образом, реагировать на изменение обстановки будут все сотрудники предприятия.

Если компания большая, то появляются соответствующие надстройки: отделы риск-менеджмента, службы безопасности (в том числе информационной), внутреннего контроля и другие. Они могут активно взаимодействовать по соответствующим вопросам с юридическими службами, с отделами производства и т.д.

Необходимость внедрения таких органов нужно обосновать. Для этого нужно ввести чёткую качественную и количественную оценку рисков, а также систему оценки деятельности подразделения.

Ряд рисков должен быть описан в любой компании. К таким, например, относится система пожарной безопасности и охрана труда на случай чрезвычайных ситуаций: сюда входит огромный комплекс организационных мероприятий, включающий разработку инструкций, обеспечение персонала средствами индивидуальной защиты, проведение инструктажей и прочее.

Часть рисков, особенно финансовых, можно застраховать при наличии соответствующих страховых программ.

Отраслевые стандарты в сфере риск-менеджмента

Так как для многих предприятий риски будут типовыми, их можно стандартизировать. Как раз для описания и регулирования рисков были разработаны следующие стандарты:

  • ISO 31000:2018 «Risk management — Guidelines» (+ русскоязычный вариант – одноимённый ГОСТ Р ИСО 31000-2019).
  • COSO ERM (разрабатывается Комитетом организаций-спонсоров Комиссии Тредвея).
  • Risk Management Standard FERMA (стандарт Федерации Европейских Ассоциаций риск-менеджмента).

Эти стандарты предполагают свои цели и области применения, задачи и особенности. Но во многом они схожи, так как все без исключения разъясняют то, что риски нужно выявлять, систематизировать и по каждому из них разрабатывать адекватные методы реагирования.

Несмотря на наличие конкретных руководств и хорошей теоретической базы, систему управления рисками внедряют лишь немногие компании. Отчасти это связано с большими стартовыми затратами на внедрение таких систем внутри активно работающих и растущих предприятий.

Для чего нужны методы управления рисками в компании

Тут всё просто. Любые методы управления рисками и конкретные действия в рамках разработанных методик нацелены на снижение убытков и других негативных последствий при условии их наступления.

Цель любого бизнеса – получение дохода. И способность получать прибыль должна сохраняться в течение всего жизненного цикла любого предприятия, какими бы ни были внешние или внутренние условия.

Что относится к методам управления рисками

Основными методами управления рисками можно назвать:

  1. Уклонение от рисков – то есть избегание проблемных ситуаций. Лучше всего подходит для того, чтобы своевременно предотвратить наступление риска. Например, компания может воздержаться от заключения спорного контракта, проверить лишний раз репутацию и надёжность партнёра, сократить объём финансирования инновационных проектов, чтобы снизить потери в случае их неудачного завершения, и прочее. Осторожность никогда не помешает. Но у метода уклонения есть свои минусы. Излишняя осторожность может тормозить развитие компании, а все риски всё равно предусмотреть невозможно.
  2. Рассеивание (распределение) рисков. Ещё один эффективный метод, который в некоторых источниках называется «аутсорсинг» или «передача». Работает по принципу «разделяй и властвуй». Когда риски известны, хорошо описаны и задокументированы, вы можете предусмотреть возможность распределения ответственности за них по разным структурным подразделениям внутри компании. Если риски касаются конкретной продукции, то для снижения рисков можно расширить ассортимент, увеличить географию охвата (на случай, если целевой регион не оправдает надежд) и др.
  3. Локализация рисков. Как антипод рассеиванию, но тут немного о другом. Вы можете снизить эффект влияния риска, если изолируете его в контролируемой среде. Например, если не можете предугадать спрос на новый вид продукции, то для снижения возможных репутационных потерь экспериментальные товары можно выделить в отдельную линейку или создать дочернюю компанию и отдельный бренд.
  4. Компенсация рисков. Этот метод аналогичен уравновешиванию на весах. На каждое негативное действие у вас должны быть контрмеры. Даже если риск нельзя компенсировать полностью, вы должны предусмотреть возможность смягчения негативных последствий.

Какие этапы входят в процесс управления рисками

Этапы управления рисками сводятся к одному и тому же перечню в разных источниках, включая обозначенные выше отраслевые стандарты. Здесь нет ничего нового и сверхъестественного:

  1. Риски нужно идентифицировать, то есть выявить.
  2. При наличии большого количества рисков их нужно распределить по группам на основе вероятности возникновения и потенциальных убытков. Поможет с составлением и оценкой рисков Матрица вероятностей и ГОСТ Р ИСО/МЭК 31010-2011, где изложено более трех десятков методов анализа рисков (среди них мозговой штурм, проведение интервью, контрольные листы, анализ дерева событий, «галстук-бабочка» и прочие).
  3. Выбор реакций на риски (один из методов управления рисками, обозначили выше).
  4. Выработка перечня конкретных мероприятий риск-стратегии. Это могут быть любые действия, включая создание резервов, страхование, разработку руководящих документов, должностных инструкций и не только, которые смогут исключить риск или минимизировать его последствия в случае возникновения.
  5. Реализация действий при наступлении риска.
  6. Анализ результатов и при необходимости корректировка политик риск-менеджмента.

Непрерывным процессом, проходящим через все этапы, можно назвать мониторинг возникновения рисков.

Как можно управлять рисками

Всё уже описано в этапах управления выше. Прохождение по этапам выявления, оценки, разработки стратегий, реализации и анализа – это и есть процесс управления рисками компании или предприятия.

Но нужно понимать, что это не просто пункты плана. За каждым из них стоит огромный объём работ. И к каждому пункту нужно подойти максимально ответственно. Если необходимого опыта нет, можно привлечь экспертов или даже профильные агентства, нанять специалистов и создать собственный отдел управления рисками внутри предприятия.

А чтобы максимально автоматизировать процесс управления, логично внедрить специальную систему управления организацией. Это может быть BPM-система или простой таск-менеджер. Но будет лучше, если соответствующая информационная система будет реализовывать весь необходимый функционал управления: контроль и постановка задач, ведение проектов, календарей сотрудников, планирование оргструктуры, хранение переписки (диалогов, обсуждений) и статусов реализации задачи, организация системы оповещений о новых событиях (поставленных задачах, объявлениях) и многое другое.