Для оценки делового риска компании используются показатели

Каждый бизнес встречается с рисками, которые иногда приводят к серьезным потерям. Все предусмотреть нельзя, но большинство угроз реально спрогнозировать и подготовить способы решения. Мы узнали у предпринимателей, как анализ рисков помогает остаться на плаву.

Содержание статьи

1. Что такое анализ рисков бизнеса
2. Какие риски бывают в бизнесе

2.1 Внутренние
2.2 Производственные
2.3 Финансовые
2.4 Страховые
2.5 Коммерческие
2.6 Внешние

3. Как оценивать риски в бизнесе?

3.1 Качественная оценка
3.2 Метод аналогий
3.3 Контрольные списки источников рисков
3.4 Метод рейтинговых оценок
3.5 Метод экспертных оценок

4. Как запустить процесс анализа бизнес-рисков

Что такое анализ рисков бизнеса

Если говорить просто, то это план действий для кризисных моментов. Риски прописывают на этапе запуска в бизнес-плане или инвестиционном проекте. На основе анализа рассчитывают финансовую модель, потому что угрозы влияют на окупаемость.

Риски учитывают и в работающем бизнесе. Например, предприниматель открыл ларек с шаурмой в марте 2020 года, а уже в апреле произошел локдаун. Кухню не подготовили к работе на доставку, посетителей принимать нельзя, и бизнес встал. По идее даже такую ситуацию нужно предвидеть, чтобы избежать проблем.

Аналитик компании 3DAnalytics Денис Загребиль считает, что в пандемию обострились регуляторные риски:

«Сегодня актуальны регуляторные риски. Как пример — введение штрафов за несоблюдение требований карантина; открытие/закрытие туристических направлений. Конечно, риски зависят от вида деятельности. В моей практике риски часто встречаются в финансовой деятельности (банки, страхование, инвестиции), информационной безопасности, экологической безопасности»

В риск-анализе прописывают 4 основных параметра:

• Вероятность. Возникновение пандемии спрогнозировать маловероятно, а вот штрафы контролирующих органов в общепите случаются не так уж и редко.
• Степень воздействия. Здесь прогнозируют потери бизнеса от возникновения рисков. МЧС может оштрафовать, а Роспотребнадзор закрыть точку до устранения недоработок. Нужно посчитать, сколько денег теряет компания в этом случае.
• Ответственный. Этот человек предотвращает риски или минимизирует последствия.
• Бюджет. Риски — это всегда затраты, и лучше продумать заранее, как компенсировать потери.

Какие риски бывают в бизнесе

У каждого бизнеса свой круг рисков, поэтому лучше открывать дело в сфере, в которой разбираетесь. Так проще определить круг потенциальных угроз. Но обычно выделяют 6 типов рисков.

Внутренние

Эти угрозы появляются от действий руководства или сотрудников. Например, компания дала таргетированную рекламу в соцсетях. Клиенты начали задавать вопросы в личных сообщениях, а менеджер односложно отвечает, не выводит на диалог, не задает вопросы. В итоге реклама привела потенциальных покупателей, но по вине сотрудника продажи не состоялись.

Производственные

На производстве происходит брак из-за человеческого фактора или некачественного сырья. Или завод встал из-за аварии на подстанции, а оборудование вышло из строя.

Финансовые

Это все, что связано с деньгами. Например, компания отправила продукты в розничные магазины, а те не расплатились в срок. Или предприниматель потратил деньги поставщиков на покупку машины, а у него не осталось средств, чтобы расплатиться по обязательствам.

Страховые

Есть случаи, которые можно заранее предусмотреть и застраховать: пожар или воровство оборудования. Бизнес несет затраты на страховку, но если риски произойдут, то предприниматели получат компенсацию.

Коммерческие

Эти угрозы влияют на реализацию товаров или услуг. Например, магазин одежды столкнулся с тем, что клиенты предпочитают покупать в интернете. Или веб-студия не находит клиентов, потому что конкуренты делают сайты дешевле.

Внешние

На эти условия предприниматель не может повлиять: изменения в законодательстве, пандемия или нововведения в налоговой системе. На последнем стоит остановиться чуть подробнее. В 2021 году предприниматели столкнулись с тем, что государство отменило режим ЕНВД, а взамен предложило измененный патент. Но, как правило, патент в регионах обходится дороже, чем «вмененка». И это несмотря на то что власти разрешили уменьшать стоимость на сумму страховых взносов.

В ФНС стали строже следить за предпринимателями и обоснованностью сделок. С 2021 года налоговики изменили алгоритмы проверки 6-НДФЛ, чтобы видеть предпринимателей, которые платят меньше средней зарплаты по отрасли. То есть если сотрудники получают небольшую официальную зарплату, то ФНС может прислать требование с просьбой указать причины.

Основатель «Школы Профессионального Владельца бизнеса» Оксана Дажун считает, что предприниматели должны обращать пристальное внимание на налоговые риски:

«Важно отслеживать в налоговом контроле результаты и планы ФНС. Изучите, как выбирают компании для плановой проверки, как проводить оптимизацию налогов, как работают суды и чего ждать бизнесу от налогового администрирования. Для этого хотя бы раз в год полезно посещать тренинги, семинары, где расскажут о нововведениях и о судебной практике.

Алгоритм формирования СФЗ

По результатам СВОТ-анализа составить список рисков, угроз, возможностей и сильных сторон бизнеса:

• Сформулировать проблему — то, что может быть эффективно.
• Сформулировать риск — то, что может случиться, если ничего не делать.
• Сформулировать цель — до какого состояния мы хотим и можем снизить риск.
• Сформулировать мероприятия по управлению рисками — что мы будем делать.
• Назначить ответственного за каждый риск.
• Установить конечные и контрольные сроки воздействия на риск.
• Коллегиально установить вероятность наступления риска по 10-балльной шкале.
• Коллегиально установить глубину последствий риска по 10-балльной шкале.
• Определить степень риска и категорию реагирования.
• Внести мероприятия в общий стратегический план мероприятий, индивидуальные СМАРТ-задачи»

Денис Загребиль считает, что риски у каждого бизнеса разные, но некоторые встречаются чаще:

«Риски зависят от этапа развития бизнеса или компании. Но основными я считаю некачественное оказание услуг, недобросовестных поставщиков и сотрудников, переоценку рыночных возможностей. В целом, на мой взгляд, управленческие решения часто принимаются без тщательного анализа рисков бизнеса, ситуационно или на основании опыта»

Как оценивать риски в бизнесе?

Для этого нужно погрузиться в бизнес-процессы и понять слабые места. Учебники по бизнесу выделяют 5 основных методов проведения риск-анализа.

Качественная оценка

Это таблица, где риски распределяют по степени возникновения:

• Высокий;
• Средний;
• Низкий.

После этого прописывают, как компания реагирует на каждый из рисков. Например, предприниматели заранее знали про отмену ЕНВД. Соответственно, за год до этого продумывали действия для бизнеса: выбор системы налогообложения, сокращение издержек, смена торговых точек.

Руководитель компании «Понимай Франчайзинг» Олег Шатилов проводит качественную оценку перед каждым запуском франшизы:

«Компания предлагает партнерам известность бренда, которая создает поток входящих клиентов. Но это касается первичного привлечения, а должны работать и процессы, направленные на сопровождение и удержание (crm и технологии обучения). И если эти процессы не работают, то франшиза не привлечет новых партнеров. Они узнают, что работа плохо выстроена, и пройдут мимо»

Метод аналогий

Это сравнение рисков на базе реализованных проектов такой же тематики. Пилорама запускает производство пеллетов, а коммерческий директор работал на таком заводе в прошлом. Он расскажет, с какими рисками столкнется пилорама и как их избежать. Для этого метода пригодятся сторонние эксперты, которые запускали такие проекты и знают подводные камни.

Коммерческий директор предприятия «Люкшудьинский леспромхоз» Александр Труфанов считает, что общение с конкурентами помогает понять будущие проблемы:

«Мы решили запустить производство фанеры. Мы всегда в диалоге с другими предприятиями и знаем, что главная трудность — поиск сырья. Но у нас собственное сырье, и риски другие. Например, трудно найти работников. В нашей местности просто некому работать. Но скоро рядом построят жилой комплекс, и мы планируем привлекать персонал из этих домов. Поэтому новое производство запустим после окончания стройки»

Контрольные списки источников рисков

Когда компания развивается, она накапливает опыт ошибок и проблем. Руководители заранее знают, с чем столкнутся на определенных этапах масштабирования. Например, пиццерия продает франшизу в разные города, и контрольный список поможет заранее понять опасности. Составляйте чек-лист проблем, который пополняется с каждым новым проектом.

Метод рейтинговых оценок

Это способ, когда ставят рискам оценки по пятибалльной или десятибалльной системе. Если государство собирается ужесточить наказание в области налогов, то риску ставят оценку 5. Значит, в ближайшее время придется вместе с бухгалтером оптимизировать налоги и учет, чтобы не привлекать внимание ФНС. Если у производства 3 постоянных поставщика и 2 в запасе, то угроза остановки не грозит. Этому риску ставят оценку 1 и не принимают срочных решений.

Метод экспертных оценок

Для этого метода привлекают сторонних экспертов: аналитиков, юристов, технологов. Выбор зависит от направления бизнеса. Каждый эксперт делает анализ рисков бизнеса по своей деятельности и определяет влияние на развитие проекта.

Если говорить про малый бизнес, то не всегда предприниматели проводят риск-анализ по методикам. Часто это происходит по наитию и на основе опыта. Денис Загребиль считает, что этот подход не совсем верен:

«Сложность использования метода в необходимости привлекать нескольких экспертов из разных областей или одного, но с широкой экспертизой.
Для оценки рисков в связи с выходом на новые рынки необходимо знать требования местного законодательства к качеству продукции (юристы), конкурентную среду, каналы продвижения, ценообразование (маркетолог, аналитик), квалификацию персонала в стране. Неоспоримый плюс привлечения экспертов — возможность комплексной оценки рисков. Минус же в том, что зачастую требуется участие нескольких экспертов по одинаковым вопросам»

А эксперт по франчайзингу Евгений Талдыкин считает, что с риск-анализом справится руководитель и сотрудники:

«Я был директором по франчайзингу сети парикмахерских. Обедал с сотрудниками и задавал вопросы: что будет, если завтра упадут продажи в 10 раз? Или из-за чего от нас отвернутся потенциальные партнеры? Сотрудникам нравилось доверие, и они активно отвечали на вопросы. А уже из ответов рождались решения. Например, в один момент мы поняли, что у нас много партнеров, менеджеры не в состоянии каждый день поддерживать общение со всеми. В чатах повисли десятки неотвеченных сообщений, а это угроза, что люди откажутся от сотрудничества и расскажут другим. А что будет, когда количество партнеров еще увеличится? Стали работать над проблемой и внедрили чат-бота, который отслеживал чаты с неотвеченными сообщениями, чтобы менеджеры в Отделе сопровождения вовремя отвечали. В целом сессии по анализу рисков бизнеса давали идеи для автоматизации, изменения процессов, увольнения или приема персонала»

Как запустить процесс анализа бизнес-рисков

Определить риски для бизнеса не так сложно. Не стоит бояться научных названий и думать, что без специалистов не обойтись. Конечно, в некоторых случаях нужны эксперты, но основную работу проводят руководители и сотрудники компании.

• Определите внутренние риски. У бизнеса есть цели и задачи. Выясните, что мешает выполнению плана на каждом этапе.
• Сделайте базу рисков компании. Пропишите информацию про все риски, которые угрожают развитию. Распределите их по уровню опасности.
• Назначьте ответственных. Руководитель не сможет контролировать все опасности. Поэтому делегируйте задачи сотрудникам, они на своем участке будут следить, чтобы риски не нанесли урон бизнесу.
• Решите, как управлять рисками. Ответственные должны знать, на что обращать внимание при работе с рисками: как уменьшить опасность и что делать при возникновении.
• Обновляйте базу рисков. Бизнес постоянно развивается и появляются новые опасности. Поэтому регулярно обновляйте базу данных, чтобы была полная картина опасностей и способов решений.

Пример таблицы для контроля бизнес-рисков

Оксана Дажун считает, что эффективный анализ рисков бизнеса прежде всего зависит от руководителя:

«Управлять умеют все, вплоть до кухарок, но по факту мало кто этому учится. Сейчас MBI подтягивают понимание и учат, как управлять, но, к сожалению, я до сих пор встречаю огромное количество директоров, которые используют интуитивный подходит в управлении. А интуитивных подход — это, как правило, реактивный подход: есть проблема — есть реакция, нет проблемы — нет реакции. В таких случаях риски всегда наступают и бьют очень больно. Главная задача — перейти с реактивного управления на системный подход. Это значит, что нужно научиться предугадывать наступление рисков и выстроить хорошую систему мониторинга»

Анализ рисков бизнеса помогает предпринимателям подготовиться к возникновению проблем. Если подходить к этому системно, то у бизнеса появится защита от неожиданных потерь.

Прочитав статью, вы узнаете:

Как идентифицировать риски.
Какие этапы оценки рисков необходимо пройти.
С помощью каких четырех методов можно оценить риски.
С какими проблемами можно столкнуться при исследовании рисков.
Что и в какой последовательности нужно сделать, чтобы провести анализ рисков.

Идентификация рисков

Оценочная часть работы с любым риском на любом предприятии строится по схеме: определение – присвоение приоритета важности – снижение/устранение. Однако всем этим действиям предшествует выявление отдельных характеристик возможных неблагоприятных сценариев развития событий. Это и есть идентификация рисков. Она проводится путем сравнения риска с различными факторами:

Выявить критические и катастрофические риски своего бизнеса можно с помощью экспертов Национальной Юридической Сети.

• возможностями отдельных подразделений компании;
• эффективностью определенных бизнес-процессов;
• размером возможного урона;
• вероятностью реализации риска;
• возможностями компании в зависимости от ее сферы деятельности.

Идентификация рисков является первичным типом их исследования. Она позволяет выявить ключевые неблагополучные факторы, которые присущи тем или иным шагам в бизнесе. Это так называемый «риск идеи», позволяющий интуитивно определить при анализе, стоит ли намеченное действие полученных дивидендов. Для дальнейшего более точного прогнозирования возможных последствий прибегают уже к анализу. Это, в свою очередь, дает возможность получить максимально точные результаты исследования текущих рисков. Однако стадия идентификации очень важна, так как представляет собой основу для дальнейшей аналитики.

Этапы оценки рисков в бизнесе

После идентификации, полученные параметры рисков систематизируются. Этот процесс называется анализом. Благодаря ему перед исследователями предстает более-менее оформившаяся комплексная картина экономических угроз для бизнеса, возможных в отдаленном будущем. На данном этапе уже проводится оценка рисков. В широком смысле это понятие означает определение вероятности проявления негативных факторов риска в ходе работы над запланированным проектом. В более узком – качественное и количественное определение степени их возникновения. Такая работа выполняется в строго определенной последовательности и состоит из следующих этапов:

1. Определяются источники и факторы возникновения риска, выявляются виды и стадии работ над проектом, при которых угроза негативного развития событий особенно велика.
2. Перечисляются все типы рисков, которые могут возникнуть при реализации планируемого действия.
3. Определяется общая целесообразность проекта с точки зрения негативных последствий для бизнеса, вычисляется степень возникновения каждого риска в отдельности.
4. Рассчитываются допустимые значения рисков для деятельности компании. Здесь важно правильно определить уровень возможного урона, при превышении которого начинаются серьезные негативные последствия для компании.
5. Определяются действия для уменьшения или полного устранения заявленных рисков.

Данный порядок исследования подразумевает рассмотрение возможных негативных факторов с качественной и количественной сторон. Первый тип исследования используется при прохождении первой, второй и пятой стадий работ. Количественное рассмотрение рисков проводится на третьей, четвертой и пятой стадиях.

Подходы к оценке рисков

В основных методиках исследования влияния рисков на успешность проекта в расчет берутся экономические, социальные, управленческие и другие составляющие, характерные для деятельности компании и отдельного планируемого шага. При всех подходах к исследованию рисков задачей является прогнозирование результатов, вычисление размеров возможных прибылей и убытков для бизнеса.

Метод оценки неопределенности рисков

При оценке неопределенности рисков необходимо рассмотреть все возможные варианты негативного развития ситуации и для каждого сценария рассчитать пороговые значения ущерба. Это может быть размер производственных мощностей, цена продукта или скорость изготовления и другие характеристики, при снижении которых дальнейшая работа над проектом станет просто невыгодной.

Риск при таком методе понимается как результат неверного сочетания отдельного параметра проекта и остальных факторов. Поэтому анализ здесь проводится путем экспериментального снижения и повышения выбранной характеристики проекта. Это называется проверкой чувствительности конкретного параметра. Суть в том, чтобы проект не содержал характеристик, от которых зависит его общая эффективность. Если чувствительные параметры определены, это поможет контролировать риски, удерживая их на безопасных значениях. Когда подобных характеристик слишком много, это значит, что и риски достаточно велики. В этом случае стоит поставить вопрос о целесообразности проекта.

Исследовать каждый основной экономический параметр в движении недостаточно. Все потому, что на практике различные характеристики зависят друг от друга, а значит, и меняются синхронно. Например, при повышении скорости производства растет и предложение на продукт, что способствует его медленному обесцениванию. При исследовании рисков неопределенности специалисты в каждом случае исследуют влияние десятков таких факторов друг на друга. Это, в конечном счете, позволяет отладить реализацию проекта до мелочей и четко понимать его структуру.

Метод оценки рисков по степени информированности

Недостаток информации о проекте и его отдельных сторонах – это одна из основных причин возникновения многих негативных ситуаций и даже угроз для бизнеса. Из-за малой осведомленности принимаются управленческие решения, которые могут быть не просто неэффективны, но и губительны для компании.

В зависимости от степени информированности участников проекта различают:

• Риски определенности. Сюда относятся негативные варианты развития событий, когда информации достаточно. Источниками, вызывающими доверие, служит в первую очередь бухгалтерская отчетность. Это также могут быть другие официальные документы, предоставляющие какие-либо гарантии или закрепляющие права и обязанности сторон.
• Риски частичной неопределенности. Здесь имеются в виду такие случаи, когда данные о рисках неполные или косвенные. Например, известна только примерная частота возникновения негативных последствий.
• Риски полной неопределенности. Это те ситуации, когда данных о способах работы с риском нет совсем. Однако в таких случаях можно привлечь специалистов, которые смогут лишь частично оценить ситуацию, потому что гарантий не даст никто. Вероятность рисков очень высока.

Для каждой из приведенных групп рисков характерны свои особенности и способы исследования. Например, при полной определенности используются расчетно-аналитические способы определения рисков. Это вычисления, сделанные на основе финансовых отчетов, графиков, статистики и других официальных документов, вызывающих доверие. Результаты вычислений могут быть выражены в разных типах величин:

• Абсолютных. Это значения материального, финансового и другого возможного ущерба, который может быть причинен в результате риска. Они могут быть выражены в деньгах или в виде перечня имущества. Например, снижение уровня дохода предприятия или уменьшение рыночной стоимости продукта.
• Относительных. Это переменные значения, которые рассматриваются по отношению к другим постоянным показателям деятельности. Например, снижение ликвидности производства по отношению к прошлогодним характеристикам или доход от реализуемого проекта по отношению к ожидаемой прибыли. Относительные значения могут выражаться в виде процентов.
• Средних. Такие результаты исследования рисков представляют собой коэффициенты – усредненные значения, полученные при исследовании множества частных примеров. Средние значения используют для наглядного отображения закономерностей и текущих тенденций рынка. В этом смысле эти коэффициенты играют роль графиков. Чтобы комплексно исследовать риски конкретного проекта требуется множество средних величин.

При частичной неопределенности в исследовании рисков большую роль играет понятие вероятности. Ведь о каких-либо гарантиях здесь не может быть речи. Поэтому методы, используемые для исследования опасностей, делятся всего на две категории: статистические и вероятностные. При помощи статистики определяют усредненные результаты проекта и вычисляют возможные отклонения от данных норм. Это довольно наглядные, но очень приблизительные способы исследования рисков. Однако при тотальной нехватке информации приходится использовать и их. В результате вероятностных способов исследования опасностей получают данные о частоте негативных исходов. Такие значения могут быть относительными в случае с конкретным видом деятельности. Например, если нужно рассчитать вероятность снижения покупательской способности при повышении стоимости смартфонов.

В условиях полной неопределенности для анализа рисков существует только один способ – пригласить эксперта в данной области, а лучше группу специалистов. На основе своего опыта и познаний в конкретной сфере бизнеса они могут дать индивидуальное или групповое заключение о том, насколько целесообразно реализовывать рассматриваемый проект. Это поможет определить круг и вероятность реализации каждого риска лишь приблизительно. Так как в таких ситуациях всегда остается элемент случайности.

Метод качественной оценки рисков

Такой подход предполагает заблаговременное выявление возможных негативных факторов, влияющих на проект. Специалист должен предусмотреть все риски на любой стадии разработки и определить меры защиты – нейтрализации негативных ситуаций, их снижения, либо распределения. Это может быть достигнуто следующими способами:

• Учитывается возможность выхода на рынок конкурентного продукта или появления инновационной, более дешевой, технологии изготовления. Поэтому стоимость товаров может быть заблаговременно снижена, чтобы стимулировать покупательский интерес. Вторым распространенным вариантом развития событий может быть ускорение реализации проекта. Целью такой работы с риском является опережение конкурентов.
• Проект тщательно планируется. Устанавливаются сроки выполнения каждого этапа работ вплоть до мелочей. Планируются поставки и другие действия контрагентов, потому что от этого во многом зависит продуктивность и слаженность действий в ходе работы. Мерой предупреждения опасностей при таком механизме анализа является введение штрафов за нарушение установленных сроков.
• Предусматривается вариант уменьшения стоимости продукта. Такой сценарий работы с рисками предполагает, что темпы производства будут снижены, а количество готового товара будет увеличиваться. Рассматривается также обратный вариант развития событий. При этом все указанные процессы, происходящие в проекте, выражаются в виде расчетов, полученных при работе с рисками.
• Весь проект тщательно планируется, выделяются конкретные этапы. После каждого из них подводятся итоги, в которых принимаются решения о том, нужно ли переходить к следующему шагу, возможно ли внести какие-то изменения в работу для максимального снижения опасности. Такой подход во многом способствует повышению результативности проекта.

Когда оценка опасностей производится таким образом, весь проект представляется схематически. Обычно он имеет вид дерева со множеством ветвей, каждая из которых представляет собой определенный ключевой показатель. Все для того, чтобы во время работы с рисками рассмотреть все возможные варианты и найти наименее рискованные решения при меньшей неопределенности. Такая схема анализа позволяет учитывать изменения параметров проекта с точки зрения вероятности.

Метод ставок на риски

При таком подходе вероятность каждого негативного варианта развития событий определяется в виде денежной ставки. Сумма здесь представляет собой максимально возможный доход от альтернативных инвестиций, имеющих те же риски. Например, оценка опасностей запуска новой производственной линии на предприятии для сравнения предполагает использование проекта по замене старого оборудования на новое. При таком методе каждому негативному фактору специалистами присваивается своя «ставка». Нередко такая информация оформляется в виде сводной таблицы.

Среди безусловных плюсов анализа ставок на риски отмечается удобство расчетов и наглядность. Однако минусом здесь является невозможность рассматривать риски, учитывая их развитие во времени. Ведь зачастую они меняются в зависимости от стадии реализации проекта. Также при выборе ставки очень важно подобрать для риска подходящий аналог, который бы мог служить альтернативой для удобного сравнения и анализа. Поэтому лучше всего поручить подобные исследования экспертам. Из-за указанных недостатков метода ставок на риск его нужно использовать с другими видами исследования как дополнительный.

Из приведенных подходов основной в общепринятом понимании так и не выбран. Поэтому на практике используется анализ, который наиболее отвечает специфике компании и конкретного проекта. Нередко применяются сразу две и более методики. Чтобы оценка опасностей была разносторонней и более точной. Также в выборе подходов многое зависит от опыта и квалификации специалиста, проводящего анализ. Это неотъемлемый индивидуальный фактор, который присутствует на всех стадиях принятия решений.

Проблемы исследования рисков

Анализ и оценка рисков в бизнесе являются довольно трудоемкой работой. От специалиста, проводящего анализ, требуется учесть множество различных факторов и вывести из них общие закономерности.

Основные ошибки:

• Несоответствие сложности процесса исследования риска и степени его опасности. Ошибка ведет к неправильному распределению человеческих ресурсов в исследовательской работе. В итоге на анализ незначительных опасностей уходит много времени и сил.
• Повышенное внимание к прошлым и нынешним рискам при недостаточном рассмотрении будущих опасностей. Такая оценка не отражает реального положения дел.
• Отсутствие единого мнения в исследовательской группе по рискам. Это часто приводит к разногласиям и некачественному прогнозированию.
• Неправильное выявление риска. Происходит вследствие некомпетентности персонала, либо высокой сложности работы.
• Задержки в принятии решений по снижению и устранению риска. Некоторые экономические опасности требуют немедленного реагирования и принятия соответствующих мер. Непонимание данного обстоятельства при работе с рисками означает некачественную проработку негативных сценариев развития.
• Неправильно выбранные способы работы с рисками и расставления их по приоритетам. Это распространенная ошибка, особенно если речь идет о сложном проекте с несколькими направлениями деятельности.
• Отсутствие опыта в устранении опасностей для бизнеса. Чтобы предотвратить риски, необходимо тщательнее работать с кадрами, проверяя на профпригодность, либо привлекать сторонних специалистов с более обширным опытом.
• Некачественное оформление отчетов, схем и других сопутствующих материалов при работе с рисками. Это сказывается на восприятии документов и негативно влияет на принимаемые управленческие решения.

Это не полный перечень проблем, которые возникают в процессе анализа и оценки рисков в бизнесе и после него. Однако, зная основные негативные ситуации, можно выработать механизмы их предупреждения.

Пошаговая инструкция анализа бизнес-рисков

Шаг 1. Выявите внутренние опасности, общие для всей компании

Определяйте риски в рамках целей и задач организации. На их основе и с их учетом рассмотрите опасности, которые могут возникнуть в конкретных ситуациях.

Шаг 2. Разработайте библиотеку рисков предприятия

Включите в библиотеку рисков информацию обо всех опасностях, характерных для организации. Разделите риски на общие и частные.

Шаг 3. Распределите риски по сотрудникам

Для каждой опасности назначьте определенного специалиста в компании, который будет контролировать процесс оценки риска, подсчет возможных убытков фирмы и разрабатывать меры снижения и устранения негативных последствий. Заранее четко очертите зону ответственности. Если выбранный риск сложный, для управления им стоит назначить нескольких специалистов. Для согласованности их работы можно заранее разделить обязанности.

Шаг 4. Разработайте методы управления рисками

Сотрудники, ответственные за анализ опасностей, должны определить способы их контроля. Им необходимо выработать меры по уменьшению опасностей и создан запасной вариант управления риском.

Шаг 5. Оцените риски и их последствия

Обычно инвесторы принимают решение о целесообразности сделки интуитивно, основываясь только на собственном опыте. Задача специалистов по исследованию риска предоставить твердые аргументы в пользу инвестирования или против него. Экспертные результаты оценки должны быть поданы в виде расчетов. Такие данные помогут собственнику бизнеса принять взвешенное решение. Каждый риск оценивается на основе двух ключевых факторов:

• Правдоподобие. Анализ того, насколько вероятно возникновение негативного исхода после применения мер смягчения опасности.
• Финансовые последствия. Анализ, позволяющий определить, какие возможные денежные потери понесет компания после использования всех способов управления риском.

Шаг 6. Периодически обновляйте библиотеку рисков

Оценка рисков компании при условии ее стабильной работы должна проводиться ежегодно. При каждом новом исследовании пополняйте базу рисков, чтобы накапливать опыт анализа опасностей и в дальнейшем оценивать их более комплексно. Уже известные общие риски могут изменяться с течением времени, приобретая новые формы и последствия. Если компания меняет способы своей работы, инвестирует средства в новые проекты, начинает сотрудничество с новыми контрагентами, нужно проводить промежуточный анализ рисков. За счет всей этой работы библиотека должна постоянно пополняться.

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

1. Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
   • внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
   • внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
2. Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
3. Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
4. Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
   Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:
   • природный;
   • биосоциальный;
   • техногенный;
   • экологический;
   • профессиональный;
   • информационный;
   • экономический;
   • террористический;
   • кибернетический;
   • иной [6].
5. Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
   • идентификатор;
   • наименование и описание, в том числе:
     ○  источник опасного события;
     ○  объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
     ○  последствия опасного события [3];
   • этап жизненного цикла продукции (услуги) при возникновении опасного события;
   • возможные последствия;
   • необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].

   В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

   • идентифицированные опасные события (инциденты — центральные узлы диаграммы);
   • источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
   • установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).

   

   Рис. 2. Диаграмма «галстук-бабочка»

6. Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

   Таблица 1. Реестр риска (упрощенная форма)

   Идентифи­катор опасного события	Наименование и описание опасного события	Ответствен­ный менеджер по риску	Последствия опасного события (I)	Вероятность опасного события (L)	Оценка риска (I × L)	Мероприя­тия по обработке риска	Срок выполнения мероприятий по обработке риска	Примечания
   План	Факт

7. Следующим за идентификацией этапом процесса управления риском является анализ его природы и уровня. При анализе риска определяются:
   • источники данных;
   • средства контроля;
   • методы анализа;
   • последствия реализации опасного события;
   • вероятность наступления опасного события;
   • оценка уровня риска [6].

   Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

   • шкала последствий (табл. 2);
   • шкала вероятности (табл. 3).
   Таблица 2. Шкала оценивания последствий опасного события

   Последствие (I), баллы	Описание последствий	Объекты воздействия опасного события
   5	Катастрофические последствия	Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура
   4	Значительные последствия	Люди, экономика, инфраструктура, окружающая среда, социальная среда
   3	Умеренные последствия	Люди, экономика, инфраструктура
   2	Небольшие последствия	Экономика, инфраструктура
   1	Малозначительные последствия	Социальная среда

   Примечание: объекты воздействия опасного события приведены для примера.

   Таблица 3. Шкала оценивания вероятности наступления опасного события

   Оценка вероятности, %	Качественная оценка вероятности, баллы
   Очень высокая — 81–100	Очень высокая — 5
   Высокая — 61–80	Высокая — 4
   Средняя — 21–60	Средняя — 3
   Низкая — 1–20	Низкая — 2
   Очень низкая — менее 1	Очень низкая — 1

   Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

   Таблица 4. Матрица риска, ранги

   Качественная оценка вероятности опасного события	Последствия
   Малозначительные (1)	Небольшие (2)	Умеренные (3)	Значительные (4)	Катастрофические (5)
   Очень низкая (1)	1	2	3	4	5
   Низкая (2)	2	4	6	8	10
   Средняя (3)	3	6	9	12	15
   Высокая (4)	4	8	12	16	20
   Очень высокая (5)	5	10	15	20	25

8. Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

   • определение критериев приемлемости риска;
   • сопоставление оценки риска с критериями приемлемости;
   • заключение о приемлемости риска и необходимости его обработки [6].

   По результатам анализа определяется уровень риска в следующих интервалах:

   • ранг 0 — риск отсутствует, никакие действия не предпринимаются;
   • 0–4 — риск низкий, предпринимаются низкозатратные действия;
   • 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
   • 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
   • 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].

9. После оценки риска наступает этап его обработки / модификации посредством:

   • избежания, т. е. отказа от деятельности;
   • принятия;
   • устранения источника риска;
   • изменения его вероятности;
   • изменения его последствий;
   • разделения риска с другой стороной [2].

   Обработка риска включает следующие этапы:

   • определение целей обработки риска;
   • определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
   • разработка и осуществление плана обработки риска [3].

10. Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

    • измеряться в процентах, представлять собой число (номер) или соотношение;
    • определяться сопоставимыми значениями за определенный промежуток времени;
    • иметь базовые значения;
    • иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].

Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

• соблюдать принципы менеджмента риска;
• нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
• формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].

Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

• знание политики, стратегии и целей организации в области менеджмента риска;
• понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
• знание процессов и специфики работы организации;
• знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
• знание и правильное использование терминов менеджмента риска;
• знание карты этого процесса;
• знания в области применения реестра риска.

Основные требования к навыкам менеджеров по риску включают способности:

1. Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
2. Применять критерии допустимого риска организации.
3. Задействовать методы оценки риска.
4. Использовать методы разработки и ведения реестра риска.
5. Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
6. Использовать методы анализа менеджмента риска и управления документацией в этой области.
7. Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
8. Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
   • перечень опасных событий, связанный с ними риск и способы обработки;
   • оценку эффективности мер по обработке ключевых видов рисков;
   • произошедшие изменения за отчетный период;
   • необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
   • предполагаемую причину неэффективности мероприятий по обработке риска;
   • необходимые действия для выполнения мероприятий по обработке риска;
   • меры повышения эффективности риск-менеджмента [6].
9. Обеспечивать понимание риска персоналом организации.
10. Согласовывать процесс риск-менеджмента с общей системой процессов организации.
11. Внедрять решения, принятые по результатам оценки риска.
12. Поддерживать и постоянно улучшать систему риск-менеджмента.

Оценка риска осуществляется группой, включающей следующие роли:

• владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
• руководитель группы — управляет выполнением оценки риска;
• эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
• помощник — оказывает помощь при оценке риска, организует совещания по ней;
• участник — активно участвует в процессе оценки риска [3].

Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

• цель: постоянное определение, анализ, обработка и мониторинг рисков;
• выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
• виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.

В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

Рис. 3. IDEF0-модель процесса менеджмента риска

Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:

• названия параметров риска указываются в поле «Раздел» атрибутов документа;
• содержание (значение) параметров риска заносится в поле «Комментарий» атрибутов документа;



Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

• требования к параметрам риска указываются в поле «Комментарий» раздела атрибутов объекта (рис. 5).



Рис. 5. Карточка раздела документа

Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

Рис. 7. Отчет «Паспорт риска»

Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

1. Лист «Матрица рисков» (рис. 8):
   • средневзвешенный уровень рисков организации (например, 10,25);
   • матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
   • список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.



Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

2. Лист «Риски» (рис. 9):
   • ранг уровня риска (например, 12);
   • сведения (содержание) о параметрах риска;
   • параметры риска (ссылки).



Рис. 9. Лист «Риски» Excel-отчета по мониторингу

3. Лист «Требования» (рис. 10):
   • наименование раздела (нормативно-справочного) документа;
   • требования и рекомендации стандартов для параметра риска.



Рис. 10. Лист «Требования» Excel-отчета по мониторингу

Для удобства навигации отчет содержит необходимые автоматические ссылки.

Источники информации:

1. ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования».
2. ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».
3. ГОСТ Р 51901.23–2012 «Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска».
4. Р 50.1.068–2009 «Менеджмент риска. Рекомендации по внедрению. Часть 1: Определение области применения».
5. ГОСТ Р 51901.21–2012 «Менеджмент риска. Реестр риска. Общие положения».
6. ГОСТ Р 51901.22–2012 «Менеджмент риска. Реестр риска. Правила построения».
7. Р 50.1.084–2012 «Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации».
8. ГОСТ Р ИСО/МЭК 30010–2011 «Менеджмент риска. Методы оценки риска».
9. Р 50.1.090–2014 «Менеджмент риска. Ключевые индикаторы риска».
10. ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств».
11. Создание пользовательских отчетов.

Опубликовано по материалам:
«Менеджмент качества», 03/2019.

Октябрь 2019 г.

Рекомендуемые материалы по тематике

Конференция «Системная практика управления бизнес-процессами»: вопросы и ответы. Часть 1.

Собственник имеет право быть некомпетентным — интервью с Дмитрием Хлебниковым в проекте «Управление из первых рук»

Процедура БП

Методика разработки стратегии и системы BSC-KPI банка. Версия 2.0