Что значит управлять риском
Управление рисками организации
Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.
Управление рисками организации: основные направления
Процессы управления рисками охватывают 4 основные области:
Управление рисками угроз
Для оценки угроз, риск менеджеры следуют следующим пяти шагам:
Этот процесс ориентирован на превентивное и на антикризисное управление рисками.
В управлении рисками следует различать понятия риска, угрозы и воздействия:
Внутренний контроль
Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.
Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.
Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.
Внутренний аудит
Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.
Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.
Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.
Соответствие регуляторным требованиям
Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.
Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.
Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.
Примеры подходов к управлению рисками организации
В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.
ISO 31000
ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.
Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.
ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.
Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.
Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.
В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.
О ERM они сказали следующее:
…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management
Примеры типов рисков
Процессы управления рисками
COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:
Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance
COSO акцентирует внимание на пяти компонентах системы управления рисками организации:
Руководство и культура
Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.
Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.
Стратегия и постановка целей
Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.
Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.
Производительность
Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.
В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.
После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.
Анализ и пересмотр
Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.
Информация, коммуникация и отчетность
ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.
Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.
Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):
Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.
Процесс управления рисками организации
Процесс управления рисками организации состоит из пяти элементов:
Определение целей и обеспечение согласованности ERM со стратегией бизнеса
В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.
Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.
Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.
Идентификация и документирование рисков
Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.
Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.
Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.
Оценка документированных рисков
Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.
После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.
Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.
Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.
Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.
Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.
Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.
Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:
Ответ на риск
Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.
Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.
Ответ на риск подразделяется на четыре собственные категории:
Уклонение
Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.
Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.
Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.
Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.
Снижение
Часто риски могут быть снижены различными способами.
Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.
Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.
Разделение
Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.
На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.
Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.
По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.
Принятие
Принять риск это значит не предпринимать никаких действий.
Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.
Мониторинг рисков
Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.
Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.
Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.
Управление рисками проекта
Причиной возникновения рисков являются неопределенности, существующие в каждом проекте. Риски могут быть “известные” — те, которые определены, оценены, для которых возможно планирование. Риски “неизвестные” — те, которые не идентифицированы и не могут быть спрогнозированы. Хотя специфические риски и условия их возникновения не определены, менеджеры проекта знают, исходя из прошлого опыта, что большую часть рисков можно предвидеть.
Реализуя проекты, имеющие высокую степень неопределенности в таких элементах, как цели и технологии их достижения многие компании уделяют внимание разработке и применению корпоративных методов управления рисками. Данные методы учитывают как специфику проектов, так и корпоративных методов управления.
Американский Институт управления проектами (PMI), разрабатывающий и публикующий стандарты в области управления проектами, значительно переработал разделы, регламентирующие процедуры управления рисками. В новой версии PMBOK (принятие которого ожидается в 2000 году) описаны шесть процедур управления рисками. В данной статье мы предлагаем краткий обзор процедур управления рисками (без комментариев).
Управление рисками — это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий.
Процесс управления рисками проекта обычно включает выполнение следующих процедур:
Все эти процедуры взаимодействуют друг с другом, а также с другими процедурами. Каждая процедура выполняется, по крайней мере, один раз в каждом проекте. Несмотря на то, что процедуры, представленные здесь, рассматриваются как дискретные элементы с четко определенными характеристиками, на практике они могут частично совпадать и взаимодействовать.
Планирование управления рисками
Планирование управления рисками — процесс принятия решений по применению и планированию управления рисками для конкретного проекта. Этот процесс может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации риска, временной интервал для анализа ситуации. Важно спланировать управление рисками, адекватное как уровню и типу риска, так и важности проекта для организации.
Идентификация рисков
Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков. Идентификация рисков не будет эффективной, если она не будет проводиться регулярно на протяжении реализации проекта.
Идентификация рисков должна привлекать как можно больше участников: менеджеров проекта, заказчиков, пользователей, независимых специалистов.
Идентификация рисков — итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков. Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.
Качественная оценка рисков
Качественная оценка рисков — процесс представления качественного анализа идентификации рисков и определения рисков, требующих быстрого реагирования. Такая оценка рисков определяет степень важности риска и выбирает способ реагирования. Доступность сопровождающей информации помогает легче расставить приоритеты для разных категорий рисков.
Качественная оценка рисков это оценка условий возникновения рисков и определение их воздействия на проект стандартными методами и средствами. Использование этих средств помогает частично избежать неопределенности, которые часто встречаются в проекте. В течение жизненного цикла проекта должна происходить постоянная переоценка рисков.
Количественная оценка рисков
Количественная оценка рисков определяет вероятность возникновения рисков и влияние последствий рисков на проект, что помогает группе управления проектами верно принимать решения и избегать неопределенностей.
Количественная оценка рисков позволяет определять:
Количественная оценка рисков часто сопровождает качественную оценку и также требует процесс идентификации рисков. Количественная и количественная оценка рисков могут использоваться по отдельности или вместе, в зависимости от располагаемого времени и бюджета, необходимости в количественной или качественной оценке рисков.
Планирование реагирования на риски
Планирование реагирования на риски — это разработка методов и технологий снижения отрицательного воздействия рисков на проект.
Берет на себя ответственность за эффективность защиты проекта от воздействия на него рисков. Планирование включает в себя идентификацию и распределение каждого риска по категориям. Эффективность разработки реагирования прямо определит, будут ли последствия воздействие риска на проект положительными или отрицательными.
Стратегия планирования реагирования должна соответствовать типам рисков, рентабельности ресурсов и временным параметрам. Вопросы, обсуждаемые во время встреч, должны быть адекватны задачам на каждой стадии проекта, и согласованы со всеми членами группы по управлению проектом. Обычно требуются несколько вариантов стратегий реагирования на риски.
Мониторинг и контроль
Мониторинг и контроль следят за идентификацией рисков, определяют остаточные риски, обеспечивают выполнение плана рисков и оценивают его эффективность с учетом понижения риска. Показатели рисков, связанные с осуществлением условий выполнения плана фиксируются. Мониторинг и контроль сопровождает процесс внедрения проекта в жизнь.
Качественный контроль выполнения проекта предоставляет информацию, помогающую принимать эффективные решения для предотвращения возникновения рисков. Для предоставления полной информации о выполнении проекта необходимо взаимодействие между всеми менеджерами проекта.
Целью мониторинга и контроля является выяснить, было ли:
Контроль может повлечь за собой выбор альтернативных стратегий, принятие корректив, перепланировку проекта для достижения базового плана. Между менеджерами проекта и группой риска должно быть постоянное взаимодействие, должны фиксироваться все изменения и явления. Отчеты по выполнению проекта должны формироваться регулярно.
Методы управления рисками
Во вступительной части нашего обзора, в котором мы будем анализировать методы управления рисками, предлагаем начать с красноречивого примера. Когда Тони Хейворд стал генеральным директором “BP” (название до мая 2001 года — “British Petroleum”) в 2007 году, он поклялся сделать безопасность своим главным приоритетом. Среди новых правил, которые он установил, были требования, чтобы все сотрудники использовали крышки на кофейных чашках при ходьбе и воздерживались от текстовых сообщений во время вождения. Три года спустя, под наблюдением Тони Хейворда нефтяная вышка Deepwater Horizon взорвалась в Мексиканском заливе, вызвав одну из самых страшных техногенных катастроф в истории. Комиссия по расследованию (США) приписала это бедствие управленческим ошибкам, которые нанесли урон “способности вовлечённых лиц идентифицировать риски, с которыми они столкнулись, и правильно оценить, сообщить и устранить их”. Именно об идентификации, оценке, предупреждении и устранении рисков мы и будем говорить.
Какие риски существуют в жизни предприятия?
Согласно глобальному исследованию по управлению рисками “Aon”, основанного на проводимом два раза в год опросе с почти 2000 ответов, принадлежащими государственным и частным компаниям всех размеров и широкому кругу отраслей, основными десятью рисками, которые угрожают предприятию стали:
Итак, начало положено. Риски идентифицированы. Но, прежде чем продолжить, необходимо раскрыть суть самого риск-менеджмента. И начнём с истории, потому что “Народ, не знающий своего прошлого, не имеет будущего” (М. Ломоносов).
“Истинная разделительная линия между тем, что мы должны назвать древними временами и современностью, заключается в овладении риском”.
Какова история управления рисками? В одной очень интересной книге на эту тему “Против богов: замечательная история риска” утверждается, что истинная разделительная линия между тем, что мы должны назвать древними временами и современностью, заключается в овладении риском. В этой книге Питер Л. Бернстайн утверждает, что когда люди начали понимать, как предсказывать риски и управлять ими, они также начинали понимать, что будущее будет содержать не только случайные события, порождённые волей богов или капризами природы.
Некоторые историки считают, что самая ранняя концепция управления рисками возникла из-за игр. За тысячи лет до того как пользователи интернета могли играть в онлайн-покер, люди в разных древних цивилизациях играли в настольные игры и кости, которые превратились в шахматы и шашки более двух тысяч лет назад.
Исторические свидетельства того, что игры породили теорию вероятностей, важную для управления рисками, получены из работ Данте и Галилея. Знаменитые математики, Паскаль и Ферма, писали друг другу об азартных играх в 1600-х годах, и эта переписка, как полагают, дала начало современной теории вероятностей, используемой сегодня.
Если рассмотреть роль страхования в управлении рисками, то его истоки можно проследить до древних времён. Например, общества взаимопомощи и захоронения были задокументированы ещё в первые дни древнего Рима. Они считаются предшественниками современных страховых компаний.
Заканчивая краткий экскурс в историю, делаем вывод: в любой момент истории, когда люди управляли бизнесом, армиями или целыми странами, наверняка были люди, нанятые для управления рисками с помощью инструментов, которыми они обладали в то время.
Как и любая дисциплина, риск-менеджмент требует описания процессов и систематизации. Первым шагом в создании эффективной системы управления рисками является понимание качественных различий между типами рисков, с которыми сталкиваются организации. Исследования показывают, что риски попадают в одну из трёх категорий. События риска из любой категории могут быть фатальными для стратегии компании и даже для её выживания.
Предотвратимые риски
Это внутренние риски, возникающие внутри организации, которые поддаются контролю и должны быть устранены или исключены. Примерами являются риски, связанные с несанкционированными, незаконными, неэтичными, неправильными или неуместными действиями сотрудников и менеджеров, а также риски сбоев в обычных рабочих процессах. Безусловно, у компаний должна быть зона терпимости к дефектам или ошибкам, которые не причинят серьёзного ущерба предприятию и для которых достижение полного избегания будет слишком дорогостоящим. Но в целом компании должны стремиться устранить эти риски, поскольку они не получают стратегических выгод от их принятия. Сотрудник, подкупающий местного чиновника, может принести компании некоторую краткосрочную прибыль, но со временем такие действия приведут к снижению стоимости компании.
Эта категория рисков лучше всего управляется посредством активной профилактики: мониторинга операционных процессов и направления поведения людей и решений в отношении желаемых норм. Поскольку уже существует достаточное количество литературы по подходу на основе правил, мы отсылаем заинтересованных читателей к боковой панели “Менеджмент управления персоналом” вместо развёрнутого обсуждения лучших практик в данном обзоре.
Стратегические риски
Компания добровольно принимает на себя некоторые риски, чтобы увеличить доход от своей стратегии. Банк принимает на себя кредитный риск, например, когда он одалживает деньги; многие компании берут на себя риски благодаря своим исследованиям и разработкам.
Стратегические риски сильно отличаются от предотвратимых рисков, потому что они не являются нежелательными по своей природе. Стратегия с высокими ожидаемыми доходами обычно требует от компании принятия на себя значительных рисков, и управление этими рисками является ключевым фактором для получения потенциальной выгоды. “BP” согласилась с высоким риском бурения на несколько миль ниже поверхности Мексиканского залива из-за высокой стоимости нефти и газа, которые она надеялась добывать.
Стратегическими рисками нельзя управлять с помощью модели управления на основе правил. Вместо этого вам нужна система управления рисками, предназначенная для уменьшения вероятности того, что предполагаемые риски действительно материализуются, и для улучшения способности компании управлять или сдерживать события рисков в случае их возникновения. Такая система не помешает компаниям предпринимать рискованные предприятия; напротив, это позволило бы компаниям брать на себя рискованные предприятия с более высокой прибылью, чем конкуренты с менее эффективным управлением рисками.
Внешние риски
Некоторые риски возникают в результате событий вне компании и находятся вне её влияния или контроля. Источники этих рисков включают стихийные и политические бедствия и крупные макроэкономические сдвиги. Внешние риски требуют ещё одного подхода. Поскольку компании не могут предотвратить такие события, их руководство должно сосредоточиться на идентификации (как правило, это очевидно в ретроспективе) и смягчении их воздействия.
Компании должны адаптировать свои процессы управления рисками к этим различным категориям. Хотя подход, основанный на соблюдении нормативных требований, эффективен для управления предотвратимыми рисками, он полностью недостаточен для стратегических рисков или внешних рисков, которые требуют принципиально другого подхода, основанного на открытых и явных обсуждениях рисков. Однако это легче сказать, чем сделать; обширные поведенческие и организационные исследования показали, что люди имеют сильные когнитивные искажения, которые не позволяют им думать о риске и обсуждать его, пока не станет слишком поздно.
Таблица 1.
| Вид риска | Описание |
| Рыночный | Общий риск финансовых потерь, связанных с изменением цен на все продукты, составляющие портфель. Он включает риск изменения процентных ставок, валютный риск, фондовый риск и товарный риск. Процентный риск или процентная ставка является финансовый риском потому, что продукт теряет свою ценность в результате уменьшения или увеличения процентных ставок. Валютный риск — это финансовый риск потери стоимости инвестиций из-за изменения обменных курсов. Фондовый риск — это возможность понести потери капитала между моментом приобретения актива и моментом его перепродажи. Например, клиент покупает пакет акций. Всего 100€ первого января 2019 года и перепродаёт через неделю. Однако 8 января 2019 года цена акций упала до 90€. Между моментом покупки и продажи прошла неделя, и акция потеряла 10€. Клиент потерял 10€. Товарный риск напрямую влияет на компании, занимающиеся производством и переработкой сырья и энергии. Например, производители автомобилей зависят от стоимости сырья. Свинец и алюминий составляют около 25% производственных затрат. Из-за подорожания сырья, компании теряют прибыль, что также выражается в падении цен на акции. |
| Кредитный | Финансовый риск того, что качество погашения заёмщиком будет снижено, что может привести к падению стоимости долгового обеспечения. |
| Риск ликвидности | Финансовый риск невозможности перепродать ценные бумаги из-за недостаточного объёма транзакций. Мы говорим о ликвидном рынке, когда объём сделок достаточно высок, чтобы можно было без проблем продавать ценные бумаги. Пример. Человек, которому нужно переехать, хочет быстро продать свою квартиру, чтобы купить другую. Здесь риск ликвидности отражается в невозможности сделать «доступными» деньги, доступные человеку через владение его квартирой. Чтобы быстро реализовать актив, его, безусловно, придётся продавать по цене ниже его реальной стоимости. |
| Инвестиционный | «Риск» в инвестициях означает колебания доходности (размытие). Небольшие колебания доходности называются «низким риском», а большие колебания называются «высоким риском». Например, при сравнении акций венчурной компании с акциями «Toyota», цена венчурных акций может значительно колебаться (например, в 10 раз за несколько дней) по сравнению с акциями «Toyota». В этом случае венчурные акции более рискованные (по сравнению с акциями «Toyota»). |
| Операционный | Операционный риск соответствует потенциальным потерям, вызванными ошибками, совершенными человеческими или материальными ресурсами: сбоями программного обеспечения, мошенничеством, ошибками ввода и т. д. Дело, которое наделало много шума во Франции: дело Жерома Кервьеля. Этот трейдер заставил «Societe Generale» потерять 6,3 миллиарда евро в 2007 году. Этот случай рассматривается как мошенничество и является частью операционных рисков. |
| Юридический | Согласно определению, данному Банком Италии, юридический риск может быть определён как риск наложения судебных или административных санкций, значительных финансовых потерь или ущерба репутации в результате нарушения обязательных норм (закона или регулирования) или саморегулирования (уставы, кодексы поведения). |
| Налоговый | Внедрение системы управления налоговыми рисками должно не только способствовать управлению и решению, а также уменьшать налоговые риски. |
| Информационный | Информация, которая обрабатывается правильно, стала важным активом. Чем выше ценность информации, тем более уязвимой становится компания в случае потери данных (например, из-за утечки данных, кибератак или мошенничества). |
| Маркетинговый | Четыре маркетинговых риска, с которыми сталкиваются компании в современном деловом мире: восприятие и ценность бренда; принадлежность (негативные ассоциации при потере репутации партнёрами); провал рекламной кампании; неадекватная маркетинговая стратегия. |
После подробной идентификации и систематизации рисков, перейдём к следующему этапу — оценке риска.
Оценка риска
Оценка риска используется для анализа влияния выявленных рисков на компанию. Вероятность возникновения и возможный размер ущерба используются для оценки. Если количественная оценка не может быть проведена из-за недостатка данных, риски должны оцениваться на основе качественных критериев. Визуализация с помощью портфеля рисков может быть полезна для оценки риска. Анализ и оценка взаимодействия отдельных рисков также играет важную роль. В большинстве случаев незначительные индивидуальные риски в сочетании друг с другом часто представляют значительный экзистенциальный риск и требуют других мер в контексте управления рисками.
Предупреждение и устранение рисков
Контроль рисков помогает найти способы реагирования на выявленные и оценённые риски. Различные меры и стратегии должны помочь сбалансировать возможности и риски. Стратегия риска должна быть адаптирована к общей корпоративной стратегии. Для этого у компаний есть четыре варианта управления:
Всё управление рисками должно подвергаться мониторингу, который обычно проводится внутренним аудитом. Таким образом можно контролировать и обеспечивать качество и функциональность управления рисками и всеми используемыми инструментами. В то же время должна также иметь место передача информации о рисках, с помощью которой все соответствующие данные могут быть своевременно переданы ответственному лицу. Это повышает осведомлённость о рисках компании.
Инструменты управления рисками:
Посмотрите правде в глаза. Хотя вы уверены, что ваш проект будет успешным, всегда есть вероятность, что что-то пойдёт не так. Управление рисками — это постоянная деятельность, поэтому вы должны продолжать выявлять и регистрировать новые риски по мере их возникновения в течение деятельности компании.
Создание списка рисков — хорошая отправная точка, но этого недостаточно. Вам также нужен план действий для каждого риска, чтобы иметь возможность эффективно управлять ими.
Существует 5 основных способов управления риском: принятие, предотвращение, перенос, смягчение и эксплуатация. Вот подробный взгляд на каждый из них.
Принятие риска
Принятие риска означает, что, хотя вы определили его и зарегистрировали в программном обеспечении для управления рисками, вы не предпринимаете никаких действий. Вы просто принимаете, что это может произойти, и решаете разобраться с этим, если это произойдёт.
Это хорошая стратегия для использования при очень небольших рисках — рисках, которые не окажут большого влияния на ваш проект, если они произойдут, и с ними можно легко справиться, если или когда они возникнут. Создание альтернативной стратегии управления рисками или принятие мер по борьбе с риском может занять много времени, поэтому зачастую лучше использовать свои ресурсы.
Предотвращение риска
Вы также можете полностью изменить свои планы, чтобы избежать риска. Избегайте риска. Это хорошая стратегия для случаев, когда риск имеет потенциально большое влияние на ваш проект. Например, если в январе финансовая команда вашей компании занята ведением корпоративных счетов, провести их в январе через учебный курс для изучения нового процесса не будет хорошей идеей. Есть риск, что счета не будут сделаны, поскольку в январе все они будут слишком заняты, чтобы посещать тренинги или применять новые знания, даже если они действительно посещают семинары. Вместо этого было бы лучше избегать января для обучения полностью. Измените план проекта и запланируйте обучение на февраль, когда основная часть бухгалтерских работ закончится.
Перенос риска
Перенос риска — это стратегия управления рисками, которая используется не очень часто и обычно встречается в проектах, где участвуют несколько сторон. По сути, вы передаёте влияние и управление риском кому-либо ещё. Например, если у вас есть сторонний договор на написание кода вашего программного обеспечения, вы можете перенести на него риск того, что в коде возникнут ошибки. Затем они будут нести ответственность за управление этим риском, возможно, путём дополнительного обучения.
Обычно договорённости о передаче записываются в проектные контракты. Страхование является ещё одним хорошим примером. Если вы перевозите оборудование в рамках вашего проекта, а фургон попал в аварию, страховая компания будет нести ответственность за предоставление нового оборудования для замены того, которое было повреждено. Проектная команда признает, что несчастный случай может произойти, но они не будут нести ответственность, поскольку теперь это является обязанностью страховой компании.
Смягчение риска
Смягчение риска, вероятно, является наиболее распространённой методикой управления рисками, используемой для оценки риска. Это также самый простой для понимания и самый простой в реализации способ. Что означает смягчение, так это то, что вы ограничиваете влияние риска, чтобы в случае его возникновения проблема, которую он создаёт, была меньше и её способы её решения легче.
Например, если вы запускаете новую стиральную машину, а отдел продаж должен продемонстрировать её покупателям, существует риск, что отдел продаж не поймёт продукт и не сможет сделать хорошую презентацию. В результате они будут делать меньше продаж, и будет меньше доходов для компании.
Стратегия смягчения в этой ситуации будет состоять в том, чтобы обеспечить хорошее обучение для отдела продаж. Может всё же быть шанс, что некоторые члены команды или не понимают продукт, или они пропускают тренинг, или они просто не являются экспертами в стиральных машинах и никогда не будут, но влияние риска будет намного меньше, так как большая часть команды сможет эффективно продемонстрировать новый продукт.
Вы можете смягчить воздействие так, как в этом примере, и вы также можете смягчить вероятность его возникновения. Действия будут в целом одинаковыми; иногда вам нужно будет выполнить несколько задач, чтобы уменьшить вероятность возникновения риска, и несколько отдельных задач, чтобы уменьшить влияние риска в случае его возникновения.
Эксплуатация
Принятие, предотвращение, перенос и смягчение рисков прекрасно подходят для случаев, когда риск оказывает негативное влияние на проект. Но что, если риск оказывает положительное влияние?
Например, риск того, что новые стиральные машины будут настолько популярны, что у нас не будет достаточно персонала, чтобы провести демонстрации? Это положительный риск — то, что принесло бы пользу проекту и компании, если бы это произошло. В этих случаях мы хотим максимально увеличить вероятность того, что риск случится, а не остановить его или передать выгоду кому-то другому!
Эксплуатация — это стратегия управления рисками, используемая в таких ситуациях. Ищите способы, как заставить риск случиться, или способы усилить воздействие, если оно произойдёт. Можно обучить дополнительный персонал по продажам, чтобы они также демонстрировали стиральную машину и проводили больше дополнительного маркетинга, чтобы увеличить вероятность того, что у новой машины будет большой спрос, и есть люди, которые при необходимости смогут сделать презентации.
Это 5 стратегий управления рисками, которые вы можете использовать для управления рисками в вашем проекте. Вероятно, вы обнаружите, что используете комбинацию техник, выбираете стратегии, которые наилучшим образом соответствуют рискам вашего проекта и навыкам вашей команды. Однако когда вы приближаетесь к потенциальному риску, убедитесь, что вы записали план действий в свой журнал рисков и ведёте его в соответствии с последними достижениями в управлении рисками.
В управлении проектами нулевого риска не существует. Всегда существует вероятность того, что ваш проект пойдёт не по плану. Поэтому идея состоит в том, чтобы предвидеть и максимально ограничивать риски, которые могут возникнуть, в попытке уменьшить их влияние на бесперебойную работу проекта.
Начиная запуск проекта, вы должны настроить управление рисками: выявить слабые места вашего проекта, подумать о действиях по предотвращению рисков и обдумывать способы их решения/устранения. Подготовившись таким образом, вы избежите дестабилизации при возникновении непредвиденных событий.
Невозможно предвидеть все риски, однако тщательный анализ рисков — это хороший способ гарантировать успех вашего проекта.
Общие методы управления рисками
Уклонение — лучшее средство контроля потерь. Это потому, что, как следует из названия, вы полностью избегаете риска. Если ваши усилия по предотвращению потерь были успешными, то вероятность того, что вы понесёте убыток (от этого конкретного фактора риска) составляет 0%. Вот почему уклонение, как правило, является первым из рассмотренных методов контроля риска. Это средство полного устранения угрозы. Например, инвестор хочет купить акции нефтяной компании, но цены на нефть значительно упали за последние несколько месяцев. Существует политический риск, связанный с добычей нефти, и кредитный риск, связанный с нефтяной компанией. Он оценивает риски, связанные с нефтяной отраслью, и решает избежать участия в компании. Это известно как уклонение от риска.
Предотвращение потерь — это метод, который ограничивает, а не устраняет потери. Вместо того чтобы полностью избегать риска, этот метод принимает риск, но пытается минимизировать потери в результате этого. Например, хранение инвентаря на складе означает, что он подвержен краже. Однако, поскольку на самом деле не существует способа избежать этого, разработана программа предотвращения потерь, чтобы минимизировать потенциальные риски. Эта программа может включать патрулирование территории, установку видеокамер и наличие охраняемых хранилищ.
Снижение потерь — это метод, который не только принимает риск, но и принимает тот факт, что потеря может возникнуть в результате риска. Этот метод стремиться минимизировать потери в случае какого-либо типа угрозы. Например, компании может потребоваться хранить легковоспламеняющиеся материалы на складе. Руководство компании понимает, что это необходимый риск, и решает установить на складе современные разбрызгиватели воды. В случае пожара сумма потерь будет сведена к минимуму.
Разделение — это метод контроля риска, который включает рассеивание ключевых активов. Это гарантирует, что если что-то катастрофическое произойдёт в одном месте, влияние на бизнес будет ограничено активами только в этом месте. С другой стороны, если бы все активы были в этом месте, то бизнес столкнулся бы с гораздо более серьёзной проблемой. Примером этого является случай, когда компания использует географически диверсифицированную рабочую силу.
Дублирование — это метод контроля риска, который по существу включает создание плана резервного копирования. Сбой сервера информационных систем не должен останавливать весь бизнес. Вместо этого резервный или аварийный сервер должен быть легкодоступен в случае сбоя основного сервера. Другой пример дублирования в качестве метода контроля риска — использование компанией службы аварийного восстановления.
Диверсификация — это метод контроля риска, который распределяет бизнес-ресурсы для создания нескольких направлений бизнеса, которые предлагают различные продукты и/или услуги в различных отраслях. При диверсификации существенная потеря дохода от одного направления бизнеса не нанесёт непоправимого ущерба конечному финансовому результату компании.
Заключение
Управление рисками сильно отличается от управления стратегией. Управление рисками фокусируется на негативе — угрозах и неудачах, а не на возможностях и успехах. Это идёт вразрез с культурой “можно сделать”, которую старается поддерживать большинство команд-лидеров при реализации стратегии. И многие лидеры склонны сбрасывать со счетов будущее; они неохотно тратят время и деньги сейчас, чтобы избежать неопределённой проблемы в будущем. Кроме того, снижение риска обычно включает в себя распределение ресурсов и диверсификацию инвестиций, что является противоположностью интенсивной направленности успешной стратегии.
По этим причинам большинству компаний нужен отдельный департамент для управления стратегическими и внешними рисками. Размер департамента риск-менеджмента будет варьироваться от компании к компании, но группа должна отчитываться непосредственно перед топ-командой.
Действительно, поддержание тесных отношений со старшим руководством, возможно, будет самой важной задачей; способность компании противостоять угрозам во многом зависит от того, насколько серьёзно руководители воспринимают свою функцию управления рисками, когда светит солнце, а на горизонте нет облаков.
Это то, что отделяло банки, потерпевшие крах в финансовом кризисе, от тех, которые выжили. Обанкротившиеся компании перевели управление рисками в режим соответствия; их риск-менеджеры имели ограниченный доступ к высшему руководству и своим советам директоров. Кроме того, руководители обычно игнорировали предупреждения риск-менеджеров о высокоэффективных методах управления рисками. В отличие от этого, “Goldman Sachs” и “JPMorgan Chase”, две компании, которые хорошо пережили финансовый кризис, обладали сильными внутренними функциями управления рисками и руководящими группами, которые понимали и управляли многочисленными рисками подверженности компаний. Барри Зуброу, директор по управлению рисками в “JPMorgan Chase”, сказал:
“Возможно, у меня есть звание, но Джейми Даймон [генеральный директор] — главный специалист по управлению рисками компании”. Формализация и стандартизация моделей управления может смягчить некоторые критические риски, но не все из них. Активное и экономически эффективное управление рисками требует, чтобы менеджеры систематически думали о множественных категориях рисков, с которыми они сталкиваются, для того чтобы они могли своевременно применить соответствующие методы управления рисками для каждой из категорий. Методы управления рисками позволяют нейтрализовать шаблонный взгляд: “Видеть мир, не таким, каким нам бы хотелось, чтобы он был, а таким, каков он есть”.
В свою очередь, мы надеемся, что наш обзор поможет вам идентифицировать, оценить, предупредить и устранить все категории рисков, с помощью верно сформулированной стратегии управления, что приведёт к процветанию и стабильности вашей компании.