Этот раздел является теоретическим чуть менее, чем полностью. Весь его читать не нужно, если, конечно, Вы не в первый раз про риск-менеджмент читаете. Можно перейти в конец страницы к ключевым методам.

Стандарт FERMA разделяет технологии анализа и методы идентификации рисков. На этой страничке они не разделены, потому что мне так кажется более удобным.

Отмечу, что FERMA рекомендует рассматривать не только негативные риски, но и позитивные. Фактически я не встречал детального анализа позитивных возможностей. Действительно, над увеличением объема продаж думает каждый бизнес, над сокращением себестоимости – почти каждый, но вот строить дерево позитивных событий «вообще» сложно. Поэтому мой совет – если есть что-то явное, в карту рисков должно попасть. Но детализировать абсолютно всё из позитива я бы не рекомендовал: можно заиграться и начать ловить что-то совсем фантастическое. Включение в перечень рисков достаточно простое: использование оборотов типа «Недополучение маржи из-за…» и пр.

Удобства ради я разделил (сам придумал, если что) методы идентификации на методы, основанные на анализе бизнеса; методы, основанные на анализе производства; и «организационные». В такой классификации я их и рассмотрю. Понятное дело, что большая часть описаний была взята из словарей. Также отмечу, что полный комплект рекомендуемых FERMA методов не рассматривается.

Методы, основанные на анализе бизнеса.

Это традиционные методы, большинство из которых встречается не только в риск-менеджменте. Каждый из методов определяет некоторые наборы подходов к поиску проблем либо же возможностей, которые, в свою очередь, могут привести к неким событиям. Представленные методы можно использовать, в первую очередь, для идентификации стратегических рисков, отсюда еще раз следует, что явное или неявное понимание стратегии необходимо. Однако рассмотрение каждого бизнес-процесса приводит, как правило, к выявлению операционных рисков, а планирование непрерывности бизнеса – к выявлению рисков опасностей.

SWOT анализ (Сильные, слабые стороны, возможности, опасности).

Настолько традиционный метод, что описывать его не буду. Отмечу, что грамотно выявленные опасности и есть негативные риски, а возможности – позитивные. Метод хорош при значительном углублении по сравнению с «типовым» SWOT-анализом, который в подавляющем случае делается «для отмазки», пять-десять опасностей – это мало. В общем, «расширив и углубив», то есть сделав по-человечески, можно идентифицировать многое.

BPEST (Бизнес, политический, экономический, социальный, технологический) – анализ и PESTLE (Политический, экономический, социальный, технологический, юридический, экологический) – анализ.

Тоже традиционные методы. Анализируются риски и возможности, связанные с каждым из аспектов, приведенных в названии. По итогам анализа возникает перечень угроз, которые могут помешать достижению целей. Последний можно расширить до STEEPLED (PESTLE + образовательные и демографические). В России последние два дополнения тоже очень актуальны: бизнес должен быть обеспечен квалифицированным персоналом, с чем есть проблемы. Ради интереса можете поиграться с демографическими данными, коих предостаточно на сайте Росстата. Графики получаются преинтереснейшие.

Анализ сценариев.

При разработке стратегии развития компании, естественно, рассматривают различные сценарии развития. Выбрать приемлемый с точки зрения риска вариант позволяет метод анализа сценариев. В нем последовательно рассматриваются все возможные комбинации и анализируются потенциальные риски, которые сопоставляются с ожидаемой доходностью. При выявлении негативных рисков бизнеса используется для определения событий, реализация которых в совокупности приводит к невозможности достижения стратегических целей.

Планирование непрерывности бизнеса.

Метод основан на выявлении возможных проблем, которые могут привести к кризису, связанному с невозможностью осуществлять деятельность на тех же условиях, что и раньше. Существуют стандарты по планированию непрерывности бизнеса, к примеру, британский BS25999. В нем представлены типовые угрозы: эпидемии, пожары, наводнения, землетрясения, перебои в энергоснабжении, хакерские атаки, терроризм и т.д. Перечень угроз не исчерпывающ, поэтому риск-менеджер должен проанализировать, что именно грозит бизнесу. В России традиционно это административное давление, PR-атаки, для небольших бизнесов – уход ключевых сотрудников. Перечень можно продолжать.

Рассмотрение каждого бизнес-процесса.

Самый эффективный способ для выявления операционных рисков. Основан на том, что все процессы подвергаются подробнейшему изучению на предмет «как бы чего не вышло» и «что может пойти не так». Типовым рискам посвящен соответствующий раздел.

Методы, основанные на анализе производства.

Представленные методы позволяют проанализировать любую сложную систему и позволяют выявлять риски опасностей.

HAZOP (Исследование Опасностей и Функционирования).

Название метода произошло от английских слов hazard и operability. Исследование HAZOP — это процесс детализации и идентификации проблем опасности и работоспособности системы, при этом под системой подразумевается промышленный объект. Основная задача – найти потенциально опасные процедуры, которые могут привести к нарушению функционирования системы, например, взрыву.

Анализ видов и последствий отказов (от failure mode and effects analysis – FMEA).

Метод подразумевает рассмотрение всех возможных отказов и оценку последствий их реализации. Для его использования все возможные отказы классифицируются по величине последствий, и дальше подробно рассматриваются все, начиная с самых критичных.

Анализ дерева неисправности (от fault tree analysis – FTA).

Метод основан на анализе комбинаций событий нижнего уровня, которые могут привести к нежелательному состоянию. Рассмотрение идет сверху вниз для каждого из событий, то есть для определенного события, например, взрыва, рассматриваются все возможные варианты, приводящие к нему.

«Организационные» методы анализа рисков.

Рабочие группы по оценке рисков.

Самый важный метод для успешного завершения старта риск-менеджмента быстро. Обратите внимание, что таких групп должно быть несколько. Численность каждой вряд ли должна превышать 6-8 человек. В противном случае любое совещание превращается балаган. Мне нравится вовлекать в такие группы «лучших замов». Дело в том, что, к примеру, собрать в одном месте всех главных специалистов бывает затруднительно (хотя бывают и исключения: к примеру, еженедельные совещания), во-вторых, люди занятые и т.д. «Лучший зам», скорее всего, помоложе, интерес к жизни потерян не совсем. Поэтому, если представляет, что творится в его подразделении – это будет союзник в постановке риск-менеджмента.

Анкетирование.

Самый простой способ. Результаты тоже близки к самым простым – если удается выявить 3-4 риска к тому, что и так очевидно, анкетирование прошло не зря. Анкетирование может быть как анонимным, так и индивидуальным. В последнем случае заполнение анкеты – повод поговорить с человеком. Форма анкеты может быть разной – от самой простой (название риска и его описание) до более сложной (например, оценка вероятности и ущерба, возможность управления риском и т.д.). Мне нравится последний, потому что можно сделать определенные выводы о текущем понимании риск-менеджмента участниками процесса и объяснить не полностью понятое еще раз.

Мозговой штурм.

Традиционный консультантский прием. Может быть очень эффективен в случае сильной рабочей группы, будет мало эффективен, когда участникам «глубоко пофигу» либо же просто не очень понимают, «зачем козе баян». Применение возможно в случае сильного модератора. Если чувствуете, что «зажечь» десять человек, которым управление рисками интересно примерно так же, как проблемы негров в Америке, вам не по силам – лучше не пытаться и устроить обычное совещание. За исключением случаев, когда нужно делать очень быстро.

Расследование причин события.

Метод, основанный на анализе прошлого. Безусловно полезный метод для исключения повторного взаимодействия с садовым инвентарем.

Аудит и инспекция.

Как я понимаю, речь при формулировке стандартов шла о внешнем аудите и внешней инспекции. Отмечу, что при наличии сильного внутреннего аудита и службы производственной безопасности и охраны труда, риски можно идентифицировать на основании интервью с руководителем внутреннего аудита. Почему нужен именно сильный внутренний аудит (как минимум, операционно-ориентированный) – см. здесь.

Ключевые методы.

Понятное дело, что можно использовать все методы. Особенно полезно упражнение для начинающих специалистов. Я лично использую STEEPLED-анализ с добавлением анализа рынков, анализ бизнес-процессов, мозговой штурм (в исключительных ситуациях – сам с собой, что напоминает понятно что) и некое представление о непрекрасном, сложившееся в голове за время профессиональной деятельности. По факту, как мне кажется, этого вполне достаточно для выявления 90-95% рисков, что является неплохим результатом.

Отдельно скажу о методах, основанных на анализе производства. Они, безусловно, полезны, особенно для страховщиков, которые по итогам анализа производственных процессов формируют итоговую ставку и условия страхования. Однако с точки зрения именно управления рисками результатом в России являются многотомные правила по безопасности чего бы то ни было. Понятное дело, что в исполнении чиновников есть элемент, связанный с коррупциогенностью: очень приятно, когда можно «поживиться» на любом предприятии. Но сама идеология, которую за тем же Ростехнадзором повторяет менеджмент (особенно в части «правила безопасности написаны кровью»), как мне кажется, не очень эффективна. Наиболее резонансные вещи, которые Вы видите – это авиация. Можете посмотреть небо над США, Европой и Россией на https://flightradar24.com. Посмотрите, сколько перевозят перевозчики американские, европейские и российские. Сравните потери воздушных судов за длительный промежуток времени. Думаю, этих аргументов достаточно для выбора буржуйских, а не российских концепций управления производственной безопасностью. Идеология – определять ключевые риски и управлять ими, а не писать многотомные противоречащие друг другу труды, которые ставят любого исполнителя в затруднительное положение. В общем, если заинтересовались безопасностью в конкретной отрасли – интернет в помощь.

Дополнительная информация.

Что касается COSO ERM. Там всё начинается не с рисков, а с целей. Комментировать не буду, вопрос — на любителя. Такой подход:

  • может помочь, если анализировать стратегические цели. Беда в том, что сама стратегия редко формализована и еще реже предприятие функционирует в соответствии с этой стратегией, так как с момента появления тома с названием «Стратегия» все поменялось раза три. Тем не менее, можно подход использовать, но выбрать хотя бы десяток рисков, когда капитализация может снизиться, мягко говоря, затруднительно (обычно получается значительно больше);
  • по моему мнению, абсолютно не нужен для рисков, не являющихся стратегическими. Безусловно, можно поставить цели под названием «сохранность активов» или «безаварийная работа» и к этим целям невероятными мозговыми усилиями придумать риски «хищение активов» и «авария». Но интуиция мне подсказывает, что риски очевидны, а цели будут именно в качестве надстройки над рисками.

Наиболее полезной из COSO ERM мне кажется фраза, что можно анализировать риски «сверху вниз», а можно «снизу вверх».

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.