Очевидно, что система управления рисками должна начинаться с идентификации рисков. Потенциальный издатель в 2008 году согласился на название «Как построить карту рисков за 2 недели». Ровно столько и нужно. Возможно, много, но это консультантские проекты, вынуждены закладываться на неизбежные сбои.
Особенность этого раздела, как и всего сайта – практические рекомендации. Если про технологии анализа рисков можно прочитать в энторнетах (кстати, возможно, раздел получился избыточно большим), то информацию о том, что нужно запросить, и тем более перечень людей с темами для разговоров, найти непросто. Тем не менее, часть страничек носит характер «чтобы было», нужны для того, чтобы приподрасшифровать некоторые не очень развернутые в стандартах аспекты.
Ключевые задачи при идентификации.
Первая задача – определить, со сколькими картами рисков и на каком уровне мы будем работать. Задача, как показано в этом разделе, не совсем тривиальная.
Вторая задача – агрегировать потенциальные опасности в как можно меньшее количество рисков. Разумное количество – от 30 до 100, но 100 – это, наверное, уже много.
Нужно ли пользоваться базами рисков?
С хорошей вероятностью у внутреннего аудитора, риск-менеджера либо привлеченного консультанта может оказаться база рисков самого разного авторства. Приведу несколько своих соображений по поводу их использования.
Чем хороши базы рисков: все-таки не с нуля изобретаем велосипед. При этом если база представляет для себя не некие универсальные формулировки для любого предприятия отрасли, а просто «направления поиска» с примерами рисков – это реально может помочь.
Чем плохи базы рисков: есть шанс «пропустить» реальное изучение бизнеса, потому что «и так сойдет». В терминологии эксперта сайта – скатиться к compliance-диагностике, то есть заполнить горку макулатуры и объявить, что предприятию присущи риски, которые есть в базе. Особенно хорошо это получается, когда пользователям предлагается проставить галочки напротив каждого риска. Результат – мы будем работать не с рисками своего предприятия, а с рисками какого-то другого. Не говоря о том, что каждое предприятие, как и семья, несчастно по-своему, то есть шанс пропустить что-то велик. Конечно, процентов 60-70-80 рисков будет совпадать, база рисков будет дорабатываться и т.п. Но всё-таки не совсем то, что нужно получить в идеале.
В общем, однозначных рекомендаций давать не буду: в хороших руках база – неплохой дополнительный инструмент, в плохих руках – мина замедленного действия, когда к первичной идентификации рисков нужно будет вернуться через годик-другой.
Принципиальные соображения о классификации рисков.
В разных стандартах есть разные классификации. На самом деле любая классификация условна, в карту (реестр) рисков попадут все.
Наиболее сложно разделить события, которые происходят при взаимоотношении с внешними контрагентами, между операционными рисками и рисками опасностей. Если договор заключен на невыгодных условиях, как правило, непонятно – то ли это был злой умысел, то ли неверное управленческое решение на основе неправильной оценки ситуации. Большинство людей, связанных с риск-менеджментом, внутренним контролем и внутренним аудитом, в разные моменты времени могут отнести данный пример либо к неэффективности, либо к воровству. Зависит от последних проверок. Конечно, есть (морально устойчивые) люди, которые всегда скажут, что это воровство, но таких всё-таки меньшинство. Такое разделение для карты рисков, на самом деле, не очень важно. Если природа риска одинакова (недостаточный контроль) – рассматривайте один риск.
Соображения, высказанные выше, не относятся к рискам, имеющим одинаковое название, но по сути являющихся разными рисками: операционным и стратегическим. И для постановщика риск-менеджмента очень важно не допустить смешения стратегических и операционных рисков. Причина – менеджмент будет управлять только операционным риском, делая вид, что управляет стратегическим. Несколько примеров:
- потерю доли рынка директору по продажам лучше спихивать на логистику, чем искать системные проблемы (хотя доставка также может быть важна);
- проще повышать отпускные цены и говорить, что ниже себестоимости мы продавать не можем, чем искать новых клиентов, снижать постоянные расходы и заниматься разумным энергосбережением;
- проще просить денег на уже начатые проекты, чем заранее рассчитывать потребности в финансировании на основании стратегии и, соответственно, отказываться от неэффективных проектов на стадии планирования
и т.д. Повторюсь, такое отношение к риск-менеджменту, то есть управление только операционными рисками в ущерб стратегическим, очень снижает его пользу для компании.
Подходы «сверху вниз» и «снизу вверх».
Существует два принципиальных пути идентификации, условно, «сверху вниз» и «снизу вверх». Первый предусматривает формирование базы рисков, и потом их распределение между подразделениями. Второй – поиск рисков, связанных с деятельностью конкретных отделов. Мне больше нравится первый, объясню почему. Второй подход подразумевает анализ рисков, которые возникают в текущей работе всех подразделений. Но в «неразвитых» структурах, в которых не на каждую рабочую лошадь предусмотрен «отдел учета копытопробега», этот подход может не сработать: ведь в них возможны функциональные пробелы. Соответственно, нет функции, нет и риска. Но для огромных структур, к примеру, с численностью управляющей компании более 500 человек, второй подход безусловно более разумен. При применении первого может оказаться, что какое-то подразделение будет обделено, а здесь недалеко и до вопроса: «А чем оно, собственно, занимается?», если никаких рисков в его деятельности нет.
Два типа рисков.
Я делю риски на два типа.
К первому типу рисков относятся риски, в выявлении которых сотрудники всячески заинтересованы. Это риски, связанные с рыночной позицией компании, давлением всяческих государственных органов, нехваткой инвестиций, износом оборудования, ростом стоимости товаров и услуг, нехваткой квалифицированного персонала, низкой зарплатой и т.д. Эти риски сотрудники быстро выявляют и быстро рассчитывают / оценивают. Для этого типа рисков риск-менеджер должен следить только за тем, чтобы их расчет не принимал гипертрофированные значения, когда по оценке менеджмента нехватка пары человек во вспомогательном производстве может привести к потере бизнеса.
Второй тип рисков связан с неэффективностью работы организации. Поясню на вышеприведенных примерах. К примеру, возможную потерю доли рынка дешевле списать на конкурентов, а не на пробелы в маркетинге, возможную остановку производства по предписанию – на происки Ростехнадзора, а не на забывчивость при формировании инвестиционной программы, нехватку инвестиций – на их малое количество, а не на неэффективное расходование средств и т.д. Так вот, ни один разумный человек не будет себя оговаривать, особенно с учетом сложностей в определении потенциальных причин реализации того или иного риска. И для такого типа рисков риск-менеджер должен быть максимально внимателен и практически не доверять сотрудникам. На 100% это касается рисков, связанных с внутренним контролем. Хороший способ – использование принципа «четырех глаз», в применении к риск-менеджменту – см. здесь.