Сокращение количества рисков.

Самое важное при формировании итогового реестра рисков – это вторая задача, поставленная на этапе идентификации, а именно достичь оптимального количества рисков. В этом разделе я попытаюсь объяснить, как это сделать.

Почему количество рисков должно стремиться к минимуму? Действительно, даже при анализе одного бизнес-процесса количество рисков может превысить сотню. Однако если вывалить тысячи полторы рисков на совет директоров, то вас, скорее всего, не поймут. Дело в том, что даже председателя комитета по аудиту явно не будет интересовать тетя Маша, которая забывает передать документы со склада в бухгалтерию в течение 2 месяцев. Это не есть проблема для совета директоров, потому что проблема, которая его будет интересовать – это достоверность отчетности. И чем меньше таких проблем, тем будет лучше – это и есть основной аргумент. Даже 50 рискам уделить внимание проблематично, а если их будет 5000, то это просто невозможно даже при активнейшей работе. Но, с точки зрения аудитов процессов можно отметить, что и такой анализ не должен пропасть даром: нормального внутреннего аудитора тетя Маша, которая потенциально носит документы в течение двух месяцев, очень даже заинтересует.

Нижний предел количества рисков вряд ли будет меньше 20. Я допускаю существование нерисковых бизнесов, но, все-таки, если их получилось меньше – значит, процедуру идентификации необходимо повторить. С верхним пределом сложнее. Единственное, что нужно отметить, что вряд ли их должно быть более сотни. По итогам реальных проектов количество варьируется от 30 до 80. По моему мнению, если рисков получилось значительно больше, их необходимо укрупнить.

«Свои» и «чужие» риски.

Наиболее распространенная проблема – это включение в реестр рисков «чужих» рисков. Поясню на примерах.

Если бизнес представлен тремя арендованными магазинами, то нецелесообразно рассматривать риски макросреды. Конечно, вступление в ВТО, смена президента и рост цен на нефть в мировом масштабе может опосредованно отразиться на таком бизнесе. Однако на стоимость бизнеса он вряд ли повлияет существенно: эта стоимость скорее будет определена как мультипликатор к EBITDA, а влияние перечисленных факторов на текущие результаты такого бизнеса, мягко говоря, условны.

Обратно, если бизнес достаточно большой и является крупным игроком на рынке чего-нибудь, а компания является публичной, нецелесообразно рассматривать в качестве его рисков наложение штрафов за нарушение правил розничной торговли, повышение цены аренды в конкретном магазине в полтора раза и установку ларька, торгующего аналогичным товаром у ближайшей остановки транспорта. Для такого бизнеса явно существует что-то более значимое, и именно на это можно обратить внимание. Поясню, что фактически перечисленные события могут оказывать влияние на жизнь компании. Но риски целесообразно рассматривать немного по-другому: штрафы на конкретный магазин для нашего бизнеса – это не жалость потери 80 тыс. руб. (в отличие от ИП, который отдаст месячную прибыль от магазина), а репутационный риск, который может снизить покупательский поток по всей сети; перегрев рынка аренды – это классический риск «ценовых ножниц»; установка одного ларька нам бизнес не изменит, но вот «Усиление конкуренции» в целом – рассматривать, конечно, нужно. В общем, рассматривайте именно «свои» риски. А «штрафы за нарушение правил розничной торговли» и «усиление роли ларьков» переносите в описание как один из возможных вариантов причин возникновения действительно важного для нас риска.

Объединение рисков одной природы.

Эта процедура скорее близка к искусству, чем к ремеслу, на ней я остановлюсь подробно, попытавшись объяснить эту процедуру на примерах.

Пример 1. Почти при каждой постановке риск-менеджмента кто-нибудь да вспоминает риск падения кирпича на голову. Этот прискорбный риск вместе с падением на голову гаечных ключей, дрелей и других инструментов, а также падения сотрудников предприятия со стремянок, наездов погрузчика на мирно идущих на обед работников и аналогичных грустных происшествий нужно назвать «Травма сотрудника». Таким образом, выбрав название, можно покрыть значительное количество более мелких рисков (почему-то особенно часто «мелочат» при анкетировании). Стоит отметить и то, что этот риск включает и другой риск, а именно несоблюдение техники безопасности. И хотя травмы в подавляющем случае происходят именно из-за несоблюдения правил ОТиТБ, рассматривать отдельно такой риск в случае, если он может привести только к травмам, не нужно.

Пример 2. Каждый бизнес может быть проверен, поэтому можно рассматривать риски «претензий МЧС», «претензий СЭС», «претензий ФНС» и претензий остальных трехбуквенных бед. Однако причина претензий может быть разная: «по заказу» и «за дело». Первый вариант – это риск, связанный с оказанием на бизнес административного давления для целенаправленного снижения его стоимости, и результатом проверки должно стать приостановление деятельности предприятия. Для уменьшения числа рисков нужно рассмотреть отдельно именно его, то есть риск «препятствия со стороны органов власти» либо аналогичным названием. Второй вариант – это когда при проверках возможно возникновение обоснованных претензий, то есть когда деятельность компании даже в минимальной степени не соответствует утвержденным правилам. В этом случае, при сохранении рисков, связанных с административным давлением, можно рассмотреть и риски предъявления претензий со стороны конкретного органа. Результаты непредвзятой проверки совершенно не обязательно приведут к остановке предприятия. В последующем описании рисков риск-менеджер должен подробно привести, за что же предприятие может быть наказано. Для этих целей идеально подходят отчеты внутреннего аудита с выявленными недостатками. Опять же, если по каждому из направлений любой проверяющий может потенциально приостановить деятельность, а компания привыкла откупаться от такого рода внешних проверок, можно и эти риски объединить и назвать «Проверки со стороны органов власти».

Пример 3. Всё, что касается бизнес-процессов. Для каждого бизнес-процесса в соответствующем разделе есть рекомендации по укрупнению рисков для конкретной карты.

Используя похожие алгоритмы, можно значительно сократить количество первоначально заявленных рисков.

Формулировки и описание рисков.

Распределение между названием и описанием.

Название рисков должно быть максимально коротким и понятным. Хотя бы из соображений удобства: карта рисков содержит легенду. Если риск будет называться «Выход на рынок иностранного конкурента с практически неограниченными финансовыми возможностями по сравнению с нашими, который сначала скупит маленькие производства, затем некоторое время будет демпинговать, отвоюет примерно половину нашего рынка за счет качества в высокодоходном сегменте и в итоге оставит нашему бизнесу только низкодоходный сегмент, где соревнование идет только за счет цены и обречет нас на медленную и верную гибель, если наш бизнес ничего не предпримет», то на легенду такая сентенция явно не поместится.

Поэтому для удобства необходимо давать рискам максимально короткое название, при этом из этого названия должно следовать однозначное понимание самого риска. В случае этого примера риск нужно назвать «Выход на рынок иностранного конкурента». Назвать риск «Появление нового конкурента» или «Усиление конкуренции» будет не очень удобным. Причина – например, российский конкурент нам может быть и не страшен. Все последствия возникают именно из-за наличия у иностранного конкурента значительного опыта, только финансовых ресурсов будет недостаточно.

А описание же должно быть максимально подробным. Если будет страница – не пугайтесь, это хорошо. Дело в том, что чем подробнее описание, тем проще в дальнейшем будет разрабатывать программу управления этим риском. Соответственно, правильное описание и приведено в неправильном примере названия (за исключением последних нескольких слов). Если в описании ограничиться только тем, что у иностранца будут неограниченные финансовые возможности, то будет непонятно, что же нам грозит: мало ли у кого денег как у дурака фантиков. Указание же на то, что возможен демпинг и занятие высокодоходной ниши, потенциально обращает внимание на наши слабые места. Соответственно, в будущем нужно быть готовым занять свою нишу (к примеру, низкодоходную) и стать там ключевым игроком – принятию таких решений и будет способствовать максимально подробное описание.

Выбор названия для стратегических и операционных рисков.

Как уже было сказано, некоторые стратегические и операционные риски могут быть названы одинаково. К примеру, если бизнес зависит от нескольких крупных клиентов (к примеру, два из них обеспечивают 70% выручки), то риск хочется назвать «потеря крупного клиента». Однако причины стратегического и операционного риска будут разными. Стратегический риск потери крупного клиента возникает из-за усиления конкуренции, а причиной операционного риска потери крупного клиента является несовершенство бизнес-процессов: если вы еженедельно срываете 10% процентов поставок, большому клиенту это когда-нибудь надоест. Для того, чтобы не «потерять» риски в процессе управления рисками, желательно их назвать по-разному. Например, «Потеря крупного клиента из-за усиления конкуренции» и «Потеря крупного клиента из-за несовершенства бизнес-процессов».

Выбор названия риска для частых либо произошедших событий.

Начну с примеров.

Пример 1. Имеется падение добычи на старом месторождении в последние 2-3 года при отсутствии инвестиций. Практически медицинский факт, что падение продолжится. То есть риск «Падение добычи» будет иметь вероятность 100%.

Пример 2. Риск «ДТП» в большой логистической компании. Безусловно, в автотранспортной компании с сотней единиц техники можно рассматривать ДТП риском, однако вероятность того, что 100 машин в течение года не попадут в происшествие ни разу практически нулевая даже в автогараже управления делами Президента РФ. Аналогично в случаях небольших производственных аварий, поломок оборудования, мелких хищений и т.п.: они всегда будут.

Чтобы не присваивать рискам вероятность в 100%, лучше рассматривать риски прогрессирующего падения добычи (то есть падения больше ожидаемого), роста ДТП, аварий, поломок, хищений по отношению «к достигнутому уровню». Именно это и будет риском.

Приведенный подход может вызвать дебаты. Каноничным подходом в соответствии с COSO ERM является формулировка риска «как есть» и установление риск-аппетита. То есть рассматриваем соответствующие риски «Падение добычи», «ДТП», «Аварии», «Поломки», «Хищения». Но устанавливаем риск-аппетит. Примеры установления риск-аппетита: «допустимое падение – 3%», «кол-во ДТП – 20 в год без тяжелых травм», «количество внеплановых остановов производства – 2 раза в год не более 3 дней», «стоимость ремонтов – 100 млн. руб.», «хищения – не более 10 млн. руб. в год» и т.п. Подход, естественно, допустим. Мне не нравится такой вариант тем, что его тяжело отразить на карте рисков. Соответственно, фактически предлагаю включать риск-аппетит в формулировку риска: «Падение добычи свыше 3%», «ДТП с тяжелыми травмами» и пр. 

Что делать при разных взглядах.

На этом этапе возможна ситуация, когда одно подразделение, особенно потенциально ответственное за какой-нибудь риск, возражает против самого его наличия. Типичные примеры – это хищения либо закупки по завышенным ценам, но могут возникать сложности практически в каждом из предлагаемых рисков – например, в оценке действий конкурентов, в потере ликвидности и т.д.

В этом случае можно поступить несколькими способами:

Вариант 1. Попытаться прийти к консенсусу. Начать нужно с выслушивания аргументов противоположной стороны: может оказаться, что мы оперируем неправильными исходными данными. Риск-менеджер может предположить наличие риска на основании неполной информации, и уточнение исходной информации может это предположение опровергнуть. Далее будет необходимо продолжить диалог путем попыток глубокого описания рисков и уточнения формулировок. Может оказаться, что сотрудник на самом деле не видел риска именно в формулировке риск-менеджера, но не отрицал его существования. Ну и напоследок можно использовать некие аргументы, основанные на природе риск-менеджмента, а именно:

  • никто никого не обвиняет, но «если бы на Вашем месте был другой человек», он бы мог злоупотребить;
  • мы говорим только о вероятностном подходе в будущем и не утверждаем, что это есть сейчас и обязательно произойдет, речь идет только о том, что оно все-таки возможно.

Вариант 2. Выразить «особое мнение». То есть человеку, ответственному за формирование отчета по рискам и представляющему совету директоров карты рисков, не пытаться реализовать первый пункт, а, к примеру, в сносках указать на то, что он не согласен с существующей оценкой.

Возможны оба варианта, и можно дать следующий совет: если Вы человек внешний, например, консультант, смело пользуйтесь вторым. Во-первых, время поджимает, во-вторых, вас рассматривают как нечто временное, поэтому в логике подразделений главное – отбиться сейчас, а потом будь что будет. Однако если делать такую работу внутри организации, то необходимо стремиться именно к первому варианту. Главный аргумент состоит в том, что со всеми людьми еще предстоит работать, а «особым мнением» можно поссориться раз и навсегда. Кроме того, в процессе дискуссии можно уточнить не только наличие существующего риска, но и получить описание рисков для потенциальной базы, о которой пойдет речь дальше.

Формирование базы рисков.

Отдельно стоит упомянуть возможные риски, которые уже реализовались и в ближайшем будущем событие не повторится, а в отдаленном будущем – пока непонятно. В этом случае не нужно «забывать» про такого рода риски, а необходимо включить их в некую базу. Это позволит не исключать их из рассмотрения навсегда, а в какой-то момент включить их в общую карту.

Само формирование базы – процесс длительный. Как правило, методы «наскока» позволяют выявить около 90-95%. Для первого раза, конечно, достаточно, но для управления действительно всеми их будет нужно выявлять в процессе. И формирование базы рисков – первый шаг на пути к тому, чтобы все риски в разумное время были выявлены, осознаны и управляемы.

Контроль полноты сформированного реестра рисков.

Несмотря на то, что от первичной идентификации рисков не нужно ждать приближения к идеалу, больших ошибок все-таки лучше избегать. Для этого необходим свежий взгляд на сформированную карту рисков. Отмечу, что даже свежий взгляд не обеспечит, говоря математическим языком, «достаточности» реестра, но обеспечит «необходимость» сформированного реестра.

Если риск-менеджер один, то это можно сделать после выходных или на свежую голову (если это взаимоисключающие даты). В консалтинге для этого используются эксперты. Приведу алгоритм, который использовал я, когда доводилось быть им.

Ответьте на вопросы:

  • есть ли про конкуренцию на уровне стратегии?
  • всё ли есть из STEEPLED-анализа, L можно заменить на compliance?
  • всё ли есть из финансовых рисков (их перечень ограничен)? если нет, то почему не включено (забыли / особенность бизнеса)?
  • есть ли риски по каждому из бизнес-процессов? достаточно ли их (на основании общего представления о предприятии)?
  • не забыли ли про IT?
  • все ли группы опасностей из представленных на этом сайте есть в качестве одного из рисков в итоговом реестре?

Если ответы разумные – реестр уже можно использовать.

Применение данного нехитрого алгоритма позволит обеспечить приемлемую для первой карты рисков полноту. Как показывает практика, PESTLE-анализ (с вариациями в названии) – действительно мощный инструмент, а если в выявленных рисках не оказывается, к примеру, риска какого-нибудь процесса (например, все инвестиции целесообразны и проработаны, а закупок по завышенным ценам при номенклатуре в 5000 позиций не бывает) – значит, как в мерфологии, «Вы чего-то не заметили».

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.