какого этапа нет в процессе управления рисками
Управление рисками проекта
Повсеместная конкуренция, сокращение производственного цикла, увеличение производственной гибкости — все это сеет неопределенность при контроле проектов и повышает необходимость мышления, направленного на оценку рисков. Необходимо предупреждать опасности, тщательнее планировать свои действия и анализировать текущую деятельность, чтобы понять, какие риски могут преследовать и какие возможности можно раскрыть, если от них избавиться. Таким образом, риск-менеджмент становится важной частью принятия управленческих решений.
Конечно, можно рискнуть и жить без лишнего планирования и прогнозирования. Но тогда есть вероятность, что не только проект не будет правильно реализован: вся деятельность компании будет под угрозой. Такой поворот вряд ли устроит адекватного руководителя или владельца бизнеса.
Планирование управления рисками
Управление рисками — это деятельность, сопровождающая все этапы проекта. Работа не должна вестись от случая к случаю, она должна быть хорошо спланирована. Управление рисками требует множества ресурсов.
Планирование управления рисками подразумевает поиск работающих подходов к процессу. Оно помогает:
План состоит из нескольких элементов:
Идентификация рисков
Этот процесс связан с выявлением рисков, которые могут испортить проект или оказать на него необратимое воздействие. Повторять выявление рисков нужно на всех этапах проекта — ведь на протяжении его существования могут возникать разные новые сложности.
Идентификационные данные могут браться из различных источников. Например, это может быть база знаний, которая есть практически в каждой организации. В ней могут содержаться данные об аналогичных проектах, которые были в компании. На основании этой информации можно сделать вывод о вероятных рисках в новых проектах.
Еще один источник информации — научные работы, маркетинговая аналитика и другие данные, находящиеся в свободном доступе. Если проект не уникален, то можно равняться на опыт других аналогичных работ, созданных другими компаниями. Обычно они рассказывают о своем пути в формате кейсов. Там содержатся подробные данные о цели работы, связанных с ней трудностях и способах их преодоления.
Все проекты строятся на гипотезах и предположениях. Обычно все неточные данные указываются с пометкой. Другие же, считающиеся достоверными, принимаются как данность. Риски могут возникнуть из-за неверно обозначенных допущений, поэтому на них нужно обращать внимание и детально анализировать каждую неточность.
Сбор информации выполняется способами, которые требуют разного времени на подготовку:
Методы оценки рисков и инструменты управления рисками
Теоретические аспекты управления риском говорят, что методов оценки множество и каждый из них работает с использованием своих инструментов. Такими инструментами могут быть организационные, технические и другие действия, позволяющие обеспечить безопасность и безошибочность проекта. Количество инструментов никак не регулируется, их можно быть крайне много.
Классификация ведется по разным признакам: управленческим методам, сферам деятельности, выгодам, производственным фазам и т.д.
В соответствии с другой классификацией воздействие на риски состоит из нескольких этапов:
Этапы управления рисками
Мониторинг и контроль
Этот этап мы решили вынести в отдельный пункт, так как он по важности стоит не на последнем месте. При каждом новом проекте будут возникать свои риски, поэтому контроль должен быть регулярным. Важно быстро корректировать выбранную стратегию и подстраиваться под ситуацию — не всегда выбранный в начале путь оказывается эффективным. Для этого нужен мониторинг.
Каждый этап управления рисками связан с другими ступенями в единую цепь. Поэтому нельзя обращать внимание на один и не замечать другой. Ситуацию нужно анализировать и контролировать со всех сторон, тщательно углубляясь в детали и рассматривая их с точки зрения деятельности компании в целом.
В мире нет проектов, которые бы шли так, как их запланировали создатели на пути прописывания в документах. Возникают моменты, которые не были предусмотрены и под которые нужно подстраиваться здесь и сейчас. И не всегда эти моменты имеют положительный оттенок, чаще всего они связаны с серьезными рисками как в рамках реализации проекта, так и в деятельности всей компании. Это серьезный стресс для тех, кто работает. Поэтому надо быть готовым к таким проблемам и уметь их правильно решать.
Управление рисками проекта помогает подумать и определить угрозы заранее, понять как их избежать и продолжать работать в изменяющихся условиях. Предотвратить последствия проще, чем разбираться с измененной ими реальностью. Поэтому стоит как можно больше ресурсов выделять на управление рисками проекта и не лениться проводить исследования для выявления вероятных проблем.
Процесс управления рисками: 5 важных шагов
Процесс управления рисками на предприятии не может быть набором одномоментных действий. Он будет эффективен только если это комплекс целенаправленных этапов. Кроме этого, для стабильного достижения целей бизнеса установление контроля над неопределенностями должно стать компонентом общего руководства компанией.
Узнайте из материала, какие главные этапы управления рисками существуют и почему они так важны.
5 главных компонентов процесса управления неопределенностями
В основе риска лежит неопределенность. Нельзя быть уверенным произойдет определенное событие или нет. Помимо этого нельзя точно сказать какими будут последствия, если оно произойдет. Вероятность наступления события и оказываемое воздействие являются двумя компонентами, характеризующими величину угроз. Управляя ими, можно повысить эффективность компании, а иногда даже извлечь дополнительные выгоды.
Бизнес – это сознательное принятие опасностей за вознаграждение в виде прибыли.
Все процессы риск-менеджмента включают одинаковую последовательность шагов, хотя в разных источниках для их описания используются разные термины. В практике они не обязательно идут друг за другом, часто даже осуществляются параллельно. Вместе эти 5 этапов обеспечивают простой, но эффективный процесс контроля неопределенностей проекта или предприятия.
С каждой новой операцией количество угроз возрастает. Предприятие не может полностью избежать опасных ситуаций, но риск-менеджмент позволяет предвидеть и уменьшить отрицательные последствия большинства из них. Следуя этим 5 шагам по управлению неопределенностями, можно оптимизировать стратегию развития компании, делая ее более гибкой, отзывчивой в случае опасных ситуаций.
Чтобы управлять, нужно обнаружить
Если об угрозе ничего неизвестно, управлять ею невозможно. Поэтому так важно обнаружить все проблемы, которые стоят на пути предприятия к его целям. Их причиной становятся внутренние неполадки, внешние факторы, люди, ошибочные решения. Главное понять, что может пойти не так, взять эту опасность под контроль.
Для идентификации опасность нужно найти, включить в перечень и описать ее элементы:
Подходы к обнаружению опасностей на предприятиях разного размера отличаются. Небольшая фирма может ограничиться общим перечнем характерных для ее деятельности угроз. Крупная компания со сложной организационной структурой должна применять разносторонний подход, поскольку ее угрозы охватывают множество причин-следствий.
Чтобы правильно выбрать метод идентификации угроз, необходимо принять во внимание текущую степень развития системы, обеспеченность необходимой информацией. На начальном этапе желательно сочетать как можно больше методов, а если культура управления угрозами уже сформирована, можно ограничиться мозговым штурмом или методом Дельфи. Обычно уже в процессе обнаружения угроз частично вырабатываются меры по их снижению.
Грамотный анализ – залог действенной стратегии управления
Как только все возможные угрозы обнаружены, приходит время копнуть глубже. Какова вероятность каждого из неблагоприятных событий? Можно ли их предотвратить? Если опасная ситуация произойдет, какими будут последствия?
Для этого проводится вначале качественный, затем количественный анализ, классификация, а также ранжирование неопределенностей. Эти шаги позволяют получить целостное представление об опасностях, разобраться, куда следует направить максимальные усилия.
Грамотно проведенный анализ угроз предприятия позволяет:
Чем выше информационная обеспеченность, тем глубже корректнее будет анализ. Ограниченность исходных данных приводит к статистическим неточностям, что впоследствии оборачивается ошибочными решениями.
По итогам анализа делают вывод о допустимости (недопустимости) рисков, чтобы соответствующим образом настроить систему контроля неопределенностей. Она должна обеспечить нужную степень защиты предприятия с учетом вероятности наступления неблагоприятного события.
Программа управления опасностями: требования, компоненты, особенности реализации
На данном этапе разрабатывают стратегии снижения угроз, комплексы инструментов для их предотвращения, планы действий на случай опасной ситуации. Стратегия должна соответствовать имеющимся опасностям, рентабельности средств, периоду ее осуществления.
Завершающей точкой планирования должна стать программа управления, в которую входят:
Ключ к управлению опасностью – правильно подобранный метод
Методы и финансовые инструменты для нейтрализации угроз подбирают с учетом их специфики, потенциала предприятия. Выделяют 4 основных подхода.
В программу также включают универсальные методы, которые позволяют снизить общий уровень угроз, повысить качество управления ими. Среди них:
Решающий этап – внедрение предотвращающих и компенсирующих мер
Данный шаг предполагает решение технических вопросов, воплощение в жизнь разработанной программы. С этой целью:
Когда начинают проводиться мероприятия, предусмотренные программой, подразделение риск-менеджмента помогает и консультирует участников процесса.
Мониторинг и контроль: оцениваем и совершенствуем процесс
Этап мониторинга предполагает обратную связь в системе управления неопределенностями. Он позволяет решить такие основные задачи:
Иногда результаты мониторинга процесса менеджмента опасностей бывают некорректными. Анализ соотношения реальных потерь к затратам может свидетельствовать о нулевой эффективности системы. По факту это будет как раз наоборот подтверждением высокой результативности – риски не воплотились за счет расходов на их предотвращение.
Управление рисками – дорога к новым возможностям в бизнесе
Риск – это любая неопределенность, которую нужно заключить в рамки, чтобы проконтролировать эффект ее воздействия на деятельность предприятия. Это позволит двигаться вперед уверенней, легче достигая целей компании. Через контроль и управление полным списком неопределенностей будут устранены неприятные сюрпризы и барьеры, а возможно – даже откроются новые возможности. Система риск-менеджмента способна справиться с многими проблемами в случае их возникновения, поскольку они будут заранее предусмотрены, а планы по их устранению разработаны и согласованы.
Управление рисками организации
Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.
Управление рисками организации: основные направления
Процессы управления рисками охватывают 4 основные области:
Управление рисками угроз
Для оценки угроз, риск менеджеры следуют следующим пяти шагам:
Этот процесс ориентирован на превентивное и на антикризисное управление рисками.
В управлении рисками следует различать понятия риска, угрозы и воздействия:
Внутренний контроль
Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.
Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.
Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.
Внутренний аудит
Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.
Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.
Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.
Соответствие регуляторным требованиям
Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.
Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.
Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.
Примеры подходов к управлению рисками организации
В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.
ISO 31000
ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.
Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.
ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.
Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.
Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.
В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.
О ERM они сказали следующее:
…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management
Примеры типов рисков
Процессы управления рисками
COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:
Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance
COSO акцентирует внимание на пяти компонентах системы управления рисками организации:
Руководство и культура
Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.
Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.
Стратегия и постановка целей
Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.
Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.
Производительность
Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.
В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.
После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.
Анализ и пересмотр
Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.
Информация, коммуникация и отчетность
ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.
Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.
Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):
Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.
Процесс управления рисками организации
Процесс управления рисками организации состоит из пяти элементов:
Определение целей и обеспечение согласованности ERM со стратегией бизнеса
В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.
Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.
Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.
Идентификация и документирование рисков
Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.
Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.
Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.
Оценка документированных рисков
Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.
После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.
Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.
Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.
Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.
Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.
Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.
Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:
Ответ на риск
Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.
Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.
Ответ на риск подразделяется на четыре собственные категории:
Уклонение
Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.
Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.
Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.
Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.
Снижение
Часто риски могут быть снижены различными способами.
Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.
Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.
Разделение
Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.
На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.
Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.
По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.
Принятие
Принять риск это значит не предпринимать никаких действий.
Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.
Мониторинг рисков
Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.
Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.
Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.