что такое система управления рисками
Управление рисками организации
Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.
Управление рисками организации: основные направления
Процессы управления рисками охватывают 4 основные области:
Управление рисками угроз
Для оценки угроз, риск менеджеры следуют следующим пяти шагам:
Этот процесс ориентирован на превентивное и на антикризисное управление рисками.
В управлении рисками следует различать понятия риска, угрозы и воздействия:
Внутренний контроль
Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.
Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.
Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.
Внутренний аудит
Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.
Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.
Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.
Соответствие регуляторным требованиям
Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.
Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.
Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.
Примеры подходов к управлению рисками организации
В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.
ISO 31000
ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.
Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.
ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.
Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.
Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.
В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.
О ERM они сказали следующее:
…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management
Примеры типов рисков
Процессы управления рисками
COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:
Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance
COSO акцентирует внимание на пяти компонентах системы управления рисками организации:
Руководство и культура
Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.
Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.
Стратегия и постановка целей
Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.
Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.
Производительность
Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.
В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.
После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.
Анализ и пересмотр
Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.
Информация, коммуникация и отчетность
ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.
Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.
Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):
Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.
Процесс управления рисками организации
Процесс управления рисками организации состоит из пяти элементов:
Определение целей и обеспечение согласованности ERM со стратегией бизнеса
В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.
Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.
Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.
Идентификация и документирование рисков
Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.
Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.
Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.
Оценка документированных рисков
Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.
После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.
Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.
Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.
Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.
Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.
Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.
Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:
Ответ на риск
Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.
Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.
Ответ на риск подразделяется на четыре собственные категории:
Уклонение
Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.
Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.
Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.
Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.
Снижение
Часто риски могут быть снижены различными способами.
Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.
Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.
Разделение
Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.
На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.
Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.
По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.
Принятие
Принять риск это значит не предпринимать никаких действий.
Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.
Мониторинг рисков
Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.
Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.
Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.
Система управления рисками
Любая компания в своей деятельности постоянно сталкивается с той или иной степенью неопределённости. С одной стороны, неопределённость открывает для бизнеса новые возможности. С другой – может являться причиной рисков для компании.
Риск – это вероятность негативного влияния неопределённости на цели компании.
В более узком смысле, риск – потенциальная возможность потери ресурсов или недополучения доходов вследствие наступления тех или иных событий.
Инструментом, позволяющим руководству компании принимать управленческие решения в условиях неопределённости и связанных с ней рисков, одновременно используя возможности, является эффективно действующая в компании система управления рисками.
Согласно общепринятому стандарту управления рисками ERM COSO – «Управление рисками организации – это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на выявление потенциальных событий, которые могут влиять на организацию и управление связанным с этими событиями риском, а также на осуществление контроля за непревышением риск-аппетита организации и предоставлением разумной уверенности в достижении целей организации».
Компонентами эффективной системы управления рисками компании являются:
Внутренняя среда
Характеризуется общей философией компании в отношении риска и его управления, а также степенью включённости всех сотрудников компании в процесс управления рисками.
Одним из важных проявлений философии компании в отношении риска является определение риск-аппетита компании – той степени риска, которую руководство компании считает допустимой в процессе деятельности.
Установленные в компании этические ценности и стандарты поведения также во многом определяют внутреннюю среду процесса управления рисками.
Выявление рисков
Выделение рисков компании среди потенциальных событий, имеющих внутренние или внешние по отношению к компании причины, и оказывающих отрицательное влияние на цели компании. Выявление и идентификация рисков должна производиться в привязке к целям компании.
Включает в себя определение классификации для ранжирования рисков в зависимости от внутренних и внешних факторов влияния.
Руководством компании определяются и утверждаются методы выявления рисков. Чаще всего это сочетание различных методов и вспомогательных средств. Методы выявления рисков предполагают проведение анализа как прошлого, так и возможного будущего.
Активное выявление потенциальных рисков формирует основу для их оценки и разработки мероприятий по реагированию на риски.
Формализованным выражением компоненты выявления рисков в компании может служить реестр рисков компании с обозначением присущих каждому риску классификационных признаков.
Оценка рисков
Выявленные риски оцениваются с точки зрения степени влияния на достижение целей компании. Целью оценки рисков является определение плана действий, которые следует предпринять.
Главные показатели оценки риска – вероятность его возникновения и степень влияния.
Оцениваются присущие и остаточные риски. Присущий – риск при отсутствии со стороны руководства действий по изменению вероятности или степени влияния риска. Остаточный – риск, остающийся после принятия руководством мер по реагированию на данный риск.
Методология оценки рисков, как правило, включает в себя как количественные, так и качественные методы. Определение количественных методов оценки рисков предполагает разработку и использование различных математических моделей – статистических, вероятностных, сравнительных, сценарных и проч.
Результаты оценки рисков фиксируются в принятых в компании документах системы управления рисками, таких как:
Реагирование на риски
Руководство компании определяет перечень возможных мероприятий, позволяющих привести выявленные риски в соответствие с установленным в компании уровнем риск-аппетита.
Общепринятыми способами реагирования на риски являются:
Способ реагирования на конкретный риск выбирается с учётом его положения в карте рисков компании – показателей вероятности наступления и степени влияния на цели компании.
При определении способа реагирования на риск, оценивается соотношение затрат и выгод от потенциальной реакции на риск.
После выбора способа реагирования, разрабатывается план мероприятий по применению выбранного способа реагирования.
Контроль исполнения
Цель данной компоненты системы управления рисками – обеспечение обоснованной уверенности руководства компании в эффективном исполнении выбранных действий по реагированию на риски.
Представляет собой утверждённый в компании набор действий и процедур, обеспечивающих надлежащее исполнение принятых в компании мер реагирования на риски.
Контрольные процедуры могут быть превентивными, поисковыми, коррективными, ручными и автоматизированными, и т.д.
Контрольные процедуры проводятся на всех уровнях управления компанией – от высшего руководства до непосредственных исполнителей процессов.
Информационная инфраструктура
Компонент определяет формы, сроки и способы передачи информации, необходимой для функционирования системы управления рисками в компании.
Информационная инфраструктура системы управления рисками должна обеспечивать:
Мониторинг
Мониторинг – регулярный периодический процесс оценки полноты и эффективности функционирования всех компонентов системы управления рисками компании.
Цель проведения мониторинга – поддержание в актуальном состоянии системы управления рисками компании с учетом возникающих изменений – условий деятельности компании, изменений целей и структуры компании, кадровых изменений, возникновения новых бизнес-процессов и т.п.
Объём и периодичность мониторинга процесса управления рисками зависят от значимости рисков, важности реагирования на риск и проводимых контрольных процедур.
Методология проведения мониторинга может включать в себя применение приемов анкетирования, методов сравнительного анализа, формирование специальной отчётности.
Важным элементом мониторинга является актуализация внутренней нормативно-правовой базы, регулирующей функционирование системы управления рисками компании.
Система управления рисками оказывает влияние на достижение целей компании, в том числе и стратегических. Поэтому эффективная система управления рисками компании также предъявляет особые требования и выводит на новый уровень систему внутреннего контроля компании.
Учитывая опыт консультантов ФинЭкспертизы в проектах построения систем управления рисками, можно выделить следующие этапы внедрения системы управления рисками компании:
Специалисты ФинЭкспертизы готовы предложить Вам инструмент, позволяющий принимать взвешенные управленческие решения в условиях неопределённости, правильно оценивать степень и уметь управлять рисками, добиваться более эффективных результатов на рынке.
Методы управления рисками
Во вступительной части нашего обзора, в котором мы будем анализировать методы управления рисками, предлагаем начать с красноречивого примера. Когда Тони Хейворд стал генеральным директором “BP” (название до мая 2001 года — “British Petroleum”) в 2007 году, он поклялся сделать безопасность своим главным приоритетом. Среди новых правил, которые он установил, были требования, чтобы все сотрудники использовали крышки на кофейных чашках при ходьбе и воздерживались от текстовых сообщений во время вождения. Три года спустя, под наблюдением Тони Хейворда нефтяная вышка Deepwater Horizon взорвалась в Мексиканском заливе, вызвав одну из самых страшных техногенных катастроф в истории. Комиссия по расследованию (США) приписала это бедствие управленческим ошибкам, которые нанесли урон “способности вовлечённых лиц идентифицировать риски, с которыми они столкнулись, и правильно оценить, сообщить и устранить их”. Именно об идентификации, оценке, предупреждении и устранении рисков мы и будем говорить.
Какие риски существуют в жизни предприятия?
Согласно глобальному исследованию по управлению рисками “Aon”, основанного на проводимом два раза в год опросе с почти 2000 ответов, принадлежащими государственным и частным компаниям всех размеров и широкому кругу отраслей, основными десятью рисками, которые угрожают предприятию стали:
Итак, начало положено. Риски идентифицированы. Но, прежде чем продолжить, необходимо раскрыть суть самого риск-менеджмента. И начнём с истории, потому что “Народ, не знающий своего прошлого, не имеет будущего” (М. Ломоносов).
“Истинная разделительная линия между тем, что мы должны назвать древними временами и современностью, заключается в овладении риском”.
Какова история управления рисками? В одной очень интересной книге на эту тему “Против богов: замечательная история риска” утверждается, что истинная разделительная линия между тем, что мы должны назвать древними временами и современностью, заключается в овладении риском. В этой книге Питер Л. Бернстайн утверждает, что когда люди начали понимать, как предсказывать риски и управлять ими, они также начинали понимать, что будущее будет содержать не только случайные события, порождённые волей богов или капризами природы.
Некоторые историки считают, что самая ранняя концепция управления рисками возникла из-за игр. За тысячи лет до того как пользователи интернета могли играть в онлайн-покер, люди в разных древних цивилизациях играли в настольные игры и кости, которые превратились в шахматы и шашки более двух тысяч лет назад.
Исторические свидетельства того, что игры породили теорию вероятностей, важную для управления рисками, получены из работ Данте и Галилея. Знаменитые математики, Паскаль и Ферма, писали друг другу об азартных играх в 1600-х годах, и эта переписка, как полагают, дала начало современной теории вероятностей, используемой сегодня.
Если рассмотреть роль страхования в управлении рисками, то его истоки можно проследить до древних времён. Например, общества взаимопомощи и захоронения были задокументированы ещё в первые дни древнего Рима. Они считаются предшественниками современных страховых компаний.
Заканчивая краткий экскурс в историю, делаем вывод: в любой момент истории, когда люди управляли бизнесом, армиями или целыми странами, наверняка были люди, нанятые для управления рисками с помощью инструментов, которыми они обладали в то время.
Как и любая дисциплина, риск-менеджмент требует описания процессов и систематизации. Первым шагом в создании эффективной системы управления рисками является понимание качественных различий между типами рисков, с которыми сталкиваются организации. Исследования показывают, что риски попадают в одну из трёх категорий. События риска из любой категории могут быть фатальными для стратегии компании и даже для её выживания.
Предотвратимые риски
Это внутренние риски, возникающие внутри организации, которые поддаются контролю и должны быть устранены или исключены. Примерами являются риски, связанные с несанкционированными, незаконными, неэтичными, неправильными или неуместными действиями сотрудников и менеджеров, а также риски сбоев в обычных рабочих процессах. Безусловно, у компаний должна быть зона терпимости к дефектам или ошибкам, которые не причинят серьёзного ущерба предприятию и для которых достижение полного избегания будет слишком дорогостоящим. Но в целом компании должны стремиться устранить эти риски, поскольку они не получают стратегических выгод от их принятия. Сотрудник, подкупающий местного чиновника, может принести компании некоторую краткосрочную прибыль, но со временем такие действия приведут к снижению стоимости компании.
Эта категория рисков лучше всего управляется посредством активной профилактики: мониторинга операционных процессов и направления поведения людей и решений в отношении желаемых норм. Поскольку уже существует достаточное количество литературы по подходу на основе правил, мы отсылаем заинтересованных читателей к боковой панели “Менеджмент управления персоналом” вместо развёрнутого обсуждения лучших практик в данном обзоре.
Стратегические риски
Компания добровольно принимает на себя некоторые риски, чтобы увеличить доход от своей стратегии. Банк принимает на себя кредитный риск, например, когда он одалживает деньги; многие компании берут на себя риски благодаря своим исследованиям и разработкам.
Стратегические риски сильно отличаются от предотвратимых рисков, потому что они не являются нежелательными по своей природе. Стратегия с высокими ожидаемыми доходами обычно требует от компании принятия на себя значительных рисков, и управление этими рисками является ключевым фактором для получения потенциальной выгоды. “BP” согласилась с высоким риском бурения на несколько миль ниже поверхности Мексиканского залива из-за высокой стоимости нефти и газа, которые она надеялась добывать.
Стратегическими рисками нельзя управлять с помощью модели управления на основе правил. Вместо этого вам нужна система управления рисками, предназначенная для уменьшения вероятности того, что предполагаемые риски действительно материализуются, и для улучшения способности компании управлять или сдерживать события рисков в случае их возникновения. Такая система не помешает компаниям предпринимать рискованные предприятия; напротив, это позволило бы компаниям брать на себя рискованные предприятия с более высокой прибылью, чем конкуренты с менее эффективным управлением рисками.
Внешние риски
Некоторые риски возникают в результате событий вне компании и находятся вне её влияния или контроля. Источники этих рисков включают стихийные и политические бедствия и крупные макроэкономические сдвиги. Внешние риски требуют ещё одного подхода. Поскольку компании не могут предотвратить такие события, их руководство должно сосредоточиться на идентификации (как правило, это очевидно в ретроспективе) и смягчении их воздействия.
Компании должны адаптировать свои процессы управления рисками к этим различным категориям. Хотя подход, основанный на соблюдении нормативных требований, эффективен для управления предотвратимыми рисками, он полностью недостаточен для стратегических рисков или внешних рисков, которые требуют принципиально другого подхода, основанного на открытых и явных обсуждениях рисков. Однако это легче сказать, чем сделать; обширные поведенческие и организационные исследования показали, что люди имеют сильные когнитивные искажения, которые не позволяют им думать о риске и обсуждать его, пока не станет слишком поздно.
Таблица 1.
| Вид риска | Описание |
| Рыночный | Общий риск финансовых потерь, связанных с изменением цен на все продукты, составляющие портфель. Он включает риск изменения процентных ставок, валютный риск, фондовый риск и товарный риск. Процентный риск или процентная ставка является финансовый риском потому, что продукт теряет свою ценность в результате уменьшения или увеличения процентных ставок. Валютный риск — это финансовый риск потери стоимости инвестиций из-за изменения обменных курсов. Фондовый риск — это возможность понести потери капитала между моментом приобретения актива и моментом его перепродажи. Например, клиент покупает пакет акций. Всего 100€ первого января 2019 года и перепродаёт через неделю. Однако 8 января 2019 года цена акций упала до 90€. Между моментом покупки и продажи прошла неделя, и акция потеряла 10€. Клиент потерял 10€. Товарный риск напрямую влияет на компании, занимающиеся производством и переработкой сырья и энергии. Например, производители автомобилей зависят от стоимости сырья. Свинец и алюминий составляют около 25% производственных затрат. Из-за подорожания сырья, компании теряют прибыль, что также выражается в падении цен на акции. |
| Кредитный | Финансовый риск того, что качество погашения заёмщиком будет снижено, что может привести к падению стоимости долгового обеспечения. |
| Риск ликвидности | Финансовый риск невозможности перепродать ценные бумаги из-за недостаточного объёма транзакций. Мы говорим о ликвидном рынке, когда объём сделок достаточно высок, чтобы можно было без проблем продавать ценные бумаги. Пример. Человек, которому нужно переехать, хочет быстро продать свою квартиру, чтобы купить другую. Здесь риск ликвидности отражается в невозможности сделать «доступными» деньги, доступные человеку через владение его квартирой. Чтобы быстро реализовать актив, его, безусловно, придётся продавать по цене ниже его реальной стоимости. |
| Инвестиционный | «Риск» в инвестициях означает колебания доходности (размытие). Небольшие колебания доходности называются «низким риском», а большие колебания называются «высоким риском». Например, при сравнении акций венчурной компании с акциями «Toyota», цена венчурных акций может значительно колебаться (например, в 10 раз за несколько дней) по сравнению с акциями «Toyota». В этом случае венчурные акции более рискованные (по сравнению с акциями «Toyota»). |
| Операционный | Операционный риск соответствует потенциальным потерям, вызванными ошибками, совершенными человеческими или материальными ресурсами: сбоями программного обеспечения, мошенничеством, ошибками ввода и т. д. Дело, которое наделало много шума во Франции: дело Жерома Кервьеля. Этот трейдер заставил «Societe Generale» потерять 6,3 миллиарда евро в 2007 году. Этот случай рассматривается как мошенничество и является частью операционных рисков. |
| Юридический | Согласно определению, данному Банком Италии, юридический риск может быть определён как риск наложения судебных или административных санкций, значительных финансовых потерь или ущерба репутации в результате нарушения обязательных норм (закона или регулирования) или саморегулирования (уставы, кодексы поведения). |
| Налоговый | Внедрение системы управления налоговыми рисками должно не только способствовать управлению и решению, а также уменьшать налоговые риски. |
| Информационный | Информация, которая обрабатывается правильно, стала важным активом. Чем выше ценность информации, тем более уязвимой становится компания в случае потери данных (например, из-за утечки данных, кибератак или мошенничества). |
| Маркетинговый | Четыре маркетинговых риска, с которыми сталкиваются компании в современном деловом мире: восприятие и ценность бренда; принадлежность (негативные ассоциации при потере репутации партнёрами); провал рекламной кампании; неадекватная маркетинговая стратегия. |
После подробной идентификации и систематизации рисков, перейдём к следующему этапу — оценке риска.
Оценка риска
Оценка риска используется для анализа влияния выявленных рисков на компанию. Вероятность возникновения и возможный размер ущерба используются для оценки. Если количественная оценка не может быть проведена из-за недостатка данных, риски должны оцениваться на основе качественных критериев. Визуализация с помощью портфеля рисков может быть полезна для оценки риска. Анализ и оценка взаимодействия отдельных рисков также играет важную роль. В большинстве случаев незначительные индивидуальные риски в сочетании друг с другом часто представляют значительный экзистенциальный риск и требуют других мер в контексте управления рисками.
Предупреждение и устранение рисков
Контроль рисков помогает найти способы реагирования на выявленные и оценённые риски. Различные меры и стратегии должны помочь сбалансировать возможности и риски. Стратегия риска должна быть адаптирована к общей корпоративной стратегии. Для этого у компаний есть четыре варианта управления:
Всё управление рисками должно подвергаться мониторингу, который обычно проводится внутренним аудитом. Таким образом можно контролировать и обеспечивать качество и функциональность управления рисками и всеми используемыми инструментами. В то же время должна также иметь место передача информации о рисках, с помощью которой все соответствующие данные могут быть своевременно переданы ответственному лицу. Это повышает осведомлённость о рисках компании.
Инструменты управления рисками:
Посмотрите правде в глаза. Хотя вы уверены, что ваш проект будет успешным, всегда есть вероятность, что что-то пойдёт не так. Управление рисками — это постоянная деятельность, поэтому вы должны продолжать выявлять и регистрировать новые риски по мере их возникновения в течение деятельности компании.
Создание списка рисков — хорошая отправная точка, но этого недостаточно. Вам также нужен план действий для каждого риска, чтобы иметь возможность эффективно управлять ими.
Существует 5 основных способов управления риском: принятие, предотвращение, перенос, смягчение и эксплуатация. Вот подробный взгляд на каждый из них.
Принятие риска
Принятие риска означает, что, хотя вы определили его и зарегистрировали в программном обеспечении для управления рисками, вы не предпринимаете никаких действий. Вы просто принимаете, что это может произойти, и решаете разобраться с этим, если это произойдёт.
Это хорошая стратегия для использования при очень небольших рисках — рисках, которые не окажут большого влияния на ваш проект, если они произойдут, и с ними можно легко справиться, если или когда они возникнут. Создание альтернативной стратегии управления рисками или принятие мер по борьбе с риском может занять много времени, поэтому зачастую лучше использовать свои ресурсы.
Предотвращение риска
Вы также можете полностью изменить свои планы, чтобы избежать риска. Избегайте риска. Это хорошая стратегия для случаев, когда риск имеет потенциально большое влияние на ваш проект. Например, если в январе финансовая команда вашей компании занята ведением корпоративных счетов, провести их в январе через учебный курс для изучения нового процесса не будет хорошей идеей. Есть риск, что счета не будут сделаны, поскольку в январе все они будут слишком заняты, чтобы посещать тренинги или применять новые знания, даже если они действительно посещают семинары. Вместо этого было бы лучше избегать января для обучения полностью. Измените план проекта и запланируйте обучение на февраль, когда основная часть бухгалтерских работ закончится.
Перенос риска
Перенос риска — это стратегия управления рисками, которая используется не очень часто и обычно встречается в проектах, где участвуют несколько сторон. По сути, вы передаёте влияние и управление риском кому-либо ещё. Например, если у вас есть сторонний договор на написание кода вашего программного обеспечения, вы можете перенести на него риск того, что в коде возникнут ошибки. Затем они будут нести ответственность за управление этим риском, возможно, путём дополнительного обучения.
Обычно договорённости о передаче записываются в проектные контракты. Страхование является ещё одним хорошим примером. Если вы перевозите оборудование в рамках вашего проекта, а фургон попал в аварию, страховая компания будет нести ответственность за предоставление нового оборудования для замены того, которое было повреждено. Проектная команда признает, что несчастный случай может произойти, но они не будут нести ответственность, поскольку теперь это является обязанностью страховой компании.
Смягчение риска
Смягчение риска, вероятно, является наиболее распространённой методикой управления рисками, используемой для оценки риска. Это также самый простой для понимания и самый простой в реализации способ. Что означает смягчение, так это то, что вы ограничиваете влияние риска, чтобы в случае его возникновения проблема, которую он создаёт, была меньше и её способы её решения легче.
Например, если вы запускаете новую стиральную машину, а отдел продаж должен продемонстрировать её покупателям, существует риск, что отдел продаж не поймёт продукт и не сможет сделать хорошую презентацию. В результате они будут делать меньше продаж, и будет меньше доходов для компании.
Стратегия смягчения в этой ситуации будет состоять в том, чтобы обеспечить хорошее обучение для отдела продаж. Может всё же быть шанс, что некоторые члены команды или не понимают продукт, или они пропускают тренинг, или они просто не являются экспертами в стиральных машинах и никогда не будут, но влияние риска будет намного меньше, так как большая часть команды сможет эффективно продемонстрировать новый продукт.
Вы можете смягчить воздействие так, как в этом примере, и вы также можете смягчить вероятность его возникновения. Действия будут в целом одинаковыми; иногда вам нужно будет выполнить несколько задач, чтобы уменьшить вероятность возникновения риска, и несколько отдельных задач, чтобы уменьшить влияние риска в случае его возникновения.
Эксплуатация
Принятие, предотвращение, перенос и смягчение рисков прекрасно подходят для случаев, когда риск оказывает негативное влияние на проект. Но что, если риск оказывает положительное влияние?
Например, риск того, что новые стиральные машины будут настолько популярны, что у нас не будет достаточно персонала, чтобы провести демонстрации? Это положительный риск — то, что принесло бы пользу проекту и компании, если бы это произошло. В этих случаях мы хотим максимально увеличить вероятность того, что риск случится, а не остановить его или передать выгоду кому-то другому!
Эксплуатация — это стратегия управления рисками, используемая в таких ситуациях. Ищите способы, как заставить риск случиться, или способы усилить воздействие, если оно произойдёт. Можно обучить дополнительный персонал по продажам, чтобы они также демонстрировали стиральную машину и проводили больше дополнительного маркетинга, чтобы увеличить вероятность того, что у новой машины будет большой спрос, и есть люди, которые при необходимости смогут сделать презентации.
Это 5 стратегий управления рисками, которые вы можете использовать для управления рисками в вашем проекте. Вероятно, вы обнаружите, что используете комбинацию техник, выбираете стратегии, которые наилучшим образом соответствуют рискам вашего проекта и навыкам вашей команды. Однако когда вы приближаетесь к потенциальному риску, убедитесь, что вы записали план действий в свой журнал рисков и ведёте его в соответствии с последними достижениями в управлении рисками.
В управлении проектами нулевого риска не существует. Всегда существует вероятность того, что ваш проект пойдёт не по плану. Поэтому идея состоит в том, чтобы предвидеть и максимально ограничивать риски, которые могут возникнуть, в попытке уменьшить их влияние на бесперебойную работу проекта.
Начиная запуск проекта, вы должны настроить управление рисками: выявить слабые места вашего проекта, подумать о действиях по предотвращению рисков и обдумывать способы их решения/устранения. Подготовившись таким образом, вы избежите дестабилизации при возникновении непредвиденных событий.
Невозможно предвидеть все риски, однако тщательный анализ рисков — это хороший способ гарантировать успех вашего проекта.
Общие методы управления рисками
Уклонение — лучшее средство контроля потерь. Это потому, что, как следует из названия, вы полностью избегаете риска. Если ваши усилия по предотвращению потерь были успешными, то вероятность того, что вы понесёте убыток (от этого конкретного фактора риска) составляет 0%. Вот почему уклонение, как правило, является первым из рассмотренных методов контроля риска. Это средство полного устранения угрозы. Например, инвестор хочет купить акции нефтяной компании, но цены на нефть значительно упали за последние несколько месяцев. Существует политический риск, связанный с добычей нефти, и кредитный риск, связанный с нефтяной компанией. Он оценивает риски, связанные с нефтяной отраслью, и решает избежать участия в компании. Это известно как уклонение от риска.
Предотвращение потерь — это метод, который ограничивает, а не устраняет потери. Вместо того чтобы полностью избегать риска, этот метод принимает риск, но пытается минимизировать потери в результате этого. Например, хранение инвентаря на складе означает, что он подвержен краже. Однако, поскольку на самом деле не существует способа избежать этого, разработана программа предотвращения потерь, чтобы минимизировать потенциальные риски. Эта программа может включать патрулирование территории, установку видеокамер и наличие охраняемых хранилищ.
Снижение потерь — это метод, который не только принимает риск, но и принимает тот факт, что потеря может возникнуть в результате риска. Этот метод стремиться минимизировать потери в случае какого-либо типа угрозы. Например, компании может потребоваться хранить легковоспламеняющиеся материалы на складе. Руководство компании понимает, что это необходимый риск, и решает установить на складе современные разбрызгиватели воды. В случае пожара сумма потерь будет сведена к минимуму.
Разделение — это метод контроля риска, который включает рассеивание ключевых активов. Это гарантирует, что если что-то катастрофическое произойдёт в одном месте, влияние на бизнес будет ограничено активами только в этом месте. С другой стороны, если бы все активы были в этом месте, то бизнес столкнулся бы с гораздо более серьёзной проблемой. Примером этого является случай, когда компания использует географически диверсифицированную рабочую силу.
Дублирование — это метод контроля риска, который по существу включает создание плана резервного копирования. Сбой сервера информационных систем не должен останавливать весь бизнес. Вместо этого резервный или аварийный сервер должен быть легкодоступен в случае сбоя основного сервера. Другой пример дублирования в качестве метода контроля риска — использование компанией службы аварийного восстановления.
Диверсификация — это метод контроля риска, который распределяет бизнес-ресурсы для создания нескольких направлений бизнеса, которые предлагают различные продукты и/или услуги в различных отраслях. При диверсификации существенная потеря дохода от одного направления бизнеса не нанесёт непоправимого ущерба конечному финансовому результату компании.
Заключение
Управление рисками сильно отличается от управления стратегией. Управление рисками фокусируется на негативе — угрозах и неудачах, а не на возможностях и успехах. Это идёт вразрез с культурой “можно сделать”, которую старается поддерживать большинство команд-лидеров при реализации стратегии. И многие лидеры склонны сбрасывать со счетов будущее; они неохотно тратят время и деньги сейчас, чтобы избежать неопределённой проблемы в будущем. Кроме того, снижение риска обычно включает в себя распределение ресурсов и диверсификацию инвестиций, что является противоположностью интенсивной направленности успешной стратегии.
По этим причинам большинству компаний нужен отдельный департамент для управления стратегическими и внешними рисками. Размер департамента риск-менеджмента будет варьироваться от компании к компании, но группа должна отчитываться непосредственно перед топ-командой.
Действительно, поддержание тесных отношений со старшим руководством, возможно, будет самой важной задачей; способность компании противостоять угрозам во многом зависит от того, насколько серьёзно руководители воспринимают свою функцию управления рисками, когда светит солнце, а на горизонте нет облаков.
Это то, что отделяло банки, потерпевшие крах в финансовом кризисе, от тех, которые выжили. Обанкротившиеся компании перевели управление рисками в режим соответствия; их риск-менеджеры имели ограниченный доступ к высшему руководству и своим советам директоров. Кроме того, руководители обычно игнорировали предупреждения риск-менеджеров о высокоэффективных методах управления рисками. В отличие от этого, “Goldman Sachs” и “JPMorgan Chase”, две компании, которые хорошо пережили финансовый кризис, обладали сильными внутренними функциями управления рисками и руководящими группами, которые понимали и управляли многочисленными рисками подверженности компаний. Барри Зуброу, директор по управлению рисками в “JPMorgan Chase”, сказал:
“Возможно, у меня есть звание, но Джейми Даймон [генеральный директор] — главный специалист по управлению рисками компании”. Формализация и стандартизация моделей управления может смягчить некоторые критические риски, но не все из них. Активное и экономически эффективное управление рисками требует, чтобы менеджеры систематически думали о множественных категориях рисков, с которыми они сталкиваются, для того чтобы они могли своевременно применить соответствующие методы управления рисками для каждой из категорий. Методы управления рисками позволяют нейтрализовать шаблонный взгляд: “Видеть мир, не таким, каким нам бы хотелось, чтобы он был, а таким, каков он есть”.
В свою очередь, мы надеемся, что наш обзор поможет вам идентифицировать, оценить, предупредить и устранить все категории рисков, с помощью верно сформулированной стратегии управления, что приведёт к процветанию и стабильности вашей компании.