В октябре 2017 года на портале Executive.ru прошла онлайн-конференция по корпоративным рискам. Где я представил систему управления комплексными рисками, ее структуру и практику внедрения на примере микрофинансовой организации. Интерес, проявленный участниками, подсказал идею отдельной статьи, посвященной этой теме. Дословный пересказ часового выступления был бы слишком громоздким. Поэтому я трансформировал его в более емкий материал, посвященный сути системы. А детали готов обсудить в форме диалога на форуме.
Стандартная система управления рисками
Устоявшаяся теория управления рисками состоит из нескольких этапов, представленных на схеме:
Основные посылы системы представлены в стандарте ISO 31000. Этот документ дает очень широкое пространство для действий, наверное, поэтому в сложившейся практике управления рисками система чаще остается недовнедренной. Причин много. Не все понимают, что надо делать и зачем это нужно, ведь явного экономического эффекта сразу и не видно. Это сложно и дорого. Это нужно делать постоянно и требуются специалисты по риск-менеджменту.
В сухом остатке: большая часть усилий в управлении рисками застревает на базовом уровне. Здесь начинаются проблемы с методами идентификации, с моделями оценки вероятных убытков и последствий реализации негативных событий. Но еще более сложным оказывается разработка мер по минимизации риска и последующая реализация этой программы.
Система, которую я хочу описать, создавалась с учетом сложившихся практик и тех результатов, которые они приносили.
Структура комплексных рисков
Краткая предыстория. Микрофинансовая организация встала перед необходимостью внедрения системы управления рисками. Это регуляторное требование, которое прописано в стандарте СРО. На начальный момент в компании было только управление кредитным риском, что заключалось в отслеживании качества скоринговой системы.
Аудит бизнес-архитектуры, который я проводил в этой организации, открыл ряд взаимосвязанных проблем, способных значительно повлиять на финансовые результаты бизнеса к концу года. Исходя из всего этого, было решено увязать программу организационных изменений с разработкой и внедрением системы управления рисками. Одним из требований было создание системы, которая управлялась бы не группой профильных специалистов по риск-менеджменту, а линейными руководителями и персоналом. Что мы и сделали совместно с менеджерами компании, опираясь на результаты аудита.
У каждой компании есть так называемые риски по умолчанию – те, что связаны с основным видом деятельности. Но каждый бизнес также испытывает на себе воздействие косвенных рисков: они могут быть одинаковыми для всех компаний на рынке, как например отраслевые риски, а могут быть специфическими для одной конкретной компании: например, специфические каналы привлечения клиентов. Эти риски зачастую бывают опаснее рисков по умолчанию, но по какой-то причине их игнорируют, что в итоге отражается в форме убытков. Мы решили не упускать из виду оба класса рисков и сгруппировали их в связанные категории. Получилась схема, отражающая структуру комплексного риска:
Мы определили комплексные риски, как группы рисков, специфически связанные с определенными функциональными элементами компании, и способные вызвать кумулятивный эффект – негативный или позитивный.
Система управления комплексными рисками
Теперь непосредственно о том, из чего состоит такая система и какие функции выполняет. Для наглядности вся ее архитектура представлена на одной схеме:
Кратко о каждом компоненте инфраструктуры. Идентификация рисков производится по принципу сверху вниз: определяются ключевые категории рисков для каждого функционального элемента компании. Делается это с помощью матрицы комплексных рисков и таблицы консолидации, шаблоны которых вы найдете в приложениях к этой статье:
Таблицы консолидации и структурирования реестра рисков
Изначально ключевых категорий рисков десять:
- Отраслевые риски.
- Коммерческие риски.
- Финансовые риски.
- Операционные риски.
- Законодательно-правовые риски.
- Репутационные риски.
- Информационные риски.
- Кадровые риски.
- Социальные риски.
- Инновационные риски.
Вы можете этот список сократить или дополнить, исходя из особых потребностей своей компании. После завершения этой части работы для каждой категории определяются собственно те риски, возникновение которых может привести к некоторым последствиям. Зная на опыте, что этот процесс очень сложный и кропотливый, я разработал риск-фреймворк, в котором собрал часто встречающиеся риск-события. Он помог линейному менеджменту микрофинансовой организации быстрее сформировать реестр рисков.
Оценка рисков
После того, как в ходе нашего проекта риски были детализированы, пришла очередь их оценки. После нескольких итераций мы определили наиболее приемлемые методы, использовать которые мог каждый руководитель подразделения. Из количественных методов это – оценка через математическое ожидание, метод экстраполяции и оценка через системную зависимость. Из качественных методов – экспертная оценка. Детали каждого метода я здесь не описываю.
Для целей мониторинга и анализа полезно построить профиль риска. Это нужно делать после оценки всего реестра, так как эта процедура строится на количественных характеристиках: суммарные потери, доля от общего числа.
Следующий компонент системы управления комплексными рисками – разработка превентивной риск-стратегии. Это второй по величине и первый по сложности раздел. Он включает в себя ретроспективный анализ реализованных рисков, описание факторов риска и превентивных действий для их минимизации, расчет допустимых и критических порогов риска. В завершении этого раздела идет разработка мер по трансформации риска и описание требований к системе инцидентов.
Ретроспективный анализ проводится для понимания структуры конкретных рисков, без этого будет сложно сформировать действительно эффективную риск-стратегию. Исследование реализованных рисков проходит на трех уровнях в самой компании, в ее продуктовом сегменте и в отрасли (лучше всего, если при этом рассматриваются и смежные отрасли).
Ретроспективный анализ позволяет определить факторы риска, которыми нужно дополнить сформированный ранее реестр. После этого для каждого фактора определяется размер допустимого и критического риска. Исходя из внутреннего распределения, свойственного конкретной компании, рассчитывается доля допустимого риска, которая отслеживается в ходе мониторинга. Для всех ключевых рисков – тех, что в случае реализации дают 80% убытков – определяются сигнальные пороги. По мере приближения к «красной черте» сотрудники компании предпринимают те или иные меры по минимизации последствий.
Превентивная риск-стратегия
Когда становится известна цена риска, разрабатываются действия, способные снизить ее. Есть несколько наиболее эффективных подходов:
- Компенсация риска – создание процесса или инициирующего события, которое трансформирует убыток в полную или частичную прибыль.
- Страхование – думаю, здесь пояснения излишни.
- Перспективная оценка – подход, основанный на сценарном анализе, когда сравнивается убыток от риска сейчас и в случае реализации некоего события, негативного или позитивного, в будущем.
Разработка превентивной риск-стратегии заканчивается определением критериев для системы инцидентов: признаки инцидента, алгоритм реализации и другие. Она нужна для эффективного мониторинга рисков. Эту систему можно полностью автоматизировать, что позволяет снизить затраты на ее обслуживание и сопровождение.
Мониторинг опасных событий
Следующий раздел – контроль риска. Он включает в себя непосредственно мониторинг риск-событий, учет реализованного риска и отчетность по установленным периодам. Этот процесс, как и предыдущие, должен быть задокументирован и оформлен в политике по управлению рисками.
Мониторинг риска может проходить снизу-вверх или сверху-вниз. Во втором случае руководитель самостоятельно собирает информацию о рисках со своих подчиненных и ведет учет их реализации. В первом, сотрудники, в чьей зоне ответственности находится тот или иной риск, по определенной процедуре отслеживают риск-события и передают информацию руководителю, а он в свою очередь консолидирует ее и определяет степень воздействия на риск. Такой подход к мониторингу хорошо дополнить уровнями, когда сотрудник сам может принять решение по воздействию на риск, а когда он должен эскалировать его выше. Этот вариант мониторинга и был реализован в МФО.
Аллокация риска
Аллокация – распределение информации о рисках по функциональным элементам компании и организационной структуре в соответствии с их спецификой. Это первичный механизм интеграции системы управления рисками в общую структуру компании, как по вертикали, так и по горизонтали.
Для эффективного планирования этого процесса мы использовали модель бизнес-архитектуры, с помощью которой в начале структурировали риски по функциональным элементам компании. Эта модель позволяет связать каждое подразделение с определенной категорией риска, а затем определить, какую именно информацию нужно транслировать. Важно отметить, что аллокация риска должна предусматривать систему обратной связи как вверх, так и вниз. Без этого она будет малоэффективна.
Для увеличения пользы в системе аллокации необходимо создать три уровня доступной информации, которые будут покрывать потребности в ней в кратко-, средне- и долгосрочной перспективе:
- Структура регламентирующей документации: политика управления рисками, методики оценок, методологические основы планирования риска.
- База данных по реализованным рискам с оценками и факторами: все это берется из реестра или иных источников и накапливается со временем.
- База знаний – раздел управления знаниями о рисках, который содержит превентивные шаги по тем или иным рискам, которые актуальны или были реализованы ранее. Здесь также содержится любая другая информация, способная помочь сотрудникам быстро реагировать на возможные негативные ситуации.
Актуализация рисков
Последний раздел системы управления комплексными рисками. Это регламентная процедура, которая проводится в определенный период (желательно строго установленный). Он чем-то схож с идентификацией и разработкой превентивной риск-стратегии, так как требует повторной переоценки риск-событий в реестре и корректировки в действиях. Это необходимый процесс, так как он позволяет системе не застаревать, а оставаться в надлежащем положении.
Управлять актуализацией должна команда, которая разрабатывала реестр и риск-стратегию – то есть менеджмент компании. Проводить эту работу лучше ежемесячно. Другой вариант, если вся система управления рисками ставилась извне, то аудит и актуализацию можно проводить раз в полгода, но никак не реже. Иначе эффективность управления рисками может значительно снизиться.
Моделирование системы управления рисками
Проектируя любую сложную систему, желательно проверить ее в безопасной среде. С современными средствами имитации это становится все доступнее. Учитывая, что представленная здесь система управления комплексными рисками тесно связана с факторным анализом, сделать это будет проще, так как есть четкое разделение на фактор и его переменную.
Можно имитировать работу как отдельного функционального элемента с его набором категорий риска, так и всей системы в целом. Разница лишь в сложности создания модели. Такое решение будет особенно верным, так как любому значительному изменению всегда сопутствуют сопоставимые траты. Имитационное моделирование – это относительно недорого и безопасно. В зависимости от инструмента моделирования можно сделать это или самостоятельно, или наняв специалистов со стороны.
В МФО мы создавали имитационную модель системы управления рисками для трех функциональных элементов в отдельности: риски, связанные с финансовыми потоками, риски в бизнес-процессах и информационные риски. Среда моделирования – AnyLogic.
Почему управление рисками так актуально
Тема управления рисками снова набирает обороты. Когда экономика идет на спад, компании ищут пути для повышения своей эффективности в новой обостренной среде. Но нужно понимать, что внедрение принципов управления рисками не может быть временной мерой – только на период, когда все не очень хорошо. Эти принципы должны действовать постоянно и развиваться вместе с компанией.
Правильная интеграция системы управления рисками способна поднять уровень бизнеса на несколько ступеней выше среднеотраслевого. Причин здесь несколько. Первая: перед внедрением системы управления рисками проводится аудит бизнеса, в ходе которого определяются слабые места, документируются процессы, формируется обстоятельное представление о структуре компании. Это позволяет найти точки, где не до конца используется имеющийся потенциал, или наоборот, найти участки, которые давно пора изменить или убрать совсем.
Второе: культура управления рисками заставляет по-другому мыслить сотрудников. Каждое решение, если оно взвешено на риск, будет с большей вероятностью реализовано, а, значит, частота успешных решений возрастает, – и шансы на подъем экономики компании.
И третье: умение определять комплексные риски формирует у руководства компании более масштабное видение окружающей бизнес-среды. Такой взгляд позволяет гораздо дальше видеть горизонты будущих перспектив, а, значит, дает возможность заранее подготовиться к переменам.
А этот вид рисков у нас традиционно упускается. Согласитесь как это неприятно писать:
"Риск поздней поставки комплектующих и, соответственно, срыва сроков реализации проекта по причине затягивания корпоративных закупочных процедур
Ущерб - санкции в 100% стоимости контракта;
Ответственный за мероприятия, владелец риска - Департамент закупок, Заместитель генерального директора по закупкам;
Мероприятия - досрочный сбор заявок на закупку, формирование пула поставщиков, разбиение контракта на меньшие суммы для упрощения процедур, контроль и ускорение процедуры согласования, оптимизация системы закупок в целом".
Гораздо интереснее финансовые риски типа скачков курса, которые:
- контролируются весь период реализации проекта;
- никак не сказываются на проекте если основные импортные закупки вы провели ещё в начале проекта.
Я восхищён! Всё в точку! Эта, как её там - карта рисков меня тоже достала!
Да, Платон. Риски связанные с неоптимальной организационной структурой предприятия, с непрозрачностью некоторых процессов, с размыванием ответственности из-за отсутствия чёткого разграничения полномочий, прочие, привлекают меньше внимания бизнес-консультантов. И мировой опыт мало что даёт. На Автозаводе был такой опыт привлечения японцев для наведения порядка. Типа вникать почему сложно. Пусть иностранцы научат. Закончилось никак. По новому работать не стали. Японцы вообще не поняли чего они должны делать, чтобы русский мужик брак кувалдой не вгонял на конвейере.
Когда мы изучали PMBOK, мне тогда особенно запомнилась фраза преподавателя о том, что по результатам происходит «наказание невиновных и награждение непричастных». И тогда я думала, что это шутка. А оказывается, что шутки там была только доля.
Ухты! (написал слитно потому, что хочу так воскликнуть и не хочу, чтобы "ты" воспринялось как форма обращения вместо Вы).
А где Вы изучали PMBоK? В каком объеме? Вам преподавали практикующие ПиЭмы или как? Очень мне интересно получить ответы на эти вопросы.
Лично я столкнулся с PMBоKом в 1993 году. Совершенно случайно стал читать... Вот думаю муть какая... И кто-то же за это деньги получает... Когда во время прочтения серьезной литературы (согласитесь, PMBоK это не бульварное чтиво. Нужно сделать над собой известные усилия чтобы понять как всем этим богатством распорядиться.) в голове гуляют такие мысли, то прочитанное откладывается где-то на подкорке... В общем прочел я процессов десять,.. затошнило меня от этой "беллетристики" на английском языке,... и забросил эту книгу. Не помню уже сколько времени прошло, но очередная негативная "ситуация" в проекте вызвала ощущение дэжавю... Начал рыться в памяти - дескать, от куда у меня какие-то смутные воспоминания о похожем? После некоторого напряжения вспомнил - читал что-то похожее в PMBоKе. Нашел эту тему, конечно, написана она была не так, как я ее помнил, но тем не менее, и это помогло. На написанное в PMBоKе я посмотрел через мою конкретную ситуацию... И пазл сложился! Ну т.е. не весь пазл (PMBоK), а только та часть, которая затрагивалась этим процессом. У меня приключилось озарение. Я начал осваивать PMBоK через свою практику. Какие процессы я понимал, те и применял в своих проектах. А когда у тебя заживет один процесс, то ты уже по-другому смотришь на смежный с ним процесс. Он становится тебе понятней, и рука сама тянется "прикрутить" его к своему проекту. А прикрутив его, вдруг осознаешь как можно улучшить предыдущие процессы! Вот так я процесс за процессом, год за годом осваивал PMBоK. Можно сказать, я PMBоK не выучил, я его "прожил".
Из всех областей знаний PMBоK, область знаний "Управление Рисками" является самой туманной областью для понимания. А постольку, поскольку она номинально числится, следовательно ее нужно отработать, но т.к. она туманная очень, то на выходе получается профанация. Я хочу подчеркнуть профанация получается не потому, что люди не хотят выполнить это правильно, а потому, что не понимают как это сделать.
Не знаю кому это будет интересно, можно завести отдельную тему для управления рисками, и там мы сможем "рисковый" туман разогнать. Кто за - голосуйте.
Статья как параграф из учебника. Уснуть можно. Не хватает кейсов, подачи оригинальной. Не цепляет, хотя тема важная и интересная.
Сергей Левицкий пишет:
Сергей, я к форме на ты тоже отношусь очень спокойно. :)
Нас буквально немножечко знакомили со стандартами PMBok в рамках курса управления проектами программы MBA и это было порядка 13 лет назад в объёме скольких- то часов. Курс вёл преподаватель, но помню что он явно был практиком и кажется ещё руководил фирмой, которая занималась проектным управлением. Он как раз приводил много примеров из практики, было интересно и он горел управлением проектами и нас тоже немного «зажёг». По крайней мере его учебник - единственный, в который я регулярно заглядывала после учёбы и многое, о чём он говорил тогда - запомнилось и пригодилось.
И совершенно согласна с Вами, что эти знания необходимо проживать на собственном опыте. Как и любые другие.
По поводу управления рисками. Моя любимая тема - «непредсказуемые риски», которые нужно закладывать и как -то просчитывать их последствия. Особенно если это необходимо не для отчётов, а для дела и для практики. И чтобы работать с этим видом рисков, нужно прежде всего расширить зону видения, а для этого иногда приходится сначала ввязаться в бой, а потом разбираться. Мы в этом убедились, работая с ЮВА. Находясь в России было просто невозможно предположить какие риски нас ждут на той территории. Мы просто не знали что так вообще бывает.
Мне кажется, что для предпринимателей сама возможность расширить зону «непредсказуемых рисков» - это всё равно что найти какой- то философский камень.
Потому что слишком много неопределённостей, особенно на новых рынках, которые заведомо характеризуются как связанные с высоким риском. А если ещё и направление деятельности связано с чем- то рискованным, как например добыча пи, то получается вообще полный ахтунг (тоже простите, не знаю как это иначе назвать).
И вот когда находишься в такой ситуации и несёшь ответственность, то шелуха теорий отлетает сама собой и важным становится только то, что имеет практическую ценность. И кстати опыт. И тогда опять же возникает ещё одна очень долгая тема про разрыв теории и практики.
Ухты! А это вторая моя любимая тема! Я уверен теория с практикой могут "разорваться" настолько далеко, насколько мы это позволим. И готов это доказывать. Насколько далеко практика уйдет от теории в моих проектах решаю я, а не кто-то другой.
Про PMBOK . "Муть" или "не муть" с точки зрения восприятия - вопрос субъективный. Моё знакомство с данной методологией состоялось в 2011 году. Действительно, очень много процессов и прочего, что затрудняет реальное применение.
А вот PRINCE2 я изучил в 2017. И меня данный стандарт очень впечатлил своей логичностью и простотой по сравнению с PMBOK.
Однако предупрежу тех, кто хочет его изучить:
- для изучавших PMBOK изучение PRINCE2 дополнительно сложно. Потому что некоторые вещи имеют определённое внешнее сходство и полное сутевое отличие или совершенно иначе описаны.
Например в PMBOK есть стадия "Завершение проекта", а в PRINCE2 - аналогичная стадия "Последняя стадия разработки продукта". В итоге неосознанно ищешь в описании процессов окончание проекта, а оно уже состоялось. Подобного много.
- переводы на русский, выпускаемые под эгидой AXELOS (владелец методологии) далеко не идеальны. Поэтому следует хорошо понимать английский язык хотя бы для правильной интерпретации написанного. Либо изучать методологию на английском.
Ну это же не их, японцев, задача. Иностранный консультант хорош для выявления и описания рисковых событий, потому что у него иной взгляд на ситуацию. А вот состав изменений, который он может предложить, часто не применим.
Честно говоря, боязнь наших "пролетариев" мне кажется надуманной. Просто на них никто не тратит время с точки зрения обучения.
Дайте мужику стерильные перчатки и специальные щипцы. Измените инструкцию, внеся туда техпроцесс со щипцами. Проведите обучение в течение трёх дней. Затем издайте приказ о штрафах за кувалду, о выборе "лучшего владельца щипцами месяца" (с премией) и заставьте мастера проводить регулярные проверки. Я сказал что-то новое? Думаю нет. Это было сделано? Тоже думаю нет.
Вот вам пример из личной практики.
Выдали кондукторам (5000 человек) мобильные терминалы. Раньше руками билетики давали, а теперь бесконтактные карты. Кондуктора - тётеньки простые, образование среднее, культура тоже.
Честно терминалы плохие, много отказов по различным причинам. Провели обучение 10 раз. Провели аттестацию, всем, кто продаёт билет медленнее чем, не помню точно, 40 секунд - "до свидания". И работает. Да, новая технология и всё такое. Просто те кто внедрял - хотели внедрить.