Стратегии управления рисками: альпинистская веревка, которая нужна вашей организации

Ты бы решился лезть на скалу без веревки, страховочной системы, самоблокирующегося устройства и напарника, который помог бы тебе подняться и спуститься? Наверное, нет. Даже если ты достаточно хорош, чтобы не упасть, риски слишком высоки, чтобы их игнорировать. Хотя есть такое понятие, как свободное соло-скалолазание, только самые опытные альпинисты, которые любят риск, решаются на это. Управление организацией не всегда проходит гладко. Вы должны помнить об опасностях, с которыми вы сталкиваетесь, поднимаясь по карьерной лестнице. И вам нужно правильное оборудование, то есть правильные стратегии управления рисками, чтобы их снизить.

Хороший план управления рисками поможет тебе избежать финансовых потерь и не испортить репутацию, не нарушать правила и завоевать доверие.

Помощь в соблюдении правил

Стратегия управления рисками — это не просто выбор в некоторых отраслях. Например, финансовые организации в ЕС (Европейском союзе) должны следовать DORA (Закону о цифровой операционной устойчивости), который имеет строгие правила по управлению рисками в сфере ИКТ (информационно-коммуникационных технологий). Несоблюдение юридических требований оказалось серьезной проблемой. Это не шутка, потому что регуляторы не боятся штрафовать нарушителей. В случае с Equifax, компания должна была заплатить штраф в 575 миллионов долларов из-за утери личной и финансовой информации 150 миллионов потребителей, потому что их база данных была уязвима для взлома хакерами.

Устранение ущерба для репутации

В 2016 году операционный центр Delta Airlines простоял пять часов. Это обошлось компании в 150 миллионов долларов, потому что авиакомпания была вынуждена отменить около тысячи рейсов и отменить еще тысячу. Это один из примеров управления рисками, который связан не только с потерями. Delta позиционировала себя как авиакомпанию, которая всегда летает по расписанию и отменяет рейсы. Можно сказать, что ущерб репутации обходится авиакомпании даже дороже, чем отмена и приостановка рейсов.

Обеспечение прибыли

Когда организации попадают в неожиданную ситуацию, это может обойтись им очень дорого. Последствия утечки данных могут привести к миллионным штрафам. Внезапные сбои или недоступность сервиса приводят к потере доходов. Подумайте о риске несоответствия требованиям как о примере. Meta (Facebook) была первой компанией, которая заплатила штраф в размере 1,2 миллиарда евро за нарушение правил защиты данных ЕС.

Предотвращение проблем, прежде чем они начнут мешать

Хороший подход к управлению рисками не ограничивается только этим. Он также помогает определить, какие риски реально существуют, и справиться с ними, пока они не привели к большим финансовым потерям. Например, это может быть создание крутой автоматической системы для обнаружения аномалий, которая поможет вовремя заметить возможные проблемы с безопасностью.

Завоевание доверия клиентов и инвесторов

Эффективная система управления рисками дает инвесторам понять, что у вас все под контролем. Низкая подверженность рискам и правильное управление неизбежными рисками защищают их инвестиции от потери денег и репутации. Клиенты скорее доверят компании, которая заботится о своих рисках, особенно о личных данных. Защита информации клиентов — это самый важный момент, который вызывает доверие к бизнесу у потребителей.

Прежде чем приступить к выбору методов управления рисками, нужно создать группу по управлению рисками в компании (если ее еще нет). Эта группа будет постоянно выявлять и отслеживать риски, работать с ними и оптимизировать стратегию в соответствии с возникающими рисками. Команда по управлению рисками в компании объединяет:

• Совет директоров, как представитель или комитет на уровне совета, контролирует команду
• Команду возглавляет директор по рискам (CRO), который следит за тем, как все идет и как можно сделать лучше.
• Главный операционный директор (COO) смотрит на всю повседневную работу с высоты птичьего полета и помогает выявлять пробелы в управлении рисками и устранять риски
• Финансовый директор (CFO) дает свои рекомендации по рискам для доходов и прибыльности, а также по страховым рискам (если это нужно) и рискам для доходов и прибыльности.
• Главный юрисконсульт высказывает свое мнение по юридическим вопросам организации и возможности ответственности
• Главный специалист по соблюдению норм следит за тем, чтобы всё соответствовало правилам, а также за безопасностью сотрудников с помощью кибербезопасности.
• Директор по информационным технологиям (CIO) следит за IT-рисками и заботится о том, чтобы бизнес продолжал работать, если что-то пойдет не так
• Директор по персоналу (CHRO) отвечает за риски, связанные с персоналом
• Директор по коммуникациям рассказывает о рисках для репутации, которые могут возникнуть
• Руководители отделов, которые отвечают за риски, рассказывают о них в своих отделах.

Избегание рисков, их уменьшение, совместное использование, передача и сохранение — это самые распространенные методы управления рисками.

Как избежать рисков

Такая стратегия управления рисками подразумевает, что не будет деятельности с высокими рисками и потенциально вредной для организации. Что обычно показывает, что нужно ее использовать? Посмотрите, не перевешивают ли риски возможные выгоды. Или могут быть угрозы, которые создают серьезную опасность для организации.

Предотвращение потерь/снижение рисков

Некоторые риски невозможно полностью устранить. Например, нельзя полностью исключить угрозу неблагоприятных погодных условий. Можно только предотвратить или уменьшить убытки. Например, можно уменьшить риск, поставив вентиляционные отверстия и дренажные насосы, чтобы уменьшить ущерб от наводнений. В сфере здравоохранения риск обычно минимизируют с помощью профилактики.

Распределение рисков

Не можете избежать или уменьшить риск? Вместо этого можно разделить риски, чтобы снизить уязвимость. В этом подходе к управлению рисками в случае возникновения риска убытки распределяются между различными сторонами, и влияние на каждую из них смягчается. Хороший пример разделения рисков — это акционерное участие: если компания не получает прибыль, убытки делятся между инвесторами компании.

Перенос риска

Это стратегия переноса риска, когда риск передается третьей стороне. Это подходящий способ управления рисками, когда риск слишком велик, чтобы организация могла справиться с потерями. Перенос риска обычно означает страхование от стихийных бедствий или судебных разбирательств. Договор на оказание услуг также позволяет переложить риск на субподрядчика.

Принятие/сохранение рисков

Когда все другие способы управления рисками исчерпаны, последний вариант — это принять риск. Принять риск значит, что а) избавиться от него невозможно или б) затраты на альтернативные способы больше, чем выгода. Чтобы применить удержание риска, нужно отложить бюджет и другие ресурсы, которые понадобятся для устранения последствий этого остаточного риска. Этот риск может проявляться в виде регулярных жалоб клиентов или небольших операционных сбоев, например

Страховая компания тоже подвержена разным рискам, по сравнению, например, с технологическим стартапом. Анализ их потенциального воздействия обычно включает в себя сочетание следующих методов оценки рисков.

Количественная оценка рисков

Количественная оценка рисков позволяет оценить потенциальные затраты каждого риска и расставить приоритеты. Количественный анализ рисков привлекателен тем, что его результаты измеримы и объективны, их легко понять и сравнить. Но количественная оценка рисков — это не универсальное решение. Есть организации, у которых может не быть качественной информации, чтобы оценить возможные потери. Некоторые последствия, например ущерб репутации, вообще могут быть неизмеримы. Обычные методы количественного анализа рисков включают:

• Трехточечная оценка: придумайте лучшие прогнозы для лучшего, наиболее вероятного и худшего сценариев, чтобы получить самые точные прогнозы
• Анализ дерева решений: это метод, который включает в себя построение диаграммы, иллюстрирующей возможное влияние вариантов принятия решений
• Ожидаемая денежная стоимость: определение резервных средств и времени
• Анализ чувствительности: оценка риска, который может сильно повлиять на процесс или проект
• Моделирование по методу Монте-Карло: вычисление вероятности разных результатов в процессе, где есть случайные переменные
• Анализ дерева неисправностей: создание диаграммы, чтобы определить факторы, которые могут вызвать сбой системы

Качественная оценка рисков

С помощью этого метода оценки рисков можно определить, где нужно провести дополнительный анализ и как с этим справиться. Это значит, что люди в организации обсуждают риски и их возможные последствия. Качественные методы:

• Делайте все максимально просто (KISS): оценивайте риски по простой шкале от (очень высокий) до (очень низкий)
• Вероятность/воздействие: оценивайте шансы возникновения риска и его влияние по шкале от 1 до 10 или от 1 до 5 на двумерном графике

Качественная оценка рисков учитывает факторы, которые сложно измерить. С другой стороны, она основана на личных чувствах и мнениях и может быть подвержена предвзятости.

Оценка рисков, основанная на активах

Этот метод поможет понять риски, которые могут повлиять на активы организации, включая оборудование, имущество и интеллектуальную собственность. Он включает в себя:

• Составление списка всех доступных ресурсов
• Оценивайте, насколько эффективны нынешние меры по контролю рисков
• Попросите владельцев активов помочь вам составить список возможных рисков для каждого актива
• Помимо выявления рисков, нужно расставить их по приоритетам с точки зрения вероятности и интенсивности воздействия

Хотя оценки рисков, основанные на активах, дают понятные результаты, они не учитывают некоторые риски, связанные с политиками или процессами организации.

Оценка рисков, основанная на уязвимостях

Этот метод направлен на выявление слабых мест любой организации или системы. Оценка уязвимостей включает в себя: вместо того, чтобы начинать со списка активов компании.

• Выявление существующих слабых мест и неэффективности в организации/системе
• Подумайте, как можно использовать эти слабые места
• Оценивайте, как каждый уязвимый момент может повлиять на ситуацию

Хотя этот метод дает более сбалансированную оценку рисков, у него есть один минус: он опирается на известные уязвимости. Поэтому лазейки, которые еще не устранены, будут по-прежнему представлять угрозу.

Чтобы выбрать правильную комбинацию стратегий управления рисками, нужно четко понимать риски организации и их потенциальное влияние. Поэтому невозможно дать универсальный совет по управлению рисками в отношении той или иной стратегии. При этом в некоторых случаях организации предпочитают использовать определенные стратегии:

• Стратегия избегания рисков должна применяться в случаях, когда потенциальные последствия риска превышают выгоды от деятельности
• Снижение риска — это хороший вариант, когда нет возможности этого не делать, но все равно можно принять меры по контролю рисков.
• Распределение рисков связано с проектами, которые слишком велики или сложны, чтобы ими могла управлять одна сторона.
• Сохранение риска часто встречается в случае рисков с небольшими последствиями, которые нормальны в повседневной работе
• Перенос риска обычно используется, когда речь идет о рисках с большим влиянием и масштабом, которые были бы слишком дороги для организации.

Но уровень риска, готовность ключевых заинтересованных сторон и ресурсы будут влиять на то, какую стратегию вы выберете.

Процесс управления рисками состоит из пяти этапов: определение риска, оценка риска, план по работе с рисками, реализация, мониторинг и доработка.

1. Выявление рисков

Первое, что нужно сделать, это понять, какие риски могут быть у вашей организации. Запишите все риски в документ, например, в реестр рисков — это база данных, где указаны риски, их вероятность и возможные последствия, кто за них отвечает и как их можно уменьшить. Чтобы выявить все возможные риски:

• Обсуждайте их с теми, кто работает на передовой, и с руководством через опросы, мозговые штурмы и интервью
• Изучите, как риски проявлялись в прошлом, и попробуйте понять, почему это происходило
• Извлекайте информацию о рисках с помощью исторических данных в виде анализа данных

В этих семи категориях рисков учитывайте внутренние и внешние риски:

2. Анализ рисков

Теперь пора определить, насколько серьезен каждый из выявленных рисков. Для каждого риска определите:

• Если риск-событие произойдет, это плохо отразится на организации
• Внутренние и внешние факторы, которые могут привести к возникновению риска
• Вероятность того, что риск может случиться
• Влияние рискового события
• Время или скорость, с которой может произойти риск

Вы можете собрать свои выводы в матрице рисков, где на одной оси будет вероятность риска, а на другой — серьезность последствий. Когда закончите оценку, сможете распределить риски по степени серьезности от самых серьезных до наименее серьезных.

3. План по работе с рисками

Когда имеешь дело с рисками, сначала нужно решить, какую стратегию выбрать: избегание, уменьшение, распределение, передача или сохранение. Можно комбинировать несколько типов стратегий управления рисками при работе с одним и тем же риском. Затем составьте план управления рисками для каждого риска, опишите меры по управлению рисками, политики и административные меры контроля для снижения риска. Выберите также подходящие методы оценки рисков, которые следует использовать.

4. Внедрение управления рисками

Когда план готов, самое время его реализовывать. Обязательно расскажите о рисках ключевым заинтересованным сторонам, чтобы они были в курсе и могли нормально участвовать в процессах управления рисками. Кроме того, введите систему, которая будет отслеживать показатели риска, которые вы определили на предыдущем этапе. Вы также можете рассчитать решение для анализа данных, чтобы извлечь полезную информацию из таких данных.

5. Контроль и доработка

Управление рисками — это не проект, а процесс, который нужно вести постоянно. Чтобы эффективно управлять рисками:

• Постоянно следите за показателями риска, например, коэффициентом ликвидности или временем простоя оборудования
• Регулярно просматривайте реестр рисков, переоценивайте риски и следите за появлением новых рисков
• Всегда следи за ситуацией и делай все, чтобы снизить риски
• Проверяйте и пересматривайте свои планы и меры по снижению рисков
• Попросите совета по управлению рисками у ключевых людей
• Регулярно проводите внутренние проверки

Аналитическое и стратегическое мышление, навыки общения и лидерства, а также знания в области регулирования и финансов — это самые ценные навыки в управлении рисками.

Аналитическое мышление

Управление рисками включает анализ разных данных. Хороший риск-менеджер может принимать правильные решения, основываясь на собранной информации и учитывая количественные и качественные факторы.

Стратегическое мышление

Риск-менеджеры должны хорошо понимать стратегию компании и свою роль в управлении рисками. Они не смогут работать на полную, если не будут видеть общую картину и не будут замечать возможности, которые их коллеги могли пропустить.

Люди и навыки общения

Для успешного управления рисками нужна тесная межфункциональная работа. Задача риск-менеджера — обеспечить сотрудничество между основными заинтересованными сторонами и получать обратную связь.

Индивидуальные управленческие и лидерские навыки

В какой-то момент риск-менеджеры вынуждены внедрять методы управления рисками в организации. Для этого нужно понимать, как мотивировать людей придерживаться мер по снижению рисков и создать атмосферу открытого обсуждения рисков.

Знание нормативных требований

Любой метод управления рисками, скорее всего, будет регулироваться разными правилами. Поэтому риск-менеджеры должны понимать юридические требования к управлению рисками и как их применять на практике.

Финансовые знания

От риск-менеджеров ожидается, что они будут оценивать риски почти каждый день. Это невозможно без обширных финансовых знаний о стоимости сбоев в работе сети, а также о потерях денег из-за выхода оборудования из строя.

В итоге, как альпинист полагается на веревки и страховочные приспособления для безопасности, так и компания должна использовать надежные стратегии управления рисками, чтобы избежать потенциальных опасностей. Будь то избегание, снижение, распределение, передача или удержание риска, любой из этих подходов имеет решающее значение для смягчения финансовых, операционных и репутационных потерь. Эта комплексная стратегия поможет компаниям заранее устранять уязвимости и быть устойчивыми, что обеспечит им долгосрочный успех и стабильность.