На цій сторінці
- Вступ
- Чому управління ризиками має значення
- Перше і найголовніше: найміть відповідних людей
- 5 Основних стратегій управління ризиками, про які варто знати
- Вибір правильної стратегії: 4 методи оцінки ризиків
- Яка стратегія управління ризиками є для вас найбільш підходящою?
- 5 Кроків до створення вашої стратегії управління ризиками
- Що таке хороший менеджер з управління ризиками?
- На закінчення
Вступ
Чи наважилися б ви піднятися на скелю без відповідної мотузки, страхувального спорядження, самоблокувального пристрою та партнера, який би допомагав вам підніматися та спускатися? Напевно, ні. Навіть якщо ви достатньо вправні, щоб не впасти, ризики занадто великі, щоб їх ігнорувати. Хоча існує таке поняття, як вільне соло-сходження, тільки найдосвідченіші альпіністи, які мають великий потяг до ризику, наважуються на нього. Управління організацією не завжди проходить гладко. Ви повинні пам'ятати про небезпеки, з якими ви стикаєтеся, піднімаючись по кар'єрних сходах. І вам потрібне відповідне обладнання, тобто правильні стратегії управління ризиками, щоб їх мінімізувати.
Чому управління ризиками має значення
Ефективний план управління ризиками може гарантувати, що ви зможете запобігти фінансовим втратам і втраті репутації, уникнути порушення нормативних вимог і завоювати довіру.
Сприяння дотриманню нормативних вимог
Стратегія управління ризиками не є вибором у деяких галузях. Наприклад, фінансові установи в ЄС (Європейському Союзі) повинні дотримуватися DORA (Закону про цифрову операційну стійкість), який містить суворі нормативні положення щодо управління ризиками в сфері ІКТ (інформаційно-комунікаційних технологій). Недотримання законодавчих вимог виявилося серйозною загрозою. Це не жарт, адже регуляторні органи не бояться штрафувати порушників. У випадку з Equifax компанія була змушена сплатити штраф у розмірі 575 мільйонів доларів через втрату особистої та фінансової інформації 150 мільйонів споживачів, оскільки їхня база даних була вразливою до зловживань з боку хакерів.
Усунення втрат репутації
У 2016 році операційний центр Delta Airlines був виведений з ладу на п'ять годин. Це коштувало компанії 150 мільйонів доларів, оскільки авіакомпанія була змушена скасувати приблизно тисячу рейсів і випустити ще тисячу. Це один із прикладів управління ризиками, який не пов'язаний лише зі збитками. Delta позиціонувала себе як авіакомпанія, яка завжди дотримується розкладу і скасовує рейси. Можна стверджувати, що репутаційні збитки для авіакомпанії є навіть більш значними, ніж скасування та призупинення рейсів.
Забезпечення кінцевого результату
Коли організації стикаються з несподіваними ситуаціями, це може коштувати їм дуже дорого. Наслідки порушення безпеки даних можуть призвести до мільйонних штрафів. Раптові збої або недоступність послуг призводять до втрати доходів. Розгляньте ризик дотримання вимог як приклад. Meta (Facebook) стала першою компанією, яка сплатила штраф у розмірі 1,2 млрд євро за порушення правил захисту даних ЄС.
Запобігання проблемам, перш ніж вони спричинять хаос
Ефективний підхід до управління ризиками не обмежується лише управлінням ризиками. Він також встановлює структуру визначення фактичних реалізованих ризиків та їх усунення до того, як вони можуть призвести до значних фінансових втрат. Як приклад, це може включати створення потужної автоматизованої системи виявлення аномалій, яка дозволить виявляти можливі порушення безпеки на ранній стадії.
Завоювання довіри клієнтів та інвесторів
Ефективна система управління ризиками дає чіткий сигнал вашим інвесторам: ви все тримаєте під контролем. Низький рівень ризиків та належне управління неминучими ризиками захищають їхні інвестиції від втрати фінансів та репутації. Чим більше клієнтів довіряють компанії, яка управляє своїми ризиками, зокрема, персональними даними, тим більше вона отримує. Захист інформації про клієнтів є найважливішим аспектом, який вселяє довіру до бізнесу серед споживачів.
Регулюючі органи не бояться накладати великі штрафи на порушників. Недотримання законодавчих вимог стало значною загрозою для організацій.
Перше і найголовніше: найміть відповідних людей
Перш ніж приступити до вибору методів управління ризиками, необхідно створити команду з управління ризиками підприємства (якщо ви ще цього не зробили). Ця група буде постійно виявляти та контролювати ризики, обробляти їх та оптимізувати стратегію відповідно до нових ризиків. Команда з управління ризиками підприємства об'єднує:
- Рада директорів, як представник або комітет на рівні ради, здійснює корпоративний нагляд за командою
- Команду очолює головний спеціаліст з ризиків (CRO), який контролює реалізацію стратегії та постійне вдосконалення
- Головний операційний директор (COO) пропонує загальний огляд усіх повсякденних операцій та допомагає виявляти прогалини в управлінні ризиками та усувати ризики
- Головний фінансовий директор (CFO) надає інформацію щодо ризиків для доходів і прибутковості, страхових ризиків (де це доречно) та ризиків для доходів і прибутковості
- Головний юрисконсульт надає свою думку щодо юридичних питань організації та можливості відповідальності
- Головний спеціаліст з питань дотримання нормативних вимог стежить за повним дотриманням нормативних вимог щодо безпеки правління та працівників за допомогою кібербезпеки
- Головний інформаційний директор (CIO) управляє ІТ-ризиками та покращує безперебійність бізнесу у разі їх виникнення
- Директор з персоналу (CHRO) відповідає за ризики, пов'язані з робочою силою
- Керівник відділу комунікацій надає інформацію про репутаційні ризики, які можуть виникнути
- Керівники відділів, які призначені власниками ризиків, дають практичне уявлення про ризики у своїх відповідних бізнес-відділах
Створіть свою мрію про команду з управління ризиками
Створіть правильну команду з управління ризиками підприємства, щоб захистити свою організацію від несподіваних загроз.
Зв'яжіться з нами5 основних стратегій управління ризиками, про які варто знати
Уникнення ризиків, їх зменшення, розподіл, передача та утримання є найбільш поширеними методами управління ризиками.
Уникнення ризиків
Така стратегія управління ризиками передбачає відсутність діяльності з високим рівнем ризику та потенційно шкідливої для організації. Що є загальним показником необхідності її використання? Визначте, чи не перевищують ризики можливі вигоди. Крім того, можуть існувати загрози, які становлять екзистенційну небезпеку для організації.
Запобігання втратам/зменшення ризиків
Деякі ризики неможливо повністю усунути. Наприклад, неможливо повністю виключити загрозу несприятливих погодних умов. Ви можете лише запобігати або зменшувати збитки. Наприклад, ризик можна зменшити, встановивши вентиляційні отвори та дренажні насоси для зменшення збитків від повені. Мінімізація ризиків у секторі охорони здоров'я зазвичай здійснюється у вигляді профілактичних заходів.
Розподіл ризиків
Неможливо уникнути або зменшити ризик? Натомість, розподіл ризиків може зменшити їх вплив. За такого підходу до управління ризиками, у разі настання ризику, збитки розподіляються між різними сторонами, а вплив на кожну сторону пом'якшується. Хорошим прикладом розподілу ризиків є акціонерна власність: у разі, якщо компанія не отримує прибутку, збитки розподіляються між інвесторами компанії.
Передача ризику
Це стратегія перенесення ризику, за якою ризик передається третій стороні. Це відповідний метод управління ризиками, коли ризик є надто великим, щоб організації могли впоратися з втратами. Передача ризику зазвичай означає страхування від стихійних лих або судових позовів. Сервісний контракт також дозволяє делегувати ризик субпідряднику.
Прийняття/збереження ризику
Коли всі інші стратегії управління ризиками вичерпані, остаточним варіантом є прийняття ризику. Прийняття ризику означає, що а) неможливо позбутися ризику, або б) витрати на використання альтернативних стратегій перевищують вигоди. Щоб застосувати утримання ризику, ви повинні відкласти бюджет та інші ресурси, які будуть необхідні для усунення наслідків цього залишкового ризику. Цей ризик може бути у вигляді регулярних скарг клієнтів або незначних операційних збоїв, наприклад
Вибір правильної стратегії: 4 методи оцінки ризиків
Страхова компанія також схильна до різних ризиків у порівнянні, наприклад, з технологічним стартапом. Аналіз їхнього потенційного впливу зазвичай передбачає поєднання таких методів оцінки ризиків.
Кількісна оцінка ризиків
Кількісна оцінка ризиків дозволяє оцінити потенційні витрати кожного ризику в цифрах і відповідно розставити пріоритети. Кількісний аналіз ризиків привабливий тим, що його результати є вимірюваними та об'єктивними, їх легко зрозуміти та порівняти. Однак кількісна оцінка ризиків не є універсальним рішенням. Є організації, які можуть не мати якісної інформації для отримання оцінок можливих втрат. Деякі наслідки, такі як втрата репутації, можуть бути взагалі не вимірюваними. До поширених методів кількісного аналізу ризиків належать:
- Триточкова оцінка: розробка найкращих прогнозів щодо найкращого, найімовірнішого та найгіршого сценаріїв для отримання найкращих прогнозів
- Аналіз дерева рішень: це техніка, яка передбачає складання діаграми, що ілюструє можливий ефект варіантів прийняття рішень
- Очікувана грошова вартість: визначення резервних коштів та часу
- Аналіз чутливості: оцінка ризику, який матиме найзначніший вплив на процес або проект
- Моделювання методом Монте-Карло: визначення ймовірності різних результатів у процесі, що передбачає випадкові змінні
- Аналіз дерева відмов: створення діаграми для визначення факторів, які можуть спричинити відмову системи
Якісна оцінка ризиків
За допомогою цієї техніки оцінки ризиків ви можете визначити місця, які потребують подальшого аналізу, та практично управляти ними. Вона залучає окремих осіб в організації до обговорення ризиків та їхніх можливих наслідків. Якісні методи:
- Keep It Super Simple (KISS): класифікуйте ризикові події за простою шкалою (від дуже високого до дуже низького)
- Імовірність/вплив: оцінка ймовірності виникнення ризику та його впливу за шкалою від 1 до 10 або від 1 до 5 на двовимірному графіку
Якісна оцінка ризиків враховує фактори, які важко кількісно оцінити. І навпаки, вона базується на особистих відчуттях і поглядах і може бути спотворена упередженнями.
Оцінка ризиків на основі активів
Цей метод дозволяє розпізнати ризики, які можуть вплинути на активи організації, включаючи обладнання, майно та інтелектуальну власність. Він передбачає:
- Підготовка списку всіх доступних активів
- Оцінка ефективності поточних заходів контролю ризиків
- Звертайтеся за допомогою до власників активів, щоб перелічити потенційні ризики для кожного активу
- Окрім виявлення ризиків, необхідно визначити їх пріоритетність з точки зору ймовірності та інтенсивності впливу
Хоча оцінка ризиків на основі активів дає зрозумілі результати, вона не враховує певні ризики, властиві політикам або процесам організації.
Оцінка ризиків на основі вразливостей
Цей метод спрямований на виявлення слабких місць кожної організації або системи. Оцінка на основі вразливостей передбачає: замість того, щоб починати зі списку активів компанії.
- Виявлення існуючих організаційних/системних слабких місць та неефективності
- Визначення способу, яким ці слабкі місця можуть бути використані
- Оцінка можливого ефекту, який може мати кожен експлойт
Хоча цей метод забезпечує більш збалансований погляд на ризики, він має один недолік: він базується на відомих вразливостях. Отже, лазівки, які ще не усунуто, залишатимуться загрозами.
Розгляньте можливість поєднання декількох методів оцінки ризиків для отримання комплексного уявлення про ризики вашої організації.
Яка стратегія управління ризиками є для вас найбільш підходящою?
Вибір правильної комбінації стратегій управління ризиками вимагає чіткого розуміння ризиків організації та їхнього потенційного впливу. Тому неможливо надати універсальні поради щодо управління ризиками стосовно тієї чи іншої стратегії. З огляду на це, в деяких випадках організації вважають за краще застосовувати певні стратегії:
- Стратегія уникнення ризиків повинна застосовуватися у випадках, коли потенційний вплив ризику перевищує вигоди від діяльності
- Зниження ризику є доцільним варіантом, коли немає можливості цього не робити, але все одно можуть бути заходи контролю ризику
- Розподіл ризиків пов'язаний з проектами, які є занадто великими або занадто складними, щоб ними могла керувати одна сторона
- Збереження ризику є звичайним для ризиків з низьким рівнем впливу, які є нормальними в повсякденній діяльності
- Перенесення ризику зазвичай використовується при роботі з ризиками, що мають великий вплив і великий масштаб, які були б надто дорогими для організації
Однак рівень ризику, схильність до ризику ключових зацікавлених сторін та ресурси визначатимуть вибір стратегії, яку ви приймете.
5 кроків до створення вашої стратегії управління ризиками
Процес управління ризиками складається з п'яти етапів, а саме: ідентифікація ризику, оцінка ризику, план управління ризиком, реалізація, моніторинг та вдосконалення.
1. Визначення ризиків
Перше, що ви повинні зробити, це отримати загальне уявлення про всі можливі ризики, яким піддається ваша організація. Задокументуйте всі виявлені ризики в документі, такому як реєстр ризиків — база даних про ризики, їх ймовірність і потенційний вплив, власників ризиків та обрану стратегію управління ризиками. Для визначення всіх можливих ризиків:
- Повідомляйте про них як працівникам на передовій, так і вищому керівництву за допомогою опитувань, мозкових штурмів та інтерв'ю
- Досліджуйте історичні випадки ризиків та з'ясовуйте їх причини
- Витягуйте інформацію про ризики за допомогою історичних даних у формі аналізу даних
У цих семи категоріях ризиків враховуйте внутрішні та зовнішні ризики:
2. Аналіз ризиків
Настав час визначити рівень серйозності кожного з виявлених ризиків. Для кожного ризику визначте:
- Ризикова подія, у разі її настання, матиме негативний вплив на організацію
- Внутрішні та зовнішні фактори, які можуть спричинити виникнення ризику
- Імовірність настання ризикової події
- Вплив ризикової події
- Часові рамки або швидкість, з якою може відбутися ризик
Ви можете об'єднати свої висновки в матрицю ризиків, де на одній осі буде ймовірність ризику, а на іншій — серйозність наслідків. Після завершення оцінки ви зможете класифікувати ризики від найсерйозніших до найменш серйозних.
3. План управління ризиками
При роботі з ризиками ви повинні спочатку визначитися зі своєю стратегією: уникнення, зменшення, розподіл, передача або утримання. Ви можете поєднувати кілька типів стратегій управління ризиками при роботі з одним і тим же ризиком. Потім надайте план управління ризиками для кожного ризику, заходи з управління ризиками, політики та адміністративні заходи контролю для зменшення ризику. Виберіть також відповідні методи оцінки ризиків, яких слід дотримуватися.
4. Впровадження системи управління ризиками
Склавши план, настав час його реалізувати. Обов'язково повідомте про ризики ключовим зацікавленим сторонам, щоб вони були про них поінформовані та могли належним чином брати участь у процесах управління ризиками. Крім того, впровадьте систему, яка буде контролювати показники ризику, визначені вами на попередньому етапі. Ви також можете розробити рішення для аналізу даних, щоб отримати корисну інформацію з таких даних.
5. Моніторинг та вдосконалення
Управління ризиками — це не проект, а процес, який повинен здійснюватися постійно. Щоб ефективно управляти ризиками:
- Постійно контролюйте показники ризику, наприклад, коефіцієнт ліквідності або час простою обладнання
- Регулярно переглядайте реєстр ризиків, переоцінюйте ризики та стежте за новими ризиками
- Постійно стежте за ситуацією та вживайте заходів для зменшення ризиків
- Перевірте та перегляньте свої плани та заходи щодо зменшення ризиків
- Отримайте поради щодо ваших практик управління ризиками від ключових зацікавлених сторін
- Проводьте регулярні внутрішні аудити
| Категорія ризику | Опис | Приклад |
|---|---|---|
| Фінансові ризики | Ризики, пов'язані з фінансовими ресурсами компанії | Ризик неплатоспроможності |
| Операційні ризики | Загрози повсякденній діяльності | Помилки співробітників |
| Ризики, пов'язані з регулюванням та дотриманням вимог | Ризики, спричинені змінами в нормативних актах або їх недотриманням | Недотримання поточних вимог |
| Ризики для репутації | Ризики, пов'язані з тим, як населення сприймає ваш бренд | Кризи в сфері публічних відносин |
| Економічні ризики | Ризики, пов'язані зі змінами на ринку та в економіці | Спад на ринку |
| Ризики небезпеки | Ризики, що впливають на здоров'я та безпеку працівників | Нещасні випадки на виробництві |
| Ризики безпеки | Ризики, пов'язані з інтелектуальною власністю та конфіденційною інформацією | Порушення безпеки даних |
Управління ризиками — це не проект, а безперервний процес, який вимагає постійної уваги та вдосконалення.
Що таке хороший менеджер з управління ризиками?
Аналітичне та стратегічне мислення, міжособистісні та лідерські навички, а також знання в галузі регулювання та фінансів є найціннішими навичками в управлінні ризиками.
Аналітичне мислення
Управління ризиками передбачає аналіз різних даних. Ефективний менеджер з управління ризиками здатний приймати зважені рішення на основі зібраної інформації та з урахуванням кількісних і якісних факторів.
Стратегічне мислення
Менеджери з управління ризиками повинні мати комплексне уявлення про стратегію компанії та роль, яку відіграє управління ризиками. Вони не можуть працювати оптимально, не маючи загального уявлення та не виявляючи можливості, які їхні колеги могли пропустити.
Люди та комунікативні навички
Для успішного управління ризиками необхідна міжфункціональна співпраця. Роль менеджера з ризиків полягає в забезпеченні такої співпраці між основними зацікавленими сторонами та отриманні зворотного зв'язку.
Індивідуальні управлінські та лідерські компетенції
Рано чи пізно ризик-менеджери змушені впроваджувати практики управління ризиками в організації. Це передбачає розуміння того, як заохотити людей дотримуватися заходів щодо зменшення ризиків та створити чесну дискусію про ризики.
Знання нормативних вимог
Будь-який метод управління ризиками, швидше за все, буде регулюватися різними нормативно-правовими актами. Тому менеджери з управління ризиками повинні розуміти законодавчі вимоги до управління ризиками та способи їх практичної реалізації.
Фінансові знання
Від менеджерів з ризиків очікується, що вони будуть оцінювати ризики майже щодня. Це неможливо без глибоких фінансових знань щодо вартості відключень мережі, а також втрат грошей через несправність обладнання.
На закінчення
На закінчення, так само як альпініст покладається на мотузки та страхувальні ремені для безпеки, компанія повинна застосовувати надійні стратегії управління ризиками, щоб уникнути потенційних небезпек. Будь то уникнення, зменшення, розподіл, передача або утримання ризику, будь-який підхід є критично важливим для зменшення фінансових, операційних та репутаційних втрат. Ця цілісна стратегія гарантуватиме, що компанії матимуть можливість заздалегідь усунути вразливі місця та бути стійкими, що забезпечить довгостроковий успіх і стабільність.
