Просто о риск-менеджменте в небольшой компании

Нарчук Олег,
учредитель группы компаний «Стандарт качества»,

эксперт-аудитор систем менеджмента качества в системах JAZ-ANZ (Австралия), Dakks (Германия),

аудитор ЕАЭС в сфере производства машин и оборудования, электротехники.

Просто о риск-менеджменте в небольшой компании

Недавно у меня состоялся диалог с отцом о действиях властей нашей страны в борьбе с эпидемией, их достаточности и обоснованности. Позиция моего отца, в общих чертах, заключалась в том, что он поддерживает действия президента и не считает введение карантина обязательным, потому что «возможно, никаких критических проблем эпидемия и не принесет».

Когда я спросил: «А что, если завтра люди начнут умирать тысячами? Тогда ведь действовать будет поздно, время назад отмотать невозможно», – вразумительного ответа я не получил.

Позже я задумался о том, что, на самом деле, подавляющее большинство руководителей в нашей стране, к сожалению, либо не знакомы, либо знакомы крайне поверхностно с понятием риск-менеджмента, в связи с чем, зачастую, принимают импульсивные решения, которые позже выглядят очевидно неверными. Поэтому в этой статье я бы хотел поговорить об основах риск-менеджмента и том, почему текущие действия нашего правительства выглядят невзвешенными.

Что такое риск-менеджмент и зачем он нужен?

Для начала отмечу, что статья рассчитана на руководителей и собственников компаний. Я не буду углубляться в теоретизирование и академические выкладки риск-менеджмента, поэтому специалисты, занятые в этом направлении деятельности профессионально, вряд ли почерпнут что-то новое. Разве что смогут взглянуть на свою работу со стороны, а точнее – сверху. Когда-то я слышал прекрасную метафору о необходимости иногда оценить свою деятельность извне: «Сложно варить борщ, когда ты плавающий в нем овощ. Чтобы делать это эффективно, нужно вылезти из борща и взять в руки половник».

Управление рисками в компании – это попытка выявить и ранжировать все риски, которым подвержена ваша деятельность. О том, как это делается, я скажу позже. Сейчас лучше разобраться, зачем это вообще нужно.

Любой собственник (если он участвует в управлении), любой руководитель, да вообще любой человек принимает решения на основе оценки их будущих последствий. Конечно, это своего рода риск-менеджмент, куцый, неполный, но все же. Системный подход к управлению рисками будет отличаться тем, что вам необходимо выявить максимальное число возможных рисков для деятельности и провести их ранжирование.

Это необходимо потому, что если сейчас задать вам вопрос о том, какой риск вы считаете наиболее значимым для своей организации, то, скорее всего, ваш ответ будет очень субъективным. На него сильно повлияют последние новости, то, с кем из сотрудников вы больше общаетесь – если это будет начальник отдела логистики, то сегодня, в дни бушующей эпидемии, вы отдадите приоритет рискам транспортных ограничений, если маркетинга – то, наверное, будете ставить во главу угла общее падение спроса. В общем, вы будете оценивать риски на основе своих личных убеждений, потому что не ставите себе задачу охватить картину целиком, достигнуть объективности.

А зря. Риск-менеджмент – надсистемный инструмент, который является элементом всех популярных методов управления компаниями (с ними можете ознакомится в исследовании Bain & Company: Management Tools & Trends). Поэтому игнорирование его крайне нежелательно.

Конечно, решение о том, будет ли ваша компания заниматься риск-менджментом, лежит на вас, но объективное определение возможных рисков и их ранжирование – это не особенно трудозатратное мероприятие, которое в итоге позволит вам сконцетрироваться на действительно важном. Взять в руки тот самый половник. До правильной организации деятельности по управлению рисками, в таком случае, будет еще далеко, но начало будет положено. А вообще, согласно исследованию, представленному в журнале R&D Management, более 89% успешных западных компаний систематически занимаются идентификацией рисков, а исследование, представленное в журнале Journal of Technology Management & Innovation, говорит о том, что, как правило, руководители считают управление рисками важной инициативой для реализации своих стратегий и получения устойчивых результатов и включают анализ рисков в свои процессы принятия решений.

Учитывая, что сегодня в компаниях микро- и малого бизнеса в нашей стране руководители редко используют этот важный инструмент менеджмента, для большинства руководителей это неплохая возможность получить долгосрочное управленческое преимущество. При этом, безусловно, польза системной работы с рисками для маленькой компании не будет настолько же ощутимой, как для большой, потому что в этом случае, чаще всего карта рисков поможет просто осознавать, что вам грозит. На многие внешние риски вы повлиять не сможете, а многие – приведут к вашему закрытию. У среднего и крупного бизнеса, конечно, возможностей гораздо больше: открытие собственных образовательных центров при нехватке кадров, закупка дорогостоящего оборудования, например, для организации информационной безопасности или пожаротушения и прочее. Однако и у них нет возможностей глобальных транснациональных компаний: влияние на правительства, перенос производств в страны с лучшим налогообложением, поглощение конкурентов.

При этом, сейчас в литературе популяризируется мнение, что риск-менеджмент, это, в первую очередь, составляющая стратегического планирования. На мой взгляд, это связано с тем, что стратегическое планирование уже два десятилетия является одним из, если не самым главным методом управления западными компаниями. Это хорошо видно в исследовании, приведенном выше. На самом же деле, управление рисками – важнейший элемент любых методов управления и легко может быть использовано вами как самостоятельный инструмент, который наверняка позволит сделать ваш бизнес более устойчивым.

Хорошо. Польза понятна. С чего начать?

Начать нужно с важного, конечно. Есть очень хорошая история на эту тему. Когда в 2007 году директором British Petroleum стал Тони Хейворд, он обозначил приоритетом своей деятельности тотальное повышение безопасности в концерне. Оперативно был принят ряд «важнейших решений», направленных на снижение рисков: сотрудникам было запрещено ходить с кофе в руках, если кружка не была закрыта крышкой, запрещалось набирать текстовые сообщения при вождении личных авто. Три года спустя, когда Хейворд уже в полной мере внедрил свою систему безопасности и управления рисками в организации, как он это видел, в Мексиканском заливе взорвалась нефтяная вышка Deepwater Horizon, принадлежавшая British Petroleum. Этот взрыв привел к одной из крупнейших техногенных катастроф в истории человечества. Комиссия правительства США, проводившая расследование признала, что к происшествию привела «неспособность вовлеченных лиц идентифицировать и должным образом снизить риски, которые возникали в их деятельности».

Глядя на этот пример, можно сделать два важных вывода: важно учитывать все риски, которым подвержена деятельность вашей организации, и эти риски необходимо ранжировать, чтобы работать с наиболее значимыми.

Начнем с того, как риски выявлять. Я предлагаю отказаться здесь от интуитивно непонятного определения понятия «риск», приведенного в стандарте ИСО 31000 «Менеджмент риска. Принципы и руководство», – «это влияние неопределенности на цели». Гораздо проще рассматривать риск, как сочетание угрозы и уязвимости.

Скажем, ваш товар лежит на обнесенной забором территории. Злоумышленники хотят украсть товар – это угроза. Но они не могут перелезть через забор, в таком случае, уязвимостью будет дыра в заборе. Обращу внимание, что риск – это именно сочетание этих двух факторов. Наличие угрозы при отсутствии уязвимости и наоборот не будет являться риском.

Идентификацию рисков вашей компании я бы рекомендовал начать с неочевидного: поищите в интернете базы стандартных рисков для вашей отрасли, это могут быть не базы, а научные работы. Изучите приведенные там риски, это поможет вам настроится на правильный лад, может так случится, что вы найдете там много умных предположений, которые упускаете в повседневной деятельности.

Здесь я бы еще раз хотел заострить внимание на том, что статья нацелена на владельцев микро- и малых предприятий. Приведенные здесь методы могут подойти и средним компаниям, однако они вряд ли будут эффективны для крупных предприятий с большой численностью штата сотрудников и разветвленной структурой подразделений.

После того, как вы изучите стандартные риски, следует начать поиск рисков, присущих именно вашей компании. Мой опыт показывает, что проще и эффективней всего это делать при помощи SWOT-анализа, проводимого в формате мозгового штурма с участием руководителей всех уровней. В нашей компании мы проводим SWOT-анализ ежегодно на сессии стратегического планирования, в это же время мы выявляем и оцениваем риски. Подробно на том, что такое SWOT-анализ я не буду останавливаться в этой статье, т.к. это один из самый популярных и традиционных методов бизнес-анализа, информации о нем сейчас достаточно везде.

Учитывайте только две вещи: ваши сотрудники будут лениться думать, а также они склонны преувеличивать внешние риски, преуменьшать внутренние, и уж точно не станут оговаривать себя.

Что это значит?

• Во-первых, определите для них план. Когда я провожу подобную сессию, я говорю: «Пока не определим 50 рисков, никто никуда отсюда не выйдет», - так дело начинает идти проще. Не преуменьшайте эту цифру, если сотрудники сходу могут назвать вам 10-15 рисков, то, значит, поразмыслив совместно часа два, они с легкостью поднимут эту планку до 40-50.
  
• Во-вторых, люди так устроены, что им проще искать виноватых извне и среди незнакомых им людей, чем пытаться разобраться в проблеме объективно. Поэтому, как правило, значимость внешних рисков, вроде действий властей, изменения законодательства и так далее – преувеличивается, а внутренние проблемы, связанные с недоработками отдельных сотрудников или своими собственными – скрываются или преуменьшаются. Для нивелирования этого эффекта, я заканчиваю всю эту процедуру индивидуальными интервью – это позволяет отдельным руководителям раскрепоститься и порассуждать непредвзято уже и о внутренних недостатках.

Закончив идентифицировать риски, вам следует их оценить и ранжировать. Мы не будем рассматривать сложнейшие формулы профессиональных риск-менеджеров для количественной оценки рисков. Я предлагаю для оценки и ранжирования использовать достаточно простую систему из стандарта FERMA:

Последствия

Уровень риска	Последствия
Высокий	Финансовые последствия не превысят $Х Существенное влияние на стратегическое развитие и деятельность компании Существенная обеспокоенность заинтересованных лиц
Средний	Финансовые последствия находятся в пределах $Х и $Y Умеренное влияние на стратегическое развитие и деятельность компании Умеренная обеспокоенность заинтересованных лиц
Низкий	Финансовые последствия ниже S Y Достаточно слабое влияние на стратегическое развитие и деятельность компании Заинтересованные лица проявляют слабую обеспокоенность

Вероятность события

Оценка вероятности	Описание	Индикаторы
Высокая (вероятно)	Вероятность наступления ежегодна или больше чем 0,25	Вероятность того, что событие наступит несколько раз в течение определенного периода времени (например, 10 лет) Событие произошло недавно
Средняя (возможно)	Существует вероятность наступления события в течение 10 лет, иными словами, вероятность наступления меньше чем 0,25	Событие может произойти несколько раз в течение определенного периода времени Сложно контролировать из-за влияния внешних факторов Существует статистика наступления события
Низкая (отдаленно)	Практически отсутствует вероятность наступления события в течение 10 лет или вероятность наступления меньше, чем 0,02	Событие ранее не наступало Вероятность наступления события мала

При этом, рекомендую вам распределить все риски дополнительно по трем категориям:

1. Внутренние предотвратимые риски. Это внутренние риски, возникающие внутри организации, связанные с несанкционированными, незаконными, неэтичными, неправильными или неуместными действиями сотрудников и руководителей, а также риски сбоев в повседневных рабочих процессах. Безусловно, вы можете терпимо относится к ошибкам, которые не могут причинить серьезного ущерба предприятию, но, например, сотрудник, подкупающий местного чиновника, может принести организации некоторую краткосрочную прибыль, но со временем такие действия могут обернуться потерей бизнеса.
2. Стратегические риски. Так называемые риски предпринимательства. Это те риски, которые компания сознательно принимает на себя, чтобы в будущем получить значительную прибыль от реализации своих стратегических замыслов. Стратегические риски сильно отличаются от внутренних предотвратимых рисков, потому что они являются желательными по своей природе. Управление такими рисками является ключевым фактором для получения потенциальной выгоды.
3. Внешние риски. Некоторые риски возникают из-за событий вне компании и находятся вне ее влияния или контроля. Источники этих рисков включают стихийные и политические бедствия, крупные макроэкономические сдвиги. Внешние риски требуют другого подхода: поскольку вы не можете предотвратить такие события, необходимо сосредоточиться на смягчении их воздействия.

Как работать с рисками?

Конечно, увидев риски своей компании, вы сами решите, что с ними делать. Но все же я вкратце рассмотрю типовые мероприятия и критерии их выбора.

1. Избегание риска. Вы всегда можете избежать риска: продав актив, отказавшись от нового направления, или вообще покинув рынок.
2. Передача риска. Вы разделяете убытки от наступления негативных последствий риска с другой стороной. Это возможно путем:
   • страхования. Главный способ работы с рисками опасностей, имеющих малую вероятность наступления, но серьезные последствия для деятельности компании.
   • хэджирования. Это практика использования биржевых финансовых инструментов: фьючерсов, опционов, свопов.
   • аутсорсинг. При помощи аутсорсинга выпередаете подрядчику риски простоев, увеличения цен на рынке труда, утраты товара, аварий и т.д.

   Безусловно, часто этот метод работы с рисками бывает невозможен: нет подходящих страховых программ и финансовых инструментов, рынок нужного аутсорсинга неразвит и поэтому работы обходятся слишком дорого. Однако это не говорит о том, что не стоит и пытаться. Рассмотреть такие варианты тоже не будет лишним.

3. Удержание риска. Принятие бремени убытков от риска. Это может быть:
   • осознанное принятие. Например у вас есть несколько производственных площадок. В таком случае вы можете осознанно принять риск остановки производства на одной из них, потому что уверены в выполнении обязательств силами других площадок.
   • самострахование. Создание финансовой подушки безопасности. Так, например, поступила наша компания ввиду возможных простоев связанных с введением карантина в стране вследствие эпидемии.
4. Смягчение последствий риска и снижение его вероятности. Примеры подобных действий:
   • разработка плана действий в кризисной ситуации. Это важная и обязательная работа. Например, это было первым действием нашей компании во время наступления коронавирусного кризиса. Вообще, обо всех принятых нами в связи с пандемией мерах, вы можете прочесть на портале Infobank.by.
   • совершенствование системы управления. Это может выразится в различных действиях с вашей стороны: изменение оргструктуры или функций сотрудников или подразделений, изменение бизнес-процессов, дополнительную регламентацию процедур.
   • эффективная работа с финансами, привлечение инвестиций.
   • увеличение устойчивости компании: снижение дебиторской задолженности, стабилизация финансовых показателей, создание резервов.

Вместо заключения

Риск-менеджмент, начиная с 60-х годов ХХ века вошел в обиход методов управления крупными компаниями. После издания в середине 90-х стандартов по управлению рисками, этот инструмент поступил на вооружение компаний поменьше, которые не имели ресурсов для самостоятельной разработки методологии менеджмента рисков. Сейчас же, этот инструмент доступен и описан подробно.

Есть ли в нем смысл? Определенно, да!

Вы анализируете риски постоянно: решили ли вы перебежать дорогу на красный свет или разжечь костер в сухом летнем лесу. Вы работаете с ними: смотрите налево и направо, чтобы минимизировать возможность наступления рискового события – наезда, следите за костром и заливаете его водой – чтобы не было пожара.

Все так же и в бизнесе, однако стоит ли использовать этот инструмент интуитивно, неполно, бессистемно, когда при правильной работе можно добиться лучших результатов? Думаю, ответ очевиден.

И в завершение, давайте вернемся к вопросу о действиях властей, который я поставил в начале статьи.

Введение карантина и ограничительных мер в нашей стране в связи с эпидемией являлось бы мерой, направленной на смягчение риска. Безусловно, хочется верить, что риск наступления негативных последствий был предварительно оценен властями, когда было принято решение отказаться от подобных мер. Однако, учитывая, что в момент принятия этого решения, в мире еще не было стран, которые успешно справились с эпидемией без карантина, такой вариант не выглядит правдоподобным.

Скорее, речь идет о недостаточной оценке риска, который для Беларуси является внешним, поэтому правильным вариантом работы с ним должно быть сосредоточение на смягчении его воздействия, потому что предотвратить последствия не представляется возможным. Тот вариант поведения – удержание риска, который был выбран, к сожалению, не применим к рискам этой категории. Последствия подобного бездействия могут быть печальными: для бизнеса это могло бы грозить его потерей, для страны, в текущей ситуации – потерей контроля над ситуацией, десятками тысяч смертей, паникой, внешней изоляцией со стороны других государств. Как следствие: еще большей экономической нестабильностью.

Имеют ли право руководители на такой риск? Собственники компании – да, власти государства – нет.