Сегодняшнее интервью – настоящее погружение в мир рисков и возможностей. Мы поговорим об основах эффективного менеджмента рисков в организации, обсудим природу рисков, исследуем минимальный инструментарий для новичков в этой области, а также затронем тему о том, с чего следует начать, если ваша компания решила выстроить системные процессы управления рисками впервые.



Вопрос 1: Что такое риски и зачем ими управлять? Можете ли Вы рассказать, как и почему компании обычно приходят к тому, чтобы начать управлять рисками?

Риски – вероятностные события, которые мешают компаниям достигать поставленных целей. Все компании так или иначе управляют рисками. Может быть, не все отдают себе в этом отчет, не фокусируют внимание на этом и не управляют рисками системно, однако любой бизнес связан с высокой степенью неопределенности. Чем больше неопределенностей, тем больше рисков и, следовательно, возможностей у бизнеса.

Например, инвестирование в новые рынки или технологии может быть связано как с риском неудачи или потери, так и открывать новые возможности для роста и развития, а нестабильность на рынке – создать возможность для инноваций и привести к укреплению конкурентоспособности компании.

Управление рисками происходит, прежде всего, ради того, чтобы компания достигала своих целей, поставленных акционерами или руководством. Это могут быть как цели из бизнес-плана компании, так и другие метрики такие, как цели департаментов или метрики бизнес-процессов. Угрозы, вызванные рисками, могут значительно отличаться друг от друга. Максимизация возможностей и минимизация этих самых угроз является неотъемлемой частью управления бизнесом.

Если мы говорим о проектных рисках, то такие риски напрямую зависят от вида бизнеса. Есть проектные организации, такие как, например, консалтинговые фирмы или проектные институты, в которых бизнес-модель построена таким образом, что вся деятельность сопряжена с реализацией проектов, оказанием каких-либо услуг клиентам. Проектные риски характерны и для компаний, у которых это не является основной частью деятельности. Таким организациям может быть сложнее управлять рисками, потому что в штате, как правило, нет профессионально обученных руководителей проекта.

Задача руководителя проекта и проектной команды – грамотно и вовремя определять причины возникновения рисков, которые могут привести к, например, невыполнению задач из проектного плана и, как итог, сдвигу сроков всего проекта. Именно своевременное выявление мероприятий по снижению последствий тех или иных негативных сценариев развития событий и является задачей, которая стоит перед командой. Значительную помощь руководителю в этом случае могут оказать автоматизированные системы управления рисками, которые помогают контролировать и выявлять мероприятия по снижению последствий, предоставляя доступ к инструментам и методам для прогнозирования, оценки и управления угрозами.

Подчеркну, что управление рисками – неотъемлемая часть любого бизнеса, потому что бизнес так или иначе связан с наличием рисков. Если же у компании нет рисков, то это бизнес, который, скорее всего, не принесет дивидендов акционерам. Иными словами, это деятельность, которая является слишком простой, не приносит прибыль и которую сложно назвать бизнесом как таковым.

Вопрос 2: Какие организационные меры компания должна принять в первую очередь, если раньше она не занималась риск-менеджментом системно?

Очень часто риски являются кросс функциональными, то есть причины возникновения рисков могут находиться на стыке бизнес-процессов и в области ответственности сразу нескольких функциональных подразделений. В связи с этим требуется, во-первых, определить координатора деятельности – иными словами, человека, который будет обеспечивать выявление рисков, их анализ, разработку мероприятий и отслеживание реализации этих мероприятий в масштабах всей компании.

Второй момент, который важно отметить – это тот факт, что ответственным за риск-менеджмент будет выступать не только этот координатор, а вся компания в целом. Необходимо культивировать подход через тренинги, информационные сообщения от топ-менеджмента. От руководства должна исходить коммуникация об ответственности за управление рисками. Я бы порекомендовал назначить владельцев рисков и опытных риск-амбассадоров (послов в каждой функции) – контактных лиц, которые будут координировать деятельность по управлению рисками внутри каждого отдельного направления организации, например, в сфере закупок или управления персоналом и так далее. Чтобы процесс не носил хаотический характер, желательно, наряду с координатором, определить ответственного человека, который пройдёт специальное обучение вместе с риск-амбассадором и будет понимать минимально необходимые организационные моменты, которые от него будут требоваться.

Кроме того, рекомендуется начать формировать так называемую риск-ориентированную корпоративную культуру. Это, пожалуй, самое сложное, потому что это невозможно пощупать руками, и померять. Но от корпоративной культуры зависит многое. Во время внутренних мероприятий, где руководство коммуницирует с сотрудниками, должна подчеркиваться важность управления рисками и принятия управленческих решений с учетом рисков, то есть любое управленческое решение должно проходить через сито или через некий фильтр. Какие у нас есть риски? Как мы с ними работаем? Что может произойти, если мы примем это управленческое решение? Что будет, если мы не сможем реализовать поставленные цели в этом году? Мы как минимум не получим квартальный или годовой бонус, не сможем обогнать конкурентов, выйти на новые рынки и так далее. И все это связано с тем, что мы плохо управляли угрозами, которые есть у организации. Именно через подобные организационные меры следует начать путь грамотного риск-менеджмента.

Можно этого ничего не делать. Бизнес без этого сиюминутно, скорее всего, не пострадает, но он с высокой степенью вероятности будет подвержен рискам, которые компания никак не контролирует. Представьте, что вы идете по минному полю, не имея ни миноискателя, ни компаса, ни специально обученных людей. Вы даже не понимаете, в каком направлении нужно двигаться. Компания может, например, столкнуться с тем, что у нее могут начать выходить из строя производственные линии из-за того, что произошла та или иная непредвиденная аварийная ситуация. Могут возникать ситуации, когда мы теряем грамотный, технически подкованный персонал ввиду многочисленных внутренних ошибок и отсутствия контроля. Может случиться так, что мы начинаем выпускать некачественную продукцию, что в свою очередь, приводит к тому, что мы не способны реализовать её на рынке без скидок. Мы не получим ту финансовую прибыль, на которую рассчитывали изначально, и следовательно, год вряд ли будет успешным.

Таких примеров можно привести очень много. Если же руководство вооружено знаниями о возможных угрозах, то на основе полученной информации можно принять наиболее обоснованное решение. Управление рисками помогает предотвратить потери, связанные с непредвиденными обстоятельствами, такими как изменения в рыночных условиях, технические проблемы или конкуренция. Поэтому наличие автоматизированной системы управления рисками для руководителя бизнеса – это не просто хорошая идея, но и важное стратегическое решение.

Вопрос 3: На каком этапе компаниям стоит переходить к системному управлению рисками?

Все должно определяться индивидуально. Так, некоторые компании начинают с того, что весь менеджмент помещается в одной комнате. На ранних стадиях, когда весь штат организации составляет 5–6 человек, будет не совсем целесообразно брать еще одного человека риск-координатором. Когда же компания начинает расти, у нее повышаются объемы и появляется вполне осознанная стратегия, цели, операционные задачи, бюджет, бизнес-план, тогда возникает необходимость координации действий, установления слаженного взаимодействия и коммуникации между сотрудниками. На данном этапе может возникнуть потребность в том самом координаторе. Многое также зависит и от того, насколько высока конкуренция в вашей сфере. Например, если вы ведете бизнес на очень конкурентном рынке, то здесь выживет и станет первым сильнейший – а именно тот, кто эффективно управляет бизнесом, в том числе и рисками.

Вопрос 4: Какой минимальный набор инструментов Вы можете порекомендовать тем компаниям, которые только начинают заниматься риск-менеджментом всерьез?

Можно начать с непосредственного формирования реестра рисков и назначения ответственных. Почему это важно? Представим ситуацию: вы отвечаете за производство, и перед вами стоит задача произвести определённый объем продукции в течение такого-то срока. Что может вам помешать? Имея реестр рисков, вы сразу начинаете работать с перечнем негативных угроз, принимая необходимые меры для их своевременного предотвращения.

Например, вы можете не выполнить план из-за того, что у вас произойдет аварийная ситуация или выйдет из строя производственная линия. Почему это может случиться? Зная из реестра рисков о ключевых риск-факторах, вы прорабатываете каждый из них вместе с командой. Появляются ответственные лица, которые, начиная с самого низкого уровня, будут отвечать за то, чтобы сотрудники были обучены, чтобы было закуплено необходимое оборудование, чтобы сроки не срывались и так далее.

Когда формируется такой массив информации, то, конечно, им лучше управлять через ИТ-системы, а не вручную. Это может помочь навести элементарный порядок. Такие ИТ-системы позволяют получить доступ к инструментам, которые содержат весь необходимый функционал для получения информации о риске, включая меры (мероприятия), которые необходимо предпринять для его предотвращения. Благодаря действиям каждого конкретного сотрудника через специализированную систему вы минимизируете потери и угрозы, снижаете вероятность реализации тех или иных рисков на производстве, если речь идет об операционных рисках.

Еще раз подчеркну, важно не только создание реестра рисков, но и наличие мероприятий для предотвращения угроз, указание ответственных лиц с их контактными данными, обозначение четких сроков, статусов исполнения и так далее – именно это и дает автоматизация управления рисков через специализированную систему. Если же вы просто сформировали реестр рисков, то вы можете легко забыть про него, обновлять раз в год ради обязательной, но недостоверной отчётности, тем самым напрочь отбив желание заниматься рисками у руководства и сотрудников. Такой подход категорически не работоспособен.

Вопрос 5: Какие инструменты с точки зрения информационных систем следует использовать для управления рисками? С чего начать?

Как было мною отмечено раньше, мы не управляем рисками ради управления рисками. Мы собираем информацию для осознанного принятия управленческих решений, которые минимизируют потери бизнеса и максимизирует возможности по достижению поставленных целей. Для таких задач можно начинать развивать систему управления, опираясь на простые, но визуально понятные ИТ-решения с дружелюбным интерфейсом, возможностью формирования дэшбордов и отчетности с графиками на языке топ-менеджмента.

Здесь возникают острые вопросы: какие риски мы хотим принять? От каких следует отказаться, а с какими мы действительно должны работать? Любое управление рисками сопряжено с тем, что вы вынуждены будете выделять на это бюджет, тратить ресурсы, в том числе человеческие, уделять дополнительное время и так далее. Может быть, даже закупать дополнительные системы и оборудование.

Без ИТ-системы вы не сможете своевременно реагировать на все возникающие риски. Человеческий фактор тоже может сыграть немалую роль. Так, используя информационную систему, вы сможете раз и навсегда избавиться от «приукрашиваний» отчетов, повысить прозрачность, поощрять наиболее продуктивных сотрудников, а также полностью избежать ситуаций, когда нигде не зафиксированная задача пропадает вместе с ушедшим в отпуск или уволившимся сотрудником. Согласитесь, что отследить все эти факторы, например, через Excel будет достаточно сложно.

В свою очередь, ИТ-система позволяет получать бизнес-отчеты, причем весьма интересные. Вы можете отслеживать процент исполнения всех мероприятий на каждом уровне, а не только в виде «сделано/не сделано», «да/нет», «вовремя/не вовремя», и получите полное представление о настоящей ситуации: сколько людей задействовано, кто загружен, кто не загружен, что есть у вас на данный момент, чего не хватает.

Управлять рисками нужно через понятные и прозрачные правила игры, которые достигаются при помощи специализированных ИТ-решений. При выборе информационной системы нужно быть очень избирательным и последовательным. Чем шире функционал информационной системы, тем больше сведений о рисках вы сможете получать и тем обоснованнее будут ваши решения.

Вопрос 6: Олег, спасибо за ваши ответы! Сегодня нам удалось затронуть много тем, начиная с терминологии и заканчивая отчетностью и конкретными инструментами риск-менеджмента. В качестве вывода и заключения нашего интервью, можете ли вы обозначить выгоды, которые ИТ-системы управления рисками могут дать компании?

Спасибо за ваши вопросы! Говоря о непосредственных преимуществах внедрения СУР, отмечу следующее: преимущества – это ответ, но все начинается с первого управленческого вопроса, который мы задаем сами себе, – «чем же мы хотим управлять?» Для ответа на него нам необходимо описать объект управления – риск. И сделать это важно не произвольно, а структурировано. Иначе мы никак не сможем оценить наш объект управления и сравнить его с аналогичными.

Отсюда первое преимущество: Информационная Система позволяет структурировано фиксировать информацию о рисках. Имея обозначенную структуру перед глазами, человеку будет проще воспринимать информацию, понимать ее и перерабатывать. Это означает возможность осознанно принимать управленческие решения, учитывая зафиксированные в структурированном виде объекты управления. Самое простое и очевидное решение здесь – Excel. Однако Excel ограничен в своих возможностях для проведения сложного анализа данных, особенно когда речь идет о больших объемах постоянно изменяющейся информации.

В качестве конкретного примера специализированной системы можно привести систему управления рисками RiskControl, которая не только является помощником в комплексной автоматизации риск-менеджмента, но и позволяет накапливать знания о типовых рисках и наиболее эффективных мероприятиях в компании. Основываясь на собранных данных, система RiskControl способна значительно улучшить процессы управления рисками в организации. Задача любой СУР, включая RiskControl, – трансформировать риск-менеджмент из автономного, несистематизированного процесса в часть повседневной деятельности каждого сотрудника.

На этой стадии нам необходимо понять, что и как мы хотим делать с нашим объектом управления (риском). Так, ИС позволить описать наши договоренности и зафиксировать их в «цифровом виде» – иными словами, упорядочить процесс и повысить дисциплинированность, ускорить реакцию. Мы снизим воздействие человеческих факторов, повысим прозрачность, увидев сбои в процессе, задержки или невыполненные действия. Процесс в ИС – это возможность подтвердить КТО, ЧТО и КОГДА должен сделать. ИС может также служить подспорьем для мотивации персонала – мы обосновано хвалим «чемпионов» и можем пожурить отстающих.

Если мы уже описали объект управления и составили план действий, пора двигаться дальше – насколько хорошо настроен наш процесс? Элементарные возможности по назначению задач внутри процессов, определению сроков, ответственных и напоминаний сотрудникам значительно помогают повысить качество «execution» – исполнительской дисциплины. Многие компании начинают процесс управления рисками с Excel. В частности, Excel вполне можно использовать для реестра рисков, а вот увидеть из Excel, как работает процесс, уже очень тяжело.

Отсюда в определенный момент времени мы начинаем размышлять над тем, насколько мы обеспечены необходимыми ресурсами для реализации процесса управления рисками. Какие ресурсы мы задействовали и хватает ли нам их максимальных возможностей?

Одно из основных преимуществ ИС заключается в том, что Система позволяет видеть «единую картинку», своеобразное «табло управления», через отчеты. Такой подход помогает понимать задействованные ресурсы, которые, как известно, ограничены, их загрузку, распределение, нехватку и прочее, позволяя нам, в том числе, оценивать, насколько хорошо настроен процесс, где имеются узкие места и так далее. Система дает больше объективности в оценке ситуации.

Можно ли «предвидеть» опасные тренды и развитие негативных факторов, ведущих к реализации рисков? Можем ли мы еще больше повысить качество управления, если будем учитывать и понимать «причины причин»?

Системы, такие как, например, RiskControl, позволяют нам собирать и использовать в анализе рисков данные, которые практически невозможно фиксировать и обрабатывать «вручную». Такой автоматизированный сбор информации об «индикаторах риска» позволяет нам эффективнее выполнять предупредительные действия, не допуская реализации угроз. В подобных кейсах мы добиваемся более высокой точности.

Наконец, мы задаем себе вопросы «насколько эффективно работает наш процесс?» и «идем ли мы к желаемым показателям или целям»? Здесь необходимо упомянуть об еще одном преимуществе специализированных СУР: Информационная Система дает возможность «связать» между собой то, что происходит в наших процессах «снизу» с целями «наверху», научиться понимать связь и влияние между тем, ЧТО и КАК мы делаем, и тем, ЧТО получаем в результате. Иметь представление о том, насколько правильно мы используем ресурсы и чего добиваемся в итоге – в этом и заключается прозрачность, обеспечиваемая Информационной Системой.

Можно ли еще улучшить процесс? Как добиться большего эффекта? Чем больше правильной информации позволит нам собрать и верифицировать ИТ-система, тем больше возможностей появится у нас по накоплению знаний, анализу, проверке гипотез, а также формированию идей и выводов для совершенствования бизнес-процесса управления рисками. Благодаря Системе наши управленческие решения будут основаны на данных, а не исключительно на интуиции и догадках.