Как управлять рисками
Почему сегодня особенно важно системно управлять рисками
Классификация рисков для практического применения
Как структурировать работу по управлению рисками
Кто из Ваших менеджеров за какие риски должен нести ответственность
Также Вы прочитаете
Типы рисков, за которыми следят на Магнитогорском металлургическом комбинате
Справка
Андрей Шишаков в 2000-х годах начал свою деятельность в группе компаний Marsh & McLennan, занимался проектами по страховой защите финансовых институтов. В 2004 году возглавил консультационный бизнес компании. В 2008-м перешел в компанию «Оливер Вайман» (входит в ту же группу) на позицию партнера и возглавил российский офис. До работы в Marsh & McLennan занимал различные должности в Центральном банке и правительстве Москвы. Участвовал в проектах, связанных с построением корпоративных систем управления рисками, оценкой стратегических и операционных рисков и разработкой корпоративных стандартов по управлению рисками для крупнейших российских компаний, действующих в сферах нефти и газа, электроэнергетики, телекоммуникаций, металлургии.
«Оливер Вайман» (Oliver Wyman).
Сфера деятельности: управленческий и стратегический консалтинг .
Форма организации: публичная компания в США .
Территория: офисы в 40 основных финансовых и деловых центрах мира .
Численность персонала: около 3000 .
Годовой оборот: 1,5 млрд долл. США (в 2008 году).
Финансовый кризис вывел на повестку дня вопросы управления рисками: об этом следует задуматься высшему руководству практически всех компаний, планирующих выжить. До осени 2008 года управление рисками в формализованном виде существовало только в крупных российских компаниях и финансовых институтах, а компании, расположенные в рейтингах деловой успешности на более низких местах (по обороту или капиталу), вообще считали риск-менеджмент чем-то вроде очередной иностранной моды, красиво названной, но абсолютно бесполезной. При этом не вызывает никакого сомнения факт, что у компаний, продолжающих в нынешней неблагоприятной обстановке проводить операции и инвестировать в свое будущее, существует, пусть и не формализованный, пусть и фрагментарный, но при этом успешный риск-менеджмент. Просто руководители называют эту деятельность не риск-менеджментом, а охраной труда, внедрением стандартов качества, экологическим менеджментом, проверкой лояльности персонала, экономической, физической или информационной безопасностью, страхованием, хеджированием, резервированием и формированием запасов и так далее.
При этом мало кто из этих «риск-менеджеров поневоле» представляет себе, до какой степени он на своем посту имеет право рисковать, какой у компании общий уровень чувствительности к убыткам и финансовым потерям и каков порог убыточности, за которым компанию ждет разорение или смена собственника. Я рекомендую любой фирме сегодня проводить оценку своих операций с учетом риск-менеджмента, даже если у предприятия нет возможности содержать риск-менеджера в штате. Приведенные ниже советы помогут Вам систематизировать работу по оценке рисков.
Глоссарий
Риск – угроза того, что какое-либо событие или действие неблагоприятно повлияет на возможности добиваться желаемого результата в бизнесе, реализовывать цели и (или) стратегические планы (стандарты COSO ERM и AS/NZS 4360:2004).
Риск – случайное событие, имеющее две характеристики: вероятность наступления события и ущерб (выгода) как последствия наступления данного события (стандарты IRM / ALARM / AIRMIC и ISO/IEC RM Guide 73).
Управление рисками – процесс идентификации критических рисков, оценки их воздействия, выработки и реализации комплексного решения по управлению ими, объединяющего стратегию, персонал, процессы и технологию (стандарт COSO ERM).
Управление рисками – воздействие на риск, приводящее к изменению характеристик риска – изменению вероятности и (или) изменению последствий (источник: «Марш Риск Консалтинг» (Россия), на основе определения управления объектом, данного РАН).
Классификация рисков
Риски классифицируются по уровням возможных последствий в порядке убывания катастрофичности (вертикальная классификация), а также по природе их происхождения (горизонтальная классификация).
Вертикальная классификация рисков напрямую связана с определением тех, кто способен рисками управлять. Она представлена в таблице.
Существует более 20 классификаций рисков корпоративного уровня. Наиболее ориентированной на реальный сектор, самой простой и логичной я считаю следующую классификацию.
Стратегические риски, мешающие достижению долгосрочных целей компании. Как правило, они связаны с глобальными проектами, требующими больших вложений, – внедрением ERP-системы, строительством нового производства и т. п. Если такой риск реализуется, компания может оказаться на грани дефолта в достаточно короткий срок.
Финансовые риски – это опасности, связанные с деньгами: недостаточная ликвидность, скачки курсов валют, фондовые индексы, изменения процентных ставок и т. п. Перечни рисков схожи у всех: и у крупных нефтегазовых компаний, и у продуктового магазина, находящегося через дорогу от Вашего дома.
Операционные риски, связанные с ежедневной работой компании: производственным процессом, технологиями, IT, ошибками или нелояльностью персонала, транспортировкой грузов, готовой продукции и т. п.
Риски опасностей и угроз. Это риски в основном внешние – наводнения, пожары, взрывы, рейдерские захваты, судебные иски и т. п.
Юридические риски, связанные с соответствием Вашей деятельности нормам законодательства, отраслевым стандартам, нормам охраны труда, правилам общей и информационной безопасности, экологическим стандартам и т. п.
Развивающиеся риски (вновь появляющиеся). В эту категорию попадают, к примеру, генно-модифицированные продукты, мобильная связь (мы первое поколение, которое использует мобильную связь, и что будет из-за этого с нашими детьми и внуками – непонятно), нанотехнологии и т. п.
На самом деле классифицировать риски можно любым удобным и понятным владельцам и руководству компании образом – даже базируясь на организационной структуре Вашей компании (например, риски отдела продаж, риски финансового управления) или на распределении полномочий между руководителями (например, риски акционеров, риски финансового директора). Главное, чтобы в итоге все понимали, о каких именно рисках идет речь. Классификация нужна только для удобства группировки выявленных рисков и назначения ответственных – так называемых владельцев рисков.
Как структурировать работу по управлению рисками
Выявление рисков
На этом этапе можно использовать классические методики, такие как анкетирование и опрос ключевых сотрудников и топ-менеджеров компании, совещания и мозговые штурмы по выявлению рисков, бенчмаркинг по рискам (адаптация для Вашего предприятия рисков, присущих отрасли). Главное – идентифицировать, какие события любой природы могут быть для компании катастрофическими или опасными. В результате Вы сможете составить список рисков Вашей компании.
Оценка и приоритизация рисков
Риски, вошедшие в предварительный реестр, нужно тематически сгруппировать. Далее необходимо определить единые шкалы оценки рисков по двум основным параметрам – ущерб и его вероятность в интересующий Вас период. Временной горизонт выбирается, как правило, в соответствии с бюджетным циклом или циклом стратегического планирования. Единая шкала определяется в удобной для Вас валюте (той, в которой компания ведет управленческий учет и отчетность или в которой номинировано наибольшее количество контрактных обязательств). Важно, чтобы все риски, независимо от их типа, оценивались в одних и тех же единицах.
Приоритизацию рисков должны проводить те же эксперты, которые формировали первоначальный список рисков. Осуществляется она голосованием (тайным или открытым – зависит от того, оценки какой степени откровенности Вам нужны). В результате Вы получите оценки возможного ущерба от риска и вероятности его наступления.
Например, на Вашем производстве существует риск взрыва кислородного цеха. Директор по производству примерно (скорее всего, с очень небольшой погрешностью) представляет, сколько стоит разобрать завалы, построить новый цех, закупить оборудование. Предположим, риск экспертно оценили в миллион долларов США. Этот миллионный риск, умноженный на вероятность 10%, стоит 100 тыс. долл., а если вероятность взрыва 50%, то цена риска – 500 тыс. долл. Но при оценке такого риска нужно учесть и то, что время простоя будет зависеть от времени, которое потребуется на все мероприятия, предшествующие запуску цеха. Также нужно оценить, сколько времени компания будет в состоянии платить простаивающим работникам зарплату, какие пени начислят за непогашенные кредиты и как быстро компания сможет их погасить.
Результатом этого этапа работы станет корпоративный реестр рисков. В нем риски будут расположены в виде своеобразного хит-парада – по убыванию взвешенной оценки ущерба. Для лучшего восприятия можно построить двухмерную карту рисков: на одной координатной оси будет отображаться вероятность возникновения риска, на другой – финансовый ущерб, а на самой карте будут в виде точек даны риски (координаты этих точек Вы получите из результатов оценки и приоритизации) (см. рисунок).
Без проведения должной оценки рисков с использованием общих единиц измерения при приоритизации Вы рискуете стать заложником самого харизматичного, самого красноречивого или самого образованного руководителя подразделения, «владельца рисков», который сможет наиболее убедительно доказать, что уж его-то риски (например, изношенные основные фонды у директора по капитальному строительству, «несуны» и террористы у начальника службы безопасности, невозможность привлечения средств у финансового директора) – всем рискам риски и мероприятия по управлению ими Вам следует финансировать в первую очередь, в полном объеме и с максимально возможным бюджетом.
Сравнение рисков с «уровнем чувствительности» компании
Полученный реестр рисков нужно сопоставить с «уровнем чувствительности» Вашей компании к рискам. Этот уровень также определяется экспертно исходя из возможного размера убытка: какой компания может выдержать, а какой – нет. Сравнение поможет выявить, какие риски на выбранном Вами временно2м горизонте являются малыми (в классификации риск-менеджеров – «до уровня толерантности»), какие – существенными (между толерантностью и «болевым порогом»), а какие – катастрофическими и могут привести к краху бизнеса (выше «болевого порога»). От этого зависит управление рисками: важно понимать, на какие из них не стоит обращать внимание, какими должно заниматься руководство компании, а какие относятся к компетенции владельцев бизнеса.
Первый проведенный цикл управления рисками, безусловно, не выявит абсолютно все риски и угрозы, сопровождающие деятельность Вашей компании. Но каждый следующий цикл будет давать все более и более достоверную информацию. Осознание основных рисков и расстановка приоритетов определенно является помощью
10 основных рисков 2009 года
Ежегодное исследование компании «Эрнст энд Янг» («Исследование в области бизнес-рисков 2009 года») основывается на опросе руководителей компаний. Вот какие риски, по их мнению, наиболее важны сегодня (в скобках указано, сколько позиций в рейтинге риск приобрел или потерял по сравнению с 2008 годом):
1. Кризис на рынке кредитования (+1).
2. Несоответствие законодательным требованиям (–1).
3. Углубление рецессии (новый вид рисков).
4. Радикальная экологизация (+5).
5. Рост конкуренции со стороны нетрадиционных для отраслей участников (+11).
6. Снижение затрат (+1).
7. Борьба за талантливых специалистов (+4).
8. Заключение союзов и сделок (–1).
9. Устаревание бизнес-моделей (новый вид рисков).
10. Репутационные риски (+12).
Подготовлено редакцией
Справка
Магнитогорский металлургический комбинат (ММК)
Сфера деятельности: производство и реализация металлопродукции.
Форма организации: ОАО, группа компаний; акции котируются на ММВБ, в РТС, на Лондонской бирже металлов (London Metal Exchange).
Территория: головной офис и основное производство – в Магнитогорске, другие производства и предприятия – в Санкт-Петербурге и Щелково, а также в Турции.
Численность персонала: около 26 000.
Объем произведенной продукции: 7 млн т сырой стали и 6,4 млн т товарной металлопродукции (здесь и ниже – данные за I полугодие 2008 года).
Консолидированная выручка: 5,6 млрд долл. США.
EBITDA: 1,5 млрд долл. США.
Все риски могут быть сгруппированы по типам, перечень которых ограничен. Я рекомендую уделять основное внимание следующим рискам:
- связанным с уровнем спроса и цен на продукцию, ценами на приобретаемые сырье, материалы, услуги;
- имущественным (утраты или повреждения основных фондов);
- рыночным (изменения курсов валют, процентных ставок, стоимости активов, размещенных в ценных бумагах);
- хищений и мошеннических действий.
Для производственных предприятий значимыми рисками традиционно являются риски аварий, несчастных случаев и т. п. Для торговых компаний – риски логистики, цепочек поставок и сбыта, риски поставщиков (тем более если поставщик всего один), кредитные риски неоплаты со стороны оптовых покупателей (если продажа осуществляется на условиях оплаты с отсрочкой платежа).
У нас на предприятии сформирован типовой базовый перечень групп рисков и их факторов. Конкретные риски формулируются максимально четко и однозначно: это позволяет лучше видеть причины их возникновения, а также упрощает оценку рисков и разработку мероприятий по их снижению. Очень удобно изобразить конкретные риски графически – в координатах «ущерб / вероятность». Принципиальной разницы, будут ли риски описаны, представлены в таблице или в виде карты, нет. Просто координатная плоскость – наиболее удобный способ отображения подобной информации. К тому же на карте рисков можно отобразить их динамику. Укрупненная типизация рисков полезна при автоматизации системы риск-менеджмента, когда нужно оперировать информацией о рисках в разрезе видов деятельности, бизнес-процессов или структурных подразделений.
