Управление рисками. Начало*
Текст: Денис Свитенко
Домогаться малых выгод ценой большой опасности -
все равно, что удить рыбу на золотой крючок:
оторвись крючок - никакая добыча не возместит потери
Октавиан Август
Нельзя выиграть войну под лозунгом "Осторожность прежде всего"
Уинстон Черчилль
Офис страховой и консалтинговой компании Marsh&McLennan располагался в башне Всемирного торгового центра, здесь же был и центральный сервер компании. После теракта 11 сентября 2001 года от сервера, равно как и от офиса, ничего не осталось. Также пострадали и другие фирмы, находившиеся в "близнецах".
Но Marsh – один из ведущих консультантов по управлению рисками.
В соответствии с ранее составленным антикризисным планом у компании заработал штаб по действиям в чрезвычайных ситуациях. Операции перевели на резервный сервер. Кроме того, было налажено оповещение клиентов о текущей ситуации, при этом специальная группа собирала информацию в госпиталях Нью-Йорка и передавала ее родственникам пострадавших коллег.
Примерно через полтора дня после терактов деятельность Marsh&McLennan была возобновлена в полном объеме. Эксперты заявили, что благодарить за это следует риск-менеджеров компании, в обязанности которых и входит составление планов на случай кризисных ситуаций (www.hrm.ru).
Сколько российских компаний применяют технологии управления рисками? Скорее всего – все. Действительно, например, при заключении договоров нет, или почти нет, компании, где работники не визировали бы этот договор (юристы, главный бухгалтер, производственники и др.), прежде, чем он попадет на подпись директору. Указанные специалисты проводят оценку рисков, которые появляются перед организацией при заключении договора. Юрист оценивает юридические риски не выполнения договора, технический специалист – производственные и т.д. Причем если каждый специалист принимает решение о том, что риск приемлем, он ставит свою визу на договоре (или листе согласования). Действительно логика успешного бизнеса основана на аксиоме – проблемы легче предупредить, чем бороться с их последствиями. Однако, при этом многие руководители скептически относятся к тому, что применение методик риск-менеджмента в их организациях реально. Только ли выпускники MBA могут позволить себе оперировать технологиями управления рисками в своих компаниях?
Общие положения
Менеджмент, как и любая другая сфера деятельности подвержена моде. Если в области физики и смежных наук сейчас мода на нанотехнологии, то в менеджменте – на оценку рисков. По запросу «Управление рисками» Яндекс возвращает 15 млн ссылок, Google (при запросе Risk Management) – 63 700 000. При этом, например, «инновационный менеджмент» – лишь 3 млн в Яндексе и 21 млн (Innovation Management) в Google.
Применение методов оценки рисков становится обязательным при внедрении систем менеджмента, по большей части отраслевых стандартов, например ISO TS 16949 (техническая спецификация на системы менеджмента предприятий-поставщиков автокомпонентов), СТО Газпром 9001 (для поставщиков продукции/услуг ОАО «Газпром»), IRIS (International Railway Industry Standard – системы менеджмента железнодорожной индустрии) и др. В некоторых странах даже приняты стандарты по управлению рисками, например, австралийский/новозеландский стандарт AS/NZS 4360:1999 «Менеджмент рисков».
Как бывает, активно развиваемая тема обрастает большим количеством теорий и методологий (что само по себе не плохо). Однако подобный инструментарий применяется теми, кто может позволить иметь в своем штате специалистов по оценке рисков, в тех областях, где эти специалисты дают соответствующую отдачу – финансовых институтах, например. В большинстве компаний, которые нас окружают – так сказать, firm next door – требуются иные решения, решения, которые можно применить «здесь и сейчас». Также желательно, чтобы это решение было как можно более универсально.
В управленческом смысле риск - возможность отклонения от запланированных результатов с негативными последствиями (потеря прибыли, клиента, уход сотрудников из организации и т.д.). Причем отклонение случайное, а не предопределенное. Управление рисками подразделяется на финансовые и нефинансовые (операционные). Методология управления финансовыми рисками применяется значительно шире (чему способствует более удобный для расчетов формат представления данных), мы же рассмотрим вопросы управления операционными рисками.
Работу с рисками, или управление, менеджмент рисков в общем случае разделяют на 2 части – оценку рисков, и ради чего все делается, действия по их предотвращению / снижению и т.д.
Оценка рисков
Если какая-нибудь неприятность может случиться, она случается
Закон Мерфи
Оценка рисков в общем случае сводится к оценке совокупности факторов вероятности наступления нежелательной ситуации и ее значимости, тяжести последствий (см., например, рисунок 1, www.risk-manage.ru). Иногда эту методику называют Предварительный анализ опасностей РНА (Preliminary Hazard Analysis).
Затем по тем или иным критериям определяются зоны допустимого и недопустимого риска и к потенциальным событиям, подпадающим под определение недопустимых предпринимаются специальные действия.
Мы рассмотрим 3 метода применения оценки рисков различных по методике и по сферам приложения, отметив, что указанные методы могут быть применены в широком спектре вопросов по всему жизненному циклу продукции/услуги:
-оценка риска невыполнения договоров;
-оценка риска возможных аварий объекта при его проектировании;
-оценка риска для здоровья / безопасности сотрудников при выполнении инженерных изысканий.
Оценка рисков при заключении договора
Традиционный лист согласования договора, который упоминался в начале статьи может быть модифицирован (таблица 1). За каждым участником согласования договора закрепляются определенные области риска, которые он должен оценить и когда подобный лист согласования попадает на стол руководителя, то уже можно говорить о том, что проведена предварительная работа по оценке рисков невыполнения договора и можно принимать решения по управлению этими рисками.
Проектирование и производство
Другой пример – FMEA (Failure Mode Effects Analysis) – анализ видов и последствий потенциальных несоответствий – систематизированная совокупность мероприятий, целью которой является обнаружение и оценка потенциальных несоответствий продукции и (или) производственных процессов, определение действий, которые могут устранить или уменьшить вероятность возникновения несоответствий. Предпосылкой для этого анализа явился тот факт, что около 80% всех дефектов и несоответствий, которые возникают в процессе производства и эксплуатации продукции, обусловлены недостаточным планированием в ходе разработки и конструирования, подготовки производства.
В основе анализ лежит составление таблицы FMEA-анализа. Графы данной таблицы заполняются в следующем порядке: потенциальные дефекты, потенциальные причины дефектов, потенциальные последствия дефектов для потребителя, возможности контроля и выявления дефектов при производстве продукции (может ли дефект быть выявлен до наступления последствий, в результате предусмотренных в объекте мер по контролю и диагностике). Далее по десятибалльной шкале экспертно оцениваются следующие показатели:
-параметр тяжести последствий для потребителя В – наивысший балл проставляется для случаев, когда последствия влекут юридическую ответственность:
-параметр частоты возникновения дефекта А – наивысший балл проставляется, когда оценка частоты возникновения составляет ¼ и выше;
-параметр вероятности не обнаружения дефекта Е – наивысший балл проставляется для скрытых дефектов, которые не могут быть выявлены до наступления последствий.
По результатам оценки указанных показателей оценивается интегральный показатель рисков для каждого из возможных дефектов: параметр риска потребителя RPZ, как произведение ВхАхЕ. Этот параметр показывает на каких потенциальных дефектах необходимо сосредоточиться.
По наиболее рисковым позициям предпринимаются действия в следующей последовательности: исключить причину возникновения дефекта, воспрепятствовать возникновению дефекта (уменьшить параметр А), снизить влияние дефекта (уменьшить параметр В), облегчить или повысить достоверность выявления дефекта (уменьшить параметр Е).
По результатам анализа для разработанных корректирующих действий составляется план внедрения. Определяется:
-в какой временной последовательности следует внедрять эти мероприятия и сколько времени проведение каждого мероприятия потребует, через сколько времени после начала его проведения проявится запланированный эффект;
-кто будет отвечать за проведение каждого из этих мероприятий и кто будет конкретным его исполнителем;
-где (в каком структурном подразделении организации) они должны быть проведены;
-из какого источника будет производиться финансирование проведения мероприятия (статья бюджета предприятия, другие источники).
Когда корректирующие действия определены производится повторное построение таблицы FMEA, с новой оценкой рисков. Процедура повторяется до тех пор, пока интегральный показатель риска потребителя RPZ не примет допустимые значения. Пример применения FMEA-анализа в ходе принятия основных технических решений при проектировании приемо-сдаточного пункта коммерческого учета количества и показателей качества перекачиваемой нефти приведен в таблице 2.
Оценка рисков обеспечения безопасных условий труда и охраны здоровья
Риски оцениваются по всем возможным ситуациям (опасностям), которые потенциально могут повлиять на здоровье и безопасность работы специалистов (таблица 3).
Для оценки риска возникновения опасности проводится оценка уровня значимости критериев (минимальный, средний, значительный). Для каждого уровня значимости присваивается символ, отражающий риск возникновения опасности: «с» - риск возникновения минимальный; «b» - риск возникновения средний; «a» - риск возникновения опасности значительный. Таким образом, у каждой опасности может быть разный набор символов, отражающих уровень возникновения ее риска для каждого критерия.
Оценка проводится экспертным путем.
Из списка приведенных уровней по каждому критерию выбирается один из трех предлагаемых вариантов, наиболее близко характеризующих оцениваемый аспект (риск). Бальная оценка, соответствующая выбранному уровню (символу), является оценкой значимости аспекта по данному критерию.
Полученные значения уровней значимости по критериям, суммируются для каждой опасности в области охраны здоровья и обеспечения безопасности труда, в результате чего определяется значительность (масштаб) риска оказывающего влияние на охрану здоровья и безопасность труда.
Минимальный риск возникновения (С), если суммарная количественная величина значительности аспекта оценивается значением до 10 баллов.
Средний риск возникновения (В), если суммарная количественная величина значительности аспекта оценивается значением от 11 до 24 баллов.
Значительный (недопустимый) риск возникновения опасности (А), если суммарная количественная величина значительности аспекта оценивается значением от 25 до 30 баллов.
По результатам оценки риска предпринимаются меры по исключению (снижению) рассматриваемых ситуаций в порядке А – В – С.
Методы управления рисками
Сначала рассчитывай - потом рискуй.
Хельмут фон Мольтке
Цель управления риском состоит в том, чтобы уменьшить риск до приемлемого уровня.
Методология воздействия на риски в общем виде включает в себя следующие возможные действия: «уклонение от рисков», «локализация рисков», «диверсификация рисков», «компенсация рисков» – таблица 4 (www.risk24.ru).
При этом следует понимать, что в управлении риском крайности приводят к негативным последствиям. Уклонение от рисков в пределе сводится к потере предпринимательской активности предприятия и тотальное управление риском – такой же путь к неуспеху , как и полное игнорирование рисковых вопросов. Так по мнению Питера Друкера, американского специалиста по менеджменту - "идея, на основе которой следует строить будущий бизнес..., всегда рискованная: в ней должна присутствовать вероятность успеха, но также и неудачи. Будущее само по себе и рискованно и неопределенно, и если идея не является ни рискованной, ни неопределенной, то она просто не является практической идеей для построения будущего бизнеса". Как гласит французская поговорка "Кто ничем не рискует, ничего не получит; кто всем рискует, теряет все".
* * *
По исследованию, проведенному компанией Ernst&Young на развивающихся рынках (Бразилия, Китай, Индия, Турция и Россия), в 51% компаний имеется документированная методика оценки рисков («Ведомости», № 242 (2016) от 21.12.2007 г.)
Не ставя под сомнение объективность проведенного исследования, сделаем предположения: 1) в исследовании, скорее всего, анализировалась деятельность в первую очередь компаний финансового сектора, 2) анализировался, скорее всего, крупный бизнес, 3) в России этот процент, скорее всего, значительно ниже.
Если же рассматривать реальный сектор (производство продукции и услуг), то таких компаний будет еще меньше.
По словам специалиста по управлению рисками Тонни Дреккера «… основной недостаток большинства организаций в области управления рисками связан с тем, что процессы управления рисками не внедряются в ежедневные бизнес-процессы, в результате чего многие риски остаются не выявленными» (Газета, www.gzt.ru).
Мы считаем, что компаниям необходимо как можно быстрее внедрять технологии управления рисками. Причем для этого в отличие от прочих организационных проектов (например, внедрения систем менеджмента качества, постановки бизнес-процессов) не требуется привлечения консультантов. Использование рассмотренных методов не требует никакой специальной подготовки сотрудников, а также содержания высокооплачиваемого штата менеджеров по оценке рисков и возможно к применению в абсолютно любой организации. В дальнейшем, освоив азы управления рисками компании, если сочтут необходимым, смогут переходить к другим, более сложным методам оценки или расширять сферы оценки рисков.
Бесспорно никакие технологии управления рисками не могут полностью обезопасить компанию. Но в любом случае сбалансированное управление рисками - это движение к безопасности, безопасности персонала, безопасности применения технологий, выпуска продукции, безопасности инвестируемых средств и бизнеса в целом.
* - статья была издана в 2009 г
