Риск-культура: почему опасно «держать риски в голове»

В бизнесе все еще распространена модель «старой школы», где руководитель «держит все в голове». Это кажется эффективным: быстрые решения, минимум бюрократии, полный контроль. Но недостатки такого подхода становятся очевидны в моменты кризиса: пока риски не зафиксированы на бумаге (в таблице, CRM, доске), они работают против вас. 

Вспомните свой обычный рабочий день: совещание, множество писем, срочный отчет, звонок от клиента, проверка документов. При всей многогранности нашего мозга, физиологически трудно удержать в фокусе такое количество информации.

Исследования когнитивной психологии (в том числе работы Р. Роджерса и С. Монселла) показывают: в режиме многозадачности мы теряем до 40% важных сигналов. Мозг вынужден постоянно переключаться между задачами, и на каждом таком переключении часть информации теряется безвозвратно.

В условиях многозадачности полагаться на память в вопросах рисков крайне опасно и чревато серьезными потерями как финансовыми, так и репутационными. 

Как же верно идентифицировать риски? И почему важно их регистрировать? 
Идентификация — первый важнейший шаг в процессе по управлению рисками. Ее цель — составить всеобъемлющий перечень возможных рисков. 

Не менее важен и, так называемый, подготовительный этап, когда происходит структуризация или классификация рисков. Это помогает впоследствии вести их упорядоченный и целенаправленный поиск.

В экономической литературе, научных трудах, национальных и международных стандартах в области управления рисками встречается бесконечное множество различных подходов к группированию рисков. 

Важно! Разработать универсальный классификатор невозможно, ведь каждая организация обладает индивидуальной и в своем роде уникальной бизнес-спецификой. В связи с этим многие крупные компании применяют «персонализированный» подход, который строится на анализе функциональных систем компании. Полученные данные и ложатся в основу будущих категорий рисков.

Грамотно сформированный классификатор способствует четкому определению места каждого риска в управленческой структуре и позволяет выстроить тренды эффективного управления рисками.

А дальше смысл прост: не надо выдумывать риски «из головы». Для корректного выявления рисков надо «окунуться» в полученные категории рисков, соответствующие бизнес-процессам. Для этого можно применять различные методы, такие как мозговой штурм, опросы, анализ документации и др.

Именно с этого этапа реализуются первые шаги регистрации риска: составляется описание риска (включая причины и последствия) и определяется владелец риска, ведь зарегистрированный риск не должен висеть в воздухе.

Встречаются компании, где система управления рисками отсутствует или строится на энтузиазме отдельных сотрудников и их способности «держать в голове» ключевые угрозы.

К чему может привести отсутствие системного подхода к фиксации рисков:

• Один и тот же риск может возникнуть в разных подразделениях, но каждый раз его «открывают заново», не учитывая предыдущий опыт. Время будет потрачено на повторный анализ.
• При смене работника или его длительном отсутствии накопленное знание о рисках уйдет вместе с ним. Новый сотрудник начнет с нуля, а компания потеряет ценный опыт.
• Решения по рискам будут приниматься реактивно — в момент, когда угроза уже реализовалась или находится в критической точке.
• Ответственность за управление конкретным риском размыта: формально риск «все видели», но реальный владелец с полномочиями не назначен. При реализации угрозы будет поиск ответственного вместо решения проблемы.

Лучше использовать единый подход к регистрации и фиксации рисков. Ключевые элементы такой системы:

1. Регистрируем. Каждый выявленный риск вносится в корпоративный реестр с уникальным идентификатором, описанием причин и возможных последствий.
2. Назначаем владельца риска. У каждого риска есть владелец — конкретное лицо, которое мониторит ситуацию, разрабатывает и инициирует мероприятия и отвечает за результат.
3. Фиксируем ключевые моменты. По каждому риску определяются сроки контроля, ключевые индикаторы риска, изменение которых сигнализирует о приближении риска.
4. Планируем мероприятия. Формируются планы превентивных и реагирующих действий с расчетом их стоимости, сроков исполнения и ответственных за выполнение мероприятий лиц.
5. Осуществляем непрерывный мониторинг. На регулярной основе актуализируется и фиксируется в реестре информация о риске: изменяется ли вероятность, приближаются ли индикаторы риска к срабатыванию и на каком этапе.

Справедливо отметить, что внедрение подобной системы управления рисками не требует немедленной закупки дорогостоящего ПО или создания многочисленного штата риск-менеджеров. Достаточно начать с нескольких простых шагов.

Шаг 1. Назначьте одного или нескольких риск-менеджеров, которые будут отвечать за весь процесс и за формирование и консолидацию реестра рисков. Задачей будет организовать данную работу, собирать информацию, напоминать владельцам рисков о необходимости ее актуализации, готовить отчетный материал для руководства.

Шаг 2. Создайте простой реестр рисков. На начальных этапах внедрения процесса достаточно простых и доступных инструментов — например, таблицы в Excel. По мере развития и созревания процесса вы сможете переходить к более специализированным решениям.

Шаг 3. Используйте понятный шаблон описания риска. Первоначально допустимо использовать структуру: «Что — Почему — К чему приведет — Кто отвечает». В дальнейшем шаблон может и должен дополняться новыми полями: качественной и/или количественной оценкой, индикаторами, сроками контроля и т. д.

Шаг 4. Обучите работников основам процесса. Если сотрудники не понимают, зачем фиксировать риски, и не видят в этом пользы для себя, процесс останется формальностью. Начать можно с короткой встречи или вебинара, на котором вы объясните: что такое риск, зачем его фиксировать, как работает реестр и какова ответственность владельцев рисков.

Шаг 5. Запустите цикл мониторинга. Установите приемлемую периодичность, с которой риск-менеджер будет напоминать владельцам рисков о необходимости актуализации информации по рискам. На этом этапе также могут быть идентифицированы и новые риски.

Постепенно шаги могут усложняться и становиться многоуровневыми, но фундаментом навсегда останутся дисциплина фиксации и регулярный пересмотр. Это то, что может повторить любая компания — независимо от размера, отрасли и бюджета.

Точная идентификация, регистрация рисков — это не попытка поймать за руку. Это проверенный способ превратить хаос неопределенных событий в понятную и прозрачную систему, где у каждой угрозы есть владелец и план действий.

Управляйте рисками компании так, что не просто реагировать на кризисы, а проводить системную работу, позволяющую быть на шаг впереди.