ОЦЕНКА ВЕРОЯТНОСТИ И СЕРЬЁЗНОСТИ РИСКОВ
СЕМЬ ШАГОВ БИЗНЕС-МЕТОДИКИ GORA
КОРОТКО О ПЯТОМ ШАГЕ БИЗНЕС-МЕТОДИКИ GORA
Бизнес-методика GORA – практическое руководство построения системы управления устойчивым развитием бизнеса включает следующие основные шаги:
1) определение оптимального пути развития компании с учетом анализа сегодняшнего ее потенциала и тренда развития ниши путем внедрения системы, позволяющей разрабатывать грамотную стратегию, и разработки самой стратегии с учетом потребностей и ожиданий потребителей и сравнительных преимуществ, которыми обладает или может обладать компания (шаги 1, 2);
2) приведение в соответствие со стратегией бизнес-процессов – единственного внутреннего инструмента, с помощью которого компания может реализовать стратегию (шаг 3);
3) стандартизация управленческой инфраструктуры бизнеса – по сути использование огромного накопленного опыта в тех элементах системы, которые стандартны практически для любой компании – управление сбоями, система аналитики, документооборот и пр. (шаг 4);
4) разработка системы управления рисками и проведение анализа бизнес-рисков, чтобы понять, что может помешать реализовать стратегию (шаг 5);
5) внедрение системы предупреждающего мониторинга стратегии на основе метрик и показателей и определение KPI, по которым возможный неуспех виден заранее, и можно своевременно внести корректировки (шаг 6).
Целью шага 5 является обеспечение защиты бизнеса от действительно существенных внешних и внутренних угроз. Для этого нужно выявить (идентифицировать) риски и возможности, связанные с контекстом, потребностями и ожиданиями, стратегическими целями, функциями процессов и продуктами/услугами, оценить риски по вероятности возникновения и последствиям (серьезности), создать программы управления рисками, научиться управлять возможностями.
Как это сделать? В рамках бизнес-методики GORA (шаг 5) рассмотрим ключевые вопросы:
- идентификация и анализ рисков;
- оценка вероятности и серьёзности рисков;
- программы управления рисками.ИДЕНТИФИКАЦИЯ И АНАЛИЗ РИСКОВ
Как часто компании делают очевидные ошибки, которые можно было предусмотреть? Например, игнорируют риски, связанные с критическими важными для компании данными? К сожалению, часто.
Приведём пример из практики. Технолог, отрабатывавший технологию производства много лет, уходит на пенсию и не может передать весь объем наработок, потому что компания не требовала четкой многолетней фиксации результатов всех тестов, проб, ошибок, т.е. игнорировала очевидный риск. В результате новые сотрудники должны будут повторить часть пути, который уже был пройден, а это тоже очевидные риски.
Но как понять, какие риски угрожают бизнесу?
Чтобы ответить на этот вопрос, необходимо определить, какие целевые результаты деятельности важны для компании, и только на этой основе идентифицировать и оценивать риски. Результатом деятельности компании может быть чистая прибыль, либо производство заказа в срок, в объемах, с требуемыми качеством и уровнем безопасности, либо объемы продаж, либо доля рынка, либо другие показатели, либо комбинация из нескольких результатов. Помимо этого, многие компании отдельно концентрируются на специфичных рисках, связанных, например, с безопасностью пищевого продукта, безопасностью труда, воздействием на окружающую среду и т.п. Для таких направлений анализа рисков разработаны соответствующие международные стандарты, повторять которые в рамках данной статьи мы не будем, а сфокусируемся на рисках для определенных результатов бизнеса, подробные методики анализа которых, как правило, разрабатываются только внутри отдельных компаний.
Только определив результаты, в отношении которых компания будет идентифицировать риски, и проводится сама идентификация рисков. Прежде всего, рассматриваются бизнес-процессы, их функции и определяются все разумно ожидаемые сбои, которые могут произойти. Помимо рисков в бизнес-процессах рассматривают риски от внешней среды и другие типы рисков.
Риск – это следствие неопределенности, которая может иметь положительные или отрицательные отклонения. Положительное отклонение, являющееся следствием реализованного риска, может создать возможность. Не все положительные отклонения риска приводят к возможностям.
Идентификация рисков – начальный этап системы мероприятий по управлению рисками, состоящий в систематическом выявлении рисков, характерных для определенного вида деятельности, и определении их характеристик.
Другими словами, цель идентификации рисков – составить максимально полный список рисков, и, в первую очередь, выделить наиболее опасные риски. Но как это сделать? Одним из методических средств решения этой задачи может стать типология рисков. В рамках бизнес-методики GORA выделяют пять типов рисков, которые представлены ниже.
1. Риски, связанные с контекстом и влияющие на текущий процесс и его способность обеспечить требуемый результат – это
- риски, связанные с конкуренцией (например, потеря конкурентоспособности по причине использования потребителями альтернативных видов продукта, производимого конкурентами);
- риски, связанные с потребителями: (например, несвоевременная сдача объекта в эксплуатацию по причине изменения со стороны Клиентов параметров в техническом задании);
- риски, связанные с законодательством (например, несвоевременный экспорт продукции в связи с изменением «пищевого» законодательства в странах поставки продукции);
- риски, связанные с ресурсами (например, задержка выпуска продукции более чем на 12 часов по причине отсутствия неосновного сырья).
2. Риски, связанные с потребностями и ожиданиями заинтересованных сторон и влияющие на текущий процесс. Например, неисполнение обязательств перед поставщиками материалов по причине отсутствия документов на оплату, заявок от цехов и подразделений.
3. Риски, связанные со стратегическими целями организации, источником которых является текущий процесс. Например, финансовые потери в связи с внедрением проекта, который в виду изменения стратегии стал не актуальным.
4. Риски, связанные с текущими процессами и приводящие к сбою, влияющему на результат (требуемый выход) каждого процесса. Например, отсутствие своевременного планирования или ошибки лица, ответственного за составление заявок.
5. Риски, связанные с продуктами и производственными процессами. Например, финансовые риски, связанные с разработкой нового продукта.
Методы анализа рисков – их множество, есть качественные и количественные. Как выбрать? Для каких типов рисков какие методы подходят?
В рамках бизнес-методики GORA для каждого типа рисков/возможностей рекомендуются определённые методы анализа (табл. 1).
Таблица 1 – Выбор методов для анализа рисков
Метод анализа рисков |
Риски и возможности, связанные с контекстом |
Риски и возможности, связанные с потребностями и ожиданиями заинтересованных сторон |
Риски и возможности, связанные со стратегическими целями |
Риски и возможности текущего процесса |
Риски и возможности, связанные с продуктами и производственными процессами |
Мозговой штурм |
Х |
Х |
Х |
Х |
Х |
SWOT-анализ |
Х |
Х |
|
||
5 почему? |
Х |
Х |
|||
Интервью с сотрудниками |
Х |
Х |
Х |
||
Анализ внешних источников |
Х |
Х |
Х |
||
Обмен практиками |
Х |
Х |
Х |
Х |
|
Привлечение экспертов |
Х |
Х |
Х |
Х |
Х |
Важно, что в таблице 1 представлен подход к оценке рисков, применимый для большинства типов рисков. Однако в некоторых случаях может потребоваться применение специальных методик, таких как, например, FMEA – для анализа качества изделия и запланированного процесса производства и сборки.
Итак, идентификация и анализ рисков означает выполнение следующих действий: выявление рисков, определение их специфики и динамики, выделение особенностей их реализации, учёт степени взаимосвязи между ними, изучение влияющих на них факторов.
На этапе идентификации и анализа рисков возникает ряд самостоятельных задач:
- определить, какими источниками пользоваться для идентификации риска, т.к. состав и структура данных по разным рискам могут сильно различаться;
- понять, как различные риски влияют друг на друга;
- численно оценить вероятность и серьёзность риска.
ОЦЕНКА ВЕРОЯТНОСТИ И СЕРЬЁЗНОСТИ РИСКОВ
Каждый риск оценивается, насколько он вероятен и какие последствия (в количественном исчислении) в случае его наступления он несет. В результате получается количественная оценка рисков и ранжированный список рисков от самого значимого до самого незначительного. В общем виде схема оценки рисков дана на рисунке 1.
Оценка вероятности наступления риска и оценка серьёзности (последствий) определяются посредством специально разработанных в компании шкал. Ниже приведены примеры таких шкал, используемых в рамках бизнес-методики GORA для оценки рисков.
Вероятность наступления риска оценивается по следующей шкале:
1 – невозможно (риск не может возникнуть при обычных условиях, вероятность: <5%);
2 – почти невозможно (риск может возникнуть при некоторой редкой комбинации условий, вероятность: 5-20%);
3 – возможно (риск может возникнуть при некоторой комбинации условий, есть примеры реализации, вероятность: 20-50%);
4 – вероятно (риск, скорее всего, возникнет при обычных условиях, примеры реализации есть в последнее время, вероятность: 50-90%);
5 – достаточно вероятно (риск точно ожидается или уже реализуется, вероятность: >90%).
Шкала оценки серьезности (последствий) риска имеет следующий вид:
1 – незначительная (риск приведет к очень небольшим приемлемым потерям, почти не влияющим на операционные результаты, серьезность: <3% влияния на операционные результаты (например, чистую прибыль));
2 – минимальная (риск приведет к небольшим приемлемым потерям, незначительно влияющим на операционные результаты, серьезность: 3-7% влияния на операционные результаты (например, чистую прибыль));
3 – средняя (риск приведет к заметным, но терпимым потерям, ощутимо влияющим на операционные результаты, серьезность: 7-30% влияния на операционные результаты (например, чистую прибыль));
4 – значительная (риск приведет к заметным потерям, которые трудно, но можно выдержать, существенно влияющим на операционные результаты, серьезность: 30-50% влияния на операционные результаты (например, чистую прибыль));
5 – критическая (риск приведет к критическим потерям, существенно влияющим на операционные результаты, серьезность: >50% влияния на операционные результаты (например, чистую прибыль)).
При этом в шкале оценки серьезности значения приведены в качестве примера, каждая компания должна их настроить под свои цели и специфику.
На основе сопоставления двух шкал с компании определяется граница терпимости к риску (табл. 2).
Таблица 2 – Граница терпимости к риску
При анализе рисков важно избежать такого эффекта, который принято называть «ошибки выживших». Причина – недоступность части информации и склонность считать исход более вероятным только потому, что о подобных исходах больше известно, либо потому, что установлена ложная связь между действиями и результатом.
Пример из практики 1: отсутствие детальной и актуальной документации для ключевых производственных функций не приводило к серьезным сбоям за последние 5 лет и поэтому подробную документацию, по мнению руководства, можно не разрабатывать. Это не так:
- все держится на нескольких ключевых сотрудниках, уход одного или нескольких из них может привести к потерям преемственности, всех технологических наработок и уже отработанных ошибок за много лет;
- ошибки были, но при отсутствии системы фиксации несоответствий и опыта практика по борьбе с ними осталась в головах сотрудников, а не в базе знаний компании;
- рано или поздно кто-нибудь обязательно повторит (или уже повторял) серьезную ошибку.
Пример из практики 2: относительное снижение количества обоснованных жалоб, связанных с товарами и услугами, всегда говорит о повышении результативности системы управления качеством. Это не так:
- проблема может не оказывать мгновенного влияния (иметь накопленный эффект);
- система сбора жалоб может работать некорректно;
- целевая группа потребителей в основной массе может не любить или не иметь времени жаловаться, проще простить и забыть, переключившись на другие товары и услуги.
ПРОГРАММЫ УПРАВЛЕНИЯ РИСКАМИ
Зачем управлять рисками? Во-первых, чтобы защитить требуемые результаты (например, качественные характеристики продуктов или чистую прибыль) от влияния ключевых угроз; во-вторых, чтобы повысить осведомленность и устойчивость процессов к угрозам; в-третьих, чтобы подготовиться к возникающим вместе с рисками дополнительным возможностям.
Очевидно, что компания сможет полностью устранить (т.е. создать условия, при которых реализация риска невозможна) только часть выявленных рисков, так как, как правило, не удается снять, например, риски, связанные с внешними факторами или вероятными ошибками. В этом случае необходимо предусмотреть конкретные действия в случае наступления таких рисков. Все подобные действия и называются программами управления рисками.
Рассмотрим основные этапы программы управления рисками.
1. Описание риска и возможностей.
На этом этапе заполняется форма анализа рисков, которая включает: описание риска (включает подробное описание опасности), тип/источник риска, вероятность риска, серьёзность риска, результат оценки.
2. Конкретные действия по управлению риском (как, кто, сроки).
Основная цель данного этапа – это выбрать адекватные инструменты, препятствующие наступлению рискового события, а также меры в случае реализации риска. Например, подобрать подходящие превентивные мероприятия, найти способы снижения экономического ущерба от реализации риска, а также источники покрытия такого ущерба в случае его возникновения.
Эффективность действий по управлению риском напрямую зависит от политики компании в области борьбы с риском, определяющей, например, бюджетные, управленческие, технические и иные ограничения, а также уровни ответственности персонала.
Важно грамотно описать процедуру исполнения решений и четко определить: перечень мероприятий; сроки реализации; необходимые ресурсы и их объёмы; лица, ответственные за исполнение принятых решений и контроль за их реализацией.
3. Контроль результатов управления рисками (как, кто).
Контроль предполагает анализ результатов запланированных мероприятий по снижению степени риска. Контроль – важный этап организации управления рисками, позволяющий собрать и проанализировать информацию о степени выполнения программы, влиянии рисков на целевые результаты деятельности компании (например, прибыль).
Контроль за выполнением программы управления рисками осуществляют риск-менеджеры, в функциональные обязанности которых входит:
- оценка эффективности программы;
- выявление «узких» мест программы;
- обеспечение принятия решений по управлению рисками;
- обновление и пополнение информации о рисках;
- обоснование решений о внесении изменений в программу.
4. Переход от рисков к возможностям.
Как от рисков компании перейти к её возможностям? Для этого достаточно внимательно проанализировать собранную при разработке программ управления рисками внешнюю и внутреннюю информацию и сформулировать список возможностей для всех значимых для компании рисков. Высшая ступень управления рисками – это умение использовать риски себе на пользу (риск как возможность).
Например,
- риск – повышение стоимости сырья, что означает увеличение стоимости продукта и снижение объёма продаж; возможности – переход к другому поставщику или внедрение новой технологии;
- риск – появление прямых конкурентов, что приведёт к уменьшению потенциальной доли рынка и снижению доходности; возможности – мониторинг конкурентной среды или продвижение собственного бренда;
- риск – низкий профессионализм персонала и, как следствие, неудовлетворённость посетителей и низкий объём продаж; возможности – внедрение системы клиентского сервиса или создание системы мотивации и штрафов для персонала.
ЗАКЛЮЧЕНИЕ
Управление рисками – это не разовое мероприятие, это единая система эффективных мер по преодолению негативных последствий от реализации рисков. Управление рисками – это сложная, многоуровневая и динамическая процедура, условно разделенная на ряд этапов. Главная цель управления рисками – обеспечить успешное функционирование компании в условиях риска и неопределенности с учётом внутренних и внешних ограничений.
СЕМЬ ШАГОВ БИЗНЕС-МЕТОДИКИ GORA
Бизнес-методика GORA предполагает предварительную оценку устойчивости развития бизнеса (Шаг 0). Цель шага – провести анализ текущей устойчивости системы менеджмента в компании и получить представление о соответствии системы лучшим практикам и современным требованиям в управлении.
Шаг 1. Анализ потребностей и ожиданий потребителей и других заинтересованных сторон. Цель шага – измерить уровень удовлетворенности потребителей и заинтересованных сторон, определить реальное положение фирмы на рынке относительно их ожиданий.
Шаг 2. Конкретизация рыночной стратегии, контекста и стратегических целей. Цель шага – скорректировать бизнес-модель так, чтобы обеспечить рост на рынке и оторваться от конкурентов.
Шаг 3. Идентификация и описание требуемых бизнес-процессов. Цель шага – выстроить цепочку процессов для передачи ценности потребителям с учетом требований других заинтересованных сторон.
Шаг 4. Алгоритмизация ключевых элементов управления. Цель шага – обеспечить непрерывное развитие, гибкость и самонастраиваемость системы управления.
Шаг 5. Анализ рисков, влияющих на целевые показатели деятельности. Цель шага – обеспечить защиту от действительно существенных внешних и внутренних угроз.
Шаг 6. Разработка ключевых показателей деятельности. Цель шага – сформировать систему показателей, позволяющую на всех уровнях отслеживать реализацию стратегии и предупреждать неэффективность.
Шаг 7. Определение направлений дальнейшего улучшения. Цель шага – определить направления дальнейшего улучшения системы менеджмента.