Как управлять рисками: турбулентность как новая реальность

Решение этой задачи превращает риск-менеджмент из защитной функции в стратегический актив. Системный подход позволяет компании устойчиво проходить через сложные периоды и замечать возможности там, где конкуренты видят хаос.

В этой статье разберем классические виды и этапы анализа рисков, но главное — поговорим о том, как встроить защиту от турбулентности в операционную модель вашего бизнеса. В  конце найдете чек-лист, который поможет начать действовать уже сегодня.

Что такое управление рисками и зачем оно нужно бизнесу

Управление рисками — это дисциплина, которая позволяет разрабатывать план действий в условиях, когда будущее туманно, и принимать более качественные управленческие решения прямо сейчас, несмотря на неопределенность.

Риск — это не всегда синоним катастрофы. Это просто неопределенность, которая может привести к возможному убытку, а может — к неожиданной прибыли.

Зачем выстраивать систему управления рисками?

• Минимизация убытков. Очевидная, но не единственная цель. Система помогает не терять деньги на простоях, штрафах и репутационных скандалах.
• Устойчивость компании. Риск-менеджмент — это мышцы бизнеса. Чем они крепче, тем сильнее удар выдержит компания без переломов. Это прямое влияние на долгосрочную устойчивость  бизнеса.
• Использование возможностей. Пока конкуренты в панике сворачивают проекты, вы видите, куда ветер дует на самом деле, и разворачиваете паруса.
  

Виды рисков: примеры угроз, классификация событий и финансовые потери

Риски различаются по своей природе и требуют разных подходов к реагированию. Чтобы корректно расставить приоритеты, важно понимать их источник и характер.

Классификацию событий обычно строят по источнику угрозы.

• Стратегические. Связаны с решениями первого лица: выбор рынка, продуктовой стратегии, оценка трендов. 
• Операционные. Сбои в ежедневных процессах:  выход из строя оборудования, увольнение ключевого сотрудника, сбои в работе поставщиков. Без выстроенной системы управления такие риски создают постоянную нагрузку на ресурсы компании.
• Финансовые. Колебания  курса валют, рост ключевой ставки, неплатежи дебиторов. Прямые финансовые потери — то, с чем обычно ассоциируют риск-менеджмент. Особенно чувствительны для компаний с кредитным портфелем и импортными контрактами.
• Юридические (комплаенс). Изменение в законодательстве, судебные иски, претензии регуляторов. Для некоторых отраслей (например, финтех) — это один из ключевых факторов неопределенности.
• Репутационные. Негативный отзыв, получившие широкое распространение , или скандальное заявление партнера. В условиях цифровой среды репутационные риски реализуются значительно быстрее, чем раньше.
• Киберриски. Утечка данных, атака на ИT-инфраструктуру, взлом учетных записей или инциденты с участием подрядчиков, имеющих доступ к системам компании. Последствия могут одновременно затрагивать финансовую, операционную и репутационную сферы. 

Управлять рисками по отдельности в такой ситуации неэффективно — необходим  системный взгляд, который позволяет увидеть не только сами угрозы, но и то, как они усиливают друг друга. Именно такой подход реализуется через  сценарное планирование.

Как выявить риски в бизнесе: способы идентификации

Невозможно управлять тем, что остается незамеченным. Первый и важнейший этап — идентификация рисков. Задача в том, чтобы обнаружить уязвимые  места до того, как они приведут к  кризисной ситуации.

Основные методы идентификации рисков:

• Мозговой штурм. Собираете команду (обязательно людей из разных отделов — от продаж до производства) для составления перечня возможных проблем. Важно участие как оптимистов, замечающих возможности, так и пессимистов, фиксирующих угрозы.
• Интервью с экспертами. Поговорите с профильными специалистами внутри компании и вне ее. Часто они видят риски, которые находятся вне фокуса топ-менеджмента.
• SWOT-анализ. Классический метод, который позволяет оценить  сильные и слабые стороны (внутренние факторы), а также возможности и угрозы (внешние факторы). Помогает оценить потенциальное негативное влияние внешней среды.
• Метод Дельфи. Анонимный опрос экспертов в несколько туров. Хорош тем, что исключает влияние авторитетов и «давление большинства».
• Анализ сценариев. Не просто «что, если случится X?», а проигрывание цепочек: «если случится X, то потом будет Y, а затем Z». Помогает выявить вторичные риски.
• Диаграмма Исикавы («рыбья кость»). Визуальный метод, который помогает докопаться до корневых причин потенциальных проблем.

Важно не просто составить список, а зафиксировать триггеры риска — события или показатели, которые выступают маркерами наступающего кризиса. Например, для риска срыва поставки триггером может быть задержка отгрузки на складе поставщика более чем на сутки.

После того как все угрозы собраны, самое время переходить к их систематизации. Один из способов — использовать матрицу рисков, которая позволяет  визуально отделить критическое от второстепенного и понять, на чем фокусироваться в первую очередь.

Этапы управления рисками: от оценки до мониторинга

Итак, риски найдены. Что дальше? 

Этап 1. Идентификация. Этот шаг уже пройден. Фиксируем все в реестре.

Этап 2. Оценка рисков. Нужно расставить приоритеты. На что тратить силы сейчас, а что отложить? Для этого оцениваем два параметра: вероятность (каков шанс, что это случится?) и влияние (насколько сильно это ударит по проекту/компании?). Здесь мы закладываем основу для будущих управленческих решений — на какие угрозы обратить внимание в первую очередь.

Удобный инструмент — матрица рисков (или тепловая карта). По одной оси откладываем вероятность (низкая, средняя, высокая), по другой — тяжесть последствий. Красная зона — самые опасные, с ними работаем в первую очередь. Зеленая — «мелочи», которые можно просто принять и контролировать.

Этап 3. Планирование реагирования. Для каждого критичного риска выбираем стратегию и прописываем план Б. Главная цель этого этапа — снижение вероятности наступления угрозы или уменьшение её последствий. Об этом подробнее ниже.

Этап 4. Внедрение контроля. Внедряем процедуры мониторинга: назначаем ответственных, устанавливаем точки проверки, вносим действия в операционные планы. Недостаточно просто составить план — нужно регулярно принимать меры, чтобы он работал.

Этап 5. Мониторинг и обновление. Риски живут своей жизнью: одни исчезают, другие появляются, третьи меняют вероятность. Реестр рисков должен жить вместе с проектом. Раз в месяц пересматривайте его с командой, чтобы ваши управленческие решения оставались актуальными.

Стратегии и методы управления рисками: как выбрать подходящий вариант

Когда вы оценили риски, нужно решить, что с ними делать. Стратегий реагирования не так много, и все они рабочие.

1. Уклонение (Избегание). Самый радикальный способ. Мы меняем план так, чтобы исключить рискованное действие. Если подрядчик вас подводит — мы просто отказываемся от его услуг и ищем другого, даже если это сложнее.
2. Снижение (Митигация). Самый популярный метод. Мы не убираем риск полностью, но снижаем его вероятность или последствия. Проводим дополнительные тесты сложного узла, нанимаем ассистента в помощь занятому сотруднику, страхуем груз.
3. Передача. Перекладываем финансовые последствия риска на третью сторону. Самый простой и понятный пример — страхование. Или включение в договор с заказчиком условия о форс-мажоре и пересмотре цен на материалы. В этом случае за удорожание платит заказчик.
4. Принятие. Это осознанное решение: мы знаем о риске, но ничего не делаем, потому что:
5. последствия некритичны;
6. вероятность низкая;
7. затраты на предотвращение выше, чем возможный убыток.

Принятие бывает активным (создаем резерв денежных средств или временных буферов) и пассивным (осознанно принимаем решение не предпринимать дополнительных мер при условии, что потенциальный ущерб находится в допустимых пределах).

Выбор стратегии — лишь первый шаг. Дальше начинается самое сложное и важное: внедрение контроля. Без него любой план остается декларацией. Нужно выстроить четкую процедуру мониторинга по каждому критическому риску: кто, когда и по каким триггерам проверяет ситуацию, как часто собираются данные, кто принимает решение об активации плана Б.

И конечно, система не может работать вслепую, она требует регулярной оценки эффективности. Сработали ли заложенные меры? Удалось ли снизить вероятность реализации рисков или уменьшить масштаб последствий? Не превратился ли риск-менеджмент в формальный процесс , когда реестры заполняются «для галочки», а реальные угрозы остаются без внимания?

Роль лидера в управлении рисками и организационные ловушки

Лучшие матрицы и реестры бесполезны, если в компании не сформирована культура открытого обсуждения проблем. Часто главный риск — не внешний, а внутренний: сотрудники боятся сообщать начальству плохие новости. Это классическая организационная ловушка, которая сводит на нет любые методологии.

Роль лидера здесь — создавать безопасное пространство: спрашивать не «кто виноват?», а «что мы можем сделать, чтобы это исправить?». Если за сообщение о риске наказывают, в следующий раз об утечке данных узнают только из новостей. При этом важно вовлекать в диалог все заинтересованные стороны — от рядовых сотрудников до партнеров и регуляторов, потому что у каждого из них своя картина угроз.

Но даже в условиях идеальной культуры существуют методологические сложности. Одна из них — цена избегания риска. Иногда затраты на минимизацию риска превышают потенциальные потери. Кроме того, на оценку рисков влияют когнитивные искажения — особенности восприятия, свойственные человеку: 

• Переоценка оптимизма. Склонность полагать, что компания справится с угрозой лучше, чем среднестатистический игрок рынка, и что серьезные проблемы обойдут стороной. 
• Недооценка «черных лебедей». Игнорирование событий с низкой вероятностью, последствия которых могут быть катастрофическими. Пандемия 2020 года — один из примеров. 
• Подтверждение собственной правоты. Мы ищем информацию, которая подтверждает правильность выбранного плана, и игнорируем сигналы о потенциальных угрозах.

Один из самых надежных способов снизить влияние когнитивных искажений — встроить проверку гипотез и обсуждение рисков в регулярные управленческие процессы.

Частые вопросы

Какие показатели помогают понять, эффективно ли управляют рисками?

Универсального KPI здесь не существует — оценивать эффективность приходится по совокупности факторов. Обычно смотрят на динамику:

• Количество реализовавшихся рисков.
• Снижение числа рисков — не универсальный критерий эффективности: по мере развития системы компания часто начинает лучше замечать и учитывать то, что раньше просто не фиксировалось.
• Скорость реакции на инциденты. Если риск все-таки наступил, важно, как быстро команда включает план Б и минимизирует последствия.
• Сумма непредвиденных потерь. Финансовые показатели — самый объективный индикатор. Если убытки от рисков год от года уменьшаются, значит, вы на верном пути.

Косвенный, но важный признак — спокойствие CEO во время кризиса. Наличие проработанных сценариев и отработанных процедур позволяет руководителю сохранять объективность и эффективно координировать команду. 

Что такое риск-аппетит и толерантность к рискам?

Это фундаментальные понятия, которые определяют отношение компании к неопределенности. По сути, это философия бизнеса, зафиксированная в цифрах и установках.

Риск-аппетит — это ответ на вопрос «сколько мы готовы поставить на кон ради результата?». Например, стартап может принимать высокие риски в расчете на кратный рост, тогда как консервативный банк ориентируется на минимальные риски и предсказуемую доходность.

Толерантность к рискам — это уже допустимые пределы отклонений, конкретные рамки, в которых компания готова действовать. Например: «Мы готовы к тому, что проект подорожает на 10%, но не больше» или «Мы допускаем задержку запуска до двух недель, но превышение этого срока для нас критично».

Понимание этих двух параметров помогает принимать взвешенные решения: где риск оправдан, а где целесообразнее от него отказаться.

Чек-лист для самодиагностики

Проверьте, насколько вы и ваша компания готовы к неожиданностям. Ответьте «да» или «нет» на пять вопросов:

1. Есть ли у вас список из 5-10 событий, которые могут серьезно повлиять на бизнес в этом году?
2. Назначен ли ответственный за мониторинг каждого из этих событий?
3. Есть ли у вас план действий для трех наиболее вероятных кризисных  сценариев?
4. Знают ли сотрудники, что сообщать о проблемах — безопасно?
5. Анализируете ли вы реализовавшиеся  риски, чтобы понять их причины?

Если хотя бы на три вопроса вы ответили «нет», возможно, пришло время взглянуть на свою систему управления чуть внимательнее.

Теперь вы знаете, как системный подход к рискам помогает бизнесу проходить турбулентность с минимальными потерями и даже выигрывать. Как выстроить такую систему в своей компании и научить команду быстро принимать решения в условиях неопределенности — разбираем на программах Школы управления СКОЛКОВО.