Как искать ловушки для бизнеса и обходить их – памятка по выстраиванию системы риск-менеджмента

- Все наиболее острые проблемы компаний возникают не только от внешних источников и угроз (геополитика, волатильность, «пузыри» на фондовых рынках), но и из-за отсутствия:

• Внутренней системы прогнозирования «плохих» вариантов развития событий
• Оценки возможных угроз
• Слишком оптимистичного плана и сценария его реализации

Иными словами, из-за отсутствия работающей системы риск-менеджмента.

Так обстояли дела в странах, где уже активно в этот период внедрялись стандарты риск-менеджмента. Ситуация с управлением рисками на постсоветском пространстве куда более печальная и по сей день.

В Беларуси управляют рисками осознанно и системно в основном только банки. Что касается реального сектора, то управление рисками происходит пока чисто интуитивно, либо вообще игнорируется.

Стереотипы, которые сложились у наших топ-менеджеров:

1. «Риск-менеджмент» - абстрактное иностранное понятие, которое к нам не имеет никакого отношения, поскольку «все равно непонятно, что будет завтра с курсом доллара».

2. Управлять рисками - сложно, дорого, и вообще, пусть этим занимаются те, у кого есть время и деньги.

3. У нас слишком маленькая компания, чтобы об этом думать.

4. Мы и так знаем свои риски, зачем нам еще создавать какую-то «риск-ориентированную» систему?

5. Мы уже 10 (15, 20...) лет на рынке, нам всегда удавалось справляться со всеми кризисами, и вообще мы оптимисты!

Недавно я озвучила коллегам-финансистам ключевые причины возникновения убытков и банкротств компаний. Для всех стало открытием, что на самом деле в кризис тяжело не столько из-за внешних, макроэкономических причин (хотя, они тоже, безусловно, должны быть приняты в расчет). Основную роль играют внутренние факторы.

Краткий список типовых внутренних причин, из-за которых в компаниях начинаются проблемы:

1. Управленческо-организационные причины

• Несоответствие возраста и зрелости компании поведению лидера
• Управленческий хаос, отсутствие понятия о менеджменте как о системе управления
• Демотивация персонала. Резкая смена акционеров и топ-менеджмента, конфликты между ними

2. Стратегические ошибки

• Неверная стратегия выхода на другие рынки и сегменты. Недооценка/переоценка собственных сил и возможностей. Игнорирование других игроков и конкурентов
• Несоответствие амбиции топ-менеджмента реальной ситуации, трудности в признании стратегических просчетов

3. Инвестиционные причины

• Финансирование долгосрочных проектов короткими заемными ресурсами
• Превышение фактической суммы инвестиций над первоначальной сметой
• Некачественный инвестиционный расчет или бизнес-план. «Фантазии» по нереальным объемам и срокам продажи нового продукта
• Сроки окупаемости были изначально завышены для получения финансирования в банке

4. Тактические ошибки и просчеты топ-менеджмента

• Решения принимаются без анализа и учета рисков и худших сценариев. Нет прогнозов и сценариев развития, нет выбора приоритетов в проектах
• Нет адекватного финансового анализа. Нет службы контроллинга и внутреннего аудита
• Руководители не считают нужным отчитываться и признавать свои ошибки
• Происходят манипуляции с финансовой отчетностью для акционеров и сотрудников

5. Санкции и иски, предъявляемые проверяющими государственными органами за нарушения, иски ключевых контрагентов.

6. Отсутствие в компании системы управления рисками

Мой опыт показывает, что именно отсутствие системы управления рисками порождает все остальные причины. А те, в свою очередь, приводят к убыткам, просроченным обязательствам перед кредиторами, необходимости увольнять персонал и совершать другие болезненные антикризисные действия, чтобы выжить.

Управление рисками - элементарная «гигиена и профилактика» бизнеса. Это то, что лень делать, некогда, хочется отложить на потом, это отвлекает ресурсы и внимание. Но если этим заниматься, ваш бизнес еще долгие годы будет здоровым и приобретет иммунитет против макроэкономических потрясений.

Конечно, полностью справиться с макроэкономическими факторами нельзя. Но уменьшить их влияние возможно. Не существует рисков, которыми нельзя управлять с точки зрения бизнеса.

Хорошая новость: начать осознанно управлять рисками, «приживить» риск-ориентированный подход к каждому проекту, каждой цели, каждому процессу и решению - никогда не поздно.

Расскажу об этом подробнее.

Из чего состоит стандартный процесс управления рисками

Риск - это то, что может помешать нашим бизнес-целям. Он неразрывно связан с возможностью выбора того или иного варианта развития событий.

Риски возникают:

• Из-за вероятности тех или иных угроз для бизнеса
• Вследствие неполной реализации возможностей (упущенная выгода)

Примеры бизнес-рисков: риск низкой эффективности операций, риск утери активов вследствие хищения, кибер-риски, репутационные риски, риск упущенной возможности продажи бизнес-актива или доли и пр.

Компании важно понять и оценить два фактора:

• Вероятность наступления риска
• Ущерб (убыток) от его наступления

При риск-ориентированном подходе:

• Бизнес-решения или инвестиционные проекты выбираются из нескольких альтернатив, и всегда в пользу наиболее сбалансированного соотношения «выгода/вероятность наступления риска»
• Анализ, прогнозы и бюджеты реалистичны и могут учитывать сотни параметров

Там, где упоминается слово «риск», всегда подразумевается «неопределенность». Иными словами, мы не совсем ясно представляем картину в будущем, поскольку не имеем точных, полных знаний и информации. У неопределенности есть и хорошая «сторона медали». Систематически выделяя риск и управляя им, компании смогут получить конкурентное преимущество, берясь за проекты, которые остальные посчитают рискованными. Т.е. они могут быть пионерами, которые «снимают сливки с рынка».

Классический процесс управления рисками:

• Выявление рисков
• Анализ и оценка рисков
• Управление рисками
• Мониторинг рисков
• Реагирование на образовавшийся риск. Анализ причин, корректировка процессов с поправкой на риски, которые уже реализовались
• Постоянная работа над созданием риск-ориентированной корпоративной культуры

До недавнего времени риск-менеджмент было принято считать отдельной системой управления, со своими процедурами, стандартами, процессами и документами (многие из которых служили только «для красоты»). Современный тренд - интеграция работы с рисками во все области управления, проекты, решения руководства, процессы.

Примеры:

1. Если это процедура, которая регламентирует бизнес-процесс «управление денежными потоками», то в ней обязательно содержится перечень ключевых угроз или негативных событий (например, кассовые разрывы). Кроме того, должен быть представлен перечень действий, которые минимизируют наступление негативных событий.

2. Каждый документ управленческой отчетности и инвестиционного проекта содержит в себе оценку вероятности и размер риска. Тогда сразу ясно, что происходит в компании и каковы возможные сценарии развития событий.

Если вы никогда не применяли комплексный подход, следует начать именно с классического алгоритма.

Если в компании пока нет профессионального риск-менеджера, то обязательно должен быть инициатор его внедрения. Таким сотрудником может быть финансовый, операционный, исполнительный директор, руководитель службы внутреннего контроля (аудита) или безопасности.

Расскажу о процессе формирования системы управления рисками поэтапно.

Этап 1. Выявление рисков

Цель: выявить, какие события, действия сотрудников, ошибки в процессах негативно влияют на прибыль и чистый денежный поток.

Где искать риски? Во всех системах управления и зонах ответственности (производство, закупки, продажи, бухгалтерия и налоги, финансы, логистика, договоры, персонал, ИТ-технологии, инвестиционные проекты и т.д.).

Почти все процессы могут попадать в «зону риска», т.е. быть местом, где могут возникать негативные события и угрозы.

Как искать? С помощью сотрудников, которые работают непосредственно с указанными «зонами» рисков. Их называют «владельцы рисков».

Вовлечение сотрудников чрезвычайно важно, поскольку они лучше вас знают проблемы и угрозы в своих зонах. Как правило, если человек видит потенциальную проблему, он готов с ней поделиться. Но если риск уже стал реальностью, есть вероятность, что сотрудники будут прятать и скрывать этот факт. Чтобы их не сделали виновными. Существуют разные способы вовлечения сотрудников и руководства в процесс выявления рисков:

1. Личное живое общение «глаза в глаза» (не по телефону, не посредством электронной почты и иных коммуникаций). Самый лучший способ - доверительная беседа и умение задавать правильные вопросы.

2. Можно использовать опросы (анкеты, тесты) - разослав их для заполнения сотрудникам.

3. Внутренние семинары, где сотрудники еще параллельно обучаются подходам риск-менеджмента.

4. Создание внутреннего комитета по рискам - регулярно собирающегося органа в составе топ-менеджеров и специалистов.

После того, как вы провели собеседование с ключевыми сотрудниками, следует:

• Составить чек-лист (перечень) рисков
• Разделить их по зонам ответственности (владельцы риска)
• Разделить риски на внутренние и внешние. Поскольку для каждого типа будут разные решения по минимизации угроз.

Если на первоначальном этапе бывает сложно «собрать все риски до кучи», можно поискать на порталах по риск-менеджменту типовые классификаторы - перечни рисков, которые можно взять за основу, чтобы создать свой уникальный справочник рисков.

Результатом работы первого этапа будет сводный документ под названием «Реестр рисков». Вот пример пунктов одного из реестров:

Этап 2. Анализ и оценка рисков

Существуют разные способы оценки рисков - от простых до более продвинутых, в которых хорошо разбираются только специалисты. Кроме того, автоматизация расчета и оценки рисков сейчас достаточно развита. Нужно только подобрать нужный ИТ-продукт по управлению рисками, исходя из масштабов компании и ее целей.

Простым и наглядным способом анализа является «карта рисков». Мы оцениваем по одной оси вероятность, по другой оси - ущерб (последствия). Вот пример карты рисков:

Как оценить ущерб и вероятность по каждому риску? Самый быстрый и простой способ - экспертное мнение специалистов (владельцев риска, руководителей смежных отделов и внутренних аудиторов). Никто не утверждает, что этот способ самый точный, но в данном случае, сверхточности не требуется.

Важно увидеть, что попало в «красную зону», т.е. где вероятность наступления риска и ущерб от него самые высокие. Степень того, что считать «низким», «средним» и «высоким» уровнем также следует определить заранее экспертным путем.

Продолжение следует.