Предприниматели и даже многие менеджеры часто пренебрежительно относятся к управлению рисками. “Давайте делать бизнес. Не отвлекайтесь, и не отвлекайте других своими заумными темами.” — так иногда говорят и думают руководители. Тем не менее, без системного подхода к риск-менеджменту бизнес превращается в рулетку.
Также распространено заблуждение, что системное управление рисками актуально только для крупного корпоративного бизнеса. Это не так. На любой стадии развития бизнеса (как и любому человеку в любом возрасте на любом этапе жизни) следует анализировать угрозы и риски, разрабатывать планы по их устранению или снижению.
Делать пробный подход к риск-менеджменту предлагаю через составление карты рисков (или угроз) бизнеса. Это таблица-список негативных событий и тех последствий, которые возникают или могут возникнуть в вашем бизнесе. События можно группировать по типам — мошенничество, финансовые риски, налоговые риски, регуляторные риски, конкуренция, природные риски (форс-мажоры), техногенные риски, кражи и порча имущества, и проч.
Ранжирование событий я делаю по вероятности наступления и возможным потерям. Вероятность события может быть низкой, средней или высокой — при низкой вероятности событие может произойти раз в несколько лет, при средней — раз в год, при высокой — несколько раз в год. По возможным потерям надо ориентироваться на размер и чувствительность к финансовым потерям конкретно вашего бизнеса.
Соответственно, критический уровень потерь ведет к практически 100% банкротству в случае, если не будет внешней поддержки. Средний уровень потерь ведет к чувствительным, но не критичным затратам. Это индивидуально для каждого бизнеса, но, как правило, не превышает месячной выручки. Низкий уровень — незначительные штрафы или потери, обычно не более выручки за 1-3 дня. Соответственно, для высокомаржинального бизнеса сумма может быть больше, чем для бизнеса с низкой рентабельностью.
По каждому событию необходимо добавить наименование, описание и возможные последствия. Последнее желательно оценить количественно — в деньгах. Далее надо описать защитные меры и классифицировать их. Защитные меры можно распределить на процедурные, организационные, финансовые, продуктовые и технологические.
Соответственно, в случае процедурных мер достаточно разработать и внедрить процесс. Для организационных — к процессу необходимо добавить исполнителя или контролера. Финансовые меры связаны с прямыми финансовыми затратами. Продуктовые требуют внесения усовершенствований в продукт или услугу. Технологические меры вынуждают разработать и внедрить собственные или приобрести сторонние аппаратные и/или программные решения.
Далее добавляем текущий статус реализации защитных мер — например, в какой мере они реализованы на август 2022 года. Это может быть оценка — не реализованы, частично реализованы, полностью реализованы, или же процент реализации. Обязательно должен быть ответственный руководитель (топ-менеджер) и исполнитель.
Завершаем перечень информации по событию, которое мониторим, самой важной записью — планом мер по предотвращению события или снижению его вероятности. По желанию тут можно добавить ссылки на задачи в таск-трекере (YouTrack, Jira). Как и всегда в подобном планировании, надо выработать сроки и назначить ответственных по каждому пункту плана действий и регулярно проводить контроль реализации.
Как правило, построить планы по всем событиям и эффективно решать их параллельно не получается, поэтому следует отсортировать события по приоритетности — в первую очередь занимаемся наиболее вероятными и критическими по последствиям. Далее — имеющими среднюю вероятность и критические по последствиям. Потом я предлагаю решать задачи со средними последствиями и высокой/средней вероятностью. Задачи по событиям с низкой вероятностью в любой градации последствий можно оставить напоследок, но сохранить в плане и обязательно решать.
Следует отметить, что “черные лебеди” последних лет (пандемия и события этого года) для российских предприятий в матрице рисков и угроз определялись как раз низкой вероятностью и критическими последствиями. Из-за невысокой вероятности и сложных мер защиты им, как правило, не уделяли внимания до самого момента наступления события. Как уже показала практика, даже такие события обязательно надо заранее прорабатывать и иметь антикризисный план (и не один).