Риск-менеджмент в МСП

Риск-менеджмент – это не автономная деятельность, которая изолирована от основных видов деятельности. Риск-менеджмент является частью обязанностей руководителей и неотъемлемой частью всех организационных процессов, включая стратегическое планирование, все проекты и процессы.

Норман Маркс, финансовый аналитик

В статье мы делаем акцент на специфику внедрения инструментов риск-менеджмента именно в некрупных предприятиях. Однозначно данный факт влияет на выбор инструментов, методов управления рисками и сложность их внедрения.

Остановимся на преимуществах и недостатках небольших компаний. 

К преимуществам можно отнести:

• отсутствие жестких требований внешних регуляторов по управлению рисками;

• более открытый и позитивный настрой сотрудников всех уровней;

• небольшое количество сотрудников;

• цепочка согласования изменений меньше;

• «ветвистость» процессов меньше.

Недостатки небольших компаний

Нехватка ресурсов: компетенции, финансы и время сотрудников

Стоит признать, что менеджеры и сотрудники, понимающие важность управления рисками и знающие, как внедрить эффективные инструменты управления, «стоят» недешево. Важно, что «стоимость» таких сотрудников увеличивается пропорционально отдалению от крупных городов.

На обучение сотрудников и внедрение инструментов управления рисками нужны средства. При этом эффект от мероприятий чаще бывает отложен на долгосрочную перспективу. Влияние на общий финансовый результат затрат на обучение и внедрение инструментов управления рисками, например, в размере 10 млн руб. для компании с оборотом 3 млрд руб. несопоставим с эффектом для компании с оборотом 3 млрд долларов.

Время сотрудников тоже может являться значительным ограничением. Обычно штат персонала в небольших организациях не такой «раздутый», как в больших компаниях. У сотрудников действительно может не хватать времени, чтобы что-то придумать, как-то поменять и настроить процессы. В этом случае они попадают в замкнутый круг: у них нет времени настроить процессы и внедрить инструменты риск-менеджмента, поскольку они сейчас заняты «тушением пожаров» от уже реализовавшихся рисков. В таком случае руководителям необходимо приоритизировать задачи с учетом общего времени, определив четкие сроки их реализации. При этом нам (внутренним аудиторам, контролерам и риск-менеджерам) необходимо постоянно проговаривать важность таких мероприятий с менеджерами и исполнителями, быть консультантами и помощниками при их реализации.

Низкий уровень качества данных

Конечно, этот аспект связан с уровнем компетенций и общей культурой в организации. Особенно такая проблема проявляется в компаниях, удаленных от больших городов и начавших работу более семи-восьми лет назад, когда тема цифровизации была не так популярна. С тех пор остались журналы, бумажные протоколы, служебные записки и прочее. Самое главное, осталась идея, что бумажные документы – лучший способ фиксации данных. Изменение подобной культуры требует значительного времени и сил всех сотрудников компании, но дает значительные преимущества в достижении целей организации.

Пример. 

Допустим, замена запчастей проводится не на планово-предупредительной основе. Тогда при списании запчастей на ремонт можно вносить информацию в учетную систему о наработке оборудования. Это позволит сформировать статистику установки запчастей и заказывать их непосредственно к потенциальному выходу из строя. Это позволит:

• сократить время отвлечения средств, поскольку запчасти длительно не хранятся на складе;

• сократить риск внеплановых остановок оборудования в связи с длительным ожиданием необходимых запасных частей и др.

Внедрение инструментов управления рисками

Первое, от чего зависит эффективность внедрения, – это люди, которые будут пользоваться результатами таких инструментов.

Три ключевых типа сотрудников

1. Самый неэффективный тип для внедрения инструментов управления рисками – это люди, заинтересованные в непрозрачном принятии решений и/или имеющие какие-либо мотивы оставить процесс в текущем состоянии. Причины могут быть самые различные: от простой человеческой гордости – кто-то извне пришел с непрошенными советами к «великому» человеку – до изменения статуса в компании или невыполнения KPI. Наиболее эффективное взаимодействие с данными сотрудниками заключается в сухом описании всех возможных последствий и выражении их в денежной форме. Деньги – лучший мотиватор для того, чтобы вышестоящий менеджмент начал инициировать и пристально контролировать внедрение изменений.

2. Сотрудники, которые не против каких-то изменений в процессе, но самостоятельно не будут их инициировать. Причинами могут быть отсутствие мотивации, как внутренней, так и внешней, или отсутствие знаний, как эффективнее выстроить свой процесс. При применении хороших навыков коммуникации (умение мотивировать, убеждать, обучать) к людям данного типа их можно сделать очень перспективными союзниками при внедрении эффективных инструментов управления рисками.

3. «Избранные» – это сотрудники, которые открыты к изменениям и понимают важность и потенциальный эффект для компании и непосредственно для них при выполнении своих KPI. Найдя такого менеджера, мы можем способствовать реализации значительных изменений и повышению эффективности процессов. Такие менеджеры будут одним из главных ключей к эффективной работе подразделений внутреннего аудита, контроля и управления рисками.

С чего начать?

Цель инструментов управления рисками – сделать процесс принятия управленческих решений взвешенным и учитывающим риски. 

Исходя из такой формулировки, необходимо найти и проанализировать центры принятия решений на предмет анализа рисков и принятия решений с учетом потенциальных рисков. Важно, чтобы анализ рисков проводился до принятия решений, а не после, как это бывает.

Можно выделить минимум три уровня принятия решений:

• стратегический;

• операционный;

• проектный.

Некоторые специалисты выделяют дополнительный уровень – программный. Это связано с особым вниманием к цифровизации и кибербезопасности в настоящее время.

Приоритетность уровня каждая компания определяет для себя самостоятельно в зависимости от текущего состояния, целей, внешних обстоятельств и т.п.

На какие процессы стоит обратить пристальное внимание в большинстве случаев вне зависимости от сферы деятельности компании:

• стратегическое планирование и бюджетирование;

• целеполагание;

• закупки и контрагенты;

• ремонты;

• проектное планирование;

• информационные технологии.

Несмотря на то, что все компании обладают уникальным набором факторов, влияющих на их деятельность, приведенный выше перечень процессов с большой долей вероятности даст значительный эффект при внедрении эффективных инструментов управления рисками. Эффект может состоять как в получении дополнительной прибыли, так и в снижении вероятности или существенности критических рисков.

Инструменты

В первую очередь будут эффективны инструменты с использованием количественной оценки, если перечислять от простого к сложному:

• скоринговые модели и рейтингование;

• анализ чувствительности;

• сценарное планирование;

• дерево решений с экспертной оценкой вероятности исходов;

• имитационное моделирование .

На втором этапе было бы логично использовать полученные количественные оценки в KPI руководителей и специалистов. Имея статистическое распределение результатов проекта или результатов компании, возможно сформировать более справедливое вознаграждение, что, в свою очередь, повысит мотивацию сотрудников и вероятность достижения высоких целей. Чем сложнее (меньше вероятность) достижение цели, тем больший бонус должен быть согласован с сотрудниками.

Также хорошей практикой является включение в KPI задач по внедрению инструментов управления рисками. Специалисты внутреннего аудита, контроля или управления рисками могут выступить методологами при формировании таких KPI, своевременно провести анализ соответствия целей критериям SMART.

Другим хорошим инструментом может быть визуализация результатов деятельности компании или отдельных ее подразделений.

Примеры:

• сравнение фактических результатов продаж с запланированными продажами для выявления значительных отклонений , выявление наиболее эффективных подразделений и сотрудников для принятия своевременных управленческих решений;

• визуализация в виде  спидометра  прогнозных остатков сырья и материалов на основе плана производства и планового графика поставок. Позволяет своевременно поставить дополнительные объемы в случае нехватки или договориться о переносе поставок на более поздние периоды при наличии ограничений склада.

К эффективным инструментам управления рисками относятся риск-сессии – рефлексия о возможных рисках и вариантах их  митигации . Границами риск-сессии могут быть: отдельный проект, работа подразделения, межфункциональное взаимодействие различных подразделений, стратегическое развитие компании или конкретный кейс.

Есть мнение, что наиболее эффективное время и место для проведения подобных мероприятий – очно в начале рабочего дня в понедельник вне офиса. Доводы: утро – наиболее продуктивное время работы мозга, участники еще не «погрузились» в рамки операционных ограничений и могут мыслить более творчески и открыто, при этом нахождение вне офиса уменьшает вероятность, что участников будут отвлекать.

Есть множество подходов к проведению данных мероприятий. Мне импонирует следующий подход:

• определение целей обсуждаемой темы.

Это позволяет выровнять общие ожидания в рамках рассматриваемого вопроса и осведомить о важных, хотя и не всегда очевидных, целях всех участников встречи;

• определение факторов, которые могут влиять на достижение целей.

Нужно вселить в участников смелось, что необходимо озвучивать даже самые маловероятные факторы. Осмысление всех возможностей позволит выработать наиболее эффективные решения;

• определение факторов второго и последующих уровней (факторов, влияющих на реализацию факторов).

На данном этапе определяется перечень факторов, на которые компания должна реагировать в соответствии со своим риск-аппетитом в рассматриваемой области. Удобнее воспринимаются записи в формате дерева решений или  диаграммы Исикавы .

Аналогичные форматы удобно использовать и для анализа рисков внутри подразделений. Исходя из получившихся результатов могут формироваться планы деятельности по работе с рисками. 

Если компания считает данные мероприятия важными и желает контролировать их выполнение, то наиболее эффективным способом является включение этих мероприятий в KPI руководителя подразделения или конкретных специалистов (при условии наделения их достаточными ресурсами и полномочиями). В случае если компания по каким-либо причинам не готова включать данные мероприятия в KPI, значит, она полностью доверяет своим сотрудникам. В этом случае не следует вводить какие-либо формальные инструменты: реестры рисков, планы корректирующих мероприятий и т.п. Это связано с тем, что в текущий момент динамика изменения влияющих факторов, в т.ч. внешних обстоятельств, очень высокая. На первый план выходит решение возникающих проблем, а не их описание в каких-либо формализованных реестрах с несопоставимыми оценками их существенности. На практике видел очень интересный неформальный пример визуализации работы по анализу рисков. Коллеги назвали этот инструмент «доска рисков». В кабинете подразделения, где регулярно проходят оперативные совещания, висит школьная доска, где описаны риски подразделения и есть краткая информация:

• кто из подразделения отвечает за этот риск;

• что сотрудник должен сделать;

• сроки реализации (как текущих этапов, так и финальные);

• необходимые специалисты смежных подразделений (ответственность руководителя согласовать их участие).

Минимум на каждом еженедельном оперативном совещании обсуждается прогресс по обозначенным вопросам и задачам, актуализируются задачи, сроки и участники. Это действующий «живой» инструмент, который помогает конкретному подразделению и компании в достижении своих целей.

Корпоративная культура

Однозначно каждый из методов требует определенного уровня развития культуры в компании. Мне импонирует теория спиральной динамики развития корпоративной культуры. В данной градации корпоративных культур считаю, что эффективное внедрение инструментов управления рисками возможно минимум с уровня культуры правил.

Для внедрения эффективных инструментов всегда нужно учитывать текущий уровень развития объекта аудита или анализа, при этом уровень развития культуры может значительно отличаться в различных отделах даже в пределах одной компании.

Ранее в статье поднимался вопрос об эффективности регламентов управления рисками. Он тесно связан с культурой в компании. Чем выше культура, тем более верхнеуровнево может быть описана деятельность по управлению рисками. Нет смысла ограничивать менеджмент и специалистов в способах управления рисками, поскольку каждый день могут появляться новые, более эффективные способы управления рисками.

Упоминания о том, что риски необходимо анализировать, оценивать и принимать решения с их учетом, необходимо формулировать не в отдельном регламенте, а в регламентах деятельности подразделения или в должностной инструкции конкретного специалиста. Если мы говорим о межфункциональном процессе, то именно в регламенте данного процесса нужно упоминать о такой необходимости. Лучше всего указывать там и должность ответственного за общие риски всего процесса. В случае возникновения проблемы (потенциальной или реализовавшейся) специалисты будут знать, к кому обращаться для ее решения. Нет конкретного ответственного – процесс с большой долей вероятности останется бесконтрольным.

Но есть случаи, когда действительно эффективно делать отдельные регламенты для снижения рисков. К таким документам можно отнести регламенты/политики о коммерческой тайне, соблюдении пожарной и промышленной безопасности и т.п. Это касается того, что сложно отнести к какому-либо процессу и касается абсолютно всех сотрудников компании.

Стоит отметить, что в периоды кризисов на начальных этапах может быть более эффективным временное ручное управление. Но не хотелось бы соответствовать шаблону, что «нет ничего более постоянного, чем временное»… Будьте начеку!

Высшее руководство

Развитие риск-ориентированного управления возможно только при демонстрации на высшем уровне менеджмента:

• заинтересованности в предварительном анализе рисков;

• проработки возможных митигирующих мер;

• регулярного мониторинга потенциальных изменений внутренних и внешних факторов риска;

• конструктивной реакции на выявленные риски (не «кого наказать», а «как сделать эффективно»).

Подразделения внутреннего аудита, контроля и управления рисками также могут вносить свой вклад в формирование более открытой и эффективной культуры путем внесения в свои отчеты блоков о положительных наблюдениях, если такие имеются.