16 апреля прошел первый в 2025 году Круглый Стол по риск-менеджменту, ведущим и модератором которого выступил Олег Мележников – профессионал-практик в области управления рисками с более, чем 20-летним опытом работы в крупных российских и международных компаниях. Мероприятие собрало представителей ряда компаний из различных отраслей. Эксперты обсудили волнующие тематики риск-менеджмента, среди которых были следующие вопросы:
Мы предлагаем всем желающим ознакомиться с частью дискуссии, которая затрагивает основы риск-менеджмента.
...
- Как компании приходят к осознанию необходимости управлять рисками?
- Как вовлечь в управление рисками всех сотрудников компании?
- Почему управление рисками сложно внедрить?
- Кто обычно является заказчиком управления рисками?
- С какими препятствиями, как правило, сталкиваются компании на пути выстраивания риск-ориентированного управления бизнесом?
Мы предлагаем всем желающим ознакомиться с частью дискуссии, которая затрагивает основы риск-менеджмента.
...
Олег М: Есть ли у вас в компании бизнес-анализ? Как устроен процесс риск-менеджмента?
Компания 1: Мы описываем карточки ИТ-проектов и ключевые роли, но понимания, кто держатель риска, в компании нет. Чаще всего вопрос доходит до стоимости решения, и на этом обычно заканчивается. Если в течение года решение не окупается, то эту задачу команда не берет. Из-за смены сотрудников приоритеты команды часто меняются, задачи уходят с первого плана на второй. И следить за всем этим потоком командам сложно.
Компания 2: У нас в компании разная степень зрелости управления рисками. Если мы говорим о рисках проектов, то у руководителей уже есть понимание про проектные риски, карту рисков, качественную оценку рисков, ответственных. Но основная проблема заключается в том, что руководители проектов стремятся использовать эту информацию, чтобы обосновать размер финансирования на ту или иную затратную часть управления. Некоторые руководители манипулируют бюджетом, используя риски как обоснование для повышенного бюджета. Вторая проблема – если же мы говорим о компании в целом, а не только о проектных рисках, то понимания, кто является владельцем рисков, нет. Сложилось впечатление, что руководитель департамента по риск-менеджменту должен управлять всеми рисками компании.
Олег М: Это очень большое заблуждение.
Компания 2: Да. Именно поэтому такую тенденцию хотелось бы переломить.
Олег М: В целом, ничего плохого нет в том, что руководителям требуется повышенный бюджет на борьбу с рисками, но плохо, что они этим манипулируют. Необходимо подтверждать риски расчетами, внутренним аудитом и контролем. Правило двух-трех мнений в компании никто не отменял. Например, можно также использовать анализ Исикавы, чтобы “вывести на чистую воду”.
Как же измерить эффективность риск-менеджмента наименее затратным способом? У нас есть подконтрольные и неподконтрольные риски. Неподконтрольные риски чаще всего страхуются, либо по ним формируются планы, обеспечивающие непрерывность бизнеса. Т.е. мы отдаем себе отчет в том, что мы повлиять на эти риски никак не можем. Однако если эти риски все же реализуются, то мы предпримем все действия согласно подготовленным заранее планам, поскольку имеем резервы, чтобы выйти из кризисной ситуации с минимальными потерями и в кратчайшее время.
Пример неподконтрольного риска: ваш офис внезапно обесточили. Но в компании есть работоспособный резервный генератор, который вы можете быстро включить и восстановить электроэнергию. Вы успеете сделать бэкап и “закрыть” день.
Что касается подконтрольных рисков, вы можете повлиять на них, например, усилиями сотрудников. Здесь важно сравнить затраты на реализацию превентивных мероприятий. Представьте, если у вас полностью отсутствует управление рисками, тогда с чем столкнется бизнес при реализации угрозы? Почувствуют ли это клиенты? Какие будут последствия?
Вовлечь всех сотрудников в управление рисками – действительно непростая задача. Внедрить риск-менеджмент, как, например, систему 1С невозможно. Сразу формируется некое “отторжение”. Почему?
Во-первых, коллекционировать риски через систему или в Excel бесполезно. Это пустая трата времени для бизнеса, которая не имеет никакой цели. Менее, чем через час любая информация о рисках может уже оказаться неактуальной. И тут появляются вопросы “на чем мы фокусируемся?” и “как вовлечь всех?”
Риск-менеджер не может не знать стратегию компании. Даже если она не формализована. Какие у вас есть риски и возможности? Зная эту информацию, вы сможете сформировать ключевые риски, мероприятия, проекты, определить ответственных. Через целеполагание и причастность сотрудников к достижению целей компании, их личные KPI и выстраивание логической цепочки связи рисков и достижения KPI, вы сможете вовлечь сотрудников всех уровней. Каждый получает шанс проявить себя.
Компания 3: Исходя из вашего опыта, есть ли смысл использовать риск-ориентированный подход в документации (договор, должностные инструкции, нормативные документы) для привлечения сотрудников? Т.е. по сути вменить сотрудникам в обязанности действия по управлению рисками через локальные нормативные документы?
Олег М: Безусловно, многие используют такой подход, однако на мой взгляд, он не является панацеей. Часто ли сотрудники заглядывают в свою должную инструкцию? Нет. Это обязательная нормативная документация, но она не помогает избавиться от рисков. Я видел компании, в которых есть блестящие должностные инструкции, но риски все равно реализуются, хотя компании тратят большие бюджеты на риск-менеджмент. Гораздо интереснее замотивировать людей, чтобы у них горели глаза и появилось осознанное желание заниматься своей деятельностью с учетом рисков. Конечно, есть организации, занимающиеся особо опасным производством (например, атомные электростанции), где процесс управления рисками уже доведен до автоматизма. Но на одном страхе основываться сложно. Если же сотрудник будет увлечен своей работой, если он связывает будущее с компанией, то и желание расти и развиваться также будет крепнуть. Однако заставить сотрудника, выпустив приказ, не получится. Это должна быть целая комбинация того, как вы мотивируете сотрудника, как коммуницируете с ним, насколько вы честны с ним. Многие сотрудники лучше работают тогда, когда видят пользу от своей деятельности, видят признание и человеческое отношение.
В качестве заключения, хотелось бы отметить, что необходимо правильно ставить цели сотрудникам, связывать их со стратегией, бизнес-планом и минимизировать риски недостижения целей в компании. Второе, важно навести порядок в дисциплине и ответственности за мероприятия, которые действительно устраняют риски препятствия по достижению целей. Это и есть риск-менеджмент. А не просто реестр рисков в Excel.
...
Вам было бы интересно принять участие в следующем Круглом Столе? Оставляйте заявку, и мы обязательно пригласим вас на дискуссию риск-менеджеров в будущем.
Компания 1: Мы описываем карточки ИТ-проектов и ключевые роли, но понимания, кто держатель риска, в компании нет. Чаще всего вопрос доходит до стоимости решения, и на этом обычно заканчивается. Если в течение года решение не окупается, то эту задачу команда не берет. Из-за смены сотрудников приоритеты команды часто меняются, задачи уходят с первого плана на второй. И следить за всем этим потоком командам сложно.
Компания 2: У нас в компании разная степень зрелости управления рисками. Если мы говорим о рисках проектов, то у руководителей уже есть понимание про проектные риски, карту рисков, качественную оценку рисков, ответственных. Но основная проблема заключается в том, что руководители проектов стремятся использовать эту информацию, чтобы обосновать размер финансирования на ту или иную затратную часть управления. Некоторые руководители манипулируют бюджетом, используя риски как обоснование для повышенного бюджета. Вторая проблема – если же мы говорим о компании в целом, а не только о проектных рисках, то понимания, кто является владельцем рисков, нет. Сложилось впечатление, что руководитель департамента по риск-менеджменту должен управлять всеми рисками компании.
Олег М: Это очень большое заблуждение.
Компания 2: Да. Именно поэтому такую тенденцию хотелось бы переломить.
Олег М: В целом, ничего плохого нет в том, что руководителям требуется повышенный бюджет на борьбу с рисками, но плохо, что они этим манипулируют. Необходимо подтверждать риски расчетами, внутренним аудитом и контролем. Правило двух-трех мнений в компании никто не отменял. Например, можно также использовать анализ Исикавы, чтобы “вывести на чистую воду”.
Как же измерить эффективность риск-менеджмента наименее затратным способом? У нас есть подконтрольные и неподконтрольные риски. Неподконтрольные риски чаще всего страхуются, либо по ним формируются планы, обеспечивающие непрерывность бизнеса. Т.е. мы отдаем себе отчет в том, что мы повлиять на эти риски никак не можем. Однако если эти риски все же реализуются, то мы предпримем все действия согласно подготовленным заранее планам, поскольку имеем резервы, чтобы выйти из кризисной ситуации с минимальными потерями и в кратчайшее время.
Пример неподконтрольного риска: ваш офис внезапно обесточили. Но в компании есть работоспособный резервный генератор, который вы можете быстро включить и восстановить электроэнергию. Вы успеете сделать бэкап и “закрыть” день.
Что касается подконтрольных рисков, вы можете повлиять на них, например, усилиями сотрудников. Здесь важно сравнить затраты на реализацию превентивных мероприятий. Представьте, если у вас полностью отсутствует управление рисками, тогда с чем столкнется бизнес при реализации угрозы? Почувствуют ли это клиенты? Какие будут последствия?
Вовлечь всех сотрудников в управление рисками – действительно непростая задача. Внедрить риск-менеджмент, как, например, систему 1С невозможно. Сразу формируется некое “отторжение”. Почему?
Во-первых, коллекционировать риски через систему или в Excel бесполезно. Это пустая трата времени для бизнеса, которая не имеет никакой цели. Менее, чем через час любая информация о рисках может уже оказаться неактуальной. И тут появляются вопросы “на чем мы фокусируемся?” и “как вовлечь всех?”
Риск-менеджер не может не знать стратегию компании. Даже если она не формализована. Какие у вас есть риски и возможности? Зная эту информацию, вы сможете сформировать ключевые риски, мероприятия, проекты, определить ответственных. Через целеполагание и причастность сотрудников к достижению целей компании, их личные KPI и выстраивание логической цепочки связи рисков и достижения KPI, вы сможете вовлечь сотрудников всех уровней. Каждый получает шанс проявить себя.
Компания 3: Исходя из вашего опыта, есть ли смысл использовать риск-ориентированный подход в документации (договор, должностные инструкции, нормативные документы) для привлечения сотрудников? Т.е. по сути вменить сотрудникам в обязанности действия по управлению рисками через локальные нормативные документы?
Олег М: Безусловно, многие используют такой подход, однако на мой взгляд, он не является панацеей. Часто ли сотрудники заглядывают в свою должную инструкцию? Нет. Это обязательная нормативная документация, но она не помогает избавиться от рисков. Я видел компании, в которых есть блестящие должностные инструкции, но риски все равно реализуются, хотя компании тратят большие бюджеты на риск-менеджмент. Гораздо интереснее замотивировать людей, чтобы у них горели глаза и появилось осознанное желание заниматься своей деятельностью с учетом рисков. Конечно, есть организации, занимающиеся особо опасным производством (например, атомные электростанции), где процесс управления рисками уже доведен до автоматизма. Но на одном страхе основываться сложно. Если же сотрудник будет увлечен своей работой, если он связывает будущее с компанией, то и желание расти и развиваться также будет крепнуть. Однако заставить сотрудника, выпустив приказ, не получится. Это должна быть целая комбинация того, как вы мотивируете сотрудника, как коммуницируете с ним, насколько вы честны с ним. Многие сотрудники лучше работают тогда, когда видят пользу от своей деятельности, видят признание и человеческое отношение.
В качестве заключения, хотелось бы отметить, что необходимо правильно ставить цели сотрудникам, связывать их со стратегией, бизнес-планом и минимизировать риски недостижения целей в компании. Второе, важно навести порядок в дисциплине и ответственности за мероприятия, которые действительно устраняют риски препятствия по достижению целей. Это и есть риск-менеджмент. А не просто реестр рисков в Excel.
...
Вам было бы интересно принять участие в следующем Круглом Столе? Оставляйте заявку, и мы обязательно пригласим вас на дискуссию риск-менеджеров в будущем.
