Что такое реестр рисков?
Реестр рисков — один из ключевых инструментов системы управления рисками. Главная задача реестра рисков — системно отражать риски, влияющие на организацию или конкретный проект, а также меры по управлению ими. Грамотно составленный реестр помогает не только фиксировать риски, но и принимать обоснованные управленческие решения.
Современная практика управления рисками использует множество продвинутых инструментов и подходов. Реестр рисков относится к базовым инструментам риск-менеджмента, при этом он необходим, а для организаций, которые находятся в начале развития практики риск-ориентированного менеджмента, формирование реестра рисков является одним из первых шагов.
Современная практика управления рисками использует множество продвинутых инструментов и подходов. Реестр рисков относится к базовым инструментам риск-менеджмента, при этом он необходим, а для организаций, которые находятся в начале развития практики риск-ориентированного менеджмента, формирование реестра рисков является одним из первых шагов.
Назначение реестра рисков
Реестр рисков — это не просто табличка или некий перечень. Он имеет достаточно важные функции:
Формат реестра рисков позволяет структурированно описать объекты управления, т. е. риски.
Набор свойств или атрибутов, которыми мы в реестре рисков описываем риски, по сути является неким принятым в организации форматом описания объекта управления — риска. Формат позволяет нам при описании объекта управления задавать правила: какие свойства обязательно должны быть описаны, какие мы используем «мерила» для оценки параметров. Цель, которую мы достигаем — единообразное понимание всеми участниками процесса описанного объекта управления, а также возможность сравнивать эти объекты управления между собой, что в первую очередь важно для приоритезации усилий в управлении и принятия обоснованных решений о «инвестировании» ресурсов в управление тем или иным риском.
Вот почему для составления реестра рисков мы чаще всего прибегаем к Excel в ситуации, когда нет специализированной системы Excel позволяет структурированно описывать объекты управления.
Специализированные системы решают ту же задачу, реализуя функционал реестра рисков, при этом дают целый ряд дополнительных важных функциональных преимуществ, например:
Реестр рисков как совокупность содержит информацию о релевантных, значимых для конкретной организации, рисках.
Именно тех рисков, которые имеют значение для организации. Их реализация может негативно повлиять на определенные метрики, КПЭ или процессы, и при этом вероятность их наступления не нулевая. И значит, этими рисками необходимо управлять. Реестр не является статичным и подлежит регулярному пересмотру и переоценке.
В реестре рисков, как правило, содержится следующая информация:
Формат реестра рисков позволяет структурированно описать объекты управления, т. е. риски.
Набор свойств или атрибутов, которыми мы в реестре рисков описываем риски, по сути является неким принятым в организации форматом описания объекта управления — риска. Формат позволяет нам при описании объекта управления задавать правила: какие свойства обязательно должны быть описаны, какие мы используем «мерила» для оценки параметров. Цель, которую мы достигаем — единообразное понимание всеми участниками процесса описанного объекта управления, а также возможность сравнивать эти объекты управления между собой, что в первую очередь важно для приоритезации усилий в управлении и принятия обоснованных решений о «инвестировании» ресурсов в управление тем или иным риском.
Вот почему для составления реестра рисков мы чаще всего прибегаем к Excel в ситуации, когда нет специализированной системы Excel позволяет структурированно описывать объекты управления.
Специализированные системы решают ту же задачу, реализуя функционал реестра рисков, при этом дают целый ряд дополнительных важных функциональных преимуществ, например:
- Контроль «бизнес-правил», т. е. принятых в организации правил описания рисков как объектов управления. Система контролирует обязательность заполнения полей, осуществляет форматно-логический контроль вводимых данных.
- Позволяет использовать справочники и исключать дублирование информации, что важно в дальнейшем в аналитике.
- Дает возможности разграничения прав и полномочий пользователей с разными ролями в процессе управления рисками по внесению, изменению, удалению данных, а также чтению.
- Позволяет фиксировать ответственность за конкретными пользователями, журналировать изменения данных, и что важно — сохранять «аудиторский след» — кто, что и когда сделал, внес или изменил данные.
- Позволяют использовать BI-инструменты для построения аналитической отчетности на этих данных, в т. ч. в «динамике», т. е. сохраняя исторические значения о параметрах рисков, позволяя нам сравнивать и понимать «как было» и «как стало», иными словами, отслеживать прогресс и результаты наших усилий по управлению рисками, контролировать исполнительскую дисциплину участников процесса.
Реестр рисков как совокупность содержит информацию о релевантных, значимых для конкретной организации, рисках.
Именно тех рисков, которые имеют значение для организации. Их реализация может негативно повлиять на определенные метрики, КПЭ или процессы, и при этом вероятность их наступления не нулевая. И значит, этими рисками необходимо управлять. Реестр не является статичным и подлежит регулярному пересмотру и переоценке.
В реестре рисков, как правило, содержится следующая информация:
- перечень идентифицированных рисков;
- описание каждого риска;
- источник и причина возникновения (риск-факторы);
- оценка вероятности и последствий;
- текущие и планируемые меры управления;
- ответственные лица;
- статус контроля и динамика риска.
Как сформировать реестр рисков?
- Определите границы анализа:
- Идентифицируйте риски:
- Формализуйте каждый риск:
- Оцените риски:
- Назначьте ответственных и меры:
- Регулярно обновляйте реестр:
Как правильно формулировать риск?
Правильная формулировка риска включает:
Формат:
«Вследствие [причина] может произойти [событие], что приведет к [последствие].»
Пример:
«Вследствие изменения валютного курса может увеличиться стоимость импортного сырья, что приведет к росту себестоимости продукции и отпускной цены, снижению объемов продаж.»
- Событие (что может произойти?)
- Причину (почему это может произойти?)
- Последствие (что произойдет, если это случится?)
Формат:
«Вследствие [причина] может произойти [событие], что приведет к [последствие].»
Пример:
«Вследствие изменения валютного курса может увеличиться стоимость импортного сырья, что приведет к росту себестоимости продукции и отпускной цены, снижению объемов продаж.»
Что такое риск-фактор?
Риск-фактор — это условие или характеристика, которое создает вероятность наступления риска или усиливает его последствия.
Примеры:
Риск-факторы не являются рисками сами по себе, но являются «питательной средой» для их возникновения.
Примеры:
- Высокая текучесть кадров;
- Низкий уровень автоматизации процессов;
- Отсутствие резервного поставщика;
- Неопределенность законодательства.
Риск-факторы не являются рисками сами по себе, но являются «питательной средой» для их возникновения.
Какие вопросы задать себе, чтобы выявить релевантные риски для компании или функции?
- Что может пойти не так в операциях?
- Что может пойти не так, вследствие чего не будут достигнуты цели (показатели)?
- Какие внешние события могут повлиять на бизнес?
- Какие процессы наиболее уязвимы?
- Что уже случалось в прошлом (инциденты, сбои)?
- Какие обязательства могут быть нарушены?
- Какие ресурсы являются критичными?
Какие вопросы должен задать себе руководитель проекта для выявления рисков?
- Какие этапы проекта самые сложные или неопределенные?
- От кого или чего критически зависит успех проекта?
- Какие предыдущие проекты имели схожие проблемы?
- Какие есть риски по срокам, бюджету, качеству?
- Что произойдёт, если подрядчик не выполнит свои обязательства?
- Есть ли риски, связанные с внешними заинтересованными сторонами (вендоры, регуляторы)?
Что такое диаграмма Исикавы и как она помогает сформулировать риски?
Диаграмма Исикавы (или «диаграмма причин и следствий», «рыбья кость») — инструмент для структурированного описания возможных причин, проблем и источников рисков. «Визуальность» и структура помогают задавать себе правильные вопросы при поиске ответов о том, какие причины могут быть источниками рисков.
Как помогает:
Использование:
Сформулируйте потенциальную проблему в «голове» диаграммы и вместе с командой заполняйте «кости», находя причины и потенциальные риски.
Как помогает:
- Структурирует причины по категориям (люди, процессы, оборудование, материалы, окружение и т. д.);
- Помогает не упустить скрытые или системные причины;
- Поддерживает групповой анализ при командной работе.
Использование:
Сформулируйте потенциальную проблему в «голове» диаграммы и вместе с командой заполняйте «кости», находя причины и потенциальные риски.
Что такое "галстук-бабочка" в риск-менеджменте?
Метод «галстука-бабочки» (Bowtie analysis) — графический инструмент, объединяющий:
Преимущества:
- Анализ причин возникновения риска (слева — «угроза»);
- Анализ последствий (справа — «воздействие»);
- Меры контроля до и после события (превентивные и защитные барьеры);
- Центральное событие («узел») — сам риск.
Преимущества:
- Наглядное представление структуры риска;
- Поддержка в правильной формулировке риска — «причины, событие, последствия»;
- Явное разделение превентивных и защитных мер.
Как сформировать шкалу оценки последствий и вероятности?
Шкала должна быть релевантна для вашей организации. Она должна быть количественно или качественно определена.
Пример шкалы последствий (по 5-балльной шкале):
Пример шкалы вероятности:
Что ещё важно добавить в реестр рисков, кроме самих рисков?
- Дата последнего обновления — поддержка актуальности.
- История изменений — отслеживание эволюции риска.
- Категория риска — стратегический, операционный, финансовый и т. д.
- Влияние на цели — какие KPI или бизнес-цели под угрозой.
- Индикаторы (триггеры) — сигналы, указывающие на приближение риска.
- Степень остаточного риска — после применения мер управления.
- Связь с другими рисками — системное мышление.
Заключение
Реестр рисков — это не «бумажка для галочки», а стратегический инструмент управления неопределённостью. Главное преимущество реестра рисков — в структурности, системности и актуальности. Правильно построенный реестр позволяет «понимать», с чем имеет дело организация в качестве рисков, и не только предупреждать угрозы, но и использовать возможности, возникающие в условиях неопределённости.
