Что такое реестр рисков и как его сформировать для своей компании?
Что такое реестр рисков?
Реестр рисков — один из ключевых инструментов системы управления рисками. Главная задача реестра рисков – системно отражать риски, влияющие на организацию или конкретный проект, а также меры по управлению ими. Грамотно составленный реестр помогает не только фиксировать риски, но и принимать обоснованные управленческие решения.
Современная практика управления рисками использует множество продвинутых инструментов и подходов. Реестр рисков относится к базовым инструментам риск-менеджмента, при этом он необходим, а для организаций, которые находятся в начале развития практики риск-ориентированного менеджмента, формирование реестра рисков является одним из первых шагов.
Назначение реестра рисков
Реестр рисков – это не просто табличка или некий перечень. Он имеет достаточно важные функции:
Формат реестра рисков позволяет структурированно описать объекты управления, т. е. риски.
Набор свойств или атрибутов, которыми мы в реестре рисков описываем риски, по сути является неким принятым в организации форматом описания объекта управления – риска. Формат позволяет нам при описании объекта управления задавать правила: какие свойства обязательно должны быть описаны, какие мы используем “мерила” для оценки параметров. Цель, которую мы достигаем – единообразное понимание всеми участниками процесса описанного объекта управления, а также возможность сравнивать эти объекты управления между собой, что в первую очередь важно для приоритезации усилий в управлении и принятия обоснованных решений о “инвестировании” ресурсов в управление тем или иным риском.
Вот почему для составления реестра рисков мы чаще всего прибегаем к Exce –l в ситуации, когда нет специализированной системы Excel позволяет структурированно описывать объекты управления.
Специализированные системы решают ту же задачу, реализуя функционал реестра рисков, при этом дают целый ряд дополнительных важных функциональных преимуществ, например:
Контроль “бизнес-правил”, т.е. принятых в организации правил описания рисков как объектов управления. Система контролирует обязательность заполнения полей, осуществляет форматно-логический контроль вводимых данных.
Позволяет использовать справочники и исключать дублирование информации, что важно в дальнейшем в аналитике.
Дает возможности разграничения прав и полномочий пользователей с разными ролями в процессе управления рисками по внесению, изменению, удалению данных, а также чтению.
Позволяет фиксировать ответственность за конкретными пользователями, журналировать изменения данных, и что важно - сохранять “аудиторский след” - кто, что и когда сделал, внес или изменил данные.
Позволяют использовать BI-инструменты для построения аналитической отчетности на этих данных, в т.ч. в “динамике”, т.е. сохраняя исторические значения о параметрах рисков, позволяя нам сравнивать и понимать “как было” и “как стало”, иными словами, отслеживать прогресс и результаты наших усилий по управлению рисками, контролировать исполнительскую дисциплину участников процесса.
Реестр рисков как совокупность содержит информацию о релевантных, значимых для конкретной организации, рисках.
Именно тех рисков, которые имеют значение для организации. Их реализация может негативно повлиять на определенные метрики, КПЭ или процессы, и при этом вероятность их наступления не нулевая. И значит, этими рисками необходимо управлять. Реестр не является статичным и подлежит регулярному пересмотру и переоценке.
В реестре рисков, как правило, содержится следующая информация:
перечень идентифицированных рисков;
описание каждого риска;
источник и причина возникновения (риск-факторы);
оценка вероятности и последствий;
текущие и планируемые меры управления;
ответственные лица;
статус контроля и динамика риска.
Как сформировать реестр рисков?
Определите границы анализа:
Что вы анализируете — компанию в целом, подразделение, бизнес-процесс или проект?
Идентифицируйте риски:
Используйте мозговой штурм, интервью, анкетирование, анализ инцидентов, метод диаграммы Исикавы, метод "галстука-бабочки".
Формализуйте каждый риск:
Опишите риск корректно и понятно. Например: "Срыв сроков поставки критически важного оборудования для производственной линии".
Оцените риски:
Используйте шкалы вероятности и последствий. Примените матрицу риска.
Назначьте ответственных и меры:
Кто контролирует риск? Какие действия уже предприняты или планируются?
Регулярно обновляйте реестр:
Риск-окружение меняется — следите за актуальностью данных.
Формат: "Вследствие [причина] может произойти [событие], что приведет к [последствие]."
Пример: "Вследствие изменения валютного курса может увеличиться стоимость импортного сырья, что приведет к росту себестоимости продукции и отпускной цены, снижению объемов продаж."
Что такое риск-фактор?
Риск-фактор — это условие или характеристика, которое создает вероятность наступления риска или усиливает его последствия.
Примеры:
Высокая текучесть кадров;
Низкий уровень автоматизации процессов;
Отсутствие резервного поставщика;
Неопределенность законодательства.
Риск-факторы не являются рисками сами по себе, но являются "питательной средой" для их возникновения.
Какие вопросы задать себе, чтобы выявить релевантные риски для компании или функции?
Что может пойти не так в операциях?
Что может пойти не так, вследствие чего не будут достигнуты цели (показатели)?
Какие внешние события могут повлиять на бизнес?
Какие процессы наиболее уязвимы?
Что уже случалось в прошлом (инциденты, сбои)?
Какие обязательства могут быть нарушены?
Какие ресурсы являются критичными?
Какие вопросы должен задать себе руководитель проекта для выявления рисков?
Какие этапы проекта самые сложные или неопределенные?
От кого или чего критически зависит успех проекта?
Какие предыдущие проекты имели схожие проблемы?
Какие есть риски по срокам, бюджету, качеству?
Что произойдёт, если подрядчик не выполнит свои обязательства?
Есть ли риски, связанные с внешними заинтересованными сторонами (вендоры, регуляторы)?
Что такое диаграмма Исикавы и как она помогает сформулировать риски?
Диаграмма Исикавы (или "диаграмма причин и следствий", "рыбья кость") — инструмент для структурированного описания возможных причин, проблем и источников рисков. «Визуальность» и структура помогают задавать себе правильные вопросы при поиске ответов о том, какие причины могут быть источниками рисков.
Как помогает:
Структурирует причины по категориям (люди, процессы, оборудование, материалы, окружение и т.д.);
Помогает не упустить скрытые или системные причины;
Поддерживает групповой анализ при командной работе.
Использование: Сформулируйте потенциальную проблему в "голове" диаграммы и вместе с командой заполняйте "кости", находя причины и потенциальные риски.
Что такое "галстук-бабочка" в риск-менеджменте?
Метод "галстука-бабочки" (Bowtie analysis) — графический инструмент, объединяющий:
Анализ причин возникновения риска (слева — "угроза");
Анализ последствий (справа — "воздействие");
Меры контроля до и после события (превентивные и защитные барьеры);
Центральное событие ("узел") — сам риск.
Преимущества:
Наглядное представление структуры риска;
Поддержка в правильной формулировке риска – «причины, событие, последствия»;
Явное разделение превентивных и защитных мер.
Как сформировать шкалу оценки последствий и вероятности?
Шкала должна быть релевантна для вашей организации. Она должна быть количественно или качественно определена.
Пример шкалы последствий (по 5-балльной шкале):
Пример шкалы вероятности:
Что ещё важно добавить в реестр рисков, кроме самих рисков?
Дата последнего обновления — поддержка актуальности.
История изменений — отслеживание эволюции риска.
Категория риска — стратегический, операционный, финансовый и т.д.
Влияние на цели — какие KPI или бизнес-цели под угрозой.
Индикаторы (триггеры) — сигналы, указывающие на приближение риска.
Степень остаточного риска — после применения мер управления.
Связь с другими рисками — системное мышление.
Заключение
Реестр рисков — это не "бумажка для галочки", а стратегический инструмент управления неопределённостью. Главное преимущество реестра рисков — в структурности, системности и актуальности. Правильно построенный реестр позволяет "понимать", с чем имеет дело организация в качестве рисков, и не только предупреждать угрозы, но и использовать возможности, возникающие в условиях неопределённости.