Что включает в себя оценка рисков
5 МИН
Как оценить риски предприятия
Ошибки в расчётах и планировании, изменения ситуации на рынке и в законодательстве создают риски для бизнеса. Объясняем, как их оценить и предотвратить.
Виды деловых рисков
Обычно под «деловым риском» подразумевают одно или несколько событий, негативно воздействующих на деятельность предприятия или её аспекты.
С точки зрения предсказуемости риски делят на систематические и несистематические. Несистематические риски возникают в отдельно взятой компании, их можно спрогнозировать и оценить своими силами. Систематические риски угрожают рынку в целом или отдельным сферам бизнеса. Предсказать их возникновение и оценить последствия могут только эксперты.
Виды систематических рисков:
- Политические — изменение политической ситуации в стране и мире.
- Природные риски. К ним относятся экологические катастрофы или стихийные бедствия.
- Юридические — сюда входит как несовершенство существующих законов, так и риск появления новых, способных создать дополнительные проблемы для бизнеса.
- Экономические — изменения в налоговой системе, санкции против государства, потери из-за нестабильности курсов валют и т. п.
Пример юридического риска
Из-за поправок в Жилищном кодексе с 1 октября 2019 года хостелы и гостиницы могут располагаться только в нежилых зданиях или в помещениях многоквартирных домов, имеющих статус нежилого фонда и соответствующих ряду дополнительных требований. Предпринимателям, хостел или гостиница которых до момента принятия поправок находились в жилом доме, пришлось перевести помещение в статус нежилого фонда, переехать в другое, а кому-то — и вовсе закрыть бизнес.
Виды несистематических рисков
1
Производственные
Могут быть связаны не только с производственными процессами, но и с управленческими, с невыполнением плана продаж или с сокращением объёмов производства.
2
Финансовые
Возникают из-за недополучения прибыли от проекта, неликвидности продукции и т. п.
3
Рыночные
Появляются из-за нестабильности ситуации на рынке, ценовой политики организации и появления новых конкурентов в нише.
Последствия несистематических рисков реально минимизировать грамотным менеджментом.
Пример производственного риска
Вы открываете завод по производству шлакоблоков. Можно выбрать:
а) уже готовое помещение и заказать для производственной линии оборудование у производителя с монтажом и настройкой;
б) место для строительства завода с нуля, заказать разное оборудование у нескольких поставщиков и установить его собственными силами.
В случае «б» несистематические риски намного выше: вы можете обсчитаться и нарушить нормы при строительстве, а оборудование — сломаться или потерять эффективность из-за неправильной установки, а то и вовсе оказаться несовместимым.
Методы оценки рисков
Способы оценки рисков на предприятии делят на количественные и качественные.
Использование количественных методик потребует специальных программ или помощи аналитиков. К ним относятся методы проверки устойчивости и метод имитационного моделирования, он же метод Монте-Карло. А для расчётов применяются статистические приложения, например SAS, — с модулями постобработки BASE, STAT и их аналогами.
Качественная оценка рисков
Качественными методами оценить риски можно и самостоятельно. В основе этой группы — сбор предполагаемых рисков компании, их описание и оценка без использования сложных формул и программ.
Метод экспертных оценок
К оценке и анализу рисков на предприятии привлекают независимого эксперта. Он изучает составленный руководителем или собственником список рисков или предлагает свой.
Метод рейтинговых оценок
Основан на самостоятельном или экспертном ранжировании уже имеющегося списка рисков по вероятности их возникновения или опасности последствий. Результат метода — заполненная таблица с рейтингом рисков.
Контрольные списки источников рисков
Метод базируется на разборе рисков, с которыми столкнулись в предыдущих проектах. Произошедшие инциденты, факторы рисков и убытки анализируются и вносятся в общую таблицу. Если заполнять такую таблицу по итогам каждого реализованного проекта, по ней можно будет проверять возможные риски будущих.
Метод аналогий
Разновидность контроля списков источников риска. Отличается тем, что предыдущий опыт не только исследуют, но выявляют с его помощью закономерности между процессами в разных проектах.
Главное
1
Есть систематические и несистематические риски. Первые касаются отрасли или рынка в целом, их нельзя предотвратить силами компании. Несистематические риски можно самостоятельно оценить и минимизировать.
1
Чтобы систематические риски не застали врасплох, следите за новостями своей отрасли, за политической и экономической ситуацией в стране. Или читайте отчёты и прогнозы экспертов, которым доверяете.
1
Не забывайте, что законодательство тоже может меняться. О важных нововведениях пишут все деловые издания.
1
Учитывайте несистематические риски: производственные, финансовые и рыночные. Проверяйте поставщиков и других контрагентов через госреестры. При закупках оценивайте фактическое качество товара, при производстве собственной продукции учитывайте отзывы потребителей и успехи конкурентов.
1
Для оценки рисков используйте количественные и качественные методы. С количественными, например методом Монте-Карло, помогут программы и специалисты-аналитики.
Управление рисками проекта
Риски проекта – это события, которые могут негативно повлиять на продукт или услугу: снизить эффективность, качество, способствовать расходам и т. д.
Рассмотрим, как выполнять управление рисками и какие моменты нужно учитывать, чтобы сделать работу компании более продуктивной.
Виды рисков
Различают известные и неизвестные риски:
- Для известных рисков возможно прогнозирование, их можно контролировать. Допустим, если планируется предлагать продукт в конкурентной нише, есть риск недостаточного спроса на товар или услугу.
- Для неизвестных рисков невозможно прогнозирование и контроль. Например, компания решает поставить новое оборудование не сегодня, а через неделю. Но за это время оно изменилось в цене из-за изменения экономической ситуации. Это неизвестный риск, который нельзя предугадать.
Зачем управлять рисками?
Управление рисками проекта необходимо для определения проблемных точек, их анализа и снижения эффекта от их воздействия. При грамотном подходе обеспечивается сохранение качества продукта независимо от внешних факторов.
Этапы управления рисками
Процесс управления рисками состоит из 6 стадий:
- Планирование
- Идентификация факторов риска
- Качественная оценка
- Количественная оценка
- Подготовка плана реакции
- Мониторинг и контроль
Рассмотрим эти стадии подробнее.
Планирование
Здесь осуществляется выбор стратегии управления.
Грамотное планирование подразумевает:
- Создание комфортной среды управления – налаживание отношений в команде
- Применение подготовленных шаблонов процессов управления
- Подготовка описательной части и плана управления рисками
Идентификация
Для определения рисков проводятся исследования, которые выполняются на основе факторов риска. Возможные риски указываются по очереди от самого большого к самому несущественному. Однако не все риски можно выявить в начале проекта. Поэтому обычно число возможных рисков становится больше во время работы.
Но управление рисками необходимо, так как делает работу над проектом более эффективной.
Качественная и количественная оценка
Качественная оценка – это анализ точек зрения специалистов на возможные риски с учетом факторов риска, свойственных для определенного проекта. Такая оценка обычно более глубокая, и нередко ее достаточно. Результаты качественного анализа:
- определение рисков и их сортировка;
- определение событий для дополнительного анализа;
- комплексная оценка рисков для проекта.
Оценки экспертов бывают двух видов: которые оценивают вероятность возникновения рисков, и которые оценивают их влияние. Для работы обычно используется матрица вероятности/воздействия рисков, которая делает анализ более эффективным.
При анализе матрицы угрозы делятся на три вида: несущественные, средние и недопустимые. С учетом этого подготавливаются мероприятия для исключения рисков или снижения эффекта от их воздействия.
Количественный анализ сложнее, и применяется не всегда. Для него важно качество применяемых данных. Такой анализ подразумевает внедрение сложных математических моделей, а специалист должен иметь необходимую квалификацию для проведения такого исследования. Количественный анализ более точный, но применяется в основном для сложных проектов. Он позволяет определить:
- вероятность, с которой может быть достигнута определенная цель;
- силу действия рисков на проект;
- события, на которых нужно сконцентрироваться, чтобы исключить угрозы;
- расходы, которые могут быть.
Для исследования обычно применяются такие методы:
- Вероятностный анализ. Изучается история других проектов, вероятность, с которой возникали в них определенные риски.
- Анализ чувствительности. Изучение действия основных характеристик экономической модели на результат для определения самых важных точек проекта, в которых могут быть риски.
- Имитационное прогнозирование – определенная модель, которая имитирует реальный проект, тестируется несколько раз.
Подготовка плана реакции
После определения рисков, нужно понять, как защитить о них проект или минимизировать их воздействие. Предусматриваются действия, которые в теории будут более эффективными для борьбы с определенными рисками. Главная их задача – сохранить работоспособность проекта.
Можно выделить четыре вида реакций:
- Уклонение. План корректируется, что позволяет защитить проект от рисков или снизить эффект от их действия. Допустим, можно изменить график или объемы работы, удалив несущественные модификации.
- Передача. Этот метод позволяет снизить расходы на работу с рисками. Например, подписывается соглашение в страховой или берется предоплата у заказчика.
- Снижение. Подготавливаются действия, которые снижают вероятность появления угроз. Допустим, при создании команды предусматриваются дублеры, которые могут заменить любого специалиста.
- Использование. Минусы можно превратить в плюсы. Например, для проекта берется тестировщик без опыта. Это риск, который может снизить качество продукта. Поэтому берем дублера – более опытного специалиста. Его услуги будут не нужны, если основной тестировщик выполнит работу.
Мониторинг и контроль
Эта стадия важна не меньше, чем другие. Постоянный мониторинг позволяет определять новые риски и контролировать угрозы, которые известны. Данная работа выполняется в течение всей подготовки продукта. Важно также понимать, что чем более подготовленным продукт является, тем сильнее на него могут воздействовать угрозы. Устранить или минимизировать их эффект в начале проекта легче.
Рисками занимается проектный менеджер, но он не может контролировать все угрозы. Поэтому желательно назначить для каждого риска своего специалиста. Затем проект-менеджеру нужно будет только контролировать их работу, а не заниматься самими рисками.
Сложно ли выполнять работу по управлению рисками?
Задача непростая и для нее важна определенная квалификация. Проектный менеджер, или директор по рискам – это специалист, который использует в работе специальные инструменты. Они упрощают анализ и определение рисков, улучшают качество оценки. При определенном опыте и применении подходящих средств анализа управле6ние рисками становится обычной задачей, которая выполняется при работе над проектом. Плюс, управление рисками может осуществлять не только проектный менеджер, но и специалисты в его команде. Иногда создаются рисковые команды, которые занимаются только этим.
Требуется ли управление рисками всем компаниям?
Если предприятие достаточно крупное и производит серьезный продукт, или просто компании важна стабильность, управление рисками необходимо. Обычно оно требуется для принятия управленческих решений. Без оценки угроз решения по развитию компании может быть неправильным. Поэтому оценивать угрозы необходимо всем компаниям. Другой вопрос – насколько качественно они выполняют эту работу. Здесь все зависит от размеров предприятия и его возможностей.
Идентификация опасностей и оценка рисков
Одной из отличительных особенностей системы управления охраной труда, которая соответствует требованиям национального стандарта СТБ 18001 является то, что указанная система базируется на процедуре идентификации опасностей и оценки рисков.
Что же понимается под идентификацией опасностей и оценкой рисков?
Обратимся к СТБ 18001. Согласно п.3.5 данного стандарта под идентификацией опасности понимается процедура установление наличия опасности и определение ее характеристик.
Согласно п.3.20 стандарта под оценкой рисков понимается процесс оценки величины риска и принятия решения, является ли он приемлемым с учетом осуществляемых мер управления.
Проанализировав эти термины можно сделать вывод, что работа по оценке рисков и определении мер управления должна начинаться с идентификации опасностей, выявив и описав опасности можно приступать непосредственно к оценке риска на тех рабочих местах, на которых уже были зафиксированы те или иные опасности. А оценив риск, необходимо обеспечить его ранжирование, т.е. упорядочение в зависимости от полученных значений. И далее, с учетом рангов (в данном случае используется ранжирование по типу: приемлемый/неприемлемый, а также низкий, средний и высокий риск) обеспечить разработку и реализацию тех или иных мероприятий, направленных на снижение значения риска и(или) на его полное устранение. На процессе идентификации опасностей и оценки рисков базируется процедура по установлению целей в области охраны труда и последующее формирование Программы управления охраной труда (в указанную программу должны включаться те мероприятия, которые необходимы для снижения рисков).
Иными словами, процесс идентификации опасностей и оценки рисков включает в себя следующие этапы:
- определение источников опасностей (опасные производственные объекты, виды производственной деятельности, продукция, услуги, профессии, оборудование, подрядные работы и др.);
- идентификацию опасностей;
- количественную оценку;
- определение приемлемости рисков;
- разработку мер (мероприятий) по управлению рисками;
- анализ эффективности разработанных мероприятий по управлению рисками.
С чего же можно начинать процедуру «поиска» потенциальных опасностей? Инженеру по охране труда в этом помогут следующие записи и документы:
- комплект ИОТ и другие локальные правовые акты по охране труда;
- журналы ежедневного, ежемесячного контроля;
- общие сведения о выпускаемой продукции и используемых технологиях, в т.ч. опасных веществах (технологические регламенты, технологические инструкции на выпускаемую продукцию, какое закупается сырье, реагенты и т.п.);
- различные перечни (опасных и потенциально опасных объектов, работ повышенной опасности и т.п.);
- предписания инженера по ОТ;
- информация об имевших место несчастных случаях, авариях и инцидентах (как в организации, так и в соответствующей отрасли);
- результаты последней аттестации рабочих мест, в т.ч. лабораторного контроля за условиями труда на рабочих местах и паспортизации санитарно-технического состояния условий и охраны труда;
- данные по результатам надзорной деятельности в области охраны труда, промышленной, пожарной безопасности, санитарии и экологии.
При идентификации опасностей необходимо рассматривать не только опасности и риски от деятельности, выполняемой своим персоналом, но и опасности, возникающие от деятельности подрядчиков и посетителей, а также от использования продукции и услуг, поставленных другими организациями.
Идентификация опасностей проводится для:
- всех профессий и должностей рабочих и служащих (согласно штатному расписанию организации);
- осуществляемого вида деятельности (в этом случае необходимо сначала определить перечень работ, входящих в осуществляемый вид деятельности). Идентификацию по этому критерию удобно проводить, оценивая опасности от деятельности сторонних организаций (подрядчиков, арендаторов) и посетителей.
По результатам идентификации опасностей для всех профессий рабочих и должностей служащих, согласно штатному расписанию, а также для определенных видов деятельности, формируется реестр опасностей организации (пример реестра опасностей здесь).
Далее необходимо оценить риски. Степень любого риска, вытекающего из выявленных опасностей, оценивается с учетом:
- имеющихся статистических данных по несчастным случаям, авариям (инцидентам), профессиональным заболеваниям как в самой организации, так и в отрасли;
- результатов аттестации рабочих мест, в т.ч. лабораторного контроля за условиями труда на рабочих местах, паспортизации;
- результатов проведенных мед.осмотров работникам и состояния их здоровья;
- анализа имеющихся данных по результатам технического обслуживания и выполнения графиков ППР оборудования и механизмов;
- интенсивности и частоты осуществляемой деятельности;
- логического метода анализа («дерево событий», «а что будет, если?» и другие);
- и т.п. данных.
Один из самых несложных методов оценки рисков, который используют многие организации, это т.н. «Метод оценки рисков по вероятности возникновения и серьезности последствий». Суть метода в следующем, величина риска (его количественное выражение) прямо пропорциональна вероятности его возникновения и тяжести (серьезности) последствий. Т.е. для определения величины риска необходимо оценить с какой вероятностью то или иное событие может произойти и каковы могут быть последствия. Для расчетов используется формула:
R = P x S,
где R – риск, балл;
P — вероятность возникновения опасности, балл;
S — серьезность последствий воздействия опасности, балл.
Значения P и S варьируются в диапазоне от 1 до 5, где 1 – наименьшая вероятность и наименьшая серьезность последствий, а 5 – наоборот, наибольшая.
Пример оценки рисков приведен ниже:
Чтобы оценить риск падения работника на входном лестничном марше в здание необходимо ответить на 2 вопроса: а какова вероятность этого события и каковы могут быть последствия. Для более объективной оценки вероятности и серьезности последствий используются имеющие данные по несчастным случаям, записи журналов ежедневного контроля и иные сведения. Так, если за последний год неоднократно были замечания по содержанию лестничных маршев и дорожек, а в статистике несчастных случаев есть похожие случаи по отрасли (или даже в самой организации), то в данном случае определить величину вероятности и серьезности последствий, а следовательно и риска, можно будет более приближенно к реальности.
От того насколько точно были определены риски зависит и актуальность последующих мер управления.
Также организации необходимо определиться, какие же риски она считает для себя неприемлемыми (по которым меры управления должны разрабатываться и внедряться в первую очередь и под жестким контролем выполнения). Можно установить, что риски:
- от 1 до 10 — низкого уровня опасности;
- от 11 до 15 — среднего уровня;
- от 16 до 25 – высокого уровня (неприемлемые).
Это и есть т.н. ранжирование рисков.
Результаты оценки рисков, проведенных согласно вышеуказанной методике, оформляются обычно в виде карт оценки рисков (пример карты оценки рисков здесь) с обязательным отражением в них:
- вида деятельности;
- идентифицированной опасности (в соответствии с реестром опасностей);
- дополнительных лиц, подвергающихся риску (подрядчик, посетитель, персонал);
- имеющейся системы контроля и реагирования;
- рекомендуемых действий;
- срока выполнения и ответственных лиц;
- результатов от применения мер управления (для неприемлемых рисков, где необходимы значительные меры управления).
Все идентифицированные риски подлежат управлению. При определении мер управления рисками (с целью снижения воздействия факторов опасностей) или при рассмотрении изменений существующих мер управления могут применяться следующие меры по сокращению рисков:
- устранение;
- замена;
- технические меры (разнообразные блокировочные и предохранительные устройства, ограждения и перила, противоскользящие поверхности для полов и ступеней, защитные средства электробезопасности (заземление, зануление и т.п.));
- предупреждение и/или административные меры управления (в том числе использование документированных процедур таких, как указания по безопасной эксплуатации машин, механизмов, технологических процессов, руководство по эксплуатации, инструкции на рабочих местах, технологические регламенты и карты технологических процессов, планы ликвидации инцидентов и аварий и т.п ; а также повышения уровня знаний персонала в области ОТ посредством обучения, переподготовки, проведения инструктажей, стажировок, тренировок и т.п).
- использование средств индивидуальной и коллективной защиты.
На основе ранжирования рисков устанавливаются цели в области ОТ, которые служат основой для составления Программ управления ОТ (Планов мероприятий по ОТ), направленных на обеспечение безопасных условий труда, профилактику производственного травматизма, повышение квалификации работников (п.4.3.3 СТБ 18001-2009). Данные действия могут также повлечь за собой актуализацию Политики руководства в области охраны труда (п.4.2 СТБ 18001-2009).
После выполнения разработанных мероприятий проводится повторная оценка рисков с учетом предпринятых действий и анализ эффективности мероприятий по управлению рисками.
Повторную оценку целесообразно проводить не реже 1 раза в год перед проведением процедуры анализа высшим руководством СУОТ (п.5.6 СТБ 18001-2009).
Оценка рисков организации
Систематические риски представляют собой угрозу для всего рынка или отдельной отрасли, спрогнозировать и предсказать такой риск может только эксперт-профессионал.
Несистематические риски — это риски, возникающие в конкретной компании, оценить и спрогнозировать их можно силами самой организации.
Систематические риски
Давайте разберемся с систематическими рисками подробнее.
1. Политические риски
К такому виду рисков относится изменение политической ситуации в стране и в мире. Данные риски влекут за собой изменения в условиях ведения бизнеса на той или иной территории, которое может повлечь за собой сокращение прибыли в компаниях.
Одним из популярных методов оценки политического риска является «метод экспертных оценок», который позволяет рассмотреть в деталях каждую конкретную ситуацию отдельно и оценить ее специфику, а следовательно, риски и их вероятность.
2. Природные риски
К данным рискам относится возможность наступления природных, климатических и иных чрезвычайных ситуаций, экологические катастрофы.
Вероятность некоторых природных рисков сложно оценить, например, разлив нефти в океане, а вот лесные пожары или наводнения вполне могут быть спрогнозированы специальными службами и приняты к сведению.
3. Юридические риски
К таким рискам относится несовершенство современного законодательства, появление противоречивых поправок к нормативно-правовым актам, ошибки в деятельности государственных органов и т. д.
Чтобы оценить юридический риск, нужно проанализировать правовое поле, в котором функционирует предприятие, определить и проранжировать возможные риски, связанные с правовым окружением компании.
К таким рискам отлично подходит метод рейтинговых оценок, в рамках которого эксперты или менеджеры компании самостоятельно ранжируют риски по вероятности их наступления и возможным результатам их последствий.
4. Терроризм и народные волнения
Не всегда предсказуемый риск с точки зрения анализа, ведь иногда даже в стабильных, экономически развитых странах происходят народные волнения или же вспыхивают террористические акты.
Анализ таких рисков может быть проведен на уровне соответствующих служб безопасности страны.
5. Экономические риски
Сегодня этот вид риска актуален как никогда, к нему относятся санкции, изменения в налоговом законодательстве, нестабильность курса валют и прочее. Предсказать некоторые экономические риски можно, например, изучая возможные поправки к налоговому и бюджетному кодексу, а вот спрогнозировать санкции или обвал валютного рынка крайне сложно.
Чаще всего российский бизнес сталкивается с экономическими рисками, волны экономических кризисов с определенной периодичностью накрывают российских предпринимателей. Компания «Ингосстрах» проанализировала все возможные систематические риски для бизнеса и частоту их наступления и готова предложить несколько выгодных вариантов страхования.
Чтобы минимизировать последствия рисков, с которыми может столкнуться современный бизнес, предприниматели могут оформить страхование имущества и гражданской ответственности арендаторов.
Компания «Ингосстрах» предлагает своим клиентам широкий выбор онлайн-продуктов для защиты имущества и ответственности, которые представители малого и среднего бизнеса могут оформить на сайте компании, даже не выходя из дома или офиса. Все условия можно узнать здесь.
Несистематические риски
Теперь поговорим о несистематических рисках.
1. Производственные риски
Обычно такие риски связаны как с самим производственным процессом (возможность отказа оборудования, создание брака на производстве, сложности в наладке и т. д.), так и с управленческими решениями, которые принимаются относительно организации производственного процесса.
Также к таким рискам можно отнести срыв плана продаж, сокращение объема производства.
2. Финансовые риски
Связаны с финансовой составляющей предприятия. К ним можно отнести:
- появление кассового разрыва (риск ликвидности);
- увеличение кредиторской или дебиторской задолженности;
- риск дефолта контрагентов (кредитный риск);
- снижение прибыли вследствие неликвидной продукции или увеличения затрат в следствие неадекватных или ошибочных внутренних процессов (операционный риск).
Анализ финансовых рисков лежит в плоскости деятельности финансового менеджмента и управленческого персонала. Управлять такими рисками можно на основе формирования оперативной финансовой отчетности, расчета показателей (ковенант) и принятия своевременных управленческих решений.
3. Рыночные риски
Рыночные риски могут возникать из-за изменившейся рыночной ситуации, появлению новых конкурентов или изменению ценовой политики в отрасли. Анализировать такие риски необходимо совместно с отделом маркетинга и стратегического планирования, которые контролируют всю рыночную ситуацию и обязаны реагировать на любые изменения.
4. Имущественные риски
Если вы сдаете имущество в аренду, то вы подвергаете свою компанию риску, ведь вашему имуществу может быть причинен ущерб по вине недобросовестных арендаторов. Или наоборот — вы арендатор и переживаете, чтобы все имущество сохранилось в целости и сохранности.
Чтобы избежать имущественных рисков можно разработать систему защиты имущества предприятия или просто застраховать его.
5. Нанесение вреда жизни и здоровью третьих лиц
Риск несчастного случая на производстве или причинения вреда здоровью третьих лиц вследствие эксплуатации оборудования или оказания услуги.
Например, на строительных объектах такой риск наиболее вероятен, нежели в офисном помещении, хотя и там его полностью исключать нельзя.
Тем не менее, предсказать несистематические риски тяжело — поэтому обезопасить себя можно, оформив полис страхования. Наиболее часто встречаются несистематические риски, такие как угроза жизни или здоровью третьих лиц, имущественные и производственные риски.
Застраховать ответственность перед третьими лицами можно в СПАО «Ингосстрах», сотрудники которой подберут для вас наиболее оптимальный страховой продукт, который защитит вашу профессиональную деятельность.