Цель ранжирования должностей по степени риска управления бизнес процессами

Дмитрий Могилко

Бизнес-архитектор

Эксперт-консультант ВЭШ СПГЭУ

Асессор по модели EFQM

Партнёр ГК «Современные технологии управления» (г. Санкт-Петербург)

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

  1. Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
    • внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
    • внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
  2. Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
  3. Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
  4. Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
    Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:

    • природный;
    • биосоциальный;
    • техногенный;
    • экологический;
    • профессиональный;
    • информационный;
    • экономический;
    • террористический;
    • кибернетический;
    • иной [6].
  5. Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
    • идентификатор;
    • наименование и описание, в том числе:
      ○  источник опасного события;
      ○  объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
      ○  последствия опасного события [3];
    • этап жизненного цикла продукции (услуги) при возникновении опасного события;
    • возможные последствия;
    • необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].

    В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

    • идентифицированные опасные события (инциденты — центральные узлы диаграммы);
    • источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
    • установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).

    Рис. 2. Диаграмма «галстук-бабочка»

  6. Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

    Таблица 1. Реестр риска (упрощенная форма)

    Идентифи­катор опасного события Наименование и описание опасного события Ответствен­ный менеджер по риску Последствия опасного события (I) Вероятность опасного события (L) Оценка риска (I × L) Мероприя­тия по обработке риска Срок выполнения мероприятий по обработке риска Примечания
    План Факт
                       
                       
  7. Следующим за идентификацией этапом процесса управления риском является анализ его природы и уровня. При анализе риска определяются:
    • источники данных;
    • средства контроля;
    • методы анализа;
    • последствия реализации опасного события;
    • вероятность наступления опасного события;
    • оценка уровня риска [6].

    Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

    • шкала последствий (табл. 2);
    • шкала вероятности (табл. 3).
    Таблица 2. Шкала оценивания последствий опасного события

    Последствие (I),
    баллы
    Описание
    последствий
    Объекты воздействия опасного события
    5 Катастрофические последствия Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура
    4 Значительные последствия Люди, экономика, инфраструктура, окружающая среда, социальная среда
    3 Умеренные последствия Люди, экономика, инфраструктура
    2 Небольшие последствия Экономика, инфраструктура
    1 Малозначительные последствия Социальная среда

    Примечание: объекты воздействия опасного события приведены для примера.

    Таблица 3. Шкала оценивания вероятности наступления опасного события

    Оценка вероятности,
    %
    Качественная оценка вероятности, баллы
    Очень высокая — 81–100 Очень высокая — 5
    Высокая — 61–80 Высокая — 4
    Средняя — 21–60 Средняя — 3
    Низкая — 1–20 Низкая — 2
    Очень низкая — менее 1 Очень низкая — 1

    Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

    Таблица 4. Матрица риска, ранги

    Качественная оценка вероятности опасного события Последствия
    Малозначительные (1) Небольшие (2) Умеренные (3) Значительные (4) Катастрофические (5)
    Очень низкая (1) 1 2 3 4 5
    Низкая (2) 2 4 6 8 10
    Средняя (3) 3 6 9 12 15
    Высокая (4) 4 8 12 16 20
    Очень высокая (5) 5 10 15 20 25
  8. Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

    • определение критериев приемлемости риска;
    • сопоставление оценки риска с критериями приемлемости;
    • заключение о приемлемости риска и необходимости его обработки [6].

    По результатам анализа определяется уровень риска в следующих интервалах:

    • ранг 0 — риск отсутствует, никакие действия не предпринимаются;
    • 0–4 — риск низкий, предпринимаются низкозатратные действия;
    • 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
    • 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
    • 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].
  9. После оценки риска наступает этап его обработки / модификации посредством:

    • избежания, т. е. отказа от деятельности;
    • принятия;
    • устранения источника риска;
    • изменения его вероятности;
    • изменения его последствий;
    • разделения риска с другой стороной [2].

    Обработка риска включает следующие этапы:

    • определение целей обработки риска;
    • определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
    • разработка и осуществление плана обработки риска [3].
  10. Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

    • измеряться в процентах, представлять собой число (номер) или соотношение;
    • определяться сопоставимыми значениями за определенный промежуток времени;
    • иметь базовые значения;
    • иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].

Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

  • соблюдать принципы менеджмента риска;
  • нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
  • формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].

Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

  • знание политики, стратегии и целей организации в области менеджмента риска;
  • понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
  • знание процессов и специфики работы организации;
  • знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
  • знание и правильное использование терминов менеджмента риска;
  • знание карты этого процесса;
  • знания в области применения реестра риска.

Основные требования к навыкам менеджеров по риску включают способности:

  1. Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
  2. Применять критерии допустимого риска организации.
  3. Задействовать методы оценки риска.
  4. Использовать методы разработки и ведения реестра риска.
  5. Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
  6. Использовать методы анализа менеджмента риска и управления документацией в этой области.
  7. Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
  8. Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
    • перечень опасных событий, связанный с ними риск и способы обработки;
    • оценку эффективности мер по обработке ключевых видов рисков;
    • произошедшие изменения за отчетный период;
    • необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
    • предполагаемую причину неэффективности мероприятий по обработке риска;
    • необходимые действия для выполнения мероприятий по обработке риска;
    • меры повышения эффективности риск-менеджмента [6].
  9. Обеспечивать понимание риска персоналом организации.
  10. Согласовывать процесс риск-менеджмента с общей системой процессов организации.
  11. Внедрять решения, принятые по результатам оценки риска.
  12. Поддерживать и постоянно улучшать систему риск-менеджмента.

Оценка риска осуществляется группой, включающей следующие роли:

  • владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
  • руководитель группы — управляет выполнением оценки риска;
  • эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
  • помощник — оказывает помощь при оценке риска, организует совещания по ней;
  • участник — активно участвует в процессе оценки риска [3].

Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

  • цель: постоянное определение, анализ, обработка и мониторинг рисков;
  • выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
  • виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.

В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

Рис. 3. IDEF0-модель процесса менеджмента риска

Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

Таблица 5. Основные параметры паспорта риска

Параметр Требования и рекомендации
1

Код регистрации (в реестре) и название риска (опасного события)

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].

2

Тип риска (внешний или внутренний)

При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].

3

Вид риска (экономический, технический, социальный, экологический)

Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].

4

Владелец риска (ответственный за менеджмент риска)

  • Владелец риска — лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками [2].
  • Ответственность за менеджмент риска, в том числе за его контроль и мониторинг, должна быть возложена на ответственного менеджера по риску или группу менеджмента риска [7].
5

Риск-менеджеры (эксперты по оценке риска)

  • Для идентификации рисков необходимо привлекать людей, обладающих соответствующими знаниями [2].
  • Высшее руководство должно назначить во всех подразделениях организации квалифицированный персонал, ответственный за внедрение результатов анализа и оценки риска [5].
6

Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:

  • организация в целом, ее структурное подразделение или его часть;
  • продукция, услуга, процесс или вид деятельности;
  • персонал или отдельные работники [7].
7

Заинтересованные (причастные) стороны, подверженные риску

  • При выборе вариантов воздействия на риск организация должна рассматривать значения и восприятие заинтересованных сторон и наиболее подходящие способы обмена информации с ними [2].
  • Основные заинтересованные стороны должны быть привлечены к работе по установлению целей и области применения оценки риска, а в дальнейшем — в группу оценки риска для обеспечения объективности выводов [3].
8

Источник и условия возникновения риска (опасного события)

Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].

9

Уровень (балл) последствий воздействия риска (опасного события)

  • При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств [2].
  • Группа оценки риска должна внимательно проанализировать весь диапазон последствий для каждого опасного события, при этом необходимо использовать таблицу последствий. Каждый вид последствий должен быть зарегистрирован в реестре риска [3].
10

Уровень (балл) вероятности возникновения опасного события

После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].

11

Оценка уровня (ранга) риска

Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].

12

Решение о необходимости обработки риска

  • Оценивание риска включает сравнение уровня риска, выявленного в процессе анализа, с установленными критериями риска во время рассмотрения ситуации (контекста) [2].
  • Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при ее выполнении [7].
13

Мероприятия по обработке риска (снижению вероятности и/или последствий)

Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:

  • детальное обоснование причин для выбора метода обработки риска;
  • ожидаемые преимущества выбранного метода обработки риска;
  • предлагаемые действия;
  • необходимые ресурсы;
  • распределение ответственности и полномочий;
  • календарный план выполнения работ;
  • критерии качества работы;
  • требования к обмену информацией и мониторингу [3].
14

Ответственный за обработку риска

Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:

  • менеджеров по риску, если в качестве стратегии снижения риска выбраны его устранение, снижение или оптимизация;
  • ответственную сторону, если в качестве стратегии снижения риска выбрана его передача;
  • ответственного, наделенного полномочиями принятия риска, если оно выбрано в качестве стратегии снижения риска [6].
15

Срок выполнения мероприятий по обработке риска

Этапы обработки риска включают в себя:

  • выбор стратегии обработки риска;
  • оценку последствий, вероятности опасного события и риска после применения выбранной стратегии обработки;
  • идентификацию мероприятий по обработке риска;
  • определение сроков выполнения мероприятий по обработке риска;
  • определение ответственных за выполнение мероприятий;
  • оценку результатов обработки риска [6].
16

Индикаторы мониторинга риска

  • Должна быть четко определена ответственность за проведение мониторинга и пересмотра рисков. Процессы мониторинга и пересмотра, осуществляемые организацией, должны затрагивать все аспекты процесса риск-менеджмента. Результаты мониторинга и пересмотра должны быть документированы [2].
  • Организация должна обеспечивать непрерывность процесса менеджмента риска, по этому необходимо проводить регулярный мониторинг всех его видов и пересмотр записей в реестре [7].
  • Для повышения эффективности контрольных процедур с помощью ключевых индикаторов риска необходимо:
    ○  выбрать индикаторы для каждого значимого риска;
    ○  определить интервалы значений индикаторов, соответствующие приемлемому риску, высокому риску и т. п.;
    ○  документировать проведение мониторинга индикаторов и предоставления соответствующей отчетности руководству [9].
  • Все организации должны иметь перечень индикаторов риска, которые видоизменяются с течением времени. Перечень индикаторов должен подвергаться периодическому анализу и пересмотру [9].
  • Службы внутреннего контроля и аудита должны с определенной периодичностью производить проверки ключевых индикаторов риска на своевременность предоставления, достоверность данных, актуальность [9].
  • Отчет должен содержать и структурировать следующую информацию:
    ○  источник информации для каждого индикатора;
    ○  лицо, ответственное за предоставление данных;
    ○  частоту обновления данных;
    ○  планирование, сроки и время исполнения [9].

17

Сведения о результативности и эффективности обработки риска (оценка и опыт)

  • В реестр риска включают также оценку выполнения мероприятий по обработке риска [6].
  • В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:
    ○  реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска;
    ○  карту риска, которая отражает динамику изменения состояния защищенности организации во времени;
    ○  панель риска, содержащую информацию о ключевых индикаторах риска и динамике их изменения во времени;
    ○  отчеты о выполнении планов обработки риска;
    ○  аналитическое заключение о защищенности организации — детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба [9].

18

Направления улучшения инфраструктуры риск-менеджмента

  • Организациям рекомендуется разрабатывать, внедрять и постоянно улучшать инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру [2].
  • В рамках системы менеджмента риска необходимо установить систему отчетности об оценке риска, эффективности средств контроля и методов управления и мероприятий по обработке риска [5].
19

Периодичность актуализации оценки риска (реестра риска)

  • Процесс менеджмента риска должен быть непрерывным, поэтому менеджерам по риску следует проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре, направленный на обеспечение достижения целей организации и выполнения установленных требований к риску. Для этого необходимы:
    ○  проведение регулярного анализа каждого риска, направленного на оценку полноты и правильности соответствующих описаний и расчетов, их соответствия существующим угрозам, последствиям, оценкам вероятности их появления, выбранной стратегии менеджмента риска и достаточности мер, направленных на снижение риска;
    ○  идентификация ключевых видов риска ответственным за менеджмент риска организации и обмен информацией о них с причастными сторонами;
    ○  актуализация мероприятий, направленных на снижение риска [6].
  • Анализ и пересмотр реестра риска следует проводить не реже одного раза в год. Периодичность анализа и пересмотра реестра риска устанавливает высшее руководство организации. Анализ и пересмотр реестра должны включать в себя обсуждение проблем, связанных с новыми видами идентифицированного риска и исключением из реестра риска устаревшей информации [6].
20

Дата актуализации сведений о риске (в реестре)

Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:

  • названия параметров риска указываются в поле «Раздел» атрибутов документа;
  • содержание (значение) параметров риска заносится в поле «Комментарий» атрибутов документа;
  • Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

  • требования к параметрам риска указываются в поле «Комментарий» раздела атрибутов объекта (рис. 5).
  • Рис. 5. Карточка раздела документа

Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

Рис. 7. Отчет «Паспорт риска»

Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

  1. Лист «Матрица рисков» (рис. 8):
    • средневзвешенный уровень рисков организации (например, 10,25);
    • матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
    • список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.
  2. Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

  3. Лист «Риски» (рис. 9):
    • ранг уровня риска (например, 12);
    • сведения (содержание) о параметрах риска;
    • параметры риска (ссылки).
  4. Рис. 9. Лист «Риски» Excel-отчета по мониторингу

  5. Лист «Требования» (рис. 10):
    • наименование раздела (нормативно-справочного) документа;
    • требования и рекомендации стандартов для параметра риска.
  6. Рис. 10. Лист «Требования» Excel-отчета по мониторингу

Для удобства навигации отчет содержит необходимые автоматические ссылки.

ВЫВОДЫ

Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.

Источники информации:

  1. ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования».
  2. ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».
  3. ГОСТ Р 51901.23–2012 «Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска».
  4. Р 50.1.068–2009 «Менеджмент риска. Рекомендации по внедрению. Часть 1: Определение области применения».
  5. ГОСТ Р 51901.21–2012 «Менеджмент риска. Реестр риска. Общие положения».
  6. ГОСТ Р 51901.22–2012 «Менеджмент риска. Реестр риска. Правила построения».
  7. Р 50.1.084–2012 «Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации».
  8. ГОСТ Р ИСО/МЭК 30010–2011 «Менеджмент риска. Методы оценки риска».
  9. Р 50.1.090–2014 «Менеджмент риска. Ключевые индикаторы риска».
  10. ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств».
  11. Создание пользовательских отчетов.

Опубликовано по материалам:
«Менеджмент качества», 03/2019.

Октябрь 2019 г.

Рекомендуемые материалы по тематике

Конференция «Системная практика управления бизнес-процессами»: вопросы и ответы. Часть 1.

Собственник имеет право быть некомпетентным — интервью с Дмитрием Хлебниковым в проекте «Управление из первых рук»

Процедура БП

Методика разработки стратегии и системы BSC-KPI банка. Версия 2.0

Что такое управление бизнес-процессами

Управление бизнес-процессами — систематический подход к управлению. Его цель в постоянном улучшении деятельности организации и ее процессов. Компания глубоко изучает свои процессы, анализирует их для регулярного совершенствования.

— Под бизнес-процессами понимаются не только производственные циклы изготовления продукции, но и вспомогательные процессы обслуживания бизнеса, которые влияют на конечный результат. Исходя из этого, практически все процессы в компании можно отнести к бизнес-процессам, — объясняет доцент Института финансов и устойчивого развития РАНХиГС Олег Филиппов.

Главная цель бизнеса — прибыль. К ней есть определенный путь, порой не один. Какой из них оптимальный? Определение ключевых точек на этом пути, способов достижения и методов контроля и есть управление.

— Если упрощенно, бизнес-процесс из «Джентльменов удачи»: «Украл-выпил-в тюрьму». Не самая удачная стратегия! Поэтому настоящие предприниматели используют другие последовательности. Например, простейшая «купил там-привез сюда-продал». Или не менее понятная, но затратная по времени «вспахал-посеял-обработал-собрал урожай-продал». Анализировать, каким бизнесом заниматься, оценивать затраты времени и ресурсов, просчитывать риски неудачи — это уже управление, — объясняет разработчик методических инструкций и стандартов системы менеджмента качества по ISO Дмитрий Бочаров.

Структура управления бизнес-процессами

Все бизнес-процессы можно разделить на три группы.

1. Процессы управления. Они необходимы для планирования, анализа, диагностики деятельности. За счет эффективных процессов управления можно гарантировать достижение производственных целей, связанных с получением ценностей для конечного потребителя.

К таким процессам относят планирование и бюджетирование, анализ финансово-экономического состояния, постановку оптимальных целей, внедрение KPI(ключевые показатели эффективности) и BSC(сбалансированная система показателей).

2. Производственные процессы. Основные процессы, в результате которых компания производит продукцию, выполняет работы и оказывает услуги. Это не только изготовление продукции производственными предприятиями, но и учебные программы в вузах, и транспортные услуги логистических компаний, приготовление блюд в ресторанах и т. д.

3. Обеспечивающие процессы. Вспомогательные, но необходимые для нормального функционирования производственных процессов. Они создают необходимую инфраструктуру для работы производственных подразделений. Это процессы юридического сопровождения, бухгалтерского оформления, подбор и управление персоналом, ремонты производственного оборудования и т.д.

— Управление бизнес-процессами в любой организации будет отличаться в зависимости от типа компании и индустрии. В различных направлениях и подразделениях существуют собственные процессы: в финансовых операциях, цепочках поставок, юридических аспектах деятельности, управлении персоналом, маркетинге и продажах и др. Процессы будут отличаться от рынка к рынку, поэтому система и структура управления тоже разная, — говорит генеральный директор «3М» по России и СНГ Матс Фриберг.

Цели управления бизнес-процессами

— Основная цель внедрения практики управления процессами — подготовиться к изменениям рынка, чтобы быстрее других адаптироваться к новым условиям и обеспечить стабильность и рост бизнеса, — считает управляющий директор «Mail.ru Цифровые технологии» Павел Гонтарев.

Достижение цели невозможно без:

  • внедрения новых процессов и осознания их влияния на бизнес;
  • перераспределения ресурсов;
  • адаптации старых, но необходимых процессов к новым условиям;
  • «освобождения» от ненужных, устаревших, формальных процессов.

— Управление бизнес-процессами предприятия отвечает на вопросы где, когда, зачем, как и какая работа выполняется и кто отвечает за ее выполнение. Все процессы в компании разделены на составляющие части, и за каждую операцию есть ответственный, — рассказывает доцент Института финансов и устойчивого развития РАНХиГС Олег Филиппов.

Основная цель управления бизнес-процессами — приведение процессов предприятия к возможности достижения стратегических целей организации. Каждый процесс должен быть настроен так, чтобы его результаты приводили не только к частному результату, но и к синергетическому эффекту (слияния в единое целое) по компании.

Управление бизнес-процессами также подразумевает дробление стратегических целей компании на более низкие уровни управления и исполнения. Это необходимо для чувствительности и адаптации компании к изменениям.

Как открыть интернет-магазин с нуля

Бизнес в интернете подойдет и для новичков и для бизнесменов со стажем имеющим уже значительный опыт.

Подробнее

Дмитрий Бочаров приводит анекдотичный пример. Жена посылает программиста в магазин: «Купи батон хлеба, если будут яйца — возьми десяток». Муж возвращается из магазина с десятью батонами. «Ты зачем столько хлеба купил?» — «Так ведь яйца были».

— В примере перед исполнителем устно поставлена неформальная задача, с которой он не справился. В этом проблема и небольших компаний: задача не понята или понята не так, а то и вовсе забыта. В итоге неоправданные расходы или убытки. В крупной компании для этого существуют информационные системы, бизнес-аналитики, которые формализуют типовые процессы в системе, предлагая руководству исполнителей, способы и условия выполнения и решают возникающие проблемы. Бизнес-процесс по сути инструкция, которая отвечает на вопросы кто, что, когда, где и каким образом должен сделать. Но такие инструкции нужно придумать, то есть спроектировать и привести в вид, понятный не только людям, но и программам, — отмечает Бочаров.

Методы управления бизнес-процессами

Управление бизнес-процессами предприятия включает три основные методологии.

Оценка эффективности помогает их совершенствовать. Предполагает стабильное постепенное улучшение существующих процессов. Как правило, компания узко сосредотачивается на определенном аспекте процессов и предполагает непрерывное повторение действий по их улучшению.

Трансформации бизнес-процессов или реинжиниринг. Радикальное изменение бизнеса для значительного сокращения затрат, улучшения качества, уровня обслуживания и т. д. Очень часто эту методологию используют при антикризисном управлении, когда нужно принципиально изменить бизнес-модель.

Оценки зрелости управления бизнес-процессами. Позволяют оценить корпоративное управление бизнес-процессами. Оно предполагает связь результатов управления бизнес-процессов с достижениями стратегических целей компании. При этом особенно важно учитывать стадию развития компании и отрасли.

В организациях используются прикладное моделирование бизнес-процессов. Большинство реализованы в виде программного обеспечения. Оно позволяет осуществлять поддержку бизнес-процессов или проводить их анализ. Вот наиболее популярные методы управления бизнес-процессами. Каждый из них довольно обширен и применяет свою методологию. Для знакомства с принципами каждой требуется не один день.

  • Flow Chart Diagram или диаграмма потока работ.
  • Data Flow Diagram или диаграмма потока данных.
  • Role Activity Diagram или диаграмма ролей.
  • IDEF0.
  • IDEF3 .
  • Цветные сети Петри .
  • Unified Modeling Language или UML.

Оптимизация управления бизнес-процессами

Если цель бизнеса — прибыль, то цель оптимизации процессов управления — снижение издержек. Результат работы бизнес-аналитика не просто квадратики, соединенные стрелочками и цифры, которые нужно достичь каждому для общего успеха, но и избавление человека от рутины, автоматизация простейшей работы, а где-то замена дорогостоящих профессионалов машинами.

— Если раньше бытовала практика бумажного согласования документов внутри компаний и между ними, то теперь многие уходят в электронный документооборот. Оптимизация управления системой внедренных бизнес-процессов неизбежно приведет к выбору готового программного решения или придется заказывать его у программистов специально для ваших задач, — объясняет Дмитрий Бочаров.

Наиболее эффективный инструмент оптимизации бизнес-процессов сегодня — применение IT-решений, которые обеспечивают автоматизацию всех или почти всех элементов деятельности компании.

— Одним из важнейших условий грамотной оптимизации считается четкое взаимодействие бизнеса с IT-подразделением. При его отсутствии постоянные уточнения, правки и согласования могут помешать даже самым простым изменениям. Ключевая задача, с которой сталкивается организация при оптимизации процессов, — преодоление пути от точки «почти неуправляемая деятельность» до «мы в состоянии спрогнозировать последствия любых действий внутри компании», — поясняет Павел Гонтарев.

— В первую очередь, необходимо выбрать применяемую методологию управления бизнес-процессами. Цель оптимизации — совершенствование либо отдельных элементов(методология оценки эффективности бизнес-процессов), либо всей бизнес-модели(методология реинжиниринга или оценки зрелости управления бизнес-процессами), — говорит Олег Филиппов.

При локальной оптимизации не следует использовать дополнительные источники финансирования. Разным подразделениям компании ставится конкретная цель для оптимизации. Например, улучшение качество обслуживания клиентов, ускорение юридического и бухгалтерского оформления и т. д.

Фундаментальная оптимизация бизнес-процессов может повлечь за собой серьезное изменение отдельных подразделений либо компании в целом. К примеру, в случае изменения продуктовой линейки либо антикризисного управления.

— До определенного уровня развития предприятие может обходиться без оптимизации. Но есть сигналы, которые говорят, что пора заняться бизнес-процессами. Это увеличение числа сотрудников или подразделений, уровней менеджмента, неразвитость или вовсе отсутсвие единой информационной системы, — объясняет члена стратегического совета по инвестициям в новые индустрии при Минпромторге России, генерального директора представительства компании Mankiewicz в России и странах СНГ Владимир Трофименко.

Провести оптимизацию можно по определенным критериям. Для бизнес-процессов такими критериями являются стоимость, продолжительность, количество транзакций и прочее.

— Со временем любые оптимизированные бизнес-процессы потребуют корректировки или замены. С одной стороны, бизнес-процессы должны соответствовать реальности, а с другой – не мешать нормальному развитию предприятия. Поэтому они нуждаются в своевременной модификации, — объяснил Трофименко.

Первый шаг к оптимизации бизнес-процессов – это их изучение и глубинное понимание.

— Распространенное заблуждение заключается в том, что большинство процессов уже описаны в должностных инструкциях и регламентах, и сотрудники их более-менее соблюдают. Но если посмотреть на любой процесс внутри крупной организации – от работы колл-центра до закупочных процедур, то окажется, что, во-первых, многое происходит не так и не в том порядке, как описано в правилах, а во-вторых, занимает больше времени, чем должно бы, — говорит генеральный директор ABBYY Россия Дмитрий Шушкин.

Хорошо разобраться в том, что на самом деле происходит в компании, можно тремя способами: глубинные интервью сотрудников, привлечение экспертов из консалтинговых компаний и анализ в реальном времени с помощью интеллектуальных платформ. Первые два способа требуют значительных временных и финансовых затрат. Кроме того, в своей оценке процесса сотрудники могут быть не совсем объективны.

Популярные вопросы и ответы

Что входит в зону ответственности управления бизнес-процессами предприятия?

— Выбор объектов управления бизнес-процессов, подбор методик оптимизации, контроль за исполнением. Важной составляющей является планирование и анализ внедренных этапов бизнес-процессов. Регулярный контроль и совершенствование подходов в управлении бизнес-процессов могут привести к оптимизации работы компании в целом. Управление берет на себя ответственность за внедрение процессов оптимизации и результатов деятельности, — отвечает доцент Института финансов и устойчивого развития РАНХиГС Олег Филиппов.

Что означает аббревиатуре BPMN?

Это система условных обозначений или ее еще называют нотация. Очень распространена. Нужна для описания и моделирования бизнес-процессов. Нотация BPMN понятна как представителям бизнеса, так и программам, работающим с бизнес-моделями. Это стандартный язык, позволяющий связать управление бизнесом и создание исполняемых алгоритмов.

Какие можно выделить этапы управления бизнес-процессами?

Отвечает Дмитрий Бочаров.

1. В начале создания компании собственник или лица, которым он поручает руководить, формируют стратегическую основу – оргструктуру компании и распорядительную документацию для формирования отношений между службами и отделами. Так определяются основные процессы — закупки, производство, сбыт, подготовка кадров, их руководители и исполнители.

2. Сформировав матрицу ответственности, переходят на уровень управления документами. Организационно-распорядительная документация во многом регламентируется законодательными актами, но и внутренние регламенты могут определять еще массу местных специфических документов.

3. Далее возможны варианты: инициатива сверху или снизу. Педант продумает все заранее, приобретет необходимое оборудование и софт, а затем будет строго спрашивать. Но не всегда у руководства в такой момент появляется понимание кем, как и что будет делаться на практике. Иногда компетенций руководства недостаточно для определения способов выполнения задач. Порой начальство говорит: «Давай ввяжемся в драку, а там посмотрим». Со временем формируется некоторая практика, когда исполнитель начинает задумываться, как бы упростить задачи или автоматизировать их.

3.1. При «инициативе снизу» у компании возникают «очаги автоматизации» — порой не совместимые между собой программные решения для оптимизации конкретного бизнес-процесса. В конечном итоге грамотный управленец приходят к необходимости унификации на какой-то общей платформе для нужд всех исполнителей, а не очень грамотный будет мучить сотрудников переработками.

4. Далее идет этап проектирования такой бизнес-системы. Начинается с описания потребностей каждого исполнителя, его видения задач. В такие периоды иногда происходит выявление противоречий между подразделениями или исполнителями. Иногда кто-то не хочет делать то что обязан, попросту саботирует задачи, иногда напротив – люди занимаются не своим делом.

5. Для моделирования бизнес-процессов применяется специализированное программное обеспечение. От бесплатных онлайн-сервисов до внутрисетевых решений от гигантов индустрии.

6. После внедрения система обычно претерпевает несколько итераций. Например, выясняется, что некоторые согласования, имевшие место на бумажных носителях, не добавляют процессу ценности, а лишь замедляют его.

По просьбе «КП» о поэтапном внедрении BPM, также рассказал доцент РАНХиГС Олег Филиппов. Самым распространенным считается цикл DMAIC — первый буквы аббревиатуры с английского переводятся как «определение, измерение, анализ, совершенствование, контроль». Он выделяет следующие этапы совершенствования процесса.

Определение. Сначала выделить и описать бизнес-процесс с учетом всех составляющих: документов, исполнители, ресурсы и др.
Измерение. Сбор данных — время на выполнение функций процесса, его себестоимость и т. д.
Анализ. Показатели эффективности процесса просчитывают и сравнивают плановые и фактические значения. Затем определяются с направлением, в котором стоит совершенствоваться.
Улучшение. На этом этапе совершенствуются необходимые изменения параметров процесса, которые были проанализированы на прошлом этапе.
Контроль. Проверка изменений, которые были введены на по итогам прошлых этапов. Если результата не добились, то цикл повторяется снова.

Плюсы и минусы BPM?

Ключевыми плюсами внедрения управления бизнес-процессами являются:

• повышение прозрачности бизнеса для собственников;
• повышение эффективности управления за счет возможности контроля работы сотрудников компании;
• снижение затрат в результате смены или ухода ключевых менеджеров
• создание системы, обеспечивающей понимание всех сотрудников компании;
• согласованное взаимодействие структурных подразделений;
• ответственность структурных подразделений и выявление зон безответственности;
• создание предпосылок для внедрения систем KPI и BSC;
• создание предпосылок для фундаментальной автоматизации деятельности компании;
• возможность распространение методики BPMна все компании холдинга и дочерних структур.

Минусы при внедрении BPM:

• временные и материальные затраты на внедрение и регламентацию;
• стандартизация подходов BPM может привести к снижению креативности и инициативы сотрудников;
• вероятность изменения состава персонала компании в связи с несогласием части сотрудников относительно внедрения BPM;
• снижение гибкости в принятии решений в операционной деятельности в силу новых регламентов, в результате — отток части персонала или клиентов;
• дополнительная нагрузка по работе персонала, которая обязательно должна быть оплачена. В случае неоплаты — демотивация;
• возможность утечки информации в силу ее структурированности и наличия баз данных.

В чем различия функционального и процессного моделирования?

— Основная разница — на какой основе мы строим решение задачи. Если во главу угла ставится достижение результата, которое может в себя включать не оптимальные шаги, работы и нестандартные решения, то это функциональный подход. Он направлен больше на решение задач, связанных с клиентами. Если в приоритете ставится процесс или стандартизация – это процессный подход, который обычно используется, когда есть жесткие рамки законодательства либо ограничения, в которых происходит работа. Процессный больше подходит в режиме ограниченных ресурсов и большой массы клиентов или запросов, — пояснил Матс Фриберг.

Подойти к управлению бизнес-процессами можно отталкиваясь от двух моделей – функциональной и процессной. Вторая стала популярной в 70-х годах прошлого века, когда люди были в большинстве многофункциональны.

— При ориентации на клиента продавец управлял всеми этапами воронки продаж, и ему хватало собственной экспертизы. С индустриализацией мир стал активно меняться, и специалисты стали придавать больше значения отдельным этапам. Поэтому постепенно бизнес стал смещаться в сторону функционального подхода, чтобы «каждый занимался своим делом». Теперь управлением этапами тех же продаж занимается не один человек, а целый отдел, где есть продавцы, сидящие на телефоне, маркетологи, занимающиеся продвижением продукта в интернете, таргетологи, контент-менеджеры, емейл-маркетологи и т.д., — говорит Петр Зайченко.

Для получения сложного и качественного продукта нужны специалисты, которые будут глубоко погружаться в процесс и управлять им, в этом и заключается функциональный подход. Если же продукт не слишком сложный, и больше важна ориентация на клиентов, то подойдет процессный подход. Он чаще всего используется в сфере услуг, где крайне необходимо установить контакт с потребителем.

Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.

Управление рисками организации: основные направления

Процессы управления рисками охватывают 4 основные области:

  1. Управление рисками угроз
  2. Внутренний контроль
  3. Внутренний аудит
  4. Соответствие регуляторным требованиям

Управление рисками угроз

Для оценки угроз, риск менеджеры следуют следующим пяти шагам:

  1. Определение вероятности риска
  2. Оценка частоты и серьезности последствий
  3. Определение альтернативных подходов, включая оптимизацию бизнес-процессов, которые приведут к снижению вероятности и/или последствий риска
  4. Выбор и реализация действий, определенных на предыдущем этапе
  5. Контроль реализации действий и их корректировка, по мере необходимости

Этот процесс ориентирован на превентивное и на антикризисное управление рисками.

В управлении рисками следует различать понятия риска, угрозы и воздействия:

  1. Риск — негативное или позитивное явление, которое может произойти и оказать влияние на процесс / проект
  2. Угроза — возможная опасность, которую несет в себе риск
  3. Воздействие — величина последствий, которые происходят, в случае наступления риска
  4. Величина риска = вероятность возникновения риска * воздействие

Внутренний контроль

Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.

Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.

Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.

Внутренний аудит

Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.

Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.

Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.

Соответствие регуляторным требованиям

Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.

Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.

Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.

Примеры подходов к управлению рисками организации

В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.

ISO 31000

ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.

Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.

ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.

Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.

CAS

Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.

В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.

О ERM они сказали следующее:

…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management

Примеры типов рисков

  • Угрозы: стихийные бедствия, материальный ущерб и прочее.
  • Финансовые риски: например, риски активов, ценных бумаг или фиатных валют
  • Стратегические риски: конкуренция, тенденции бизнеса и так далее.
  • Операционные риски:удовлетворенность клиентов, целостность бренда, репутация, неисправности и отказы продукта

Процессы управления рисками

  • Создание контекста: внутренний и внешний охват организации, а также охват системы ERM
  • Определение рисков: поскольку они связаны с целями организации, они должны быть хорошо документированы и включать соответствующий потенциал для получения конкурентных преимуществ, в результате совершенствования процесса
  • Анализ серьезности рисков: для каждого из выявленных рисков оцените (и, если возможно, оцените количественно) серьезность каждого риска
  • Интеграция рисков: на основе результатов предыдущего анализа рисков агрегируйте все распределения рисков и приведите анализ в соответствие с влиянием на ключевые показатели эффективности
  • Определение приоритетов рисков: определите ранжированный порядок приоритетов для каждого из выявленных рисков
  • Стратегии управления рисками: включает в себя стратегии разрешения и использования выявленных рисков
  • Мониторинг и анализ результатов: постоянное совершенствование процесса управления рисками путем мониторинга и оценки среды рисков. Это оценка того, что работает, а что нет.

COSO

COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:

Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance

COSO акцентирует внимание на пяти компонентах системы управления рисками организации:

  1. Руководство и культура
  2. Стратегия и постановка целей
  3. Производительность
  4. Анализ и пересмотр
  5. Информация, коммуникации и отчетность

Руководство и культура

Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.

Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.

Стратегия и постановка целей

Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.

Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.

Производительность

Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.

В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.

После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.

Анализ и пересмотр

Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.

Информация, коммуникация и отчетность

ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.

Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.

Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):

Управление рисками организации. COSO

Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.

Процесс управления рисками организации

Процесс управления рисками организации состоит из пяти элементов:

Управление рисками организации. Процесс

Определение целей и обеспечение согласованности ERM со стратегией бизнеса

В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.

Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.

Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.

Идентификация и документирование рисков

Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.

Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.

Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.

Оценка документированных рисков

Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.

После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.

Процесс управления рисками

Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.

Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.

Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.

Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.

Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.

Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:

Управление рисками организации.Тепловая карта

Ответ на риск

Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.

Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.

Ответ на риск подразделяется на четыре собственные категории:

Уклонение

Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.

Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.

Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.

Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.

Снижение

Часто риски могут быть снижены различными способами.

Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.

Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.

Разделение

Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.

На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.

Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.

По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.

Принятие

Принять риск это значит не предпринимать никаких действий.

Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.

Мониторинг рисков

Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.

Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.

Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.

Автор: Андрей Зайцев

Источник: материалы сайта rzbpm.ru

01.01.70

Ранжирование персонала, грейдинг

Разработка эффективных методов мотивации и оценки персонала является одной из важнейших задач современного менеджмента. Многообразие теоретических подходов создает непростую ситуацию для руководителей служб управления персоналом. От правильного выбора метода зависит успешность системы стимулирования, а значит — степень удовлетворенности работников и, в конечном счете, экономические показатели предприятия.

Среди представляющих практический интерес методов оценки персонала можно выделить те, которые основаны на ранжировании должностей по важности выполняемых работниками функций, квалификации, способности к самосовершенствованию и т. п. Такие методы давно и успешно применяются во многих странах. Однако, как показывает практика, слепое копирование чужого опыта без учета качества подготовки персонала, конкретных условий и сложившихся традиций может привести к отрицательному результату.

На протяжении весьма длительного времени зарплата работников различных отраслей в нашей стране определялась на основе централизованно утверждаемых тарифных сеток или отраслевых схем должностных окладов.

Диапазон варьирования окладов руководителей и служащих в большинстве случаев не превышал 10% от среднего уровня для конкретной должности. Такой формализованный и стандартный подход привел к диспропорциям в системе оплаты труда, в основном, из-за отсутствия логики в нормативных документах и несвоевременного пересмотра нормируемых показателей. Наблюдающееся отставание нашей экономики от уровня развитых (а нередко и развивающихся) стран вызвано, в том числе, и отсутствием эффективных механизмов стимулирования. Причем это справедливо как в отношении отдельных специалистов, так и предприятий или отраслей.

20 лет назад было довольно сложно понять, почему, например, ведущий конструктор проектного института, принимающий наиболее важные технические решения по конструкции серийно выпускаемого оборудования, имел оклад ниже рабочего средней квалификации участка, на котором изготавливались отдельные детали. Очевидно, что мера ответственности и объем необходимых знаний этих работников различались на порядок. Однако действовавшая тарифная сетка предписывала именно такое соотношение уровней оплаты труда.

Но прошли годы. Опытные маркетологи, мерчандайзеры, супервайзеры ценятся сейчас не меньше, чем квалифицированные технологи или конструкторы. От их деятельности зависит успешность и конкурентоспособность предприятия, но и эта категория специалистов не может претендовать на ведущие места в тарифной иерархии. Значительно повысилась также роль финансовой службы, которая сегодня не только ведет бухгалтерский учет, но и управляет активами.

Эти примеры показывают, насколько сложно разработать эффективную модель оплаты труда работников, учитывающую интересы как предприятия, так и их собственные. Действительно, каково должно быть соотношение между окладами перечисленных выше специалистов? Кто для компании представляет бОльшую ценность? Можно ли унифицировать систему определения хотя бы базовой части зарплаты?

На эти вопросы каждое предприятие пытается найти ответы самостоятельно, учитывая свои стратегические цели, отраслевую специфику и региональные особенности рынка труда. Нередко определяющим фактором становится субъективное мнение руководства.

Кроме того, в связи с реорганизацией бизнеса, образованием корпораций и холдингов в составе нескольких предприятий все более актуальной становится задача проведения единой корпоративной политики в области стимулирования труда.

Сегодня крупные предприятия все чаще используют систему грейдов, которая в определенной степени позволяет увязать оплату труда и логику бизнеса, обеспечивает «прозрачность» формирования окладов.

Предложенная еще в 50-х годах прошлого столетия система получила название «Хэй-метод», «метод направляющих профильных таблиц Хэя» (The Hay Chart Profile Method), по имени автора — Эдварда Хэя (Edward N. Hay), или «грейдинг». Эта система базируется на двух аспектах: анализе работы и ее оценке. Предложенный Хэем унифицированный подход на основе факторной системы оценки должностей позволяет понять относительную ценность каждой работы, каждой должности, что помогает определить «рыночную стоимость» должности и выстроить прозрачную, справедливую систему оплаты труда, снизить текучесть кадров, оптимизировать численность персонала. Кроме того, руководство получает сопоставимые данные по разным компаниям.

Как разрабатывается система оплаты труда по Хэй-методу? Сначала формируется список всех предусмотренных структурой организации должностей. Затем последние ранжируются — в зависимости от их важности для компании и сложности работы. Далее специалисты выделяют ключевые факторы для оценки должностей, группируют их и оценивают каждую из позиций в списке по этим группам факторов:

  1. Совокупность знаний, навыков и компетенций, необходимых работнику для выполнения должностных обязанностей.
  2. Умение решать рабочие проблемы, уровень инициативы сотрудника, сложность выполняемой им работы.
  3. Ответственность за предпринимаемые действия и их последствия.

Экспертная оценка каждой должности проводится по всем факторам, при этом экспертами используются одинаковые правила выставления оценок по определенному фактору. На основе полученных данных должности группируются в грейды (разряды). В зависимости от размера предприятия и специфики бизнеса может быть выделено от четырех до двадцати четырех грейдов. Затем каждому грейду устанавливается определенный уровень заработной платы или объем социального пакета — также по единым для всех входящих в холдинг предприятия правилам. Благодаря структурированию должностей упрощается процедура назначения окладов, снижается влияние субъективных подходов при установлении пенсий, льгот и т. д.

Очевидно, что при использовании Хэй-метода предлагается структурировать должности исходя из принятого в компании обезличенного штатного расписания, то есть фактически он во многом сходен с тарифной сеткой. Основные отличия состоят в том, что 1) система грейдов не «спускается сверху», а разрабатывается самим предприятием с учетом конкретных условий и 2) ее можно достаточно оперативно изменять и дополнять (в режиме «ручной доводки») в зависимости от сферы деятельности компании и от поставленных стратегических целей.

Так, например, для сферы торговли более важны коммуникативные навыки, а для промышленности — квалификация и сложность работы, поэтому удельный вес этих факторов существенно различается в торговых и промышленных компаниях.

Конечно, при введении этой системы обязательно нужно провести исследование рынка труда, посмотреть, как оцениваются сходные должности в других организациях, учесть уровень средних зарплат в отрасли, регионе. На основе этих данных определяются конкурентные уровни зарплат, позволяющие компании привлекать и удерживать необходимых специалистов.

Заключительный этап работы — оценка персонала на соответствие требованиям определенного грейда (аттестация).

В рамках некоторых других подходов к построению системы грейдов за основу принимаются не должности, а способности и деловые качества самих специалистов. Это характерно для компаний, в которых главным активом является интеллектуальный потенциал работников. Фактически такой подход базируется на ранжировании самих сотрудников, а не их должностей.

Одними из первых на постсоветском пространстве систему грейдов внедрили в российском холдинге «Русал». Таким образом решалась проблема унификации оплаты труда на вошедших в его состав предприятиях, которые отличались неоднородностью управленческих и мотивационных схем.

По мнению специалистов «Русала», грейды — идеальный способ для построения систем оплаты труда благодаря его простоте и универсальности. Введение единого перечня должностей стало первым этапом разработки системы оплаты труда в холдинге, а система грейдов помогла интегрировать «разнокалиберные» подразделения в единую структуру.

Рабочие позиции (нижние пять грейдов в сетке) в «Русале» оцениваются по четырем параметрам:

• профессиональные знания и опыт работы;

• самостоятельность и уровень общения;

• уровень интеллектуальной деятельности (квалификация);

• профессиональный риск.

При оценке специалистов и служащих (следующие девять грейдов) учитываются показатели, отражающие уровень их инновативности, а при оценке руководителей (верхние пять грейдов) — уровень и качество управления.

Наиболее важным шагом при адаптации схемы начисления окладов к требованиям грейдинга явился переход от сдельно-премиальной к повременно-премиальной системе оплаты труда всех работников. Это позволило отказаться от трудоемкого ежемесячного расчета сдельного заработка, а также решило проблему доплат сотрудникам, выполняющим работы ниже своей квалификации. В качестве регулирующего элемента в системе оплаты сохранена так называемая вилка грейда, размер которой может достигать 200% от минимального уровня оклада.

При разработке системы ранжирования персонала и определения уровня базовых окладов в ОАО «Концерн Стирол» было решено использовать одновременно оба подхода: грейдирование должностей и оценку личных характеристик работников. Также был учтен подход, применяемый в Законе Украины «О государственной службе», когда вся совокупность должностей государственных служащих распределена по семи категориям; вместе с тем введены 15 рангов госслужащих. Каждой категории соответствует три ранга, причем старший ранг в данной категории и младший в последующей имеют один и тот же уровень. По аналогии с этим подходом в корпоративном Положении о ранжировании персонала должности руководителей всех уровней и специалистов концерна также распределены по семи категориям (см. таблицу). Внутри каждой из них предусмотрено два-три ранга.

Категории должностей и соответствующие им ранги

Категория

Должность

Ранг менеджера

I

Президент концерна

1–2

II

Топ-менеджеры (вице-президенты, технический директор, финансовый директор, директор по персоналу)

2–3

III

Руководители структурных подразделений (заводов, крупных цехов, дочерних компаний и т. д.)

3–4

IV

Заместители руководителей структурных подразделений, главные инженеры, главные специалисты

4–6

V

Руководители подразделений (участков, управлений, служб и т. д.)

6–8

VI

Руководители смен (для предприятий с непрерывным режимом работы), руководители отделов, ведущие специалисты и др.

8–10

VII

Руководители низового уровня, инженеры, конструкторы, инженеры-исследователи, менеджеры по продажам и другие специалисты

10–12

В период введения в действие системы ранжирования всем аттестованным в своих должностях сотрудникам присваивается наименьший в категории ранг менеджера. В дальнейшем после определенного для каждой из категорий периода (от двух до пяти лет) рассматривается вопрос о повышении ранга менеджера в пределах категории. В случае положительного результата аттестации работнику присваивается очередной ранг без изменения должности, но с назначением оговоренной положением надбавки к окладу. Для сотрудников, которые в дальнейшем достигнут высшего в категории ранга, может рассматриваться вопрос о повышении в должности с повышением (или сохранением) ранга.

Применение в качестве прототипа при разработке корпоративной системы ранжирования персонала промышленного предприятия модели позволяет:

  • повысить мотивацию качественного труда;
  • внедрить эффективный инструмент планирования карьеры;
  • снизить влияние субъективного фактора при оценке работника;
  • способствовать формированию полноценного кадрового резерва;
  • стимулировать процесс создания самообучающейся организации;
  • предоставить руководству предприятия такой дополнительный метод поощрения особо отличившихся сотрудников, как досрочное присвоение очередного ранга.

Этот порядок ранжирования, на наш взгляд, имеет ряд преимуществ. Во-первых, в отличие от системы грейдов, в которой перемещение с одного уровня на другой производится только в случаях перехода работника на иную позицию или при выполнении другой профессиональной деятельности, в предлагаемой схеме работник, пребывая в одной и той же должности, имеет возможность до двух раз повысить свой ранг и, соответственно, оклад (при условии эффективной работы и росте профессионализма).

Во-вторых, достигнув высшего ранга в категории, сотрудник имеет основания претендовать на переход в более высокую категорию без повышения ранга (например, на конкурсной основе). Фактически, этот контингент работников автоматически попадает в резерв на выдвижение.

В-третьих, период, в течение которого вопрос об очередном повышении ранга в пределах данной категории будет обязательно рассмотрен, нормирован действующим положением. Это позволяет каждому работнику видеть перспективу роста на ближайшие годы. Кроме того, само по себе повышение ранга даже при незначительном увеличении оклада одновременно является мощным моральным стимулом.

В настоящее время на предприятиях ОАО «Концерн Стирол» работа по ранжированию персонала проводится одновременно с очередной аттестацией.

С внедрением такой системы оплаты труда возрастает роль обучения, поскольку обязательным требованием при повышении ранга является успешное завершение учебы в вузе или на курсах повышения квалификации по одному из актуальных для предприятия направлений.

Положением также оговорено, что в случае перерывов в работе по объективным причинам за работником сохраняется ранг, который понимается не только как соответствующий уровень должности (грейд), но и как характеристика личных деловых качеств человека, стажа работы. Поскольку такая модель оценки персонала включает в себя персональные характеристики каждого работника, она является инструментом планирования карьеры.

Предлагаемая система предназначена в основном для управленческого звена, при этом каждому руководителю, а также специалисту, не имеющему подчиненных, но отвечающему за определенный участок работы, присваивается корпоративное звание «Менеджер n-го ранга».
Подобный подход не предусмотрен действующим законодательством, поэтому присваиваемые ранги используются только внутри предприятия. Но положением установлено, что оклады менеджеров не могут быть меньше, чем это определено тарифными соглашениями.

История свидетельствует, что ничего принципиально нового в технологии грейдинга нет. Первым законодательным актом, вводившим в Российской империи ранжирование государственных служащих по иерархической лестнице, был утвержденный Петром I в 1722 году «Табель о рангах», который распространялся на всех государственных служащих: военных, статских (гражданских) и придворных.

В дальнейшем подход, заключающийся в выстраивании групп разнородных должностей согласно определенной иерархии, применялся очень часто (на транспорте, в органах юстиции, в угольной промышленности и т. д.). Более того, в некоторых отраслях (например, на железнодорожном транспорте) он до сих пор используется (в том числе применяются знаки различия на форменной одежде).

http://www.hr-academy.ru/to_help_article.php?id=71

Репутационные риски можно просчитать заранее, но этим почти никто не занимается. Расскажем, как найти бреши и оценить их опасность.

Риск – фактор изменений для репутации бизнеса. Иногда позитивных, иногда негативных. Расскажем, как неопределенность превратить в возможность и в итоге повысить прибыль бизнеса.

Материал основан на исследованиях магистра факультета прикладной политологии НИУ ВШЭ И. Сташкевича, данных Гарвардской школы бизнеса и десятилетнем опыте работы в кризисных коммуникациях.

План статьи

  • Понятие репутационного риска в бизнесе
  • Определяем точки риска для бизнеса
  • Анализ и оценка рисков в бизнесе
  • Инструменты минимизации рисков
  • Анализ рисков бизнес-процессов. Краткая справка

Понятие репутационного риска в бизнесе

Под риском мы понимаем возможность продемонстрировать силу бизнеса: как он справляется в кризисной ситуации, адаптируется и становится лучше.

Условия формирования репутации могут показаться нечестными. Бизнесу приходится парировать негативные информационные поводы достаточно ограниченным инструментарием: собственным сайтом, страницами в соцсетях и силами лояльных СМИ или блогеров.

Если пустить репутацию на самотек, вскоре ее облепят всевозможные диффамации. Чем дальше, тем сильнее они тормозят развитие бренда, уменьшают пространство для маневра.

К нашему клиенту пришла внеочередная проверка из налоговой инспекции. Проблем с отчетами раньше не было, вопросов со стороны регуляторов тоже. Налоговики рассказали: проверку инициировали после жалобы, к ней прикрепили статью в блоге. В материале компанию обвиняли в сокрытии отчетности и сомнительных схемах. Негативная статья не может быть основой для разбирательства, однако ее могут приложить к материалам или задать вопросы относительно ее содержания. Также негатив попадает в закрытые базы данных по типу World-Check.

Риск заложен в основу предпринимательства. Репутация – следствие действий компании, соответственно, анализ рисков бизнес-процессов применим к ней в той же степени.

Давайте убедимся, что под словом «риск» мы подразумеваем один предмет для обсуждения. Сегодня в сфере анализа и оценки рисков в бизнесе доминируют три взгляда на это понятие:

Риск – вероятность получения ущерба вследствие неверно принятого решения.

Риск – вероятность понести потери в виде непреднамеренных расходов или недополучения прибыли.

Риск – деятельность, связанная с преодолением неопределенности в ситуации неизбежного выбора.

За 10 лет практики кризисных коммуникаций мы пришли к выводу: стоит воспринимать риск и кризисную ситуацию как точку изменений. Встреча с риском – потенциальные возможности для компании, чтобы проявить себя, продемонстрировать заинтересованной аудитории свою «антихрупкость». Это тест, показывающий состоятельность менеджмента, бизнес-модели и гибкость бренда.

Репутация в медиапространстве с каждым годом приобретает все более важное значение. Продукты и услуги компаний выравниваются по качеству, конкурентные преимущества перетекли в информационную надстройку. Эта надстройка может составлять до 85 % капитализации бизнеса. Логично, что удар по ней наиболее ощутим.

Определяем точки риска для бизнеса

У каждого бренда свои риски, однако инструменты их определения универсальны. Это внутренние и внешние факторы формирования репутации. Для анализа рисков бизнес-процессов остается выбрать из таблицы наиболее подходящие для вашего случая.

Факторы формирования репутации делятся на внутренние и внешние. Часть из них влияют на репутацию прямо, а другие – опосредованно. К последним принадлежит уровень менеджмента бизнеса. Компетенции управления относятся скорее к хозяйственной сфере, однако следствие их действий влияет на образ бренда.

Наши карты не работают уже несколько часов.Нашли проблему: повреждение оптоволоконного кабеля, идущего к датацентру…

Posted by Рокетбанк on Saturday, August 5, 2017

В 2017 году перестали работать карты и банкоматы одного из крупнейших в России банка «Открытие». Причину вскоре нашли – во время ремонтных работ случайно повредили оптоволоконный кабель, идущий к дата-центру банка. Проблемы испытали и клиенты «Рокетбанка». Он использует одну инфраструктуру с «Открытием».

Управление репутацией – контроль над факторами, комбинация которых обуславливает ее формирование.

Проблемы инфраструктуры повлияли и на репутацию. Действительно, как финансовая организация может называть себя надежной, если ее работоспособность можно прервать взмахом тракторного ковша? Все форс-мажоры предусмотреть невозможно, но при анализе рисков бизнес-процессов должны учитываться и противодействия.

Рассмотрим перечень факторов, влияющих на формирование репутации бизнеса.

анализ рисков бизнес-процессов

Источник: НИУ ВШЭ

Перечисленные факторы универсальны. Каждому бизнесу предстоит выбрать наиболее подходящие для себя. Например, инновационность может быть не так важна для ретейла – решающими факторами будут уровень менеджмента и качество представленной продукции. На это обратят внимание конечные потребители.

Другое дело – партнеры по бизнесу, акционеры и финансово заинтересованные стороны. Для них важны финансовые показатели и инвестиционная привлекательность.

Для простоты можно представить наиболее важные факторы формирования репутации в такой таблице:

факторы формирования репутации

Зная наиболее важные факторы формирования репутации, можно провести анализ рисков бизнес-процессов.

Анализ и оценка рисков в бизнесе

Процесс управления рисками организации состоит из четырех этапов: идентификации, классификации, оценки и реакции. Каждому риску присваивается своя оценка.

Идентификация. Фиксируются все потенциальные риски – внутренние и внешние события, способные повлиять на достижение целей бренда. В результате оформляется список рисков, которые ранжируются по степени их негативного воздействия.

Классификация. Не существует единого подхода к категоризации рисков при анализе рисков бизнес-процессов. Здесь все индивидуально, однако выделим общие категории:

– Финансовые: изменение налоговой нагрузки, падение стоимости акций, изменения в ценовой политике и т. д.

– Операционные: проблемы на производстве, падение качества продукции, нарушение техники безопасности, мошенничество на предприятии и т. д.

– Стратегические: потеря репутации, позиционирование бренда и т. д.

стратегический консультант

Даже если у вас случилась неудача с тем или иным клиентом и он не доволен качеством вашей работы или работы команды, ваша репутация все равно работает на вас. Говорить о том, что репутация стирается сразу, можно лишь о людях невысокого профессионального уровня, у которых, по сути, и нет репутации. Сразу она стереться не может. И клиенты вернутся, и неудачи обговариваются.

При этом репутацию компании достаточно легко разрушить, особенно на российском рынке. Здесь неудача часто воспринимается как конец света.

Оценка. Каждый фактор формирования репутации (они должны быть зафиксированы в таблице, представленной в конце предыдущего раздела) анализируется с учетом вероятности возникновения и влияния.

Мы встречали разные подходы к оценке. Некоторые просили использовать десятибалльную шкалу, но это оправдано для крупных компаний. В других случаях достаточно разделить риски на три уровня: высокое, среднее и слабое влияние.

Реагирование на риск. После анализа рисков бизнес-процессов стоит выбрать одну из стратегий:

– Уклонение. Не каждое негативное упоминание достойно внимания. Про нас тоже написаны различные обвинения, даже в колдовстве. Зачем тратить время на ерунду, которая не влияет на нашу аудиторию?

– Принятие. Вопрос обширный, поэтому заслуживает отдельного разговора. Примеры управления репутацией можно изучить в нашем большом разборе.

– Минимизация. О ней поговорим в следующем разделе.

Инструменты минимизации рисков

Кризис – водораздел в коммуникации бренда. До него компания накапливает репутационный капитал, после – распоряжается ресурсами для удержания инициативы в медиапространстве.

Чтобы минимизация репутационных рисков прошла успешно, нужно придерживаться двух глобальных стратегий.

Накопление репутационного капитала. В случае репутационного кризиса капитал станет подушкой безопасности, которая примет первую волну диффамаций. Иногда эту стратегию называют превентивной коммуникационной моделью.

Репутационный капитал формируется по двум направлениям.

анализ рисков бизнес-процессов, таблица

Разные целевые аудитории могут прислушиваться к рациональным и эмоциональным мотивам. Поэтому лучше выстроить коммуникационную стратегию вокруг обеих составляющих.

Екатерина Козиченко

стратегический консультант

В качестве примера уничтожения репутации приведу компанию Arthur Andersen. Это американская аудиторская компания, одна из крупнейших в мире в свое время. Нашумевшее банкротство энергетической компании Enron в декабре 2001 года привело к уголовному расследованию в отношении Arthur Andersen. Enron обанкротилась из-за бухгалтерского мошенничества, а Arthur Andersen, которая подписывала бумаги Enron, перестала существовать, так как репутация ее была разрушена.

Чтобы превентивная коммуникационная модель принесли ощутимые дивиденды, стоит придерживаться следующих принципов.

Достоверность – коммуникация стремится отразить реальную деятельность бизнеса.

Открытость – стремление начинать и поддерживать двусторонние коммуникации со всеми заинтересованными сторонами.

Динамичность – коммуникации должны постоянно развиваться, соответствовать требованиям времени. Это касается прежде всего освоения новых каналов и технологий коммуникации.

Доверие и сопричастность – коммуникация создает благоприятную эмоциональную атмосферу. Как правило, сопричастность создается на стыке открытости и достоверности.

Системность – установленные правила коммуникации действуют всегда: как внутри бизнеса, так и во внешней среде.

Непротиворечивость – действия компании не идут вразрез друг другу.

Инициативность – бизнес активен в информационном поле, адекватно реагирует на события и умеет отмалчиваться, когда это нужно.

Антикризисная коммуникация. Есть три фактора, которые влияют на восприятие бизнеса в кризисный период: накопленный репутационный капитал, поведение компании во время кризиса, оценка ситуации в СМИ, соцсетях и блогосфере.

В антикризисной коммуникации стоит придерживаться принципа «делая, объясняй». Особенно это касается проблемных ситуаций на производстве, отравлений в общепите и других «ощутимых» проблем.

Направления кризисной коммуникации

По опыту скажем: часто компании неверно идентифицируют источник проблем. В результате коммуникационная стратегия опирается на неверные выводы, и бизнес только усугубляет ситуацию.

Анализ рисков бизнес-процессов. Краткая справка

  1. Любой негативный инфоповод – от отзыва о плохом сервисе до репортажа в СМИ – логично рассматривать как точку трансформации, ведущую к стагнации или обновлению бизнеса.
  2. Факторы формирования репутации делятся на внутренние и внешние. Часть из них влияют на репутацию прямо, а другие – опосредованно. Например, уровень менеджмента направлен на внутренние процессы, но репутация будет его прямым следствием.
  3. Анализ рисков бизнес-процессов состоит из четырех этапов: идентификации, классификации, оценки и реакции.

Цели и назначение процесса управления рисками на предприятии

Методика определения угроз и возможностей

Порядок определения угроз и возможностей, на которые необходимо реагировать предприятию

В современных условиях высокой рыночной конкуренции и постоянно меняющихся покупательских предпочтений трудно представить себе успешно развивающуюся компанию, в которой не налажен процесс управления рисками.

Управление рисками прежде всего необходимо для принятия управленческих решений в условиях, требующих выбора одного из нескольких вариантов при отсутствии определенности и однозначности преимуществ какого-либо решения.

Многие руководители считают, что они и без специальных технологий управления прекрасно видят возможные риски для компании и смогут вовремя их устранить, основываясь на собственном опыте и интуиции. Они ошибаются, и мы видим огромное количество примеров, когда крупные корпорации испытывают большие трудности в бизнесе или приходят к банкротству именно из-за ошибочных действий руководства.

Даже суперпрофессиональный руководитель не может контролировать качество всех бизнес-процессов и технологических операций компании без выделения управления рисками в отдельный процесс и вовлечения в него всех ключевых менеджеров компании. А если говорить о небольшом бизнесе, то по статистике в течение первого года работы закрываются около 90 % вновь созданных предприятий, и большинство из них — именно по причине некачественного управления предпринимательскими рисками.

ЦЕЛИ И НАЗНАЧЕНИЕ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ НА ПРЕДПРИЯТИИ

По общепринятой в менеджменте рисков классификации под риском подразумевается событие или стечение обстоятельств, которое в случае его реализации может существенным образом повлиять на достижение стратегических целей и текущих задач компании. Влияние риска может оказаться как негативным, т. е. несущим угрозы бизнесу, так и позитивным, предоставляющим возможности для его развития. Именно поэтому процесс управления рисками можно назвать искусством различать, что представляет собой выявленный риск — опасность для деятельности компании или наоборот, шанс ее улучшить.

Система управления рисками — это процесс, осуществляемый как руководством компании, так и ее сотрудниками. Цель этого процесса — выявить потенциальные события, которые могут повлиять на результаты деятельности компании — как положительно, так и отрицательно, и обеспечить приемлемые для компании уровень угроз или степень реализации возможностей.

Специфическая особенность данного процесса состоит в том, что он охватывает все без исключения бизнес-процессы компании и реализуется в рамках как внешнего, так и внутреннего контекстов бизнеса (рис. 1).

Основные принципы управления рисками:

1. Управление рисками — неотъемлемая часть ежедневного процесса управления, которая предполагает, что каждый сотрудник обязан выявлять и оценивать риски для наиболее эффективного принятия управленческих решений.

2. Все риски, которые возникают по внешним или внутренним причинам и могут значительно повлиять на достижение целей предприятия, должны идентифицироваться, оцениваться и документироваться, а на основе этой информации — разрабатываться мероприятия по рискам.

3. Процесс управления рисками подразумевает применение единого и стандартизированного подхода к выявлению, оценке и работе с рисками.

4. Руководители всех уровней несут ответственность за своевременное выявление рисков, их оценку, разработку мероприятий по управлению рисками и информирование всех заинтересованных сторон, в том числе работников, о рисках, влияющих на достижение поставленных перед ними целей, а также за накопление знаний о рисках и анализ реализовавшихся рисков.

5. В процессе управления рисками необходим разумный баланс издержек на управление риском и величины возможного ущерба или выгоды от наступления рискового события: если уровень риска приемлемый, а затраты на управление риском превышают возможный эффект, дополнительные мероприятия по работе с этим риском не нужны.

Методы управления рисками (рис. 2):

1. Снижение риска подразумевает воздействие на риск путем снижения вероятности реализации риска или уменьшения негативных/усиления позитивных последствий в случае реализации риска в будущем.

2. Перенос риска предполагает передачу риска (в том числе частичную) другой стороне (например, заключаются договоры страхования, хеджирования, аутсорсинга и др.) — это позволяет уменьшить негативное или усилить позитивное влияние риска на достижение целей компании.

3. Принятие риска допускает возможное наступление последствий риска с определением конкретных источников покрытия ущерба от негативных последствий.

4. Уклонение от риска означает отказ от совершения действий/мероприятий/целей, характеризующихся высокой степенью риска.

Теперь поговорим о том, как управлять рисками.

МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ И ВОЗМОЖНОСТЕЙ ДЛЯ ЦЕЛЕЙ ПРЕДПРИЯТИЯ

Алгоритм процесса управления рисками представляет собой последовательную цепочку процедур, которые помогают руководству компании эффективно минимизировать угрозы и использовать возможности для достижения целей предприятия (см. схему).

Рассмотрим эти этапы подробнее.

1. Выявляем риски.

На этом этапе определяем внутренние или внешние события, реализация которых может негативно или позитивно отразиться на достижении целей компании.

Как выявлять риски?

В первую очередь риски выявляют:

• в рамках ежегодного цикла планирования;

• в ходе анализа деятельности компании и пересмотра ее целей и бюджета;

• в текущем режиме анализа эффективности процессов компании;

• в ходе производственных совещаний и индивидуальных бесед с сотрудниками компании.

По итогам процедуры выявления рисков формируется классификатор рисков компании и назначаются ответственные по каждому из рисков.

2. Оцениваем риски.

Главная цель оценки рисков — определить уровень рисков и выделить наиболее значимые (критические) риски, которые могут негативно или позитивно влиять на деятельность компании и достижение ее стратегических целей.

Материал публикуется частично. Полностью его можно прочитать в журнале «Справочник экономиста» № 4, 2020.

Понравилась статья? Поделить с друзьями:
  • Троицкий городской суд челябинской области реквизиты для уплаты госпошлины
  • Трудовой кодекс рф переработка рабочего времени при сменном графике работы
  • Турист проехал 378 километров поездом он ехал 4 часа а на мотоцикле 3 часа
  • У вас нет права на управление компаниями с помощью файлов директ коммандер
  • Укажите для определения чего в компании проводится процедура оценка рисков