Что такое риски и возможности
Новости
Подготовлен новый тест на знание требований МС ИСО 50001:2018
Новые методические пособия в Разделе «Методические материалы»!
Опубликована новая редакция стандарта ИСО 50001:2018
Сертификаты
Риски и возможности
У пользователей стандартов на системы менеджмента возникает много вопросов по поводу выполнения требований, относящихся к управлению рисками и возможностями.
По традиции начнем с терминологии.
В ИСО 9000:2015 «Системы менеджмента качества. Основные положения и словарь» приводится определение термина «риск»:
Примечание 1: Влияние выражается в отклонении от ожидаемого результата – позитивном или негативном.
Примечание 2: Неопределенность является состоянием, связанным с недостатком, даже частично, информации, понимания или знания о событии, его последствиях или вероятности.
Примечание 3: Риск часто определяют по отношению к потенциальным событиям и их последствиям, или к их комбинации.
Примечание 4: Риск часто выражается в терминах комбинации последствий события (включая изменения в обстоятельствах) и связанных с ними вероятностей возникновения.
Примечание 5: Слово «риск» иногда используется в тех случаях, когда существует возможность только негативных последствий.
Примечание 6: Термин является одним из числа общих терминов и определений для стандартов ISO на системы менеджмента, приведенных в Приложении SL к Сводным дополнениям ISO Директив ISO/IEC, часть 1. Исходное определение было модифицировано посредством добавления примечания 5.
Определение термина «возможность» в стандарте ИСО 9000 не дается. Поэтому обратимся к другим стандартам.
ИСО 14001:2015 «Системы экологического менеджмента. Требования и руководство по применению»:
ИСО 45001:2018 «Системы менеджмента профессиональной безопасности и охраны здоровья. Требования и руководство по применению»:
Таким образом, в стандартах на системы менеджмента «риск» рассматривается как «событие», которое имеет вероятностный характер (может произойти, а может не произойти) и негативные последствия.
Основными этапами управления рисками и возможностями являются:
Рассмотрим каждый из этих этапов.
1. Определение источников рисков и возможностей.
Источники рисков и возможностей должны быть выявлены согласно требованиям пунктов 4.1 и 4.2 стандартов на системы менеджмента.
Пункт 4.1 стандарта ИСО 9001:2015:
Понимание организации и ее среды
Организация должна определить внешние и внутренние факторы, относящиеся к ее намерениям и стратегическому направлению и влияющие на ее способность достигать намеченных результатов ее системы менеджмента качества.
Организация должна осуществлять мониторинг и анализ информации об этих внешних и внутренних факторах.
Для определения внешних факторов деловой среды в англоязычной литературе рекомендуют применять «PESTLE –анализ»:
Выявление и анализ внешних факторов обычно осуществляется на уровне высшего руководства организации, т.к. данные факторы и связанные с ними риски и возможности должны приниматься во внимание при разработке стратегических планов развития компании. Например:
Для определения внутренних факторов деловой среды рекомендуется использовать «7М – анализ»:
Выявление и анализ внутренних факторов обычно проводится на уровне руководителей производственных и вспомогательных процессов.
Примеры внутренних факторов:
При этом некоторые внешние факторы (например, изменение законодательных требований) также необходимо учитывать на уровне процессов, а внутренние факторы (например, недостаточное количество квалифицированного персонала) важно учесть на высшем уровне управления.
Пункт 4.2 стандарта ИСО 9001:2015:
Понимание потребностей и ожиданий заинтересованных сторон.
С учетом влияния, которое заинтересованные стороны оказывают или могут оказать на способность организации постоянно поставлять продукцию и услуги, отвечающие требованиям потребителей и применимым к ним законодательным и нормативным правовым требованиям, организация должна определить:
a) заинтересованные стороны, имеющие отношение к системе менеджмента качества;
b) требования этих заинтересованных сторон, относящиеся к системе менеджмента качества.
Организация должна осуществлять мониторинг и анализ информации об этих заинтересованных сторонах и их соответствующих требованиях.
Согласно определению, приведенному в ИСО 9000:
ПРИМЕР Потребители, владельцы, работники в организации, поставщики, банкиры, регулирующие органы, союзы, партнеры или сообщество, которое может включать конкурентов или группы противодействия.
Важным источником рисков и возможностей являются требования (потребности, ожидания…) внешних или внутренних заинтересованных сторон.
Эти требования могут противоречить друг другу. Например:
Любой «конфликт интересов» заинтересованных сторон является источником риска для организации. Поэтому при построении системы менеджмента важно выявить и учесть все потенциальные «конфликты интересов».
Если требования заинтересованной стороны совпадает с интересами организации, то появляются «возможности» для улучшений. Например:
Требования заинтересованных сторон (потребителей, головных организаций…), которые организация принимает для себя в качестве обязательных, должны быть соответствующим образом учтены в системе менеджмента наряду с применимыми законодательными требованиями.
В стандартах нет прямых требований в отношении документального оформления результатов анализа внешних и внутренних факторов деловой среды, а также требований, потребностей и ожиданий заинтересованных сторон. Тем не менее, рекомендуется документировать эту информацию, поскольку стандарты требуют отслеживать изменения, происходящие в деловой среде и в требованиях заинтересованных сторон, и анализировать эти изменения на уровне высшего руководства.
2. Выявление (идентификация) рисков и возможностей,
Стандарт ИСО 9001 требует:
6.1 Действия в отношении рисков и возможностей
6.1.1 При планировании в системе менеджмента качества организация должна учесть факторы (см. 4.1) и требования (см. 4.2) и определить риски и возможности, подлежащие рассмотрению для:
a) обеспечения уверенности в том, что система менеджмента качества может достичь своих намеченных результатов;
b) увеличения их желаемого влияния;
c) предотвращения или уменьшения их нежелательного влияния;
d) достижения улучшения.
«Намеченные результаты» для различных систем менеджмента определены в соответствующих стандартах.
Для Системы менеджмента качества (ИСО 9001):
1 Область применения
Настоящий стандарт устанавливает требования к системе менеджмента качества в тех случаях, когда организация:
a) нуждается в демонстрации своей способности постоянно поставлять продукцию и(или) услуги, отвечающие требованиям потребителей и применимым законодательным и нормативным правовым требованиям;
Для Системы экологического менеджмента (ИСО 14001):
1 Область применения
…..намеченные результаты системы экологического менеджмента включают себя:
— улучшение экологических результатов деятельности;
— выполнение принятых обязательств (законодательных и других требований);
— достижение экологических целей.
Для Системы менеджмента профессиональной безопасности и охраны здоровья (ИСО 45001):
1 Область применения
…..намеченные результаты СМ ПБОЗ включают:
— постоянное улучшение результатов в области ПБОЗ;
— выполнение законодательных требований и других требований;
— достижение целей в области ПБОЗ.
В ходе проведения идентификации рисков и возможностей нужно выявить потенциальные события, которые:
Риски
Источник риска (причина)
Риск (событие)
Последствия риска
Изменение (снижение) курса национальной валюты.
Рост стоимости комплектующих изделий.
Невозможность выполнить заказ потребителя по ранее согласованной стоимости.
Изменения природоохранного законодательства
Отмена Разрешения на выбросы
отработанных газов в атмосферу.
Нарушение законодательных требований (продолжение работы без соответствующего разрешения или остановка производственного процесса).
Износ производственного оборудования
Выход из строя производственного оборудования
Остановка производственного процесса.
Возможности
Источник возможности
Возможность (событие)
Последствия реализации возможности
Изменение (снижение) курса национальной валюты.
Снижение цены продукции на внешнем рынке.
Рост спроса на продукцию на внешнем рынке.
Высокая квалификация (компетентность) персонала
Оказание дополнительных услуг потребителям.
Повышение удовлетворенности потребителей.
Появление нового автоматизированного оборудования.
Автоматизация производственного процесса.
Снижение производственного травматизма.
Управление рисками и возможностями (в том числе, их идентификация) в организации обычно проводится на двух уровнях:
1. На уровне высшего руководства.
На этом уровне акцент делается на рисках и возможностях, связанных с внешними факторами деловой среды и с требованиями внешних заинтересованных сторон.
В представленных выше примерах к данному уровню относятся риски № 1 и 2 и возможности №1 и 3.
2. На уровне руководителей процессов.
На этом уровне акцент делается на рисках и возможностях, связанных с внутренними факторами деловой среды и с требованиями внутренних заинтересованных сторон.
В представленных выше примерах к данному уровню относятся риск № 3 и возможность № 2.
В небольших организациях, в которых высшее руководство непосредственно вовлечено в производственный процесс, нет необходимости разделять процессы управления рисками и возможностями на 2 уровня.
С другой стороны, в крупных холдинговых структурах количество уровней управления рисками и возможностями может возрасти (уровень процесса, уровень предприятия, уровень группы предприятий, уровень центрального офиса …….).
Особенности управления рисками и возможностями в системе менеджмента профессиональной безопасности и охраны здоровья (ИСО 45001).
В системе менеджмента ПБОЗ управление рисками и возможностями на двух уровнях является прямым требованием стандарта. Необходимо выявить:
1. «Общесистемные риски и возможности», которые обычно управляются на уровне высшего руководства.
Пример «общесистемного риска»:
Пример «общесистемной возможности»:
2. «Риски и возможности в области ПБОЗ», которые обычно управляются на уровне процессов (подразделений).
Пример «Риска в области ПБОЗ»:
Пример «Возможности в области ПБОЗ»:
Стандарт требует выявить и обеспечить управление рисками и возможностями, связанными с выполнением (или не выполнением) применимых законодательных и других требований. Например:
Особенности управления рисками и возможностями в системе экологического менеджмента (ИСО 14001).
В системе экологического менеджмента также необходимо управлять рисками и возможностями на двух уровнях.
1. «Общесистемные риски и возможности», управляемые на уровне высшего руководства.
Пример «общесистемного риска»:
Пример «общесистемной возможности»:
2. «Риски и возможности, связанные с экологическими аспектами», управляемые на уровне процессов (подразделений).
Пример «Риска, связанного с экологическими аспектами»:
Пример «Возможности, связанной с экологическими аспектами»:
Стандарт также требует выявить и обеспечить управление рисками и возможностями, связанными с выполнением (или не выполнением) применимых законодательных и других требований, которые в стандарте ИСО 14001 называются «принятыми обязательствами». Например:
Специфика управления рисками, связанными с экологическими аспектами, состоит в том, что большинство аспектов не являются «неопределенными», т.е. не носят вероятностный характер. Объемы потребления электроэнергии, воды, образующихся отходов, выбросов в атмосферу обычно зависят от объемов производства продукции.
Риски ухудшения экологических показателей чаще всего связаны с аварийными или нештатными ситуациями.
Возможности улучшения экологических показателей обычно появляются в результате выполнения различных природоохранных мероприятий.
3. Анализ и оценка рисков и возможностей,
В стандарте ИСО 9001 нет прямых требований в отношении проведения анализа и оценки рисков и возможностей.
Но проводить анализ и оценку нужно, чтобы:
В стандарте на системы менеджмента профессиональной безопасности и охраны здоровья установлены требования в отношении оценки рисков и возможностей (см. п. 6.1.2 ИСО 45001).
В стандарте на системы экологического менеджмента установлены требования в отношении оценки значимости экологических аспектов (см. п. 6.1.2 ИСО 14001).
Перед проведением анализа рисков и возможностей нужно установить показатели (критерии), по которым анализ и оценка будут проводиться.
Основными показателями рисков являются:
Для оценки вероятности наступления события риска обычно проводится анализ статистических данных наступления подобных событий в предыдущие периоды времени. По результатам проведения такого анализа можно спрогнозировать вероятность наступления подобных событий в будущем.
Показатель вероятности наступления события риска является универсальным для любых систем менеджмента.
Показатели уровня последствий рисков отличаются для различных систем менеджмента.
При проведении анализа последствий рисков обычно используются различные методы экспертных оценок.
В качестве дополнительных показателей рисков применяются:
Данный показатель используется при проведении FMEA – анализа (FMEA – Failure Mode and Effects Analysis – Анализ видов и последствий отказов).
При проведении оценки рисков важно учесть:
При проведении оценки рисков принято учитывать, в какой мере данный риск регламентирован в международных, национальных, региональных, отраслевых нормативных документах.
По результатам анализа и оценки рисков их обычно распределяют на 3 группы:
При проведении анализа и оценки возможностей можно использовать показатели, аналогичные тем, которые применяются для анализа и оценки рисков:
По результатам анализа и оценки возможностей их обычно распределяют на 2 группы:
4. Планирование, выполнение и оценка результативности действий в отношении рисков и возможностей.
Действия в отношении рисков и возможностей могут быть разовыми или постоянными.
Для разовых действий составляется план, в котором указываются:
Пример разового действия:
Постоянные действия должны быть «интегрированы» в систему менеджмента, т.е. отражены в документированной информации системы менеджмента: процедурах, инструкциях, регламентах…
Пример постоянного действия:
Действия в отношении рисков могут быть направлены на:
Действия в отношении возможностей могут быть направлены на:
После того, как все необходимые разовые действия были спланированы и выполнены, а постоянные действия спланированы, внедрены и продолжают выполняться, необходимо «оценивать результативность этих действий» (см. п. 6.1.2.2 ИСО 9001).
Должен пройти определенный промежуток времени, в течение которого нужно убедиться, что ожидаемый результат достигнут. Чаще всего, в процедуры проверки результативности запланированных действий закладывается промежуток времени от 3 месяцев до 1 года.
Как провести анализ рисков бизнеса?
Каждый бизнес встречается с рисками, которые иногда приводят к серьезным потерям. Все предусмотреть нельзя, но большинство угроз реально спрогнозировать и подготовить способы решения. Мы узнали у предпринимателей, как анализ рисков помогает остаться на плаву.
Содержание статьи
Что такое анализ рисков бизнеса
Если говорить просто, то это план действий для кризисных моментов. Риски прописывают на этапе запуска в бизнес-плане или инвестиционном проекте. На основе анализа рассчитывают финансовую модель, потому что угрозы влияют на окупаемость.
Риски учитывают и в работающем бизнесе. Например, предприниматель открыл ларек с шаурмой в марте 2020 года, а уже в апреле произошел локдаун. Кухню не подготовили к работе на доставку, посетителей принимать нельзя, и бизнес встал. По идее даже такую ситуацию нужно предвидеть, чтобы избежать проблем.
Аналитик компании 3DAnalytics Денис Загребиль считает, что в пандемию обострились регуляторные риски:
«Сегодня актуальны регуляторные риски. Как пример — введение штрафов за несоблюдение требований карантина; открытие/закрытие туристических направлений. Конечно, риски зависят от вида деятельности. В моей практике риски часто встречаются в финансовой деятельности (банки, страхование, инвестиции), информационной безопасности, экологической безопасности»
В риск-анализе прописывают 4 основных параметра:
Какие риски бывают в бизнесе
У каждого бизнеса свой круг рисков, поэтому лучше открывать дело в сфере, в которой разбираетесь. Так проще определить круг потенциальных угроз. Но обычно выделяют 6 типов рисков.
Внутренние
Эти угрозы появляются от действий руководства или сотрудников. Например, компания дала таргетированную рекламу в соцсетях. Клиенты начали задавать вопросы в личных сообщениях, а менеджер односложно отвечает, не выводит на диалог, не задает вопросы. В итоге реклама привела потенциальных покупателей, но по вине сотрудника продажи не состоялись.
Производственные
На производстве происходит брак из-за человеческого фактора или некачественного сырья. Или завод встал из-за аварии на подстанции, а оборудование вышло из строя.
Финансовые
Это все, что связано с деньгами. Например, компания отправила продукты в розничные магазины, а те не расплатились в срок. Или предприниматель потратил деньги поставщиков на покупку машины, а у него не осталось средств, чтобы расплатиться по обязательствам.
Страховые
Есть случаи, которые можно заранее предусмотреть и застраховать: пожар или воровство оборудования. Бизнес несет затраты на страховку, но если риски произойдут, то предприниматели получат компенсацию.
Коммерческие
Эти угрозы влияют на реализацию товаров или услуг. Например, магазин одежды столкнулся с тем, что клиенты предпочитают покупать в интернете. Или веб-студия не находит клиентов, потому что конкуренты делают сайты дешевле.
Внешние
На эти условия предприниматель не может повлиять: изменения в законодательстве, пандемия или нововведения в налоговой системе. На последнем стоит остановиться чуть подробнее. В 2021 году предприниматели столкнулись с тем, что государство отменило режим ЕНВД, а взамен предложило измененный патент. Но, как правило, патент в регионах обходится дороже, чем «вмененка». И это несмотря на то что власти разрешили уменьшать стоимость на сумму страховых взносов.
В ФНС стали строже следить за предпринимателями и обоснованностью сделок. С 2021 года налоговики изменили алгоритмы проверки 6-НДФЛ, чтобы видеть предпринимателей, которые платят меньше средней зарплаты по отрасли. То есть если сотрудники получают небольшую официальную зарплату, то ФНС может прислать требование с просьбой указать причины.
Основатель «Школы Профессионального Владельца бизнеса» Оксана Дажун считает, что предприниматели должны обращать пристальное внимание на налоговые риски:
«Важно отслеживать в налоговом контроле результаты и планы ФНС. Изучите, как выбирают компании для плановой проверки, как проводить оптимизацию налогов, как работают суды и чего ждать бизнесу от налогового администрирования. Для этого хотя бы раз в год полезно посещать тренинги, семинары, где расскажут о нововведениях и о судебной практике.
По результатам СВОТ-анализа составить список рисков, угроз, возможностей и сильных сторон бизнеса:
Денис Загребиль считает, что риски у каждого бизнеса разные, но некоторые встречаются чаще:
«Риски зависят от этапа развития бизнеса или компании. Но основными я считаю некачественное оказание услуг, недобросовестных поставщиков и сотрудников, переоценку рыночных возможностей. В целом, на мой взгляд, управленческие решения часто принимаются без тщательного анализа рисков бизнеса, ситуационно или на основании опыта»
Как оценивать риски в бизнесе?
Для этого нужно погрузиться в бизнес-процессы и понять слабые места. Учебники по бизнесу выделяют 5 основных методов проведения риск-анализа.
Качественная оценка
Это таблица, где риски распределяют по степени возникновения:
После этого прописывают, как компания реагирует на каждый из рисков. Например, предприниматели заранее знали про отмену ЕНВД. Соответственно, за год до этого продумывали действия для бизнеса: выбор системы налогообложения, сокращение издержек, смена торговых точек.
Руководитель компании «Понимай Франчайзинг» Олег Шатилов проводит качественную оценку перед каждым запуском франшизы:
«Компания предлагает партнерам известность бренда, которая создает поток входящих клиентов. Но это касается первичного привлечения, а должны работать и процессы, направленные на сопровождение и удержание (crm и технологии обучения). И если эти процессы не работают, то франшиза не привлечет новых партнеров. Они узнают, что работа плохо выстроена, и пройдут мимо»
Метод аналогий
Это сравнение рисков на базе реализованных проектов такой же тематики. Пилорама запускает производство пеллетов, а коммерческий директор работал на таком заводе в прошлом. Он расскажет, с какими рисками столкнется пилорама и как их избежать. Для этого метода пригодятся сторонние эксперты, которые запускали такие проекты и знают подводные камни.
Коммерческий директор предприятия «Люкшудьинский леспромхоз» Александр Труфанов считает, что общение с конкурентами помогает понять будущие проблемы:
«Мы решили запустить производство фанеры. Мы всегда в диалоге с другими предприятиями и знаем, что главная трудность — поиск сырья. Но у нас собственное сырье, и риски другие. Например, трудно найти работников. В нашей местности просто некому работать. Но скоро рядом построят жилой комплекс, и мы планируем привлекать персонал из этих домов. Поэтому новое производство запустим после окончания стройки»
Контрольные списки источников рисков
Когда компания развивается, она накапливает опыт ошибок и проблем. Руководители заранее знают, с чем столкнутся на определенных этапах масштабирования. Например, пиццерия продает франшизу в разные города, и контрольный список поможет заранее понять опасности. Составляйте чек-лист проблем, который пополняется с каждым новым проектом.
Метод рейтинговых оценок
Это способ, когда ставят рискам оценки по пятибалльной или десятибалльной системе. Если государство собирается ужесточить наказание в области налогов, то риску ставят оценку 5. Значит, в ближайшее время придется вместе с бухгалтером оптимизировать налоги и учет, чтобы не привлекать внимание ФНС. Если у производства 3 постоянных поставщика и 2 в запасе, то угроза остановки не грозит. Этому риску ставят оценку 1 и не принимают срочных решений.
Метод экспертных оценок
Для этого метода привлекают сторонних экспертов: аналитиков, юристов, технологов. Выбор зависит от направления бизнеса. Каждый эксперт делает анализ рисков бизнеса по своей деятельности и определяет влияние на развитие проекта.
Если говорить про малый бизнес, то не всегда предприниматели проводят риск-анализ по методикам. Часто это происходит по наитию и на основе опыта. Денис Загребиль считает, что этот подход не совсем верен:
«Сложность использования метода в необходимости привлекать нескольких экспертов из разных областей или одного, но с широкой экспертизой.
Для оценки рисков в связи с выходом на новые рынки необходимо знать требования местного законодательства к качеству продукции (юристы), конкурентную среду, каналы продвижения, ценообразование (маркетолог, аналитик), квалификацию персонала в стране. Неоспоримый плюс привлечения экспертов — возможность комплексной оценки рисков. Минус же в том, что зачастую требуется участие нескольких экспертов по одинаковым вопросам»
А эксперт по франчайзингу Евгений Талдыкин считает, что с риск-анализом справится руководитель и сотрудники:
«Я был директором по франчайзингу сети парикмахерских. Обедал с сотрудниками и задавал вопросы: что будет, если завтра упадут продажи в 10 раз? Или из-за чего от нас отвернутся потенциальные партнеры? Сотрудникам нравилось доверие, и они активно отвечали на вопросы. А уже из ответов рождались решения. Например, в один момент мы поняли, что у нас много партнеров, менеджеры не в состоянии каждый день поддерживать общение со всеми. В чатах повисли десятки неотвеченных сообщений, а это угроза, что люди откажутся от сотрудничества и расскажут другим. А что будет, когда количество партнеров еще увеличится? Стали работать над проблемой и внедрили чат-бота, который отслеживал чаты с неотвеченными сообщениями, чтобы менеджеры в Отделе сопровождения вовремя отвечали. В целом сессии по анализу рисков бизнеса давали идеи для автоматизации, изменения процессов, увольнения или приема персонала»
Как запустить процесс анализа бизнес-рисков
Определить риски для бизнеса не так сложно. Не стоит бояться научных названий и думать, что без специалистов не обойтись. Конечно, в некоторых случаях нужны эксперты, но основную работу проводят руководители и сотрудники компании.
Пример таблицы для контроля бизнес-рисков
Оксана Дажун считает, что эффективный анализ рисков бизнеса прежде всего зависит от руководителя:
«Управлять умеют все, вплоть до кухарок, но по факту мало кто этому учится. Сейчас MBI подтягивают понимание и учат, как управлять, но, к сожалению, я до сих пор встречаю огромное количество директоров, которые используют интуитивный подходит в управлении. А интуитивных подход — это, как правило, реактивный подход: есть проблема — есть реакция, нет проблемы — нет реакции. В таких случаях риски всегда наступают и бьют очень больно. Главная задача — перейти с реактивного управления на системный подход. Это значит, что нужно научиться предугадывать наступление рисков и выстроить хорошую систему мониторинга»
Анализ рисков бизнеса помогает предпринимателям подготовиться к возникновению проблем. Если подходить к этому системно, то у бизнеса появится защита от неожиданных потерь.