Читаем Профессия финансист. Как в современном бизнесе мотивировать людей и управлять деньгами, не забывая про риски полностью

По каждому блоку получается список из нескольких угроз: природные явления, геополитика, макроэкономика, отраслевое регулирование, экология и техногенные риски (особенно важно для крупных производственных комплексов: вспомните аварии на «Норильском никеле» или Саяно-Шушенской ГЭС), конкуренция, мошенничество (сюда же относятся воровство и коррупция), кибербезопасность, риски цепочек поставок, юридические риски и другие – как общие, так и специфические для отрасли, региона или предприятия.

Далее необходимо составить план по проработке каждой существенной угрозы. По сути, это проектный менеджмент в управлении операционной деятельностью. Здесь же становится очевидной необходимость дальнейшего мониторинга систем для своевременного выявления отклонений и поддержки принятия управленческих решений.

Далее мы обсудим составление карты угрозы бизнеса, методы риск-менеджмента, а также создание системы внутренних контролей для отслеживания и предотвращения событий, потенциально опасных для стабильности и развития бизнеса.

Зачастую предприниматели и многие менеджеры пренебрежительно относятся к управлению рисками. «Давайте делать бизнес. Не отвлекайтесь и не отвлекайте других своими заумными темами», – так иногда говорят руководители. Они не правы. Заблуждаются и те, кто считает, что управление рисками актуально только для крупной компании. На любой стадии развития бизнеса следует анализировать угрозы, разрабатывать планы по их устранению или снижению. Без системного подхода к риск-менеджменту бизнес превращается в рулетку.

Я предлагаю сделать пробный подход к управлению угрозами – составить карту рисков. Это таблица – список негативных событий и тех последствий, которые возникают или могут возникнуть в вашем бизнесе. Их можно группировать по источникам возникновения: мошенничество, финансовые, налоговые, регуляторные, природные (форс-мажоры), техногенные риски, конкуренция, кражи и порча имущества и пр.

Следует ранжировать события по вероятности их наступления и возможным потерям. Первый показатель может быть низким (раз в несколько лет), средним (раз в год) или высоким (несколько раз в год). Со вторым нужно ориентироваться на размер финансовых потерь и чувствительность к ним. Последнее зависит от размера и маржинальности бизнеса: какие потери будут для компании несущественны, какие чувствительны, но не опасны, какие вызывают серьезные операционные потери, но не грозят остановкой деятельности, а какие могут привести к потере бизнеса, банкротству.

Высокий уровень потерь ведет практически к стопроцентному банкротству, если нет внешней поддержки. Средний – к чувствительным, но не критичным затратам. Они индивидуальны для каждого бизнеса, но, как правило, не превышают месячной выручки. Низкий уровень – незначительные штрафы или потери, обычно не более выручки за один-три дня. Соответственно, для высокомаржинального бизнеса сумма может быть больше, чем для компании с низкой рентабельностью.

По каждому событию необходимо добавить наименование, описание и возможные последствия. Последние желательно оценивать количественно: в деньгах. Далее надо описать и классифицировать защитные меры. Их можно распределить на процедурные, организационные, финансовые, продуктовые и технологические. Также важно оценить затраты на них. Если эффект от реализации мер превышает возможные последствия риска – его принимают, в противном случае ищут иные варианты мероприятий, которые будут разумными и менее затратными.

Итак, для процедурных мер достаточно разработать и внедрить процесс. Для организационных – добавить к процессу исполнителя или контролера. Финансовые меры связаны с прямыми затратами. Продуктовые требуют внесения усовершенствований в товар или услугу. Технологические вынуждают разработать и внедрить собственные или приобрести сторонние аппаратные и/или программные решения.

Далее добавляем текущий статус реализации защитных мер, например, степень их выполнения к августу 2023 года. Это может быть оценка (не реализованы, частично реализованы, полностью реализованы) или процент выполнения. Нужно обязательно назначить руководителя (топ-менеджера, ответственного за блок задач) и исполнителя. Лучше всего закреплять ответственность за одним подразделением с участием других (при необходимости). Если ответственных двое, то при негативном развитии событий сложно понять, кто упустил момент для правильной и своевременной реализации мер. По каждому ответственному необходимо иметь сотрудника, замещающего его на случай отсутствия.

Завершаем перечень самой важной записью – планом мер по предотвращению события или снижению вероятности его возникновения. По желанию здесь можно добавить ссылки на задачи в таск-трекере (YouTrack, Jira, Yandex Tracker). Далее нужно установить сроки, назначить ответственных по каждому пункту и регулярно проводить контроль реализации.