Операционные риски: изучаем кейсы и инструменты управления

В динамичной бизнес-среде успех Компании зависит не только от блестящих стратегий и инноваций, но и от надежности наших ежедневных процессов. Именно здесь на первый план выходит управление операционным риском. 

Что такое операционный риск?

Операционный риск — это риск возникновения потерь в результате несовершенства внутренних процессов, действий персонала и иных лиц, сбоев/недостатков ИТ-систем, а также внешних событий. Этот риск присущ всем процессам и может возникнуть в любом подразделении и на любом уровне. В ряде случаев он может привести к ощутимым финансовым последствиям или к тем, которые негативно повлияют на деятельность организации (например, потеря репутации).

Приведем несколько примеров. Из-за ошибки сотрудника клиенту не был своевременно направлен счет на оплату, что привело к поступлению в организацию денежных средств в более длительный срок; из-за сбоя в ИТ-системе своевременно не была направлена информация в Налоговую службу, что привело к наложению на организацию штрафных санкций; из-за пожара на складе была уничтожена часть имущества организации.

Как видим, операционному риску подвержены все процессы, а его уровень зависит от каждого из нас.

Как можно управлять операционным риском?

Управление операционным риском — комплекс мероприятий, включающий выявление риска, контроль его уровня и своевременное реагирование. Поскольку мы можем управлять только тем, что измеряем, то одним из первых шагов в процессе управления риска является его оценка. Одним из наиболее часто используемых инструментов для этого является самооценка риска — когда каждое подразделение организации оценивает операционный риск в разрезе своих процессов. В рамках самооценки важно не только оценить присущие деятельности подразделения риски, но и дать оценку существующей системе контролей, чтобы понять их достаточность и определить зоны для улучшений. Как итог, самооценка дает понимание в целом о подверженности организации операционному риску, позволяет соотнести его уровень и риск-аппетит (максимальный уровень риска, который организация готова принять для достижения поставленных бизнес и стратегических целей) и в случае необходимости разработать план мероприятий по снижению уровня риска.

В последние годы компании все больше придают значения управлению операционным риском, поскольку грамотное управление им позволяет сэкономить ресурсы и избежать избыточных потерь. Эффективное управление операционным риском позволяет найти баланс контрольной среды и риска, а регулярный мониторинг уровня риска — мобилизовать в случае необходимости ресурс и своевременно реагировать.

В мире бизнеса операционные риски — одна из тех «невидимых» угроз, которые могут внезапно стать причиной проблем. Понимание и управление этими рисками помогает компании не только избегать убытков, но и работать более уверенно и эффективно. Как же происходит процесс их выявления и оценки.

Представьте, что вы стоите перед зеркалом, оцениваете себя и замечаете какие-то недостатки. Самооценка операционных рисков и контрольных процедур — аналог подобного зеркала для компании. Первым важным этапом в самооценке является идентификация операционных рисков и выявление слабых звеньев. Здесь стоит посмотреть на бизнес-процессы свежим взглядом: что может привести компанию к убыткам, системным сбоям или нарушению законодательных требований.

Для идентификации операционных рисков можно использовать следующие инструменты:

1. Анализ бизнес-процессов: рассматриваем в какой точке бизнес-процесса может возникнуть угроза, ищем уязвимые места.
2. Проведение интервью с работниками подразделений: эксперты в той или иной области лучше знают о существующих проблемах и потенциальных рисках.
3. Изучение исторических данных: разбор инцидентов поможет выявить проблему и предотвратить возникновение повторной ошибки.
4. Сценарный анализ: формируем различные сценарии развития событий (как положительные, так и отрицательные)

Далее с помощью двух вопросов можно оценить операционный риск и присвоить ему уровень:

1. Как часто это событие может произойти?
2. Какие последствия могут быть, если оно произойдет?

Вероятность наступления операционного риска оценивается в соответствии с 5-уровневой шкалой: от несущественного уровня до критического. Влияние (последствия) операционного риска оцениваются с учетом максимально возможной суммы финансовых последствий и сопутствующих регуляторных, правовых, репутационных последствий. После оценки величин вероятности наступления и влияния операционного риска присваивается соответствующий уровень риска согласно матрице из методологии оценки операционных рисков.

Оценка рисков — не однократное мероприятие, а постоянный цикл совершенствования процессов. Эффективное управление операционными рисками требует не только выявления и оценки угроз, но и регулярного мониторинга изменений среды бизнеса. Здесь на помощь приходят ключевые индикаторы риска (КИР), позволяющие своевременно реагировать на потенциальные угрозы. О самом ключевом индикаторе и о том, для чего он нужен, читайте в нашей следующей статье об управления рисками.