Заканчивая цикл статей о ключевых условиях для построения эффективного управления рисками в компании, необходимо остановиться на последнем, результирующем элементе системы – бизнес-процессах.

Очевидно, что исполнение ключевых целей компании, обозначенных в ее стратегии/-ях и бизнес -плане, реализуется через соответствующие бизнес-процессы обычной и проектной деятельности. Соответственно, и риск-менеджмент как обязательный элемент повседневного производства и культуры управления логично должен найти в них прямое отражение, как в виде фактических действий, процедур, правил – так и в виде соответствующих нормативных документов.

Начать реализовывать данную задачу удобнее всего с определения общей концепции, назначения и сути риск-менеджмента в конкретной организации, например, в форме соответствующей Политики. Такое задание общей идеологии, миссии, целей, охвата управления рисками для конкретного бизнеса будет служить основой соответствующей культуры и рамочным документом самого процесса управления рисками. Дальнейшее выстраивание системы сверху-вниз будет еще более простым и естественным в случае, если лаконичный документ первого уровня, которым является Политика, будет расширен и детализирован на следующем уровне более прикладным Регламентом/Положением, которое определит основные понятия управления рисками, а также ключевые шаги соответствующего цикла, применимые к любому бизнес-процессу в компании.

Следующий этап внедрения системы в практическую реализацию удобнее всего начинать с анализа модели процессов компании. В самом распространенном понимании процессы разделяются на основные, вспомогательные и управленческие (к которым часто относится и процесс управления рисками, как таковой, за исключением случаев специализированных компаний). Чаще всего, внедрение риск-менеджмента происходит поэтапно и начинается либо с основных, либо с самых классических с точки зрения управления рисками процессов – финансовых.

Какой бы процесс/группа процессов ни были выбраны стартовыми для внедрения функции управления рисками, последовательность основных этапов внедрения/актуализации комплекса мер по риск-менеджменту будет неизменной, и именно этот стандарт работы с любыми рисками необходимо описать в вышеупомянутом документе второго уровня:

• определение цели процесса/проекта;
• определение ключевых рисков процесса/проекта;
• определение системы взаимосвязей и критических точек/шагов процесса/проекта;
• настройка мероприятий по анализу, предотвращению/реагированию на риски и/или комплекса ключевых контролей;
• настройка системы обратной связи и актуализации всей системы.

Многие источники выделяют дополнительный шаг (особенно когда речь идет о процессах в рамках проектного управления) – планирование управления рисками, но для практических целей данной короткой статьи будем подразумевать, что оно происходит на этапах, предшествующих внедрению системы в конкретные бизнес-процессы.

  Отметим, что для различных по своей сути и технической реализации процессов комплекс анализа и обращения с рисками может существенно отличаться и для эффективной настройки риск-менеджмента ключевыми как раз и будут рассмотренные в предыдущих статьях необходимая экспертиза [ссылка на предыдущую статью] и информация [ссылка на предыдущую статью]. В любом случае, любое встраивание инструментов и процедур управления рисками носит итерационный характер, то есть становится более глубоким, комплексным и точным с каждым новым циклом масштабных процессов (например, общего бизнес-планирования организации) или постепенным совершенствованием общей культуры управления в компании, а также с каждой новой регулярной переоценкой рисков. На данном этапе конкретизации риск-менеджмента для отдельно взятых процессов возможны различные решения с точки зрения регламентации:

• разработка отдельных регламентов/ процедур в рамках управления рисками для соответствующего бизнес-процесса или
• встраивание необходимых шагов в собственные нормативные документы конкретного процесса (см. Схему 2 ниже).

На взгляд практика, более предпочтительным является второй вариант, поскольку он гарантирует неотделимость риск-менеджмента от других бизнес-процессов и гармоничную взаимосвязь шагов по управлению рисками с основными этапами реализации соответствующего процесса. При этом в дополнение к основным регламентам вполне возможно выделить следующий (третий) уровень регламентирующей документации, например, подробные инструкции/методики по исполнению сложных процедур управления рисками, особых методик количественного моделирования, оценки или специальных исследований, как для облегчения нормативной документации – так и для случаев, когда к исполнению соответствующих шагов будут иметь отношение не все участники основного бизнес-процесса.

Следует помнить, что при внедрении элементов СУР важно корректно и сбалансированно распределить ответственность как за общее состояние управления соответствующими рисками – так и за исполнение необходимых конкретных процедур, включая своевременные коммуникации и накопление релевантной информации. Только при грамотном распределении ответственности возможно обеспечить эффективную обратную связь для своевременной актуализации и совершенствования системы риск-менеджмента и управления вообще. Такого рода закрепление ответственности также стоит отразить в нормативной базе, вплоть до прямого упоминания в ключевых показателях эффективности и должностных инструкциях владельцев целей и рисков.

Помимо реализации обязательных целей в области управления рисками побочным эффектном встраивания элементов СУР в бизнес-процессы является дополнительная возможность анализа и оптимизации самих процессов (например, при реализации проектов внутреннего контроля), а также стандартизации и синхронизации процессов между собой. Кроме того, подобного рода упражнение является обязательным при автоматизации как основного бизнес-процесса – так и управления рисками в компании.

Очевидно, что все перечисленные элементы (прикладные шаги в рамках выявления, оценки, управления рисками и соответствующей обратной связи) должны подлежать пересмотру, как в процессе развития всего бизнеса – так и в рамках совершенствования основных бизнес-процессов и процессов управления рисками. Такого рода актуализация должна быть регулярной и обязательной, и находить свое отражение в соответствующих планах деятельности владельцев целей и процессов, Риск-Офицера компании и службы внутреннего аудита.

В случае грамотного встраивания процедур и инструментов управления рисками в основные бизнес-процессы организации обеспечиваются прямые предпосылки для развития культуры управления рисками – а значит и культуры производства и управления вообще, что логично приводит как к совершенствованию всей бизнес-системы, так и повышению эффективности и стоимости бизнеса.

Ирина Андропова (с)