Практический риск-менеджмент бизнес-процессов

Методы идентификации и классификации рисков бизнес-процессов

Почему компании теряют миллионы на рисках, которые можно было предвидеть за полчаса? Потому что поиск рисков превращается в формальное упражнение: «заполни таблицу, сдай отчёт, забудь». Между тем идентификация — это не бюрократия, а навык системного мышления. Если вы научитесь видеть риски там, где другие видят «нормальную работу», вы станете незаменимым специалистом.

Три источника рисков любого процесса

Любой бизнес-процесс рискует по трём направлениям одновременно — и это отправная точка для поиска.

Риски входов — всё, что может пойти не так с ресурсами, поступающими в процесс. Сырьё задерживается, данные некорректны, заявка клиента неполная. Представьте склад: если поставщик привозит комплектующие с браком в 5 % партии, то весь последующий процесс сборки уже обречён на брак — и это риск входа.

Риски трансформации — сбои в самой обработке. Оборудование ломается, сотрудник ошибается, алгоритм даёт сбой. Например, в процессе согласования договора юрист пропускает нестандартный пункт — и компания подписывает невыгодные условия.

Риски выходов — проблемы с результатом процесса. Продукт не соответствует спецификации, услуга оказана с опозданием, отчёт содержит ошибки. Даже если входы и трансформация были идеальны, выход может «сломаться» на этапе передачи клиенту.

Практические методы поиска рисков

Существует десятки методик, но на практике четыре из них покрывают 90 % задач.

Мозговой штурм с ограничениями

Классический мозговой штурм даёт шум. Чтобы он стал инструментом, а не «поговорили и разошлись», задайте рамки:

Ограничьте время: 20 минут на один процесс.

Запретите критику во время генерации — только фиксация.

После штурма каждый участник голосует за три самых вероятных риска.

На практике это даёт 15–25 рисков за сессию, из которых 5–8 оказываются действительно значимыми.

Метод «Что, если...?»

Возьмите каждый шаг процесса и задайте вопрос: «Что, если этот шаг не будет выполнен / будет выполнен некорректно / будет выполнен с задержкой?» Это простой, но мощный приём. Для процесса обработки заказа это может выглядеть так:

| Шаг процесса | Что, если не выполнен? | Что, если с задержкой? | |---|---|---| | Приём заявки | Клиент уходит к конкуренту | Срыв сроков доставки | | Проверка наличия | Отгрузка невозможна | Пересогласование сроков | | Отгрузка | Возврат денег, репутационные потери | Штраф по договору |

Анализ аналогичных процессов

Если у вас есть данные по инцидентам, жалобам клиентов или страховым случаям — используйте их. Составьте список из 10–15 последних крупных сбоев и проверьте: могут ли они повториться в новом процессе? Часто 60–70 % рисков нового процесса — это «старые знакомые» из аналогичных процессов.

SWIFT-анализ (Structured What-If Technique)

Это командный метод, где facilitator задаёт структурированные вопросы по категориям: человеческий фактор, оборудование, внешняя среда, регулирование. Каждый вопрос обсуждается группой, и ответы фиксируются. SWIFT особенно эффективен для процессов с высокой степенью регулирования — финансы, здравоохранение, производство.

Классификация рисков: зачем и как

Найденный риск без классификации — просто запись на бумажке. Классификация позволяет сгруппировать риски, назначить ответственных и определить приоритеты.

По источнику возникновения:

Внешние: изменение законодательства, действия конкурентов, природные явления.

Внутренние: ошибки персонала, сбои оборудования, некорректные регламенты.

По характеру последствий:

Финансовые: прямые потери, штрафы, упущенная выгода.

Операционные: простои, снижение производительности.

Репутационные: потеря доверия клиентов, негатив в СМИ.

Юридические: нарушение договоров, иски.

По степени управляемости:

Управляемые: можно устранить или снизить внутри процесса.

Частично управляемые: можно влиять, но не полностью контролировать.

Неуправляемые: остаётся только принять или застраховать.

Практический пример: процесс «Обработка входящих звонков в колл-центр»

Допустим, вы — операционный менеджер и анализируете этот процесс. Применяем метод «Что, если...?» по шагам:

Звонок поступает. Риск: система IVR не распознала запрос, клиент попал не в то подразделение → повторный звонок, рост времени обработки.

Оператор принимает звонок. Риск: оператор не владеет информацией о новом продукте → неконсультативный ответ, жалоба.

Оператор регистрирует обращение. Риск: данные внесены некорректно → ошибка при последующей обработке, потеря клиента.

Обращение передаётся исполнителю. Риск: обращение «зависло» в очереди → нарушение SLA, штраф.

Исполнитель решает вопрос. Риск: нет полномочий для принятия решения → эскалация, задержка.

За 15 минут такого анализа вы получите 8–12 конкретных рисков, каждый из которых привязан к шагу процесса. Это гораздо ценнее абстрактного списка «могут быть проблемы с качеством».

Ловушки при идентификации

Ловушка 1: «У нас такого не бывает». Это самая опасная фраза. Риски, в которые не верят, не мониторят и не управляют — именно они и реализуются. Если команда отвергает риск как «невозможный», попросите привести хотя бы один случай из отрасли.

Ловушка 2: Слишком общие формулировки. «Риск снижения качества» — это не риск, а категория. Конкретный риск: «Доля брака на этапе сборки превышает 3 % из-за износа пресс-формы № 4». Чем конкретнее формулировка, тем проще оценить и управлять.

Ловушка 3: Игнорирование кумулятивных рисков. Мелкие риски по отдельности кажутся незначительными, но в комбинации могут парализовать процесс. Например, задержка поставки на 1 день + отсутствие одного сотрудника + сбой в системе учёта = полный останов отгрузки на 3 дня.

Идентификация — это фундамент. Без качественного поиска рисков все последующие оценка и реагирование будут построены на песке. Начните с малого: выберите один процесс, примените метод «Что, если...?» и зафиксируйте результаты. Вы удивитесь, сколько уязвимостей обнаружите за 20 минут.

Инструменты качественной и количественной оценки выявленных рисков

Вы нашли 20 рисков в процессе. Теперь что — бороться со всеми сразу? Очевидно, нет. Ресурсы ограничены, и нужно понимать, какой риск срочнее, дороже и опаснее. Именно для этого существует оценка рисков — инструмент расстановки приоритетов, без которого любая риск-матрица превращается в красивую, но бесполезную картинку.

Качественная оценка: быстрая сортировка

Качественная оценка не требует точных данных — она опирается на экспертное суждение и даёт ответ на вопрос: «Какой риск важнее прямо сейчас?»

Матрица вероятность × воздействие

Это базовый инструмент, и его нужно уметь применять корректно. Ошибка большинства — оценивать «от балды». Чтобы матрица работала, нужны чёткие критерии.

Вероятность оценивается не в процентах, а в категориях:

| Категория | Описание | Пример ориентира | |---|---|---| | Очень низкая | Менее 1 раза в 5 лет | Стихийное бедствие в конкретном офисе | | Низкая | 1–2 раза в 5 лет | Сбой резервного сервера | | Средняя | 1–2 раза в год | Ошибка оператора при вводе данных | | Высокая | Несколько раз в год | Задержка поставки от конкретного поставщика | | Очень высокая | Ежемесячно или чаще | Пиковая нагрузка на колл-центр |

Воздействие оценивается по масштабу последствий:

| Категория | Финансовый ущерб | Операционное влияние | Репутационное влияние | |---|---|---|---| | Незначительное | До 50 тыс. руб. | Задержка до 1 часа | Единичная жалоба | | Умеренное | 50–500 тыс. руб. | Задержка до 1 дня | Несколько жалоб | | Значительное | 500 тыс.–5 млн руб. | Остановка процесса на 1–3 дня | Негатив в соцсетях | | Серьёзное | 5–50 млн руб. | Остановка на неделю | СМИ, проверки | | Катастрофическое | Более 50 млн руб. | Длительная остановка бизнеса | Массовый отток клиентов |

Совместив обе шкалы, вы получите зоны риска: красная — требует немедленного реагирования, жёлтая — мониторинг и план, зелёная — принятие или минимальные меры.

Метод экспертных оценок Delphi

Когда данных мало, а мнения команды расходятся, используйте модифицированный Delphi. Процедура:

Каждый эксперт независимо оценивает вероятность и воздействие риска.

Результаты анонимно обобщаются, средние значения и разброс доводятся до всех.

Эксперты могут скорректировать оценки с учётом общей картины.

Повторяется 2–3 раунда до сходимости.

Этот метод особенно полезен, когда в команде есть иерархия — анонимность убирает эффект «согласился с начальником».

Количественная оценка: когда нужны цифры

Качественная оценка говорит «этот риск серьёзный». Количественная — «он обойдётся в 2,3 млн руб. при вероятности 35 %». Это принципиально другой уровень принятия решений.

Ожидаемая денежная стоимость (Expected Monetary Value, EMV)

Формула проста:

EMV = Вероятность × Финансовое воздействие

Если вероятность срыва поставки составляет 20 %, а ущерб от простоя — 3 млн руб., то EMV = 0,20 × 3 000 000 = 600 000 руб. Это число показывает, сколько вы готовы потратить на управление этим риском, чтобы выйти «в ноль» в долгосрочной перспективе.

EMV особенно полезен при сравнении альтернатив: если страхование стоит 400 тыс. руб. в год, а EMV риска — 600 тыс., страхование выгодно.

Анализ чувствительности «Что, если хуже?»

Не всегда есть точные данные для расчёта EMV. В этом случае используйте сценарный анализ:

Оптимистичный сценарий: задержка 1 день, ущерб 200 тыс. руб.

Базовый сценарий: задержка 3 дня, ущерб 800 тыс. руб.

Пессимистичный сценарий: задержка 7 дней, ущерб 2,5 млн руб.

Этот подход не даёт одну цифру, но показывает диапазон возможных последствий и помогает принять решение: готовы ли вы к худшему сценарию?

Метод Монте-Карло (для сложных процессов)

Когда на результат влияет множество переменных с разной вероятностью, ручной расчёт невозможен. Моделирование Монте-Карло запускает тысячи симуляций процесса со случайными значениями входных параметров и даёт распределение возможных исходов.

На практике это реализуется через Excel с надстройкой @RISK или через специализированные инструменты. Например, для процесса закупок вы задаёте распределения: цена сырья — от 100 до 150 руб. (нормальное), объём заказа — от 1 000 до 5 000 ед. (равномерное), вероятность брака — 2–5 % (бета-распределение). Система генерирует 10 000 сценариев и показывает: в 95 % случаев ущерб не превысит 1,2 млн руб.

Как соединить качественную и количественную оценку

На практике вы не выбираете один метод — вы используете оба последовательно.

Шаг 1. Качественная оценка (матрица) — для быстрой сортировки всех выявленных рисков. Вы получаете приоритетный список из 5–8 рисков.

Шаг 2. Количественная оценка (EMV, сценарии) — только для рисков из красной и жёлтой зон. Это экономит время: не нужно считать каждый из 20 рисков.

Шаг 3. Результаты количественной оценки используются для обоснования бюджета на реагирование. Если EMV риска — 600 тыс. руб., а меры по снижению стоят 150 тыс. руб., инвестиция оправдана.

Практический пример: оценка рисков процесса «Согласование договоров»

Допустим, вы выявили три ключевых риска:

| Риск | Вероятность | Воздействие | Категория | EMV | |---|---|---|---|---| | Юрист пропускает невыгодный пункт | Средняя | Серьёзное (ущерб до 10 млн руб.) | Красная зона | 0,3 × 10 000 000 = 3 000 000 руб. | | Договор «зависает» на согласовании > 5 дней | Высокая | Умеренное (потеря клиента, ~200 тыс. руб.) | Жёлтая зона | 0,6 × 200 000 = 120 000 руб. | | Ошибка в реквизитах при подписании | Низкая | Незначительное (переделка, ~10 тыс. руб.) | Зелёная зона | 0,1 × 10 000 = 1 000 руб. |

Первый риск требует немедленных мер — его EMV в 30 раз выше второго. Третий можно принять без дополнительных вложений.

Ловушки оценки

Ловушка 1: Точность без точности. Если у вас нет данных, не пишите «вероятность 23,7 %» — это ложная точность. Используйте категории или диапазоны.

Ловушка 2: Игнорирование вторичных эффектов. Ущерб от риска — это не только прямые потери. Срыв поставки ведёт к штрафу (прямой ущерб), потере клиента (косвенный) и росту нагрузки на отдел продаж (скрытый). Оценивайте все три слоя.

Ловушка 3: Один раз оценил — и забыл. Оценка рисков — живой процесс. Вероятности меняются: появляется новый поставщик, меняется законодательство, обновляется оборудование. Пересматривайте оценки минимум раз в квартал.

Качественная оценка — ваш компас, количественная — ваш калькулятор. Вместе они дают картину, на основе которой можно принимать обоснованные решения о том, какие риски снижать, какие мониторить, а какие принять.

Разработка стратегий и планов минимизации рисков

Знаете, что отличает зрелый риск-менеджмент от имитации? Не количество найденных рисков и не красота матриц — а конкретные действия, которые реально снижают ущерб. Стратегия реагирования — это мост между «мы знаем о риске» и «мы готовы к нему». И этот мост нужно строить по правилам.

Четыре стратегии реагирования на риски

Каждый риск можно обработать одним из четырёх способов. Выбор зависит от соотношения вероятности, воздействия и стоимости мер.

Избежание (Avoidance)

Устранить риск полностью, изменив процесс так, чтобы опасная ситуация стала невозможной. Это самая радикальная стратегия, но иногда — самая дешёвая.

Пример: компания обнаружила, что ручной ввод данных из бумажных накладных даёт 8 % ошибок. Вместо найма дополнительных контролёров они перешли на электронный обмен данными с поставщиками. Риск «ошибка при вводе» исчез полностью — не снижен, а именно устранён.

Когда использовать: когда стоимость устранения риска ниже, чем его EMV, и когда процесс можно изменить без потери ценности.

Снижение (Mitigation)

Снизить вероятность, воздействие или оба параметра одновременно. Это самая распространённая стратегия — большинство мер риск-менеджмента относятся именно к ней.

Меры снижения вероятности:

Дублирование критических ресурсов (резервный сервер, второй поставщик).

Автоматизация рутинных операций (исключает человеческий фактор).

Обучение и сертификация персонала.

Меры снижения воздействия:

Создание буферных запасов (страховой склад).

Разработка процедур аварийного реагирования.

Договорное страхование ответственности.

Пример: риск — сбой основного сервера. Снижение вероятности — установка резервного питания. Снижение воздействия — настройка автоматического переключения на резервный сервер. Обе меры работают вместе.

Передача (Transfer)

Переложить финансовые последствия риска на третью сторону. Классический пример — страхование, но не только.

Варианты передачи:

Страхование: имущественное, ответственности, перерыва в деятельности.

Аутсорсинг: передача процесса подрядчику с жёсткими SLA и штрафами.

Договорные условия: перекладывание риска на контрагента через гарантии, залоги, неустойки.

Пример: логистическая компания страхует грузы на 100 % стоимости. Вероятность утраты — 0,5 %, средний груз — 2 млн руб. Страхование стоит 0,8 % от стоимости груза, то есть 16 тыс. руб. против EMV в 10 тыс. руб. Кажется, переплата? Но при реализации риска компания теряет не 2 млн руб., а только 16 тыс. руб. — и это вопрос не математики, а финансовой устойчивости.

Принятие (Acceptance)

Осознанно согласиться с риском и не предпринимать активных мер. Это не пассивность, а расчётливое решение: стоимость мер превышает EMV, или риск настолько мал, что управлять им нецелесообразно.

Активное принятие: создание финансового резерва на случай реализации риска. Пассивное принятие: просто фиксация в реестре и мониторинг.

Пример: вероятность отзыва лицензии — 1 %, ущерб — 500 тыс. руб., EMV — 5 тыс. руб. Стоимость юридического сопровождения для снижения этого риска — 200 тыс. руб. в год. Принятие — рациональный выбор.

Как выбрать стратегию: алгоритм принятия решений

Не существует универсальной формулы, но есть рабочий алгоритм:

Рассчитайте EMV риска — это ваш ориентир по бюджету на меры.

Оцените стоимость каждой стратегии — включая прямые затраты и косвенные эффекты (например, снижение скорости процесса при введении дополнительного контроля).

Проверьте, не создаёт ли мера новый риск. Дублирование поставщика снижает риск срыва поставки, но увеличивает сложность управления закупками.

Учтите нефинансовые факторы: репутация, регуляторные требования, стратегические приоритеты.

| Стратегия | Когда применять | Типичная стоимость | |---|---|---| | Избежание | Риск критичен, процесс можно изменить | Высокая разово, низкая операционно | | Снижение | Риск значим, есть эффективные меры | Средняя, постоянная | | Передача | Финансовое воздействие велико, вероятность мала | Страховая премия, аутсорсинг-маржа | | Принятие | EMV низкая, меры дороже риска | Минимальная |

План реагирования: от стратегии к действиям

Стратегия — это направление. План — это конкретика. Хороший план реагирования содержит пять элементов:

1. Владелец риска — конкретный человек с именем и должностью, который отвечает за мониторинг и реализацию мер. Не отдел, не «руководство» — конкретный сотрудник.

2. Триггер — событие или условие, при котором план активируется. Например: «Доля брака превышает 3 % два дня подряд» или «Поставщик не подтвердил отгрузку за 48 часов до срока».

3. Конкретные действия — пошаговый алгоритм. Не «принять меры», а:

Уведомить руководителя производства (в течение 1 часа).

Запустить проверку оборудования (в течение 4 часов).

Переключиться на резервного поставщика (в течение 24 часов).

4. Ресурсы — бюджет, персонал, оборудование, необходимые для реализации плана. Если резервный поставщик требует предоплаты — это должно быть заложено в бюджет.

5. Критерий завершения — как понять, что риск нейтрализован. Например: «Доля брака снижена до 1,5 %» или «Отгрузка восстановлена, отставание от графика — не более 1 дня».

Практический пример: план реагирования для риска «Отказ ключевого сотрудника»

Контекст: в команде из 5 человек один специалист — единственный, кто владеет критически важным навыком (например, настройка ERP-системы).

| Элемент плана | Содержание | |---|---| | Стратегия | Снижение (вероятности и воздействия) | | Меры снижения вероятности | Рыночная зарплата, мотивация, менторство | | Меры снижения воздействия | Документирование всех настроек, обучение второго сотрудника | | Владелец риска | Руководитель IT-отдела | | Триггер | Заявление об увольнении или отпуск > 2 недель | | Действия при реализации | 1. Привлечь внешнего консультанта (контракт на standby). 2. Передать документацию второму сотруднику. 3. Ограничить изменения в системе на период замены. | | Бюджет | 150 тыс. руб. — контракт с консультантом; 50 тыс. руб. — обучение второго сотрудника | | Критерий завершения | Второй сотрудник может самостоятельно выполнять 80 % функций |

Ловушки при разработке планов

Ловушка 1: План ради плана. Если план реагирования лежит в папке и никто его не читал — это не план, а отчёт. План должен быть живым документом: регулярно обновляться, тестироваться (хотя бы настольными учениями), быть доступным ответственным лицам.

Ловушка 2: Меры дороже риска. Всегда проверяйте: стоимость мер ≤ EMV риска (или стоимость оправдана нефинансовыми факторами). Иначе вы тратите деньги на управление тем, что дешевле принять.

Ловушка 3: Игнорирование побочных эффектов. Введение дополнительного контроля снижает ошибки, но замедляет процесс. Передача на аутсорсинг снижает операционные риски, но создаёт зависимость от подрядчика. Оценивайте меру комплексно.

Стратегия реагирования — это не про «что делать, если». Это про «что делать сейчас, чтобы "если" не наступило». Лучший план реагирования — тот, который никогда не активируется, потому что превентивные меры сработали.

Создание и ведение реестра рисков процесса с нуля

Реестр рисков — это не таблица в Excel, которую заполняют раз в год для аудита. Это операционный инструмент, который должен жить и работать каждый день. Если вы создаёте новый бизнес-процесс или берёте под контроль существующий — именно с реестра начинается системный риск-менеджмент. Разберёмся, как построить его с нуля так, чтобы он был полезным, а не бюрократическим.

Структура реестра: обязательные поля

Реестр — это база данных рисков. Каждая запись (риск) содержит набор полей. Вот минимальный набор, достаточный для практического управления:

| Поле | Что фиксировать | Зачем нужно | |---|---|---| | ID риска | Уникальный идентификатор (R-001, R-002) | Ссылки в документах, отчётах | | Наименование | Краткая конкретная формулировка | Быстрая идентификация | | Описание | Подробное описание сценария реализации | Понимание природы риска | | Шаг процесса | К какому шагу привязан риск | Привязка к процессу | | Источник | Внешний / внутренний | Определение зоны ответственности | | Категория | Финансовый, операционный, репутационный и т.д. | Группировка и отчётность | | Вероятность | Категория (1–5) или процент | Оценка приоритета | | Воздействие | Категория (1–5) и описание последствий | Оценка приоритета | | Рейтинг | Вероятность × Воздействие | Сортировка и приоритизация | | Стратегия | Избежание / Снижение / Передача / Принятие | Направление действий | | Меры реагирования | Конкретные действия | План работы | | Владелец | ФИО и должность | Ответственность | | Статус | Активный / В работе / Закрыт / Реализован | Текущее состояние | | Срок пересмотра | Дата следующей проверки | Контроль актуальности |

Это ядро. Дополнительные поля (например, EMV, дата выявления, связанные риски, документы-основания) добавляются по мере зрелости процесса.

Пошаговый алгоритм создания реестра

Шаг 1. Определите границы процесса

Прежде чем искать риски, чётко определите: какой процесс вы описываете, где его начало и конец, кто участвует, какие ресурсы задействованы. Если процесс не описан — опишите его хотя бы в виде списка шагов. Без этого вы будете искать риски «вообще», а не в конкретном процессе.

Шаг 2. Проведите идентификацию рисков

Используйте методы из предыдущих статей: «Что, если...?», мозговой штурм, анализ аналогичных процессов. Фиксируйте каждый найденный риск в формате: «[Что произойдёт] из-за [причины], что приведёт к [последствию]».

Пример формулировки: «Отгрузка заказа задержится на 2 дня из-за отсутствия комплектующих на складе, что приведёт к нарушению SLA и штрафу 100 тыс. руб.»

Шаг 3. Оцените каждый риск

Примените качественную оценку (матрица вероятность × воздействие) ко всем рискам. Для рисков из красной и жёлтой зон проведите количественную оценку (EMV или сценарный анализ). Проставьте рейтинги.

Шаг 4. Определите стратегии и меры

Для каждого риска выберите стратегию реагирования и опишите конкретные меры. Назначьте владельца и срок пересмотра.

Шаг 5. Утвердите и встройте в процесс

Реестр должен быть утверждён руководителем процесса и доступен всем заинтересованным лицам. Встройте процедуру пересмотра реестра в регулярные операционные встречи — например, ежемесячно.

Формат ведения: Excel, специализированный софт или что-то ещё?

Для большинства операционных менеджеров Excel — оптимальный старт. Он гибок, доступен и не требует внедрения.

Минимальная структура листа Excel:

Строка 1: заголовки полей (ID, Наименование, Вероятность, Воздействие, Рейтинг, Стратегия, Меры, Владелец, Статус, Срок пересмотра).

Строки 2+: записи рисков.

Условное форматирование: красный/жёлтый/зелёный по столбцу «Рейтинг».

Фильтры по всем столбцам для быстрой навигации.

Отдельный лист — «Журнал изменений»: дата, что изменилось, кто изменил.

Когда количество рисков превышает 50–70 или реестр используется несколькими подразделениями — стоит рассмотреть специализированные решения: Risk Register в MS Project, модули SAP GRC, или специализированные SaaS-платформы типа Resolver, LogicGate.

Практика ведения: как реестр не превратится в «мёртвый документ»

Реестр умирает, когда его перестают обновлять. Три правила живого реестра:

Правило 1: Пересмотр по расписанию. Минимум раз в квартал — полный пересмотр всех рисков. Ежемесячно — обновление статусов и проверка триггеров. Еженедельно — быстрый взгляд на риски с высоким рейтингом.

Правило 2: Реагирование на события. Каждый инцидент, жалоба, сбой — повод проверить: был ли этот риск в реестре? Если да — актуальны ли меры? Если нет — добавить и оценить.

Правило 3: Связь с процессом. При любом изменении процесса (новый поставщик, обновление ПО, изменение регламента) — пересмотр реестра. Изменение процесса = потенциально новые риски.

Пример: реестр рисков процесса «Онлайн-приём платежей»

| ID | Наименование | Шаг | Вероятность | Воздействие | Рейтинг | Стратегия | Меры | Владелец | Статус | |---|---|---|---|---|---|---|---|---|---| | R-001 | Сбой платёжного шлюза | Обработка платежа | Средняя (3) | Серьёзное (4) | 12 | Снижение | Резервный шлюз, мониторинг доступности | Тех. директор | Активный | | R-002 | Мошенническая транзакция | Валидация карты | Низкая (2) | Значительное (3) | 6 | Снижение | 3D-Secure, лимиты, скоринг | Руководитель платёжного отдела | Активный | | R-003 | Ошибка расчёта комиссии | Формирование чека | Низкая (2) | Умеренное (2) | 4 | Снижение | Автоматическая сверка, контрольная выборка | Финансовый менеджер | В работе | | R-004 | Утечка данных карт | Хранение данных | Очень низкая (1) | Катастрофическое (5) | 5 | Снижение + Передача | Шифрование, PCI DSS, страхование | CISO | Активный |

Обратите внимание: R-004 имеет низкую вероятность, но катастрофическое воздействие. Его рейтинг всего 5, но он требует пристального внимания именно из-за масштаба последствий. Это пример, почему нельзя руководствоваться только числовым рейтингом — контекст важен.

Распространённые ошибки при создании реестра

Ошибка 1: Слишком много рисков. Если в реестре 200 записей, им никто не управляет. Оптимальный размер — 15–40 активных рисков на процесс. Остальные либо объединяются, либо переводятся в статус «Приняты».

Ошибка 2: Нет владельцев. Риск без владельца — это пожелание, а не управление. Каждый активный риск должен иметь конкретного ответственного.

Ошибка 3: Формулировки без последствий. «Риск сбоя системы» — это неинформативно. «Сбой системы обработки заказов приведёт к потере 500+ заказов в час и ущербу 2 млн руб.» — это основание для действий.

Ошибка 4: Реестр существует отдельно от процесса. Если реестр не привязан к регламентам, должностным инструкциям и операционным meeting'ам — он мёртв. Интегрируйте его в повседневную работу.

Реестр рисков — это не цель, а инструмент. Его ценность определяется не количеством полей, а тем, насколько часто и эффективно он используется для принятия решений. Начните с простого: 10–15 рисков, базовые поля, ежемесячный пересмотр. И постепенно усложняйте по мере роста зрелости процесса.

Готовые чек-листы и шаблоны для операционного риск-менеджмента

Теория — это хорошо, но операционному менеджеру нужны инструменты «из коробки». Вы пришли на работу, открыли шаблон, заполнили — и процесс под контролем. В этой статье — конкретные чек-листы и шаблоны, которые вы можете скопировать и начать использовать прямо сегодня.

Чек-лист идентификации рисков процесса

Используйте этот чек-лист при запуске нового процесса или аудите существующего. Проходите по каждому пункту и фиксируйте найденные риски.

Входы процесса:

Какие данные/материалы/заявки поступают на вход?

Может ли вход быть неполным, некорректным, задержанным?

Есть ли зависимость от единственного поставщика входа?

Как проверяется качество входа?

Что произойдёт, если вход не поступит вообще?

Трансформация (обработка):

Какие шаги выполняются последовательно?

На каких шагах задействован ручной труд?

Где используются IT-системы и что будет при их сбое?

Есть ли узкие места (bottleneck) с высокой нагрузкой?

Какие решения принимаются вручную и по каким критериям?

Есть ли зависимости от конкретных сотрудников (bus factor)?

Выходы процесса:

Какой результат получает клиент/следующий процесс?

Как проверяется качество выхода?

Каковы SLA и что грозит при их нарушении?

Может ли результат быть передан некорректному получателю?

Есть ли обратная связь от клиента и как она обрабатывается?

Внешняя среда:

Есть ли регуляторные требования к процессу?

Какие изменения законодательства могут повлиять?

Есть ли сезонные или циклические факторы?

Как процесс зависит от макроэкономической ситуации?

Шаблон реестра рисков (таблица)

Скопируйте эту структуру в Excel или Google Sheets:

| Поле | Описание | Пример заполнения | |---|---|---| | ID | Уникальный номер | R-001 | | Наименование | Краткая формулировка риска | Сбой платёжного шлюза | | Описание | Сценарий реализации | Шлюз недоступен > 30 мин, клиенты не могут оплатить | | Шаг процесса | Привязка к шагу | Шаг 3: Обработка платежа | | Источник | Внешний / Внутренний | Внешний | | Категория | Финансовый / Операционный / Репутационный | Операционный + Финансовый | | Вероятность (1–5) | 1 — очень низкая, 5 — очень высокая | 3 | | Воздействие (1–5) | 1 — незначительное, 5 — катастрофическое | 4 | | Рейтинг | Вероятность × Воздействие | 12 | | EMV (руб.) | Расчётная стоимость риска | 600 000 | | Стратегия | Избежание / Снижение / Передача / Принятие | Снижение | | Меры | Конкретные действия | Настройка резервного шлюза, мониторинг | | Владелец | ФИО, должность | Иванов И.И., тех. директор | | Статус | Активный / В работе / Закрыт | Активный | | Срок пересмотра | Дата следующей проверки | 01.04.2025 | | Связанные риски | ID связанных рисков | R-003, R-007 |

Шаблон плана реагирования на риск

Каждый риск из красной и жёлтой зон получает отдельный план:

Риск: [Наименование, ID]

Владелец: [ФИО, должность]

Триггер активации: [Конкретное событие или условие]

Шаги реагирования:

| № | Действие | Ответственный | Срок | Ресурсы | Критерий выполнения | |---|---|---|---|---|---| | 1 | Уведомить руководителя | Координатор | 1 час | — | Уведомление отправлено | | 2 | Запустить резервный шлюз | Системный администратор | 2 часа | Доступ к панели | Шлюз работает | | 3 | Информировать клиентов | Отдел маркетинга | 4 часа | Шаблон рассылки | Рассылка отправлена | | 4 | Провести анализ инцидента | Руководитель процесса | 3 дня | — | Отчёт составлен |

Бюджет на реагирование: [сумма]

Критерий завершения: [конкретное измеримое условие]

Чек-лист оценки рисков (качественная)

Для каждого выявленного риска ответьте на вопросы:

Вероятность:

Сколько раз этот риск реализовывался за последние 2 года?

Есть ли аналогичные случаи в отрасли?

Усиливаются ли факторы, которые могут привести к реализации?

Есть ли тенденция к росту или снижению вероятности?

Воздействие — финансовое:

Какой прямой ущерб будет нанесён (штрафы, возвраты, потери)?

Какие косвенные расходы возникнут (срочные закупки, сверхурочные)?

Какова упущенная выгода за период сбоя?

Воздействие — операционное:

На сколько времени будет остановлен процесс?

Сколько сотрудников будут отвлечены от основных задач?

Повлияет ли сбой на смежные процессы?

Воздействие — репутационное:

Узнают ли клиенты о проблеме?

Может ли информация попасть в СМИ?

Какова вероятность потери ключевых клиентов?

Чек-лист пересмотра реестра (ежеквартальный)

Проводите этот аудит раз в квартал:

Актуальность:

Все ли риски в реестре актуальны для текущей версии процесса?

Есть ли риски, которые можно закрыть (реализовались, устранены, более не применимы)?

Появились ли новые риски из-за изменений в процессе?

Оценка:

Изменились ли вероятности или воздействия для существующих рисков?

Требуется ли пересчёт EMV?

Соответствует ли текущий рейтинг реальному положению дел?

Меры:

Все ли запланированные меры реализованы?

Были ли активации планов реагирования? Каковы результаты?

Есть ли меры, которые не работают и требуют замены?

Владельцы:

Все ли владельцы рисков актуальны (не уволились, не сменили должность)?

Выполняют ли владельцы свои обязанности по мониторингу?

Документация:

Все ли изменения в реестре зафиксированы с датой и автором?

Есть ли ссылки на документы-основания (регламенты, отчёты об инцидентах)?

Шаблон отчёта по рискам для руководства

Ежемесячный или ежеквартальный отчёт должен быть ёмким — максимум 1 страница:

1. Сводка: количество активных рисков, распределение по зонам (красная / жёлтая / зелёная), изменения за период.

2. Топ-5 рисков по рейтингу: ID, наименование, рейтинг, статус мер, владелец.

3. Реализованные риски за период: что произошло, какой ущерб, какие меры приняты, уроки.

4. Выполненные меры: что сделано по плану снижения, эффект.

5. Требуемые решения: что требует внимания руководства (бюджет, эскалация, изменение процесса).

Чек-лист запуска нового процесса (риск-аспект)

Перед запуском нового бизнес-процесса убедитесь:

Проведена идентификация рисков (минимум 2 метода).

Риски оценены и классифицированы.

Создан реестр рисков с заполненными обязательными полями.

Назначены владельцы для всех активных рисков.

Разработаны планы реагирования для рисков красной и жёлтой зон.

Выделен бюджет на управление рисками.

Регламентирована процедура пересмотра реестра (периодичность, ответственные).

Риски интегрированы в операционные встречи.

Проведена презентация рисков для ключевых стейкхолдеров.

Как адаптировать шаблоны под себя

Эти шаблоны — стартовая точка, не догма. Адаптируйте их:

Упрощайте. Если процесс маленький и рисков немного — уберите поле EMV, оставьте только качественную оценку.

Дополняйте. Если работаете в регулируемой отрасли — добавьте поле «Нормативное требование».

Автоматизируйте. Настройте условное форматирование в Excel, чтобы риски с рейтингом выше 10 автоматически подсвечивались красным.

Интегрируйте. Свяжите реестр с системой учёта инцидентов — чтобы при регистрации инцидента автоматически проверялся реестр.

Главное правило: шаблон должен работать на вас, а не вы на шаблон. Если какое-то поле вы никогда не заполняете — уберите его. Если вам не хватает данных — добавьте. Инструмент ценен только тогда, когда используется.