Риск-менеджмент: как выявить, оценить и наглядно управлять рисками бизнеса

Уже 10 лет я живу в двух ролях: юриста и предпринимателя. Как юрист я постоянно сталкиваюсь с различными правовыми вопросами IT-компаний. Как предприниматель – вижу, насколько эти вопросы муторные, неприятные и непрозрачные.

На стыке двух взглядов и родилась идея применять риск-менеджмент для эффективной юридической защиты бизнеса.

Юридические вопросы – это черный ящик для предпринимателя. Не поймешь, что и когда оттуда выскочит. А когда выскочит, то непонятно, как разбираться. Законы написаны путано, правоприменение отличается на местах, разъяснения противоречат друг другу.

Как технический долг в разработке, юридические вопросы постепенно накапливаются и мешают спать. Ты знаешь, что где-то рванет, но не знаешь, когда и где.

Для того, чтобы хоть как-то управлять этими задачами, нанимаешь специального проводника – юриста. Но и тут подвох. И дело не только в том, что, согласно известной поговорке, «Два юриста — три мнения». Основная проблема в том, что у юриста часто вообще нет мнения: «В законе написано вот так — идите и исполняйте. Я не знаю, что делать, я просто перевожу, что здесь сказано на юридическом».

Как же так, и за что тогда платятся деньги? Какая польза? Кажется, что это замкнутый круг, из которого невозможно выбраться.

Объяснить базовый конфликт между предпринимателем и юристом можно через один простой пример – отношение к риску.

Вспомним определение предпринимательства: «осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли...»

Риск порождает прибыль – это аксиома для человека, который занимается бизнесом.

Но как видит юрист свою задачу в бизнесе? В лучшем случае он скажет: «Юрист обязан минимизировать риски компании», а в худшем: «Я хочу исключить для компании все риски». То есть, по сути, убить бизнес.

Юрист и предприниматель смотрят в разные направления, поэтому редко могут найти компромисс.

Даже если юрист понял задачу предпринимателя и готов ему помочь, то им очень сложно найти общий язык.

Есть множество разных рисков: работа с клиентами, с сотрудниками, с государством, с партнерами. За что хвататься в первую очередь? На что обратить внимание?

Интуитивно юрист советует заняться рисками:

Далеко не всегда эти риски важны для предпринимателя, и он видит картину совершенно иначе.

Чтобы действительно вместе управлять рисками, нужно сделать 2 вещи:

1. Говорить не только про риски, но и про ущерб от них + вероятность их наступления.

2. Соотнести оценку с риск-аппетитом конкретного предпринимателя.

Мы решили сделать из черного ящика прозрачный куб.

Сперва и на основе нашего десятилетнего опыта работы с ИТ-бизнесом выписали все известные нам риски. Получилось больше 500 видов. Стало понятно, что с таким количеством работать малому и среднему бизнесу слишком затратно.

Поэтому мы выделили те риски, которые чаще всего встречаются у наших клиентов. Их оказалось 50.

После этого мы оценили каждый по размеру ущерба и вероятности наступления, а также подготовили рекомендации по управлению в зависимости от обстоятельств.

По сути, собрали базу основных рисков ИТ-бизнеса.

И на основе этой базы создали систему, которая позволяет предпринимателям:

Риск-менеджмент стоит из следующих этапов:

1. Сбор информации

Задаем вопросы бизнесу, запрашиваем документы и уточняем риск-аппетит (кого-то штраф в 100 000 рублей пугает, а кто-то его даже не заметит).

2. Выявление рисков

Ищем риски бизнеса на основе предоставленной информации и документов.

Например, выявили риск «ФНС переквалифицирует отношения компании с самозанятыми/ИП в трудовые»

3. Оценка рисков

Оцениваем выявленные риски бизнеса с точки зрения ущерба и вероятности их наступления. Ущерб оцениваем по степеням: от минимального до большого с учетом риск-аппетита бизнеса. Вероятность также оцениваем по степеням: от низкой до высокой. Для оценки вероятности наступления риска анализируем:

4. Подготовка рекомендаций по управлению рисками

Предлагаем, что делать с рисками: принять, снизить, исключить или перенести на третье лицо.

После сбора информации и подготовки рекомендаций предоставляем бизнесу автоматизированную карту рисков, которая содержит:

Такая карта рисков дает возможность бизнесу:

Собрать и оценить риски – половина дела. Если остановиться на этой фазе, то процесс не будет отличаться от обычного аудита. Все поговорили, поохали и… все.

Для начала стоит принять меры, которые позволят сделать карту менее красной. Частично вопрос решается переработкой документов, частично – исправлением процессов. Иногда придется отказаться от части активностей. Карта рисков может открыть глаза на то, что какая-то из услуг абсолютно несоразмерна серьезности потенциальных рисков, которые в текущей ситуации являются неустранимыми.

По нашему опыту, работа по исправлению критических рисков занимает от 3 до 6 месяцев, в зависимости от запущенности ситуации.

Но настоящий профит от риск-менеджмента и карты рисков появляется на следующем этапе.

Карта рисков становится инструментом для постоянного управления ситуацией и «переводчиком» между бизнесом и юристом.

Появился новый закон? Заносим его в карту и пытаемся понять, как он влияет на нас. Изменяем бизнес-процесс? Заглядываем, а не нужно ли в связи с этим сделать юридические действия.

Юридических задач слишком много и юрист перегружен? Давайте посмотрим, точно ли нужно расширению бюджета, или достаточно снять с юриста ряд задач, которые не несут для бизнеса рисков и выполняется по привычке.

Еще раз подчеркнем, что риск-менеджмент – это не обычный аудит бизнеса.

Ниже сравнительная таблица, которая показывает их ключевые различия:

1. Риск-менеджмент предназначен для того, чтобы бизнес:

2. Риск-менеджмент – это живой процесс, который требует постоянной активности, но который кратно увеличивает эффективность работы с юридическими вопросами.

3. Риск-менеджмент формирует новую культуру взаимодействия в компании, где вместо тезисов «у нас всегда так было», «это нельзя», «говорят, это опасно» сотрудники точно формулируют риски, их ущерб и вероятность наступления.

Если хотите внедрить риск-менеджмент у себя в компании – пишите нам. Предотвратить по-прежнему легче, чем разбираться с последствиями.