Риск-менеджмент: как выявить, оценить и наглядно управлять рисками бизнеса

Риск-менеджмент: как выявить, оценить и наглядно управлять рисками бизнеса

Уже 10 лет я живу в двух ролях: юриста и предпринимателя. Как юрист я постоянно сталкиваюсь с различными правовыми вопросами IT-компаний. Как предприниматель – вижу, насколько эти вопросы муторные, неприятные и непрозрачные.

На стыке двух взглядов и родилась идея применять риск-менеджмент для эффективной юридической защиты бизнеса.

Черный ящик

Юридические вопросы – это черный ящик для предпринимателя. Не поймешь, что и когда оттуда выскочит. А когда выскочит, то непонятно, как разбираться. Законы написаны путано, правоприменение отличается на местах, разъяснения противоречат друг другу.

Как технический долг в разработке, юридические вопросы постепенно накапливаются и мешают спать. Ты знаешь, что где-то рванет, но не знаешь, когда и где.

Для того, чтобы хоть как-то управлять этими задачами, нанимаешь специального проводника – юриста. Но и тут подвох. И дело не только в том, что, согласно известной поговорке, «Два юриста — три мнения». Основная проблема в том, что у юриста часто вообще нет мнения: «В законе написано вот так — идите и исполняйте. Я не знаю, что делать, я просто перевожу, что здесь сказано на юридическом».

Как же так, и за что тогда платятся деньги? Какая польза? Кажется, что это замкнутый круг, из которого невозможно выбраться.

Предприниматель, юрист и риски

Объяснить базовый конфликт между предпринимателем и юристом можно через один простой пример – отношение к риску.

Вспомним определение предпринимательства: «осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли...»

Риск порождает прибыль – это аксиома для человека, который занимается бизнесом.

Но как видит юрист свою задачу в бизнесе? В лучшем случае он скажет: «Юрист обязан минимизировать риски компании», а в худшем: «Я хочу исключить для компании все риски». То есть, по сути, убить бизнес.

Юрист и предприниматель смотрят в разные направления, поэтому редко могут найти компромисс.

Риск или не риск, вот в чем вопрос

Даже если юрист понял задачу предпринимателя и готов ему помочь, то им очень сложно найти общий язык.

Есть множество разных рисков: работа с клиентами, с сотрудниками, с государством, с партнерами. За что хвататься в первую очередь? На что обратить внимание?

Интуитивно юрист советует заняться рисками:

  • В которых он лучше всего разбирается;
  • Которые когда-то наступали в его практике;
  • О которых больше всего говорят.

Далеко не всегда эти риски важны для предпринимателя, и он видит картину совершенно иначе.

Чтобы действительно вместе управлять рисками, нужно сделать 2 вещи:

1. Говорить не только про риски, но и про ущерб от них + вероятность их наступления.

2. Соотнести оценку с риск-аппетитом конкретного предпринимателя.

Прозрачный куб

Мы решили сделать из черного ящика прозрачный куб.

Сперва и на основе нашего десятилетнего опыта работы с ИТ-бизнесом выписали все известные нам риски. Получилось больше 500 видов. Стало понятно, что с таким количеством работать малому и среднему бизнесу слишком затратно.

Поэтому мы выделили те риски, которые чаще всего встречаются у наших клиентов. Их оказалось 50.

После этого мы оценили каждый по размеру ущерба и вероятности наступления, а также подготовили рекомендации по управлению в зависимости от обстоятельств.

По сути, собрали базу основных рисков ИТ-бизнеса.

И на основе этой базы создали систему, которая позволяет предпринимателям:

  • Понять, какие риски действительно важны для бизнеса, чтобы правильно поставить задачу юристу;
  • Отслеживать, как меняется оценка рисков: в результате работы юриста, изменений законодательства/судебной практики и иных факторов.

Как это работает

Риск-менеджмент стоит из следующих этапов:

1. Сбор информации

Задаем вопросы бизнесу, запрашиваем документы и уточняем риск-аппетит (кого-то штраф в 100 000 рублей пугает, а кто-то его даже не заметит).

2. Выявление рисков

Ищем риски бизнеса на основе предоставленной информации и документов.

Например, выявили риск «ФНС переквалифицирует отношения компании с самозанятыми/ИП в трудовые»

3. Оценка рисков

Оцениваем выявленные риски бизнеса с точки зрения ущерба и вероятности их наступления. Ущерб оцениваем по степеням: от минимального до большого с учетом риск-аппетита бизнеса. Вероятность также оцениваем по степеням: от низкой до высокой. Для оценки вероятности наступления риска анализируем:

  • Статистику;
  • Судебную практику;
  • Публикации в СМИ;
  • Индивидуальные особенности бизнеса.
Оценили риск: «ФНС переквалифицирует отношения компании с самозанятыми/ИП в трудовые»

Ущерб – очень большой

(исходя из размера возможных штрафов, доначисленного НДФЛ и страховых взносов с учетом риск-аппетита бизнеса)


Вероятность – средняя

(исходя из статистики проверок ФНС и количества самозанятых в компании)

4. Подготовка рекомендаций по управлению рисками

Предлагаем, что делать с рисками: принять, снизить, исключить или перенести на третье лицо.

Риск того, что ФНС переквалифицирует отношения компании с самозанятыми/ИП в трудовые, можно снизить, следуя рекомендациям ниже:

– По возможности, не сотрудничать более чем с 10 самозанятыми/ИП;

– Не выплачивать вознаграждение фиксированной суммой 2 раза в месяц;

– Определить размер вознаграждения в зависимости от выполненного объема услуг или от отработанного количества часов и т.п.

Карта рисков

После сбора информации и подготовки рекомендаций предоставляем бизнесу автоматизированную карту рисков, которая содержит:

  • Визуальное отображение всех выявленных рисков;
  • Перечень рисков;
  • Оценку рисков;
  • Рекомендации по управлению рисками.
Пример карты рисков
Пример карты рисков
Пример информации по конкретному риску
Пример информации по конкретному риску

Такая карта рисков дает возможность бизнесу:

  • Понять, какие риски реально важны для него;
  • Изменить свои планы и действия с учетом этих рисков;
  • Эффективно управлять ресурсами юристов.

Управление рисками

Собрать и оценить риски – половина дела. Если остановиться на этой фазе, то процесс не будет отличаться от обычного аудита. Все поговорили, поохали и… все.

Для начала стоит принять меры, которые позволят сделать карту менее красной. Частично вопрос решается переработкой документов, частично – исправлением процессов. Иногда придется отказаться от части активностей. Карта рисков может открыть глаза на то, что какая-то из услуг абсолютно несоразмерна серьезности потенциальных рисков, которые в текущей ситуации являются неустранимыми.

По нашему опыту, работа по исправлению критических рисков занимает от 3 до 6 месяцев, в зависимости от запущенности ситуации.

Бизнес реализовал рекомендации по снижению риска того, что ФНС переквалифицирует отношения компании с самозанятыми/ИП в трудовые.

Если до реализации рекомендаций риск был выше среднего, то после их реализации он стал низким. А в результате переоценки автоматически изменился и внешний вид карты рисков.

Но настоящий профит от риск-менеджмента и карты рисков появляется на следующем этапе.

Карта рисков становится инструментом для постоянного управления ситуацией и «переводчиком» между бизнесом и юристом.

Появился новый закон? Заносим его в карту и пытаемся понять, как он влияет на нас. Изменяем бизнес-процесс? Заглядываем, а не нужно ли в связи с этим сделать юридические действия.

Юридических задач слишком много и юрист перегружен? Давайте посмотрим, точно ли нужно расширению бюджета, или достаточно снять с юриста ряд задач, которые не несут для бизнеса рисков и выполняется по привычке.

Риск-менеджмент vs аудит бизнеса

Еще раз подчеркнем, что риск-менеджмент – это не обычный аудит бизнеса.

Ниже сравнительная таблица, которая показывает их ключевые различия:

Наглядное сравнение
Наглядное сравнение

Выводы

1. Риск-менеджмент предназначен для того, чтобы бизнес:

  • Понимал, какие риски реально важны для него;
  • Имел на руках инструмент с визуальным отражением рисков в компании – карту рисков;
  • Мог отслеживать, как меняется оценка рисков после того, как он принял меры по управлению ими (или под влиянием внешних факторов).
  • Мог синхронизировать понимание задач с юристом.

2. Риск-менеджмент – это живой процесс, который требует постоянной активности, но который кратно увеличивает эффективность работы с юридическими вопросами.

3. Риск-менеджмент формирует новую культуру взаимодействия в компании, где вместо тезисов «у нас всегда так было», «это нельзя», «говорят, это опасно» сотрудники точно формулируют риски, их ущерб и вероятность наступления.

Если хотите внедрить риск-менеджмент у себя в компании – пишите нам. Предотвратить по-прежнему легче, чем разбираться с последствиями.

Павел Мищенко
Управляющий партнер Рунетлекс
77
1 комментарий

Офигенная статья, написанная человеческим языком. Спасибо!

2