Матрица оценки рисков - это широко используемый инструмент, который организации внедряют в рамках своего процесса оценки рисков для определения рисков и их классификации на основе вероятности возникновения и уровня воздействия.
Организации могут использовать различные термины для описания своей матрицы. Вы можете услышать "матрица контроля рисков" (иногда называемая таблицей контроля рисков или диаграммой контроля рисков), или "матрица рисков и контроля" (RACM), или просто "матрица рисков". Независимо от того, что организация называет матрицей рисков, это относится к той целостной матрице, которая суммирует риски, измеряет значительность этих рисков, определяет смягчающие факторы.
Важность оценки рисков — зачем использовать матрицу рисков?
Организации любого размера используют матрицу рисков по трем основным причинам:
- Для измерения размера и масштабов риска
- Чтобы определить, есть ли у них соответствующие ресурсы для минимизации риска
- Для сортировки и определения приоритетов списка рисков в разборчивой, легко читаемой матрице
Цель матрицы оценки рисков состоит в том, чтобы помочь командам идентифицировать, оценивать и расставлять приоритеты рисков для своей организации — на уровне предприятия, бизнес-процесса и отдельных процессов. Кроме того, матрица оценки рисков является ключевым инструментом, помогающим организациям повышать устойчивость к рискам и опережать их в этом постоянно меняющемся деловом климате.
Как выполнить оценку риска в 4 этапа
Это может показаться сложным процессом, когда вы думаете о том, как сделать оценку рисков. Но мы можем предложить упрощенный взгляд без кучи математических вычислений.
Шаг 1: Определение совокупности рисков
Цель этого первого шага состоит в том, чтобы охватить весь масштаб существующего риска.
Для начала вам нужно убедиться, что вы забросили как можно более широкую сеть. Самый эффективный способ сделать это - провести мозговой штурм в свободном режиме. В ходе этих мозговых штурмов будет сформирован список идей, которые лягут в основу матрицы оценки рисков.
Можно начинать с категорий рисков высокого уровня, которые соответствуют бизнес-функциям, а затем переходить к конкретным процессам в рамках этих функций. Это помогает сузить фокус после масштабного мозгового штурма.
Кроме того, ваша совокупность рисков будет содержать проблемы, характерные для вашей отрасли, наряду с проблемами, уникальными для вашей компании.
Также важно, чтобы участники рассматривали лидеров мнений в своих областях и смотрели за пределы организации, для выявления и оценки возникающих рисков, которые могли бы оказать влияние на компанию.
Вот один из способов, которым можно распределить свои риски:
- Стратегические: Изменения на ключевых рынках (прорывные технологии, новые конкуренты и т.д.)
- Эксплуатационные: ограничения или факторы, присущие отрасли (нехватка доступных ресурсов, окружающая среда, безопасность и т.д.)
- Финансовые: стоимость капитала, ликвидность и т.д.
- Рынок: Присутствие в социальных сетях
- Технологии: Кибербезопасность и конфиденциальность данных
Шаг 2: Определение критериев риска
Прежде чем оценивать каждый риск, вам необходимо разработать общий набор факторов, которые помогут оценить совокупность рисков вашей организации.
Типичная матрица оценки рисков использует два основных критерия:
- Вероятность (уровень вероятности)
- Влияние (насколько "масштабным" может быть событие)
Однако некоторые организации могут учитывать другие факторы оценки риска, такие как уязвимость и скорость наступления. Это важный шаг, поскольку эти критерии будут определять ход обсуждений на протяжении всего остального процесса оценки рисков.
Не недооценивайте важность достижения общего понимания критериев. Если участники используют, например, разные шкалы измерения, агрегирование и сравнение ответов бесполезно.
Шаг 3: Оценка рисков
На следующем этапе все начинает становиться веселее. (Ну, настолько увлекательной, насколько это вообще возможно при оценке рисков.) Мы собираемся оценить риски на основе критериев, которые мы изложили на предыдущих этапах.
Большинство организаций начинают с применения качественного подхода, чтобы сосредоточить свою оценку на рисках, которые руководители считают наиболее значимыми для организации. Обычно это делается с использованием общего подхода к оценке "высокий, средний и низкий" или числовой шкалы по рейтинговым факторам, таким как диапазон “1-5”.
Чтобы определить основные риски для организации, многие рассчитывают средний балл по респондентам. Другие организации используют методологию взвешивания, чтобы привлечь больше внимания к ответам участников, обладающих экспертными знаниями в данной области. Некоторые идут еще дальше и смотрят на диапазон или распределение ответов. Более глубокое изучение рисков с более широким распределением ответных мер позволяет выявить факторы риска, которые не получили широкого понимания и требуют более глубокого рассмотрения.
Как только качественная оценка будет завершена, вы можете перейти к количественному анализу наиболее важных рисков. Это создаст прочную основу для принятия решений в этих важнейших областях.
Шаг 4: Определение приоритетов рисков
На последнем шаге мы собираемся сравнить различные уровни риска (начиная с третьего шага) с целевыми критериями риска (начиная со второго шага). Другими словами, определение приоритетности риска учитывает воздействие, возможность и важность риска и приводит к составлению плана.
Если эти последние два шага звучат субъективно — это потому, что так оно и есть. Экспертное суждение используется в методах оценки рисков и определения приоритетов для выявления потенциальных воздействий, определения исходных данных и интерпретации полученных данных.
Исторически сложилось так, что многие организации проводили ежегодную оценку рисков, которая, возможно, была эффективной в то время, но не позволяет организациям идти в ногу с рисками в сегодняшней динамичной среде. Многие организации в настоящее время обновляют свои оценки рисков ежеквартально или при наличии каких-либо существенных изменений в ключевых рисках или рисках, которые ранее не рассматривались. По мере того как возникает все больше и больше рисков, некоторые организации стремятся проводить текущие оценки рисков, чтобы их оценка рисков “постоянно” обновлялась.
Всегда помните, что матрица оценки рисков - это живой, дышащий документ, который необходимо лелеять и поддерживать в рабочем состоянии. Риски возникают повсюду вокруг нас, и матрица рисков должна отражать это.
Руководителям всей вашей организации следует регулярно обращаться к матрице оценки рисков, чтобы принимать более обоснованные решения, основанные на оценке рисков, обновлять оценку на основе изменений, которые они наблюдают в своей области организации, и поощрять межфункциональные дискуссии о том, как работать более эффективно для улучшения долгосрочной производительности.
