Правильно разработанная модель рисков помогает проводить обсуждение рисков в компании. Она объединяет индикаторы, направленные на оценку вероятности возникновения риска, влияния риска, а также действий, контролирующих риск.
Ключевые темы статьи:
- Определение риска
- KRI или KPI
- Шаблон KRI
- Список популярных KRI
- ПО для управления рисками и соответствия требованиям (compliance): KRI в BSC Designer
KRI (ключевые показатели риска) не так уж и отличаются от KPI, а модели управления рисками очень похожи на ССП. Поговорим о лучших практиках KRI.
Концепция риска
Что такое риск, как можно его измерить и контролировать? Интуитивно риск понимается как нечто, связанное с опасностью/угрозой, это событие может произойти с определённой степенью вероятности и привести к определённым негативным последствиям. За исключением одного аспекта это восприятие верно: риск не всегда является угрозой для бизнеса, он также может быть возможностью.
Раньше ISO определяла риск как «возможность или вероятность убытка», однако в соответствии с ISO 31000:2009, определение риска звучит следующим образом: «влияние неопределённости на цели».
Иными словами, современное определение риска признаёт, что тот может быть связан не только с угрозами, но и с возможностями.
С одной стороны, потеря ключевого сотрудника может оказаться угрозой для компании, однако с другой стороны, вы можете найти нового сотрудника, который привнесёт в организацию новые идеи и опыт. Всё зависит от контекста бизнеса (бизнес-целей).
Что такое ключевые индикаторы риска (KRI)?
Как следует из названия, KRI — это индикаторы, являющиеся ключевыми для процесса управления рисками.
- Слово «ключевой» подразумевает невозможность обладания сотнями KRI. Поэтому, если у вас более ста KRI, вероятно, большинство из них являются метриками.
Большинство принципов KPI (ключевых показателей эффективности) применимы и для KRI:
- у них должен быть соответствующий бизнес-контекст,
- они должны быть измеримыми,
- определённый сотрудник должен быть ответственным за KRI,
- команда должна их одобрить и т.д.
Поэтому я советую вам прочесть статью: 12 шагов к системе KPI. Во время изучения материала замените «KPI» на «KRI». Вы с лёгкостью можете использовать те же идеи и рекомендации для показателей риска.
На данный момент нам будет достаточно определить KRI как показатели риска, являющиеся важной частью портфеля управления рисками. Как следует из определения риска стандарта ISO, окончательное решение о том, что является или не является риском, зависит от целей компании, поэтому будьте осторожны при копировании KRI других компания.
Различия между KRI и KPI
Некоторые авторы предлагают четкое разделение между KPI и KRI: первые отвечают за производительность бизнеса, вторые – за риск. Примером типичного KPI, который не является KRI является «чистая прибыль».
- «Чистая прибыль является KPI, потому что этот показатель не сообщает нам ничего об уровне риска и его контроле!» — часто утверждают авторы.
Однако «чистая прибыль» также не говорит нам ничего о производительности или том, какого значения хочет достичь организация!
Чтобы использовать показатель «Чистая прибыль», мы должны добавить контекст, пороговые и базовые значения, целевые значения, а также релевантный план действий:
- KPI: «Чистая прибыль»
- Текущее значение: 200 тысяч долларов
- Базовое значение: 205 тысяч долларов
- Цель: 300 тысяч долларов
- Стоп-сигнал: красный
- План действий: «Мы не достигли цели из-за старой команды продаж. Нужно нанять новую команду!»
Проанализируйте этот KPI! Разве теперь он не похож на KRI? Безусловно, у нас нет индикаторов вероятности и влияния, однако мы легко можем их добавить…
Другой аргумент в поддержку идеи о схожей природе KRI и KPI:
- KPI должны быть согласованы с бизнес-стратегией. А как мы определяем стратегию? Разве для формулирования гипотезы (анализ рисков) и возможного решения (контроль рисков) мы не используем SWOT (где T означает «threats», то есть «угрозы»)?
Возможно, это преувеличение, однако лично я не вижу никакой фундаментальной разницы. В комментариях под статьей я готов об этом подискутировать. Безусловно, KRI в большей степени ориентированы на риск, однако при желании вы можете трансформировать KRI в KPI и наоборот.
Включение рисков в KRI. Определение ключевого индикатора риска.
Мы добрались до интересной части. Поговорим об управлении рисками. Управление риском – это управление цепочкой:
- обнаружение/прогнозирование угроз/возможностей
- оценка возможности их возникновения (их вероятности)
- контроль влияния и результатов
Как правило, мы не можем внести все аспекты риска в один KRI, поэтому мы будем использовать три индикатора:
- Индикатор, измеряющий вероятность
- Индикатор, измеряющий влияние
- Индикатор, измеряющий план действия
Например, для такого KRI, как «Плохое наставничество», мы используем:
- Время, затрачиваемое на наставничество в течение недели, часов. Этот показатель оценивает вероятность риска: чем меньше часов уделяется наставничеству, тем с большей вероятностью компания столкнётся с риском.
- Индекс вовлечения сотрудников, %. Этот показатель помогает осознать воздействие плохой коммуникации. Чем меньше наставничества, тем менее вовлечены будут сотрудники.
- План действия: улучшение процедур наставничества; релевантным показателем может быть, к примеру, «Пройден тренинг по развитию лидерских навыков, часов». Мы должны обучать менеджеров правильной парадигме лидерства, включающей наставничество.
Какие из этих показателей являются KRI? Я бы назвал KRI пару «вероятность» и «влияние», в то время как «план действий» относится к процедурам контроля риска.
Шаблон KRI
Этот шаблон вы можете использовать для создания ключевых показателей риска.
Шаблон рисков:
Индикаторы риска | План контроля рисков | Индикатор действия | |
---|---|---|---|
Идентификация риска: ______________ |
Вероятность риска: ________ Индикатор влияния: _________ |
Действие 1: _________ Действие 2: _________ |
Индикатор 1: _________ Индикатор 2: _________ |
Описанный ранее пример будет выглядеть следующим образом:
Индикаторы риска | План контроля риска | Индикатор действия | |
---|---|---|---|
Идентификация риска: «Плохое наставничество» |
Индикатор вероятности: Время, затрачиваемое на наставничество в течение недели, часов Индикатор влияния: Индекс вовлечения сотрудников, % |
Действие 1: Улучшение процедур наставничества |
Индикатор 1: Пройден тренинг по развитию лидерских качеств, часов. |
KPI действия/результата и KRI вероятности/влияния
При создании стратегической карты мы всегда стремимся к тому, чтобы:
- показатели действия были согласованы с бизнес-целями,
- показатели результата были согласованы с целями и
- планом действий.
Сравнив это с «вероятностью», «влиянием» и «планом действия», вы поймёте, что я имею в виду.
Правильно описанная стратегия очень похожа на оценку рисков и контроля, проведённую соответствующим образом.
Как риски появляются на карте? Культура отчетности.
Подобно целям, которые являются проекциями правильно составленной стратегии, риски представляют собой проекцию правильно проведённого анализа рисков.
- Основные действия: начать с классической оценки риска, создать диаграммы причины и следствия, провести мозговой штурм по возможным проблемам, результатом которого должен быть список рисков.
- Наиболее важным шагом является внедрение в вашей компании правильной культуры отчетности. Сотрудники должны сообщать не только об очевидных проблемах, которые уже произошли, но и о потенциальных проблемах, которых удалось избежать. Подобные отчеты помогут вам определить вероятные риски, о которых вы не думали прежде.
Внедрение культуры, похожей на культуру NASA: один раз столкнувшись с проблемой, организация проводит тщательных анализ возможных причин, даже если проблема больше не возникает.
Как использовать оценку риска и модель контроля
Описанная ранее модель оценки риска не является чем-то новым, однако она нужна вам так же, как и стратегическая карта, помогающая управлять эффективностью бизнеса. Конкретные цифры могут вводить в заблуждение и не давать нужной информации. Тогда зачем нужна эта модель?
- Стратегическая карта помогает обсуждать стратегию, модель/система показателей оценки риска – это основа дальнейшего обсуждения рисков и их контроля.
Таким образом вы можете внедрить контроль рисков на уровне ДНК компании. Это гораздо лучше, чем регулярные отчеты о KRI, имеющие мало общего с реальными проблемами.
Список наиболее популярных KRI
Бесплатная учетная запись BSC Designer даёт вам доступ к нескольким системам показателей риска, включающим 89 KRI.
Для доступа к системам показателей риска необходимо:
- Зарегистрировать бесплатную учетную запись в BSC Designer Online
- Выбрать Новая > Новая система показателей
- Открыть меню Больше шаблонов… и опуститься в раздел KRI
Эти индикаторы не всегда являются обязательными для организации. Как и KPI, KRI должны быть согласованы с контекстом бизнеса, в противном случае вы будете оценивать и пытаться управлять риском, не имеющим отношение к вашей компании.
ПО для управления рисками и соответствия требованиям: KRI в BSC Designer
Как я упоминал в статье о корпоративном управлении, нет необходимости приобретать отдельное ПО для управления рисками и соответствия требованиям (compliance).
httpv://www.youtube.com/watch?v=Показатели риска продолжают быть показателями. Их можно автоматизировать при помощи программы реализации стратегии, которой вы пользуетесь.
Далее мы рассмотрим, как пользователя BSC Designer могут отслеживать KRI.
Выберите показатель и единицу измерения «Риск»:
Определите план по снижению риска:
Определите вероятность риска:
Определите влияние риска:
В этом случае BSC Designer сможет визуализировать требуемые данные на графике риска:
Основное преимущество состоит в том, что показатели могут быть согласованы с целями на стратегической карте:
Основные выводы
- Риск – не всегда угроза, иногда он является возможностью для бизнеса
- KRI должны быть помещены в соответствующий бизнес-контекст
- Внедрите соответствующую культуру измерений
- Используйте систему показателей рисков в качестве основы для их обсуждения
Alexis является старшим консультантом по стратегии и генеральным директором BSC Designer, с более чем 20-летним опытом в области стратегического планирования. Alexis разработал «Систему внедрения стратегии в 5 шагов», которая помогает компаниям в практической реализации их стратегий. Он регулярно выступает на отраслевых конференциях и опубликовал более 100 статей по управлению стратегией и производительностью, включая книгу «Система KPI в 10 шагов». Его работа часто цитируется в академических исследованиях.
Подпишитесь на Alexis’s Unedited на Substack.