Риск-ориентированное мышление является требованием всех современных стандартов ISO на системы менеджмента. Но не всегда реализовать это требование удается в полной мере. Рассмотрим основные ошибки, которые мешают достичь желаемых результатов.

Эти типичные ошибки можно подразделить на шесть категорий.
1. Отсутствие или недостаток лидерства руководства
Успех риск-менеджмента во многом зависит от позиции руководства компании. Если оно не оказывает соответствующей поддержки и не считает управление рисками стратегически важным, провал почти неизбежен.Ведь когда руководители игнорируют или не видят слабых сторон компании и не проводят их анализ, им остается полагаться исключительно на собственное мнение, личные (зачастую субъективные) оценки и свое понимание рыночной ситуации. Понятно, чем чревато для бизнеса отсутствие у топ-менеджмента актуальной и объективной информации о рыночных возможностях или угрозах.
2. Неумение проводить анализ контекста
Распространенной проблемой является ситуация, когда компания не отслеживает, что происходит вокруг, и из-за этого упускает из вида новые возможности для развития, важные изменения в требованиях потребителей и т.п.Например, постоянный мониторинг рынка маркетологом предприятия и своевременная реакция на уход с него конкурирующих компаний – отличная возможность для того, чтобы занять их нишу.
То же можно сказать про изменения национального законодательства. Нужно заранее определить, кто будет отслеживать изменения нормативных требований применительно к конкретной отрасли, например, руководители процессов или подразделений. Если этого не сделать, возникают риски в виде штрафов или даже приостановки деятельности предприятия, что чревато существенными потерями для бизнеса.
Ситуация в современном мире меняется очень быстро. Чтобы держать руку на пульсе, мониторинг актуальных изменений нужно проводить на регулярной основе.
3. Сложности с оценкой рисков
Важно установить адекватные методы оценки риска и уровни приемлемого риска с участием всех заинтересованных сторон. Стремление все измерить и оцифровать похвально, но не всегда реализуемо на практике, если речь идет о рисках. Далеко не все можно посчитать и вывести в виде графика.Да, применительно к операционным рискам, связанным с ХАССП, с экологическими аспектами и т.п., это возможно. Однако далеко не все организационные риски поддаются точному измерению. В условиях повышенной изменчивости среды «обсчитывание» риска может занять больше времени, чем его реализация либо трансформация в новые риски.
Также нередко встречается такая ошибка, как оценка гипотетических рисков (условно говоря, падение метеорита). Некоторые риск-менеджеры придумывают маловероятные угрозы. Хотя стоит признать: текущая ситуация в стране и в мире показала, что готовиться стоит даже к тем рискам, которые на первый взгляд кажутся невероятными.
4. Периодичность рассмотрения рисков и возможностей
Еще одно критичное упущение - временной интервал рассмотрения рисков и возможностей не учитывает скорость возникающих изменений.Как только возникло изменение (например, законодательства), нужна своевременная реакция на него, то есть не через неделю или месяц, когда запланирована риск-сессия, а вне графика, немедленно. Не случайно в существующих стандартах управление изменениями содержится в том же разделе, что и оценка рисков и возможностей.
Однако важен и разумный практичный поход: если, например, за неделю существенных для бизнеса событий не произошло, не нужны и никакие дополнительные действия. Если же понятно, что появились новые вводные (не важно, откуда они пришли: от клиентов, от сотрудников, от госорганов и т.д.), значит, нужно реагировать.
5. Формальный подход
Важно использовать принцип разумной достаточности: оценка рисков не должна вестись только ради нее самой.Иногда в организациях встречаются электронные файлы или бумажные документы немыслимых размеров, написанные мелким шрифтом, а по сути, представляющие собой отписки. Как правило, это труд одного человека – менеджера по качеству, который старался исключительно для аудитора.
Возможно, аудитор формально примет такой документ. Но ведь при этом предприятие могло не разглядеть реальные риски и упустить имевшиеся возможности, именно в этом заключается задача риск-менеджмента.
Увы, порой в компаниях складываются две параллельные деятельности для управления рисками: для бизнеса и для системы менеджмента. Такого быть не должно.

6. Отсутствие системности
Если заниматься риск-менеджментом хаотично, время от времени, без четкого понимания, кто, чем, как и когда должен заниматься, толку от такой деятельности будет немного.Не достаточно объявить, что с сегодняшнего дня мы управляем нашими рисками. Важно определить ответственных за управление рисками, определиться с методами и подходами, регулярно проводить соответствующее обучение персонала и так выстроить процессы, чтобы результаты оценки рисков использовались при принятии решений в полной мере. Сотрудники не должны действовать «по наитию», а должны понимать, как именно поступать в отношении рисков.
Все этапы цикла Деминга PDCA (Планируем – Выполняем – Проверяем – Улучшаем), должны применяться в отношении управления рисками. Деятельность должна быть спланирована, а не спонтанна. И, конечно, важно проводить мониторинг этой деятельности, включая отслеживание результативности мер управления рисками.