Любой бизнес сталкивается с рисками, которые могут повлиять на его эффективность и, в конечном счете, на успех или неудачу. Но различные бизнес-риски – даже те, с которыми сталкиваются все компании, – не влияют на каждую организацию одинаково. Поэтому руководители компании должны знать не только о том, с какими рисками она сталкивается, но и о вероятности того, что эти риски приведут к проблемам, а также о том, какие последствия они могут иметь для бизнеса.

Все это является частью управления рисками – процесса выявления, оценки и контроля потенциальных бизнес-рисков. Консультанты и специалисты по управлению рисками обычно разделяют риски на различные категории, или типы. Однако риски не всегда изолированы друг от друга. Некоторые из них взаимосвязаны, а значит, могут быть сгруппированы и управляться коллективно.

Несмотря на различия в классификации рисков разными экспертами в этой области, ниже перечислены 13 устоявшихся и новых типов бизнес-рисков, которые необходимо понимать руководителям компаний и командам по управлению рисками.

1. Стратегический риск

Стратегический риск связан с проблемами, которые могут повлиять на способность компании выполнять свои стратегические задачи и достигать бизнес-целей. Этот вид риска также касается конкурентных преимуществ организации на рынке и внутренних или внешних факторов, которые могут их ослабить.

При управлении стратегическим риском необходимо учитывать такие факторы, как квалификация и стабильность высшего руководства и команды менеджеров, способность организации ориентироваться в изменениях бизнеса и рынка, способность успешно запускать новые продукты и услуги, а также устойчивость при столкновении с неблагоприятными обстоятельствами.

Поскольку стратегический риск охватывает широкий спектр вопросов, некоторые эксперты по управлению рисками считают, что многие, если не большинство или даже все, другие риски, описанные ниже, могут быть отнесены к этой категории.

2. Операционный риск

Операционный риск включает в себя все, что может повлиять на способность организации эффективно и результативно осуществлять свои бизнес-операции. Управление операционным риском затрагивает процессы, процедуры, политику, людей и системы, которые внедрила компания, и гарантирует, что они смогут противостоять неблагоприятным событиям.

Это может быть немного общим местом, но в основном это касается основных операций компании. Таким образом, операционный риск связан с непрерывностью и устойчивостью бизнеса.

Операционный риск часто также включает в себя риски, связанные с цепями поставок и сторонними поставщиками, экологическими факторами и объектами организации, хотя некоторые консультанты рассматривают эти вещи как отдельные категории риска. Например, компания KPMG считает экологические и геополитические риски достаточно значимыми, чтобы выделять их в отдельный вид риска. Другие рассматривают эти факторы как самостоятельные риски только для тех предприятий, которые особенно уязвимы к ним. Например, производитель, который полагается на то, что производственные предприятия будут работать без незапланированных простоев, может выделить риск, связанный с производственными объектами, в отдельную категорию.

3. Технологический риск

Хотя иногда его считают частью операционного риска, технологический риск часто указывается как еще один вид. Он связан с тем, насколько эффективны, действенны и устойчивы различные бизнес-процессы, поддерживающие деятельность компании – от основных внутренних процессов до цифровых рабочих процессов и функций цепочки поставок. Если нет, организация должна оценить последствия, которые могут возникнуть из-за пробелов в процессе, и решить, как уменьшить связанные с этим риски.

4. Финансовый риск

Все компании сталкиваются с финансовым риском, связанным с бизнес-факторами, которые могут повлиять на движение денежных средств, прибыльность, баланс и даже платежеспособность организации. Финансовый риск – это не то, что цена ваших акций упадет. Показатели акций являются результатом – положительным или отрицательным – того, насколько хорошо компания управляет своим финансовым риском и другими видами бизнес-рисков, с которыми она сталкивается.

5. Риск несоответствия

Каждая компания должна соответствовать нормативным требованиям. Кроме того, хорошо управляемые компании создают систему политик и процедур управления, чтобы обеспечить соответствие бизнес-операций внутренним стандартам и ответственность руководителей за соблюдение этих стандартов.

То, насколько хорошо компании соблюдают эти нормативные и управленческие требования, может повлиять на эффективность бизнеса, а организации в высокорегулируемых отраслях, таких как финансовые услуги, сталкиваются с более серьезными последствиями, когда они не справляются с задачами по соблюдению нормативных требований. Способность компании предвидеть нормативные требования и управлять своими отношениями с регулирующими органами также может влиять на ее эффективность.

Все это делает риск несоответствия нормативным требованиям первостепенной задачей для многих компаний. Также иногда более широко называемый риском регуляторного соответствия или риском регуляторного соответствия и управления, эта категория является ключевым направлением инициатив в области управления, риска и соответствия (GRC) в организациях.

6. Правовой риск

Любая компания в той или иной степени подвержена правовому риску, например, она должна следить за тем, чтобы бизнес-операции соответствовали договорным обязательствам и соблюдали соответствующие законы. Правовой риск также включает в себя потенциальную ответственность за неисправность продукции или проблемы с безопасностью, а также преступные действия руководителей и сотрудников. Управление им требует от компаний выявления и понимания последствий невыполнения своих юридических обязательств.

Как и другие виды рисков в бизнесе, подверженность компании правовому риску зависит от множества факторов, таких как вид продукции и услуг, которые она предоставляет. Например, компания, занимающаяся организацией отдыха и развлечений и предлагающая выезды на природу, как правило, сталкивается с большей вероятностью судебных исков, связанных с пострадавшими клиентами, чем розничная торговля. С другой стороны, у розничной компании, имеющей сотни поставщиков, вероятность возникновения договорных споров может быть выше.

7. Макроэкономический риск

Некоторые практикующие специалисты также выделяют макроэкономический риск в отдельную категорию. Управление рисками предприятия (ERM) и соблюдение требований к финансовой отчетности, это особенно актуально в наши дни.

Мы переживаем беспрецедентные времена в связи с продолжающейся борьбой с глобализацией торговли, ростом процентных ставок и растущей экономической напряженностью между странами. Руководители компаний должны уделять пристальное внимание этим и другим макроэкономическим факторам, потому что они могут перевесить все остальное. Но компании, которые хорошо управляют этим видом риска, могут быстро реагировать на такие экономические факторы.

8. Связанный с персоналом риск

Еще один вид риска, который называют кадровым или человеческим, затрагивает каждый бизнес. Все компании полагаются на людей, чтобы работать и быть успешными. Следовательно, компании сталкиваются с рисками, если они не могут нанять и удержать достаточное количество людей с необходимыми навыками для удовлетворения существующих и ожидаемых потребностей бизнеса. Они также сталкиваются с рисками, если условия ведения бизнеса меняются, а работников становится слишком много.

Поведение людей также создает потенциальные риски. Например, руководители и другие сотрудники могут совершать незаконные, неэтичные или некорректные действия на рабочем месте или быть некомпетентными в своей должности. Личные проблемы также могут повлиять на способность людей выполнять свою работу, равно как и проблемы со здоровьем. Все эти вещи являются частью риска, связанного с персоналом.

9. Технологический риск

Еще одна универсальная категория рисков связана с технологиями. Необходимо оценить ИТ-инфраструктуру компании, чтобы определить, создает ли она риск и в какой степени – например, если ИТ-системы и приложения устарели, являются дорогостоящими или недостаточно устойчивыми. Внедрение новых технологий также может добавить рисков для бизнеса.

Вы можете недоинвестировать в технологии, у вас могут быть старые технологии, или ваша технологическая экосистема может расширяться и создавать новые риски. Существует также вероятность того, что системы могут выйти из строя, что также является риском.

KPMG относит дезорганизацию и технологии к одной категории рисков – это признание того, что инициативы по цифровой трансформации часто оказывают значительное влияние на организацию. Но это касается обеих сторон: компания, внедряющая новую систему, может нарушить свою работу, равно как и та, которая решит использовать старую технологию, ставшую ненадежной. Кроме того, каждая компания сталкивается с риском быть подорванной конкурентами, использующими новые технологии или существующие технологии по-новому.

10. Риск кибербезопасности

Риск кибербезопасности, также называемый киберриском, связан с возможностью возникновения проблем в бизнесе и финансовых потерь в результате кибератаки, влияющей на операционную деятельность, или нарушения безопасности, приводящего к краже данных компании. Он тесно связан с технологическим риском, но его включение в перечень в качестве отдельного вида риска признает значительные затраты и ущерб для бизнеса, который могут нанести инциденты, связанные с кибербезопасностью. Например, в отчете IBM «Cost of a Data Breach Report 2023», основанном на исследовании, проведенном для компании исследовательской фирмой Ponemon Institute, говорится, что средняя стоимость взлома в 553 организациях по всему миру составила 4,45 миллиона долларов.

KPMG объединяет кибербезопасность и преступность в общую категорию рисков, поскольку очень многие угрозы безопасности являются результатом преступных действий. Помимо кибератак и утечек данных, в эту категорию входят такие незаконные действия, как кражи, мошенничество, растраты, отмывание денег и другие финансовые преступления, которые могут нанести денежный и репутационный ущерб организации.

11. Риск, связанный с данными

Хотя некоторые консультанты и специалисты по управлению рисками включают опасения по поводу безопасности данных в состав риска кибербезопасности, другие считают риск, связанный с данными, отдельной категорией. Они ссылаются на растущую важность данных для бизнес-операций как на причину выделения их в отдельный тип риска, который также включает вопросы управления данными и руководства данными.

Управление данными, качество данных, данные для аналитики – все это важные темы. Данные циркулируют 24 часа в сутки 7 дней в неделю и постоянно меняются, поэтому они нуждаются в правильном мониторинге и управлении.

Компании, которые не могут адекватно управлять рисками, связанными с программами безопасности, управления и контроля данных, сталкиваются с потерей возможностей для бизнеса и доли рынка, а также с возможными денежными потерями.

12. Риск искусственного интеллекта

Это еще один вид риска, который некоторые консультанты теперь отделяют от более широкой категории технологических рисков. По их словам, по мере расширения использования ИИ в бизнесе компании должны более внимательно относиться к выявлению и управлению рисками, которые технология ИИ создает для их деятельности.

Риски использования ИИ включают такие аспекты, как использование данных низкого качества в моделях ИИ и отсутствие сильной структуры управления ИИ для защиты от непреднамеренных предвзятостей и отклонений модели, которые снижают производительность. Но компании также сталкиваются с рисками, если предпочитают ограничить или вовсе отказаться от использования ИИ. Например, они могут отстать от конкурентов, использующих ИИ, или упустить возможные возможности для бизнеса.

13. Репутационный риск

То, насколько эффективно компания управляет своими рисками – или не справляется с ними, – может также повлиять на ее репутацию и положение бренда на рынке. Поэтому некоторые консультанты рассматривают репутационный ущерб как результат плохого управления другими видами рисков, а не как отдельную категорию риска. Люди говорят об этом как о риске, но обычно он является следствием чего-то другого. «Что-то пошло не так, и поэтому ваша репутация пострадала».

Однако другие компании, например KPMG, рассматривают репутационный риск как отдельную категорию. Проблемы репутации и бренда являются производными от того, насколько хорошо вы управляете другими рисками, но ими тоже можно управлять, чтобы избежать или минимизировать потенциальные риски. Например, компании могут контролировать, как они позиционируют себя на рынке и насколько они соответствуют ожиданиям, которые возлагают на них клиенты и деловые партнеры.

Лучшие практики управления бизнес-рисками

Чтобы успешно управлять рисками, организация должна начать с определения типов рисков, которые влияют на ее бизнес-операции, а затем провести анализ рисков, чтобы понять потенциальное влияние каждого из них. Это часто влечет за собой создание таксономии рисков, определяющей риски, с которыми сталкивается компания, и реестра рисков, в котором документируется применение отдельных рисков к бизнесу для целей отслеживания и отчетности по рискам.

Затем руководители компаний и риск-менеджеры должны использовать эти документы для разработки и внедрения механизмов контроля, позволяющих избежать рисков или снизить их до приемлемого уровня в соответствии с отношением к риску организации – мерой того, на какой риск компания готова пойти для достижения своих бизнес-целей. Однако стратегии управления рисками часто приходится обновлять по мере изменения условий и требований бизнеса. В организациях с хорошо налаженными процессами управления рисками реестр рисков в значительной степени является живым документом, который используется в рамках основной деятельности.

Эффективный план управления рисками позволяет департаментам и подразделениям уверенно ориентироваться в деловых ситуациях, знать о рисках и способах их устранения по мере возникновения. Не стоит избегать риска любой ценой, ведь рискуя, вы развиваетесь. Но сюрпризы – это не очень хорошо. Вы должны понимать свои риски, свои средства контроля и свои пробелы.