Четири лекции: „Увод в управлението на риска (В помощ на започващия дейността си риск-мениджър)”. Лекция 4.

  В предишните лекции многократно бе подчертавано, че управлението на риска постепенно се налага като ключова дейност в усилията за качествено различен мениджмънт на компаниите, особено в условията на сложната, изпълнена с много неопределеност, трудна предсказуемост, висока динамика и мащабни предизвикателства глобална, регионална, национална и локална среда.
  Риск-мениджърът у нас трябва да е пределно наясно, че неговата дейност ще се натъква на две трудно преодолими прегради, на два източника на постоянна съпротива и неразбиране: първата идва от висшия мениджмънт, а втората – от специалистите по сигурността.

  ◄ Що се отнася до висшият мениджмънт, то от една страна, той е наел риск-мениджъра, с което е показал, че е отворен към новото и правилно осъзнава необходимостта от управление на риска в компанията.
  Но от друга страна, висшите ръководители във водещите наши компании смятат, че те разбират от всичко и че всичко, което се прави в управляваните от тях структури, трябва да се определя еднолично от тях и да се прави само така, както те искат и нареждат.
  Това е практически навсякъде и силно затруднява дейността на риск-мениджърите.

  Висшето ръководство на компаниите в страната ни е монологично, действа чрез заповеди, изисква пълно подчинение. То често се пали по едни идеи, започва ги правилно, а после губи първоначалната си енергия и с това започва да губи и доверието си към тези, на които е възложило реализацията на тези идеи.
  Ето защо риск-мениджърът се сблъсква още в първите месеци с този стил на управление. На него му се налага (т.е. наложено му е) да прави само това, което висшето ръководство настоява и все по-често той започва да слуша обяснения и наставления как да управлява рисковете и какво всъщност е управление на риска.
  Като правило висшето ръководство смята, че то е пределно наясно какво е това риск-мениджмънт и затова гледа на риск-мениджъра като на изпълнител на неговата воля. И в същото време, тъй като управлението на риска е бавен процес, в който няма как да бъдат получени бързи резултати, висшият мениджмънт се изнервя, започва да демонстрира и дори да заявява, че трупа разочарование от риск-мениджъра, тръгва да прави структурни промени и да пренасочва фокуса на дейността на риск-мениджъра от важните, свързани със стратегическото управление на компанията приоритети и усилия, към все по-частни, тесни и конкретни, второстепенни процеси и проекти, чрез затворената и отчуждена от главните рискове сфера на работа по които нито може да се изгради интегрирана корпоративна система за управление на риска, нито пък риск-мениджъра може да се разгърне и да се докаже, защото той се оказва затиснат от далеч по-малко значими въпроси и специфики, в които не е специалист, а и не може да бъде такъв.

  Точно това обикновено се случва в българските фирми с риск-мениджърите – те започват работа с обещанията и перспективите от страна на висшия мениджмънт, за мащабна дейност, насочена първо към най-важните рискове за компанията, а постепенно биват изтласквани на заден план и пренасочвани към по-незначителни задачи, като контекстът на това пренасочване е следният: Хайде да видим дали пък нещо конкретно може да свърши този риск-мениджър, та да докаже, че има полза от него, а не получава само напразно и без видим ефект заплата.

  ◄ Не по-малко сложни са проблемите, на които се натъква риск-мениджърът при сътрудничеството си със специалистите по сигурността в компанията, още повече, че той трябва да взаимодейства с тях, да бъде част от един и единен екип с тях, защото е ясно, че огромното мнозинство български компании не могат да си позволят два многочислени екипа – един по рисковете, друг по сигурността.

  Но специалистите по сигурността са свикнали да работят по традиционните методи.
  Традиционни както според досегашното разбиране - за сигурността като състояние, което трябва да се отстоява и подобрява.
  Но традиционни и като похвати, аналогични на тези, използвани във всички специални служби във всички държави – от арсенала на средствата за противодействие на престъпността (т.е. на полицейските служби) и на контраразузнаването и разузнаването (т.е. на специалните служби).
  Без по никакъв начин да се подценяват подобни средства, все пак трябва да отбележим, че българските компании не са от мащаба на „Дженерал Мотърс” и „Газпром”, за да развиват мощни структури за сигурност.
  А и звената за корпоративна сигурност не са огледален образ на държавните служби за сигурност и обществен ред, така че не може механично полицейска, контраразузнавателна и разузнавателна служби, с каквито разполага една държава, да се прекопират в техни хомолози в една компания. Както в не малка степен предпочитат да бъде направено фирмените специалисти по сигурност.

  Но за връзката Безопасност-Сигурност-Риск и за мястото на управлението на риска в нея ще се говори в една не малка част от тази лекция, така че вече е време да пристъпим към нея.

  Лекция 4.

  Макар и за сравнително кратък като продължителност период, ние станахме свидетели на забележителна еволюция в самото разбиране на ключови за държавата (и корпорациите) категории и понятия.
  Без да правим каквито и да било аналогии с великолепната теория на Алвин Тофлър за трите цивилизационни вълни, също можем да говорим за ТРИ ВЪЛНИ в опазването на държавата (корпорацията) и отстояването на нейните интереси, стабилност и нормално и ефективно функциониране.

  ♦ ПЪРВАТА (в исторически план) ВЪЛНА бе тази на БЕЗОПАСНОСТТА.
  Безопасността, разбирана включително буквално - като „без-опасност”.
  Това не беше само въпрос на лингвистика, а и начин на мислене, начин на действие и противодействие, начин на изграждане и начин на определяне на приоритетите на системата за безопасност.
  Ставаше дума за статика, т.е. за състояние, за стремеж към обезпечаване, по възможност, на АБСОЛЮТНА (ПЪЛНА) СИГУРНОСТ.
  Всяка заплаха, всяка опасност изискваше мобилизация на силите и ресурсите и се смяташе за нещо крайно нежелано, способно да извади системата от равновесие, затова към него се подхождаше с цялата налична сила, само и само за да се запази СТАТИЧНОТО РАВНОВЕСИЕ НА СИСТЕМАТА.
  С други думи, всички усилия на системата (държавата, фирмата) бяха насочени към ЗАЩИТА НА БЕЗОПАСНОСТТА.

  Така че нека да го подчертаем още веднъж:
  -- Безопасността е състояние.
  -- Безопасността се защитава.
  -- Целта е постигане на абсолютна (пълна) сигурност.
  -- Стратегията е РЕСУРСНО ОРИЕНТИРАНА, т.е. базира се на наличните ресурси и затова се стреми максимално да ги умножи.

  ♦ ВТОРАТА (доскоро) ВЪЛНА бе тази на СИГУРНОСТТА.
  Сигурността, разбирана като много повече от „без-опасност”.
  И това, дори в още по-голяма степен, не беше само въпрос на лингвистика, а и начин на мислене, начин на действие и противодействие, начин на изграждане и начин на определяне на приоритетите на системата за сигурност.
  Ставаше дума вече за хибридно съчетаване на статика, т.е. състояние и на процес (в известна степен), за стремеж към гарантиране, по възможност, на определено ниво на сигурност, т.е. на ОТНОСИТЕЛНА (ПРИЕМЛИВА) СИГУРНОСТ.
  Извършваше се анализ и оценка на заплахите и опасностите, като някои от тях се приемат като неизбежно съществуващи, а по други се работи, разработват се стратегии, мобилизират се ресурси, насочени към поставянето им под максимално възможен контрол, така че да се гарантира приемливо ниво на сигурност и да се запази ДИНАМИЧНОТО РАВНОВЕСИЕ НА СИСТЕМАТА.
  С други думи, всички усилия на системата (държавата, фирмата) бяха насочени към ГАРАНТИРАНЕ НА СИГУРНОСТТА.

  Така че нека да го подчертаем още веднъж:
  -- Сигурността е хибридно съчетаване на състояние и процес.
  -- Сигурността се гарантира.
  -- Целта е постигане на относителна (приемлива) сигурност.
  -- Стратегията е РЕСУРСНО ОРИЕНТИРАНА, т.е. базира се на наличните ресурси и затова се стреми те да бъдат изградени на принципа на разумната достатъчност.

  ♦ ТРЕТАТА (съвременна, набираща сила) ВЪЛНА е тази на РИСКА.
  Рискът, разбиран като въздействие на несигурността върху целите на системата (държавата, компанията), т.е. възможни, с голяма степен на неопределеност събития или процеси, които могат да въздействат върху визията, мисията, стратегията и ресурсите на системата.
  Очевидно, и то в максимална степен, че това също не е само въпрос на лингвистика, а е качествено различен начин на мислене, качествено различен начин на действие и противодействие, качествено различен начин на изграждане и на определяне на приоритетите на системата за сигурност.
  Става дума за процес, в който е въвлечена системата, при това за процес със сложна динамика, подчинен на определена логика и разпознаваем и подлежащ на осмисляне само чрез висока степен на абстракция. Процес, който трябва да се управлява и тръгвайки от целите на системата, да се формират пулове от ресурси, способности и хора, чрез които да се постига приемливо ниво на МИНИМИЗИРАНИ РИСКОВЕ.
  В зависимост от характера, честотата на проявяване и възможните щети, които може да причини, спрямо риска се следват основно четири базисни подхода – той се приема, избягва, споделя (прехвърля, трансферира, хеджира) или се ограничава.
  С други думи, всички усилия на системата (държавата, фирмата) вече се насочват към УПРАВЛЕНИЕ НА РИСКА.

  Така че нека да го подчертаем още веднъж:
  -- Общуването с риска е процес.
  -- Рискът се управлява (приема, избягва, споделя, ограничава).
  -- Целта е постигане на минимизирани рискове.
  -- Стратегията е ЦЕЛЕВО ОРИЕНТИРАНА, т.е. базира се на целите, които системата се стреми да постигне.

  Да поясним още нещо – тъй като акцентът се премества от Безопасността през Сигурността към Риска, все повече в мениджмънта на компаниите се говори не за защита на сигурността (подразбирайки се – на безопасността) и не за гарантиране на сигурността, а за УПРАВЛЕНИЕ НА РИСКА.
  Впрочем, съдейки по новите стратегии за национална сигурност на Холандия, Великобритания и отчасти на САЩ, подобна нова стратегическа логика се залага не само за компаниите, но и за държавите – на преден план излиза не гарантирането на сигурността, а идентификацията, анализът, оценката, въздействието и мониторинга на рисковете, т.е. УПРАВЛЕНИЕТО НА РИСКА, което съответно премества и акцента от охраната от заплахи, през превенцията на опасности към ранното сигнализиране на рискове.

  А без да влизаме в по-нататъшни теоретични дискусии и дисекции, само за пълнота на изложението ще кажем, че ако при защитата на безопасността говорим за АБСОЛЮТНА СИГУРНОСТ, а при гарантирането на сигурността – за ОТНОСИТЕЛНА СИГУРНОСТ, то при управлението на риска вече говорим за ТРАНСФОРМАЦИОННА СИГУРНОСТ.
  Само накратко ще поясня, че това е такова динамично и променящо се във времето и пространството ниво на сигурност, при което ако възникнат сериозни въздействия върху сигурността на системата, тя разполага с ресурси и е способна да извърши такива структурни трансформации, с които да управлява и минимизира тези въздействия без те да се отразят в неприемлива степен на целите на системата.

  ◙ Горната систематизация е полезна и необходима за риск-мениджъра, защото тя обхваща кръг от въпроси, по които неизбежно ще му се налага да води дискусии – дискусии както с непълните, често базирани на интуицията съображения на висшия мениджмънт по отношение на сигурността и риска (тези частични, понякога погрешни разбирания на висшия мениджмънт са логични – все пак той не се състои от хора на науката и не може да си позволи лукса да следи съвременните дебати в тази област), така и с традиционните схващания на специалистите в сигурността, които разполагат с много и прилаган на практика професионален опит и естествено се стремят да правят нещата така, както могат и да смятат, че така както могат, така и трябва да правят нещата.

  Ето защо риск-мениджърът непрекъснато може да изпитва психологически стрес от въвличането му в дискусии и тълкувания, които от гледна точка на практиката и на това, за което висшият мениджмънт е готов да плаща пари само ако види конкретна материална полза, могат да заприличат на вечния спор за кокошката и яйцето (но всъщност са обект на сериозни научни школи, анализи и дискусии).

  При това риск-мениджърът ще трябва често да премълчава (за да не дразни ръководството или да не бъде набеждаван, че е кабинетен сухар, докато реалният живот е съвсем друг), когато вижда, че разбиранията за сигурността на висшия мениджмънт са като правило със стеснен обхват, с приписване на сигурността преди всичко защитни, охранителни и предпазни дейности, както и дейности за ликвидиране на последствия от настъпило негативно събитие.
  Всъщност в подобно схващане за сигурността, главното е, че се смята, че тя има ре-активен и в не малка степен пасивен характер, че е състояние.
  Т.е. както вече пояснихме - при този подход сигурността е твърде близка до (почти идентична с) безопасността.
  Докато сигурността, както вероятно стана ясно, има про-активен и в голяма степен, следователно, активен характер.
  Сигурността е все повече процес и нейното гарантиране преминава постепенно в управление на риска.

  ♦ Сега вече можем да се спрем на още един въпрос, чието уреждане ще отнеме много нерви и време на риск мениджъра – това за неговото (на мениджъра по управление на риска) място в компанията – като йерархия, отговорности, права и задължения.
  Вече бе казано в предните лекции, че класическото разбиране в мениджмънта е, че Корпоративната система за управление на риска (КСУР) e комплексно и интегративно свързана с другите 3 базисни системи:
  1. Балансирана Система от показатели.
  2. Системата за управление на качеството.
  3. Системата за корпоративна сигурност.
  От тази гледна точка, в частност, корпоративните системи за сигурност и за управление на риска са взаимно обвързани, силно координирани и тясно преплетени една с друга.
  Всъщност, далеч по-правилно би било да се твърди, че има три наложили се подхода към връзката „Система за корпоративна сигурност” – „Система за управление на риска”, които със значителна степен на условност, могат да бъдат дефинирани така:
  1. Руски подход:
  Системата за управление на риска е част от Системата за корпоративна сигурност.
  2. Европейски подход:
  Системата за корпоративна сигурност и Системата за управление на риска са две различни, но взаимно свързани и допълващи се системи.
  3. Американски подход:
  Системата за корпоративна сигурност е част от Системата за управление на риска.

  Това на практика символично разделение се определя от трите различни виждания:
  1. Руски подход:
  Управлението на риска се включва в Управлението на сигурността;
  2. Европейски подход:
Управлението на сигурността се занимава с превенцията и противодействието на заплахите за човешките, материалните, нематериалните, когнитивните (свързани със знанието) и информационните активи и ресурси на компанията и с тяхната защита и охрана, а Управлението на риска - с всички други предизвикателства и опасности.
  3. Американски подход:
  Управлението на сигурността се включва в Управлението на риска.

  Според всеки от тези подходи, мястото (съответно ролята и отговорностите) на риск-мениджъра компанията, за чието управление на рисковете той отговаря могат да се позиционират, както следва:
  1. Руски подход:
В компанията се създава позицията CSO (Chief Security Officer), Главен мениджър по сигурността, като собственик на общия Процес по управление на сигурността, в който процес се включват всички процеси, свързани с управление и на корпоративната сигурност, и на рисковете.
  Главният мениджър по сигурността координира дейностите по управление и сигурността, и на риска.
  2. Европейски подход:
В компанията се създава позицията Риск-мениджър на пряко подчинение на изпълнителния директор и като негов помощник по управлението на риска.
Риск-мениджърът е собственик на Процеса по управление на риска, в който процес се включват всички дейности, свързани с управлението на риска.
  3. Американски подход:
В компанията се създава позицията CRO (Chief Risk Officer), Главен мениджър по риска, като собственик на общия Процес по управление на риска, в който процес се включват всички процеси, свързани с управление и на риска, и на корпоративната сигурност.
  Главният мениджър по риска координира дейностите по управление и на риска, и на сигурността (в т.ч. безопасност, защита, охрана, информационна сигурност и др.).

  Независимо, че в научен и същностен аспект първият подход (Руският – рискът се подчиняват на сигурността) и третият подход (Американският – сигурността се подчинява на риска) са коренно противоположни, от практическа гледна точка за компанията от организационна гледна точка те всъщност идентични или поне сходни, като разликата в нормативен, структурен и формален план е дали заместник-изпълнителният директор, който подпомага изпълнителния директор в управлението на сигурността и риска ще се нарича (и по-важното, ще изпълнява de facto ролята на) главен мениджър по сигурността или главен мениджър по риска.
  Сигурността и риска при всички случаи са силно преплетени, така че е нормално дейностите по тяхното управление в компанията да бъдат добре интегрирани и координирани. Това ще позволи интегриране на усилията на ограничения като хора и средства състав от експерти по сигурността и риска.
  Риск-мениджърът трябва да е наясно, че ресурсите и възможностите за подобряване на дейността в тези изключително важни за компанията сфери не са свързани главно и основно с мястото на съответните звена в структурата на компанията, а са „закодирани” по-скоро в намирането на верния, точния и правилния отговор на въпроси от рода на:
  -- Доколко висшият мениджмънт на компанията е поставил управлението на сигурността и риска като свой сериозен приоритет?
  -- Доколко е налице мотивация и осъзнаване, че за тези дейности се изисква съответно кадрово и ресурсно обезпечаване?
  -- Доколко това, което се постига и може да се постигне (информация, проучвания, анализи, изводи) в дейностите по сигурността и риска се цени и отчита при управлението на компанията?

  ♦ По-горните разсъждения на Безопасността, Сигурността и Риска могат да бъдат поставени в контекста на съвременните разбирания и тенденции в мениджмънта.
  А спрямо тях дори водещите български компании изостават с внедряването на нови управленски технологии.
  Те остават залутани в дебрите на мениджмънта от първата половина на 20 век, характеризиращ се с ФУНКЦИОНАЛНИЯ ПОДХОД.
  Това е ресурсно ориентиран подход, при който всеки служител прави това и само това, което може, като разполага с определени умения и способности, които упражнява непрекъснато, съвършенства се в тях и само в тях, не се интересува (често, защото не може да си го позволи или няма стимул да го прави) от други умения и способности.
  Структурата на компании, работещи по този функционален, ресурсно ориентиран подход са силно йерархични, шефовете са тип „Бог и Негов Пророк” едновременно, управлението е оптимално централизирано, самоинициативата е максимално ограничена, отношенията между отделните звена е на принципа „производител”-„потребител” („доставчик”-„клиент”).

  На пръсти се броят у нас компаниите (а това са главно подразделения на чужди корпорации), които са направили крачка напред в мениджмънта и са внедрили характерния за втората половина на миналия век ПРОЦЕСЕН ПОДХОД. Този подход също е ресурсно ориентиран, но вместо взаимодействието между двама души, които са част от един и същи технологичен процес, но от различни под-структури да се осъществява нагоре „по комина” – чрез техните ръководители от възможно най-висше ниво, те имат сравнителната свобода да общуват помежду си.
  Това „сплесква” донякъде йерархията, прави нейната ресурсна и информационна проходимост и пропускливост по-ефективна и по-бърза, хората имат стимул да развиват нови умения и способности, преди всичко по отношение на процесите, в които са ангажирани, защото има наченки на екипен принцип и се поощрява взаимозаменяемостта или поне намирането на общ език и обща цел между хората, ангажирани с един и същи процес.
  Разбира се, правят се опити от някои висши ръководители в български компании да направят хибрид между функционалния и процесния подходи, но тъй като при процесния подход има повече свобода у служителите и по-малко власт у техните ръководители, като правило процесният подход остава в областта на усилията за получаване на сертификат по Системата за управление на качеството (т.е. основно на книга), а иначе нещата си карат малко или много по старому, т.е. с минимална самоинициатива и мотивираност да се гледа и извън конкретния обхват от задължения („това не ми влиза в сферата на отговорностите”), с максимално командване (дори командорене) и със засилена централизация.
  А понякога се правят опити да се съчетаят несъчетаеми неща – напр. на отношенията „производител”-„потребител” от функционалния подход с екипния принцип на процесния подход.
  Когато „потребителят” („клиентът”) трябва да се разплати с „производителя” („доставчика”), практически е невъзможно те да работят в екип, между тях ще възникват спорове, техните цели и приоритети са различни – единият се стреми „да купи” нещо на по-ниска цена, а другият – „да го продаде” на по-висока.
  Работата е там, че и функционалният, и процесният подход са ПОДХОДИ ОТ 20 ВЕК. Сега, през 21 век на преден план излиза нов подход (или ново „семейство” от подходи) – УПРАВЛЕНИЕТО ПО ЦЕЛИ или MANAGEMENT BY OBJECTIVES.
  Това е вече ЦЕЛЕВО ОРИЕНТИРАН ПОДХОД, при който не наличните ресурси определят целите, а целите определят какви ресурси са нужни, за да бъдат постигнати целите. Не на хората ще се търси работа, а за работата ще се търсят хора.
  Става дума за революционна промяна в мениджмънта и в мисленето на висшето ръководство на компанията.
  Само че висшето ръководство на компаниите у нас не се е изградило като такова на базата на култура, родова памет и сериозно образование, а се е самоизграждало под натиска на обстоятелствата и чрез вярната ориентация в пазарната конюнктура. Това и най-вече постигнатите успехи, високият материален статут – са накарали висшите мениджъри да си повярват, да смятат, че всичко, което те предприемат е правилно и единствено възможното, затова трябва да се прави така, както те смятат и по никакъв друг начин.

  А целево ориентираното управление изисква коренна промяна в манталитета. Когато възникне задача, тя ще се осъществява чрез пул от ресурси, способности и хора. Днес една задача изисква един пул, утре друга задача – друг пул от ресурси, способности и хора.
  по този начин се променя организационната култура, развиват се стратегически умения за работа в екип, децентрализацията се засилва, нараства координацията.

  Допълнение: В управлението, за което казахме, че е останало в 20 век (при функционалния подход в по-голяма степен и при процесния подход в по-малка степен) ръководителят е началник, разпоредител (заповядващ), командир. Такива йерархично изградени компании са изправени пред рискове от следния характер:
  ● Ограничени са или дори липсват хоризонталните контакти.
  ● Трудно се трансферира знания, умения, добри практики между хората.
  ● Реалните критерии за оценка на труда се подменят с формални.
  ● Човекът се възприема не по неговия професионализъм, а по поста му.
  ● Екипът от стратегически мислещ започва да става обслужващ.
  ● Има нагласи всеки да казва „нагоре” само това, което там искат да чуят.
  ● Лицата, които са по-високо в йерархията се страхуват да поемат инициатива, опасяват се от грешки, протакат максимално вземането на решения,
  Правилата и процедурите, по които функционират йерархичните структури играят стабилизираща роля, създават надежден ред в организацията, но често се превръщат в „спирачка” пред новото. Йерархиите трудно „понасят” иновациите, особено тези, които изискват трансформационно лидерство.

  В йерархичните структури слепващото вещество, свързващата материя е контролът - там “подчиненият на моя подчинен е и мой подчинен”. Докато в структурите, където йерархията се сплесква, а мрежовостта се засилва, това е доверието, т.е. там „приятелят на моя приятел е и мой приятел”.

  В йерархичните структури определящи са формалната власт, принудата и въздействието; а в мрежовите - лидерството, мотивацията и влиянието.
  ● Две звена в йерархичната структура си сътрудничат основно по волята на тези, които ги ръководят - т.е. това се осъществява на управленско ниво.
  ● Две звена мрежовата структура си сътрудничат главно чрез взаимно проникване, т.е. чрез преплитане и споделяне - дори да са и разнородни.

  Особено типично за йерархичните организации е, че при тях по-високото заплащане може от един момент нататък да „парализира” човека и той да не се решава на иновативно мислене, на творчество и креативност, защото започва постоянно да се бои да не сгреши и да загуби високата си заплата.

  Ценни за анализ са йерархизирани групи, в които всички зависят от или са подчинени на един човек. Това са най-често групи от типа “спици на колело”: всичко отива в центъра, спиците се въртят заедно, но не се доближават; всеки, независимо на каква позиция е, чака указания и санкции от TBB, The Big Boss. В такива групи няма явна и скрита борба за лидерство, всички се стремят към по-висока оценка от лидера, идеите се “пречупват” през целите, ценностите и принципите на лидера. Проблем за групи от подобен род може да бъде появата на съгласие, че лидерът винаги най-добре знае какво, как, кога трябва се направи. Това го фаворизира като най-умен, безпогрешен и всеможещ, уморява го и го изнервя, ражда нагласи в екипа за въздържане от отговорност, за пасивност, за недоверие към колегите.

  Докато при прилагането на целево ориентираните подходи акцентът се премества към гъвкавостта - гъвкави знания, гъвкави структури, гъвкави подходи, гъвкави геометрии на взаимодействието. Няма веднъж завинаги замръзнала архитектура и структура, задачите се изпълняват гъвкави и мобилни коалиции от професионалисти.
  Това са вече трансформиращи се компании, които се нуждаят от трансформационно лидерство и то не се осъществява с безусловна, стресираща власт над подчинените.
  В такива структури: лидерът е над началника; управлението е над командването; доверието е над страха у подчинения; способностите на човека са над личната му близост до ръководителя; иновацията е над инерцията; анализът на информацията е над механичното й събиране.

Много от проблемите, присъщи за йерархичната организация могат да се преодоляват или минимизират, като се направи диагностика и експертна оценка на структурата и се измерват нивата на екипност и инициативност.

  ♦ Заедно с тези по-теоретични и концептуални въпроси, риск-мениджърът обаче трябва да върши и пряката си дейност – работата, за която му плащат, иначе много лесно зад него като компрометиращ шлейф ще се влачат подмятанията, че нищо не е свършил, че е силен на теория, но слаб на практика, че знае само да приказва, но от него особена полза не е усетена.
  А неговата основна дейност е по идентификация, анализ и оценка на рисковете, както и по предписване на мерки за въздействие върху рисковете.
  Вече пояснявахме, че тази дейност трябва поне в общи линии да протича съгласно стратегии, стандарти, процедури, методики и практики, отдавна утвърдени в американски, европейски и руски компании.

  Чуждестранният (западен и руски) опит препоръчва да се започне със съставянето на първоначални индикативни списъци на идентифицираните рискове в компанията:
  1. Стратегически рискове и Рискове от външната среда.
  2. Финансови и Пазарни рискове.
  3. Оперативни (технологични) Рискове, т.е. рискове в основните бизнес-процеси.
  4. Рискове – Човешки ресурси и т.н.

  Тези списъци са първоначални, допълването им е непрекъснат процес, продължаващ в хода на дейността по управление на риска. Тяхното съставяне, както подчертахме, трябва да се базира на познати в практиката подходи:
1. Проучване на идентифицирани рискове в други компании със сродна дейност.
2. Анализи, изводи и насоки, съдържащи се в научни монографии и други публикации.
3. Провеждане на дискусии и разговори с мениджъри и служители в компанията.
4. Попълване на анкетни карти и въпросници от редица експерти и мениджъри в компанията.

  След изготвянето на тези списъци с рискове се пристъпва към добре известните стъпки за анализ, количествена и качествена оценка на рисковете по двата базисни критерия:
   Честота (вероятност на случване): Много рядко – 1; Рядко – 2; Обикновено – 3; Често – 4; Много често – 5.
  Ущърб (последствия при случване): Нищожен – 1; Малък – 2; Среден – 3; Голям – 4; Много голям – 5.

  На практика, от един момента нататък постъпващите попълнени таблици за рисковете започват много слабо да влияят върху параметрите, т.е. резултатите от тази стъпка стават устойчиви, стабилизирани и възпроизвеждащи се. Това означава, че би могло картата на рисковете да се оценява вече като носеща някаква достоверна и интересна за анализ информация, която освен пряко за целите на риск-мениджмънта, може да се използва и от ръководството на компанията като база за преценка и основание за анализ и изводи за отношението на служителите към неговите действия и решения.

  След обработката на получените оценки, рисковете се подреждат в пет категории: Критични; Много сериозни; Съществени; Поносими; Пренебрежими.

  Утвърдената практика след оценяването на рисковете е висшият мениджмънт да определи в края на краищата какви са критериите за степенуване на рисковете и кои от тях заслужават внимание. До неговото произнасяне (на базата на направените анализи и оценки) предложеното от риск-мениджъра ранжиране в картата на рисковете е доста условно.
  След изготвянето на списъка на оценените и степенувани рискове, е изготвянето на предписания за въздействие върху значимите рискове, т.е. съставянето на т.нар. Регистър на риск-контрола. След него се изготвя и съответен Доклад за управление на риска в компанията.
  Много важно е да се разбира, че оценката на рисковете не може да се направи само от експертите в звеното за управление на риска, а това може да стане основно и най-вече с участието на собствениците на рисковете и хората, чиято дейност „се пресича” с тези рискове.

  ◘ Ето един примерен списък на оценените рискове по отношение на Човешките ресурси:

  › Критични рискове:
  1. Риск от чести и необосновани промени в организацията на работата и в структурата на компанията.
  2. Риск от недостиг на информация у служителите за стратегическите цели на компанията.
  3. Риск от понижена мотивация (демотивация) на персонала.

  › Много сериозни рискове:
  1. Риск, свързан с неефективно управление на промяната в компанията.
  2. Риск от ниско ефективна (нарушена) вътрешно фирмена комуникация..
  3. Риск от неефективна структура и неправилно оразмерен щат в компанията.
  4. Риск от извършена неефективна оценка на трудовото представяне на персонала.
  5. Риск от разминаване на политиката и целите на компанията с очакванията на нейните служители.
  6. Риск от повишено текучество и недостиг на квалифицирани кадри.

  › Съществени рискове:
  1. Риск от нисък управленски капацитет на мениджърски състав.
  2. Риск от назначаване на неподходящи лица.
  3. Риск от понижаване на качеството на човешкия капитал и професионалните умения.
  4. Риск от прекратяване на договори на лица, необходими за дейността на компанията.
  Поносими рискове:
  1. Риск от влошен микроклимат в компанията или в отделни структурни подразделения.
  2. Риск от нарушена комуникация на организационната структура по управление на човешките ресурси и персонала на компанията.
  3. Риск от изтичане на конфиденциална информация.
  4. Риск от неправилно или несвоевременно изготвяне на документацията.
  5. Риск от неадекватен старт (неефективно начало) на работата на служителя.
  12. Риск от ниска ефективност на корпоративния пакет (социалната политика).
  13. Риск от грешки в изчисляването на трудовото възнаграждение, болнични, отпуски и др.
  14. Риск от трудови и технологични злополуки.
  15. Риск от наложени санкции за компанията по повод на неизправно изпълнение на задълженията по изплащането на възнаграждения, осигуровки и др.

  › Пренебрежими рискове:
  1. Риск от нисък административен капацитет на изпълнителския персонал.
  2. Риск от забавяне на изплащане на трудови възнаграждения.
  3. Риск от нецелесъобразен подбор на партньор по програми, свързани с управлението на човешките ресурси.
  4. Риск от ниско ефективно обучение на персонала.
  5. Риск от недостиг и-или незадоволително качество на кадровия резерв.
  6. Риск от загуба на документи.
  7. Риск от нарушаване на нормативната уредба.

  ► И така, да обобщим върху какво трябва да акцентира риск-мениджъра в своята дейност и в позициите си пред висшия мениджмънт на компанията:

  • Главното е риск-мениджърът да отстоява своето разбиране, че внедряването на Корпоративна система за управление на рисковете, КСУР е непрекъснат процес – така, както се реализира внедряването на Системата за управление на качеството; Системата за управление на околната среда и Системата за управление на сигурността на информацията.
  При нея има итеративен процес, завъртащ се постоянно чрез трите подпроцеса второ ниво на Процес „Управление на риска”:
  (1) „Наблюдение, анализ и оценка на рисковете”;
  (2) „Оперативно управление на рисковете”;
  (3) „Одит на риск-контрола (т.е. на управлението на рисковете”.
  Те са описани по-долу.

  Когато при наблюдението на даден процес се „засече” риск, анализира се дали този риск е бил вече идентифициран или не е бил. Ако е бил идентифициран му се прави нова оценка и ако оценката за степента му се е променила, се предписват нови мерки за въздействие. Ако не е бил идентифициран досега, му се прави оценка и се предписват мерки за въздействие. Всичкото това за този риск се записва в Базата данни.
  Което ще рече, че една и съща дейност се извършва перманентно и всъщност няма особено значение колко рискове досега са били идентифицирани, анализирани и оценявани, били са им предписани мерки за въздействие и накрая е одитирано прилагането на тези мерки.

  • Риск-мениджърът трябва, също така, да се опитва да убеждава висшия мениджмънт на компанията, че внедряването на Корпоративна система за управление на риска трябва да се реализира не като еднократен Проект, а като Процес.

  Ето аргументи за плюсовете и ползите при едно такова разбиране:
  1. Не се изчаква дълго нещата да се направят „веднъж завинаги” и после да се започне със същинското управление на рисковете (когато само в изолирани случаи се появява нов риск), което ще рече, че много по-рано може да се почувства ефект от управление на рисковете.
  2. Могат да се изберат 1-2, или няколко „пилотни” процеса в компанията, в които най-напред да се извърви докрай цялата процедура и чрез тях да се осмисли как се управляват рисковете.
  3. Няма опасност ако нещо е сбъркано в подхода, то да се направи неправилно при всички рискове и накрая Проектът да се окаже „къс хартия”, а може, като се управляват конкретни рискове в конкретен процес, да се види къде нещата не се правят както трябва, кое на риск-мениджъра и на собственика на риска не им е ясно, какво трябва навреме да се „доизпипа”.
  4. Така, както се съветва при внедряването на Системата за управление на качеството, непрекъснатият процес на работа дава възможност компанията да се самообучава и добрите практики в управлението на риска при едни процеси да се прехвърлят със съответния анализ и оптимизиране – към други процеси.

  • Риск-мениджърът, воден от желанието си за максимално ефективно реализиране на поставената задача, в своите разговори с висшия мениджмънт е призван да защитава виждането си за управлението на риска като за непрекъснат, постоянно оптимизиращ се процес - така, както се прави и се изисква по модела PDCA (Plan-Do-Check-Act):
  -- Планиране – определяне на целите и на необходимите дейности;
  -- Изпълнение – реализация на системата;
  -- Проверка – наблюдение и измерване на резултатите;
  -- Действие – дейности за постоянно оптимизиране на системата.

  При правилно организирана дейност, в управлението на риска ще се появят необходимите количествени натрупвания. Въпрос на време те да прераснат в качество. За целта е нужно да се знаят мениджърите на процесите и те да бъдат убедени, че имат ангажименти в риск-мениджмънта. При кооперативност от тяхна страна, управлението на риска може да върви в отлично темпо и с висока продуктивност.
  Архимед е възкликнал: „Дайте ми опорна точка и достатъчно дълъг лост, и ще повдигна Земята!”. Без да се пораждат завишени очаквания, риск-мениджърът може да каже също така: „Дайте ми отговорни мениджъри на процеси и работата по риск-мениджмънта ще тръгне!”.

  ► Примерно схематично описание на Процеса „Управление на риска”.
  „Управление на риска“

  Цел: Постигане и поддържане на ниво на управлението на рисковете, осигуряващо нормална дейност на компанията и ефективно реализиране на нейните цели.

  Основни задачи:
  1. Идентифициране на съществуващите и потенциалните рискови фактори, които могат да влияят на целите на компанията и на нейната нормална дейност.
  2. Анализ, оценка, категоризация и степенуване на рисковете от външната и вътрешната среда и в бизнес процесите на компанията.
  3. Планиране на мерки за отстраняване на рисковете или за намаляване на последиците от тях ако те се реализират.
  4. Одит на осъществяването на мерките и спазването на предписанията на риск-контрола.

  Подпроцеси:
  1. Наблюдение, анализ и оценка на рисковете.
  2. Оперативно управление на рисковете.
  3. Одит на риск-контрола.

  Продукт: Минимизирани рискове.

  Нормативна база:
  (1) Стандарти за управление на риска.
  (2) Стандарти за Система за управление на качеството и нейния одит.
  (3) Вътрешно-фирмени документи по Система за управление на качеството.
  (4) Инструкция за наблюдение и анализ на риска в компанията.

  Описание на стъпките:
  1. Подпроцес "Наблюдение, анализ и оценка на рисковете".

  Цел: Наблюдение, анализ и оценка на рисковете, оказващи негативно въздействие върху дейността на компанията.

  На входа: База данни на рисковете в компанията. Данни от наблюдаването на основни аспекти от външната бизнес среда, от проучвания на клиенти, бизнес организации и партньори. Информация за проявени рискове от мениджърите на съществуващите процеси в компанията.
  На изхода: Актуализиран Списък на оценените рисковете.

  Дейност: Създаване и приемане на нормативна база (Стандарти за управление на риска в компанията, Инструкция за наблюдение и оценка на риска в компанията). Оптимизиране на дейността на всички структурни звена в процеса на управление на риска чрез организиране и поддържане на система от определени правила и мерки. Обработване, анализ, класифициране и архивиране на информацията за рискови фактори и рискове. Изготвяне и предоставяне на информационни документи за проявяване на рискови фактори и рискове. Анализ и оценка (качествена и количествена) на рисковите фактори и на проявяващи се рискове в съществуващите процеси в компанията. Актуализация на списъка на оценените рискове.

  Параметри, които се наблюдават:
  - въздействия върху външната и вътрешната фирмена среда;
  - спазване на процедури и инструкции;
  - производствени отношения в компанията;
  - елементи и условия за минимизиращо рисковете и нерисково поведение на служителите;
  - критерии за честота на възникване на рискови събития и за ущърб от рискови събития при реализирането им.

  Продукт: Идентифицирани, анализирани и оценени рискове.

  2. Подпроцес "Оперативно управление на рисковете".

  Цел: Ефективно оперативно управление на рисковете и минимизиране на последствията от тях.

  На входа: Актуализиран Списък на оценените рисковете.
  На изхода: Актуализирана База данни на рисковете (Карта рисковете и Индивидуални досиета за отделните рискове).

  Дейност: Изработване на предписания (регистри) от мерки за въздействие върху проявяващите се рискове в съществуващите в компанията процеси в съответствие с преценките на мениджмънта за значимостта на оценените рискове. Съставяне на индивидуални планове от реализиране на предписаните мерки в Картата на рисковете за управление на всеки риск. Въздействие върху проявяващите се рискове. Изготвяне на предписания в съответствие с изискванията на Системата за управление на качеството, за изменение и допълнение на съпътстващата процесите вътрешно-фирмена документация – процедури, инструкции, длъжностни характеристики. Анализ на състоянието на рисковете след прилагане на мерките за въздействие върху тях. Актуализиране на Базата данни на рисковете в компанията.

  Параметри, които се наблюдават:
  - спазване на предписаните мерки за въздействие върху рисковете;
  - индивидуални планове за реализиране на предписани мерки за противодействие на рисковете;
  - производствените отношения в компанията;
  - съдържание и пълнота на Базата данни на рисковете.

  Продукт: Ефективно въздействие върху рисковете.

  Забележка: Карта на рисковете (База данни за рисковете) е софтуерен продукт, чиято структура е: Процес, Риск, Собственик, Честота, Ущърб, Интензинет, Категория, Уязвимост, Мерки, Резултат от одита.
  Към Картата на рисковете се поддържа Индивидуално досие за всеки отделен риск, в което се отбеляза пълната негова история, неговите собственици, анализи и оценки, критерии, способи за въздействие, предприемани мерки, постигани резултати, извършвани одити.
  Главна отговорност за поддържането на Картата на рисковете е на риск-мениджъра. Тя се изготвя от IT специалистите. Главен неин потребител е висшият мениджмънт, а също и главните мениджъри и мениджърите. Картата на рисковете позволява да се получи пълна информация за всеки отделен риск, информация за рисковете по всеки отделен процес и много други справки, разрези, систематизации, спомагащи за оптимизиране на риск-мениджмънта.

  3. Подпроцес "Одит на риск-контрола".

  Цел: Одитиране, мониторинг и отчет на процеса на управление на риска в компанията.
  На входа: Актуализирана База данни на рисковете (Карта рисковете и Индивидуални досиета за отделните рискове).

  На изхода: Периодични и ad hoc доклади за одита и управлението на риска за мениджмънта, заинтересованите лица, акционерите, мениджърите и служителите.

  Дейност: Одитиране на управлението на риска. Анализ на съответствията между извършваните дейности и направените предписания. Препоръки за подобряване на управлението и отстраняване на несъответствията. Указания за превантивни, коригиращи и последващи действия. Мониторинг и преглед на управлението на риска. Разясняване политиката на компанията. Повишаване на осведомеността и знанието за риск-мениджмънта. Обучения на мениджърите и служителите по теория и практика на риск-мениджмънта, с оглед на постигнатото в тази област към текущия момент.

  Параметри, които се наблюдават:
  - съответствия между извършвани дейности и предписания;
  - превантивни, коригиращи и последващи действия в риск-контрола.
  - производствените отношения в компанията;

  Продукт: Годишен доклад за управление на риска в компанията.

  Следва кратко пояснение за стъпките при постоянното попълване на Картата на рисковете.

  ► При наблюдението и анализа, ако се получи информация за риск (събитие) се извършва идентификация. Възможностите са три:
   (1) Рискът е нов;
   (2) Рискът е съществуващ в наблюдавания процес;
   (3) Рискът е съществуващ, но засяга друг процес.

  -- Ако рискът е нов, му се прави анализ и оценка, след това се въвежда нов запис за него в Картата на рисковете (в Базата данни за рисковете) с попълнени графите до „Мерки”.
  -- Ако рискът е съществуващ, то собственикът на процеса, заедно с риск-мениджъра и др. експерти извършват актуализация на анализа и оценката за този риск. Ако оценката се променя, записът за риска в Картата на рисковете (Базата данни за рисковете) се променя.

  ► При оперативното управление, ако рискът е нов, се определят целите и способа за въздействие (избягване, приемане, трансфериране, третиране) и мерките за въздействие. Ако не е нов, но оценката за него е променена, се актуализират мерките за въздействие.
  След това набелязаните мерки за въздействие се реализират. Те са напълно в прерогативите и задълженията на мениджърът на процеса (подпомаган от съответния негов експерт, който пряко „се среща” с този риск). Но риск-мениджърът сам или чрез свой експерт наблюдава ефектът от приложените мерки, т.е. не си „измива ръцете”, а активно следи целия процес.
  След прилагането на набелязаните мерки се прави „анализ на риска след въздействието”, т.е. на остатъчния риск. Ако остатъчният риск не е приемлив, мерките за въздействие се прилагат отново (евентуално актуализирани) – докато остатъчният риск не стане приемлив.
  При приемлив остатъчен риск се прави запис в Картата на рисковете (в Базата данни за рисковете) и в индивидуалното досие на риска - интегрална част от Картата на рисковете.

  ► При одита на риск-контрола (по съществуващите стандарти се нарича одит от първа страна, т.е. вътрешен одит) се установяват съществуващите несъответствия и се правят предписания за превантивни, коригиращи и последващи действия. Освен това се извършва непрекъснат мониторинг и преглед на управлението на риска. Изготвят се периодични и ad hoc доклади за управление на риска и Годишен доклад за управление на риска.

  ●•●
  В заключение, завършвайки този експериментален курс от четири лекции, ще представя основното съдържание на използван в практическата ми работа по някои Проекти 8-стъпков модел за минимизиращо рисковете поведение “METAPHOR" (МЕТАФОРА).

  Модел „METAPHOR”:
  M – Money (Пари).
  E – Environment (Среда).
  T – Technologies (Технологии).
  A – Aims (Цели).
  P – People (Хора).
  H – Hazards (Опасности).
  O – Opponents (Опоненти).
  R – Regulations (Регламенти).
  Когато се предприема някаква дейност - насочена към производство на стойност, или за създаване на конкурентно предимство, или е радикален реинженеринг, или цели реализирането на проект, или е изправена пред необходимостта от изработване и оптимизиране на стратегия - трябва да се направи анализ на всичко, свързано с:
  ♦ Парите (т.е. финансите, които се ангажират).
  ♦ Средата (в която се развива дейността).
  ♦ Технологиите (които се прилагат).
  ♦ Целите (които се преследват).
  ♦ Хората (които се ангажират).
  ♦ Опасностите (които могат да възникнат).
  ♦ Опонентите (които могат да са заинтересовани от неуспеха ни).
  ♦ Регламентите (т.е. нормативните документи, които трябва да се спазват).
  Следват Осемте стъпки на модела „METAPHOR”:
  ◄ Стъпка “M” (Стъпка 1) – Money (Пари).
  Например - какво ще се изразходва; къде ще се изразходва; за какво ще се изразходва; кому ще се плаща, от кого или на кого ще се заема; кой ще ни кредитира или кого ще кредитираме; къде могат да ни очакват финансови щети, провали, преразходи, подводни камъни, завличания, невъзвращаемост; ефикасност на използването на средствата (постигане на целите) и ефективност на използването (съотношение постигнати цели:вложени средства) и т.н.
  ◄ Стъпка “E” (Стъпка 2) – Environment (Среда).
  Например – в зависимост от дейността – международна среда (глобална, европейска, регионална, национална); външна среда; вътрешна среда; политическа, икономическа, социална, пазарна екологическа среда; метеорологични прогнози (ако трябва) и т.н.
  ◄ Стъпка “T” (Стъпка 3) – Technologies (Технологии).
  Например – информационни, управленски, инженерни; оборудване, екипировка, помощни средства; обработка и защита на информацията; средства за лична защита; превозни средства и т.н.
  ◄ Стъпка “A” (Стъпка 4) – Aims (Цели).
  Например – към какво се стремим; какви задачи си поставяме; на какво искаме да въздействаме; какво впечатление искаме да произведем; имидж; авторитет; производствени задачи; повишаване на стойността, на инвестиционната привлекателност, на сигурността и т.н.
  ◄ Стъпка “P” (Стъпка 5) – People (Хора).
  Например – човешки ресурси; специалисти; външни експерти; охрана; агенти за влияние, лоби, групи за натиск и т.н.
  ◄ Стъпка “H” (Стъпка 6) – Hazards (Опасности).
  Например – внезапни, непредвидени събития; природни явления; инциденти, злополуки, бедствия, аварии, катастрофи; „паднало от небето”; „дебнещо зад ъгъла”; “едва избягнато”, “за малко да ни удари”, “разминаване на косъм” и т.н.
  ◄ Стъпка “O” (Стъпка 7) – Opponents (Опоненти).
  Например – конкуренти; противници; врагове; злоумишленици; клеветници и разпространители на слухове; саботьори; „шпиони”; внедрени и т.н.
  ◄ Стъпка “R” (Стъпка 8) – Regulations (Регламенти).
  Например – закони, наредби, постановления, правилници; стандарти; вътрешна нормативна уредба; Система за управление на качеството; Система за управление на околната среда; безопасни условия на труд и т.н.
   Николай Слатински
  14.06.2010 г.