Про управление рисками достаточно подробно написано в соответствующих учебниках, стандартах и методологиях, нет смысла пересказывать то же самое еще раз. Но недавно коллега, беседуя по вопросам рисков, поделился одним изящным решением придуманным недавно в ходе мозгового штурма и был удивлен, когда узнал, что в моей библиотеке практик это решение присутствует уже несколько лет. Поэтому хотелось бы поделиться некоторым набором практических подходов, которые, возможно, помогут другим хотя бы сэкономить время.

Однако, прежде чем рассказывать что‑либо о рисках, надо все таки обратиться к основам и определиться с терминами. Нужно сразу оговориться, что на практике иногда используют двойственную природу риска, говоря, что кроме опасностей он несет и возможности, но в данном случае мы будем рассматривать только о негативную сторону рисков.

В дискуссиях и спорах, для обоснования своей точки зрения при разработке стратегий, планировании бюджета и особенно при прохождении проверок и аудитов, участники часто используют термины «высоко‑рисковый», «риск‑ориентированный», «аппетит к риску». Но если спросить, что каждый из них под этим понимает, может выясниться, что понимание у всех разное.

Обычно используют определение из методик COSO (The Committee of Sponsoring Organizations) или стандартов ГОСТ серии 31 000 в виде: «Риск это следствие влияния неопределенности на достижение поставленных целей» либо более коротко, как в стандартах ГОСТ 27 000 или ГОСТ 51897: «Влияние неопределенности на достижение целей». Это определение полезно тем, что привязывает риск к бизнес‑цели и дает возможность отсечь то, что не относится к достижению целей бизнеса. Но, к сожалению, в таком определении отсутствуют четко измеряемые показатели. Поэтому обычно рядом с таким определением есть уточнение или примечание, как в том же стандарте 31000, где говорится, что понятие риска связано с размером потенциального ущерба и вероятностью его наступления. Таким образом у нас появляются два параметра, которые можно измерять.