Процесс управления риском включает шаг оценивания каждого из обнаруженных событий, которые могут повлиять на достижение целей компании. Такие события следует оценивать с двух точек зрения — вероятности (крайне маловероятны, маловероятны, возможные, вероятные, весьма вероятны) и степени серьезности последствий (несущественные, не слишком вредные, вредные, очень вредные и катастрофические).

Оценив таким образом все выявленные события, можно построить матрицу рисков, например, 5 на 5 квадратов. На практике такие квадраты часто подсвечивают разными цветами, чтобы привлечь внимание к ним:

  • Зеленые — маловероятны и не слишком существенные события, на которые можно не обращать внимания;
  • Желтые — или маловероятны вредные, или вероятные, но не вредные события, они не являются приоритетными рисками;
  • Оранжевые — или маловероятны и очень вредные, или вероятные, но не очень вредные события, их уже нужно внимательно отслеживать;
  • Красные — вероятные очень вредны или катастрофические события, по которым обязательно должен быть план действий и вестись мониторинг;

Матрица риска

Отдельно следует определять еще «черных лебедей» — непредсказуемые катастрофические события, вероятность которых сложно оценить, поэтому их обычно невозможно обнаружить к наступлению.

Варианты ответа на каждый из выявленных рисков могут быть следующими:

  • Принять — смириться с возможностью риска, ничего не осуществлять для его предотвращения;
  • Уменьшить — принять риск на себя, но разработать план действий по его предупреждению и преодолению последствий;
  • Передать — не брать риск на себя, но перевести его на других (например, благодаря страхованию или гарантиям);
  • Отказаться — не брать риск на себя через прекращения деятельности, которая может привести к наступлению выявленных событий;

Принятия рисков на практике часто происходит с установлением лимитов по тем или иным рискам — лимит определяет максимальную стоимость рисковых активов или размер позиции, которую фирма позволяет открыть.

Мониторинг и контроль рисков осуществляется с использованием ключевых показателей риска, желательно, количественных измерителей, которые позволяют оценить тот или иной источник риска. Пример: индекс удовлетворенности клиентов может измерять операционный риск (падение индекса может свидетельствовать о недостатках бизнес-процессов или персонала), количество наложенных санкций может измерять комплаенс-риски и тому подобное.