Процесс управления риском включает шаг оценивания каждого из обнаруженных событий, которые могут повлиять на достижение целей компании. Такие события следует оценивать с двух точек зрения — вероятности (крайне маловероятны, маловероятны, возможные, вероятные, весьма вероятны) и степени серьезности последствий (несущественные, не слишком вредные, вредные, очень вредные и катастрофические).
Оценив таким образом все выявленные события, можно построить матрицу рисков, например, 5 на 5 квадратов. На практике такие квадраты часто подсвечивают разными цветами, чтобы привлечь внимание к ним:
- Зеленые — маловероятны и не слишком существенные события, на которые можно не обращать внимания;
- Желтые — или маловероятны вредные, или вероятные, но не вредные события, они не являются приоритетными рисками;
- Оранжевые — или маловероятны и очень вредные, или вероятные, но не очень вредные события, их уже нужно внимательно отслеживать;
- Красные — вероятные очень вредны или катастрофические события, по которым обязательно должен быть план действий и вестись мониторинг;
Отдельно следует определять еще «черных лебедей» — непредсказуемые катастрофические события, вероятность которых сложно оценить, поэтому их обычно невозможно обнаружить к наступлению.
Варианты ответа на каждый из выявленных рисков могут быть следующими:
- Принять — смириться с возможностью риска, ничего не осуществлять для его предотвращения;
- Уменьшить — принять риск на себя, но разработать план действий по его предупреждению и преодолению последствий;
- Передать — не брать риск на себя, но перевести его на других (например, благодаря страхованию или гарантиям);
- Отказаться — не брать риск на себя через прекращения деятельности, которая может привести к наступлению выявленных событий;
Принятия рисков на практике часто происходит с установлением лимитов по тем или иным рискам — лимит определяет максимальную стоимость рисковых активов или размер позиции, которую фирма позволяет открыть.
Мониторинг и контроль рисков осуществляется с использованием ключевых показателей риска, желательно, количественных измерителей, которые позволяют оценить тот или иной источник риска. Пример: индекс удовлетворенности клиентов может измерять операционный риск (падение индекса может свидетельствовать о недостатках бизнес-процессов или персонала), количество наложенных санкций может измерять комплаенс-риски и тому подобное.