Выявление и измерение риска — важная управленческая функция компании, направленная на соблюдение законов и этических норм. Авторитетный источник — стандарт ISO 31000 «Менеджмент риска» (Risk Management) — определяет риск как «влияние неопределенности на цели».
Влияние означает, что достигаемый результат отличается от ожидаемого. Это влияние может быть «положительным, отрицательным или и тем, и другим и может касаться, создавать или приводить к возможностям и угрозам».
Очевидно, что стандарт не ограничивает сферу риска только негативными событиями. Кроме этого, выделяется понятие «подверженность риску» (risk exposure), которое, по сути, соответствует математическому ожиданию в теории вероятности — произведению вероятности события на величину возможных убытков, которыми это событие сопровождается.
Эксперты выделяются несколько разновидностей комплаенс-рисков:
Но данная классификация не может считаться идеальной, поскольку отдельные ее части пересекаются между собой. И помимо причин возникновения рисков не меньшей важностью обладает их количественная оценка. Так, например, Институт стратегического анализа рисков управленческих решений (ISAR) в своих учебных материалах рекомендует следующие критерии оценки риска по величине и вероятности:
Уровень |
Величина ущерба |
Вероятность наступления |
Высокий |
Реализация одного или более рисков в данной категории может привести к существенному снижению доходов или увеличению расходов компании или репутационному ущербу |
Риск уже неоднократно реализовывался |
Средний |
Реализация одного или более рисков в данной категории может привести к среднему снижению доходов или увеличению расходов компании и несущественному репутационному ущербу |
Риск, вероятно, реализуется в течение года |
Низкий |
Реализация рисков в данной категории может привести к несущественному снижению доходов или увеличению расходов компании |
Низкая вероятность, что риск реализуется в течение года |
Российская деловая практика показывает, что комплаенс-офицеры присваивают характеристики «низкий», «средний» или «высокий» весьма произвольно. Например, в некоторых компаниях любой коррупционный риск автоматически относится к высоким рискам, или тот, который ведет к серьезному штрафу (например, штраф от 1 млн руб.).
Пока единой методики понимания у российского бизнеса того, что является риском и как его считать, не существует. При этом без четкой методики эти характеристики могут быть бессмысленны.