Калибровка оси 'Тяжесть': от микротравм до катастрофических последствий

30 минут Урок 4

Введение: Почему «Интуиция» — враг риск-менеджера

Коллеги, добро пожаловать на урок. Сегодня мы займемся, пожалуй, самой ответственной частью построения матрицы рисков — калибровкой оси «Тяжесть» (Severity/Impact).

Представьте ситуацию: на совещании начальник склада говорит: «Падение этой полки — это катастрофа!». А финансовый директор отвечает: «Какая же это катастрофа? Ущерб всего 50 000 рублей, это мелкая неприятность».

Кто из них прав? В своей системе координат — оба. Но для риск-менеджмента такая разноголосица губительна. Если мы не договоримся о единой шкале, наша матрица превратится в генератор случайных чисел, основанный на эмоциях, а не на фактах.

Цель этого урока: научиться превращать абстрактные понятия «плохо» и «ужасно» в четкие, измеримые критерии, которые будут едины для всей компании — от уборщицы до генерального директора.

Анатомия последствий: Мультифакторный подход

Ошибка новичков — оценивать тяжесть только деньгами. Но как оценить деньгами жизнь сотрудника или потерю репутации, из-за которой от вас ушли ключевые клиенты?

Профессиональная матрица оценки рисков всегда мультифакторна. Мы должны создать единую шкалу (обычно от 1 до 5), где каждый уровень описывает последствия в четырех ключевых измерениях:

Здоровье и безопасность (H&S): Травмы, заболевания, летальные исходы.
Финансы: Прямые убытки, штрафы, стоимость восстановления.
Репутация: Упоминания в СМИ, доверие стейкхолдеров.
Операционная деятельность/Комплаенс: Остановка производства, отзыв лицензий.

Ваша задача как архитектора системы безопасности — синхронизировать эти измерения. Уровень 3 по финансам должен быть так же болезнен для компании, как уровень 3 по репутации.

Детальный разбор шкалы: Уровни 1 и 2

Давайте откалибруем «нижнюю» часть нашей шкалы. Это рутина, с которой компания сталкивается регулярно.

Уровень 1: Незначительный (Insignificant)

Это события, которые находятся в рамках операционного шума. Они неприятны, но не требуют вмешательства топ-менеджмента.

H&S: Микротравмы (порезы, ушибы). Первая помощь на месте. Возвращение к работе немедленно.
Финансы: Ущерб менее 0.01% от EBITDA (или фиксированная сумма, например, до 10 000 руб. для малого бизнеса).
Репутация: Локальные жалобы, которые решаются службой поддержки. Слухи внутри отдела.

Уровень 2: Низкий / Малый (Minor)

Здесь уже требуется внимание линейного руководителя, но процессы не останавливаются.

H&S: Медицинская помощь (врач), но без потери трудоспособности (или 1-2 дня больничного). Легкие обратимые последствия.
Финансы: Ощутимо для бюджета отдела, но незаметно для компании в целом.
Репутация: Негативные отзывы в соцсетях, требующие официального, но шаблонного ответа.

«Серая зона»: Уровень 3 — Умеренный (Moderate)

Уровень 3 — это переломный момент. Именно здесь часто происходят самые жаркие споры при оценке рисков. Это события, которые уже нельзя игнорировать, так как они влияют на квартальные показатели.

H&S: Травма с потерей трудоспособности (LTI — Lost Time Injury). Переломы, сильные ожоги. Сотрудник выпадает из процесса на недели. Возможно начало расследования со стороны надзорных органов.
Финансы: Убытки, требующие пересмотра бюджета подразделения. Например, поломка ключевого станка, ремонт которого стоит дорого.
Репутация: Публикации в региональных СМИ или профильных отраслевых ресурсах. Локальный скандал. Клиенты начинают задавать вопросы.
Операции: Краткосрочная остановка второстепенных процессов (сбой поставки на 1-2 дня).

Совет эксперта: Если вы сомневаетесь между уровнем 2 и 3, всегда выбирайте 3. Принцип консерватизма в безопасности спасает карьеры.

Упражнение

Представьте, что вы разрабатываете матрицу рисков для средней IT-компании (разработка ПО). Попробуйте сформулировать критерии для Уровня 3 (Умеренный) по трем направлениям: 1. Информационная безопасность, 2. HR (персонал), 3. Репутация.

Решение:

Возможный вариант калибровки для IT-компании (Уровень 3):

1. Информационная безопасность: Инцидент, приведший к простою внутренних сервисов более 4 часов ИЛИ утечка некритичных данных (внутренняя документация без перс. данных).
2. HR: Увольнение ключевого сеньор-разработчика (Team Lead) или конфликт в команде, снижающий производительность спринта на 20%.
3. Репутация: Негативное обсуждение продукта на профильных форумах (Habr, Reddit) без выхода в широкие СМИ. Единичные отказы клиентов от продления подписки.

Красная зона: Уровни 4 и 5

Здесь мы говорим о событиях, которые меняют траекторию развития компании или ставят крест на её существовании.

Уровень 4: Значительный / Высокий (Major)

Это кризис. Активируется штаб по ЧС или антикризисный комитет.

H&S: Тяжелые необратимые травмы (инвалидность), профессиональные заболевания, массовые отравления.
Финансы: Ущерб, влияющий на годовую прибыль компании (например, >5% EBITDA). Срыв стратегических инвестпроектов.
Репутация: Федеральные СМИ, негативные сюжеты на ТВ. Расследования регуляторов. Отток крупных клиентов.
Право: Крупные штрафы, приостановка деятельности отдельных объектов (цеха, филиала) по решению суда.

Уровень 5: Катастрофический (Catastrophic)

События уровня «Black Swan» или фатальные ошибки.

H&S: Смертельный случай (Fatality) или групповой несчастный случай.
Финансы: Убытки, ставящие компанию на грань банкротства. Потеря ликвидности.
Репутация: Международный скандал, полный бойкот бренда (культура отмены), потеря «социальной лицензии» на деятельность.
Право: Отзыв основной лицензии, уголовное преследование топ-менеджмента.

Методика финансовой калибровки

Как определить конкретные цифры для финансовой шкалы? Использовать абсолютные числа (например, «1 млн рублей») опасно, так как бизнес растет, и инфляция меняет стоимость денег. Через год ваша матрица устареет.

Лучшая практика — привязка к ключевым финансовым показателям:

% от EBITDA (прибыль до вычета налогов, процентов и амортизации). Это показывает, насколько больно удар придется по эффективности бизнеса.
% от NPAT (чистая прибыль после налогов).
% от CAPEX/OPEX (для проектных рисков).

Пример таблицы (Project Scale):
1. < 0.5% бюджета проекта
2. 0.5% - 2% бюджета
3. 2% - 5% бюджета
4. 5% - 10% бюджета
5. > 10% бюджета (проект становится нерентабельным)

Ловушки при калибровке

Даже опытные специалисты попадают в эти ловушки:

Агрегация рисков: Вы калибруете риск «Пожар» как уровень 5. Но риск «Возгорание в урне» оцениваете тоже как «Пожар». Важно различать сценарии: локальное возгорание (Ур. 2) и уничтожение склада (Ур. 5).
Эмоциональная привязка к H&S: Существует тенденция завышать любые риски безопасности до 5 уровня («Ведь может кто-то умереть!»). Это благородно, но если всё будет «красным», вы не поймете, за что хвататься в первую очередь. Оценивайте реалистичный наихудший сценарий, а не теоретически возможный апокалипсис от падения ручки на пол.
Игнорирование вторичных эффектов: Часто забывают, что уровень 5 по репутации может привести к уровню 5 по финансам, но с задержкой в полгода.

Упражнение

Кейс: Крупная розничная сеть (супермаркеты). Произошла утечка базы данных карт лояльности (без платежных данных, только ФИО и телефоны). <br><br>Задание: Оцените тяжесть этого события по шкале 1-5, используя мультифакторный подход (Правовой, Репутационный, Финансовый). Обоснуйте выбор уровня.

Решение:

Оценка: Скорее всего, Уровень 3 (Умеренный) или 4 (Значительный), в зависимости от масштаба.

Обоснование:
- Правовой (Ур. 3-4): Нарушение закона о персональных данных. Штрафы могут быть не катастрофическими, но проверки регуляторов гарантированы.
- Репутационный (Ур. 4): Новость подхватят СМИ («Очередная утечка!»). Клиенты будут недовольны спамом, возможно снижение лояльности.
- Финансовый (Ур. 2-3): Прямые потери невелики, но расходы на кибер-аудит и PR-кампанию будут ощутимы.

Итоговый уровень риска определяется по наивысшему показателю — то есть Уровень 4 (из-за репутации и масштаба охвата клиентов).

Вопрос

Компания откалибровала уровень «Катастрофический» (5) по финансам как «Убыток > 100 млн руб», а по безопасности как «Смертельный случай». Произошел взрыв, погиб один сотрудник, ущерб оборудованию составил 10 млн руб. Какой итоговый уровень тяжести следует присвоить этому инциденту?

Уровень 3 (Усредненное значение между финансовым и человеческим ущербом)

Уровень 2 (Так как 10 млн руб — это далеко от катастрофического порога в 100 млн)

Уровень 5 (Оценка всегда производится по наихудшему показателю из всех категорий)

Уровень 4 (Снижаем на один пункт, так как финансовый ущерб невелик)

Невозможно оценить без решения совета директоров

Предыдущий урок Следующий урок