Карта рисков: что это, как составить за 5 шагов — с примерами для кофейни, магазина, стройки и ИТ
Карта рисков — это матрица «вероятность × ущерб», которая превращает тревожное «а вдруг что-то пойдёт не так» в управленческий инструмент: каждый риск получает координаты, цветовую зону и понятное решение — принять, снизить, передать или избегать. Метод одинаково работает для проекта на миллиард и для кофейни у дома — меняются только цифры на осях. В статье — как составить карту рисков за 5 шагов: шкалы оценки вероятности и ущерба, формула уровня риска и цветовые зоны, сквозной пример — карта рисков кофейни от мозгового штурма до плана мер, готовые мини-реестры для интернет-магазина, строительного подрядчика и ИТ-продукта, 4 стратегии реагирования с примерами, типичные ошибки, ограничения метода — и интерактивный конструктор: двигайте риски по живой матрице 5×5 и добавляйте собственные.
Программа SF
Карта рисков — один из базовых инструментов аналитика наряду с финансовым моделированием и анализом отчётности. Освоить весь набор системно можно на курсе «Финансовый аналитик» SF Education.
Что такое карта рисков и зачем она нужна
Риск — это возможное событие, которое ударит по целям проекта или бизнеса: деньгами, сроками, репутацией. Неопределённость — нормальная часть любого дела, и задача не в том, чтобы избавиться от рисков (это невозможно), а в том, чтобы работать с ними осознанно: знать главные угрозы заранее, готовить меры и не тратить силы на пустяки.
Карта рисков решает ровно эту задачу. Это визуализация оценки рисков на двух осях — вероятность наступления и ущерб от него, — где каждый риск превращается в точку, а поле делится на цветовые зоны: красная требует немедленных действий, жёлтая — плановой работы, зелёной можно управлять «по остаточному принципу».
Зачем это на практике:
- Решение «входить или нет» — до подписания договора или запуска проекта: если половина рисков в красной зоне и они слабо контролируемы, лучший план мер — отказаться
- Приоритизация — мер всегда меньше, чем рисков; карта показывает, куда направить ограниченные деньги и внимание
- Профилактика — регулярный пересмотр карты ловит проблемы, пока они стоят дёшево: риск, замеченный на стадии «жёлтый», обходится в разы дешевле красного
- Общий язык — «риск № 4 ушёл в красную зону» понятно собственнику, юристу и инженеру одинаково; спор о приоритетах превращается в спор о координатах, а это уже спор по существу
Карта рисков за 10 секунд
5×5
классический размер матрицы
В × У
уровень риска = вероятность × ущерб
3 зоны
красная, жёлтая, зелёная
4
стратегии реагирования
10–25
рисков в рабочем реестре
1 / квартал
типичная частота пересмотра
Анатомия карты: оси, формула, цветовые зоны
Чтобы риски можно было сравнивать, обе оси переводят в баллы. Чаще всего используют пятибалльные шкалы — они достаточно точны и не провоцируют ложную точность вида «вероятность 37,5%»:
| Балл | Вероятность | Ущерб (пример для малого бизнеса) |
|---|---|---|
| 1 | Почти невероятно (< 5%) | До 50 тыс. ₽ — неприятно, но незаметно для бизнеса |
| 2 | Маловероятно (5–20%) | 50–200 тыс. ₽ — съест часть месячной прибыли |
| 3 | Возможно (20–50%) | 200–500 тыс. ₽ — месяц работаем «в ноль» |
| 4 | Вероятно (50–80%) | 500 тыс. – 1,5 млн ₽ — придётся занимать |
| 5 | Почти наверняка (> 80%) | Более 1,5 млн ₽ — угроза существованию бизнеса |
Денежные пороги ущерба каждая компания калибрует под себя: для завода «катастрофа» начинается с сотен миллионов, для кофейни — с полутора. Правильный ориентир — доля от годовой прибыли: балл 5 обычно означает «больше годовой прибыли».
Дальше — одна формула:
Уровень риска = Вероятность × Ущерб. Минимум 1×1 = 1, максимум 5×5 = 25. По уровню риски делятся на три цветовые зоны:
1–6 баллов
Зелёная зона — приемлемые
Фиксируем в реестре, наблюдаем при плановых пересмотрах. Специальных мер и бюджета не выделяем.
8–12 баллов
Жёлтая зона — допустимые
Назначаем ответственного и плановые меры: снизить вероятность или ущерб, подготовить «план Б». Контроль — ежеквартально.
15–25 баллов
Красная зона — опасные
Действия немедленно: меры с бюджетом и сроками, контроль ежемесячно или чаще. Если снизить не получается — пересматриваем сам проект.
Пороги зон (6 и 12, у кого-то 4 и 15) — управленческое решение, а не закон природы. Важно одно: пороги фиксируются заранее, до оценки конкретных рисков — иначе зоны начнут «подгонять» под желаемый ответ.
Как составить карту рисков: 5 шагов
1
Соберите реестр рисков
Командный мозговой штурм 60–90 минут: каждый пишет угрозы своей зоны, без критики и фильтра. Источники подсказок: прошлые проекты, договор (особенно штрафы), типовые категории — рынок, контрагенты, люди, техника, регуляторы, деньги. Цель — 20–40 сырых формулировок.
2
Сформулируйте риски конкретно
«Проблемы с поставщиками» — не риск, а тревога. Риск: «единственный поставщик зерна поднимет цену более чем на 15% при продлении контракта в сентябре». Формула: событие + причина + последствие. Чем конкретнее, тем честнее оценка.
3
Оцените вероятность и ущерб
По шкалам 1–5: статистикой, если есть данные прошлых периодов, иначе — экспертной оценкой 2–3 человек независимо друг от друга с обсуждением расхождений. Расхождение оценок на 2+ балла — само по себе находка: значит, риск понимают по-разному.
4
Нанесите риски на матрицу и разберите зоны
Уровень = В × У, цвет по порогам. Красные разбираются на этой же встрече: мера, ответственный, срок, бюджет. Жёлтые — назначить владельцев. Зелёные — просто оставить в реестре.
5
Назначьте ритм пересмотра
Карта, составленная один раз, мертва через квартал. Стандарт: пересмотр раз в квартал для бизнеса, раз в 2–4 недели для активного проекта, внеочередной — при существенных событиях (новый закон, потеря ключевого клиента, скачок курса).
Сквозной пример: карта рисков кофейни «Корица»
Анна открывает вторую точку своей кофейни «Корица»: помещение в аренду, ремонт за свой счёт, кредит 2 млн ₽ на оборудование. Годовая прибыль первой точки — около 1,8 млн ₽, поэтому шкала ущерба из таблицы выше ей подходит без правок. После мозгового штурма с управляющей и бариста-старшим в реестре 14 рисков; вот семь самых обсуждаемых — уже сформулированных по правилу «событие + причина + последствие» и оценённых:
| № | Риск | В | У | В×У | Зона |
|---|---|---|---|---|---|
| 1 | Арендодатель поднимет ставку на 20%+ при продлении через год — рядом открывается станция метро | 4 | 3 | 12 | Жёлтая |
| 2 | Ремонт затянется дольше 2 месяцев — аренда капает, выручки нет | 4 | 4 | 16 | Красная |
| 3 | Эспрессо-машина выйдет из строя — единственная, день простоя = день без выручки | 3 | 2 | 6 | Зелёная |
| 4 | Старший бариста уйдёт к конкуренту и уведёт смену — некому варить первые недели | 3 | 3 | 9 | Жёлтая |
| 5 | Поставщик зерна поднимет цены на 15%+ из-за курса — себестоимость чашки вырастет | 4 | 2 | 8 | Жёлтая |
| 6 | Вторая точка не выйдет на план выручки за 6 месяцев — переоценили проходимость | 3 | 5 | 15 | Красная |
| 7 | Проверка Роспотребнадзора найдёт нарушения при запуске — штраф и приостановка | 2 | 3 | 6 | Зелёная |
Что Анна решила по зонам — обратите внимание, как разным зонам соответствует разная глубина мер:
- Красный № 2 (ремонт): договор с подрядчиком переделали — фиксированный срок, штраф 0,5% за день просрочки, оплата этапами по приёмке. Вероятность упала с 4 до 2: риск ушёл в жёлтую зону ещё до старта работ
- Красный № 6 (не выйдем на план): ущерб снизить нельзя, зато можно вероятность — две недели стояли с промо-стойкой у будущей точки и считали поток, скорректировали финансовую модель на пессимистичный сценарий и согласовали с банком график платежей с щадящими первыми месяцами
- Жёлтый № 1 (аренда): в договор внесли ограничение индексации 10% в год на три года — риск передан арендодателю частично, остаток принят
- Жёлтый № 4 (бариста): старшему предложили процент от выручки новой точки — мотивация остаться плюс резервный план: договорённость с кофейной школой о стажёрах
- Зелёный № 3 (машина): ничего не делаем специально — но контакт сервиса с выездом за 24 часа висит на холодильнике. Ноль бюджета, минута подготовки
Главный эффект — не таблица, а решения
Заметьте: половина мер Анны — это пункты договоров. Карта рисков, составленная до подписания документов, конвертируется в формулировки контрактов почти бесплатно. Та же карта, составленная после, оставляет только дорогие меры — резервы, страховки и «планы Б».
Интерактив: конструктор карты рисков
Ниже — живая матрица 5×5 с рисками кофейни «Корица». Выберите риск и подвигайте его вероятность и ущерб — точка переедет по карте, а зона и рекомендация пересчитаются. Добавьте собственные риски — и у вас черновик карты для своего проекта.
Конструктор карты рисков
Кружок с номером — риск. Нажмите на риск в списке под картой, чтобы выбрать его и изменить оценки. Данные никуда не отправляются.
Риски на карте
Выберите риск, чтобы увидеть его зону и рекомендацию.
Конструктор — учебный черновик: рабочая карта рисков дополняется владельцами, мерами, сроками и бюджетом — обычно в таблице или системе управления проектами.
4 стратегии реагирования на риски
Для каждого значимого риска выбирается одна из четырёх стратегий (или их комбинация). Запомнить просто: ИСПП — избегать, снижать, передавать, принимать:
№ 1
Избегать
Изменить план так, чтобы риск исчез вовсе. Самая радикальная стратегия — вплоть до отказа от проекта.
Кофейня: не брать помещение с «историческим фасадом» — согласования с надзором за охраной памятников могут съесть полгода. Ищем обычное.
№ 2
Снижать
Уменьшить вероятность, ущерб или то и другое. Самая частая стратегия для жёлтой и красной зон.
Кофейня: штрафы подрядчику за срыв сроков (вероятность ↓) и поэтапная оплата по приёмке (ущерб ↓).
№ 3
Передавать
Отдать риск тому, кто управляет им лучше или дешевле: страховой, контрагенту через договор, банку.
Кофейня: страхование оборудования и ответственности; пункт об индексации аренды не выше 10% в год — часть риска у арендодателя.
№ 4
Принимать
Осознанно оставить риск себе: для зелёной зоны — без мер, для существенных принятых рисков — с резервом денег или «планом Б».
Кофейня: поломка кофемашины — принимаем, но телефон сервиса с выездом за 24 часа наготове. Резерв на форс-мажор — 10% бюджета проекта.
Ещё три примера: интернет-магазин, подрядчик, ИТ-продукт
Метод один, риски — у каждого свои. Три мини-реестра по пять характерных рисков — используйте как стартовые шаблоны для мозгового штурма:
Интернет-магазин товаров для дома
| Риск | В | У | В×У | Стратегия |
|---|---|---|---|---|
| Торговая площадка поднимет комиссию или изменит правила выдачи — маржа канала упадёт | 4 | 4 | 16 | Снижать: развивать собственный сайт и базу постоянных клиентов |
| Контейнер с сезонным товаром застрянет на таможне и пропустит пик продаж | 3 | 4 | 12 | Снижать: заказ на 6 недель раньше + частичный запас у локального поставщика |
| Курс валюты вырастет на 15%+ между предоплатой и поставкой | 3 | 3 | 9 | Передавать: валютная оговорка в ценах, частичная предоплата |
| Всплеск возвратов по хрупкой категории из-за новой упаковки | 2 | 2 | 4 | Принимать: тест-партия, наблюдаем за долей возвратов |
| Блокировка расчётного счёта по 115-ФЗ из-за резкого роста оборотов | 2 | 4 | 8 | Снижать: второй банк, чистота платежей, запас на счету-резерве |
Строительный подрядчик (договор на 80 млн ₽)
| Риск | В | У | В×У | Стратегия |
|---|---|---|---|---|
| Заказчик задержит оплату этапа на 60+ дней — разрыв по зарплате и материалам | 4 | 5 | 20 | Снижать + передавать: аванс 30%, банковская гарантия, право приостановки работ в договоре |
| Материалы подорожают на 20%+ за время стройки — контракт с твёрдой ценой | 4 | 4 | 16 | Передавать: формула пересмотра цены при росте индекса больше порога; закупка критики заранее |
| Жёсткие штрафы за любое нарушение сроков в договоре заказчика | 3 | 4 | 12 | Снижать: буфер 15% в графике, штрафы зеркально перенесены на субподрядчиков |
| Техзадание неполное — допработы без оплаты «по умолчанию» | 5 | 3 | 15 | Избегать: протокол фиксации объёмов до старта, допсоглашение на любые изменения |
| Кран повредит фасад соседнего здания при монтаже | 1 | 5 | 5 | Передавать: страхование строительно-монтажных рисков и ответственности |
ИТ-продукт (запуск сервиса подписки)
| Риск | В | У | В×У | Стратегия |
|---|---|---|---|---|
| Ключевой разработчик уйдёт до запуска — знания не задокументированы | 3 | 4 | 12 | Снижать: парная работа над критичными модулями, документация как часть задачи |
| Стоимость привлечения клиента окажется вдвое выше модели | 4 | 4 | 16 | Снижать: тест трёх каналов малыми бюджетами до основного запуска |
| Утечка персональных данных пользователей — штраф и удар по репутации | 2 | 5 | 10 | Снижать: внешний аудит безопасности, минимизация собираемых данных |
| Изменение правил магазинов приложений ударит по модели подписки | 2 | 3 | 6 | Принимать: следим, держим веб-версию оплаты как запасной канал |
| Крупный конкурент выпустит аналог бесплатно | 2 | 4 | 8 | Принимать + снижать: фокус на нише, которую крупному игроку невыгодно обслуживать |
Обратите внимание на закономерность: у магазина риски крутятся вокруг канала продаж и валюты, у подрядчика — вокруг договора и денег заказчика, у ИТ — вокруг людей и экономики привлечения. Хороший реестр всегда отражает «болевую анатомию» конкретной отрасли, а не абстрактный список «пожар, потоп, кризис».
Что карта рисков не учитывает
У метода есть честные границы — и их полезно знать, чтобы не требовать от карты невозможного:
- Почти неизбежные события (вероятность выше ~80–95%) — это уже не риски, а условия работы: их закладывают прямо в бюджет как затраты. Если поставщик «наверняка» поднимет цены на 10% — это строка себестоимости, а не точка на карте
- «Чёрные лебеди» — крайне маловероятные события с катастрофическим ущербом: скачок курса в разы, эпидемия, внезапное изменение регулирования. Их не оценивают баллами (вероятность неизвестна в принципе), против них работают не меры по конкретному риску, а общая устойчивость: запас ликвидности, низкий долг, антикризисный план
- Связки рисков — классическая матрица оценивает риски по одному, а они любят приходить компаниями: задержка оплаты заказчиком тянет за собой разрыв по зарплате, уход людей и срыв сроков. Для важных связок рисуют цепочки отдельно
- Положительные отклонения — у неопределённости есть и светлая сторона (спрос выше плана — не успеем производить). Зрелое управление рисками оценивает и возможности, но это уже следующий уровень практики
Карта рисков — это очки, а не хрустальный шар: она не предсказывает будущее, она наводит резкость на то, что вы и так смутно видите. Решения всё равно принимает человек — но теперь глядя на одну картинку с командой, а не споря об ощущениях.
6 типичных ошибок
Риски-тревоги вместо рисков-событий
«Проблемы с персоналом» нельзя ни оценить, ни закрыть мерой. Переформулируйте до события: кто, что, когда, чем грозит.
Карта ради карты
Красивая матрица без ответственных, мер и сроков — декорация. Тест простой: назовите меру и владельца любого красного риска. Не называется — карты нет.
Оценка хором
При совместной оценке побеждает самый громкий или самый главный. Сначала каждый оценивает молча и независимо, потом сверяете и обсуждаете расхождения.
Сто рисков в реестре
Реестр на 100 строк не читает никто, включая автора. Рабочий объём — 10–25 рисков; мелочь группируйте или отправляйте в «лист ожидания».
Подгонка порогов под ответ
Если границы зон двигаются после оценки («ну, 15 — это ещё не красный...»), карта превращается в инструмент самоуспокоения. Пороги — до оценки, письменно.
Составили и забыли
Карта годичной давности опаснее её отсутствия: создаёт иллюзию контроля. Пересмотр — в календарь, как платёж по кредиту.
Как жить с картой: владелец, регулярность, формат
- Владелец карты — один человек: руководитель проекта или, на уровне компании, финансовый директор — управление рисками входит в его контур ответственности (подробнее о роли — в статье кто такой финансовый директор). У каждого отдельного риска — свой ответственный
- Ритм — квартальный пересмотр для бизнеса, каждые 2–4 недели для активного проекта, внеочередной при существенных событиях. На пересмотре три вопроса: что сбылось, что сместилось по осям, что новое появилось
- Формат — таблица (реестр) плюс матрица (картинка). Реестр: формулировка, В, У, уровень, зона, стратегия, мера, ответственный, срок, статус. Для старта достаточно листа в Google Таблицах с условным форматированием по уровню риска; системы управления проектами — когда рисков и команд становится много
- Связь с деньгами — итог карты должен попадать в финансовую модель: резерв на принятые риски (обычно 5–15% бюджета проекта), стоимость мер и страховок — в затраты. Карта без строки в бюджете — благие намерения
Вопросы и ответы
Что такое карта рисков простыми словами?
Таблица-матрица, где каждый риск размещён по двум осям — насколько вероятен и насколько больно ударит. Поле разбито на цветовые зоны: красные риски требуют немедленных мер, жёлтые — плановой работы, зелёные достаточно держать в поле зрения.
Чем карта рисков отличается от реестра рисков?
Реестр — полная таблица: формулировки, оценки, меры, ответственные, сроки. Карта — визуализация реестра на матрице «вероятность × ущерб». Работают в паре: карта показывает приоритеты с одного взгляда, реестр хранит детали.
Как оценить вероятность риска, если нет статистики?
Экспертной оценкой: 2–3 человека, знающие предмет, независимо ставят балл по шкале 1–5, затем обсуждают расхождения. Точность такой оценки достаточна для приоритизации — карте не нужны проценты с десятыми, ей нужен порядок величин.
Сколько рисков должно быть на карте?
Рабочий диапазон — 10–25. Меньше — скорее всего, штурм был поверхностным; больше — реестр перестают читать. Мелкие однотипные риски группируйте, незначимые держите в «листе ожидания» и пересматривайте раз в квартал.
Какие риски не вносят в карту?
Два края шкалы: почти неизбежное (вероятность выше ~80–95%) закладывают сразу в бюджет как затраты, а крайне маловероятные катастрофы («чёрные лебеди») не оцениваются баллами — против них работает общая устойчивость: запас ликвидности и антикризисный план.
Кто должен составлять карту рисков в компании?
Команда, а не один человек: риски видны с разных позиций. Владелец процесса — руководитель проекта или финансовый директор; в крупных компаниях — отдельная функция управления рисками. Оценки собираются независимо, решения по красной зоне принимаются коллегиально.
В какой программе делать карту рисков?
Для старта — Excel или Google Таблицы: реестр со столбцами В, У, В×У и условное форматирование трёх цветов по уровню. Этого хватает большинству компаний. Системы управления проектами и специализированные решения нужны, когда рисков сотни и команд десятки.
Карта рисков — один из базовых аналитических инструментов: вместе с финансовым моделированием, анализом отчётности и юнит-экономикой он входит в курс «Финансовый аналитик» SF Education. Управление рисками на уровне компании — зона финансового директора: этот трек закрывает курс «Финансовый директор». Системная база — «Фундаментальные финансы», весь каталог — sf.education/catalog.
Дисклеймер: все компании, имена и числовые примеры в статье вымышлены и приведены для иллюстрации методики; совпадения случайны. Шкалы, пороги зон и денежные диапазоны — ориентиры, которые каждая организация калибрует под свой масштаб и отрасль. Материал не является юридической, страховой или инвестиционной консультацией. Интерактивный конструктор — учебный инструмент: рабочая карта рисков дополняется мерами, ответственными, сроками и бюджетом.
Автор статьи Алишер Фозилов Эксперт по маркетингу, продажам и EdTech
6+ лет в EdTech
100K+ слушателей
$2M выручка
30+ продуктов
- Со-основатель SF Education — топ-10 по качеству образования РБК, резидент Сколково
- Стратегический консалтинг: PwC, частные проекты, стартапы до Seed/Series A
- Партнёр сертификаций IIBA и FMI, топ-100 EdTech по HolonIQ
Образование: НИУ ВШЭ, Высшая Школа Бизнеса