Текст книги "Управление рисками. Как больше зарабатывать и меньше терять"

2.4. Взаимосвязь между параметрами риска

Мы рассмотрели, как связаны между собой рисковые события и точки уязвимости. Теперь, чтобы увидеть, как взаимосвязаны все параметры (факторы) риска, рассмотрим рис. 2–8, где видны причинно-следственные связи.

Рисунок специально «обезличен», поскольку логика определения рисков универсальна для всех областей применения. Прочитать его можно следующим образом: «Поскольку есть точки уязвимости “X”, может реализоваться событие “Y” с вероятностью “P”, и если оно реализуется, то окажет влияние на бизнес “I”».

Или, если обратиться к примеру с попаданием в ДТП, то получится следующая картина (рис. 2–9).

Этот рисунок может быть прочитан следующим образом: «Поскольку на дороге сложные условия и за рулем неопытный водитель, ДТП случится с вероятностью 90 %, что приведет к тому, что мы потратим на 10 000 рублей и на 5 часов больше, чем мы планировали». Естественно, вряд ли кто-то, планируя поездку куда-либо, включает в затраты время и деньги, которые могут быть потрачены в случае попадания в ДТП, поэтому эти затраты всегда будут «внеплановыми».

Таким образом, определяя риск, мы должны выявить: событие, точки уязвимости, влияние и вероятность. Убрав точки уязвимости, мы чаще всего значительно уменьшаем вероятность наступления рискового события.

2.5. Субъективность риска, управление рисками и планирование

Мы уже говорили, что при определении рисков любого проекта нужно четко понимать, в чем цель этого проекта. Определение целей – важная часть планирования; планирование же – это одна из основных управленческих функций, тесно связанная с риск-менеджментом. Может показаться, что если не планировать, то и рисков не будет, но это не так. Если не планировать работу (на всех уровнях), то рисков будет еще больше.

Взаимосвязь управления рисками и планирования во многом объясняет субъективность рисков. Это важное свойство рисков, и о нем нужно помнить при их определении, особенно когда риски определяют несколько человек (например, команда проекта или сотрудники организации).

Здесь самое время поговорить о том, является ли позитивное, но незапланированное событие риском? С общепринятой точки зрения, вроде бы и нет. Потому что наступление риска подразумевает некий ущерб. И мы, рассматривая методы управления рисками, как правило, рассматриваем риски «негативные». Однако в более широкой перспективе позитивное, но незапланированное событие – это риск. Может показаться, что нет смысла включать в риски положительные события. Ведь управление рисками требует времени. Чем меньше рисков, тем меньше времени потребуется.

Рассмотрим пример из практики строительства. Предположим, что у нас одновременно реализуются два риска. Первый: поставщики бетона не привезут его вовремя. Второй: наступят непредвиденные заморозки. На вопрос «Какое из этих событий позитивное, а какое – негативное?», скорее всего, большинство людей скажет, что оба – негативные. А теперь представим, что нам не привезли бетон. Все в панике. И тут неожиданно (как всегда зимой) грянули заморозки. Это вроде тоже плохо. Но представьте, что эти события произошли одновременно. Что получается? Если бы бетон привезли вовремя (то есть риск не реализовался бы), он бы замерз, и мы бы понесли большие убытки, чем в случае, если бы бетон не привезли. А так он не замерз. Получается, что «заморозки» – если и не позитивное событие, то, как минимум, оно смягчает другой риск! И что же, теперь его к рискам не относить?

Однажды я летел в Женеву через Цюрих. Самолет в Цюрих должен был прилететь поздно вечером, и мне предстояла поездка в Женеву на поезде практически среди ночи. Большая часть пассажиров, что важно, летело через Цюрих в другие страны. Самолет задержался на шесть часов. Для большинства пассажиров – особенно для тех, кто летел транзитом, – негативное влияние этого риска очевидно: они опоздали на следующие рейсы. Мне же было только лучше – авиакомпания предоставила гостиницу в Цюрихе из-за задержки самолета, и я спокойно поехал в Женеву на поезде утром, выспавшийся и отдохнувший.

Поэтому то, что для меня риск, для вас может риском и не быть. То, что является риском для вас, может не быть риском для ваших коллег, партнеров, конкурентов.

«Позитивность» и «негативность» события – вещи относительные, и определить эти качества события можно только в контексте конкретной ситуации.

Поэтому можно дать понятию риск и более общее, но в то же время более компактное определение. Риск – это событие, которое, если наступит, приведет к несоответствию факта плану. И наоборот: в основе любого несоответствия факта плану лежат реализовавшиеся риски.

Вы запланировали полететь куда-либо и не полетели – для вас это риск. Запланировали полететь за 10 000 руб., полетели в итоге за 15 000. Запланировали доехать за полчаса и без затрат – заплатили 10 000 рублей и потеряли 5 часов времени. Это все – реализовавшиеся риски.

Если не планировать, тогда все, что происходит, можно считать «риском». Не планируя деятельность (проект, жизнь, бизнес, процессы и т. д.), определить риски невозможно. А значит, невозможно ими управлять.

Риск определяют: событие, которое может произойти из-за того, что есть некая «точка уязвимости, слабое место» (с некоторой вероятностью). И если это событие произойдет, то оно приведет к отклонению «факта» от «плана» (то есть окажет какое-то влияние на нашу жизнь, проект, бизнес, процесс и т. д.).

Еще пример. Предположим, вы запланировали открыть новый офис в течение месяца. Есть риск, что произойдет сбой в поставках, и на поиски и заключение договоров с новыми поставщиками уйдет как минимум неделя. Тогда, соответственно, открытие нового офиса сдвинется в лучшем случае на две недели. Здесь рисковым событием является «сбой в поставках». В случае, если событие не наступило, нужно каким-то образом определить вероятность его наступления (чаще всего вероятность определяют интуитивно). Точкой уязвимости здесь могут стать, например, «ненадежные поставщики» (точку уязвимости не всегда можно определить). Влияние риска – офис откроется на две недели позже запланированного срока. То есть имеет место отклонение факта от плана. А это отклонение уже можно измерить в деньгах.

2.6. Определение рисков на примере кейса «Парк развлечений»

Вот комментарий менеджера, который он сделал при осмотре парка развлечений:

Колесо обозрения. Посмотрел – вспомнил, как сам катался. Классика, всегда будет популярно. Большая очередь, преимущественно из молодых людей. Многие с пивом. Но это ладно – у оператора этой штуки вид очень усталый, и в мусорном ведре – пустые бутылки от «Крушовице» (пытался замаскировать, довольно неловко). Видимо, чешское пиво любит. Надо будет узнать, какой доход приносит это колеса.

Итак, какие выводы можно сделать на основе этой информации?

Во-первых, пока все вроде работает – колесо обозрения крутится. Если бы с ним что-то было не так, это наверняка было бы упомянуто. Во-вторых, мы получили информацию, которая должна нас насторожить – оператор склонен к употреблению легких алкогольных напитков. Само по себе это, может быть, и не страшно, но если вдруг появится какая-либо техническая неисправность, то оператор может ее не заметить. Мы увидели одну точку уязвимости – «оператор с пивом». Если мы добавим к этому точку уязвимости «техническая неисправность», то появляется вероятность, что колесо неожиданно остановится в момент, когда на нем находятся люди. Мы получили рисковое событие – «колесо остановится, когда на нем находятся люди». Здесь мы определяли риск «от точек уязвимости к событию». Но мы могли двигаться и другим путем: мы могли предположить, что, если колесо остановится, это будет не очень хорошо, а затем подумать, что может к этому привести. В результате мы пришли бы к тем же самым точкам уязвимости.

Мы определили событие и точки уязвимости. А каково влияние этого риска? Очевидно, что в случае его реализации популярность аттракциона снизится. Последствия, я думаю, понятны.

Последнее, что нам нужно определить для того, чтобы полностью сформулировать риск, – вероятность его наступления. Для такого типа рисков определить вероятность очень сложно, потому что события из разряда «остановится колесо обозрения» очень редки и статистики здесь нет. Зато, если событие произойдет, его влияние будет весьма значительным. Поэтому здесь, как и во многих случаях, связанных с управлением ежедневными рисками, оценку вероятности имеет смысл использовать как средство «отсечения» совсем уж невероятных событий. То есть оценку вероятности следует применять как показатель, помогающий решить: работать с этим риском или нет. Так, вероятность наступления риска «на колесо обозрения упадет метеорит» мы определили бы как «невероятно», и в дальнейшем этот риск уже не учитывали.

Таким образом, у нас получается следующее описание риска (рис. 2-10).

Этот же риск можно представить на схеме, где видны взаимосвязи (рис. 2-11).

Схема может быть прочитана следующим образом: «Из-за того, что оператор с пивом может не заметить возникшую техническую неисправность, которая приведет к тому, что колесо обозрения с находящимися на нем людьми, остановится, это вызовет большой скандал, и популярность аттракциона уменьшится».

Очевидно, что если мы ликвидируем какую-либо из точек уязвимости, то значительно уменьшим вероятность рискового события, а значит, и вероятность потерь, связанных с последствиями реализовавшегося риска (можно, например, найти непьющего оператора и т. д).

Определяя риски, фиксируйте все четыре параметра, это необходимо для того, чтобы рисками управлять. Можно составить таблицу рисков с четырьмя колонками, в которых будут отражены параметры рисков.

2.7. Коллизии, ошибки, сбои, или Что такое реализовавшийся риск

В этом разделе мы поговорим о коллизиях, сбоях, ошибках, невыполнениях планов и т. д. Все эти вещи хорошо знакомы каждому. Можно ли с ними бороться, и если да, то как? Эта тема непосредственно связана с управлением рисками, хотя на первый взгляд это неочевидно.

Если рассматривать сбой, коллизию, отставание от плана, ошибки персонала и т. д. с точки зрения риск-менеджмента – все это подходит под определение риска.

Таким образом, любая ошибка, коллизия, сбой, отклонение от планов и т. д. – это реализовавшийся риск. При этом обычно чем меньше времени тратится на управление рисками, тем больше рисков возникает в жизни.

Риск – потенциальное отклонение «факта» от «плана». Коллизия, сбой – случившееся отклонение «факта» от «плана». То есть любая коллизия – это реализовавшийся риск. Вне зависимости от того, рассматриваем мы Чернобыльскую катастрофу, тривиальную аварию на дороге, сбой в поставках – всегда есть некий факт, который к этому приводит, и каждый из этих рисков мог бы быть заранее определен и смягчен.

Если в компании в течение месяца фиксировать все коллизии, которые возникают в работе, и анализировать ущерб, к которому они привели, то результат будет весьма впечатляющим. И окажется, что весь этот ущерб связан с реализацией рисков. И если ничего не предпринимать, ситуация не изменится, и ущерб станет регулярным.

Продолжим рассматривать кейс «Парк развлечений». Для того, чтобы осознать, что же такое реализовавшиеся риски, представим, что, пока наши менеджеры определяли еще не реализовавшиеся риски, одному из них позвонили из администрации парка и сообщили три новости.

• В администрацию позвонила разъяренная мама ребенка и сказала, что подаст на «весь ваш парк» в суд, потому что ее ребенок отравился сладкой ватой.

• Прошел дождь, и все дорожки в парке пришли в состояние, когда гулять по ним можно только в резиновых сапогах «по пояс».

• Кафе, где продают пиво, вместо планируемых за неделю 10 000, заработало только 5 000, потому что посетителей было очень мало.

С точки зрения риск-менеджмента произошло отклонение от плана, коллизия под названием «отравление сладкой ватой», то есть – событие. Событие это, безусловно, повлияет на вашу репутацию, отношение к вам друзей, да и в целом – ситуация неприятная. То есть имеет место ущерб. В нашем определении не хватает вероятности, потому что событие уже произошло.

Очевидно, что эта информация представляет собой описание рискового события, и этой информации недостаточно для того, чтобы рисками управлять. Поэтому нам необходимо зафиксировать эти риски и определить все оставшиеся параметры – точки уязвимости, влияние и вероятность. Под вероятностью в этом случае мы будем понимать возможность возникновения такого же события в будущем.

Обычно, когда речь идет о каком-то риске, упоминается только рисковое событие. Регистрируя риски, постарайтесь определить их остальные параметры. Например, рассмотрим коллизию, то есть рисковое событие «ребенок отравился сладкой ватой». Относительно влияния риска также можно сделать обоснованные предположения. Определение же точек уязвимости в данном случае означает «определение рисков», ведь в зависимости от того, каковы эти точки, вырабатываются меры управления риском. Возможно, что сладкая вата была испорчена, и тогда нужно выяснять, из-за чего это произошло. Возможно, причина – в нарушении технологии, может быть – в испорченном сырье и т. д. Здесь потребуется мнение компетентного специалиста. Но также нужно иметь в виду, что ребенок мог отравиться не в парке и не ватой – тогда точки уязвимости у этого риска будут совсем другие, соответственно, и действия тоже. Если, в нашем случае, мы выясним, что точкой уязвимости является «технология изготовления», это одно. Если же мы выясним, что ребенок съел слишком много сладкой ваты или вообще отравился в другом месте – это совсем другое.

Определение точек уязвимости, благодаря которым реализовался риск «по дорожкам невозможно гулять» вряд ли вызовет какие-либо сложности. Очевидно, что причина в том, что дорожки не заасфальтированы. И столь же очевидны меры, которые необходимо предпринять, – попросту заасфальтировать дорожки.

Третий реализовавшийся риск – это пример операционного несоответствия «план – факт». Запланировали заработать 10 000, заработали 5000. Определение точек уязвимости должно дать нам ответ на вопрос, почему кафе не пользуется популярностью и почему мы не зарабатываем столько, сколько должны. В нашем примере точки уязвимости очевидны – это месторасположение кафе. Этот пример здесь приведен для того, чтобы еще раз обратить ваше внимание: все, что мы запланировали и чего мы не достигли, – это реализовавшиеся риски, у которых необходимо искать точки уязвимости.

Еще раз подчеркнем: не зная всех параметров рисков, мы не можем ими управлять. Реагирование на риск (которым многие менеджеры и ограничиваются) не есть управление риском.

Рассказывает директор одной из компаний: «Однажды прихожу на работу, мне приносят документы – списали две банки краски. Начинаю разбираться. Оказывается, рабочие курили рядом с деревянным гаражом, плохо затушили сигарету, возник пожар и гараж обгорел. Чтобы не расстраивать директора, взяли быстренько краску и дверь гаража покрасили.

Пример во врезе демонстрирует, каким образом реализовавшиеся риски приводят пусть даже и к незначительному, но увеличению издержек. Покрасить гараж – это реагирование на реализовавшийся риск. Реагирование необходимо, но это неполное управление риском. Управление риском – устранение точек уязвимости – позволит избежать дополнительных издержек. Очевидно, что если этим риском не управлять, то этот гараж сгорит еще не один раз.

Риски необходимо системно анализировать. Для этого их нужно фиксировать в удобной системе регистрации (это может быть файл Excel или система в Интранете).

Важно, чтобы была таблица, в которой есть поля «Название коллизии», «Точка уязвимости», «Влияние», «Вероятность», и чтобы в нее попадали реализовавшиеся риски. Проанализировав эту таблицу, через некоторое время вы увидите, сколько из них возникает повторно. И скольких из них можно избежать, ликвидировав соответствующие точки уязвимости.

В эту таблицу можно также заносить коллизии, которые произошли в других компаниях. Ведь риски «убивают» даже самые успешные компании, причем убивают их риски не гипотетические, а как раз «реализовавшиеся». Поэтому, как ни банально, учиться лучше на чужих ошибках, и это тоже один из постулатов риск-менеджмента. Регистрировать и системно анализировать «чужие» коллизии – один из способов не повторить чужих ошибок.

Рассмотрим несколько примеров рисков, которые принесли колоссальный ущерб бизнесу (табл. 2–1).

Всеми перечисленными рисками можно было управлять, и тогда последствия их не были бы настолько серьезными.

2.8. Определение и регистрация рисков – резюме

• В основе рисков лежит неопределенность, которая часто вызывает дискомфорт, стресс и т. д. Поняв, какие риски есть у вашего бизнеса или проекта, вы уменьшите уровень неопределенности и вам будет легче принимать решения.

• Риски нужно определять полностью. Это требует времени, но это необходимо для того, чтобы ими было управлять.

• Полностью определить риск означает определить:

– рисковое событие;

– вероятность;

– точки уязвимости;

– влияние.

• Все параметры риска взаимосвязаны: «Поскольку активны уязвимости «А» и «Б», с вероятностью «В» может реализоваться риск «Г», который окажет на нас влияние «Д».

• У одного риска обычно есть несколько точек уязвимости. Риски реализуются, когда одновременно активны несколько из них.

• Ликвидировать точки уязвимости – это первый способ уменьшить вероятность реализации риска.

• Риск субъективен и определяется теми целями и планами, которые вы для себя определите. Если не планировать, риски определить невозможно.

• Управление рисками тесно связано с планированием. Риск – это событие, которое, если наступит, приведет к отклонению факта от плана (мы не получим того, что мы хотели получить).

• Любая коллизия, сбой – это реализовавшийся риск. Риск, который мог бы быть управляемым и не привести к ситуации, когда вы потеряли больше, чем могли бы потерять или заработали меньше, чем могли бы заработать.

• Реагирование на сбой или коллизию не есть управление риском. Управлять риском – значит сделать все возможное, чтобы в будущем он вам не помешал.

• Разработайте для себя систему регистрации рисков. В эту систему должны попадать все реализовавшиеся и потенциальные риски.

Глава 3
Шаг № 2: разработка профиля рисков

3.1. Что такое профиль рисков?

Второй шаг, необходимый для профессионального и систематического управления рисками, – разработка «профиля рисков» бизнеса, проекта и т. п. Профиль рисков – это документ, в котором отражаются все риски, с которыми вы сталкиваетесь.

Мы уже поговорили о том, как полностью определить отдельно взятый риск, чтобы сформировать план дальнейших действий: разработать и реализовать эффективное решение. Вне зависимости от того, какие риски мы определяем, полноценное управление ими возможно только тогда, когда мы управляем одновременно всеми рисками. Ведь, управляя одним риском, мы не можем быть уверенными в том, что не реализуется другой, неуправляемый риск. Конечно, нет никакой гарантии, что, определив все риски (об этом мы поговорим в разделе об уникальных рисках), мы избежим их реализации, однако очевидно: чем больше рисков мы определим, тем лучше.

Задача второго шага как раз и заключается в том, чтобы определить риски максимально полно и, соответственно, предусмотреть все действия, необходимые для обеспечения прибыли и защищенности.

Разработка профиля рисков позволит нам учесть все нюансы, увидеть «всю картинку» целиком. Представьте себе, что художник, рисуя ваш портрет, изобразит глаза, но, к примеру, забудет нарисовать нос. Это вряд ли будет хороший портрет. То же самое при управлении рисками: если мы забудем про какие-то из них, то в результате получим нечто сродни портрету, на котором забыли изобразить нос.

Любое дело содержит в себе множество аспектов. Если мы полностью сосредоточимся на чем-то одном, то обязательно упустим остальные важные факторы и в результате не достигнем цели. Так, размышляя о жизненных целях, мы можем нарисовать своеобразный «профиль счастья». В такой профиль войдет множество компонентов: деньги, репутация, семья и т. д. Сами по себе деньги не приносят счастья, хорошая репутация без денег – тоже. Нужен определенный баланс всех элементов.

То же самое с профилем рисков. Наша задача – постараться определить все риски, не упустить ничего. Для этого удобно использовать существующие классификации рисков. Риски, с которыми мы сталкиваемся, по большей части стандартны. То, что может произойти с нами, с кем-то когда-то уже происходило. Классификации рисков содержат типовые группы рисковых событий. Наша задача – спроецировать классификации рисков на наш бизнес и предпринять соответствующие действия, чтобы в итоге реализовать стратегию «больше зарабатывать, меньше терять».