Управління ризиками людською мовою

В попередніх постах, присвячених касовим розривам та методам їх подолання, ми згадали тему ризиків та управління ними. Довго думав, чи звертати на цю тему більшу увагу. Але все ж таки є кілька «хвороб» та навіть «патологій», пов’язаних саме з ризик-менеджментом, які заслуговують на висвітлення, з метою їх своєчасного визначення та ліквідування. Отож, почнемо.

Головна проблема дуже банальна. Всі знають про управління ризиками, але управління ризиками не працює. Просунуті управлінці, я впевнений, навіть чули про стандарти ISO 30000 та ISO 30010 або PMBoK. Можливо, навіть, зовнішні ознаки присутні – адже той красиво надрукований сертифікат на відповідність стандартам ISO, що висить на самому почесному місці, як мінімум цього вимагає. Але все одно не працює…

Згадайте, хто з вас і коли оцінював ризик невиконання виробничого плану через поламку обладнання або зрив постачання сировини. А якщо ви планували план продажів, від якого, доречі, залежить виконання бюджету, то чи враховували ризик того, що цей план не буде виконаний через коливання попиту або дії конкурентів?.. Дайте чесну відповідь.

Почнемо з початку, з поняття ризику.

Ризик - це можливість того, що станеться якась подія, яка може мати вплив на досягнення мети. Звідси розуміємо, що подія може статися, а може й ні. Тобто її настання вимірюється імовірністю. Подія, в свою чергу, може (або ні) вплинути на нашу мету. Таким чином, головними параметрами будь-якого ризика є імовірність та вплив на нашу мету. Йдемо далі.

Імовірність настання події (перший параметр ризику) вимірюється величиною від 0 до 1. Від «не настане ніколи» до «трапиться в будь-якому випадку». Ось і перший симптом, пов’язаний саме з імовірністю – наприклад, коли дуже багато часу витрачається на вигадування штучних проблем, таких, як землетрус у 9 балів на українському Поліссі чи падіння метеориту. Так, іноді, така ситуація визначення всіх можливих (іноді дуже малоімовірних) ризиків є нормальною – наприклад, коли для ідентифікації ризиків використовують метод мозкового штурму, і всі учасники мають окреслити широке коло найможливіших ризиків.

А ось розгляд того, що "відбудеться в будь-якому випадку" - це вже не управління ризиками. Адже подія з імовірністю, що дорівнює 1 – це вже не ризик, а проблема. А управління проблемами - це вже дещо інша історія. Пояснюю.

Якщо стратегія компанії на зразок «під час війни ми можемо знайти кваліфікований персонал за дуже невеликі гроші», то нелогічно розглядати ризик «затримка проекту через некваліфікований персонал». Або якщо «зараз не час платити наперед постачальникам», то будьте готові до «зміни умов і термінів постачання сировини і матеріалів». Усвідомлена проблема – некваліфікований персонал або нехватка грошей – не є ризик. Це «слабкість» згідно SWOT-аналізу і має бути розглянута під іншим кутом. Тобто це прояв хвороби, яка всім відома під назвою «героїчне подолання проблем, які ми самі собі і створили».

Другий параметр ризику – величина впливу. Класичний ризик-менеджмент розглядає саме негативний вплив (але стосовно цього питання існує і інша думка), тому ми говоримо про збільшення цін на матеріали, зменшення цін на нашу продукцію, зрив термінів або про те, що постійні клієнти перейшли до конкурентів. Іноді, навіть описати вплив ризику досить важко. А оцінити кількісно? Тут у багатьох менеджерів починають закатуватися очі - це, як правило говорить, що буде застосований метод експертних оцінок – «ну, давайте тупо накинемо відсотків 20 до бюджету, а...?».

Так, зрозуміло, ви скажете: «ну хай краще вже так, ніж ніяк». Я, можливо, погоджусь, але зауважу, що в світі, в якому існують всякі там Екселі, розумні чати та інші дата саєнси, використання інтуїтивних методів оцінки ризиків виглядає смішно. Адже компанія має безліч статистичної інформації: за рік ми маємо вже 12 фактичних наборів даних про виконання планів, фінансові результати тощо. Треба лише заморочитися та розробити систему обробки цих даних.

Спробуємо навести приклад управління ризиками із життя – так простіше. Наприклад, я планую туристичну поїздку до Африки, ну, скажемо, в Танзанію.

Я визначив наступні ризики:

• ризик захворіти – тобто, підчепити малярію, або якусь іншу болячку. Імовірність – середня; вплив на проект – критичний;

• ризик злочинності – тобто, я можу бути пограбований або скривджений в будь-який інший спосіб. Імовірність – середня; вплив – високий.

• політичний ризик – ризик потрапити в якісь місцеві розборки під час політичних переворотів та інших турбулентних явищ. Імовірність – низька; вплив – середній.

• транспортний ризик – ризик відміни рейсів, затримок тощо. Імовірність – середня; вплив – середній.

Ну досить. Як бачимо, при оцінці ризиків, навіть, в такому простому проекті я стикнувся з неможливістю оцінки імовірності та впливу в чіткому кількісному вигляді. Як оцінити, наприклад, вплив від неочікуваної хвороби. Звичайно, можна підрахувати витрати на лікування, на реабілітацію, але як вирахувати те, що замість яскравих вражень від мандрівки ви будете згадувати білу лікарняну стелю. Тому в деяких випадках та нескладних проектах якісної оцінки цілком достатньо. Але, думаю, про це поговоримо окремо.

Так ось, враховуючи оцінку ризиків я приймаю рішення обрати по політичному ризику стратегію спостерігання, тобто слідкувати за ситуацією в країні з метою своєчасного реагування в разі її зміни. По іншим ризикам – стратегію зниження ризиків та передачі відповідальності іншим. Що стосується здоров’я: робимо необхідні вакцинації та страхуємо життя. Щодо злочинності – бронюємо житло в центрі міста, там де завжди світло і багато поліції, а також мінімізуємо кількість готівки при собі – всі гроші на картці. Щодо транспортних ризиків – бронюємо квитки с достатнім зазором між рейсами, використовуємо тариф, що передбачає безкоштовну заміну квитків або страхуємося від відміни рейсів. Начебто все просто.

Але не зовсім… Хто міг передбачити війну в Україні? Або епідемію COVID-19? На основі статистичних даних це неможливо. Згадайте про «чорного лебедя». Концепція "чорного лебедя" - це ідея, запропонована Насімом Ніколасом Талебом, яка описує події, що є рідкісними, мають величезний ефект і важко передбачувані. Він використовує приклад чорного лебедя, якого вважали в Європі неіснуючим, оскільки всі відомі лебеді були білими, але після виявлення чорного лебедя в Австралії, це припущення було спростовано. Талеб вважає, що більшість людей схильні до того, щоб вважати, що майбутнє буде схоже на минуле, ґрунтуючи свої припущення на даних і подіях, які є в наявності. Однак "чорний лебідь" - це подія, яка є настільки неочікуваною, що жодні дані чи попередні події не можуть дати нам жодних підказок щодо її можливості чи наслідків.

Звідси і головна стратегія управління ризиками за Талебом – будувати антикрихкі компанії. Концепція антикрихкості описує властивість систем, які не тільки виживають в умовах стресу та ризиків, а й стають сильнішими та стійкішими завдяки цим подіям. Антикрихка економічна система може використати кризу для скорочення витрат, усунення неефективних компаній і залучення нових інвестицій.

Отож, час робити висновки. В сфері ризик-менеджменту ми можемо спостерігати різноманітні симптоми наступних хвороб. По-перше, багато компаній взагалі нехтують ризиками. По-друге, компанії хворіють формальним відношенням до ризик-менеджменту. По-третє, визначення кількісних, а іноді і якісних параметрів ризиків – справа достатньо складна, і не всі компанії мають для цього відповідний персонал, програмне забезпечення, кошти тощо. Ну і найважча хвороба – спроба прикривати свої помилки та некомпетентність ризиками. Якщо своєчасно не вилікувати ці хвороби, то може розвинутися наступна організаційна патологія: постійне недосягнення цілей за рахунок того, що не беруться до уваги очевидні події, які мають вплив на мету.

Тому вищому керівництву треба замислитися, чи потрібно їм впровадження професійного управління ризиками, які в цьому плюси та чи перекривають вони потенційні втрати. А як це зробити – про це в наших наступних постах.