Аналіз ризиків: інструменти

1. Кількість в якість
2. структурування ризиків
3. ранжування ризиків
4. Матриця синергетичного впливу
5. Метод Монте-Карло
6. аналіз чутливості
7. * * *

На семінарах з управління ризиками, або коли розмова з клієнтом виходить на цю тему, я часто чую запитання: чому ж ризик-менеджмент відрізняється від здорового глузду, підкріпленого інстинктом самозбереження? Справді, ми з дитинства знаємо, що небезпечно переходити вулицю на червоне світло; дещо пізніше дізнаємося, що недолік свого досвіду можна компенсувати залученням експертів ... Що нового дає дисципліна ризик-менеджменту? Відповідь на це питання проста. Відмінність - в інструментах. Як синій Bosch в руках професійного будівельника відрізняється від однойменної зеленої дрилі, що є майже в кожному будинку, так і інструменти ризик-менеджменту відрізняються від життєвої мудрості.

Про інструментах і поговоримо.

У попередній статті про ризик-менеджменті йшлося про накопичення досвіду і методах ідентифікації ризиків. Однак якщо задуматися, список факторів ризику, якими оточений бізнес або проект, можна продовжувати нескінченно. При цьому антиризикових заходів рідко обходяться безкоштовно, та й управляти бізнесом з тисячею лампочок на приладовій панелі навряд чи вийде. Потрібно визначитися, яким ризикам варто приділити увагу, і оцінити прийняті щодо цих ризиків рішення.

Кількість в якість

У літературі про ризик-менеджменті ви зустрінете опис якісного і кількісного аналізу ризиків. У чому різниця цих двох процесів?

Якісний аналіз ризиків проводять з метою їх пріоретізаціі, щоб виділити зі списку ідентифікованих ризиків ті, яким доцільно приділити увагу. Для цього ризики структурують, ранжируют, оцінюють їх синергетичне вплив і терміновість реагування.

Кількісний аналіз, як правило, проводиться після якісного аналізу щодо тих ризиків, які виділені в процесі якісного аналізу як найбільш значущі. Хоча, наприклад, такий інструмент, як аналіз дерева рішень, застосовується і самостійно.

структурування ризиків

Якщо при ідентифікації ризики не були структуровані, то в процесі якісного аналізу саме час розташувати їх за категоріями. Ми вже обговорювали, що в бізнесі виділяють стратегічні, проектні і операційні ризики. Для операційних і стратегічних ризиків має сенс побудувати два окремих дерева ризиків (ієрархічна структура ризиків, скорочено ІСРс). Само собою, для кожного проекту також будується окреме дерево ризиків.

Малюнок 1. Приклад дерева ризиків проекту

* Сірим кольором на діаграмі позначені можливості (ризики зі знаком «плюс»).

Кожна «гілка» дерева - категорія ризиків. Особисто мені подобається категоризація ризиків з причин виникнення або джерел (клієнт, персонал, технологія, законодавство, екологія і так далі). Часто можна почути вираз «фінансові ризики». На мій погляд, у виділенні такої категорії ризиків немає ніякої користі: практично кожен ризик веде до фінансових втрат, при цьому в категорію так званих «фінансових» ризиків потрапляє безліч різнорідних ризиків. Тому я б рекомендував навіть не заводити таку категорію ризиків на діаграмі ІСРс.

Категоризація ризиків допоможе вам побачити, які дійові особи і фактори служать джерелами ризиків і можливостей в більшій мірі, ніж інші. Можливо також, що в процесі структурування і переосмислити деякі ризики, узагальніть деякі з них або ідентифікуєте нові.

У структуруванні ризиків можна піти набагато далі. Це одночасно і творчий процес, і платформа прийняття рішень в проекті. Сучасне програмне забезпечення надає широкі можливості вибору способу візуалізації (хоча ніхто не відміняв олівець і аркуш паперу, або старі добрі стікери). Чи вийде у вас дерево ризиків, або діаграма «кістка Ішикави», або ментальна карта (Mind Map) - не важливо. Виберіть ту виставу, яке вам зручно. Мені подобається Mind Map (див. Приклад на Малюнок 2).

Малюнок 2. Дерево ризиків в форматі ментальної карти

Як бачите, ризики на мапі структуровані в чотири категорії, далі категорії розгалужуються на фактори ризику, і тільки потім виникають самі формулювання ризиків. Що наносити на карту раніше: фактори або ризики? Це питання про курку і яйце. Якісь ризики наведуть вас на думці про причини, що їх породили (факторах), інші фактори вимагають відповіді на питання «І що?». І карта почне заповнюватися.

У наведеному прикладі фактор «План був спущений зверху» міг бути поміщений в категорію «Персонал», а фактор «Недостатній інтерес вищого керівництва до проекту» - в «Ролі та обов'язки». Але це якраз не так важливо. Важливіше зв'язок фактора (причини) і ризику (слідства), а також угруповання самих ризиків за факторами. Тому що далі ми робимо наступний крок в нашому аналізі.

Якщо взяти формулювання ризику «Проект може не отримувати достатньо ресурсів», то відразу незрозуміло, що робити, щоб цей ризик не спрацював. Або як протистояти ризику «Оцінки термінів і бюджету можуть бути занижені»? «Тупо» подвоїти бюджет і терміни? Навряд чи це допоможе.

Але давайте подивимося на фактори (сиріч причини) цих ризиків. Давайте поставимо питання так: «Як забезпечити інтерес вищого керівництва до проекту?». Вирішивши цю проблему, ми також страхуємося від передчасної зупинки проекту. Може бути, згадати, хто ініціював проект? Описати вигоди проекту? Розрахувати економічний ефект? Регулярно інформувати менеджмент про хід та результати проекту? Уже тепліше.

Що ми можемо протиставити високому рівню інноватики (нічого принципово нового) в проекті? Залучимо експертів? Будемо шукати партнерів? Створимо резерви? Подумаємо про застосування методів итеративной розробки? Давайте подумаємо, давайте порадимося ...

Працюючи ні з ризиками, а з причинами, ви виявите чудовий (по суті синергетичний) ефект: можна передбачити такі антиризикових заходів, які протидіють одночасно декільком факторам ризику. У нашому прикладі запланований «PR проекту» може бути спрямований як на вище керівництво, так і на керівників підрозділів, задіяних в проекті. А побудову нормальної рольової моделі в проекті (спонсор - керівник проекту - технічний експерт - адміністратор проекту) вирішує питання чіткого розподілу відповідальності, забезпечення проекту технічними та управлінськими компетенціями (без крену в одну область з цих двох) і звільняє керівника проекту від рутинної роботи.

Для побудови ментальної карти ви можете застосовувати спеціалізоване програмне забезпечення (таке, як MindManager) або користуватися інтернет-сервісами, які без установки ПО дозволяють будувати ваші карти і одночасно публікувати їх в Мережі.

ранжування ризиків

Ризик завжди містить три компоненти:

• ризикове подія;
• вплив ризику (оцінка можливого збитку або виграшу);
• ймовірність ризику (не нульовий і не стовідсоткова).

Людям властиво більше значення надавати впливу ризику, ніж його ймовірності (багато хто боїться літати літаками, хоча широко відомо, що автокатастрофи трапляються набагато частіше). Порівняння ризиків тільки за впливом (як і тільки по ймовірності настання ризикової події) нічого нам не дає з точки зору ризик-менеджменту. Маючи вибір (летіти літаком або їхати на машині), ми повинні зважити обидва параметри. Порівняти різні ризики один з одним можна по метриках (так називають твір впливу ризику на ймовірність).

Однак оцінити вплив різнорідних ризиків в порівнянних величинах не завжди можливо. У страховому бізнесі (історія якого обчислюється століттями) вміння привести будь-який ризик до грошової оцінки є ключовою компетенцією. Але якщо ми з вами не страховики, в більшості випадків для цілей ризик-менеджменту нам буде достатньо вербальної (словесної) оцінки ризиків.

Необхідно оцінити вплив і ймовірність кожного ризику за такою шкалою:

• низьке;
• середнє;
• високе;
• дуже висока.

Оцінку ризиків потрібно виконувати із залученням експертів. Як і при ідентифікації ризиків, рекомендується застосовувати методи вироблення рішень в групі [1] , Що знижують тиск авторитетів. Експертам бажано дати граничні значення, щоб всі «міряли однієї лінійкою» (наприклад, ймовірність до 5% вважається низькою, понад 50% - дуже високою; чи інші значення).

Для визначення впливу ризику необхідно оцінити, як може впливати ризик на проект або бізнес. Наприклад, експерти можуть оцінити вплив кожного ризику на бюджет (прибуток), терміни проекту, репутацію компанії. Для подальшого ранжирування ризиків береться максимальне значення впливу (з встановлених експертами) для кожного ризику.

Метрика ризику - твір ймовірності на вплив - так само може бути розраховане на основі вироблених оцінок, отриманих на попередньому кроці, по наступній таблиці:

Таблиця 1. «Таблиця множення» для вербальних оцінок

Н

З

В

ОВ

ОВ

В

В

ОВ

ОВ

В

З

В

В

ОВ

З

З

З

В

В

Н

Н

З

З

В

Н - низький, С - середнє, В - високий; ОВ - дуже висока.

Далі ризики розташовуються по розрахованої метриці (починаючи з «ОВ» і закінчуючи «Н»). Лідери «рейтингу» і є ризики, що потребують підвищеної уваги.

Матриця синергетичного впливу

Деякі ризики при одночасному спрацьовуванні значно посилюють вплив один одного (мало було пожежі, так ще і воду відключили). Тобто синергетичне вплив ризиків має місце, якщо при одночасному спрацьовуванні двох ризиків воно більше, ніж сума впливів цих же ризиків, що спрацювали окремо.

Для аналізу застосовується інструмент «матриця синергетичного впливу». У матрицю в заголовки стовпців і рядків виписуються ризики, важливість яких очевидна за підсумками попередніх етапів аналізу (їх не повинно бути більше 12 - 15, інакше матриця вийде громіздкою). Потім ризики беруться парами, і якщо має місце синергетичне вплив ризиків, то в клітинку на перетині даної пари ставлять 1, якщо не має - 0 (див. Таблиця 2). Можливий випадок, коли при одночасному спрацьовуванні ризики нейтралізують вплив один одного (скажімо, поломка рефрижератора збіглася з аномально холодною для даного сезону погодою, і перевозяться продукти не псуються), у відповідній клітинці пишуть -1. Підсумкова сума балів навпроти кожного ризику показує, наскільки кожен ризик наділений властивістю посилювати інші ідентифіковані ризики (і, отже, вимагає підвищеної уваги до себе).

Таблиця 2. Матриця синергетичного впливу

ризик А

ризик Б

ризик В

ризик Г

підсумкова оцінка

ризик А

-

1

0

-1

0

ризик Б

1

-

1

1

3

ризик В

0

1

-

0

1

ризик Г

-1

1

0

-

0

У наведеному прикладі властивістю синергетичного впливу найбільшою мірою наділений ризик Б.

Метод Монте-Карло

Перша робота про метод Матні-Карло була опублікована в 1949 році математиками Ніколасом Метрополіс і Станіславом Уламом. Характерно, що метод був розроблений в Лос-Аламосі (на батьківщині атомної бомби), в штаті Нью-Мексико. Залишається загадкою, чому автори (американці) не назвали метод в честь Лас-Вегаса, де також повно казино (напевно, з метою конспірації). До речі, американські військові не зупинилися на винахід даного методу і рушили проектну методологію далі. Як ви, напевно, пам'ятаєте, саме в надрах Міністерства оборони США [2] в 1958 році народився метод PERT [3] , Який з невеликими удосконаленням досі використовується як алгоритм побудови мережевих діаграм (хоча сьогодні проект-менеджерам звичніше вид діаграми Гантта).

В основі методу - випадковість (втіленням якої в казино є колесо рулетки). За допомогою генератора випадкових чисел комп'ютер моделює різні сценарії розвитку подій і видає, наприклад, ймовірність завершення проекту в термін, або в межах виділеного бюджету. Політ фантазії комп'ютера обмежується рамками, які ви самі задаєте для тривалостей робіт, вартості ресурсів і так далі.

Будь-який сучасний програмний пакет для управління проектами (той же MS Project) з легкістю справляється з аналізом проектів і стратегічних програм методом Монте-Карло. Якість аналізу дуже сильно залежить від того, які дані ви закладіть в модель проекту. Без експертів, які мають досвід реалізації проектів, подібних аналізованого, вам точно не обійтися. Якщо вам є з ким порадитися, то ви повинні опитати експертів, скільки, на їхню думку, займе кожен блок робіт в кращому і гіршому випадку, а також «швидше за все». Узагальнити ці дані, введіть в комп'ютер і, як то кажуть, натисніть на кнопку ...

аналіз чутливості

На комп'ютерному моделюванні заснований і наступний метод аналізу. Але якщо описані вище методи прийшли з проектного підходу, то аналіз чутливості особливо ефективний для аналізу ризиків у чинному бізнесі. Для проведення аналізу чутливості вам буде потрібно всього нічого: математична модель вашого бізнесу.

До речі, хоча термін «фінансово-економічна модель» звучить голосно і, можливо, трохи лякає, для нас, консультантів з управління, це - звичний інструмент. Без побудови фінансово-економічної моделі (ФЕМ) бізнесу ми не беремося за стратегію і не проводимо реорганізацію бізнесу. Саме ФЕМ дає можливість «прорахувати» ситуацію в бізнесі на багато ходів вперед. Складна багатофакторна модель пов'язує операційну діяльність і розвиток бізнесу в проектах, вважає ефективність інвестицій і вибудовує грошовий потік на роки вперед. Можливості моделі обмежуються тільки фантазією розробника і рахунковими можливостями програмного середовища, в якій модель будується. До речі, поява доступних технологій побудови OLAP-кубів [4] значно розширило можливості моделювання бізнесу (бо «загнати» в MS Excel досить великий бізнес, наприклад, диверсифікований холдинг, вже, м'яко кажучи, складно).

Аби не заглиблюватися в тему моделювання, можна сказати, що для аналізу чутливості згодиться і найпростіша модель точки беззбитковості, і бюджетна модель (в сенсі, модель планування витрат в залежності від доходів), і інші звичні економістам моделі. Мета аналізу чутливості - виявити залежність результуючих параметрів (наприклад, фінансового результату бізнесу, бюджету проекту) від змінних величин (факторів). Змінюючи значення кожної з змінних величин (в розумних допустимих межах), ми знаходимо чинники, до яких бізнес або проект найбільш чутливі.

Якщо це фактори, на які ми можемо впливати (наприклад, величина партії в виробництві, двозмінна або тризмінна організація роботи), то в наших руках - важелі і педалі управління. І чим дошкульніше результуючі фактори до певних змінним, тим потужніше ці важелі. Якщо це зовнішні фактори (динаміка пари € / $, вартість робочої сили) - то це фактори ризику (можна було б назвати їх і факторами успіху). Потрібно намагатися знижувати залежність бізнесу від таких «змінних».

* * *

Як ми бачимо, в руках топ-менеджера бізнесу або керівника проекту сьогодні вражаючий набір інструментів аналізу ризиків (і це не кажучи про такі багаторазово описаних, але від цього не втратили свою ефективність і наочність інструментах, як аналіз дерева рішень, аналіз припущень, матриця ймовірності і наслідків і карта ризиків). Головне - пробувати, і тоді компетентність менеджерів в питаннях управління ризиками буде рости, а питання «Що ж таке ризик-менеджмент?» Зміниться на «Що нового в ризик-менеджменті?». Якщо ж продовжувати користуватися чимось одним, перевіреним і звичним, як молоток, то і всі проблеми для вас будуть виглядати, як цвяхи (як це влучно зауважив Абрахам Маслоу).

[1] Посилання на попередню статтю

[2] Точніше, метод був розроблений залученими консультантами фірми «Буз, Ален і Гамільтон» на замовлення Міністерства оборони. Робота велася в рамках проекту «Поларіс» - відповіді американців першому радянському супутнику.

[3] Program (Project) Evaluation and Review Technique (скорочено PERT) - техніка оцінки та аналізу програм (проектів).

[4] OLAP-куб - багатовимірний масив даних, «інфокуб».