Долгое время одним из самых популярных инструментов, используемых риск-менеджерами во всем мире, были карты или матрицы рисков. Однако в некоторых областях и профессиях этот инструмент не применяется уже более десяти лет, поскольку считается не просто бесполезным для анализа рисков, но и опасным. Чем можно и нужно заменить карты рисков, рассказывает основатель портала http://www.risk-academy.ru, руководитель направления международного сотрудничества АНО ДПО “Институт стратегического анализа рисков управленческих решений” (ИСАР) Алексей Сидоренко.
Не верьте слишком оптимистичным оценкам
Выдвигаемая мной гипотеза звучит так: карты рисков не работают, поскольку закладывают дополнительную существенную методологическую ошибку, использовать их для чего-либо в лучшем случае бесполезно.
В исследовании относительно риска использования карты рисков “The Risk of Using Risk Matrices”, проведенном на основе анализа публикаций в нефтегазовой сфере, сделаны выводы, релевантные для любой отрасли. А именно: если не калибровать экспертов с помощью специальной методологии, они будут существенно завышать свои прогнозы. Такая ментальная ловушка называется “чрезмерный оптимизм”, поэтому, когда специалиста пытаются спросить, какая вероятность риска или какой ущерб от него возможен, он может сильно заузить диапазоны, делая оценку рисков намного более нереалистичной, чем она есть, тем самым занижая риски. А ведь есть еще исследования в области нейроэкономики, которые говорят о том, что благодаря ментальным ловушкам экспертные оценки часто не соответствуют действительности из‑за скрытых мотивов и разных психологических особенностей работы нашего мозга. Например, проводить семинар по оценке рисков или любое обсуждение по рискам перед обедом и в конце рабочего дня бессмысленно, так как наш организм истощен и из‑за недостатка глюкозы в крови мозг не может переключиться в систему-2 и перейти к адекватной экспертной оценке.
Насколько все это существенно: когда в ряде исследований разные группы людей (сотрудники компаний, ученые, эксперты, студенты) утверждали, что они на 90% уверены в чем‑то, оказывалось, что они угадывали только в 60% случаев. Такое попадание чуть лучше, чем если просто подкинуть монетку.
Вот и риски, которые на карте рисков попадают в красную и желтую зоны, нередко путают между собой из‑за ошибок методологии, и если ущерб и вероятность поменять местами, результат будет другим. Уровень ошибки, который добавляет эта методология, слишком высокий, чтобы всерьез полагаться на ее результат.
Стоит ли рассчитывать на интуицию?
Часто я слышу мнение: эксперты на то и эксперты, что могут с помощью своей интуиции и опыта адекватно оценивать риски и принимать эффективные решения. Политолог, обладатель докторской степени по философии Йельского университета, профессор Пенсильванского университета, руководитель и координатор многолетнего исследовательского проекта “Трезвый расчет” (призванного улучшить прогнозы о событиях с высокими ставками) Филип Тетлок последние 30 лет посвятил изучению гипотезы, что лучше полагаться на интуицию, чем на простейшую математику. За это время он собрал 82 тысячи прогнозов из разных областей, то есть 82 тысячи ситуаций, когда эксперты пытались сделать суждения о будущих неопределенных событиях, и затем проверял, подтвердилась ли каждая догадка.
Вывод, сделанный им, интересен: невозможно найти область, в которой интуиция позволяет добиться лучшего результата, чем простой алгоритм экстраполяции. Экстраполяция означает – посмотрите, как было в прошлом, и предположите, что в будущем произойдет нечто подобное. В большинстве случаев даже такая простейшая и абсолютно не риск-менеджерская методология позволяет добиваться результатов с меньшей ошибкой, чем использование своего опыта, интуиции. Дело в том, что наша интуиция, наш опыт тоже являются исторической экстраполяцией, поскольку мы, опираясь на них и ощущения, пытаемся как-то выстроить эту закономерность в будущем. Только, в отличие от математической модели, берем в расчет опыт и жизнь одного конкретного человека – нас самих и из этого пытаемся делать какие‑то выводы.
Главные принципы
Чтобы подобрать альтернативу распространенному и токсичному методу анализа рисков – картам рисков, важно помнить о трех основополагающих принципах:
- Анализ рисков должен проводиться во время принятия какого‑либо важного решения, а не раз в квартал, как было до недавнего времени. Вообще, в корпоративном управлении и в представлении аудиторов, регуляторов, чиновников риск-менеджмент – процесс, к которому нужно прибегать с какой‑то периодичностью, чтобы формировать планы по управлению рисками. На самом деле риск-менеджмент не имеет ничего общего с теорией о принятии решений, анализ рисков – это усилия, которые требуют времени. Если бы анализ рисков шел постоянно, мы бы не смогли никогда принять решения. Делать анализ рисков перед принятием какого‑то решения, то есть условно выделять дополнительные 15–30 минут, час или месяц в зависимости от сути и важности решения или методологии, которую мы используем для анализа рисков, наверное, нужно. Анализ рисков должен проводиться как минимум до момента принятия решения, ведь после утверждения и подписания стратегии, подписания бюджета и принятия решения об инвестировании в те или иные проекты дальнейшие наши действия в области управления рисками будут малоэффективны, поскольку деньги уже выделены и потрачены.
- Выражать результаты в виде волатильности, диапазонов или сценариев самого решения/цели. Риски выражаются не в уровне риска, а во влиянии неопределенности на цель или какой‑то показатель. Это гигантская разница, потому что карта рисков на выходе дает нам какую‑то приоритезацию рисков и понимание уровня риска в выражении какой‑то цифры. Что интересно: величина риска имеет крайне низкую ценность для принятия решения. От того, что у вас на карте 8 или 19 красных рисков, вы не сможете переложить их напрямую на денежные потоки. Даже если, умножив ущерб на вероятность, получите некий совокупный риск 15 миллионов (что математически совершенно неверно, так как не учитывает корреляцию, нельзя просто так умножать и складывать, получатся неправильные цифры), то эти 15 миллионов нельзя просто вычесть из денежного потока и, исходя из этого, получить важный вывод. Здесь карта рисков начинает рушиться. Для принятия решения важно, чтобы результаты анализа рисков выражались во влиянии на KPI, цель или решения, например, по инвестпроекту. Чтобы сделать вывод о полезности инвестпроекта, нужно посчитать NPV и другие показатели. Допустим, вы планируете внедрить новую систему безопасности, у вас есть небольшой инвестпроект, который будет полезен для бизнеса – поможет защитить компанию, избежать убытков. Однако карта рисков не покажет, как риски влияют на итоговый результат.
- Оказывать прямое и непосредственное влияние на принимаемое решение. Этот критерий очень важен, ведь анализ рисков должен давать нам достаточную информацию для того, чтобы мы могли оперативно менять свое решение. Карта рисков условно помогает: из нее можно позаимствовать какие-то мероприятия, но нужно понимать, что мы не сможем протестировать, как эти риски, с учетом зависимости между ними и вероятностью одновременного наступления, влияют на наши решения или цели. И не можем четко определить, какие из этих факторов существенные, какие наиболее взаимосвязаны. Учитывая большое количество неопределенностей, можно сделать вывод, что карта рисков здесь тоже не оптимальна.
Важное уточнение: периодичность анализа рисков не зависит от области. Это искусственная выдумка, что мы должны отдельно считать какие‑то риски. При формировании бюджета или финансовой отчетности уже в момент сбора информации и подготовки расчетов можно оценивать влияние неопределенности на показатели, которые для нас важны. Не попадайтесь в ментальную ловушку – никакой отраслевой специфики здесь нет. Анализ рисков должен происходить в момент подготовки решения для принятия. Этих решений в компании много, они все по-разному важные. Где‑то будут использоваться простые инструменты, где‑то – более сложные. Решения принимаются в каждой отрасли, и здесь важна периодичность работы с рисками, а применяемые нами инструменты никак не зависят от отрасли.
“Синие” и “фиолетовые” инструменты
Упомянутые мною принципы полностью переворачивают наше восприятие о существующих инструментах. Я бы выделил два типа инструментов, условно назову их “синие” и “фиолетовые” (см. рис. 1).
“Синие” инструменты важны для нас в ситуациях, когда на комитете по аудиту звучит запрос оцифровать влияние на компанию киберрисков, рисков информационной безопасности; риска, связанного с санкциями или с изменением законодательства по налогообразованию. То есть речь идет о необходимости посчитать отдельно взятый риск и разработать план рекомендаций по управлению им. Как показывает практика, такие ситуации крайне редки. Карта рисков относится к этим “синим” инструментам, но нужно понимать, что сюда входят всего лишь 10% механизмов, которые мы должны использовать в риск-менеджменте. Согласитесь: оценивать киберриск сам по себе – достаточно бессмысленная затея и с точки зрения бизнеса – большая профанация.
“Фиолетовые” инструменты дают нам понимание, как неопределенность влияет на решение или на цель, а также как риски влияют на то, что важно для бизнеса, – решения, цели, проекты, NPV, бюджеты и KPI.
Для многих риск-менеджеров такое деление инструментов может стать сюрпризом. Есть инструменты, позволяющие ответить на вопрос, что это за риск, почему он важен и что с ним делать. Этими инструментами интересуются только риск-менеджеры, как, допустим, риски по санкциям интересуют, прежде всего, юристов, риски по безопасности – только безопасников, а риски по информационной безопасности – только айтишников. Словом, спектр применения “синих” инструментов ограничен, они интересны крайне узкому кругу людей. Здесь возникает парадокс: если на этапе выбора методологии для анализа рисков мы выбираем “синий” инструмент, то впоследствии, какую бы замечательную работу мы ни проделали, результат будет интересен только нам и совершенно не интересен бизнесу. Неудивительно, что бизнес часто игнорирует результат анализа рисков.
Ровно поэтому в Риск-менеджменте-2 мы используем “фиолетовые” инструменты: диаграмму галстук-бабочка, “5 почему”, диаграммы влияния, FMEA/FMECA, HAZID, HAZMAT, HAZAN.
Бизнесу важно, чтобы мы показывали, как риск влияет на важные для него показатели. Рассмотрим на примере. Допустим, мы анализируем, как риски влияют на денежные потоки. Если преподнесем информацию в таком виде, что риск высокий или риск стоит 1,5 миллиарда рублей, это не вызовет интереса. А если покажем, как риск меняет денежный поток, и что это означает для взаимоотношений с акционерами или банками и для репутации компании, это уже интересно.
Все “синие” инструменты позволяют рассмотреть отдельно взятый риск и проанализировать, какие факторы туда входят, каковы причины этого риска, к каким потенциальным последствиям стоит готовиться, а также как воздействовать на причины и последствия. Если перед вами стоит задача проработать какой-то отдельно взятый риск, обращайтесь к “синим” инструментам, но помните: такие задачи бизнес ставит крайне редко. И зачастую мы сами, игнорируя реальные потребности бизнеса сразу же прибегаем к «синим» инструментам и, условно говоря, стреляем себе в ногу – что бы мы потом ни сделали, бизнесу будет все равно, поскольку презентуем информацию не в том виде, в каком он ее воспримет.
Рассмотрим подробнее “фиолетовые” инструменты. Сюда относится проверка ключевых допущений, хотя ее риск-менеджеры практически не используют, скоринги, деревья решений, анализ чувствительности, сценарный анализ, стресс-тестирование, различные методы моделирования (на основе агентов, системная диагностика или дискретные события).
Большинство “фиолетовых” инструментов, как, впрочем, и “синих”, появилось более 50 лет назад. К примеру, имитационное моделирование методом Монте-Карло, придуманное в 1946 году, используется для сложных решений, когда через некую симуляцию нужно протестировать одновременно множество допущений. Имитационное моделирование помогает понять, как множество различных взаимосвязанных факторов повлияет на итоговый бюджет или на итоговый проект с точки зрения сроков, и сделать соответствующие выводы. Если анализ чувствительности и сценарный анализ игнорируют взаимоотношения между рисками и тестируют условно три-пять сценариев, при помощи имитационного моделирования за этот же промежуток времени можно протестировать 10 тысяч сценариев.
Еще один инструмент – скоринг – предполагает помещение банком заемщика в ту или иную “корзину”, исходя из чего он получает выгодные или невыгодные условия. Также в сфере закупок по условным корзинам раскладывают контрагентов, выделяя золотого поставщика, а кого‑то отправляют в черный список.
“Ирония всего риск-менеджмента заключается в том, что пока многие департаменты управления рисками используют карты рисков, другие бизнес-подразделения давным-давно используют хорошие инструменты, не называя это риск-менеджментом”.
Иногда я слышу от риск-менеджеров, что их компания не готова к использованию таких сложных инструментов. Это абсолютная неправда – любая компания на планете использует сценарный анализ при планировании и бюджетировании, при рассмотрении инвестпроектов прибегает к анализу чувствительности, использует скоринг при закупках – этот механизм прописан на законодательном уровне, но не назван там скорингом или риск-менеджментом.
На самом деле бизнес уже давно использует для анализа рисков более качественные, более эффективные инструменты, чем сами риск-менеджеры. Мы находимся в роли догоняющего, одна из наших главных задач – поправить методологию.
Самый простой и полезный инструмент – проверка допущений. Первое, что нужно сделать до принятия любого решения, – выписать список всех допущений, которые были сделаны, всех входных параметров, чтобы понимать, на основании чего принимается то или иное решение (см. рис. 2).
После того как все допущения выписаны, нужно ответить на два вопроса: откуда взялись эти цифры и верим ли мы им? В любом инвестиционном проекте можно найти десятки разных допущений. Например, мы предполагаем, что нам поставят конкретное оборудование через три месяца, и исходя из этого считаем экономику всего проекта. Начинаем разбираться, откуда взялись эти три месяца. Может оказаться, что этот срок наугад указал какой‑то младший аналитик, потому что в прошлом так было с другим оборудованием для другого проекта. Или, возможно, срок в три месяца указал подрядчик, но и он мог назвать заведомо ложную цифру. Следовательно, нужно посмотреть, как происходили доставки такого оборудования в прошлом и какие нюансы учитывались тогда – может быть, возникали задержки на таможне или играет принципиальную роль временное погодное окно, а значит, оборудование нужно доставить в три месяца, пока лед не застыл, иначе потом такая возможность будет только через год. Исходя из этого, заполняем табличку.
Кроме того, рекомендую обозначить взаимосвязи между разными входными параметрами, потому что риски не наступают поодиночке, многие вещи влияют друг на друга. Допустим, если валютный курс продолжит расти, это отразится на стоимости газа, нефти, и есть риск, что спрос на ваши продукты не будет расти пропорционально, а будет замедляться или вообще падать.
Каждый параметр – всегда некий диапазон. Для каких‑то допущений он может быть широким, для каких‑то узким. Собрав корреляцию между разными допущениями и диапазонами, вы сможете запустить имитационное моделирование.
Следующий инструмент – факторный анализ. Если перед вами стоит задача «раскопать» конкретный риск, то, например, для киберрисков есть методология fairu, которая говорит нам, что риск можно разделить на частоту рискового события и ущерб. Частота рискового события может делиться на частоту угрозы (включает частоту контактов и вероятность атаки) и подверженность (способность атакующего и уровень защиты), а ущерб – на прямой и косвенный (в этом случае анализируются частота и объем косвенного ущерба). Декомпозировав проблему на много составляющих, мы сможем дать более адекватную оценку и при этом оценим каждый из компонентов не точечно, а диапазонами, и затем сможем замоделировать и получить распределение по отдельно взятому риску. Если хотите быстро подсчитать распределение ущерба отдельно взятого риска, можете воспользоваться онлайн-калькулятором https://app.fairu.net.
Выводы
Подводя итог сказанному, отмечу, что карты рисков содержат в себе много методологических ошибок, полностью игнорируют психологию и честность людей при сборе информации, что делает их достаточно бесполезным, а иногда и искажающим реальность инструментом. Соответственно, у нас есть альтернативы, все они работают в том случае, если мы проводим анализ рисков непосредственно перед принятием решения. Мы считаем не сам риск, а риски в совокупности. Каждое будущее решение подвержено множеству рисков, значит, надо использовать инструменты, позволяющие оценивать совокупность рисков и то, как они влияют на решения. Анализ рисков должен автоматически выводить нас на верные решения. Например, в результате имитационного моделирования у нас получается некая диаграмма Торнадо, которая говорит, что вот эти пять или десять допущений являются наиболее рискованными. Значит, у нас есть однозначный ответ, что нужно в первую очередь работать с ними.
Существует две корзины инструментов: “синие” и “фиолетовые”. Первые позволяют раскопать один конкретный риск, такое бывает крайне редко по запросу. В остальных случаях мы используем “фиолетовые” инструменты, потому что они заставляют нас смотреть глубже и задавать правильные вопросы, в том числе как неопределенность от всех рисков, влияющих на это решение, на самом деле влияет на него.
Ирония всего риск-менеджмента заключается в том, что пока многие департаменты управления рисками используют карты рисков, другие бизнес-подразделения давным-давно используют хорошие инструменты, не называя это риск-менеджментом.
Поскольку идея использовать управление рисками в качестве инструмента принятия решений намного старше, чем идея использовать управление рисками в качестве элемента корпоративного управления, все, что нам нужно сделать прямо сейчас – открыть любую хорошую книгу по теории принятия решений или теории вероятностей, чтобы найти нужные инструменты.