Методы идентификации рисков

Говоря об идентификации риска, подразумевают не фиксацию факта наступления рискового события (иначе говоря, факта срабатывания риска), а выявление гипотетической возможности наступления такого события, несущего негативные[1] последствия. Таким образом, идентификация рисков осуществляется заблаговременно, чтобы успеть принять меры по сдерживанию рисков.

И опыт, сын ошибок трудных…

Ранее мы писали, что специалистам доступны несколько концепций риск-менеджмента. Они предусматривают различный набор процессов управления рисками (и об этой разнице мы еще поговорим). Но во всех методологиях один из начальных (и при этом самых важных) процессов управления рисками – идентификация рисков.

Независимо от того, какие риски вы хотите идентифицировать – проектные, стратегические или операционные – для успешности идентификации рисков критическое значение имеет опыт участников данного процесса. Однако собрать экспертные мнения недостаточно, поскольку опыт у всех разный. И чем богаче опыт ваших сотрудников и привлеченных экспертов, тем сложнее будет привести разноголосицу мнений в отношении списка и оценки рисков к единому знаменателю, чтобы получить основу принятия дальнейших управленческих решений.

Итак, формирование экспертной группы, которая будет идентифицировать риски – ответственная задача. Если ваша цель – идентификация проектных рисков, то желательно вовлечь в данный процесс всех ключевых членов команды проекта, чтобы у них вырабатывалось чувство «собственности» и ответственности за риски и за действия по реагированию на них.

Не утихают споры о том, какой опыт ценнее – заслуги и свершения либо поражения и банкротства. Люди успешные напористо применяют проверенные рецепты, ранее давшие результат (и склонны игнорировать тот факт, что все меняется, и изменившиеся условия требуют адаптации методов). «Обжегшиеся же на молоке на воду дуют» и чрезмерно консервативны в своих оценках. Кого слушать? Чьи оценки взять за основу?

Интеграция экспертных мнений – серьезная проблема в процессе идентификации рисков. (Она не стоит только в одном случае: если единственный эксперт – вы сами. Но тогда уж остерегайтесь однобокости оценок!) Именно поэтому, говоря о методах идентификации рисков, так много внимания уделяют методам принятия решений в группе. Вот некоторые из них.

Выработка решений в группе экспертов

Старый, добрый «мозговой штурм». Пожалуй, самая распространенная и самая простая модель. Участники мозгового штурма высказывают любые идеи, специально выделенный человек записывает все подряд, структурирование и оценка идей происходят позже. Модератор (ведущий) мозгового штурма должен только способствовать процессу генерирования идей. Ключом к успеху метода является запрет на критику идей. Легко сказать, но сложно сделать. На практике участникам очень сложно удержаться от оценки и оппонирования «бредовым», на их взгляд, идеям. Высказавшись «неудачно» несколько раз, участники замыкаются и креативный фонтан пересыхает. Напротив, по итогам мозгового штурма можно получить столько идей, что для их обработки потребуется удвоить количество экспертов!

Есть и хорошие новости: метод мозгового штурма получил развитие. Метод номинальной группы является наиболее конструктивной модификацией мозгового штурма, поскольку отделяет выдвигаемые идеи от их авторов. Метод позволяет идентифицировать и расположить риски в порядке их важности. Мы, консультанты, часто пользуемся этим методом для анализа проблемного поля клиента либо работая с группой на семинаре.

Для удобства работы по методу номинальной группы лучше всего использовать флип-чарт или доску (подойдет и чистый стол с достаточно большой поверхностью) и стикеры (листки для записи с клейкой поверхностью). Модератор совещания предлагает участникам написать по одному риску на каждый стикер, и наклеивает стикеры с формулировками рисков на лист флип-чарта (доску, стол), группируя похожие формулировки. Размер стикера не позволяет писать слишком много, и результаты проще обрабатывать; в то же время, описывать риски одним словом запрещено. Поскольку стикеры не подписываются, участники совещания выражают свое мнение свободно. При этом по количеству стикеров с похожими формулировками уже можно составлять ранжированный список рисков. Участников не ограничивают в количестве используемых стикеров.

В заключение происходит совместное обсуждение всех выделенных рисков и повторное индивидуальное составление списка рисков в порядке их важности. Таким образом, отдельные предложения выдвигаются анонимно, окончательное решение считается групповым.

Вариантом метода номинальной группы является метод карточек Кроуфорда. Суть этой методики в следующем. Ведущий раздает участникам одинаковое количество карточек (например, по десять стикеров) и задает один вопрос: какой риск вы считаете самым важным (в данном проекте)? Каждый эксперт записывает свой ответ на карточку и отдает ведущему. После этого ведущий снова задает свой вопрос, и процедура повторяется столько раз, по сколько карточек получили эксперты. В результате ведущий получает несколько десятков формулировок. Если карточки заранее пронумеровать, начиная с десяти до одного, а потом сгруппировать похожие формулировки, то в результате мы получим ранжированный список рисков (рейтинг возглавят формулировки, набравшие максимум баллов), который можно раздать участникам для внесения изменений и дополнений.

Если группа подобрана хорошо (в том смысле, что в нее входят люди с различными точками зрения), вы с высокой вероятностью идентифицируете большинство значимых для проекта рисков.

Вы наверняка слышали о методе Делфи. А может быть, вам доводилось и пользоваться им? Тогда вы знаете, что применение метода Делфи требует несколько больше времени, чем описанные выше методы выработки решений в группе, поскольку выполняется в несколько итераций. Вы проводите письменный опрос включенных в группу экспертов, затем обобщаете полученные мнения и рассылаете по экспертам интегрированный список рисков (обобщение требует навыков анализа и синтеза информации). Теперь ваши эксперты высказываются уже об этом обобщенном документе. В простом случае двух итераций достаточно (хотя в простых ситуациях к методу Делфи и не прибегают), но если решаемая проблема сложная, и времени у вас достаточно, на итеративную обработку информации и обмен сообщениями может уйти до нескольких недель.

Поскольку эксперты работают всякий раз с обобщенной информацией, влияние отдельных авторитетов на мнение других экспертов в группе нивелируется.

Для выявления операционных рисков хорошо подходит диверсионный анализ. Этот метод часто применяется для тестирования систем безопасности, но он прекрасно подходит и для анализа бизнеса. Для выполнения диверсионного анализа экспертная группа должна ненадолго перевоплотиться, переключить направление мыслей, так сказать. Эксперты должны поставить себя на место потенциального злоумышленника (причем не важно, в какой роли выступает «диверсант» – конкурента, сотрудника, поставщика, ревизора – для анализа полезно взять всех стейкхолдеров бизнеса) и «нащупать» слабые места бизнеса или проекта.

С чего начать и чем закончить

Экспертная группа по идентификации рисков вовсе не обязательно должна работать по чистому вдохновению. Экспертов нужно предварительно «загрузить» информацией. Это может быть аналитический обзор отрасли, доклад маркетологов о новом продукте, анализ конкурентных сил Портера и другое.

На ценные мысли натолкнуть экспертов может диаграмма с изображением проектного окружения или окружения бизнеса, аналитика на основе управленческой отчетности, оргструктура проекта, карты бизнес-процессов и другие наглядные представления.

Избегайте искушения «подсунуть» участникам экспертной группы по идентификации рисков готовые выводы: они должны работать с фактами.

Результатом процесса идентификации является список рисков. Каждый риск должен быть четко сформулирован. Как в правильно поставленном вопросе содержится ответ, так хорошо сформулированный риск облегчает выработку мер по управлению им.

В идеале формулировка риска должна содержать в себе причину (фактор риска), условие наступления рискового события и возможные последствия (см. рис. 1):

Рис. 1. Компоненты формулировки риска

Как правило, уже в процессе идентификации рисков подспудно вырабатываются меры по управлению ими, иными словами, риск-менеджмент «окупается» очень быстро. Худшее же, что можно сделать со списком идентифицированных рисков – забыть о нем сразу же после составления. Необходимо время от времени возвращаться к идентифицированным рискам (и в процессе реализации проекта, и по мере развития бизнеса).

О методах оценки и анализа рисков мы поговорим в следующих статьях на тему риск-менеджмента.