Матрицы рисков в теории игр

Введение

Проблемы управления рисками являются, с одной стороны, хорошо изученными в российской и мировой практике, о чем свидетельствует большое количество стандартов и руководств в этой области, выработанные механизмы, классификации и алгоритмы управления рисками, многочисленные публикации. Однако во всем многообразии фундаментальных и прикладных исследований данного вопроса нередко отсутствует новизна, отраслевая специфика управления рисками, учет взаимосвязи и взаимовлияния различных рисков. В значительной части исследований описан типовой общеизвестный механизм управления рисками, включающий две составляющие:

• построение в рамках общей системы управления в компании подсистемы управления рисками;
• реализацию типовых процедур и алгоритмов управления рисками: идентификацию, качественную и количественную оценку, выбор методов и способов нивелирования рисков.

Широкое распространение такого механизма управления рисками вполне объяснимо – он сформировался под влиянием системного подхода в общем менеджменте, распространившегося на другие области управления, в т.ч. и на управление рисками.

Однако современная парадигма управления акцентируется не на системном, а на процессном подходе, что означает большую привязку не к системе, а к бизнес-процессам внутри компании. На примере управления рисками можно сказать, что ключевым вопросом в организации работы по управлению рисками становится не формирование централизованной системы управления рисками на предприятии, а ее децентрализация на процессы, встраивание управления рисками в основные, обеспечивающие, поддерживающие и развивающие бизнес-процессы. Процессный подход к управлению рисками все чаще используют на практике промышленные предприятия. Фактически, это альтернатива системному подходу, которая сложилась из практического опыта управления рисками в зарубежных и российских промышленных предприятиях, но слабо освещенная в периодической литературе и учебных материалах по управлению рисками , ,.

Изучение организационно-экономических механизмов управления рисками для российских предприятий в настоящее время является высоко актуальным: санкции и ограничение доступа к зарубежным рынкам капитала, политика импортозамещения вынуждают компании полностью пересматривать устоявшиеся хозяйственные отношения, повышают неопределенность внешней среды, а, значит, и уровень риска. В такой ситуации корпоративные механизмы управления рисками, основанные на системном подходе, не справляются с темпами изменений, протекающими во внешней среде. Наиболее ощутимые изменения происходят на промышленных предприятиях, предприятиях торговой сферы, где эффективность производственных блоков напрямую зависит от качества организации ресурсных потоков.

Поэтому цель исследования, по результатам которого подготовлена данная статья, заключалась в систематизации подходов, организационно-экономических механизмов и моделей управления рисками.

Основной акцент в исследовании был сделан на проблемы управления финансовыми рисками, поскольку, во-первых, на них приходится значительная часть предпринимательских рисков компании, а, во-вторых, большинство рисков компании трансформируется в финансовые убытки.

В качестве объектов исследования были выбраны предприятия легкой промышленности, а в качестве предмета исследования – управление рисками на предприятиях легкой промышленности.

В качестве теоретической основы исследования использовались фундаментальные теории в области менеджмента, экономики фирмы, финансового менеджмента, стандартов и методов управления рисками. В частности, были использованы идеи и положения из теории цепочки создания стоимости Майкла Портера, работы И.А. Бланка, материалы актуальных диссертационных исследований, отраслевые отчеты.

Основные аспекты управления финансовыми рисками были изучены в работах И.Т. Балабанова, И.А. Бланка, И.В. Булавы, В.В. Вахитова, А.Е. Величко, В.М. Гранатурова, Н.В. Гриневой, Г.Г. Кадыкова, Р.М. Качалова, Г.Б. Клейнера, М.Н. Крейниной, В.В. Ковалева, И.Я. Лукасевича, Р.С. Сайфулина, Е.С. Стояновой, Е.А. Федоровой, Г.А. Хайдаршиной, Н.В. Хохлова, Б.Б. Хрусталева и др.

В методологическую основу работы легли принципы системности, комплексности. Для проведения расчетов и обоснования использовался сравнительно-сопоставительный анализ, математические и статистические методы.

Проблемы

В своей статье «Что не так с матрицами рисков?» Тони Кокс утверждает, что матрицы рисков имеют несколько проблемных математических особенностей, затрудняющих оценку рисков. Эти:

Плохое разрешение. Типичные матрицы рисков позволяют правильно и однозначно сравнивать только небольшую часть (например, менее 10%) случайно выбранных пар опасностей. Они могут присвоить одинаковые рейтинги очень разным в количественном отношении рискам («сжатие диапазона»).

Ошибки. Матрицы рисков могут ошибочно присваивать более высокие качественные рейтинги количественно меньшим рискам. Для рисков с отрицательно коррелированными частотами и серьезностью они могут быть «хуже, чем бесполезны», что приводит к принятию решений хуже, чем случайные.

Неоптимальное распределение ресурсов. Эффективное распределение ресурсов для контрмер по снижению риска не может быть основано на категориях, предусмотренных матрицами рисков.

Неоднозначные входы и выходы. Неопределенные последствия не могут быть объективно классифицированы по степени серьезности. Входные данные для матриц рисков (например, категоризация частоты и серьезности) и результирующие выходные данные (например, рейтинги рисков) требуют субъективной интерпретации, и разные пользователи могут получить противоположные оценки одних и тех же количественных рисков

Эти ограничения предполагают, что матрицы рисков следует использовать с осторожностью и только с подробным объяснением встроенных суждений

Томас, Братвольд и Бикель демонстрируют, что матрицы рисков позволяют произвольно ранжировать риски. Рейтинги зависят от структуры самой матрицы рисков, например, от того, насколько велики ячейки и от того, используется ли шкала увеличения или уменьшения. Другими словами, изменение масштаба может изменить ответ.

Дополнительной проблемой является неточность категорий вероятности. Например; «определенный», «вероятный», «возможный», «маловероятный» и «редкий» иерархически не связаны. Лучший выбор может быть получен за счет использования одного и того же базового термина, такого как «чрезвычайно часто», «очень часто», «довольно часто», «менее распространенный», «очень необычный», «чрезвычайно необычный» или аналогичной иерархии в базовый термин «частота».

Другой распространенной проблемой является присвоение индексов ранга осям матрицы и умножение индексов для получения «оценки риска». Хотя это кажется интуитивно понятным, это приводит к неравномерному распределению.

Карта рисков

Но если продолжить разговор, то выяснится, что вместе с рисками исчезнут не только помехи для бизнеса, но и сам бизнес. Парадокс, Отнюдь нет, ведь риск — это единственная среда обитания шанса, фортуны и успеха, в других условиях они не живут. Поэтому высший бизнес-пилотаж не тотальное уничтожение рисков, а точечные и системные воздействия на каждый из них, способствующие превращению проблем в развитие и успех проекта в целом.

Приведем другой способ поставить в тупик бизнесмена. Спросите его: «Какие риски наиболее опасны для бизнеса?» Первая реакция: Нестабильная экономическая и политическая ситуация, пробелы в законодательстве, коррумпированность чиновников, криминал, ненадежность поставщиков. А если копнуть глубже, то выяснится, что все эти риски (внешние) составляют около 25% от всех рисков проекта (портфеля проектов) в целом. Остальные 75% — риски внутренние, находящиеся внутри команды проекта и компании. Среди них недисциплинированность, неформализованность процессов, неэффективная система мотивации, нарушенные внутренние коммуникации, неквалифицированный персонал.

Матрица синергетического влияния

Некоторые риски при одновременном срабатывании значительно усиливают влияние друг друга (мало было пожара, так еще и воду отключили). То есть синергетическое влияние рисков имеет место, если при одновременном срабатывании двух рисков оно больше, чем сумма влияний этих же рисков, сработавших по отдельности.

Для анализа применяется инструмент «матрица синергетического влияния»

В матрицу в заголовки столбцов и строк выписываются риски, важность которых очевидна по итогам предшествующих этапов анализа (их не должно быть больше 12 – 15, иначе матрица получится громоздкой). Затем риски берутся парами, и если имеет место синергетическое влияние рисков, то в ячейку на пересечении данной пары ставят 1, если не имеет – 0 (см

Таблица 2). Возможен случай, когда при одновременном срабатывании риски нейтрализуют влияние друг друга (скажем, поломка рефрижератора совпала с аномально холодной для данного сезона погодой, и перевозимые продукты не портятся), в соответствующей ячейке пишут -1. Итоговая сумма баллов напротив каждого риска показывает, насколько каждый риск наделен свойством усиливать остальные идентифицированные риски (и, следовательно, требует повышенного внимания к себе).

Таблица 2. Матрица синергетического влияния

В приведенном примере свойством синергетического влияния в наибольшей степени наделен риск Б.

Метод Монте-Карло

Первая работа о методе Мотне-Карло была опубликована в 1949 году математиками Николасом Метрополисом и Станиславом Уламом. Характерно, что метод был разработан в Лос-Аламосе (на родине атомной бомбы), в штате Нью-Мексико. Остается загадкой, почему авторы (американцы) не назвали метод в честь Лас-Вегаса, где также полно казино (наверное, в целях конспирации). Кстати, американские военные не остановились на изобретении данного метода и двинули проектную методологию дальше. Как вы, наверное, помните, именно в недрах Министерства обороны США в 1958 году родился метод PERT, который с небольшими усовершенствованиям до сих пор используется как алгоритм построения сетевых диаграмм (хотя сегодня проект-менеджерам привычнее вид диаграммы Гантта).

В основе метода – случайность (воплощением которой в казино является колесо рулетки). С помощью генератора случайных чисел компьютер моделирует различные сценарии развития событий и выдает, например, вероятность завершения проекта в срок, или в переделах выделенного бюджета. Полет фантазии компьютера ограничивается рамками, которые вы сами задаете для длительностей работ, стоимости ресурсов и так далее.

Любой современный программный пакет для управления проектами (тот же MS Project) с легкостью справляется с анализом проектов и стратегических программ методом Монте-Карло. Качество анализа очень сильно зависит от того, какие данные вы заложите в модель проекта. Без экспертов, имеющих опыт реализации проектов, подобных анализируемому, вам точно не обойтись. Если вам есть с кем посоветоваться, то вы должны опросить экспертов, сколько, по их мнению, займет каждый блок работ в лучшем и худшем случае, а также «скорее всего». Обобщите эти данные, введите в компьютер и, как говорится, нажмите на кнопку…

Виды рисков

Все возможные проблемы имеют несколько видов потенциального контроля

Это также важно для того, чтобы успешно работала матрица риска. Формула расчетов контроля достаточно проста, с одной стороны, а с другой — требуются обширные знания, зачастую выходящие за пределы информации, доступной рядовым сотрудникам

Так, риски делятся на те, которые невозможно проконтролировать, можно сделать это частично или же доступен полный контроль. К первой категории относятся проблемы, с предприятием никак не связанные. Во вторую группа входит все, что также не касается предприятия, а также некоторые элементы, к нему относящиеся. Последняя категория включает в себя технические, юридические и иные подобные проблемы, напрямую связанные с компанией.

Структура разбиения рисков

Чтобы выявить риски, категоризовать их и сделать анализ, используется такая иерархическая структура, как дерево рисков. Примеры проектов с управляемыми рисками показывают качественный анализ, где обеспечивается полноценный процесс идентификации и систематизации до мельчайших уровней в детализации и прослеженными связями с остальными элементами проекта. Аналогично структуре разбиения работ: организационного управления проектом, разбиения стоимости проекта, ресурсов проекта и так далее. Только элементы на дереве разобраны по значимости и по характеру.

Современное управление различными проектами предполагает использование типовых шаблонов для разбиения рисков проекта. Технология создания такого дерева рисков очень похожа на технологию разбиения работ. Иерархические элементы иногда заменяются простым списком ожидаемых рисков проекта, чаще — не слишком сложной иерархической структурой двух или трех уровней.

Однако всегда нижний уровень представляет собой оцениваемые количественно риски либо описание рисков проекта. Примеры могут показывать одно или несколько событий в совокупности, но всегда имеющих видимые последствия. Дерево работ и дерево рисков разрабатываются на материале самых разных декомпозиционных оснований

Это важность, приоритеты, значимость, необходимость более глубокого анализа, характер последствий, ответные действия и так далее

Планирование

Именно этот процесс является основным. Он позволяет заранее продумать все возможные варианты и вероятности. Нет четко утвержденных критериев, как должен оформляться план. Каждый сотрудник выбирает для себя оптимальный вид и работает согласно собственному виденью проблемы, при условии что нет необходимости соотносить полученные на работы разрешения с другими людьми. Примерно то же самое можно сказать и о таком инструменте, как матрица риска. Пример подобного плана должен включать в себя такие элементы, как общие сведения, данные о компании, особенности и описание рассматриваемого проекта, а также те цели, которые были поставлены. Дальше идут различные разделы, которые уже более точно характеризуют план и его особенности. Сюда входит методология, организация, бюджет, регламент, отчетность, мониторинг и так далее.

«Чем сложнее бизнес-модель проекта, тем тщательнее необходимо оценивать риски»

Интервью с директором департамента корпоративных финансов инвестиционной компании «АТОН» (Москва) Дмитрием Алеевским

— Существуют ли, на Ваш взгляд, различия между проектными и операционными рисками компании?

— Мне кажется, что принципиальных различий между этими рисками нет. Проектные риски — это логическое продолжение операционных рисков, поскольку большинство проектов компании осуществляются на основе уже существующей бизнес-модели.

— Однако компании оценивают рискованность конкретного проекта хотя бы для того, чтобы понять, как его реализация повлияет на общий риск бизнеса. Насколько тщательно следует подходить к оценке проектных рисков?

— Подходы к оценке таких рисков должны зависеть главным образом от того, насколько типичным для компании является данный проект, а не от суммы, необходимой для его осуществления. Так, строительство нового магазина розничной сети может быть высокобюджетным проектом, однако при его реализации будут использованы уже известные компании технологии, которые гарантированно обеспечат магазину приток покупателей и стабильный доход: анализ емкости рынка, определение потребительских предпочтений данного района и соответствующая реклама.

Если же компания решит диверсифицировать бизнес и приобрести, например, сеть автозаправочных станций, чтобы разместить на них свои магазины, то ей придется столкнуться с совершенно другим уровнем риска. Для ритейлеров этот бизнес будет абсолютно новым, и они будут вынуждены учитывать неизвестные им факторы: закупку бензина, назначение цены, размещение заправок и т. д. Если решение об открытии очередного магазина может быть принято на основании того, что компании необходимо присутствие в данном районе, то решение о покупке заправок должно быть проработано до мелочей, поскольку риск такого вложения будет неизмеримо выше в силу уникальности проекта для данной компании. Кроме того, с новым приобретением основной бизнес также изменится: усложнятся цепочки поставок, руководителям придется принимать решения в незнакомой для них области. Таким образом, чем сложнее бизнес-модель проекта, тем тщательнее необходимо оценивать риски.

— В какой последовательности осуществляются мероприятия по оценке рисков проекта?

— Сначала проводятся анализ чувствительности и сценарный анализ, которые основываются на упрощенном определении параметров проекта (ставки дисконтирования, условий внешней среды и т. п.). Это позволяет либо отклонить проект, либо принять решение о проведении более детального исследования и определить направления дальнейшей работы. При положительном результате исследования прорабатываются все аспекты, которые могут так или иначе повлиять на итог проекта. Затем снова проводится количественный анализ на основании уточненных данных и мероприятий по устранению (страхованию) выявленных в ходе работы рисков. В конце концов, если принимается решение о реализации проекта, то совокупный уровень его риска, то есть размер суммы, которую в случае неудачи потеряет инвестор (с учетом всех мероприятий по страхованию), не должен превышать приемлемую величину, например 20% от NPV проекта.

Беседовала Анна Нетесова

1 Подробнее об итогах конкурса см. статью «Как не ошибиться при составлении бизнес-плана», «Финансовый директор», 2003, № 4. – Примеч. редакции.2 Формулы расчета указанных показателей в рамках данной статьи не приводятся, так как они уже публиковались в нашем журнале (см. статью «Оценка денежного потока инвестиционного проекта», «Финансовый директор», 2002, № 4). Кроме того, эти формулы можно найти в любом учебнике, посвященном финансовому менеджменту или оценке инвестиций. – Примеч. редакции.3 В целях соблюдения конфиденциальности коммерческой информации автор рассматривает пример с условными данными, в основе которого лежит реальный проект из его личного опыта. – Примеч. редакции.

Оригинал статьи: Анализ рисков инвестиционных проектовЖурнал «Финансовый директор»

Версия для печати  

Что делать, если нет системы управления рисками

Как правило, рисками в компаниях управляют специальные подразделения. Однако если такого подразделения нет, то обычно заниматься рисками вменяется в обязанности другим отделам. Эти отделы разрабатывают механизмы, позволяющие снизить риск (например, механизм согласования). Это может быть отдел внутреннего аудита, контроллинга, методологии, аналитическая служба независимо от названия суть работы отдела не меняется.

В такой ситуации риски обнаруживаются и устраняются в ходе ежедневной работы до того, как предприятие понесет серьезные убытки. Естественно, работа по такой ручной схеме управления менее эффективна специалисты этих отделов в лучшем случае снижают чувствительность компании к факторам риска. Для этого могут отдельно наниматься штатные (риск-менеджеры) или внештатные (консультанты) специалисты.

В заключение еще раз подчеркнем, что комплексная система риск-менеджмента требует системности и последовательности, только тогда она даст нужный эффект. Работа этой системы должна основываться на накопленном опыте и быть очень гибкой, система должна реагировать на все происходящие изменения. При этом полезно помнить слова маркиза Люка де Клапье Вовенарга: Мы предвидим трудности, связанные с осуществлением нашей затеи, но редко думаем о тех, что коренятся в нас самих.

Эффективная система управления рисками в портфеле проектов включает девять основных компонентов:

Мониторинг и контроль рисков

Заключительный процесс – мониторинг и контроль рисков – направлен на отслеживание выполнения планов реагирования на риск, отслеживание самих рисков, выявление и анализ новых рисков, оценку результативности процессов управления рисками на протяжении всего проекта и анализ резервов, заложенных в проект.

Для управления рисками используются следующие информационные технологии: Tamara, Spyder Project, Risky Project, PERT Master и другие. Все перечисленные системы обеспечивают ведение реестра рисков, моделирование, интеграцию с календарным планом и ведение базы знаний по рискам.

Меня нередко спрашивают: почему хорошо проработанные методы, процессы и инструменты управления рисками чаще всего не находят применения в российской практике? Здесь две основные причины. Первая – наш менталитет, вторая – отсутствие навыков управления рисками. Беседуя с менеджерами различных российских предприятий, я убедился: они знают теорию по управлению рисками, знают процесс управления рисками, но не применяют их на своих предприятиях. Следовательно, у них отсутствуют навыки в данной области, а значит, отсутствует доверие к этим процессам. Для выработки навыков можно использовать бизнес-игры, которые сегодня проводятся, в том числе в онлайн-
формате.

Александр ЗУБРИЦКИЙ,сертифицированный профессионал по управлению проектами PMI, MVP

Выводы

Однако при реализации проекта ни одна неопределенность условий не является заданной. Поэтому и необходим постоянный мониторинг условий, в которых осуществляется проект, нужно проводить корректировку данных, графиков работы, а также внимательно следить за условиями взаимоотношений участников проекта. Примером оценки рисков инвестиционного проекта можно считать следующую ситуацию.

Предполагать пожар в офисе компании или планировать внезапный отказ от субсидирования спонсора было бы странным, хотя по влиянию на бизнес последствия такого риска выглядят страшно. Вероятность низка, риск на «желтом» уровне. А вот если программное оборудование не поступит вовремя, проект пострадает очень сильно. Случается это гораздо чаще. Уровень риска явно «красный». Но главное то, что этого риска при нормальной работе участников проекта вполне можно избежать. Вероятность риска — просчитывание возможности его реализации от 0 до 100%.

Когда реализуется проект, одна задача сменяет другую, а вместе с ними меняются и виды рисков. Поэтому анализ и должен присутствовать всегда, а карта рисков должна по мере необходимости трансформироваться. Особое значение это имеет на начальном этапе реализации проекта: чем раньше риски выявлены, тем больше возможностей к ним приготовиться. Все это снижает потери.

Выводы о применимости методов

Давайте проанализируем риски и полученные результаты.

В первом примере необходимо провести работы по ремонту напольного покрытия. Во втором примере необходимо поддерживать имеющийся уровень безопасности. Следовательно уровень риска в первом примере, где отсутствуют необходимые меры управления должен быть выше, чем во втором примере.

Как видно из расчета, это условие соблюдается при использовании матрицы последствий и вероятностей, но нарушается в методе Файна-Кинни.

Следует вспомнить, что мы делаем оценку профессионального риска не ради получения цифры, а ради получения плана мероприятий по разработке мер по снижению риска до приемлемого уровня. Нам будет крайне неудобно анализировать итоговые результаты и планировать меры управления, если риск, где дополнительные мероприятия не требуются, будет иметь уровень выше, чем тот, где необходимы дополнительные действия (в нашем примере ремонт напольного покрытия).

Причина, по которой мы получили более высокий риск на рабочем месте бухгалтера при оценке методом Файна-Кинни, кроется в высокой тяжести и максимальной частотности данной конкретной опасности. Если бы мы сравнивали одинаковые опасности, а еще лучше оценивали опасности в рамках одного технологического процесса, то мы получили бы вполне приемлемый результат.

Следующий важный момент, который нам нужно учитывать при выборе метода, заключается в том, что оценка профессиональных рисков в охране труда несет в себе очень высокую неопределенность. Очень сложно угадать, чем закончится несчастный случай. Можно упасть и получить синяк, а можно упасть и получить очень серьезную травму

Это приводит нас к тому, что не так важно точно рассчитать уровень риска (это невозможно из-за неопределенности события), как важно увидеть опасность. Идентификация опасностей важнее их точной оценки

Если мы не идентифицировали риск, то мы им не управляем и это будет проблемой. При оценке же уровня риска нас вполне устроит приблизительная область его значений и такие оценочные категории как «приемлемо», «допустимо» или «неприемлемо».

Все это позволяет говорить о том, что матричный способ оценки рисков является более простым и, как следствие, более универсальным методом, дающим приемлемый результат относительно поставленной задачи.

Метод Файна-Кинни может эффективно использоваться только с серьезными ограничениями, неоправданно усложняющими всю систему оценки рисков.

И напоследок еще один факт на чашу весов матрицы последствий и вероятностей. Именно этот метод указан в качестве способа оценки уровня риска в стандарте ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска. (IEC 31010:2019). В то время как метод Файна-Кинни там не упоминается.