Риск-менеджмент. А много ль корова даёт молока?

– Да мы молока не видали пока…

Сначала – историческая справка, она же присказка.

Риск-менеджмент, как профессия, успешно цвёл и благоухал в корпоративном мире, вплоть до кризиса 2008 года. На многочисленных конференциях риск-менеджеры упражнялись в богословских спорах, как оценивать риски падения ангелов с кончика иглы, рисовали сложные формулы, писали толстые книги. В целом, всё шло как нельзя лучше. Как вдруг – такая досада – случился кризис. Который никто из штатных предсказателей не предсказал. И их компании погорели на большие бабки. После чего, по независящим от риск-менеджеров причинам, их поголовье резко сократилось. Где-то их слили с внутренним аудитом, кто-то переквалифицировался в управдомы. В общем, в профессии наступила ядерная зима.

Прошло 10 лет. Профессия малось оклемалась, пробились новые свежие поросли риск-менеджеров. Кто они? «Ну, что ж… обыкновенные люди… в общем, напоминают прежних… квартирный вопрос только испортил их…» Квартирный вопрос, в данном случае – это вопрос выживания в корпоративных джунглях. И новое поколение риск-менеджеров больше не рассуждает о методиках оценки рисков – а вдруг опять что не так оценишь? Они теперь, всё больше, про «культуру риск менеджмента», про «взаимодействие с советом директоров», про то, что в кабинет менеджера нужно входить на цыпочках и ласковым голосом намекать, что оценивать риски – это хорошо. А не оценивать – плохо. В общем, вопрос «а как же вы всё-таки оцениваете риски» стал в профессии нетактичным, mauvaises manières и вообще рассматривается как троллинг.

Поэтому я решил восполнить этот пробел в содержательной части риск-менеджмента как профессии и поделиться своим, накопленным за три поколения риск-менеджмента, опытом.  Сегодня расскажу вам о своей концепции риска. Которую использую сам и вам советую применять. Конечно, если после прочтения у вас не случится разрыв шаблона, со всеми вытекающими. Поэтому – сразу предупреждение:  Dangerous content! Age restrictions: 30- (ограничение по возрасту условное, в основном отражает способность непредвзято воспринимать новую информацию).

Широко известно (в узких кругах) определение риска как сочетания угрозы и уязвимости. Чтобы не тратить много времени на объяснение, что такое риск, а что такое угроза и уязвимость, приведу простой пример.

Есть у вас окружённый забором склад, на котором лежит нечто для вас ценное (подгузники Huggies, например). Назначение забора – предотвратить проникновение злоумышленника и кражу бесценных подгузников. Вот те самые злоумышленники, которые бродят за забором и норовят, они и есть – угроза. А дырка в заборе – это уязвимость.  Риск – это когда у вас есть и угроза, и уязвимость одновременно. Если только угроза – то риска нет. Не проникнет злоумышленник на охраняемую территорию, потому что нет в заборе дырок.

И наоборот. Если есть дырки в заборе, но за забором никто не ходит, то, несмотря на размер дыр, никто ваши подгузники не украдёт. Просто некому это сделать.

Обычно такой пример доходит на раз. А на два доходит и то, что ещё одним параметром, который влияет на величину риска, является ценность того, что находится под угрозой. Если на складе ничего ценного нет, то и величина риска небольшая. Пусть крадут, не жалко.

Всё хорошо и логично, как кажется. Для минимизации риска нужно всего лишь вычислить величину угрозы, затем оценить величину уязвимости, а затем как-то всё это сложить-поделить-перемножить между собой, и вот вам – величина риска. А дальше – начинаем ремонтровать забор, если риск большой.

К сожалению, у нас опять получился сферический конь в вакууме, потому что никто до сих пор не научился количественно оценивать ни угрозы, ни уязвимости и, соответственно, – риски.

Поэтому упражнения по оценке величины риска по точности сравнимы с попаданием пальцем в небо.

А теперь о том, что принципиально нового я предлагаю.

Тезис 1.  В реальной жизни угрозы и уязвимости постоянно стремяться к равновесию.

И его достигают. Просто Инь и Янь какие-то. Жизнь устроена так, что в отношении любого конкретного риска и уровень угрозы, и уровень уязвимости приходят в состоянии минимального относительного равновесия естественным путем.

Это означает, что если мы затрачиваем на противодействие угрозе (устранение уязвимостей) недостаточно сил и средств, то риск реализуется, начальство обеспокоенно вставляет, и дырки в заборе срочно заделываются (ровно настолько, чтобы враг не пролез). Лепится вдобавок колючая проволока, ставятся прожекторы, и так далее. Уровень обороны временно превышает уровень угрозы.

Но любые усилия со временем ослабевают, если не приносят видимого результата. В том числе и усилия, затрачиваемые на противодействие угрозе, и постепенно они становяться минимально необходимыми, если ничего не происходит. Проволку колючую завхоз увезёт к себе на дачу или сдаст в металлолом, лампочки в прожекторах перегорят, в общем, всё будет, как обычно.

Так будет продолжаться до тех пор, пока уязвимость опять не станет достаточно большой, и риск не случится, снова. Возникает известная ситуация: «сроду такого не было, и вот – на тебе, опять».

Таким путём, после нескольких колебаний относительно среднего, соотношение угрозы и уязвимости приходят в состояние хрупкого равновесия, балансирования на лезвии ножа. И так они и живут дальше. До поры, до времени.

Обращаю ваше пристальное внимание на одну существенную деталь: уровень угрозы и уровень уязвимости находятся в этом балансе автоматически, сами по себе, и нашей оценки, по большому счёту, не требуют. Тем более, что сделать её (оценку) мы не сможем по определению.

Тезис 2. Событие риска вызывается «триггером риска».

На самом деле,  всё, что нас интересует знать про риск – это только одно: когда оно самое случится. По возможности, точнее. Нам как-то неинтересно знать, что случается оно, по статистике, раз в год, в среднем по больнице. Поточнее, пожалуйста, чтобы знать, когда и куда точно стелить соломку. Дату, место, время.

Поэтому я включаю в состав концепции риска еще одно крайне важное понятие – спусковой крючок, или триггер. В принципе, триггер – это незначительное событие (а чаще, сочетание нескольких событий), которые усиливают уровень угрозы или увеличивают уязвимость, пусть на короткое время. И хрупкий баланс на грани разумного и необходимого в противодействии риску рушится,  и риск немедленно реализуется.

Например, недавний пример с аэродромом в Сирии (Новогодний удар по Хмеймиму). И угроза, и уязвимость существовали давно, всем были известны. Давно уже нехорошие бяки точили зуб на этот аэродром, и давно было известно, что система охраны и разведки (и контрразведки) имела уязвимости. Триггер риска сработал 31 декабря. Пусковым крючком в данном случае явилась праздничная дата. Потому что, с одной стороны, желание нагадить у мусульманских экстремистов растет в именно христианский праздник, а с другой стороны, охрана аэродрома, по причине того же самого праздника, расслабляется по полной, и уязвимость увеличивается.

Всё очевидно, как дважды два.  Это знает и наша славная полиция, когда на время проведения массовых мероприятий сгоняет в два-три раза больше охранителей правопорядка, чем обычно.

Но в методиках управления рисками об этом, почему-то – ни слова.

Или другой пример: революция в России в феврале 1917 года. Государство существовало в шатком балансе противоречий – народ жил всё хуже, верхушка воровала всё больше, царь был совершенно неспособен управлять чем либо (он был элементарно тупой).  Но царь стал тупой не вчера, он был таким от рождения. Верхушка увлечённо воровала тоже последние лет 20. Питание рабочих на 80% состояла из хлеба – и это тоже началось не вчера. Всё так могло бы продолжаться еще долго, но случилось совершенно незначительное событие (триггер риска) – небольшой сбой в снабжении хлебом Петрограда (Спусковым крючком Революции стало обрушение тыла) . Возникла паника, скупка и дефицит, бунты и погромы.  В течение трех недель царская власть рухнула.

Так вот чем должен заниматься риск-менеджер, скажу я вам по секрету: выявлять триггеры риска и предупреждать менеджмент. Чтобы те бежали за соломкой, и поживее. Или учить менеджмент выявлять триггеры риска, хотя в успех обучения лично я верю с трудом, по ряду причин (поясню при встрече).

Осталось мне рассказать, как всё-таки выявлять эти триггеры риска, и по возможности, заранее. Но наступило утро, и Шахразаде пора заканчивать дозволенные речи. Так что в следующий раз, как нибудь.

Вдогонку: а кому таки стало интересно,  вот ещё почитать про оценку рисков (очень важная для понимания статья): «Про оценку рисков: легким движением руки….»

И наши самые интересные мероприятия в феврале:

– «Информационная безопасность: взгляд изнутри компании»

– «Проведение внутренних расследований»