Матрицы риска по-прежнему считаются одним из самых популярных инструментов для оценки потенциальных угроз. Но проведенные дополнительные исследования выявили наличие методологических и психологических ограничений при их использовании, что чревато принятием непродуманных решений. Стоит подробнее рассмотреть целесообразность их применения для анализа будущих рисков.

В поисках альтернативы

Недостатки имеют основополагающее значение для разработки матриц рисков. Они неоднократно обсуждались ведущими бизнес-аналитиками, такими как У. Салаха и Д. Восе. Кроме того, исследования Тони Кокса и Дугласа Хаббарда показали, что матрицы рисков срабатывают намного хуже при измерении и предугадывании потенциальных угроз, чем аналогичные количественные инструменты (Статья «In Defense of Risk Heat Maps» для Linkedin, 2019). Для усовершенствования матриц риска предлагаются следующие альтернативные решения:

  • Анализ риска должен проводиться в процессе обсуждения и принятия решений, а не постфактум, один раз в квартал.
  • Результаты анализа угроз следует подавать не как произвольные уровни риска, а посредством категории волатильности, т.е. в качестве выверенного диапазона значений или сценариев будущего алгоритма действий.
  • Полученные результаты необходимо воспринимать как обязательные к рассмотрению, тем самым подчеркивая их непосредственное влияние на установление стратегических целей компании и операционных процедур.

Помимо выше перечисленного, различают два типа методов анализа риска:

1.  Методы, позволяющие лучше понять природу потенциальной угрозы и соответственно принять решение о способе ее управления. К такой процедуре обращаются, когда риск известен и конкретизирован, а руководству необходимо среагировать на него экономически максимально эффективным образом. Указанные методы предусматривают составление диаграмм «галстука-бабочки»; FMEA / FMECA; HAZID, HAZMAT и HAZAN; метод «5-ти почему»; диаграммы влияния; ICAM и пр.

2.  Методы, ориентированные на понимание влияния неопределенности на решения правления или выбор бизнес-цели. Используются при подготовке либо утверждении стратегии компании, бюджета, прогноза, долгосрочных цен, а также при неочевидности рисков. К ним относятся метод оценки, «дерево решений», анализ чувствительности, сценарный метод, стресс-тестирование и различные варианты моделирования с учетом агентов, системной динамики или дискретных событий.

Применение описанных выше методов зависит от сложности и значимости будущего решения, уровня неопределенности, времени и ресурсов, доступных риск-менеджеру.

Ранжирование альтернатив

Безусловно, самый простой и наиболее распространенный способ вычисления масштабности риска для предприятия, проекта, поставщика или бизнес-единицы – это использование методологии оценки. Среди традиционных агентов использования указанного инструментария можно назвать:

  • Рейтинговые агентства S & P, Moodys, Fitch для составления рейтингов компаний
  • Отделы закупок для ранжирования имеющихся поставщиков (золото, серебро, бронза или формирование «черного списка»)
  • Классификация запасных частей или компонентов оборудования по уровню критичности
  • Банки и корпорации для распределения должников по категориям риска или для классификации отъявленных должников
  • Пожарные, разделяющие здания по категориям пожарной опасности и пр.

По сути, любой тип методологии, позволяющий классифицировать элементы на основе заранее предложенных характеристик, выступает лучшим способом не только информирования о рисках, но и принятия адекватных решений посредством полученных выводов.

Если же Вам необходимо определить наилучшие способы снижения определенного вида риска, обратитесь к методике диаграммы «галстука-бабочки» или диаграммы влияния. Существует множество способов визуализации рисков с помощью его разбивки на определенные компоненты, например, причины и следствия, как в случае с «бабочками».

«Галстуки-бабочки» просты в использовании, позволяют избежать когнитивных отклонений и должны быть в арсенале каждого из риск-менеджеров. FMEA, FMECA, дерево ошибок, «5 причин», а также методы исследования ICAM предлагают практически аналогичный инструментарий для оценки рисковых ситуаций. Их главная цель состоит в фиксировании возможных компонентов риска посредством прогнозирования его источников или последствий, даже в случае изначальной неочевидности угрозы.

Стоит сразу оговориться, что «галстуки-бабочки» лучше использовать исключительно как инструменты внутреннего анализа, а не как средство продвижения собственной идеи. А. Сидоренко советует презентовать руководству минимум по 7 причин и следствий для всех уровней каждой ветви решений (Статья «An Alternative to Risk Matrices» для Corporate Compliance Insights, 2019). Таким образом, Вы повышаете шансы отыскать верную стратегию. В случае высокого уровня сложности будущего решения и наличии максимальных ставок, необходимо прибегнуть к методу имитационного моделирования.

В остальных случаях более важно понимать не значение каждого отдельного риска, а уровень влияния неопределенности на принятие решения в целом, установление целей или показатель эффективности. Н. Талеб определяет этот критерий как f(x) в исследовании операций (Статья «RM1 vs. RM2 – Which Will Side You Choose?» для Risk Academy, 2018). Это означает, что мы должны вычислять не сам уровень угрозы, а масштабы его влияния. Компаниям необходимо отходить от консервативного подхода и всесторонне развивать идею управления рисками в качестве инструмента корпоративного управления.

Таким образом, многие департаменты управления рисками используют матрицы для детального ранжирования угроз. Другие бизнес-подразделения обращаются к проверенным методам анализа рисков, не называя установленные процедуры управлением. Эксперты по инвестициям используют анализ чувствительности, финансисты работают со сценариями событий, риск-менеджеры склонны к имитационному моделированию. В любом случае матрицы риска сопряжены с методами анализа, выбор которых зависит от сложности решения и влияния его последствий.

Источник:

https://www.corporatecomplianceinsights.com/alternative-risk-matrices/

Читайте также: