Всем добра!
В одной из недавних статей на сайте уже разбирался подобный вопрос в отношении термина и понятия «контроль». И был даже сформирован ряд практических выводов. Давайте проделаем нечто похожее в отношении термина «риск».
В этот раз пойдем от… лексического значения данного слова в словарях. Для начала посмотрим, что нам предлагает Википедия и Викисловарь (кстати, в них собраны практически все значения, которые встречаются в основных словарях). Имеем следующий список:
- Риск — характеристика ситуации, имеющей неопределённость исхода, при обязательном наличии неблагоприятных последствий.
- Риск в узком смысле — количественная оценка опасностей, определяется как частота одного события при наступлении другого.
- Риск — это неопределённое событие или условие, которое в случае возникновения имеет позитивное или негативное воздействие на репутацию компании, приводит к приобретениям или потерям в денежном выражении.
- Риск — это вероятность возможной нежелательной потери чего-либо при плохом стечении обстоятельств.
- Риск — это вероятность выхода опасного фактора из под контроля и серьёзность последствий, выражаемая степенью проявления.
- Риск — это произведение вероятности на убыток.
- Риск – возможность опасности, неудачи, несчастья.
- Риск – событие, действие, происшествие, приводящее к ущербу, которое может наступить с какой-то вероятностью.
- Риск – ответственность, связанная с наступлением риска.
- Риск – действия наудачу, в надежде на благоприятный исход.
- Риск – мера опасности, характеризующая вероятность появления опасности и размеры связанного с ней ущерба.
Ну что ж, в этом перечне выбор на любой вкус. Консенсус? Не, не слышали. Здесь риск это и неопределенное событие, и вероятность, и возможность, и ответственность, и мера опасности, и произведение, и даже действия наудачу. «… И пусть никто не уйдет обиженный!»©.
А что предлагают нам иностранные словари? Давайте посмотрим, например, словарь Лонгмана.
- Risk – the possibility that something bad, unpleasant, or dangerous may happen («There is a risk that the disease may spread further») или «возможность того, что может произойти что-то плохое, неприятное или опасное» (например, «Существует риск дальнейшего распространения болезни»). Примечание – слово «возможность» означает именно наличие физической возможности, а не возможность как шанс (для последнего в английском языке используется слово «opportunity»).
- Risk – an action that might have bad results («It was a risk, sending a letter to my house») или «действие, которое может иметь плохие последствия» (например, «Это был риск, отправить письмо в мой дом»).
- Risk – something or someone that is likely to cause harm or danger («The tyre dump is a major fire risk») или «что-то или кто-то, что/кто может причинить вред или опасность» (например, «Свалка шин представляет собой наиболее существенный риск возгорания» – данный перевод не вполне точно отражает оттенки смысла варианта на английском языке и это всегда представляет собой проблему – при переводе терминологии часто изменяют смысл оригинального значения, что тянет за собой прочие отклонения вплоть до методологии).
Кстати, последнее определение очень коррелирует с определением термина «источник риска» в ИСО 31000 «Управление рисками» – «элемент, который сам по себе или в сочетании может привести к возникновению риска» (правда, что такое «элемент» ИСО 31000 не уточняет).
Как видите, данный словарь на порядок лаконичнее Вики источников и иже с ними. Как это часто бывает в подобных случаях, Википедия представляет собой в каком-то смысле свалку всего, что нашлось по теме, без особой взаимосвязи между блоками. Также обратите внимание на один крайне любопытный аспект. Риск в словаре Лонгмана определяется как возможность или действие, но при этом в примерах такая возможность или действие всегда конкретизируется отдельно. То есть слово риск выступает как бы маркером того, что далее последует описание события негативного по своей сути. С равным успехом, слово «риск» можно было бы просто заменить на любой значок, имеющий негативный смысл – например, знак опасности (часто, желтый треугольник с символом конкретной опасности внутри и обведенный черной рамкой). То есть слово «риск» … это, вроде как, и не совсем полноценное слово, то есть обладающее собственным значением. Например, с точки зрения английского языка, по смыслу оно больше похоже на артикль «a» или «the».
Согласитесь, как же удачно, что была создана целая управленческая дисциплина на основе такого конкретного и однозначного понятия как «риск». Это я про риск-менеджмент. Особенно с учетом того, что даже лингвисты не вполне уверены, что же в конце концов означает слово «риск».
На этом фоне, содержание ИСО 31000 уже не кажется словоблудием. В данном стандарте была предпринята попытка задать некие терминологические и смысловые рамки. Насколько она оказалась успешной? Давайте разбираться.
В соответствии с ИСО 31000, имеем следующий набор терминов.
- Risk – effect of uncertainty on objectives или «Риск – влияние (эффект) неопределенности на цели».
- Effect – a deviation from the expected или «Эффект – отклонение от ожидаемого».
Также во введении есть одна фраза, которая пригодится для нашего логического построения, а именно – «Organizations of all types and sizes face external and internal factors and influences that make it uncertain whether they will achieve their objectives» или «Организации всех типов и размеров сталкиваются с внешними и внутренними факторами и влияниями, которые создают неопределенность в отношении того, достигнут ли они своих целей».
Получается следующая логика.
Неопределенность влияет на цели, что приводит к отклонению фактических результатов от ожидаемых (достижение цели это и есть результат). При этом неопределенность создается в результате воздействия «внешних и внутренних факторов и влияний». Другими словами, эти «факторы и влияния» приводят в том числе и к отклонению фактических результатов от ожидаемых.
Как это применимо на практике?
Цели организации достигаются за счет выполнения бизнес-процессов и достижения их целей. Если бизнес-процесс достигает своей цели, его фактический результат как минимум соответствует ожидаемому (может и превысить его, как вариант). Данному развитию событий и мешает неопределенность. По сути, в ее основе лежит отсутствие достаточной (по количеству и качеству) информации в момент возникновения необходимости в принятии конкретного управленческого решения. Все бизнес-процессы в любой компании взаимосвязаны и взаимодействуют. Поэтому для устранения неопределенности, в первую очередь имеющую внутреннее происхождение, необходимо обеспечить обмен информации между бизнес-процессами по статусу достижения их целей и причинам, оказывающим на это влияние. При этом имеет значение скорость обмена информацией. Одним из следствий подобной системы обмена информации станет… отсутствие необходимости использовать термин «риск» в отношении «внутренних факторов и влияний». Достаточно будет просто всеобщего понимания, что результаты каждого бизнес-процесса могут варьироваться в определенных пределах. И владелец каждого бизнес-процесса с помощью соответствующих дэшбордов (как вариант) должен следить за показателями других бизнес-процессов с целью адекватного управления своим. В результате исчезнут такие бессмысленные словосочетания как «риски недостижения цели бизнес-процесса», «риски потери активов/средств», «риски потерь из-за неэффективности процесса» и тому подобные.
Что это означает?
Это означает, что у риск-менеджмента появляется возможность сосредоточиться на «внешних факторах и влияниях» (по отношению к компании). И это именно то, на чем он и должен фокусироваться.
Вы можете спросить: «А зачем нам избегать использования слова «риск»?
Позвольте встречный вопрос – а разве лингвистический хаос в отношении этого слова не является уже достаточной причиной? Думаете, нет? Что ж, ключевой нюанс или даже нюансище я приберег напоследок. Забавно, но упоминание о нем вы мало где встретите в русскоязычных источниках. Суть в следующем. В западной профессиональной среде на протяжении уже не менее пары лет идет активная и местами весьма острая дискуссия по теме как современного состояния риск-менеджмента, так и его терминологии. Под сомнение ставиться как адекватность, так и практическая целесообразность как одного, так и второго в их текущем состоянии. На горизонте у нас очередное обновление ИСО 31000. Для примера, пара реплик для демонстрации общего тренда.
- Пишет Норман Маркс (признанный эксперт в области внутреннего аудита и риск-менеджмента) о слове «риск» – «Как я уже говорил много раз в прошлом, я предпочитаю использовать выражение «что может случиться», так как легче иметь общее понимание этого и вести конструктивный разговор с руководством на простом английском языке».
- Пишет Грант Парди (один из создателей ИСО 31000) – «…никто не может прийти к единому мнению о том, что означает слово «r» — и оно используется по-разному как существительное, глагол и прилагательное — ни одно из его употреблений не согласуется. На самом деле слово «риск» превратилось в нонсенс, как, конечно, и любые составные части типа «управление рисками», которые на нем основаны. Если бы я хотел сойти за юмориста, я мог бы предположить, что слишком рискованно использовать слово «риск». Но я бы так не сказал, потому что это утверждение не означало бы вообще ничего дельного».
Это, уже не говоря о наших экспертах, таких, как например, Алексей Сидоренко. Он вообще давно использует понятие RM1 и RM2, при этом первое дипломатично называется «риск-менеджмент для внешних стейкхлдеров», реальная практическая польза которого стремиться к нулю и вполне успешно. К RM1 Алексей как раз и относит регламенты по риск-аппетиту, регистр рисков («вселенная рисков»), количественные оценки при анализе рисков, ежеквартальные отчеты о статусе эпической борьбы с рисками, ключевые индикаторы риска (мое мнение относительно степени их булшитности я изложил здесь), комитет по рискам, 3 линии защиты, владельцев рисков, планы снижения рисков, раскрытие информации в годовых отчетах о рисках, бенчмаркинг управления рисками и многое другое. Алексей порой резковато выражается (и я понимаю почему), но к его мнению стоит прислушаться. Забавно, но Алексей и упомянутый ИСО 31000 также относит к RM1.
У Нассима Талеба есть интересный пассаж в книге «Антихрупкость. Как извлечь выгоду из хаоса» – «Сложная система – против общепринятой точки зрения – не требует усложненных сводов правил замысловатых принципов управления. Чем проще, тем лучше. Усложнение ведет к удлиняющейся цепочке совершенно непредсказуемых эффектов. Из-за непрозрачности вмешательство выливается в череду непредвиденных последствий, которые влекут за собой извинения за их «непредвиденный» аспект – и к новому вмешательству с целью исправить вторичные эффекты, на что система отвечает взрывным каскадом ветвящихся «непредвиденных» реакций, каждая из которых опаснее предыдущей. Однако в современной жизни простоты добиться сложно, потому что она противоречит мировоззрению ряда людей, ищущих сложности для того, чтобы как-то оправдать свою работу». Толстый намек, не так ли?
На фоне буйства лексических значений, стремление пихать слово «риск» по поводу и без в любую коммуникацию крайне контрпродуктивно. Вспомним все определения, перечисленные в начале статьи. Например, вы говорите «минимизировать риск» или «сократить риск». Но если риск это событие, то как можно минимизировать или сократить событие? Или, например, «предвидеть риск». Событие можно предвидеть, но как можно предвидеть «влияние неопределенности на цели» или «вероятность выхода опасного фактора из под контроля»? Влияние неопределенности просто есть, весь вопрос в его степени, а вероятность оценивают, а не «предвидивают». Или еще пример – «избегать риска». Можно попробовать избежать события, но как можно избежать неопределенности или вероятности? Аморфность слова «риск» заражает аморфностью любую коммуникацию, где его используют. В результате возникают элементарные сложности со взаимопониманием сторон. Возьму на себя смелость утверждать, что аморфность слова «риск» является и основной причиной, почему значительная часть методологии риск-менеджмента это по сути bullshit bingo, включая и упомянутый выше RM1.
Выводы
- Прозвучит парадоксально, но избегайте использования слова «риск» без особой необходимости. Особенно, при общении в управленческой среде. По крайне мере, постарайтесь убедится, что собеседник понимает его также как и вы. Но думаю, вы уже догадываетесь, что вероятность этого несильно выше нуля.
- Управление рисками/риск-менеджмент это не самоцель, а лишь один из инструментов, способствующих достижению целей бизнес-процессов и компании. То есть в первую очередь акцент всегда на них. Подавляющее большинство компаний достигают своих целей так или иначе. Ну а если не достигают, то говорят, что это и была цель (шутка). Управление рисками это в первую очередь не методика, а ментальная установка, mind set, часть корпоративной культуры. Без этого любые управленческие инструменты работать не будут. Например, все тот же Норман Маркс говорит об этом так – «…похоже, мы создали миф о том, что риск-менеджмент риска — это про управление рисками. Не так. Управление рисками не является самоцелью. Это просто еще один инструмент управления, помогающий менеджменту принимать более эффективные решения и, следовательно, достигать поставленных целей».
- Сосредоточьтесь на сути, а не на форме. Это общая проблема многих управленческих инструментов – риск-менеджмента, внутреннего аудита, внутреннего контроля, корпоративного управления и прочих. Все они серьезно инфицированы формами, за которыми многим уже не удается разглядеть их сути. Да поможет вам критическое мышление! Помните, что вы можете одеться как пчелка и даже аутентично зажужжать, но лучше вам не пытаться слетать за медом, особенно стартуя с высоких объектов.
Обсуждайте статью и делитесь своими комментариями на https://t.me/ok_kontrol
Да пребудет с вами контроль!