Рубрика: Business

Внутренний контроль. Часть 6.

Внутренний контроль. Часть 6.

В прошлый раз мы рассказали, что мы хотим оптимальным образом потратить ресурсы, отпущенные на создание внутреннего контроля, но только не знаем, как это сделать. А вообще, рекомендуется читать сначала, в порядке исторической последовательности (Часть 1, Часть 2, Часть 3, Часть 4, Часть 5).

Напомню задачу внутреннего контроля:

— У нас есть ограниченные ресурсы (люди, деньги, время), которые мы хотим потратить на внутренний контроль, понаделать на эти деньги контрольных процедур (КП), и повставлять их в бизнес-процессы, куда надо, а не куда попало.

Примечание: «Куда надо» — значит туда, где их присутствие даст максимальный эффект или, говоря по-другому, сделает минимальными потери в целом по бизнесу. То есть в те точки процесса, в которых риски отсутствия КП максимальны.

В принципе есть занимательная идея о том, что мы сначала оценим риски всех процессов и операций, а потом в те точки, где риски максимальны, будем вставлять КП. Но она оказалась сферическим конём в вакууме по двум причинам:

  • по трудоёмкости оная стремится к бесконечности, ведь процессов в бизнесе немеряно, а уж отдельных операций в них и вовсе не счесть. Поди посчитай, риск отсутствия контроля в каждой из них. И жизни не хватит. А уж денег и терпения – точно.
  • и самое главное — потому что оценивать риски мы не умеем (равно как и предсказывать будущее) (http://bit.ly/2yNS8as). Если, конечно, это не простейший случай, который подчиняется законам статистики, а таких во внутреннем контроле пренебражимо мало.

Поэтому предложение оценить все риски и потом отбросить из них незначащие звучит как ответ моего любимого скульптора Огюста Родена (Auguste Rodin) на вопрос одного из своих учеников,  «в чем, собственно, состоит искусство скульптора»:   «возьмите глыбу мрамора и отсеките от неё всё лишнее». То есть форменное издевательство и свинство, доложу я вам.

И что же тогда делать?

К счастью, природа за нас сама решила эту задачу, надо только внимательно посмотреть на систему внутреннего контроля любой компании как на живой организм, который имеет все необходимые для жизнеобеспечения системы.

Но сначала одна притча, после которой станет ясно, что я имею ввиду.

*  *  *

     Мясник Дин разделывал бычьи туши для царя Вэнь-хоя. Взмахнет рукой, навалится плечом, подопрет коленом, притопнет ногой, и вот: вжик! бах! Блестящий нож словно пляшет в воздухе.

– Прекрасно! – воскликнул царь Вэнь-хой. – Я поражен, сколь высоко твое искусство, повар!

Отложив нож, повар Дин сказал в ответ: 
– Поначалу, когда я занялся разделкой туш, я видел перед собой только туши быков, но минуло три года – и я уже не видел их перед собою! Хороший мясник меняет свой нож каждый год – потому что он режет. Обыкновенный мясник меняет свой нож каждый месяц – потому что он рубит. А я пользуюсь своим ножом уже девятнадцать лет, разделал им несколько тысяч туш, а нож все еще выглядит таким, словно только что сошел с точильного камня. Ведь в сочленениях туши всегда есть зазор, шире, чем лезвие моего ножа. Вот почему даже спустя девятнадцать лет мой нож выглядит так, словно он только что сошел с точильного камня.

Однако же всякий раз, когда я подхожу к трудному месту, я вижу, где мне придется нелегко, и собираю воедино мое внимание. Я пристально вглядываюсь в это место, двигаюсь медленно и плавно, веду нож старательно, и вдруг туша распадается, словно ком земли рушится на землю.

— Превосходно! – воскликнул царь Вэнь-хой. – Послушав своего повара, я понял, как нужно управлять государством!»

* * *

В этом месте читатель-аудитор должен вскликнуть: — Превосходно! Теперь я понял, в каких точках бизнес-процесса надо ставить контрольные процедуры!

Но если всё-таки пока непонятно, то вот ещё одна цитата – на этот раз из Булгакова (http://bit.ly/2DpEaho):

«Затем  рыжий разбойник ухватил  за  ногу курицу  и  всей  этой  курицей плашмя, крепко и страшно так ударил по шее Поплавского, что туловище курицы отскочило, а нога осталась в  руке Азазелло. Все смешалось в доме Облонских, как справедливо  выразился знаменитый  писатель  Лев Толстой.  Именно так  и сказал  бы  он  в данном случае.  Да!  Все смешалось в глазах у Поплавского. Длинная  искра  пронеслась у  него перед  глазами, затем сменилась  какой-то траурной  змеей,  погасившей  на  мгновенье майский  день,  — и  Поплавский полетел вниз по лестнице, держа  в  руке паспорт.  Долетев до  поворота,  он выбил на лестничной площадке ногою  стекло в окне и  сел на ступеньке.  Мимо него  пропрыгала  безногая курица и  свалилась в пролет. Оставшийся  наверху Азазелло  вмиг обглодал куриную ногу  и  кость засунул  в боковой  карманчик трико, вернулся в квартиру и с  грохотом закрылся

В каких местах легче всего разрезать тушу? В каком месте разрушилась злополучная курица? Правильно, в местах сочленений. Там находится риск разрушения единого целого, будь то туша, курица, или бизнес. В точках взаимодействия между подразделениями.

В бизнесе «сочленения туши» – это взаимодействия между группами персонала, объединёнными одной функцией и одним руководством. Обычно такие группы называются «дирекции», «отделы» и всякие прочие подразделения. Каждое подразделение имеет свои собственные цели, интересы, строит свои козни – как списать на соседа свои просчёты и ошибки, как отхватить его функции и ресурсы себе, а ответственность оставить врагу – в общем, нормальная корпоративная жизнь.  Как везде и всегда в истории человечества.

Вот в этих точках и живут самые большие риски для бизнеса организации в целом. Вся история цивилизации – это история войн разных племён и народов за то, чтобы отобрать у другого народа кусок хлеба и землю. С самых первобытных времён.

Точно также, вся история корпоративной жизни в бизнесе – это история войн разных подразделений за премии, благосклонность начальства, за то, чтобы поменьше работать и побольше получить. Нет, конечно, перед лицом опасности в лице собственника они все объединяются и демонстрируют – чего там надо демонстрировать, то и демонстрируют. Мир, дружбу, балалайку, страдания за общее дело. Чтобы, не дай бог, не разволновать хозяина на свою беду. А то бывали и такие случаи, на моей памяти, когда выгоняли пачками. Если под горячую руку попадали. И, кстати, бизнес от этого только расцветал. Я в какой-то мере понимаю Сталина, который перед войной сменил всю зажравшуюся верхушку армии. Хотя не одобряю методы. Мягче нужно было, деликатнее. Но чего можно было ожидать от бывшего каторжника и террориста?

Так вот, вернувшись в реалии современного бизнеса, к теме внутреннего контроля: ставьте контрольные процедуры прежде всего «в суставах» бизнеса, на стыках – подразделений, функций, передачи информации, мат. ценностей и рисков между людьми. Помогает.

Это только один из способов, как определить наиболее рискованные точки бизнес процессов, чтобы внутренний контроль был эффективен. Есть еще четыре.

Чтобы найти остальные способы, нужно помнить две вещи: 1) что внутренний контроль – это контроль действий людей (См. определение ВК), и 2) – смотрите не на кирпичики (контрольные процедуры), а на архитектуру здания ВК в целом. А здесь живая природа может дать много подсказок. Только, ради бога, не возлагайте надежды на ещё одного сферического коня в вакууме — на KPI (они же ключевые показатели эффективности). Про них — тут (http://bit.ly/2pM6LMe) .

И наступило утро, и Шахерезада прекратила дозволенные речи..

Дополнение 1. Знаете, как работает хороший риск-менеджер? Он не собирает менеджмент на пресловутые «сессии оценки рисков». Всё равно они ничего не расскажут про собственные риски. Во-первых, они в них живут, и по этому не замечают. Примелькались им все риски. И не видят они их. Особенно те, которые давно не реализовывались. Во-вторых, им рассказывать о своих рисках — не по душе как-то. Ну, как публично раздеваться. В ответ скажут — ну, вот, сам же всё знаешь! А почему не минимизируешь? Вот за это мы тебя премии и лишим. Поэтому и заканчиваются все эти сессии оценки рисков ничем.

Хороший риск-менеджер начинает свой день с визита к линейному менеджеру, чтобы поздороваться, попить кофе, покалякать о делах наших скорбных. И, между делом, поспрашивать у него последние сплетни. Кто кому что сказал, кто с кем поругался, кто кого подставил. Как обогнал, как подрезал. Из этого потока субстанции он (риск-менеджер) фильтрует информацию о возможных точках конфликта между подразделениями. Важно, где есть непонимание и противостояние, которое приведёт в конечном счёте к потерям бизнеса. Если технический директор жалуется на директора по закупкам, есть риск того, что стройка затянется, и начнутся разборки — кто кому вовремя не дал заявку, кто что не так в этой заявке не написал. Вот она — точка риска, куда надо ставить контрольные процедуры, чтобы потом бизнесу не было мучительно больно за бесцельно прожитые годы.

Дополнение 2. Хороший пример риска «на стыке» интересов — «Запущенные с Восточного 19 спутников уже упали в океан» ( http://bit.ly/2E6PaBs ). Оправдания Роскосмоса по этому случаю живо  описаны фразой «к рукавам и пуговицам  претензий нет» А.Райкина ( http://bit.ly/2levS5i ). По доступной информацией, «первый импульс был выдан не в той ориентации, которая необходима, поэтому разгонный блок вместе со спутником вошел в атмосферу и упал в Атлантический океан» «из-за того, что система управления блока рассчитала вращение не в ту сторону«. «Сам разгонный блок и его составные части (двигатели, система управления) отработали в соответствии с заданным алгоритмом, который был заложен еще в 1998 году при создании этого блока программы ракетоносителя«.

А к полётному заданию претензий нет.

«Авария, произошедшая после запуска с космодрома «Восточный» 28 ноября, стала следствием ошибки в алгоритме разгонного блока «Фрегат», которую невозможно выявить существующими методиками» — заявил начальник Роскосмоса. Про тестирование программ, он конечно, не слышал. Простим ему.

«Забыли в формуле поменять знак при смене азимута на 180 градусов, ДЛБ»

Но дело даже не в тестировании. Риск оказался ровно там, где он и должен быть — на стыке времён, подразделений, ответственности, ведомственных интересов. В «сочленениях туши» бизнеса. Полётные задания, наверное, в Роскосмосе хорошо пишут. А вот с внутренним контролем у них явно на букву «х».

 

Никогда не кормите птичек

Никогда не кормите птичек

Не совсем Рождественская сказка

Рождественская сказка, если кто не знает, это трогательная история про то, как мальчик зимой нашёл в лесу полузамерзшую птичку, принёс в дом, отогрел, всю зиму кормил отборными зернышками и поил родниковой водичкой. А ранней весной выпустил её на волю. И птичка всё лето радовала его своими песнями и уничтожала  огородных вредителей. Отчего он получил большой урожай. (Мальчик был городской, и не знал, что самое голодное для обитателей леса время года – это ранняя весна. Простим ему это, тем более, что птичка таки выжила).

И вот как-то раз, перед самым Рождеством, я увидел в магазине кормушку для птиц и живо представил себе, как счастливые птички поют песенки под моим окном и кушают всяких нехороших червячков на моих клубничных грядках.

Купил я кормушку, заправил зёрнышками, приладил на сосну во дворе и сел у окошка любоватся своей добротой. Мудрые соседи переглядывались и почему-то крутили пальцем у виска. Наверное, они не читали в детстве рождественских историй.

Не избалованные суровый финской природой птички быстро обнаружили аттракцион невиданной щедрости. Кушали они хорошо,  и столовая работала без перерывов и выходных.

Однако что-то пошло не так. Птички имели физиологическую особенность, о которой не упоминалось в рождественских историях. Они не только кушали но и…. Правильно. Причём недалеко от того места, где кушали. Но я был взрослый мальчик, и уже выучил слово «толерантность», которое нам рассказывали с утра до вечера по телевизору. В конце концов, птички не виноваты, что у них так устроен желудочно-кишечный тракт.

Соловьиных трелей весной от суровых финских синиц я так и не дождался.

Настало лето. Птички были замечены на грядках клубники. Ловили ли они червяков, я так и не понял, но клубникой явно не брезговали.

Не избалованные природой суровые финские кошки также быстро обнаружили, что на клубничных грядках охота идет лучше. Никогда не думал, что в Финляндии столько кошек. И половина из них охотилась на моём огороде. В моей клубнике – потому что там были птички. Клубнике, по-моему, это не очень нравилось. Но я же знал слово «толерантность». Кошки так устроены и не могут не охотится на птичек, успокаивал я себя.

В Финляндии много собак и мало кошек. В редкой финской семье нет двух-трех собак. Поэтому кошки в Финляндии живут сложно и недолго.

А собак – множество. По крайней мере, в нашей деревне собак больше, чем людей. Они достаточно толерантны к людям, но не к кошкам. Суровые финские собаки не избалованы таким удовольствием, как охота на кошек. И концентрация большого количества кошек в одном месте, а именно на моих клубничных грядках, создала в их обществе небывалый ажиотаж.

Особенно усердствовал соседский далматинец, парень шумный и дружелюбный. Любитель сам пожить и другим дать жизни. После него об урожае клубники можно было забыть.

Я конечно, всё ещё  знал слово «толерантность», но тем не менее купил пневматический пистолет калибра 4,5 и убрал нафиг кормушку. Теперь совершенствую свои навыки стрельбы влет и по мишени «бегущий кабан».

Вот и вся Рождественская история. Её мораль: никогда не кормите птичек, а если уж вам очень хочется, то кормите их подальше от своего дома.

Вообще-то, я хотел написать про иммиграцию, но как всегда уклонился от темы. И опять какая-то фигня получилась. Ну да ладно.

Изучаем оценку рисков. Умножаем вероятности

Изучаем оценку рисков. Умножаем вероятности

Любую самую сложную формулу можно выучить на раз, если связать её с поражающей воображение картинкой (создать якорь).

Якорем в НЛП называют любой стимул (звук, запах, картинка, вкус и т.п.), которое ассоциируется, связываются у нас в памяти с определённой информацией. Если каждый день мы обедаем под концерт Вивальди ля минор (первая часть), то боюсь, что даже в концертном зале при соответствующих звуках флейты у нас будет начинаться слюноотделение, а перед глазами будут возникать воспоминания отнюдь не музыкальные, а гастрономические.

Вот сегодня таким методом вы выучите на всю жизнь формулу умножения вероятностей.

Предположим, над доставкой вам покупки трудились в поте лица две компании – Ali Express и Почта России. Предположим, что вероятность доставки вам товара неповреждённым, в целости и сохранности, и вообще доставки хоть чего-нибудь – 50% у Ali Express и 30% — у Почты России. 0,5 и 0,3 соответственно.

Теперь, предположим, что Ali Express и Почта России независимы, то есть абсолютно независимо друг от друга теряют посылки и повреждают их содержимое. И считают среднестатистического клиента дерьмом. Ali Express – одним дерьмом, а Почта России – совершенно другим, но тоже дерьмом.

Тогда – внимание (!) – вероятность того, что вы получите от этих двух, плодотворно сотрудничающих, и в поте лица топчущих и швыряющих, вашу посылку в целости и сохранности, рассчитать несложно – это произведение вероятностей каждого из отдельных событий. То есть 0,3*0,5=0,15 или 15%.

Вот поэтому так выглядит подарок ребёнку на Новый год, заботливо доставленный Почтой России и Ali Express (см. Фото в заголовке и по тексту).

 

Итак: вероятность комбинации двух независимых событий равна произведению их вероятностей.

А к деду Морозу у меня одна просьба: пусть дети начальника Почты России (Николай Подгузов) и внуки Джека Ма (основатель AliExpress) получат к новому году самые лучшие, шикарные подарки. Но доставленные Почтой России;)

Да, именно так. Я злой и память у меня хорошая.

P.S. А вы удивляетесь, почему спутники падают? Посчитайте сами:  по формуле умножения вероятностей независимых событий. Умножаем: пьяный дядя Вася * рас…дяй дядя Федор * безграмотный энтузиаст Эдуард (но с горящими глазами) * начальник, назначенный по блату и т.д. = …. «Сложилось такое сочетание параметров стартового стола космодрома, азимутов полета ракеты-носителя и разгонного блока, которое не встречалось ранее»  и — закономерный результат.

Дополнение.

Что удивительно, некоторые из читателей, которые, вроде бы, по косвенным признакам, должны знать и уметь применять статистику, сделали типичную ошибку: посчитали два события: повреждение посылки поставщиком 1 (П1) и поставщиком 2 (П2) зависимыми событиями только на основании того, что доставка посылки происходит в два этапа: сначала её везёт П1, а потом – П2. Оказывается, даже такие простые вещи надо рассказывать на пальцах.

Поэтому дополняю детальным разъяснением логики данного случая ещё одним примером, состоящим из серии последовательных усложнений описания ситуации.

1.      У вас есть и стоят рядом две пушки, которые стреляют и попадают в мишень с вероятностью 0,5 и 0,3 соответственно. Какова вероятность того, что каждая сделает по одному выстрелу, и оба выстрела попадут в цель? В неважно какую цель, и неважно, насколько они её повредят.

Подробно про это в учебнике: http://bit.ly/2BX9kzL

Очевидно, вероятность события «двойное попадание» не меняется от того, какая пушка выстрелит первой, или даже если они выстрелят одновременно. Потому что события «попадание из первой пушки» и «попадание из второй пушки» независимы.

2.      Теперь добавляем, что всё то же самое, но мишень у них одна, она зеленого цвета с коричневыми полосками. Изменится от этого вероятность события двойного попадания? Если нет, переходим дальше.

3.      Теперь добавляем, что мишень движется. Изменится ли вероятность попадания?

4.      Теперь добавим, что мишень называется «посылка», а П1 – это Почта России. А П2 – AliExpress.

Ничего от этого не изменилось? Тогда вопросов оставаться не должно.

Если вам кажется, что где-то в логике есть ошибка, готов разъяснить ещё более подробно.

Внутренний контроль. Часть 5.

Внутренний контроль. Часть 5.

Итак, продолжаем про ядерную физику внутреннего контроля. Будем разлагать контрольные процедуры на составные части, как молекулы на атомы. Но сначала о том, зачем это надо.

Для чего нужна ядерная физика, понятно, — для того чтобы делать  атомные бомбы и электростанции. Хотя, лично для меня, при таком раскладе — лучше бы её и не было. Но вся проблема в том, что она (ядерная физика) есть, и идёт гонка вооружений – кто сделает бомбочку поэффективнее.

Так вот, во внутреннем контроле – то же самое. Он, внутренний контроль, есть — как факт – и без него невозможен не только ни один бизнес, но и ни одно общество или цивилизация. И идёт точно такая же «гонка вооружений» — у кого более совершенный внутренний контроль – тот и победит в конкурентной борьбе.

А что значит «совершенный»? Это значит, что на единицу затрат будет производиться больше эффекта, в чём бы он не измерялся – в мегатоннах или тугриках.

А вообще — сколько тратится на внутренний контроль? В среднем, по больнице?

Если внутренний контроль организован как обычно – в основном ручной, с примитивными зачатками автоматизации – то примерно 30% от затрат на персонал. Затраты на персонал включают в себя не только зарплату, но и все остальные расходы, связанные с наличием человекообразного – стол, стул, роллтон на обед, корпоративчик по праздникам, страховки, налоги.  Грубо говоря, умножьте ФОТ на 2,5 и от получившегося результата возьмите 30%. Это ж бешеные деньги!

Вот столько обычная компания тратит на внутренний контроль. В среднем. А в конкретно взятой организации, может быть и все 50%. Не верите – посчитайте сами.     Каждый сотрудник тратит своё время на выполнение внутренних контрольных процедур. Есть те, которым приходится заниматься этим 100% времени, нпример – ревизоры и внутренние аудиторы, сотрудники СБ, охранники и архивисты. Другие тратят на ВК большую или меньшую часть часть своего рабочего времени – например, кладовщики.

Кстати, вот достойная задачка для внутреннего аудита — позволит оценить глубину той ж..ивотворящей силы внутреннего контроля, которая есть в отдельно взятой компании.

Итак, предположим, мы осознали, что внутренний контроль хорошо бы был с меньшими затратами и с лучшим качеством. И страстно возжелали того. Существует несколько способов исполнения этого желания.

Первый — «Чистка авгиевых конюшен».

В типичной компании внутренний контроль зарождается стихийно. Почти как жизнь по теориям средневековых учёных. Голландский учёный Ян Баптиста ван Гельмонт открыл способ получения мышей: открытый кувшин нужно набить грязными тряпками, добавить туда немного пшеницы и пыли, и тогда приблизительно через 3 недели появится мышь, «поскольку закваска, находившаяся в белье, проникает через пшеничную шелуху и превращает пшеницу в мышь». Так и внутренний контроль — он зарождается в организации от смутного ощущения руководства, что существуют ещё какие-то инструменты контроля, кроме матюгания вручную.

Но есть одна проблемка. Контрольные процедуры в такой организации появляются только по мере возникновения всяких побудительных обстоятельств. К примеру, упала плита на рабочего — сочиняем регламент: рабочим под плитой не стоять. Сгорел от окурка офис – пишем регламент: в офисе не курить. Украли 100500 млн. денег – бъёмся в истерике, и заводим программу по противодействию хищениям. Так живут большинство компаний — по принципу реагирования на инцидент и затыкания дыр.

Однако, написанные в приступах рефлексии регламенты и правила быстро забываются, как только рефлекс ослабевает и первые истерики стихнут. А тем временем, организация живёт дальше, бизнес-процессы в ней по ходу жизни изменяются, и регламенты начинают ссылаться на несуществующие подразделения и должности, противоречить друг другу и так далее. В результате, лет через 5 в компании (если она доживает до такого возраста) образуется гора забытых и полузабытых регламентов, которые никто не помнит, а если и знал, то забыл. В такой компании система внутреннего контроля обычно напоминает результаты труда неопохмелённого водопроводчика, как на рисунке.

Неопохмелённый сантехник 2

Естественно, что резко повысить эффективность такого внутреннего контроля можно, если провести «инвентаризацию» и повыкинуть все ненужные и неработающие контрольные процедуры. Если после этого что-то ещё останется, то можно заняться реконструкцией оставшихся КП. Или системным созданием СВК с нуля, но уже не стихийным образом.

Хозяйке на заметку: инвентаризация во внутреннем контроле – хорошее приложение силушки для внутренних аудиторов. И начальству понравится.

Второй способ — «как у людей» — берём и копируем контрольные процедуры у других организаций, чтобы было всё «как у людей». Выглядит это так: «Вась, а пришли мне регламент согласования договоров? Вот спасибочко! С меня причитается».

Берём, значит, чужой регламент, меняем в нём сроки, названия должностей и названия подразделений по вкусу, посыпаем блюдо сверху своими согласованиями – и готово.

Однако, есть одна проблема, кроме той, что (как обычно) забывают заменить название ООО «Ромашка» на ОАО «Транстрах» где-то на 8 странице. Чужие регламенты – это как чужая одежда. Кофточка тёти Моти может и подойти нам, но чаще всего – нет.

Не факт, что КП, вполне живенькая в другой компании, будет так же хороша у нас, с нашими бизнес-процессами, аппетитами к риску (или к воровству) менеджмента и так далее. Да у нас и нет в производстве никаких опасных веществ, кроме бумаги и чернил. А вот регламент хранения и утилизации опасных веществ утвердили. Как-то незаметили и до кучи ввели. Знакомо?

Третий – «танцы с бубном» — разработка СВК на основе оценки рисков.

Принцип «больше контрольных процедур, хороших и разных», который так любят внутренние аудиторы, приводит к тому же самому результату, как и употребление витаминов без меры – к аллергии.  У менеджмента возникает аллергия на внутренний контроль, которая практически неизлечима. При виде внутреннего аудитора такой  менеджер покрывается красными пятнами, начинает брызгать слюной и дергаться разными частями тела. Что не есть хорошо.

Поэтому контрольные процедуры должны разрабатываться и внедряться системно, но без фанатизма, во избежание передозировки и побочных эффектов.

И для этого ешё в незапамятные времена был предложен подход «от оценки рисков». То есть, по задумке, будем ставить контроли в тех точках процесса, где риски максимальны.

Идея отличная, но для этого надо сначала оценить, где в процессах какие риски и насколько они велики. К сожалению, в этом месте в спектакле происходит заминка. Артисты начинают произносить свои реплики невнятно и шепелявить. Прекрасная концепция — взять все процессы, оценить все риски, и затем выбрать из них самые существенные и уже туда навставлять КП – напоминает совет скульптора «взять глыбу мрамора и отсечь всё лишнее». Или совет совы (из известного анекдота) мышкам стать ёжиками.

Потому что всех рисков — слишком много. А ещё, потому что риски оценивать до сих пор никто не научился. Специализирующиеся на этом шаманы и шарлатаны разработали несколько типовых сценариев, как заговаривать зубы верующим (про оценку рисков). Об этом я уже писал здесь. И здесь. И здесь… и много где ещё.

Вкратце – ну, не можем мы просчитать риск от отсутствия огнетушителя на стене? А что случится, если этой контрольной процедуры (огнетушителя) не будет? Всё сгорит, не всё сгорит, или почти ничего не сгорит из-за отсутствия огнетушителя? А если огнетушитель будет, но персонал никогда не учили им пользоваться? Здесь влияют настолько много факторов, что учесть и оценить их все невозможно. А статистически оценивать такие риски нельзя. Все статистические построения на эту тему бессмысленны из-за уникальности каждого конкретного случая: что это за здание, из каких материалов построено, какое там количество горючих веществ и так далее. А статистика, напомню на всякий случай, изучает только однородные события.

Есть правда один способ определить точки в процессах, где надо ставить контрольные процедуры… Но об этом поговорим в следующий раз. Настало утро, и Шахерезада затыкает свой фонтан красноречия😊

Танцы с бубном: статистика в оценке рисков

Танцы с бубном: статистика в оценке рисков

Раз уж всем так понравилось про риск-менеджмент, вспомню одно из заседаний комитета по рискам одной компании. Докладывался очередной убойный проект менеджмента «как застраховать риски падения цены на продукцию». По всему выходило, что эта страховка будет стоить десятки миллионов. Не рублей. Причем дело происходило на уверенно растущем рынке и страховать риск падения цены, сами понимаете, было очень перспективно. Как обычно, для обоснования на «потратить» нужно оценить риски, для этого на заседание комитета был вызван риск-менеджер. Так сказать, покажи барину, чему тебя там учили.

Одернув сюртучок и откашлявшись, он начал свой танец с бубном. Приплясывая вокруг флип-чарта, изображая на нем замысловатые знаки — «формулы» и искоса поглядывая на почтенных вождей-старейшин (верят-не верят?). Сквозь монотонное бормотание отчетливо слышались вскрики «VaR», «Доверительный интервал», «Исторический ряд».

Судя по всему, сеанс черной магии, обряд доклад проходил успешно. На лицах присутствующих разлилось довольное и отсутствующее выражение, все расслабились. Каждый думал о прекрасном и вечном – кто о выпавшей пломбе, кто о предстоящем отпуске. Ничто не предвещало, как говорится.

Но и в самом приличном обществе всегда найдется один поганец, который возьмет и крикнет: «а король-то голый». Тем поганцем в этот раз был я. Мне почему-то захотелось проверить, насколько шаман понимает смысл танца, который танцует. И я задал вопрос. «Какой вид распределения Вы использовали при вычислении VAR?». Шаман замер на полуслове, потом, словно предчуствуя пакость, запинаясь, ответил: «Мы брали нормальное распределение». Понятно, что сеанс черной магии был сорван, директора стали постепенно возвращаться в реалити шоу.

Следующий вопрос, который я спросил, в приличном обществе риск-менеджеров спрашивать неприлично. Тем более это неприлично во время священного танца с бубном, который называется «Как мы оценили риск этого проекта». Вопрос был: «А на каком основании вы решили, что данное распределение является нормальным?». Риск-менеджер понял, что сегодня совсем не его день. Директора тоже закопошились в креслах, понимая, что что-то происходит, в чем они ни малейшего понимания не имеют, но как-то реагировать надо. Возник тот самый неловкий момент, как в сказке Андерсена.

К счастью, все обошлось, под руководством режиссера-генерального менеджера оркестр урезал марш, все быстренько проголосовали «за», а нерадивому риск-менеджеру погрозили пальцем – чтобы «тщатильнее» готовился.

А теперь о том полезном, что можно вынести из этой истории. Некоторые риски можно оценивать статистически, но делать это нужно крайне аккуратно. По крайней мере понимая, что делаешь.

Итак, предположим, событие риска уже происходило достаточно большое количество раз. Оно было вызвано факторами, которые нам неизвестны и, в данном случае, нас не интересуют.

У нас нет оснований предполагать, что действующие факторы риска как-то существенно изменились или изменятся, то есть мы предполагаем, что они сохраняются и будут оставаться такими в обозримом будущем.

Собираем статистику, задаем доверительный интервал, и, зная вид распределения случайной величины, подсчитываем вероятность события риска.

Какие типичные ошибки делает риск-менеджер:

  1. События, на которых мы строим статистические выводы, неоднородны по своей природе. Статистика пожаров на АЗС ничего нам не скажет о вероятности пожара на данной конкретной АЗС, поскольку каждая АЗС может иметь свой уровень технического оснащения и защиты от пожаров. Поэтому средняя температура по больнице ничего не скажет о состоянии конкретного пациента.
  2. Мы исходим из предположения, что знаем о всех событиях риска, которые произошли (например, о всех сделках с данным активом на рынке). Так ли это? Вопрос для изучения. Например, в этом году мы раскрыли на три кражи больше, чем в прошлом. А сколько их было всего? Мы не знаем, ведь неизвестно, сколько краж осталось нам неизвестными. И тогда на три больше – это что? Мы стали лучше ловить или стали больше воровать?
  3. Мы уверены, что факторы риска остались те же самые, их влияние не изменилось. Простите, с какого перепугу? В реальной жизни, как мы видим, факторы риска меняются очень сильно и прогнозы, построенные на исторических данных, обычно попадают пальцем в небо. У меня сохранился отчет Макензи 2005 года с прогнозом цен на уголь на ближайшее десятилетие, за который было плачено несколько сотен тысяч не рублей. Обхохочешься.
  4. Связь между изучаемым фактором и событием риска может вообще отсутствовать. Существует ли связь между ростом человека и его склонностью совершать преступления?

Мы измеряем рост подозреваемого (пусть он будет 170 см), а затем собираем статистику о росте всех преступников, которые когда-либо совершали преступления. Оказывается, что в среднем рост преступника 164 см (условно). Принимая, что распределение роста людей подчиняется нормальному распределению (а это действительно так), вычисляем, что вероятность того, что наш подозреваемый окажется преступником, равна 0,78 (условно).

Идиотизм подобных вычислений понятен всем. Но замените сантиметры на стоимость пакета акций, добавьте в нужной пропорции слова «деривативы» «маркет-мейкеры» и прочие специи по вкусу – и вот вы уже серьезный риск-менеджер. Мне случалось не раз слушать таких на советах директоров и комитетах.

Вот что надо знать перед тем, как применять статистику для оценки рисков. Но это еще не все…

Про оценку рисков: легким движением руки….

Про оценку рисков: легким движением руки….

Оценка рисков — это не более чем попытка предсказать будущее или выявить скрытый факт на основании использования ранее накопленного опыта. Как и во все времена, на предсказаниях кормилось и кормится куча всяких шарлатанов. Вещай, что хочешь (точнее, что хотят от тебя услышать) — а там, глядишь — или шах, или ишак сдохнет. Не сдохнет — так объясним им популярно, что Луна в третьем доме неудачно сложилась с девиацией VAR в неэвклидовом пространстве. В общем, бизнес прибыльный и непыльный.

Но всё же. Давайте попробуем рассмотреть проблему оценки рисков без всякой черной магии. Как говорил господин артист, фокусы будут непременно с разоблачениями.

Можно выделить несколько уровней осознания накопленного опыта  и применения в целях предсказания того, что будет.

Уровень 0. Метод одинокого эксперта, не отягощенного знаниями. Почесал в затылке, и оценил риск зелененьким, желтеньким или красненьким. Почему — никто не знает. Его экспертное суждение, понимаете ли. Называется «метод семафора». По точности оценки риска это примерно то же, что метод блондинки, оценивающей вероятность встретить тигра на улице как 50/50 — то ли встречу, то ли нет. Замечательно то, что оценка риска может меняться радикально с приходом нового эксперта. Используется при подготовке отчетов для совета директоров и всяких регуляторов. Не вздумайте повторять этот трюк в домашних условиях и реальной жизни.

Уровень 1. Мы периодически наблюдаем некоторое явление, например, то, что при наступлении весны снег тает. Или при переходе улице в неположенном месте человек попадает под машину. Из этого мы делаем индуктивный вывод о том, что в  следующий раз, когда наступит весна, снег в конце концов растает. Мы предсказываем, что в будущем весной снег растает.

Другой пример: Мы наблюдаем, что машины «Мерседес» угоняют чаще, чем автомобиль «Москвич». Исходя из общего количества автомашин определённо марки и количества угнанных из них мы делаем вывод, что вероятность угона нашей машины «Москвич» — такая-то.

Особенность метода: нас не интересуют причины, по которым снег тает или угоняемость конкретной марки выше или ниже. Мы не анализируем причины — мы просто отмечаем частоту явления и пытаемся использовать статистику для оценки величины риска того, что в следующий раз это явление наступит или не наступит.

Точность метода хорошая, одна беда — применяться статистика может только к случайным событиям, то есть очень однотипным, и имеющим значительное число повторений. Рассчитывать риск пожара на АЗС таким методом не рекомендуется — все заправки разные по оснащению, расположению, обученности персонала и т.д. А вот в страховании и кредитовании статистика применяется. Правда, не всегда грамотно (см. уровень 2)

Уровень 2. Нередко мы натыкаемся на ограничения использования методики оценки риска уровня 1. Они связаны прежде всего с тем, что частота и другие характеристики изучаемого явления могут со временем изменяться. Мерседес, понимаешь, в этом году перестал пользоваться популярностью у угонщиков. И вся наша история наблюдений и статистика на её основе,  приводит нас к ошибкам. Особенно это правильно в отношении курса акций на фондовом рынке. Попытки статистически предсказать поведение рынка привели к краху многие крупные компании, а кое-кто утверждает, что они вообще спровоцировали последний финансовый кризис 2008 года.

Что делать в этом случае? Переходим к поиску конкретных причин явления, которое нас интересует. Пытаемся найти причины (факторы), непосредственно вызывающие изменение частоты явления (величины риска), и рассчитывать риск, основываясь на значении этих определяющих риск факторов. Имея достаточно большое количество наблюдений, мы можем попытаться посчитать корреляцию (зависимость) между риском и его предполагаемым фактором. Или использовать другие математические модели, отражающие зависимость изучаемого явления от изменений факторов. При этом одна из возможных ошибок аналитика — увидеть связь между явлениями там, где её нет только на основе корреляции. Например, все, кто ел огурцы, умерли. Корреляция между фактом смерти, и фактом поедания огурцов — 1,0. Но это не говорит о том, что огурец — смертельно ядовитый овощ.  Не смейтесь, аналитики часто выводят зависимости на основе корреляции. И потчуют ими, как огурцами, почтеннейшую публику.

Уровень 3. Но иногда мы и при применении этого метода наталкиваемся на ограничения. Например, когда у событие случается настолько редко в сопоставимых условиях, что у нас просто нет достаточного количества наблюдений для расчёта корреляции и величины риска методами математической статистики и теории вероятности. Тот же пожар на АЗС не настолько частое явление, чтобы применять статистику.

Но мы и здесь не сдаемся! Если у нас есть большое количество действующих факторов риска, то надо их выявить, определить — хотя бы приблизительно силу влияния каждого из них на конечное событие, и подсчитать их совместную силу воздействия, и понять, произойдёт ли событие риска.

И тогда мы выдвигаем две версии (рванёт-не рванёт), производим сбор и анализ информации о действующих факторах, оцениваем их соответствие каждой из гипотез и выбираем ту из них, которая в наибольшей степени подтверждается имеющимися фактами. Потом говорим, что с определенной степенью риска рванёт. Или нет. Да это, в конце концов, и не важно.

А важно то, что вы, наверное, и не заметили, как легким движением руки я превратил оценку рисков в типичный цикл интеллидженс. Конечно, и гипотез может быть не две, а побольше, и методы оценки действующих факторов используются свои. Но когда меня спрашивают, как я оцениваю риски — отвечаю, что оценка рисков — это не более чем интеллидженс.

Зигмунд Фрейд и этика бизнеса

Зигмунд Фрейд и этика бизнеса

Основатель психоанализа  утверждал, что все наши проблемы — родом из детства.

То же самое могу сказать про бизнес. Да вы и сами, наверное, не раз останавливались в какой-нибудь бывшей совковой гостинице, которая сейчас гордо называется словом Hotel. Наверное, действительно хотэли как лучше. Но что бы ни делали, какие бы евроремонты не проводили, как бы не меняли персонал, совок всё равно прёт из каждой щели — криво приделанные краны, отваливающиеся панели, качество еды в буфете, хамоватость и ненавязчивость сервиса — на каждом шагу живо видишь, что и как тут было до Хотел. Казалось бы, прошло 30 лет, сменился весь персонал, а совок в этом заведении как Ленин — живее всех живых.

И с крупными компаниями, со столпами, так сказать, то же самое. Некоторые ничем особенным не прославились, работают себе, живут помаленьку. Другие — то и дело попадают в громкие коррупционные скандалы. Только из одного выбрались, в прессе полоскать перестали — а тут новый на подходе. И отчего они такие невезучие? Вроде всё как у людей, евроремонт сделали (комплайенс завели), риск менеджеры, внутренние аудиторы, советы директоров независимые — а не берёт. Как говорил классик «точно по формуле СНСОСН плюс метилхлотилгидрат на пару — не помогает. И, что особенно противно, названия у них одинаковые«. И не помогает даже рекомендация классика: «Тщательней надо, ребята. Общим видом овладели, теперь подробности не надо пропускать«.

Рекомендация тщательнее — не помогает. И сейчас объясню, почему.

Когда эта сегодня большая и знаменитая компания была ещё совсем маленькой, а владеющие ей олигархи — молодыми ребятами в варёных джинсах, в те незапямятные 90-е, в какой-то момент времени хозяин дал отмашку на небольшой обман клиентов — с целью повышения показателей роста бизнеса. Как говорил Раскольников, если с каждой старушки по гривенничку, то с миллиона старушек — уже бонус получается. Клиент — он овца безмозглая, никуда не денется на монопольном рынке, помычит и утрётся, а милицию купим,  и будет всем счастье. Так они рассуждали. Знаю, потому что сам там работал.

Шли годы, те молодые шустрые становились менеджерами, потом топ-менеджерами, и нанимали и учили молодых практикантов (с горящими глазами). Только вот одна беда — учили они их тому, что умели сами. А кроме того, как обманывать клиентов, они научились также приворовывать у хозяина, сливать его доходы на свои карманные фирмочки, заключать коррупционные сделки для получения бонусов — то есть, вот такая корпоративная культура образовалась.

Те менеджеры давно уже наворовались и ушли на заслуженный отдых, барин давно в Париже (Лондоне) живёт, и хочет быть теперь красавицей, комсомолкой и спортсменкой в одном лице. Да вот только проблемы родом из детства не отпускают. Корпоративная культура в компании живёт и побеждает.  «Ну наймите, б-ть, самых крутых консультантов»  — кричит барин на менеджеров и топает ножками. Вваливается очередной миллион долларов во всяких советчиков, как жить правильно. А — не берёт… На пару — и всё равно не берёт…

Коррупционные скандалы продолжают вылазить отовсюду, как тараканы в старой совковой гостинице. И иногда думаю, глядя на всё это, что вывести их можно единственным способом — снеся этот хотель на фиг.

Это было наблюдение из личной корпоративной жизни. Оно про этику бизнеса и корпоративную культуру — зачем она нужна с детства.

З.Ы. А то ведь кажется — сейчас мы всё как изменим, и будет у нас не хуже, чем там. А не будет. В компании, условно, 15 тысяч человек работает. Они передают корпоративную культуру коррупции и мошенничества как эстафету — из поколения в поколение, и никто с этим уже ничего сделать не сможет. Любой, пришедший в такую компанию, быстро «сварится» в этом супе и станет не хуже других.

Вспоминаю, как один из моих аудиторов как-то признался:

— Эх, мне бы на должность директора по закупкам, на погодика.

— Маловато будет — полгодика-то, — говорю. Отвечает на полном серьёзе:

— Нет, хватит. Я всё рассчитал. 🙂