суббота, 11 января 2020 г.

Почему управление рисками оказалось в такой плачевной ситуации?

Бритва Хэнлона говорит нам, что не надо приписывать злому умыслу то, что можно объяснить глупостью. Я дополню эту мудрость: "Не надо приписывать злому умыслу или глупости то, что можно объяснить умеренно рациональным поведением людей, которые пытаются получить предлагаемые им вознаграждения в системах со сложными взаимодействиями". Люди, которые действуют без централизованной координации в своих интересах, могут создать ситуацию, которая со стороны будет выглядеть в точности как заговор или преступная неосмотрительность. И это ровно то, что произошло в области управления рисками.

Когда я много лет назад работал в консалтинге, то замечал у некоторых моих руководителей тенденцию ценить "слайдовое мышление". Они предпочитали думать о слайдах как о поэзии, даже если в этих слайдах и содержался смутный проблеск содержания. И когда слайды с отчетными презентациями попадали на стол к таким руководителям, то графика в них подвергалась обработке, и из слайдов исчезал всяческий смысл. А во многих проектах по консалтингу слайды и доклад по ним были единственным результатом, который получал заказчик.
Я, вместе с другими младшими консультантами шутил, что наш процесс представляет собой генератор случайных результатов (ГСР), потому что предмет презентаций значил куда меньше, чем правильная комбинация клевой графики и модных словечек. К счастью, в Куперс (агентство, в котором я работал) были здравомыслящие руководители и партнеры, которые не позволяли ГСР работать совсем уж бесконтрольно. Что меня тогда удивляло, так это то, что результаты работы ГСР удовлетворяли клиентов. Похоже, что имена "большой консалтерской восьмерки" делали клиентов менее критично настроенными. Но в бизнес-модели консалтинга была проблема.
Традиционно управленческим консалтингом занимались опытные руководители, закончившие MBA, обычно из лучших школ страны. Но приходил новый тип управленческого консалтинга, который был связан с внедрением ИТ-систем. Его предвестниками были Джеймс Мартин, Майк Хаммер и Том Питерс. И в такого рода консалтинге далеко не все консультанты имели опыт управления. Иногда это были разработчики программного обеспечения и проектные менеджеры, которые пытались с разной степенью успешности решить проблемы клиентов с помощью информационных технологий. Но инноваторы навроде Джеймса Мартина дали большой консалтерской восьмерке еще более важную идею. Они не просто сказали, что больше не обязательно быть опытным руководителем, чтобы заниматься управленческим консалтингом, они пошли дальше.
Разработка софта под заказ может быть рискованной, проект может зайти не туда, после внедрения работа может не ускориться, а наоборот, замедлиться, программа может неправильно посчитать важные показатели или параметры, и все это каким-то образом повредит клиенту. И тогда консультанты придумали новый способ заниматься мутной темой ИТ-консалтинга - списывать кучу человеко-часов по хорошим ставкам на длительный срок, но безо всяких рисков, связанных с обязательствами, которые влечет за собой разработка софта. Идея была простой - люди просто должны заниматься разработкой методологий. Вместо того, чтобы сажать людей писать код, их сажали писать почти такие же детальные инструкции по тому как, скажем, управлять проектами разработки программного обеспечения. Методологии точно также, как софт можно лицензировать и продавать лицензии, можно обучать людей их использованию, и они точно также как и софт требовали долгосрочной поддержки со стороны вендора.
Большая консалтерская восьмерка знала, что они могут продавать методологии. Такая модель ведения бизнеса снимала их ключевое ограничение. Если мы не можем размножить нескольких суперзвезд консалтинга, то мы точно можем задокументировать "структурированную методологию" и погнать армию консультантов средней руки внедрять ее, думали они. Это идеальная ситуация для консалтинговой фирмы - ты загоняешь клиенту несколько десятков джуниоров по хорошей дневной ставке и прикрываешь всю эту лавочку громким именем большой восьмерки. И входным билетом в такую тему как раз и послужили "методологии обеспечения согласованности бизнеса и ИТ".
И в результате из четырех сосуществующих школ управления рисками:
1. Актуариев (управляют рисками банковских кредитов и страховок)
2. Военных аналитиков (см. фильм "Игры разума", исследование операций, расчеты ядерной бомбы и реакторов)
3. Экономистов (портфельный менеджмент и опционы, Марковиц, Блэк-Шолс) и
4. Управленческих консультантов

именно подходы управленческого консалтинга восторжествовали. Ведь консультанты  лучше всех умели продавать свои услуги, они лучше всех зарабатывали деньги, советуя другим, и в результате у них оказались все необходимые ресурсы для захвата рынка.
И здесь сыграла механика бизнес-модели консалтинговой фирмы. Ключевая вещь, которой подчиняется вся логика действий консалтинга - это количество часов и ставка отдельного консультанта. Чтобы фирма могла зарабатывать, надо продавать много часов многих консультантов, у которых не самые блестящие резюме. Остальные расходы надо сводить к минимуму. В результате такого отбора естественным образом сформировался набор стратегий по продаже чего угодно.

Как продавать змеиное масло
1. Продайте FUD (fear, uncertainty and doubt), страх, неопределенность и сомнения. FUD позволяет продавать все, но особенно он полезен при продаже управления рисками. Все продажники повторяют мантру "продажа совершается на эмоциях", а FUD прекрасно вызывает эмоции. Ключевая техника продажи - это обсуждение самого ужасающего несчастья, которое только бывало в истории человечества. Аудитория подумает, что она что-то поняла из рассказа, даже если он вообще никак не применим к бизнесу клиента.
2. Продайте "структурированный" подход. Я уже говорил, что астрология тоже хорошо структурирована, что не делает ее научно обоснованной. Но структура и куча рабочих продуктов методологии позволяет обосновать длительные работы для множества людей. Если у вас есть структура, то вы можете продать неделю, две и даже год консалтинга по очень хорошим ставкам. Эти рабочие продукты сами по себе уже приобретают ценность в глазах клиента вне зависимости от того, имеет ли метод хоть какую-то научно доказанную пользу. Клиент может воспринять любой управленческий консалтинг как что-то малозначимое, потому что не до конца понимает, а что же они хочет получить и что получит в конце проекта. Зато если у консультанта есть структурированный подход, то у клиента будет хотя бы какое-то представление о конечном результате. Кроме того, если у консультанта есть структурированный подход, то у клиента складывается ощущение, что консультант не новичок и уже делал подобные вещи. По факту, структурированная методология замещает опытного специалиста в команде консультантов. Кроме того, структурированная методология отличает большие компании от небольших, потому что обычно только у крупных фирм есть ресурсы и возможности детально проработать методологию.
3. Продавайте интуитивные подходы. Не надо заботиться о том, помогают ли предложенные меры и решения или нет. Чтобы консультант мог продать что-то, руководители должны суметь это что-то понять. Поэтому все научные штучки отметаются. Как и все остальные, консультанты строят системы убеждений, которые сами себя поддерживают и формируют догмы. Количественные методы, даже если их использование в конкретной ситуации полностью оправдано и приемлемо, часто отвергаются как избыточно сложные или оторванные от реальности. Кроме того, далеко не все консультанты могут применять количественные методы, поэтому формулы ограничивают масштабирование методологии, значит, они плохи для бизнеса, значит, они должны быть исключены.
4. Продавайте то, что кажется правильным. В случае управления рисками большинство клиентов не сможет отличить эффект плацебо от реальной пользы. А чтобы создать эффект плацебо, можно использовать несколько трюков:
- Надо все приводить к количественным показателям, даже если значения этих показателей считаются совершенно произвольно. Руководство лучше воспринимает числа. Назовите эти произвольные числа "очками" или "баллами", это напомнит им про отметки в школе или спортивные игры и позабавит.
- Если у вас есть одно свидетельство от одного человека, вы можете говорить, что ваш метод "проверен".
- Часто проводите "рабочие встречи с модератором", чтобы "добиться взаимопонимания".
- Постройте огромную матрицу, чтобы "сделать мэппинг" ваших процедур с представленными на рынке стандартами и процессами. Неважно, для чего будет использован этот "мэппинг", ваши усилия будут замечены.
- По желанию. Разработайте софт, который реализует методологию. Если какие-то вычисления производятся внутри черной коробочки, то все действо больше напоминает магию и, значит, стоит больших денег.
- По желанию. Если вы создали софт, то сгенерируйте красивую диаграмму - майндмэп или пузырьковую диаграмму, то ваш анализ приобретет дополнительный вес.

В итоге большинство популярных методологий управления рисками сейчас разработаны в полном отрыве от более сложных методов, которые используют актуарии, инженеры и финансовые аналитики. И несмотря на все недостатки этих сложных инженерных, финансовых и актуарных методов, методы управленческого консалтинга имеют наименьшее теоретическое и практическое обоснование. Даже самые проработанные версии этих методологий обычно сводятся к обычным балльным схемам. Элементы этих методологий под видом лучших практик пробились в другие стандарты: CobIT, PMBOK Guide, 800-30 NIST. Во всех этих стандартах используется балльная схема и нет даже упоминания о том, что в мире существуют нормальные количественные методы оценки рисков. ISO31000 хотя и упоминает, что есть количественные методы оценки рисков, не определяет, что это такое, что оставляет простор для толкований. Очевидно, что при прочих равных те, кто получает сертификацию по ISO31000, будут доказывать, что имеющаяся балльная модель оценки рисков и является той самой "количественной оценкой рисков".
Как следует из третьего пункта правил продаж змеиного масла, когда консультанты по управлению сталкиваются с более сложными методами, чем те, к которым они привыкли, они обычно объявляют их непрактичными, даже если у них нет никакого опыта работы с критикуемым методом. Однажды я показывал метод Монте-Карло для оценки инвестиций в ИТ-проекты группе интеграторов. Один из консультантов был соавтором книги по управлению инвестициями в ИТ и он раскритиковал меня со словами, что он никогда не видел, чтобы метод Монте-Карло успешно использовался для анализа ИТ-проектов. На что я ему ответил, что за последние 12 лет я 50 раз использовал метод Монте-Карло ровно для этого. Он стушевался и замолк до конца встречи. Как долго он убеждал других, что ММК нельзя применять на практике, без всякого опыта его использования? По словам окружающих, довольно долго. И это типичная ситуация для консалтинга. Довольно выгодно объявлять непрактичным метод, которым вы не владеете, пока кто-нибудь вас не поймает на слове.
Эта книга посвящена объяснению почему большинство сложных методов оценки рисков можно и нужно применять при принятии крупных решений и развенчиванию мифов о практичности применения балльных методов управления рисками, какими бы разумными и привлекательными эти методы не выглядели.

По моему мнению, шкала применимости методологий по управлению рисками выглядит так:
1. Лучшие методологии. Компания создает количественные модели для проведения имитационного моделирования. Входные данные для таких моделей проверяются с помощью подтвержденных статистических методов, когда обосновано, проводятся опытные измерения, анализируется уровень риска и прибыльность портфеля. Аналитики всегда скептично настроены по отношению к моделям, сверяют их с реальностью, продолжают улучшать модели рисков объективными показателями. По всей компании проводятся регулярные систематичные усилия по выявлению рисков.
2. Лучше среднего. Строятся количественные модели оценки рисков с использованием по крайней мере каких-то компонентов метода с доказанной эффективностью. Управление рисками покрывает все больше рисков.
3. Точка отсчета. Оценка рисков и определение стратегий реагирования производится на основании интуиции руководства. Никаких усилий по внедрению формальной системы управления рисками не производится.
4. Ниже среднего (почти бесполезно). Используются подробные балльные модели оценки рисков либо количественные методы применяются неправильно, но руководство не полагается на результаты таких количественных оценок рисков. По результатам не особо хуже варианта 3, за исключением того, что на все это тратятся ресурсы.
5. Худший вариант. Используются неэффективные методы, которые только добавляют ошибки, но руководство полагается на результаты этих оценок. Возможно, на управление рисками тратится куча сил, но нет никаких доказательств того, что полученные результаты лучше интуитивных догадок. Сложные методы хуже, чем отсутствие метода или использование неэффективного метода. Они приводят к тому, что принимаются ошибочные решения, которые в ином случае вообще бы не были приняты.

Замечу, что на этом спектре решений ничегонеделание оказывается не самым плохим вариантом. Оно находится посредине списка. Те, кто говорит, что "мы, по крайней мере, хоть что-то делаем" поступают гораздо хуже. Лучше ничего не делать в управлении рисками, чем применять балльные модели оценки рисков или недоказанные статистические методы и полагаться на результаты такой оценки.

The Failure of Risk Management: Why It’s Broken and How to Fix It Douglas W. Hubbard

Комментариев нет:

Отправить комментарий