Я не экономист и не управленец. Но волею судьбы вынужден сейчас регулярно вращаться в их среде, и некоторые вещи меня безумно удивляют. Например, эта братия не может жить без священных мантр, которые регулярно меняются. Есть мантры узкоспециализированные, например, наши ИТ-шные «SOA», «облачные вычисления», «консолидация», «ERP», «CRM», «grid», «SaaS» и прочие. А есть и мантры универсальные, вроде «управление активами» или «риски».
Вот давайте поговорим сегодня о рисках. О рисках, их оценке, перечислению их, управлению ими говорят все – от политиков (которым на самом деле все равно, о чем говорить) до банкиров (когда о рисках говорят банкиры, это значит, что с деньгами уже стало плохо). Особенно о рисках любят говорить управленцы. В частности о том, что их надо снижать и ими надо управлять.
Я по образованию – инженер. Причем инженер военный. Не знаю, как в гражданских ВУЗах, но в моем ВУЗе были такие обязательные курсы – «Надежность программного обеспечения», его мне читал Ершов Дмитрий Вячеславович, который сейчас возглавляет учебный центр «Информзащиты», и курс «Надежность устройств», ныне покойного Осинского Леонида Михайловича. Так вот, если вспомнить, что «риск – это сочетание вероятности и последствий наступления неблагоприятного события», то теория надежности – это как раз наука о том, как уменьшать вероятность такого неблагоприятного события и его негативных последствий. И у этой науки, как у любой инженерной науки, есть свои законы. Один из таких законов – это то, что надежность не дается просто так, бесплатно. За повышение надежности платят – более дорогими материалами, весом, временем, и так далее. Причем платят по геометрической, а то по экспоненциальной шкале – каждая последующая степень надежности, каждая девятка после запятой дается все дороже и дороже!
Для инженеров все это очевидно. На бытовом уровне – тоже, но уже с оговорками. А вот на уровне управленцев – нет. Я видел десятки управленцев, которые призывают риски оценивать и снижать, но ни одного, кто бы сказал о том, что снижение рисков может стоить дороже, чем их последствия! Или что сам процесс управления рисками стоит денег и ресурсов, в том числе временных и административных! Все, буквально все поголовно считают, что управление рисками – это нечто такое, что обходится только в зарплату риск-менеджера или риск-аудитора. Никто из них никак не оценивает влияние этого процесса на ту среду, о рисках которой мы говорим, не соизмеряет стоимость и длительность такого воздействия и возможные последствия этого процесса.
А теперь – конкретный пример. Я уже знаю одну систему, на одном производственном предприятии, где выполнение рекомендаций по снижению рисков привели к остановке системы обработки информации. Система остановилась, а риск остался. Все произошедшее случилось потому, что мантры в головах управленцев полностью заменили собой способность думать. Так что моя единственное пожелание – думайте. И меньше слушайтесь управленцев.
Журнал Александра Костырко 