Pc Magazine Romania - Internet Business Meseria ta e riscul

AgoraNews

PC Magazine Ro

NET Report

Ginfo

agora ON line

PC Concrete

Liste de discuţii

Cartea de oaspeţi

Mesaje

Agora

Clic aici

Internet Business - PC Magazine Romania, Noiembrie 2001

Meseria ta e riscul

Dan Şerbănescu

"Numai cine nu riscă nu câştigă". Dincolo de aspectele pur anecdotice ale acestei aserţiuni, în lumea afacerilor, în general, şi a celor digitale, în special, riscul inerent la care este expusă o companie este o chestiune complexă, greu de evaluat sau anticipat şi a cărei rezolvare nu vine în nici un caz gratis.

Vom încerca, în cele ce urmează, să vă familiarizăm cu lumea deloc simplă a managementului riscului, concept relativ uşor de înţeles dar nu tocmai lesne de pus în practică. Desigur, abordarea care vă interesează în primul rând este cea legată de riscurile inerente ale afacerilor în medii digitale, însă acestea nu reprezintă decât un caz particular al riscurilor la care se expun, în general, companiile. Afacerile care sunt desfăşurate prin mijloace electronice au un anumit specific, pe care bineînţeles că îl vom trece în revistă, însă nu trebuie să uitaţi că, dincolo de prefixul "e", business-ul se ghidează după legi imuabile, valabile pentru orice companie. Iar necesitatea de a anticipa riscurile şi atenua pe cât posibil pierderile este o caracteristică axiomatică a oricărei afaceri şi este, de fapt, elementul central al "job description"-ului oricărui manager.

Probabil că aceia dintre dumneavoastră care au avut vreodată o funcţie de conducere au făcut - parafrazându-l uşor pe Moliere - "risk management" fără să aibă habar de asta. Fie că aţi elaborat un plan de afaceri, aţi încercat să optimizaţi un proces de afaceri, ori aţi cumpărat un program anti-virus sau, pur şi simplu, aţi respectat normele de protecţia muncii, ceea ce aţi făcut nu a fost altceva decât să reduceţi, eliminaţi sau măcar atenuaţi unul din lucrurile care v-ar fi putut afecta în rău activitatea. Altfel spus, un risc.

Însă, de la bun început, ar trebui precizat că nici o companie nu poate nici anticipa şi nici face faţă absolut tuturor riscurilor posibile şi, fără nici o intenţie de a fi cinici, evenimentele tragice ce au zguduit SUA la 11 septembrie reprezintă, fără doar şi poate, argumentul suprem în sprijinul acestei idei.

Într-o formă sau alta, orice companie, de la cel mai obscur SRL de provincie, la marile corporaţiii transnaţionale au aplicat una sau alta dintre tehnicile de management al riscului. Pentru a nu fi pur empirici, am încercat să aflăm de la specialişti cum stau mai exact lucrurile în lumea managementului riscului.

Vrei să fii miliardar?
Atunci câştigă cât mai mult, şi pierde cât mai puţin. La nivelurile cele mai de sus ale managementului şi în consiliile de administraţie se cunosc foarte bine argumentele în favoarea unei administrări eficiente a riscului. Cei care lucrează în astfel de medii petrec mult timp încercând să evalueze şi atenueze diverse elemente riscante pentru companii, de la slăbiciunile personalului de conducere, la cele ale produselor, problemele legate de remunerarea muncitorilor, sistemele de pensii, asigurările de sănătate sau problemele poluării mediului.

Într-o accepţiune larg acceptată, managementul riscurilor presupune patru procese inter-relaţionate:

Investigarea sistematică şi continuă a expunerilor la diverse riscuri sau pierderi,
Evaluarea naturii acestora, a frecvenţei, gravităţii şi potenţialului impact,
Planificarea şi organizarea unor tehnici adecvate de control al riscurilor, care să minimizeze eficient pierderile,
Implementarea unor astfel de tehnici, atât intern, la nivel de departament şi la nivelurile de vârf ale managementului companiei, cât şi extern, în colaborare cu organizaţii specializate în controlul pierderilor, asiguratori şi alţi specialişti în domeniul administrării riscurilor.

Cel ce administrează riscul este în mare măsură planificatorul, promotorul şi coordonatorul proceselor descrise mai sus. Responsabilitatea pentru implementare rezidă la nivel departamental. Accidentele, rănirile, incendiile, furturile, defectele de fabricaţie ale produselor, violarea drepturilor angajaţilor şi poluarea mediului se petrec la diversele posturi de lucru din cadrul unei companii şi pot fi prevenite sau reduse cel mai bine la acel nivel. Însă asta nu se poate întâmpla eficient fără îndrumarea experţilor. Aşa că...

Sună un prieten
Pentru prestigioasa firmă de audit Ernst & Young, managementul riscului face parte din activitatea de zi cu zi, compania având un larg portofoliu de clienţi cărora le oferă servicii de acest gen. Pentru evaluarea riscurilor, Ernst & Young foloseşte un complex de instrumente de evaluare, după cum ne-a explicat Gabriel Apostu, Manager Business Advisory Services la Ernst & Young România.

Ceea ce-şi propun specialiştii Ernst & Young nu este să elimine complet riscurile, ci să atenueze efectele acestora (mittigate the risk). Scopul principal al acestei abordări este acela de a crea un cadru cât mai eficient pentru identificarea, măsurarea, administrarea şi controlul riscurilor la nivelul întregii organizaţii. Pentru realizarea acestui deziderat, metodologia Ernst & Young presupune mai multe etape-cheie, care se desfăşoară în condiţiile unei colaborări directe cu clienţii şi a studierii la faţa locului a afacerilor acestora.
Într-o primă etapă, clienţii sunt ajutaţi să identifice şi să înţeleagă natura exactă a riscurilor cu care se confruntă afacerea lor. Apoi, ei sunt încurajaţi să-şi definească aşa-numita toleranţă la risc a organizaţiei respective, adică nivelul până la care eventualele pierderi pot ajunge fără să pună sub semnul întrebării obiectivele de business. Odată stabilite aceste lucruri, sunt apoi căutate metode şi sisteme de măsurare cât mai precisă a riscurilor şi căile de monitorizare a acestora. Etapa următoare este cea de punere sub control a incertitudinilor legate de bunul mers al afacerii, iar în final clienţii ajung să înţeleagă impactul pe care îl pot avea riscurile de natură catastrofică asupra activităţii companiei.

Ne-a intresat, în mod firesc, şi cum anume se realizează concret aceste etape. Unul dintre elementele-cheie este elaborarea unei aşa-numite hărţi a riscurilor, care este un grafic în care fiecare dintre riscurile identificate este reprezentat ca un punct definit de un sistem de coordonate probabilitate/impact. Practica Ernst & Young a arătat că toate aceste puncte tind să se concentreze în anumite distribuţii în cadrul graficului, ceea ce indică foarte elocvent clientului nu doar tipul de riscuri, ci şi probabilitatea ca acestea să se manifeste şi impactul previzibil pe care îl pot avea.

Alt instrument concret de analiză a riscurilor îl constituie o matrice în care, pentru fiecare dintre riscurile definite de client, specialiştii evaluează impactul respectivului risc asupra afacerii, probabilitatea ca acesta să survină la un moment dat, gradul în care compania este pregătită să-i facă faţă, dar şi responsabilităţile concrete, defalcate pe tipuri de activităţi şi persoane care răspund de aceste activităţi. Practic, odată completată, această matrice devine un plan cuprinzător de administrare a riscurilor, care stă la baza a ceea ce, în terminologia Ernst & Young, este cunoscut sub acronimul BCP (Business Continuity Planning).

Analiza este extrem de personalizată pentru fiecare client în parte, pentru că "acelaşi tip de riscuri poate avea efecte diferite în cadrul unor companii diferite", a ţinut să precizeze Apostu.

În ce măsură înţeleg managerii români necesitatea administrării eficiente a riscurilor? Pe baza experienţei sale, Apostu a precizat că în mediile de afaceri autohtone conceptul de risk management este înţeles corect de marea majoritate a personalului de conducere. Însă, în marea majoritate a cazurilor, administrarea eficientă a riscurilor nu este o prioritate pentru organizaţiile din România. El a subliniat că pentru risk management "nu există strategii cu costuri zero", identificând nealocarea de fonduri drept principalul motiv pentru care acest concept nu este implementat la modul foarte serios în România decât în cadrul reprezentanţelor locale ale marilor companii internaţionale în care există astfel de preocupări.

Tehnologia, bat-o vina
Potenţialele riscuri care vă interesează cel mai mult, ca cititor al acestei reviste, sunt desigur cele din domeniul sistemelor TI de care deja dispuneţi sau pe care intenţionaţi să le implementaţi. Ernst & Young a identificat principalele categorii de riscuri TI care presează în mod permanent companiile. Pentru fiecare caz în parte, soluţiile concrete depind de specificul companiei. Nu vă vom oferi deci reţete, însă vă propunem să meditaţi un pic dacă nu cumva vă aflaţi sau vă îndreptaţi spre vreuna din aceste situaţii.

Una dintre cele mai frecvente surse de risc este reprezentată de securitatea şi elementele de control inadecvate din cadrul sistemelor de administrare a resurselor întreprinderii (ERP). Dincolo de haosul organizaţional la nivel intern care poate apărea, în cazul companiilor cu o componentă Web, de regulă, aceste sisteme sunt direct legate de cele de administrare a relaţiilor cu clienţii şi cu furnizorii sau chiar cu siturile Web, caz în care expunerea la riscuri creşte exponenţial.

Situaţii potenţial periculoase pentru o companie pot deriva şi din încălcarea regulamentelor sau a contractelor, cu consecinţe legale foarte serioase, mergând de la plata de usturătoare amenzi sau penalităţi, până la infracţiuni de natură penală.

Un alt exemplu de situaţie riscantă este aceea în care procesele de business sunt inoperabile sau chiar lipsesc cu desăvârşire. Intens mediatizata criză a dot.com-urilor, care au eşuat masiv şi din astfel de cauze reprezintă un argument implacabil. Simpla construcţie a unui sit Web în spatele căruia nu se afla nici un sistem de producţie sau distribuţie a făcut ca multe dot.com-uri să se trezească faţă în faţă cu leopardul.

Nu puţine sunt şi cazurile în care pur şi simplu nu există cunoştinţe suficiente pentru luarea deciziilor sau lansarea de investigaţii. Altfel spus, nici nu ştiţi ce pierdeţi. Şi asta derivă în mod direct din capabilităţile inadecvate de monitorizare a riscurilor TI.

O altă situaţie frecvent întâlnită este aceea în care au loc schimbări non-administrate în cadrul infrastructurii TI a companiilor. Instalarea de produse software sau de ehipamente hardware poate, în cazul unei configurări defectuoase voluntare sau nu, să producă breşe de securitate în infrastructura informatică a companiei, ceea ce lasă calea deschisă pentru o altă gamă de riscuri, reprezentată de accesările neautorizate ale sistemelor. Statistic, s-a dovedit că astfel de accesări neautorizate se produc cu precădere în interiorul organizaţiilor, însă factorii de risc pot fi şi externi, în cazul infestării sistemelor de către viruşi, cai troieni sau viermi.

Defectele pot fi şi de natură structurală, în organizaţii unde nu au fost puse la punct politici sau infrastructuri de securitate ineficiente.

Deloc de neglijat este şi escaladarea costurilor TI, care face ca bugetele pur şi simplu să nu ajungă pentru implementarea unor politici anti-risc eficiente - lucru din păcate frecvent întâlnit şi în România. Calitate slabă a serviciilor oferite de o companie poate împinge clienţii către siturile concurente, cu efect direct asupra veniturilor, ceea ce poate chiar bloca întregul proces de business. Astfel de riscuri derivă şi dintr-o implementare inadecvată a strategiei de eCommerce, rezultat fie al ignorării unor etape, fie al unui plan de afaceri utopic sau dificultăţilor de înţelegere a modelului de afaceri tipice mediilor digitale.

În sfârşit, o altă categorie de riscuri TI le include pe acelea definite în mod specific de client.

Incertitudinea ca avantaj competitiv
În cele ce urmează vom arunca o privire mai atentă la una dintre soluţiile operaţionale de risk management, disponibilă şi pe piaţa românească.

De curând, a fost lansat situl www.optimsoftware.ro, operat de compania românească Business Optimization Software (BOS), care oferă instrumente complexe destinate evaluării riscurilor legate de modelul de business al unei companii.

Mai precis, este vorba de o suită de aplicaţii - Decision Tools Suite, de la Palisade Europe - care vă transformă Excel-ul într-un puternic instrument de analiză a riscurilor şi de asistenţă în luarea deciziilor strategice sau operaţionale în orice departament al firmei, de la vânzări şi marketing, la logistică sau financiar-contabilitate. Soluţia se pretează la orice industrie, indiferent de obiectul de activitate sau de dimensiunea afacerii.

Instrumentul de bază al suitei, @RISK, oferă o mare putere de calcul folosind simularea Monte Carlo, care este o tehnică matematică pentru rezolvarea numerică a ecuaţiilor diferenţiale, folosită pe scară largă în domeniul financiar, atunci când este nevoie de calculul unei distribuţii probabilistice. Cu această tehnică, pot fi rulate în acelaşi timp toate scenariile posibile ale unei situaţii de pe piaţă (spre exemplu evoluţia unui produs nou lansat, luându-se în calcul şi intrările pe piaţă, la momente diferite, a unor competitori).

@RISK poate fi învăţat în doar câteva zile iar cunoştinţele de Excel sau Lotus 1-2-3 necesare implică lucrul cu funcţiile IF, AND, OR, LOOKUP şi noţiuni elementare de statistică. BOS oferă în acest sens programe de training pentru utilizatori şi de consultanţă în modelarea riscului şi optimizarea decizională pentru industrii precum cea a bunurilor de larg consum, asigurări, banking, farmaceutică, etc.

În general, aplicaţia este folosită pentru rularea de simulări ale unor evoluţii din domeniul financiar, însă se pot calcula inclusiv scenarii de război. De aceea, pentru cineva interesat, să spunem, de probabilitatea ca un anumit sit web să cadă pradă atacului simultan al mai multor hackeri la un anumit moment şi în anumite condiţii, ori doreşte să analizeze anumite vulnerabilităţi ale unei reţele, poate aplica simularea Monte Carlo pentru scenarii bazate nu pe variabile financiare, ci pe diverse enunţuri.

În afară de @RISK, Decision Tool Suite include PrecisionTree, TopRank, BestFit şi RISKView.

RISKview este programul-asistent pentru vizualizarea, evaluarea şi crearea distribuţiilor de probabilităţi. RISKview poate calcula, de asemenea, şi distribuţia care se potriveşte cel mai bine cu o curbă trasată de dumneavoastră şi asta pentru 37 de tipuri de distribuţii. RISKview 4.0 oferă grafice mai detaliate, cu posibilitatea delimitării prin slidere a unui grafic şi afişarea de grafice suprapuse.

TopRank (Standard sau Professional) este un add-in pentru Excel care poate face analize de tip "ce-ar fi dacă...". Pentru orice foaie de calcul, TopRank determină automat care celulă afectează cel mai mult rezultatele şi le poate afişa în ordinea importanţei. Rezultatele pot fi afişate ca grafice de tip Tornado sau pot fi incluse într-un raport statistic complet.

PrecisionTree (Standard sau Professional) este un add-in pentru Excel care permite analize pentru suportul deciziilor. Se pot crea diagrame de influenţă, care indică relaţiile dintre mai multe componente ale problemei analizate şi se pot face apoi arbori de decizie, care să modeleze secvenţial evoluţiile posibile ale problemei. Rezultatele includ un raport statistic complet şi grafice ale profilurilor de risc, iar varianta Pro oferă şi grafice cu sugestii de posibile politici sau strategii regionale.

Configurarea unei foi de calcul tabelar pentru analiza riscului

1) Dezvoltaţi un model
Primul pas în utilizarea @RISK îl reprezintă dezvoltarea unui model care să definească problema sau situaţia reală cu care se confruntă compania, transpusă în formatul unei foi de calcul tabelar Excel. Scopul principal este acela de a putea analiza respectiva problemă din toate punctele de vedere posibile. De menţionat că @RISK suportă, pe lângă input-urile uzuale, cum ar fi cele privind veniturile sau costurile, şi alte elemente care pot avea un impact decisiv asupra evoluţiilor viitoare. Câteva exemple: impactul competiţiei, evoluţia inflaţiei, reglementări guvernamentale, condiţii meteo defavorabile, dar şi orice alte elemente care ar putea afecta o companie. Nu trebuie uitat însă că acurateţea modelului (input-ul) ce urmează a fi supus simulării are o directă reflectare în acurateţea rezultatelor (output-ul).
Chiar dacă nu aţi mai făcut niciodată o astfel de simulare, aveţi posibilitatea de a folosi exemplele care vin "la pachet" cu aplicaţia, pe care le puteţi studia şi apoi modifica în conformitate cu necesităţile şi specificul concret al simulării pe care doriţi să o faceţi. Zilele în care doar experţii capabili să folosească matematici avansate erau în măsură să definească riscurile inerente oricărei afaceri au cam apus.

2) Definiţi elementele variabile
Unele elemente incluse în foaia de calcul a simulării pe care o pregătiţi vor fi întotdeauna incerte. Toate valorile posibile pentru aceste variabile vor trebui luate în calcul pentru ca rezultatele simulării să aibă relevanţă. Acest lucru este posibil graţie funcţiilor de distribuţie a probabilităţilor (Probability Distributions Functions - PDF), care descriu gama de valori posibile pentru o variabilă şi probabilităţile asociate cu aceste valori. Însă în cazul în care, spre exemplu, istoria recentă a vânzărilor indică alte modele decât Normal Distribution - care este oferit implicit de @RISK - se pot folosi drept input acele PDF.

3) Selectaţi ce anume vreţi să aflaţi
Orice model va avea unul sau mai multe rezultate, al căror grad de probabilitate doriţi să îl aflaţi. Care este gama posibilelor rezultate ce ar putea apărea? Ce şanse sunt ca un anumit rezultat să apară? Astfel de întrebări sunt, de regulă, cele la care doriţi un răspuns prin intermediul analizei riscurilor. Rezultatele acestor modele sunt considerate drept "output" de către @RISK, care plasează o funcţie specială - RiskOutput - în formula celulelor care conţin rezultatele.

4) Rulaţi o simulare
@RISK foloseşte o tehnică de simulare numită Monte Carlo pentru a determina gama posibilităţilor rezultate pe baza modelului definit. Prin simulare, modelul este calculat în mod repetat, @RISK folosind de fiecare dată un set diferit de posibile valori ale variabilelor din input. De fapt, calculatorul încearcă toate combinaţiile valide ale variabilelor din input pentru a simula toate efectele posibile. Este ca şi cum am rula sute sau mii de analize de tip "ce-ar fi dacă..." în foaia de calcul, schimbând toate variabilele din input în acelaşi timp, pentru fiecare iteraţie.

5) Evaluaţi rezultatele
@RISK generează o distribuţie a posibilelor efecte pe care le poate avea un model şi indică probabilitatea ca fiecare dintre aceste efecte să apară. Gama de probabilităţi care apare în urma simulării Monte Carlo este posibil să fie diferită şi mai corectă decât rezultatele unor analize tradiţionale, de tip "cel mai rău caz - cel mai bun caz". Cu Monte Carlo nu sunt comparate rezultate dezirabile cu rezultate indezirabile, ci sunt evidenţiate acele rezultate care sunt mai probabile decât celelalte şi care ar trebui să capete o pondere mai însemnată în cadrul evaluării.

Procesul este mult mai uşor de înţeles, pentru că distribuţia probabilităţilor este un grafic care poate fi reprezentat într-o manieră intuitivă şi care oferă o imagine foarte clară a probabilităţilor de a obţine un anumit rezultat.