Systems Thinking, Safetyand Risk Management.pdf Несколько недель назад я участвовал в конференции по защите фи-нансовых рынков в грозовые времена (Protecting Financial Markets in theAge of the Cloud). За круглым столом собралась группа (состоящая восновном из финансовых экспертов, с вкраплением подобных мне спе-циалистов по информационным технологиям), чтобы обсудить, как луч-ше регулировать финансовые рынки в нашем быстро меняющемся, тесновзаимосвязанном, сложном, компьютеризованном мире.Несколько участников отметили быстрый за последнее десятилетиерост объёмов и скоростей биржевых операций с ценными бумагами -high-frequency trading* ) - как пример происходящих процессов, грозящихувеличением волатильности и системных рисков на финансовых рын-ках. Они упоминали flash crash*, крах на Нью-Йоркской бирже 6 марта2010 г. как не совсем понятное событие, повторение которого может ли-УДК: 658.012.23СИСТЕМ НОЕ МЫШЛЕНИЕВ УПРА ВЛЕНИИ РИСКАМ ИИ БЕЗОПАС НОС ТЬЮИрвинг Владавски-Бергерhttp://blog.irvingwb.com/blog/2012/05/systems-thinkingsafety-and-risk-management.htmlФинансовые рынки рассматриваются как сложныесоциотехнические системы, требующие выхода за пределыаналитических методов управления.Ключевые слова: финансовые рынки, социотехническиесистемы, риски, безопасность.__________________* ) Здесь и далее термины, отмеченные звёздочкой * , подробно разъясняются статья-ми под такими же названиями в Википедии. - Прим. перев.шить финансовые рынки стабильности и общего доверия, необходимыхдля успешного функционирования. А один из участников круглого столавыразил убеждение, что в ближайшие годы произойдёт ещё один круп-ный кризис, подобный глобальному финансовому кризису 2008 г. (globalfinancial crisis *).Под конец круглого стола модератор попросил нас поразмышлять овозможных рычагах воздействия на финансовые системы с целью повы-шения их устойчивости и сопротивляемости новому кризису. Можно лисделать это мелкими, эволюционными мерами безопасности или необхо-димы крупные новые мероприятия? Может ли отрасль самостоятельноосуществить необходимые меры или потребуется серьёзное вмешатель-ство правительств?Есть ряд очень сложных и важных вопросов, на которые нет про-стых ответов. Обычно наши ответы отражают наше положение на шка-ле консервативно-либеральных ценностей. Моя личная точка зрениясформировалась благодаря интересу к сложным инженерным системам(engineering systems*), в частности, к системам, части которых связаныкомпьютерными сетями; в таких системах главную роль в их структуре ифункционировании играет программное обеспечение; кроме того, такиесистемы включают не только технику, но и людей, и информацию.Финансовые системы являются примером таких сложных инженер-ных систем. Поэтому я полагаю, что многие результаты исследований иразработок таких систем могут пролить свет и на то, как совершенство-вать управление финансовыми системами.В индустриальной экономике прошлого века мы научились строитьвесьма изощрённые физические объекты типа аэропланов, автомобилей,небоскрёбов и микропроцессоров. Мы постепенно повышали качество ибезопасность этих физических объектов, используя разнообразные инже-нерные методы. К числу таких методов относятся: иерархическая деком-позиция системы на отдельные функциональные модули и компоненты;максимально возможное повышение надёжности каждого из компонен-тов и функциональных модулей; использование чётко определённых про-цессов для сборки системы и обеспечения её работы; обширное модели-рование поведения компонентов, модулей и всей системы; непрерывныймониторинг качества и постоянные усовершенствования.Такой подход к проблемам качества и безопасности хорошо работаетприменительно к системам, относительно стабильным и детерминист-ским (deterministic *), будущее поведение которых можно рассчитать, по-скольку такая система всегда одинаково откликается на одно и то же вход-ное воздействие. Однако такой подход не срабатывает применительно ксложным системам, состоящим из множества взаимосвязанных и взаимо-действующих разнородных компонентов и замысловатых организаций.Такие системы, в результате многочисленных взаимодействий их разныхчастей, демонстрируют динамичное, непредсказуемое поведение.Большинство сложных, интенсивно компьютеризованных систем по-падают в эту категорию. В последние десятилетия компьютеризованныесистемы с мощным программным обеспечением постоянно использова-лись в проектировании сложных машин, включая самолёты и автомоби-ли. И сегодня всё более хитроумные интеллектуальные системы (smartsystems *) используются во всё большем числе различных отраслей,включая управление энергетикой, транспортом и планирование городов.Программируемые компьютеры позволяют нам проектировать систе-мы с практически неограниченными возможностями. Но в результате та-кие системы демонстрируют такой уровень сложности, который выходитза пределы нашей способности понять их и управлять ими. Сама гиб-кость программ означает, что все взаимодействия между разными компо-нентами невозможно спланировать, предвидеть или протестировать. Этоприводит к тому, что, даже если все компоненты высоко надёжны, могутпоявиться проблемы, если произойдёт редкое сочетание взаимодействий,нарушающее поведение и безопасность всей системы.Социотехнические (Socio-technical *) системы не только интенсивнокомпьютеризованы, но имеют в своём составе технику и людей. В такихсистемах действуют не только программные и аппаратурные комплексы,но и подсистемы с гораздо более сложным поведением - отдельные люди,учреждения и организации. Мы создаём всё больше таких социотехниче-ских систем в разных областях - здравоохранении, образовании, финан-сах и управлении обществом.Каковы возможности управления рисками, присущими проектирова-нию и использованию таких сложных, интенсивно компьютеризованных,социотехнических систем? Как эксплуатировать спроектированную намисистему, проявляющую непредвиденное и нежелательное поведение? Каксделать такие системы как можно более безопасными?Из того, что я знаю, лучшей работой на эту тему является книга НэнсиЛевесон (Nancy Leveson), профессора аэро- и астронавтики и инженер-ных систем Массачусетского технологического института. ПрофессорЛевесон - ведущий специалист в области техники безопасности в высо-косложных системах. Недавно вышла её новая книга Engineering a SaferWorld: Systems Thinking Applied to Safety * («Проектирование более безо-пасного мира: Применение системного мышления к проблемам безопас-ности»). В Предисловии она пишет:«Инженерный мир переживает техническую и технологическую ре-волюцию, в то время как базовые инженерные методы, применяемые впрактике надёжности и безопасности, такие как анализ дерева дефек-тов (fault tree analysis, FTA), анализ типов неисправностей и последствий(failure modes and effects analysis, FMEA), изменились очень мало. Редкиесистемы сейчас создаются без цифровых компонент, работающих совер-шенно иначе, чем заменённые ими чисто аналоговые схемы. К тому жесложность наших систем и среды, в которой они действуют, тоже чрез-вычайно изменилась. Старые методы безопасности, разработанные дляболее простого аналогового мира, утрачивают свою эффективность, по-скольку изменяются причины неполадок.Вот уже двадцать лет я наблюдаю, как инженеры в промышленностистараются применять старые методы к новым компьютеризованным си-стемам, тратя огромные усилия и добиваясь незначительных успехов.И это при том, что инженеры могли бы не сосредоточиваться только натехнических проблемах, а учитывали бы социальные, управленческие идаже политические факторы, когда требуется существенно сократить по-тери».Классические подходы к надёжности предполагают, что аварии про-исходят из-за поломок деталей, либо из-за человеческих ошибок. Поэто-му считается, что изготовление очень надёжных компонентов, внедрениенадёжных, устойчивых к неполадкам технологий и составление запасныхпланов действий на случаи аварий, позволят предотвращать несчастныеслучаи. Подобным же образом считается, что поощрение людей за без-опасное поведение и наказание за небезопасное уменьшает или значи-тельно сокращает число несчастных случаев. Все эти предположения неприменимы к сложным социотехническим системам.Например, в технике всегда считалось, что «безопасность возраста-ет при увеличении надёжности системы и её компонент. Если частисистемы не ломаются, то и аварии не происходят». Но, пишет Левен-сон, «…это не так. Безопасность и надёжность - это разные качества. Изодного не следует другое».Физическая или организационная сложная система может быть на-дёжной, но не безопасной. По мере нарастания сложности системы в нейвозникают и такие взаимодействия между её компонентами, которые непредусматриваются её проектом. Аварийные ситуации могут возникатьиз-за непредвиденных взаимодействий частей, каждая из которых рабо-тает в полном соответствии со своим назначением.С другой стороны, система может быть безопасной, несмотря на не-надёжность компонент, - если система соответствующим образом спро-ектирована и эксплуатируется. Это требует учитывать безопасность ужена стадии проектирования (at the design stage ⃰ ), а не надеяться на то, чтосистема будет безопасной, если надёжны все её элементы. Это потребуетмоделировать поведение системы в целом, отыскивая способы исключе-ния или сокращения числа небезопасных обстоятельств.В социотехнических системах обычно происходят сложные взаимо-действия между людьми и техникой. Мы во всё большей степени можемавтоматизировать в системе простые, часто повторяющиеся операции,предоставляя людям возможность сосредоточиться на решениях болеевысоких уровней, в том числе на действиях в исключительных случа-ях. Таким образом, люди совместно с автоматами осуществляют общееуправление системой. Такой подход обычно ведёт к значительному по-вышению производительности и качества. Однако это также может при-водить к непредвиденным случаям нового типа, которые возникают из-заошибок оператора.В то время как надёжный механизм всегда выполняет одинаковым об-разом предназначенную ему функцию, люди действуют иначе. На делеоднозначно определённые функции автоматизируются, а людям остав-ляются те операции, которые требуют суждений. Они должны собиратьдоступную информацию, оценивать природное и социальное окружениеи выбирать наилучшее решение. При этом они обычно не просто следу-ют строго определённым процедурам, а действуют так, как считают нуж-ным. И если принятое решение привело к аварии, его считают ошибкойоператора, поскольку не было соблюдено определённое правило.Левесон доказывает, что более внимательное рассмотрение многихаварий, виной в которых считались ошибки оператора, неизменно об-наруживало влияние других факторов. Часто очень трудно отделить по-грешность проекта от ошибки оператора, особенно в высокоавтоматизи-рованных системах, где поведение оператора сильно зависит от проектасистемы и рабочих процедур. Более того, руководства и инструкции ксистеме не содержат информацию, необходимую оператору для срочногоэффективного выхода из возникшей опасной ситуации.Недавно развёрнутые исследования сложных инженерных систем на-целены на оказание помощи в создании более производительных и болеебезопасных систем. Я считаю, что именно такие исследования необходи-мы и для повышения эффективности управления рисками в наших всёболее сложных финансовых системах. Чем глубже мы поймём причинысистемных финансовых нестабильностей, тем лучше мы сможем разра-ботать предупредительные меры против возможного нового кризиса.Комментарий Хэнка Беннета: Ирвинг, я склонен согласиться с темучастником круглого стола, который предсказывал новый крах в ближай-шие годы. История гласит, что периоды с очень большим разрывом междузарплатами высших руководителей и рядовых работников корпораций, всочетании с недостаточным регулированием финансовых рынков, явля-ются периодами чрезвычайной волатильности рынка. Именно это проис-ходило непосредственно перед крахом 1929 г., с которого началась Вели-кая Депрессия; то же самое было и накануне так называемой «Великойрецессии». Это происходит и сейчас, и одного этого достаточно, чтобыуверенно предсказать, что нас ожидает новый крах, и, возможно, намногоболее серьёзный, чем предыдущий!

Скачать электронную версию публикации