Управление рисками - Harvard Business Review (HBR)
Конечно, четко обозначенные миссия, ценности и границы сами по себе не гарантируют, что сотрудники будут вести себя надлежащим образом. Чтобы противостоять ежедневному давлению организационной жизни, топ-менеджеры должны сами подавать пример и показывать, что их слова не расходятся с делами. Компаниям необходимо создать надежные системы внутреннего контроля: например, разделение полномочий и процесс информирования о нарушениях, чтобы не только уменьшить количество проступков, но и свести на нет любой соблазн их совершать. Независимый отдел внутреннего аудита, который бы постоянно проверял, как сотрудники соблюдают стандарты и правила компании, тоже удерживал бы людей от нарушений и выявлял бы уже совершенные.
Категория 1: предотвратимые риски
Это внутренние риски, которые возникают в самой организации. Их можно контролировать и необходимо устранять или избегать. Например, это могут быть риски, связанные с несанкционированными, незаконными, неэтичными, неправильными или неуместными действиями сотрудников и менеджеров, а также риски сбоев в повседневных рабочих процессах. Безусловно, у компаний должна быть «зона терпимости» к недостаткам или ошибкам, которые не приведут к серьезному ущербу или полное устранение которых обойдется слишком дорого. Но в целом такие риски нужно устранять, поскольку они не дают каких-либо стратегических преимуществ. Жуликоватый трейдер или сотрудник, подкупающий местного чиновника, могут принести компании некоторую краткосрочную прибыль, но со временем их действия снизят ее стоимость.
Риски этой категории лучше всего регулировать с помощью активной профилактики: следить за рабочими процессами и поведением людей, направлять их решения в русло, соответствующее нормам. Поскольку о таком подходе на основе правил уже написано немало, мы не станем подробно разбирать его и ограничимся врезкой «Выявление предотвратимых рисков и управление ими».
Категория 2: стратегические риски
Компания добровольно принимает на себя некоторые риски ради улучшения стратегических результатов. Банк берет на себя риск, например, когда он предоставляет кредит; многие компании рискуют, занимаясь исследованиями и разработками.
Стратегические риски сильно отличаются от предотвратимых рисков, так как по сути их нельзя назвать нежелательными. Стратегия, нацеленная на получение высокой прибыли, обычно предполагает значительные риски для компании, и управление ими – ключевой фактор получения потенциальной выгоды. BP серьезно рисковала, решив бурить в Мексиканском заливе скважину глубиной несколько километров, – но она надеялась хорошо заработать на добытых нефти и газе.
Модель, основанная на правилах, неприменима к стратегическим рискам. Вместо этого нужна система управления, которая снизит вероятность возникновения риска, а в случае наступления рискового события поможет компании контролировать или сдерживать последствия. Подобная система не помешает компании предпринимать рискованные шаги, а, напротив, позволит идти на более высокий риск, чтобы добиться потенциально большей прибыли, чем у конкурентов, не имеющих столь эффективной системы.
Категория 3: внешние риски
Некоторые риски возникают в результате событий, происходящих за пределами компании, и находятся вне сферы ее влияния или контроля. Источником могут быть стихийные бедствия, а также политические и крупные макроэкономические сдвиги. Внешние риски требуют особого подхода. Поскольку компании не могут предотвратить такие события, следует сосредоточиться на их выявлении (как правило, при помощи оценки событий прошлого) и смягчении последствий.
Компании должны выстраивать свои процессы управления рисками в соответствии с этими тремя категориями. Хотя тактика, основанная на соблюдении нормативных требований, эффективна в случае предотвратимых рисков, она не подходит для стратегических или внешних рисков, которые требуют принципиально иного подхода, основанного на прямом и открытом обсуждении. Это, однако, не так просто сделать; обширные исследования поведения людей и организаций показали, что мы предпочитаем не думать о вероятных рисках и не обсуждать их заранее.
Почему так трудно говорить о рисках
Многочисленные исследования показывают, что люди переоценивают свою способность влиять на события, которые на самом деле в значительной степени определяются случайностью. Мы слишком самонадеянны, когда дело касается точности наших прогнозов и оценок рисков, и не в полной мере представляем себе возможные последствия.
Мы также привязываем наши оценки к легкодоступным доказательствам, несмотря на то что линейно экстраполировать события прошлого на крайне неопределенное и переменчивое будущее довольно опасно. Часто этой особенности сопутствует предвзятость подтверждения, которая побуждает нас отдавать предпочтение информации (как правило, позитивной), поддерживающей нашу точку зрения, и подавлять информацию (чаще всего негативную), которая ей противоречит. Когда события не соответствуют нашим ожиданиям, мы склонны придерживаться выбранного курса, нерационально вкладываем в него еще больше ресурсов, выбрасывая деньги на ветер.
Организационные предубеждения также препятствуют нашей способности обсуждать риск и неудачи. В частности, команды, сталкивающиеся с неопределенными условиями, часто прибегают к групповому мышлению: после того как какие-то решения или действия получают поддержку большинства, остальные несогласные придерживают при себе свои возражения (хотя и обоснованные) и подчиняются. Групповое мышление чаще проявляется, когда команду возглавляет властный или самоуверенный руководитель, стремящийся свести к минимуму конфликты, задержки и угрозы своему авторитету.
В совокупности эти когнитивные искажения – как индивидуальные, так и организационные – объясняют, почему так много компаний упускают из виду или неправильно истолковывают неявные угрозы. Вместо того чтобы снижать риск, фирмы фактически сами нормализуют отклонения, поскольку они игнорируют незначительные сбои и дефекты и воспринимают сигналы о надвигающейся опасности как ложные.
Эффективные процессы управления рисками должны противостоять этим ошибкам мышления. «Контролировать риски довольно нелегко», – говорит Джентри Ли, главный системный инженер Jet Propulsion Laboratory (JPL) подразделения NASA. Ученые-ракетчики в проектных группах JPL – выпускники элитных университетов, и многие из них никогда не сталкивались с неудачами ни во время учебы, ни на работе. Когда Ли решил создать в JPL новую культуру профилактики рисков, самым сложным оказалось научить проектные группы думать об уязвимых местах в их превосходных конструкторских решениях и заранее это обсуждать.
Разрешающие и запрещающие правила здесь не помогут. Фактически они производят противоположный эффект: в команде поощряется стереотипность мышления, которое подавляет критику и препятствует обсуждению. Управление стратегическими и внешними рисками требует совершенно иных подходов. Мы рассмотрим сначала, как выявлять и снижать стратегические риски.
Управление стратегическими рисками
За 10 лет исследований мы столкнулись с тремя подходами к управлению стратегическими рисками. Какой из них следует выбрать конкретной фирме, во многом зависит от типа организации, ее сферы деятельности и задач. Каждый подход требует совершенно разных структур и ролей, но все три поощряют сотрудников оспаривать имеющиеся предположения и открыто обсуждать информацию о рисках. Наш вывод о том, что универсального рецепта не существует, противоречит убеждениям законодательных органов и профессиональных ассоциаций, которые стремятся стандартизировать управление рисками.
Независимые эксперты
Некоторые организации (особенно такие, как JPL), которые занимаются технологическими инновациями, сталкиваются с высоким внутренним риском, поскольку они реализуют долгосрочные, сложные и дорогостоящие проекты. Но характер рисков мало меняется со временем,