КОГДА В 2007 ГОДУ ТОНИ ХЕЙВОРД стал генеральным директором BP, он торжественно пообещал сделать безопасность своим приоритетом. В числе правил, которые он ввел, были требования к сотрудникам закрывать кофейные чашки крышечками при ходьбе и воздерживаться от написания текстовых сообщений за рулем. Три года спустя на глазах Хейворда в Мексиканском заливе взорвалась нефтяная вышка Deepwater Horizon, вызвав одну из самых страшных техногенных катастроф в истории. Комиссия по расследованию определила, что причиной стали ошибки руководства, которые парализовали «способность ответственных лиц выявлять риски, надлежащим образом оценивать их, информировать о них и устранять».
История Хейворда отражает общую проблему. Несмотря на все обсуждения и вложенные средства, чаще всего управление рисками сводят к введению множества правил и принуждению сотрудников следовать им. Конечно, многие из таких правил разумны и снижают некоторые риски, способные нанести серьезный ущерб компании. Но управление рисками, основанное на правилах, не в силах ни снизить вероятность такой катастрофы, как взрыв Deepwater Horizon, ни уменьшить ее последствия. Ведь никакие правила не смогли предотвратить крах многих финансовых учреждений во время банковского кризиса 2007–2008 годов.
Понимание трех категорий риска
Риски, с которыми сталкиваются компании, делятся на три категории. И каждая из них требует своего подхода к управлению. Предотвратимые риски возникают внутри организации, и их можно отследить и контролировать с помощью правил, ценностей и стандартных инструментов, которые обеспечивают соблюдение норм. Стратегические и внешние риски, напротив, требуют отдельных процессов. Руководители должны открыто обсуждать их, чтобы найти экономически эффективные способы снизить вероятность возникновения таких рисков или смягчить их последствия.
Идея вкратце
Управление рисками, несмотря на громкие заявления о его важности и вкладываемые в него средства, слишком часто рассматривается как вопрос простого соблюдения норм.
Основанная на правилах система управления рисками может хорошо работать, если нужно внедрить ценности или контролировать сотрудников. Но она не подходит для предотвращения угроз, которые могут помешать реализации стратегии компании или которые связаны с серьезными изменениями внешней среды. Эти типы риска требуют систем, нацеленных на создание условий для обсуждения и дебатов.
В случае стратегических рисков компании должны адаптировать управление ими к масштабу потенциального урона и к скорости изменения его характера. Хотя мероприятия по управлению рисками варьируются от компании к компании, они должны быть частью корпоративных процессов стратегического планирования.
Чтобы управлять крупными внешними рисками, не поддающимися контролю со стороны компании, применяются такие инструменты, как ролевые тренинги и анализ сценариев развития событий. Выбор подхода зависит от того, как быстро могут проявиться потенциальные последствия рискового события, а также от факторов возникновения риска – геополитических, экологических, экономических или конкурентных.
В этой статье мы представляем новую классификацию рисков, которая позволит определить, какими рисками можно управлять с помощью основанной на правилах модели, а какие требуют иных подходов. Мы исследовали индивидуальные и организационные проблемы, возникающие в ходе открытых конструктивных дискуссий на тему управления стратегическими рисками, и утверждаем, что компании должны включить эти обсуждения в процесс разработки и реализации своей стратегии. В заключение мы рассмотрим, как организации могут выявлять непредсказуемые внешние риски и готовиться к ним.