Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»
Управление рисками: новые принципы
Анетт Майкс , Роберт КапланСтав в 2007 году генеральным директором ВР, Тони Хейворд торжественно поклялся, что займется прежде всего вопросами безопасности. Он ввел новые правила. Согласно им, например, переносить с места на место чашку с кофе можно было, только накрыв ее крышкой. А еще сотрудникам рекомендовалось не вести смс-переписку, управляя автомобилем. Прошло три года, и в июне 2010 года на глазах Хейворда в Мексиканском заливе взорвалась буровая платформа Deepwater Horizon, что привело к одной из самых страшных в истории рукотворных экологических катастроф. Американская следственная комиссия пришла к выводу, что причиной трагедии стали ошибки в управлении, парализовавшие «способность ответственных лиц выявлять риски, надлежащим образом оценивать их, сообщать о них и их устранять».
ИДЕЯ КОРОТКО
Система управления рисками, основанная на соблюдении правил, хороша, если речь идет об укоренении корпоративных ценностей и контроле за персоналом.Но она не годится для предотвращения угроз, которые могут помешать компании реализовывать ее стратегию, а также нежелательных последствий развития новых технологий или значительных политических изменений. Готовиться к опасностям такого рода нужно, серьезно обсуждая их.
Важно учитывать масштаб предполагаемых угроз и скорость изменения их характера. Хотя структуры, отвечающие за анализ рисков и поиск контрмер, у каждой компании свои, всю эту работу нужно увязывать с корпоративными процедурами стратегического планирования.
Держать под контролем серьезные внешние риски, неподвластные компаниям, можно с помощью таких инструментов, как анализ сценариев развития событий и вероятных действий конкурентов. Выбор способа зависит от того, как быстро могут материализоваться потенциальные опасности и чем они вызваны — изменениями геополитического, экономического, природного характера или же действиями конкурентов.
История Хейворда высвечивает общую проблему. На управление рисками, сколько бы об этом ни говорили и сколько бы денег в это ни вкладывали, чаще всего смотрят с одной точки зрения: соответствия требованиям. Чтобы их выполнять, надо сформулировать побольше правил и заставить персонал следовать им. Конечно, многие правила вполне разумны и действительно предотвращают некоторые потенциально серьезные опасности. Но никакими правилами не снизить вероятность катастрофы вроде той, что произошла с Deepwater Horizon, и не уменьшить ее последствий. Ведь правила не предотвратили банкротства многих финансовых организаций во время кредитного кризиса 2007—2008 годов.
В этой статье мы предлагаем новую классификацию рисков. Она позволяет понять, какие из них можно держать под контролем с помощью правил, а для каких нужны иные меры. Мы рассказываем о том, какие трудности сопряжены с проведением открытых, конструктивных обсуждений рисков, сопутствующих реализации корпоративной стратегии, и доказываем, что такого рода дискуссии должны иметь не просто теоретическую, но и практическую значимость, то есть их выводы должны прямо отражаться на процедурах выработки и воплощения стратегии. И в заключение мы поговорим о том, как выявлять непредвиденные риски, которые возникают независимо от стратегии и работы организации, и как готовиться к ним.
Управление рисками: правила или диалог?
Первый шаг на пути к созданию надежной системы управления рисками — понимание того, что организация сталкивается с разными по своей природе угрозами. В ходе исследования мы выявили три их категории. К какой бы ни относилась та или иная опасность, она может оказаться роковой для стратегии компании и даже для дальнейшего существования бизнеса.
Категория 1: предотвратимые риски. Имеются в виду опасности, возникающие в самой организации; их можно контролировать, необходимо устранять или избегать. Речь, в частности, идет о последствиях неправомочных, незаконных, неэтичных, ошибочных действий рядовых сотрудников и руководителей, а также сбоев в стандартных рабочих процессах. Что касается дефектов и ошибок, из-за которых бизнес серьезно не пострадает и избавиться от которых полностью слишком дорого, то тут, конечно, компания должна предусмотреть «поле допуска». Но в целом подобные риски следует устранять, поскольку они нежелательны стратегически. Не слишком щепетильный торговый агент или сотрудник, дающий взятку чиновнику, могут обеспечить фирме некую сиюминутную выгоду, но в целом их действия подрывают репутацию компании, что обязательно отразится на ее стоимости. Рисков этой категории лучше вообще не допускать, а для этого нужно жестко контролировать рабочие процессы, укоренять желательные нормы поведения и добиваться грамотных решений. Поскольку о соблюдении правил уже написано немало, мы не будем здесь вдаваться в подробности; отсылаем заинтересованных читателей к врезке «Выявление предотвратимых рисков и выработка контрмер».
ВЫЯВЛЕНИЕ ПРЕДОТВРАТИМЫХ РИСКОВ И ВЫРАБОТКА КОНТРМЕР
Компании не в состоянии предвидеть все ситуации, в которых у сотрудников возникает конфликт интересов. Поэтому в качестве первой линии обороны вполне годятся четко сформулированные цели и ценности компании.Миссия. Необходимо внятно и однозначно определить миссию организации. Для коллектива это станет своего рода Полярной звездой, по которой они будут ориентироваться в бурном море бизнеса. Например, первая фраза знаменитого кредо Johnson & Johnson, документа, определяющего философию корпорации, такова: «Наша основная ответственность — перед врачами и медицинскими сестрами, перед пациентами, перед отцами и матерями, перед всеми, кто пользуется нашей продукцией и услугами». И каждый в компании понимает, чьи интересы в любой ситуации стоят на первом месте. Миссию организации должны знать и разделять все сотрудники.
Ценности. Компаниям необходимо выстроить ясную систему ценностей, чтобы сотрудники руководствовались ими, взаимодействуя с клиентами, поставщиками, коллегами, акционерами, представителями сообществ. Это гарантирует, что не будут нарушены стандарты компании и ничто не поставит под угрозу ее репутацию и активы.
Границы. Корпоративная культура определяет, чего делать нельзя. Благодаря четко очерченным границам можно тщательно контролировать действия. Только подумайте: девять из Десяти заповедей и девять из первых десяти поправок к Конституции США 1787 года (больше известных как «Билль о правах») сформулированы в форме отрицания. Компаниям нужны своды корпоративных правил, в которых объяснялось бы, как вести себя в случае конфликта интересов, нарушения антитрестовского законодательства, разглашения коммерческой тайны, служебной информации, взяточничества, дискриминации, сексуальных домогательств.
Конечно, сколько ни формулируй миссию, сколько ни определяй ценности и ни очерчивай границы, это еще не гарантирует, что сотрудники всегда будут вести себя достойно. Чтобы люди правильно действовали в любых ситуациях, топ-менеджеры должны подавать им пример и показывать, что у них слова не расходятся с делами. Компаниям нужны надежные системы внутреннего контроля. Необходимо предусмотреть, например, разделение полномочий и отладить процесс информирования руководства о нарушениях, тогда станет меньше не только проступков, но и искушения их совершать. Сильный независимый отдел внутреннего контроля, который бы постоянно следил за тем, как сотрудники соблюдают правила и инструкции, тоже удерживал бы людей от нарушений и выявлял бы уже происшедшие.
Категория 2: риски стратегии. Некоторые риски предприятия берут на себя добровольно — ради максимальной прибыли, которую можно получить, реализуя бизнес-стратегию. Банк, например, рискует, предоставляя кредиты, компании-производители — вкладывая деньги в исследования и разработки. Риски этой категории существенно отличаются от предотвратимых, поскольку их нельзя назвать нежелательными по сути. Если стратегия нацелена на получение большой прибыли, то она изначально подразумевает высокий риск, и значит, ради потенциальной прибыли надо тщательно отслеживать этот ключевой фактор ее достижения. ВР, бурившая в Мексиканском заливе скважину глубиной в несколько километров, очень рисковала, надеясь хорошо заработать на нефти и газе, которые рассчитывала добыть. Риски стратегии невозможно контролировать и предотвращать, только соблюдая правила. В этом случае нужна система управления рисками, которая бы снижала вероятность их «материализации», а если события развиваются по негативному сценарию, то помогала бы компании направлять их в нужное русло. Такая система не помешает компаниям браться за самые авантюрные начинания; наоборот, она позволит идти на больший риск, сулящий более высокие прибыли, чем у конкурентов, не обладающих столь же эффективной системой.
Категория 3: внешние риски. Иногда компания попадает в зону риска из-за событий, происходящих вне ее стен, которые от нее не зависят и на которые она никак не может воздействовать. Это природные и политические катастрофы, глубинные макроэкономические сдвиги. Управлять внешними рисками нужно особым образом. Поскольку предотвратить вызывающие их события компании не в силах, важно прежде всего выявлять их признаки (задним числом обычно становится понятно, что они не могли не случиться) и пытаться смягчить их последствия. Процедуры управления рисками компании должны соответствовать перечисленным трем категориям. Соблюдать правила важно, если речь идет о рисках предотвратимых, но для внешних и угрожающих стратегии это абсолютно не применимо, а значит, в подобных случаях нужны другие подходы, предполагающие в том числе открытое и подробное обсуждение риска. Правда, это легко только на словах. Как показали обширные исследования поведения отдельных людей и целых организаций, наша психика устроена таким образом, что мы предпочитаем закрывать глаза на вероятные опасности и не любим заранее их обсуждать.
Почему так трудно обсуждать риски
В результате многочисленных исследований ученые сделали вывод, что люди переоценивают свою способность оказывать влияние на события, которые на самом деле во многом определяются стечением обстоятельств. Мы слишком уверены в точности наших прогнозов и оценок риска и, мягко говоря, не совсем адекватно представляем себе их вероятные последствия.