Общепринятое определение риска это - «Влияние неопределенности на цели». Чтобы оценить эти неопределенности, значительное количество российских компаний внедряют у себя системы управления рисками на основе стандарта «ISO – 31000». По сценариям развития рисков планируются стратегии развития компаний, определяются цели и целесообразность инвестиционной деятельности, идентифицируются главные угрозы для бизнеса. Риск-менеджмент это скоординированные действия менеджмента по управлению организации с учетом рисков. В соответствии с этой философией сформулирована цель риск-менеджмента – это создание и защита стоимости. И это означает, что «риск-менеджмент» это то, как организация работает с учетом рисков. То есть управление рисками должно быть интегрировано во все процессы и принятие решений.
При этом риски становятся настолько сложными и быстро меняется среда, в которой формируются риски, что сейчас уже невозможно представить себе риск-менеджмент как некое отдельное оторванное от жизни подразделение, которое смотрит на хрустальный шар и сообщает руководству и владельцам компании о том, какие они там видят риски.
Риск менеджмент должен происходить не с той периодичностью, с которой условно прописано в политике компании по управлению рисками, а в момент когда кто-то в компании принимает важные для бизнеса решения. И если решения принимаются в организации без системного учета рисков, а риск-менеджмент существует как отдельный самостоятельный процесс, это означает, что процесс управления рисками в организации неэффективный.
Задачей риск-менеджмента является его интеграция в ключевые технологические процессы, а также в процессы принятия решений и от этого зависит его эффективность.
Т.е. риск менеджмент это инструмент управления, который улучшает производительность, стимулирует инновации и способствует достижению целей повышения эффективности вашей компании.
Данная система особенно эффективна в условиях финансовых и технических ограничений в капиталоемких компаниях, позволяет использовать адресное финансирование поддержания деятельности, а также осуществлять актуализацию бизнес-моделей процессов.
Стоит менеджерам разобраться для себя в одной-единственной вещи — своем собственном понимании угроз, как их действия кардинально меняется, ущерб снижается, а доход вскоре удваивается, утраивается, а то и учетверяется.
Эта схема работает и для многомиллионных корпораций и для небольших фирм, она способна оживить хоть финансовую, хоть производственную, хоть логистическую компанию. Почему? Потому что люди, где бы они ни работали, одинаково стремятся к безопасности и не хотят убытков.
Суть в следующем: просто организовать процесс и сформировать продукт или услугу— этого мало, необходимо еще и увидеть потенциальные риски, которые могут частично или полностью парализовать деятельность компании, нанести ущерб, снизить доходность или даже войти в правовой конфликт по различным сферам деятельности. Даже если у нас лучший товар или лучшая услуга на рынке, мы проиграем тем, кто хуже нас, если мы своевременно не реагируем на возникающие риски.
Так что же вы хотите? Понятны ли ваши декларации и ценности для ваших сотрудников? Я сейчас про обеспечение безопасности жизни и здоровья пассажиров и о корпоративном поведении персонала. Способен ли любой ваш сотрудник их сформулировать, да так, чтобы это звучало убедительно? Выдаете ли вы вновь принятым на работу сотрудникам компании специальные памятки, где по пунктам расписано, какие у вас ценности и что реакция на риски является в компании приоритетом? Давайте поговорим об этом.
Почему не у всех получается?
Чтобы разобраться, почему усилия по разработке и внедрению риск-менеджмента так часто оказываются бесплодными, я изучил массу литературы по такому опыту в авиации, машиностроении, военной сфере. Опираясь на научные исследования пытался понять, как мыслит менеджмент, особенно в техносфере и почему у атомщиков работает эта система? Есть ли какое-то научное объяснение тому, как компании вроде Lufthansa, интуитивно нащупавшие «правильную» формулу управления рисками, обеспечили высокий уровень безопасности и сервиса?
Один из выводов — «риск-схемы» слишком сложные. Мозг обычного человека не может обработать сложную информацию. Чем проще подход к рискам, чем более она предсказуема, тем легче мозгу ее переварить. Мне приводили такой пример. В одном из международных аэропортов пилот Lufthansa обнаружил течь топлива несколько капель в минуту (условно), что на одну каплю превышало норму и пилот принял решение отменить полет. Прилетел резервный борт, а неисправный был отставлен от эксплуатации до устранения течи. Кажется, что тут такого? Правильно сделал, скажите вы. Не стал рисковать. Конечно, это кажется нормальная реакция и правильное решение пилота. Но, ему ведь пришлось делать выбор между отклонением в одну каплю и значительным ущербом от вызова резервного борта, задержками и прочими недовольствами пассажиров. Но в этом и суть подхода. Культура компании, которая устанавливает правила и ценности, определяет поведение человека. И это еще один аспект управления рисками, персонал ведет себя так, как требует корпоративная культура. Это очень мощный инструмент, направленный на исключение «человеческого фактора» из принятия правильных решений – рисковать или не рисковать. У пилота была инструкция с указанием нормы и он не делает никакого выбора. Все просто - есть отклонение - риски безопасности полета растут, а это недопустимо.
И здесь можно вспомнить иерархию потребностей Маслоу. В первую очередь мозг занят организацией условий, чтобы мы могли есть, пить и вообще физически выживать. В современном мире, в экономических реалиях это означает, что необходима стабильная работа, дающая доход. Затем мозг заботится о безопасности — для большинства под этим подразумевается наличие крыши над головой, стабильность и защищенность и не чувствовать себя уязвимыми. Когда с едой и убежищем мы разобрались, мозг задумывается о социальных отношениях. И лишь после этого мозг начинает озадачиваться более глубокими психологическими и философскими вопросами, которые наполняют жизнь смыслом.
Люди, сами не осознавая того, постоянно «сканируют» окружающий мир на удовлетворение своих базовых потребностей в выживании. А значит, когда мы принимаем важные решения или начинаем выстраивать сложные бизнес-процессы мы подсознательно оцениваем риски, которые угрожают выживанию компании, а по сути нам самим. Потому, что в результате можно условно потерять «еду, питье, убежище и сексуального партнера».
Но как бы не очевидно было то, что управление рисками важно для повышения конкурентноспособности и эффективности, есть три критические ошибки, которые совершают компании, пытаясь внедрить риск-менеджмент.
Ошибка номер один
Первая ошибка состоит в том, что при построении системы управления рисками менеджментом (тем, кто выстраивает такую систему и механизмы управления рисками) не уделяется внимания тем аспектам, которые теоретически способны помочь компании выжить и благоденствовать. Все великие сюжеты — о выживании: хоть физическом, хоть эмоциональном, хоть духовном. В том смысле, что если вы не показываете, как риск-менеджмент может помочь компании выжить, добиться успеха на рынке среди конкурентов, повысить лояльность клиентов, то и не понятно, ради чего затевается вся эта система и кому она нужна, кроме самих риск-менеджеров.
Эта нехитрая истина. Если нам придется засесть в большом банкетном зале, мы вряд ли начнем пересчитывать стулья, но всегда отметим для себя, где выход. Почему? Потому что для выживания мозгу не нужно знать, сколько стульев в комнате, а вот расположение дверей — это знание в случае пожара бесценно.
Подсознание постоянно фильтрует и сортирует информацию, и если мы принимаем решение то невольно рассматриваем ситуацию не как расставлены стулья, а где выход.
Ошибка номер два
Вторая ошибка в том, что при сложно выстроенных системах по управлению рисками людям (менеджерам, персоналу) приходится обрабатывать слишком большой объем явно бессмысленной информации, они начинают отгораживаться от ее источника. Иными словами, природа дала людям в голову механизм выживания, а сложный алгоритм их действий при управлении угрозами пытается их запутать. Тогда их сознание попросту блокирует то, что мы предлагаем и говорим.
Представьте себе, что всякий раз, как мы говорим о риск-менеджменте с владельцами процессов или с менеджерами, принимающими важные решения, те вынуждены расшифровывать сложный ребус. В самом прямом смысле: мы говорим, а они решают сложную задачу. Как вы думаете, надолго хватит их внимания? Ненадолго. А ведь именно так все и происходит. Когда мы выступаем с докладом или презентацией перед топ-менеджерами или в профессиональном сообществе с владельцами процессов, им приходится расходовать энергию, чтобы понять, что же мы пытаемся до них донести. И если мы им не покажем (причем быстро) то, что может пригодиться для выживания или благоденствия, к нам потеряют интерес.
Эти две истины — что люди ищут решения, которые помогут им выжить и благоденствовать, а механизм управления рисками должен быть простым и внятным.
Главное — добиться, чтобы в своем сообщении мы четко показали: «Мы знаем, как помочь тебе в выживании», причем говорила просто и понятно, а не требовала от него сжигать калории на обдумывание.
По опыту внедрения данных систем можно назвать несколько причин, почему необходимо развивать систему управления рисками - менеджмент управления рисками применим во всех сферах производства, создавая систему управления рисками, развивается менеджмент управления качеством. Вы полностью меняете корпоративную культуру, приоритеты у персонала в создании качественного продукта или услуги, создаете баланс интересов между всеми стейкходерами: собственниками, менеджерами, поставщиками, работниками компании и потребителями вашего продукта или услуги. Повышаете ваше конкурентное преимущество и соответственно уровень выживаемости компании, а также эффективность, так как снижаются затраты на контроль, исправление и утилизацию дефектной продукции. Персонал чувствует себя вовлеченными в процесс улучшений, создается позитивная эмоциональная среда, ответственность за качество переносится с контролирующих подразделений непосредственно на исполнителей, меняется парадигма управления от «основанной на поиске виновного», на «основанной на поиске проблем в системе». Развивается система внутреннего аудита и сертификации. Внесение инноваций и инициатив идет непосредственно от участников процессов «снизу-вверх». Повышается уровень компетенции персонала, снижается текучесть, создается благоприятная среда для внедрения инноваций и прорывных технологий.
И в итоге у менеджмента появляется ответ на вопрос «зачем нужны преобразования и внедрения инструментов типа «бережливого производство».
Ошибка номер три
И все-таки самой критической ошибкой я считаю создание отдельных подразделений или центров по управлению рисками, которые оторваны от основных «центров принятия решений». Что имеется ввиду?
Основная мысль следующая – риски становятся настолько сложными и даже не столько сложными, а настолько быстро меняется среда и настолько быстро происходит изменение риска в этой среде внутри компании и в не ее, что сейчас уже невозможно представить себе риск-менеджмент как некое оторванное от жизни подразделение, которое сидит смотрит на некий хрустальный шар и сообщает руководству и владельцам компании о том, какие они там видят риски.
Если подразделение, на которое возложена функция по регистрации и управлению рисками находится вне поля принятия решений, тогда это не что иное, как статистическое управление. Да, они смогут с некоторой периодичностью считать риски по отдельным направлениям деятельности компании и даже определять возможности негативного развития ситуации. Но это уже будет по факту и, по сути, превращается из про-активного в реактивный механизм управления. Посмотрели, свели данные в единую базу. Зафиксировали, что случилось на анализируемом этапе, какие риски реализовались, вот и все. Такие подразделения, как правило, не имеют решающего слова при принятии решений, когда эти самые риски зарождаются. Такой подход показывает, что риск-менеджмент к компании отсутствует.
Управление рисками должно быть интегрировано по всей вертикали деятельности Компании и в процессы принятия решений. для того, чтобы предвидеть все новые вызовы.
Анализ риска должен происходить в тот момент, когда кто-то в бизнесе принимает какое-либо важные для бизнеса решения.
Это значит, что риск менеджмент должен происходить не стой периодичностью, с которой прописано в политике по рискам, а с той периодичностью, когда происходят решения в бизнесе.
И это, наверное, самый правильный тренд, который можно себе представить в управлении рисками с учетом текущих вызовов.