в повседневных рабочих процессах. Безусловно, у компаний должна быть «зона терпимости» к недостаткам или ошибкам, которые не приведут к серьезному ущербу или полное устранение которых обойдется слишком дорого. Но в целом такие риски нужно устранять, поскольку они не дают каких-либо стратегических преимуществ. Жуликоватый трейдер или сотрудник, подкупающий местного чиновника, могут принести компании некоторую краткосрочную прибыль, но со временем их действия снизят ее стоимость.
Риски этой категории лучше всего регулировать с помощью активной профилактики: следить за рабочими процессами и поведением людей, направлять их решения в русло, соответствующее нормам. Поскольку о таком подходе на основе правил уже написано немало, мы не станем подробно разбирать его и ограничимся врезкой «Выявление предотвратимых рисков и управление ими».
Компания добровольно принимает на себя некоторые риски ради улучшения стратегических результатов. Банк берет на себя риск, например, когда он предоставляет кредит; многие компании рискуют, занимаясь исследованиями и разработками.
Стратегические риски сильно отличаются от предотвратимых рисков, так как по сути их нельзя назвать нежелательными. Стратегия, нацеленная на получение высокой прибыли, обычно предполагает значительные риски для компании, и управление ими – ключевой фактор получения потенциальной выгоды. BP серьезно рисковала, решив бурить в Мексиканском заливе скважину глубиной несколько километров, – но она надеялась хорошо заработать на добытых нефти и газе.
Модель, основанная на правилах, неприменима к стратегическим рискам. Вместо этого нужна система управления, которая снизит вероятность возникновения риска, а в случае наступления рискового события поможет компании контролировать или сдерживать последствия. Подобная система не помешает компании предпринимать рискованные шаги, а, напротив, позволит идти на более высокий риск, чтобы добиться потенциально большей прибыли, чем у конкурентов, не имеющих столь эффективной системы.
Некоторые риски возникают в результате событий, происходящих за пределами компании, и находятся вне сферы ее влияния или контроля. Источником могут быть стихийные бедствия, а также политические и крупные макроэкономические сдвиги. Внешние риски требуют особого подхода. Поскольку компании не могут предотвратить такие события, следует сосредоточиться на их выявлении (как правило, при помощи оценки событий прошлого) и смягчении последствий.
Компании должны выстраивать свои процессы управления рисками в соответствии с этими тремя категориями. Хотя тактика, основанная на соблюдении нормативных требований, эффективна в случае предотвратимых рисков, она не подходит для стратегических или внешних рисков, которые требуют принципиально иного подхода, основанного на прямом и открытом обсуждении. Это, однако, не так просто сделать; обширные исследования