Основная идея управления рисками очень проста. Для того, чтобы управлять рисками, необходимо:
1. определить, чего мы хотим (начиная новый проект, управляя бизнесом, или вообще – в жизни);
2. понять, что может нам помешать добиться того, чего мы хотим (то есть какие риски могут повлиять на проект или бизнес);
3. придумать план действий по максимальному уменьшению влияния определенных ранее (нежелательных для нас) событий (рисков);
4. предпринять соответствующие действия, чтобы минимизировать влияние рисков в случае их реализации.
Пять событий
Мы все имеем определенный опыт в управлении рисками. Особенно часто, к сожалению, нам приходится работать с рисками, которые уже реализовались. Многие представляют себе, что такое «реализовавшийся риск», однако в начале каждого семинара по управлению рисками я обычно прошу участников подумать и перечислить пять событий, которые:
1. не позволили им получить то, что они хотели;
2. не позволили реализовать запланированное;
3. привели к тому, что они получили меньше, чем могли бы получить;
4. привели к тому, что они потеряли больше, чем могли бы потерять.
Кто-то рассказывает про неожиданное падение фондового рынка, приведшее к значительным потерям. Кто-то обязательно вспомнит про дефолт 1998 года. Кто-то говорит про то, что купил билеты в отпуск дороже, чем мог бы, и что деньги начал хранить «не в той валюте». Кто-то делится часто встречающейся историей про то, что выбрал не тех поставщиков. Всегда встречаются участники-строители, рассказывающие про зиму, которая, как всегда, нежданно наступив, не позволила вовремя достроить объект. В общем, историй – масса. Многие не углубляются в детали и ограничиваются рассказами о решениях, которые побоялись принять, потому что «не знали, что будет и как лучше поступить».
В жизни каждого из нас событий, подобных описанным, было много. Наш успех зависит от того, насколько правильно и заранее мы увидели эти события и продумали план действий. Или от того, насколько готовы мы были к этим событиям в случае, когда повлиять на них не могли. Определите свои «пять событий» и подумайте, можно ли было их предотвратить? Были ли вы к ним готовы?
Все эти события суть риски, которые должны были управляться. И вы ими управляли – в каких-то случаях успешно, а в каких-то – не очень. Последствия рисков, которыми вы управляли эффективнее, были менее болезненными. Реализовавшиеся же риски всегда приводят к ощутимым потерям. Сорвалась выгодная сделка – не заработали столько, сколько могли бы. Угнали незастрахованную машину – потеряли больше, чем могли бы потерять.
Представленная в данной книге технология риск-менеджмента применима на индивидуальном уровне, на отдельных уровнях организаций, а также на общекорпоративном уровне.
Прежде чем перейти к конкретным методам управления рисками, затронем несколько концептуальных аспектов современного риск-менеджмента:
• взаимосвязь прибыльности бизнеса и его безопасности;
• неопределенность, которая лежит в основе бизнеса;
• проблемы принятия решений;
• наиболее распространенные стратегии управления рисками.
В этой главе мы также детально рассмотрим, какую практическую пользу мы должны извлечь из управления рисками.
1.5. Прибыль и безопасность: больше зарабатывать, меньше терять
Баланс «прибыль-безопасность»
Владельца любой компании в стратегическом плане интересуют всего две вещи, которые определяют стоимость бизнеса: 1) прибыльность и 2) безопасность. Интерес к прибыли можно даже не комментировать. Это часть управления рисками, которую мы называем «больше зарабатывать». А вот о безопасности, про «меньше терять», стоит поговорить отдельно.
То, что безопасность интересует всех, – очевидно, достаточно зайти в магазин, банк, аэропорт и пр. Но что значит безопасность для бизнеса и каким образом можно ее обеспечить? Как защитить бизнес, а главное, от чего его защищать?
Рассмотрим близкий многим пример – аэропорты. Сегодня в мире идет борьба с терроризмом. У нас в аэропортах всех просят снимать обувь, ремни и т. д. Каждого пассажира внимательно осматривают. Все это делается для того, чтобы обеспечить нашу же безопасность. Очевидно, что, с точки зрения получения прибыли, ни один аэропорт в мире не заинтересован в том, чтобы устанавливать рамки металлоискателей и нанимать служащих для осмотра пассажиров. Аэропорту выгоднее пропустить всех в самолет как можно быстрее, не тратиться за металлоискатели, не нанимать специальных служащих и т. д. Но если произойдет теракт, аэропорт понесет очень большие потери.
Аэропорт в Тель-Авиве. В Израиле с терроризмом борются давно, и кажется, что именно здесь досмотр пассажиров должен быть особенно тщательным. И такой досмотр действительно проводится, но ремни снимать не заставляют (более того, я даже через рамку металлоискателя прошел с большой железной зажигалкой). И никто меня не ощупывал. Потому что система безопасности, то есть система смягчения рисков террористических атак, устроена здесь совсем по-другому. Пассажиры классифицируются по различным категориям после интервью со службами безопасности, а затем, в зависимости от того, в какую группу попал человек, определяется, каким образом с ним работать. Это и есть пример обеспечения безопасности, основанного на риск-менеджменте. Понятно, что гораздо проще провести личный досмотр всех пассажиров, чем проводить беседы и классифицировать их, но с точки зрения удобства пассажиров «тель-авивский» вариант гораздо более гуманный.
Как бы там ни было, безопасность необходима, и в первую очередь для того, чтобы «меньше терять». Причем необходима не только в аэропортах – в любом бизнесе. Но внедрение мер безопасности часто уменьшает прибыль компании и может нанести ей ущерб, особенно при непродуманном подходе. К примеру, компания в целях защиты конфиденциальной информации вводит запрет на использование в офисе мобильных телефонов. Результат – недовольство сотрудников, паника, снижение лояльности персонала. Вряд ли подобная ситуация способствует процветанию бизнеса. А ведь при оценке риска вполне могло оказаться, что подобный запрет не оправдан и не смягчает риск. Существует масса других способов «унести» информацию из компании (на флэшке и т. п.).
Вывод здесь очень простой: единственный способ обеспечить безопасность – действовать на основе систематического управления рисками.
Безопасность – не в запретах, замках и колючей проволоке (сколько в России больших заборов с маленькими дырками, куда можно пролезть), а в разработке эффективных действий и процессов, призванных эту безопасность обеспечить. Поскольку чаще всего подобные действия и процессы «тормозят» бизнес, нужно правильно определить уровень «необходимой и достаточной безопасности, то есть обеспечить баланс «больше зарабатывать, меньше терять». Безопасность ради безопасности, без риск-менеджмента, наносит ущерб бизнесу. Безопасность мы понимаем здесь широко – как общую защищенность бизнеса, обеспечивающую его устойчивость и стабильное развитие.
В целом, всю деятельность организации можно условно разделить на два больших направления: получение прибыли и обеспечение безопасности. Деньги все зарабатывают по-разному. А вот принципы обеспечения безопасности в различных видах бизнеса во многом схожи.
Каковы же критерии стабильности и устойчивости бизнеса? В первую очередь – это соответствие его развития нашим планам, готовность компании к событиям, которые могут привести к отклонениям фактических показателей работы от плановых, а также наличие заранее продуманных мер по избеганию и преодолению последствий таких событий. Если данные условия соблюдаются, отклонение «фактов» от «планов» минимально. А это и есть стабильность, которая, в свою очередь – следствие защищенности.