Риски этой категории лучше всего регулировать с помощью активной профилактики: следить за рабочими процессами и поведением людей, направлять их решения в русло, соответствующее нормам. Поскольку о таком подходе на основе правил уже написано немало, мы не станем подробно разбирать его и ограничимся врезкой «Выявление предотвратимых рисков и управление ими».

Компания добровольно принимает на себя некоторые риски ради улучшения стратегических результатов. Банк берет на себя риск, например, когда он предоставляет кредит; многие компании рискуют, занимаясь исследованиями и разработками.

Стратегические риски сильно отличаются от предотвратимых рисков, так как по сути их нельзя назвать нежелательными. Стратегия, нацеленная на получение высокой прибыли, обычно предполагает значительные риски для компании, и управление ими – ключевой фактор получения потенциальной выгоды. BP серьезно рисковала, решив бурить в Мексиканском заливе скважину глубиной несколько километров, – но она надеялась хорошо заработать на добытых нефти и газе.

Модель, основанная на правилах, неприменима к стратегическим рискам. Вместо этого нужна система управления, которая снизит вероятность возникновения риска, а в случае наступления рискового события поможет компании контролировать или сдерживать последствия. Подобная система не помешает компании предпринимать рискованные шаги, а, напротив, позволит идти на более высокий риск, чтобы добиться потенциально большей прибыли, чем у конкурентов, не имеющих столь эффективной системы.

Некоторые риски возникают в результате событий, происходящих за пределами компании, и находятся вне сферы ее влияния или контроля. Источником могут быть стихийные бедствия, а также политические и крупные макроэкономические сдвиги. Внешние риски требуют особого подхода. Поскольку компании не могут предотвратить такие события, следует сосредоточиться на их выявлении (как правило, при помощи оценки событий прошлого) и смягчении последствий.

Компании должны выстраивать свои процессы управления рисками в соответствии с этими тремя категориями. Хотя тактика, основанная на соблюдении нормативных требований, эффективна в случае предотвратимых рисков, она не подходит для стратегических или внешних рисков, которые требуют принципиально иного подхода, основанного на прямом и открытом обсуждении. Это, однако, не так просто сделать; обширные исследования поведения людей и организаций показали, что мы предпочитаем не думать о вероятных рисках и не обсуждать их заранее.

Многочисленные исследования показывают, что люди переоценивают свою способность влиять на события, которые на самом деле в значительной степени определяются случайностью. Мы слишком самонадеянны, когда дело касается точности наших прогнозов и оценок рисков, и не в полной мере представляем себе возможные последствия.

Мы также привязываем наши оценки к легкодоступным доказательствам, несмотря на то что линейно экстраполировать события прошлого на крайне неопределенное и переменчивое будущее довольно опасно. Часто этой особенности сопутствует предвзятость подтверждения, которая побуждает нас отдавать предпочтение информации (как правило, позитивной), поддерживающей нашу точку зрения, и подавлять информацию (чаще всего негативную), которая ей противоречит. Когда события не соответствуют нашим ожиданиям, мы склонны придерживаться выбранного курса, нерационально вкладываем в него еще больше ресурсов, выбрасывая деньги на ветер.

Организационные предубеждения также препятствуют нашей способности обсуждать риск и неудачи. В частности, команды, сталкивающиеся с неопределенными условиями, часто прибегают к групповому мышлению: после того как какие-то решения или действия получают поддержку большинства, остальные несогласные придерживают при себе свои возражения (хотя и обоснованные) и подчиняются. Групповое мышление чаще проявляется, когда команду возглавляет властный или самоуверенный руководитель, стремящийся свести к минимуму конфликты, задержки и угрозы своему авторитету.

В совокупности эти когнитивные искажения – как индивидуальные, так и организационные – объясняют, почему так много компаний упускают из виду или неправильно истолковывают неявные угрозы. Вместо того чтобы снижать риск, фирмы фактически сами нормализуют отклонения, поскольку они игнорируют незначительные сбои и дефекты и воспринимают сигналы о надвигающейся опасности как ложные.