زمانی که تونی هیوارد در سال 2007 مدیرعامل بریتیش پترولیوم شد، قول داد که ایمنی را اولویت اصلی خود قرار دهد.از جمله قوانین جدیدی که او وضع کرده بود

این بود که این بود که همه کارمندان هنگام راه رفتن از فنجان‌های درب‌دار برای قهوه استفاده کنند و در حین رانندگی از ارسال پیامک خودداری کنند. سه سال بعد، زیر نظر هیوارد، سکوی نفتی دیپ‌واتر در خلیج مکزیک منفجر شده و باعث یکی از بدترین فجایع انسان‌ساز در تاریخ شد. یک کمیسیون تحقیقاتی ایالات متحده این فاجعه را به شکست‌های مدیریتی نسبت داد که به “توانایی افراد درگیر در شناسایی خطرات، ارزیابی مناسب ریسک‌ها، ارتباط و رسیدگی به آن‌ها” بستگی داشت.  داستان هیوارد منعکس‌کننده یک مشکل رایج در بین همه مدیران پروژه و کسب‌وکار است. علیرغم تمام لفاظی‌ها و پولی که در آن سرمایه‌گذاری شده است، مدیریت ریسک اغلب به‌عنوان یک مسئله انطباقی در نظر گرفته می‌شود که می‌توان آن را با تنظیم بسیاری از قوانین و اطمینان از پیروی همه کارکنان از این قوانین، آن را حل کرد. البته بسیاری از چنین قوانینی معقول هستند و خطراتی را که می‌تواند به شرکت آسیب جدی وارد کند را کاهش می‌دهد. اما مدیریت ریسک مبتنی بر قوانین از احتمال یا تأثیر فاجعه‌ای مانند آنچه در  انفجار سکوی نفتی دیپ‌واتر رخ داد، نمی‌کاهد. همان‌طور که از شکست بسیاری از مؤسسات مالی در طول بحران اعتباری در سال 2007 جلوگیری نکرد.

در این مقاله دانشگاه هاروارد دسته‌بندی جدیدی از ریسک ارائه می‌کند که به مدیران اجازه می‌دهد بگویند کدام ریسک‌ها را می‌توان از طریق یک مدل مبتنی بر قوانین مدیریت کرد و کدام یک به رویکردهای جایگزین نیاز دارد. در این مطالعه چالش‌های فردی و سازمانی ذاتی در ایجاد بحث‌های باز و سازنده در مورد مدیریت ریسک‌های مربوط به انتخاب‌های استراتژیک بررسی می‌شود و لزوم بحث در این مورد در فرایندهای تدوین و اجرای استراتژی بررسی می‌گردد.  هدف این است که سعی کنیم تا خطرات غیرقابل پیشگیری را که خارج از استراتژی و عملیات شرکت و پروژه‌ها ایجاد می‌شود را شناسایی کرده و برای آن‌ها آماده شویم.

مدیریت ریسک: رویکردی قانون محور یا مبتنی بر گفتگو؟

اولین گام در ایجاد یک سیستم مدیریت ریسک مؤثر، درک تمایزات کیفی بین انواع ریسک‌هایی است که سازمان یا پروژه با آن مواجه هستند. تحقیقات میدانی دانشگاه هاروارد نشان می‌دهد که خطرات در یکی از این سه دسته قرار می‌گیرند. رویدادهای مخاطره‌آمیز از هر دسته‌ای که باشند، می‌توانند استراتژی یک شرکت و حتی بقای آن را تهدید کنند. در ادامه به بررسی این سه دسته از انواع ریسک‌ها خواهیم پرداخت:

• دسته اول: ریسک‌های قابل پیشگیری

این دسته از ریسک‌ها، خطرهایی داخلی هستند که از درون سازمان ناشی می‌شوند اما قابل کنترل هستند. بنابراین تمام تلاش مدیران پروژه باید بر حذف یا اجتناب ازاین‌گونه از ریسک‌ها صرف شود. به‌عنوان‌مثال، خطرات ناشی از اقدامات غیرمجاز، غیرقانونی، غیراخلاقی، نادرست یا نامناسب در کارکنان، مدیران یا خطرات ناشی از خرابی در فرآیندهای عملیاتی از این دسته از ریسک‌ها هستند. در چنین شرایطی شرکت‌ها باید منطقه‌ای از تحمل را برای نقص یا خطاهایی که آسیب جدی به شرکت وارد نمی‌کند، وجود داشته باشد. درست است که دستیابی به اجتناب کامل از چنین ریسک‌هایی بسیار پرهزینه است، اما به طور کلی، برای شرکت‌ها بهتر است که به دنبال حذف این ریسک‌ها باشند زیرا هیچ منفعت استراتژیکی از پذیرش آن‌ها به دست نمی‌آورند. یک تاجر جسور یا کارمندی که به یک مقام محلی رشوه می‌دهد ممکن است سود کوتاه مدتی را برای شرکت ایجاد کند، اما به مرور زمان چنین اقداماتی ارزش شرکت را کاهش می‌دهد. این دسته از ریسک‌ها از طریق پیشگیری‌های فعالی همچون نظارت بر فرآیندهای عملیاتی و هدایت رفتارها و تصمیمات افراد به سمت هنجارهای مطلوب به بهترین وجه مدیریت می‌شوند.

• دسته دوم: ریسک‌های استراتژیک

یک شرکت به طور داوطلبانه برخی از ریسک‌ها را می‌پذیرد تا بالاترین بازدهی را از استراتژی خود به دست بیاورد. برای مثال، یک بانک با هر بار وام دادن، ریسکی را بر عهده می‌گیرد یا شرکت‌های دانش‌بنیان و نوآور از طریق فعالیت‌های تحقیق و توسعه خود ریسک‌هایی را متحمل می‌شوند. ریسک‌های استراتژیک از منظر ماهیت کاملاً متفاوت از ریسک‌های قابل پیشگیری هستند زیرا ذاتاً برای سازمان نامطلوب نیستند. به طور کلی به کارگیری یک استراتژی خوب با پتانسیل بالا مستلزم آن است که شرکت ریسک‌های قابل توجهی را بپذیرد و مدیریت این ریسک‌ها یک محرک کلیدی در به دست آوردن سودهای بالقوه است. بریتیش پترولیوم خطرات بالای حفاری چندین مایلی زیر سطح خلیج مکزیک را به دلیل ارزش بالای نفت و گازی که امیدوار بود استخراج کند، پذیرفت.

ریسک‌های استراتژیک را نمی‌توان از طریق یک مدل کنترلی مبتنی بر قوانین مدیریت کرد. در عوض، شما به یک سیستم مدیریت ریسک نیاز دارید که برای کاهش احتمال واقعی شدن ریسک‌های مفروض و بهبود توانایی شرکت برای مدیریت یا مهار رویدادهای ریسک در صورت وقوع آن‌ها طراحی شده باشد. چنین سیستمی نمی‌تواند شرکت‌ها را از انجام سرمایه‌گذاری‌های مخاطره‌آمیز باز دارد. برعکس، شرکت‌ها را قادر می‌سازد تا نسبت به رقبایی با مدیریت ریسک ناکارآمدتر، سرمایه‌گذاری‌هایی با ریسک بالاتر و سودآوری بیشتری اتخاذ کنند.

• دسته سوم: ریسک‌های بیرونی (خارجی)

برخی از ریسک‌ها از رویدادهای خارج از شرکت ناشی می‌شوند و خارج از نفوذ یا کنترل ما هستند. عمده این خطرات شامل بلایای طبیعی، رویدادهای سیاسی و تغییرات عمده اقتصاد کلان است. مدیریت خطرات خارجی نیازمند رویکرد دیگری است. از آنجایی که شرکت‌ها نمی‌توانند از وقوع چنین رویدادهایی جلوگیری کنند، مدیریت چنین ریسک‌هایی باید بر منطق گذشته‌نگر و تلاش برای کاهش تأثیر آن‌ها متمرکز باشد.

شرکت‌ها باید فرآیندهای مدیریت ریسک خود را با این دسته‌بندی‌های مختلف تنظیم کنند. در حالی که یک رویکرد مبتنی بر انطباق برای مدیریت ریسک‌های قابل پیشگیری مؤثر است، اما برای ریسک‌های استراتژیک یا ریسک‌های خارجی کاملاً ناکارآمد است که نیاز به رویکردی اساساً متفاوت بر اساس بحث‌های باز و صریح در مورد ریسک دارد. بااین‌حال، همیشه صحبت کردن در مورد ریسک، آسان‌تر از مدیریت کردنش است. تحقیقات رفتاری و سازمانی گسترده نشان داده است که اغلب افراد دارای تعصبات شناختی قوی هستند که آن‌ها را از فکر کردن و بحث درباره خطر تا زمانی که خیلی دیر شده است منصرف می‌کند.

چرا صحبت کردن در مورد ریسک تا این حد سخت است؟

مطالعات متعدد نشان داده‌اند که افراد توانایی خود را برای تأثیرگذاری بر رویدادهایی که در واقعیت به شدت به طور تصادفی تعیین می‌شوند، بیش‌ازحد ارزیابی می‌کنند. ما تمایل داریم در مورد صحت پیش‌بینی‌ها و ارزیابی‌های ریسک خود بیش‌ازحد اطمینان داشته باشیم و در ارزیابی خود از دامنه نتایجی که ممکن است رخ دهد بسیار محدود و با توهم آگاهی فکر می‌کنیم.

یک نکته مهم دیگر وجود دارد و آن هم این است که ما به طور نابخردانه‌ای تخمین‌های خود از ریسک را به شواهد در دسترس متصل می‌کنیم. به این شکل که به اطلاعاتی بیشتر تکیه می‌کنیم که همسو با نظرات یا موفقیت‌های ما هستند و در مقابل، داده‌های متضاد با نظراتمان را سرکوب کرده و نادیده می‌گیریم.  همین‌جاست که منابع را به صورتی غیرمنطقی به مسیرهای شکست‌خورده تخصیص می‌دهیم و آگاهانه ریسک‌های غیرمنطقی را به جان می‌خریم.

نکته دیگر اینکه تیم‌هایی که در شرایط ابهام به سر می‌برند، اغلب درگیر گروه‌اندیشی می‌شوند.گروه‌اندیشی به‌ویژه زمانی محتمل است که تیم توسط یک مدیر سرسخت یا با اعتمادبه‌نفس بیش‌ازحد هدایت شود که می‌خواهد تعارض، تأخیر و چالش‌های مربوط به اختیارات خود را به حداقل برساند.

منبع: مجله کسب‌وکار هاروارد