Від управління ризиками до управління стійкістю: новий погляд McKinsey на майбутнє організацій

На сайті McKinsey опубліковано надзвичайно цікаву статтю «From risk to resilience: New approaches to navigating disruption in Asia», присвячену темі, яка останніми роками стала однією з ключових у сучасному менеджменті, — організаційній стійкості (resilience). На відміну від багатьох публікацій, де стійкість розглядається як один із напрямів управління ризиками, автори пропонують значно ширший погляд. Вони фактично ставлять питання: чи достатньо сьогодні просто управляти окремими ризиками, коли організації одночасно стикаються з геополітичними конфліктами, економічною нестабільністю, кліматичними змінами, кіберзагрозами та технологічною трансформацією?

Автори переконані, що відповідь вже очевидна. Світ поступово переходить від управління окремими ризиками до побудови організацій, здатних адаптуватися до постійних потрясінь, а центральним поняттям статті стає не risk management, а resilience — здатність компанії не лише пережити кризу, але й використати її як можливість для подальшого розвитку. Ця думка проходить через увесь матеріал і є його головною ідеєю.

Особливий інтерес викликає те, що автори аналізують ситуацію в Азії. На перший погляд може здатися, що стаття має регіональний характер. Насправді ж Азія використовується лише як приклад середовища, де одночасно поєднуються практично всі глобальні виклики сучасності: різний рівень економічного розвитку країн, висока залежність від міжнародної торгівлі, часті природні катастрофи, геополітична напруженість, стрімка цифровізація та висока концентрація виробничих ланцюгів. Багато висновків статті мають універсальний характер і можуть бути корисними далеко за межами азійського регіону.

 

Чому традиційного управління ризиками вже недостатньо

Однією з найсильніших думок статті є твердження, що сучасні ризики дедалі рідше виникають ізольовано. Якщо ще відносно недавно компанії могли окремо аналізувати фінансові, операційні або репутаційні ризики, то сьогодні майже кожна серйозна подія запускає цілий ланцюг взаємопов’язаних наслідків.

Автори наводять низку прикладів. Геополітичні конфлікти впливають не лише на міжнародну торгівлю, а й на логістику, інфляцію, доступність фінансування, інвестиційні рішення та кібербезпеку. Кліматичні зміни одночасно породжують фізичні ризики, ризики міграції населення, перебої в роботі інфраструктури та політичну нестабільність. Цифровізація відкриває нові можливості для розвитку бізнесу, але одночасно збільшує залежність від інформаційних систем і створює нові кіберризики. У таких умовах класичний підхід, коли кожен ризик розглядається окремо, поступово втрачає ефективність.

Особливо цікавою є наведена авторами статистика. У дослідженні Всесвітнього економічного форуму (World Economic Forum National Risk Perceptions Survey) серед країн Азії до першої п’ятірки найважливіших загроз увійшло одразу 20 різних ризиків. Причому їх набір суттєво відрізняється залежно від країни. Для одних економік найбільш критичними залишаються державний борг і економічна нестабільність, для інших — інфляція, кліматичні зміни або кіберзагрози. Проте незалежно від конкретного переліку всі ці ризики дедалі більше переплітаються між собою, формуючи єдину систему взаємозалежностей.

Автори роблять важливий висновок: сьогодні вже недостатньо навчитися добре управляти окремими ризиками. Необхідно будувати організацію, здатну адаптуватися до ситуації, коли декілька криз відбуваються одночасно.

 

Resilience — це значно більше, ніж безперервність бізнесу

Однією з головних переваг статті є те, що автори дуже чітко пояснюють, що вони вкладають у поняття resilience.

У професійному середовищі цей термін нерідко ототожнюють із системою забезпечення безперервності діяльності (Business Continuity Management). McKinsey пропонує набагато ширше бачення. На думку авторів, стійка організація — це не та, яка лише швидко відновлюється після кризи. Це організація, яка заздалегідь готується до майбутніх потрясінь, здатна швидко адаптуватися до нових умов і використовує зміни для створення нових можливостей розвитку.

Цю думку автори підкріплюють результатами власних досліджень. Аналіз компаній, які найуспішніше пережили світову фінансову кризу 2008–2009 років та інші масштабні потрясіння останнього десятиліття, показав, що найкращих результатів досягали ті організації, які не обмежувалися реагуванням на кризу. Вони використовували кризові періоди для прискорення цифрової трансформації, перегляду бізнес-моделей, диверсифікації ланцюгів постачання та виходу на нові ринки. Як наслідок, темпи їхнього зростання за доходами та прибутком перевищували показники конкурентів на 20–30%.

Ця теза, на мою думку, є однією з найважливіших у всій статті. Автори фактично змінюють саму логіку сприйняття стійкості. Вона перестає бути виключно захисним механізмом і перетворюється на один із факторів конкурентоспроможності компанії.

Шість вимірів стійкості: нова архітектура сучасної організації

Одним із центральних елементів статті є запропонована авторами модель, яка описує шість взаємопов’язаних вимірів стійкості організації. Слово resilience у цьому контексті вже не означає здатність пережити кризу. Воно означає здатність компанії одночасно адаптуватися до змін, підтримувати ефективність операцій, зберігати довіру клієнтів і продовжувати реалізацію своєї стратегії навіть за умов високої невизначеності.

Особливо важливо, що автори не виділяють жоден із цих елементів як головний. Вони підкреслюють: справжня стійкість виникає лише тоді, коли всі складові працюють як єдина система. Слабкість хоча б одного компонента поступово починає впливати на інші, створюючи нові вразливості.

Фінансова стійкість (Financial resilience)

Першою складовою автори називають фінансову стійкість (Financial resilience). На перший погляд може здатися, що йдеться лише про достатній капітал або ліквідність. Насправді поняття набагато ширше.

Компанія повинна бути готовою витримати різке падіння доходів, зростання витрат, погіршення кредитної якості активів або інші фінансові потрясіння. Для цього можуть використовуватися різні інструменти: перегляд структури капіталу, оптимізація балансу, програми скорочення витрат, підвищення ефективності використання ресурсів або зміна фінансової моделі бізнесу. Автори підкреслюють, що правильно реалізовані фінансові заходи не лише допомагають пережити кризу, а й здатні створювати довгострокову додану вартість.

Важливо, що фінансова стійкість розглядається не як завдання фінансового директора. Вона стає одним із фундаментальних елементів загальної системи управління організацією.

Операційна стійкість (Operational resilience)

Другий вимір — операційна стійкість (Operational resilience).

Останні роки показали, наскільки вразливими можуть бути навіть найбільші міжнародні компанії до перебоїв у роботі постачальників, транспортної інфраструктури або виробничих майданчиків. Автори приділяють особливу увагу питанням диверсифікації постачальників, оптимізації виробничих потужностей, зниження залежності від окремих контрагентів та підвищення продуктивності всієї операційної системи.

Цікаво, що McKinsey не розглядає операційну стійкість виключно як витрати. Навпаки, ефективна оптимізація ланцюгів постачання дозволяє одночасно підвищити надійність роботи компанії та покращити її фінансові результати, тому операційна стійкість розглядається як інвестиція в майбутню конкурентоспроможність.

Цифрова та технологічна стійкість (Digital and technological resilience)

Окремий розділ автори присвячують цифровій та технологічній стійкості (Digital and technological resilience).

Ще кілька років тому подібний розділ майже повністю стосувався кібербезпеки. Сьогодні ситуація суттєво змінилася. Крім традиційних кіберризиків, компанії дедалі більше залежать від цифрової інфраструктури, хмарних технологій, великих масивів даних та систем штучного інтелекту.

Автори говорять уже не лише про захист інформаційних систем. Вони підкреслюють необхідність забезпечення прозорості роботи AI, надійності алгоритмів, контролю якості даних, запобігання маніпуляціям із моделями машинного навчання та створення систем управління штучним інтелектом (AI governance). Таким чином поняття цифрової стійкості суттєво розширюється і охоплює вже не лише ІТ-підрозділи, а практично всі бізнес-процеси організації.

Для ризик-менеджерів цей висновок особливо цікавий. Автори фактично підтверджують тенденцію, яку ми дедалі частіше спостерігаємо останніми роками: ризики використання AI поступово стають складовою корпоративної системи управління ризиками, а не окремою технічною проблемою.

Організаційна стійкість (Organizational resilience)

Четвертий вимір автори називають організаційною стійкістю (Organizational resilience).

На відміну від попередніх складових, тут основна увага приділяється людям. Йдеться про розвиток компетенцій персоналу, здатність швидко перерозподіляти ресурси, чітке визначення ролей і відповідальності, а також створення механізмів, які дозволяють організації швидко приймати рішення під час кризи.

Особливо цікаво, що автори розглядають організаційну стійкість не як питання кадрової політики. Вони прямо пов’язують її зі швидкістю управлінських рішень. Якщо під час кризової ситуації компанія змушена витрачати багато часу на погодження або не розуміє, хто має ухвалювати рішення, жодні фінансові чи технологічні переваги вже не компенсують втрату часу.

На практиці це означає, що структура управління компанією стає таким самим фактором стійкості, як і її фінансовий стан.

Репутація та бізнес-модель: два виміри, які виходять за межі класичного ризик-менеджменту

П’ятою складовою автори називають репутаційну стійкість (Reputational resilience). Це один із тих розділів статті, який добре демонструє, наскільки змінилося сучасне розуміння корпоративних ризиків.

Традиційно репутаційний ризик розглядався як наслідок певних подій: інформаційної кризи, порушення законодавства, невдалих управлінських рішень або негативної реакції клієнтів. Автори McKinsey пропонують дивитися на ситуацію зовсім інакше. На їхню думку, репутаційна стійкість починається значно раніше — із чітко сформульованої місії компанії, зрозумілих цінностей, послідовної поведінки керівництва та довіри з боку всіх зацікавлених сторін. Ось чому вони включають до цього виміру також питання ESG, декарбонізації, взаємодії з партнерами та клієнтами. Усе це формує запас довіри, який допомагає організації переживати кризові періоди без суттєвої втрати репутаційного капіталу.

Цікаво, що автори не розглядають репутацію як нематеріальний актив, який існує окремо від фінансових результатів. Навпаки, вони прямо пов’язують високий рівень довіри із покращенням взаємодії з клієнтами, підвищенням ефективності бізнесу та створенням додаткової вартості. Іншими словами, репутація перестає бути виключно сферою PR або корпоративних комунікацій. Вона стає повноцінною складовою системи управління стійкістю організації.

Шостим елементом моделі автори визначають стійкість бізнес-моделі (Business model resilience). Цей розділ, на мою думку, найбільш чітко демонструє різницю між традиційним ризик-менеджментом і сучасним підходом до стійкості.

Автори підкреслюють, що жодна, навіть найефективніша система контролю не здатна забезпечити довгостроковий успіх компанії, якщо сама бізнес-модель перестає відповідати змінам зовнішнього середовища. Стійка організація повинна постійно адаптуватися до нових потреб клієнтів, змін конкурентного середовища, регуляторних вимог і технологічного розвитку. Для цього необхідно інвестувати в інновації, диверсифікувати джерела доходів, освоювати нові ринки та інтегрувати інструменти оцінки ризиків безпосередньо у процес стратегічного прийняття рішень.

Мені дуже імпонує одна думка, яку автори фактично проводять через увесь цей розділ. Вони більше не говорять про ризик-менеджмент як про систему, що допомагає уникати втрат. Вони розглядають його як один із механізмів розвитку бізнесу. Якщо компанія здатна швидше за конкурентів побачити нові ризики, оцінити їхній потенційний вплив і змінити власну бізнес-модель, вона отримує конкурентну перевагу, і в цьому, на мою думку, полягає одна з найсильніших ідей усієї статті.

 

Чотири принципи, без яких стійкість залишається лише красивою концепцією

Після опису шести вимірів автори переходять до ще одного дуже важливого питання. Вони визнають: навіть якщо організація розуміє всі складові своєї стійкості, це ще не означає, що вона здатна їх реалізувати на практиці.

McKinsey пропонує чотири базові принципи, які повинні стати своєрідними «прискорювачами» розвитку стійкості. Це простота (simplicity), гнучкість (agility), готовність до змін (change mindset) та інноваційність (innovation).

Перший принцип — простота (simplicity) — може здатися несподіваним. Зазвичай великі організації намагаються реагувати на нові ризики шляхом створення нових процедур, комітетів, регламентів та контрольних механізмів. Автори пропонують протилежний підхід. На їхню думку, надмірна складність сама по собі стає джерелом ризику. Тому справді стійкі організації постійно спрощують бізнес-процеси, організаційну структуру, технологічну архітектуру та систему прийняття рішень. Простота дозволяє швидше реагувати на зміни, зменшує кількість помилок і водночас позитивно впливає на фінансову ефективність.

Другим принципом є гнучкість (agility). Автори наводять дуже показовий приклад великої цифрової платформи Південно-Східної Азії. Під час пандемії COVID-19 компанія практично за кілька місяців перебудувала свою діяльність: різке скорочення транспортних сервісів було компенсовано розвитком доставки, цифрових платежів та фінансових послуг. Фактично компанія не просто адаптувалася до нових умов, а створила нові джерела доходів, використавши кризу як поштовх до трансформації.

Третім принципом є готовність до змін (change mindset). І тут стаття виходить далеко за межі традиційного управління персоналом. Автори говорять про необхідність формування культури, у якій зміни не сприймаються як виняткова подія. Навпаки, організація повинна навчитися жити в умовах постійних змін, швидко розвивати нові компетенції, змінювати структуру управління та переглядати власні підходи до роботи. Як приклади наводяться японська концепція омотенасі (omotenashi), яка передбачає глибоку орієнтацію на потреби клієнта, державні програми розвитку цифрових компетенцій у Сінгапурі та масштабна трирічна трансформація корпоративної культури Commonwealth Bank of Australia після серії серйозних порушень у сфері фінансового моніторингу. Особливо показовим є висновок незалежного аудитора, який відзначив перехід банку від реактивної культури до культури, що стала більш відкритою до критики, аналізу та професійних дискусій.

Четвертим принципом автори називають інноваційність (innovation). Йдеться не лише про впровадження нових технологій, а насамперед про готовність експериментувати, навчатися та відповідально використовувати нові можливості, які відкриває сучасний технологічний розвиток. Окрему увагу приділено штучному інтелекту. McKinsey наголошує, що AI поступово стає одним із ключових інструментів управління ризиками та стійкістю, але лише за умови належного корпоративного управління, прозорості алгоритмів та ефективного контролю за їх використанням.

Від концепції до практики: три кроки побудови стійкої організації

Після опису шести вимірів стійкості та чотирьох принципів їх розвитку автори переходять до найбільш прикладної частини статті. Вони пропонують три взаємопов’язані кроки, які дозволяють організації не просто реагувати на кризи, а системно готуватися до них, навчатися на власному досвіді та постійно вдосконалювати свою здатність адаптуватися до змін. На думку авторів, ці три елементи перетворюють концепцію resilience із теоретичної моделі на практичний інструмент управління.

Перший крок — навчитися бачити майбутні загрози

Першим елементом автори називають розвиток здатності до передбачення (Develop foresight capacity).

На перший погляд може здатися, що йдеться про прогнозування майбутнього. Насправді автори вкладають у цей термін дещо інший зміст. Вони говорять про системну роботу із сигналами, сценаріями та потенційними варіантами розвитку подій. Інакше кажучи, організація повинна не вгадувати майбутнє, а бути готовою до кількох можливих сценаріїв одночасно.

Для цього McKinsey рекомендує починати із комплексної оцінки поточного рівня стійкості компанії. Така оцінка має охоплювати критично важливі напрями діяльності: ланцюги постачання, технологічну інфраструктуру, фінансову стійкість, кадровий потенціал та інші ключові елементи бізнесу. Після цього організація визначає найбільш імовірні сценарії розвитку подій, оцінює потенційні втрати та формує набір заходів як для короткострокового реагування, так і для довгострокового підвищення стійкості. Автори окремо наголошують на необхідності використання stress testing, створення систем раннього попередження (early warning systems) та регулярного перегляду сценаріїв у міру зміни зовнішнього середовища.

Дуже показовим є приклад великої австралійської гірничодобувної компанії, наведений у статті. Компанія не обмежилася загальною оцінкою інфляційних ризиків. Вона детально проаналізувала структуру власних витрат, визначила основні фактори інфляційного тиску, сформувала перелік із десяти ключових індикаторів для постійного моніторингу та переглянула стратегію роботи із постачальниками й контрагентами. У результаті керівництво отримало можливість не лише краще інформувати інвесторів про майбутні ризики, а й своєчасно впроваджувати заходи щодо їх мінімізації.

На мою думку, цей приклад дуже добре демонструє одну із ключових ідей статті: сучасний ризик-менеджмент дедалі більше переходить від реєстрації вже відомих ризиків до пошуку слабких сигналів майбутніх змін.

Другий крок — навчитися правильно реагувати

Другим напрямом автори називають формування ефективної системи реагування (Shape an effective response).

Цікаво, що McKinsey майже не використовує словосполучення crisis management. Автори виходять із того, що кризи можуть мати різну природу, але вимоги до організації залишаються однаковими: швидке прийняття рішень, чіткий розподіл відповідальності, наявність відпрацьованих процедур та можливість швидко перерозподіляти ресурси. Вони рекомендують створювати кризові сценарії (crisis response playbooks), міжфункціональні команди реагування, резервні виробничі потужності та диверсифіковані ланцюги постачання.

Особливо показовими є приклади, які автори наводять із практики азійських країн після загострення міжнародної торговельної напруженості. Компанії почали активно диверсифікувати свої виробничі майданчики, зменшувати залежність від окремих держав та будувати більш гнучкі логістичні мережі. У багатьох випадках такі рішення реалізовувалися за активної підтримки урядів.

Так, у 2020 році уряд Японії започаткував програму обсягом 2,2 млрд доларів США, спрямовану на стимулювання перенесення виробництва з Китаю назад до Японії або інших країн Азії. В Індії було реалізовано програму підтримки національного виробництва медичного обладнання та фармацевтичної продукції. В обох випадках мова йшла не лише про економічну політику, а й про підвищення довгострокової стійкості національних економік.

Автори підкреслюють ще одну важливу думку. Добре підготовлена система реагування потрібна не тільки для мінімізації збитків. Вона дозволяє організації швидше скористатися новими можливостями, які виникають під час кризи. Таким чином реагування перестає бути суто оборонною функцією.

Третій крок — зробити адаптацію постійним процесом

Найцікавішим, на мою думку, є третій етап, який автори називають Build constant adaptation into resilience strategies.

Як на мене, тут вони формулюють одну з найсильніших думок усієї статті. Багато організацій після завершення кризи прагнуть якнайшвидше повернутися до звичного режиму роботи. McKinsey вважає такий підхід помилковим.

На думку авторів, кожна криза повинна завершуватися не відновленням попереднього стану, а переглядом підходів до роботи. Для цього необхідно проводити post-event reviews, аналізувати отриманий досвід, переглядати систему управління, розвивати компетенції персоналу, вдосконалювати процеси прийняття рішень та використовувати нові технології, зокрема агентні системи штучного інтелекту (agentic AI), для моніторингу ризиків і підтримки адаптивності організації.

Дуже показовим є приклад пандемії COVID-19. Автори звертають увагу, що низка азійських країн — насамперед Сінгапур і Південна Корея — змогли швидко організувати ефективне реагування не тому, що пандемія була передбачуваною, а тому, що вони використали досвід попередніх епідемій. Було оперативно створено міжвідомчі кризові штаби, розгорнуто цифрові системи відстеження контактів, запроваджено механізми постійного моніторингу ситуації та гнучкого коригування прийнятих рішень. Особливо важливо, що автори наголошують: головний виклик сьогодні полягає вже не у створенні таких механізмів, а у збереженні цієї здатності до адаптації після завершення кризи.

 

Що особливо привертає увагу

Читаючи цю частину статті, важко не помітити одну характерну особливість. Автори майже не використовують звичний для багатьох ризик-менеджерів термін control. Значно частіше вони говорять про foresight, adaptation, agility, learning, coordination та decision-making.

На мою думку, це дуже показова зміна акцентів. Якщо традиційний ризик-менеджмент значною мірою концентрувався на контролі вже відомих ризиків, то сучасна концепція resilience дедалі більше орієнтується на здатність організації швидко навчатися, адаптуватися та змінюватися разом із зовнішнім середовищем.

В цьому, як мені здається, і полягає головна відмінність цієї статті від більшості сучасних публікацій про управління ризиками.

Що означають ці підходи для українських ризик-менеджерів

Попри те, що стаття присвячена країнам Азії, більшість викладених у ній ідей є надзвичайно актуальними і для України. Більше того, українські компанії вже кілька років працюють у середовищі, яке автори McKinsey лише описують як можливий сценарій майбутнього. Повномасштабна війна, постійні кібератаки, руйнування логістичних маршрутів, дефіцит персоналу, перебої з енергопостачанням, валютні коливання та швидкі регуляторні зміни — усе це змушує бізнес одночасно реагувати на кілька взаємопов’язаних криз. У таких умовах традиційний підхід, коли кожен ризик аналізується окремо, дедалі частіше виявляється недостатнім.

Особливо цікаво, що багато висновків McKinsey перегукуються з тими змінами, які останнім часом відбуваються і в професійній дискусії українських ризик-менеджерів. Все більше уваги приділяється не лише побудові реєстрів ризиків, оцінці ймовірності їх реалізації чи виконанню регуляторних вимог. На перший план виходять питання підтримки управлінських рішень, сценарного аналізу, оцінки стратегічної стійкості компанії та здатності швидко адаптуватися до нових умов. Фактично йдеться про поступовий перехід від управління окремими ризиками до управління стійкістю організації загалом.

Водночас ця стаття містить ще один важливий сигнал. Вона демонструє, що сучасний ризик-менеджмент дедалі більше інтегрується зі стратегічним управлінням, фінансами, цифровою трансформацією, управлінням персоналом і корпоративним управлінням. Іншими словами, ризик-менеджер поступово перестає бути лише власником методології або координатором процесу оцінки ризиків. Його роль дедалі більше зміщується до участі у прийнятті управлінських рішень, оцінці майбутніх сценаріїв розвитку компанії та підтримці її довгострокової стійкості.

Для українських фінансових установ, страховиків та інших компаній, які поступово інтегруються до європейського економічного простору, цей процес має ще один вимір. Європейські регулятори дедалі активніше розвивають вимоги щодо Operational Resilience, Digital Operational Resilience, управління критично важливими постачальниками, кіберстійкості та безперервності діяльності. Це означає, що концепція resilience найближчими роками все більше впливатиме і на українську практику корпоративного управління.

 

Висновки

Стаття McKinsey цікава насамперед тим, що пропонує змінити саму логіку сприйняття ризик-менеджменту. Автори практично не сперечаються з існуючими підходами до управління ризиками і не закликають відмовитися від традиційних інструментів. Натомість вони показують, що в сучасному світі цього вже недостатньо. Реєстри ризиків, контрольні процедури, сценарний аналіз чи плани безперервності діяльності залишаються важливими, але вони є лише окремими елементами значно ширшої системи забезпечення організаційної стійкості.

Особливої уваги заслуговує запропонована авторами модель із шести взаємопов’язаних вимірів стійкості. Вона демонструє, що фінансова стабільність, операційна ефективність, цифрова трансформація, корпоративна культура, репутація та здатність змінювати бізнес-модель більше не можуть розглядатися окремо. Взаємодія цих складових визначає, наскільки успішно компанія зможе працювати в умовах постійної невизначеності.

Не менш важливим є і практичний характер статті. McKinsey не обмежується концептуальними міркуваннями, а пропонує конкретні приклади, кейси та управлінські підходи, які вже застосовуються провідними компаніями та державами Азії. Це робить матеріал корисним не лише для академічного ознайомлення, а й для практичного переосмислення ролі ризик-менеджменту в сучасній організації.

На мій погляд, головна цінність цієї статті полягає в іншому. Вона дуже чітко показує тенденцію, яку сьогодні можна спостерігати у світовій практиці: ризик-менеджмент поступово перестає бути системою контролю і дедалі більше стає системою підтримки управлінських рішень та розвитку організаційної стійкості. Ця трансформація, ймовірно, стане одним із головних напрямів розвитку професії у найближчі роки.

Можливо, саме тому після прочитання статті залишається не стільки перелік нових інструментів чи методик, скільки значно важливіше запитання. Якщо традиційний ризик-менеджмент відповідає на питання «Які ризики можуть виникнути?», то сучасна концепція resilience ставить зовсім інше питання: «Чи здатна наша організація адаптуватися до майбутнього, яким би воно не виявилося?» Відповідь на це питання, схоже, дедалі більше визначатиме конкурентоспроможність компаній у світі, де зміни стають не винятком, а новою нормою.

 

 

Докладніше за посиланням

Сергій БАБИЧ