Уважно ознайомився з публікацією Річарда Андерсона (Richard Anderson) про роль реєстрів ризиків і те, як вони впливають на сприйняття невизначеності в організаціях. Тема, на перший погляд, доволі знайома — реєстри ризиків давно стали стандартом, обов’язковим елементом корпоративного управління і, якщо чесно, майже «священним артефактом» у багатьох компаніях. Але саме слово «артефакт», яке проходить через увесь текст, як на мене, і є ключем до розуміння проблеми.

Андерсон не критикує сам інструмент. Він ставить під сумнів те, як ми його використовуємо. Реєстри ризиків створювалися для того, щоб навести порядок: ідентифікувати загрози, призначити відповідальних, продемонструвати контроль. І в цьому сенсі вони працюють. Вони створюють відчуття структури і керованості. Але питання в іншому: чи означає це, що організація краще бачить ризик?

І от тут відповідь, яку пропонує автор, виглядає доволі жорсткою. Реєстр — це завжди про минуле. Це опис того, що вже було усвідомлено, сформульовано і погоджено. А ризик, особливо в складних системах, з’являється значно раніше — у вигляді слабких, нечітких сигналів. І саме ці сигнали найчастіше залишаються поза увагою.

Якщо подивитися на практику, це дуже впізнавана ситуація. Ризик рідко приходить у вигляді готового запису з оцінкою ймовірності і впливу. Він проявляється через дрібні відхилення: дивні рішення, неформальні обходи процесів, небажання ескалювати проблему, надмірну впевненість у крихких припущеннях. Але ці речі не потрапляють у реєстр. Вони не вписуються в категорії. Вони «ще не ризик».

І саме в цьому, як на мене, і криється головна пастка. До моменту, коли ризик стає достатньо зрозумілим, щоб його зафіксувати, він уже встиг вплинути на результат. Реєстр фіксує не початок ризику, а його пізню стадію. Це доволі неприємне усвідомлення, особливо якщо врахувати, скільки уваги приділяється саме якості реєстрів.

Андерсон пропонує подивитися на проблему ширше — як на протиставлення «артефактів» і «сигналів». Артефакти — це те, що зручно: їх можна перевірити, задокументувати, показати аудитору. Сигнали — це те, що незручно: вони фрагментарні, суперечливі, часто суб’єктивні. І природно, що організації віддають перевагу першому.

Але ця перевага має свою ціну. Команди починають фокусуватися на тому, що можна формалізувати, а не на тому, що викликає сумнів. Розмови, які не вписуються в існуючу логіку, відкладаються або спрощуються. Слабкі сигнали сприймаються як шум. І з часом відбувається парадоксальна річ: чим більш дисциплінованою стає організація в документуванні ризиків, тим менш чутливою вона стає до їхнього виникнення.

У цьому контексті ідея Risk Intelligence, яку пропонує автор, виглядає як спроба змінити саму ієрархію. Не відмовитися від реєстрів, а поставити їх на інше місце. Зробити первинними не записи, а спостереження. Це означає, що увага переноситься з категорій на сигнали: зміни в поведінці, повторювані «винятки», небажання піднімати питання, напруження в комунікації. Жоден із цих елементів не є «ризиком» у класичному сенсі, але всі вони можуть бути його ранніми проявами.

І тут виникає ще одна складність, яку, як на мене, дуже точно підмічає автор. Сигнали погано поводяться в традиційних системах. Вони не піддаються простому агрегуванню, швидко втрачають актуальність, часто суперечать один одному. І саме тому стандартна реакція організації — «навести порядок»: додати індикатори, пороги, метрики. Але результат зазвичай протилежний. Замість кращого розуміння виникає перевантаження сигналами. І тоді увага знову повертається до знайомих, «чистих» артефактів.

Це дуже впізнавана динаміка. З точки зору практичного ризик-менеджменту, у цьому місці, як на мене, виникає ключове питання. Чи здатна організація утримувати невизначеність достатньо довго, щоб вона перетворилася на розуміння? Чи вона змушена занадто швидко «закривати» її через формалізацію? Бо реєстр — це завжди про закриття: ризик описаний, оцінений, закріплений за власником. А сигнали — це про відкритість: щось відбувається, але ми ще не до кінця розуміємо, що саме.

І саме ця різниця визначає, чи буде організація помічати ризики рано чи лише фіксувати їх постфактум. У підсумку автор приходить до доволі збалансованого висновку. Реєстри ризиків не потрібно відкидати. Вони мають свою роль — як знімок того, що організація вважає зрозумілим. Але проблема виникає тоді, коли цей знімок починає сприйматися як реальність. І, як на мене, це дуже точне формулювання. Бо ключове питання тут не в інструментах, а в підході. Чи є реєстр початком розуміння — чи його фінальною точкою. І якщо чесно, у багатьох випадках відповідь доволі очевидна.

Цікаво, що обговорення під постом Річарда Андерсона у LinkedIn фактично розвинуло і поглибило ключову ідею його статті. Кілька учасників дискусії незалежно один від одного підкреслили, що проблема слабких сигналів полягає не стільки в їх виявленні, скільки в тому, що з ними відбувається далі. Як слушно зазначив один із коментаторів, слабкі сигнали рідко «провалюються» на етапі спостереження — вони губляться на етапі передачі всередині організації, коли система просто не має місця, щоб утримати їх до моменту, коли вони стануть зрозумілішими.

Ця думка добре резонує з іншим зауваженням: сигнали часто відчуваються раніше, ніж можуть бути пояснені. Це створює додаткову напругу для менеджменту. Люди бачать або відчувають, що «щось не так», але не мають достатньо аргументів, щоб це формалізувати або ескалювати. І саме в цей момент багато організацій втрачають можливість раннього реагування — не через відсутність інформації, а через відсутність впевненості діяти без повного пояснення.

Окремо в дискусії піднято тему horizon scanning, яка в окремих сферах, таких як фінансові злочини чи шахрайство, вже є усталеною практикою, але в інших напрямках ризик-менеджменту залишається фрагментарною і несистемною. Це ще раз підкреслює, що робота з сигналами — це не лише питання культури, а й питання інституційного дизайну.

Декілька коментарів також акцентують увагу на ролі організаційної інфраструктури. Сигнали, потрапляючи в управлінський контур, часто «нормалізуються» — перетворюються на зрозумілі наративи, які відповідають існуючим моделям. У результаті до рівня ради директорів доходить вже не сам сигнал, а його інтерпретація, яка зручна для системи. І це створює розрив між тим, що реально відбувається в організації, і тим, що потрапляє в офіційні звіти.

У цьому контексті особливо цікавою виглядає ідея про необхідність не лише «краще слухати сигнали», а створювати такі механізми, які дозволяють зберігати їх у первинному, ще не інтерпретованому вигляді достатньо довго. Фактично мова йде про здатність організації витримувати невизначеність і не поспішати з її спрощенням.

Узагальнюючи дискусію, можна сказати, що вона зміщує акцент із технічного питання «як фіксувати сигнали» до значно складнішого питання — «як з ними жити всередині організації». І це, як на мене, дуже точно доповнює основну тезу статті: проблема не лише в тому, що ми не бачимо ризики, а в тому, що ми занадто швидко перетворюємо їх на щось зрозуміле, втрачаючи при цьому їхню справжню природу.

Докладніше за посиланням

Сергій БАБИЧ