经营良好的公司会为他们面临的风险做准备。这些风险可能非常巨大,而且它们并不总能被成功解决——想想“深水地平线”、不守规矩的证券交易员和化工厂的爆炸——公司的风险管理职能通常负责制定协议和流程来预测、评估和减轻这些风险。
然而,即使是世界一流的风险管理系统也不能让公司为所有的事情做好准备。有些风险是如此稀罕,以至于没有任何一个经理或管理团队能够设想到它们。即使公司想到了一个概率极低的风险,但其可能性实在太低,以至于他们不愿意准备资源来应对它。这种遥远的威胁,我们称之为新型风险,不能用标准手段来管理。与公司面临的更熟悉的常规风险不同,新型风险很难用可能性或影响来量化。它们出现在三种情况中的一种。1、触发事件超出了风险承担者的想象力或经验范围,或者发生在非常遥远的地方。这类事件有时被称为黑天鹅,但它们本身并不是不可预测的。例如,2008年的全球金融危机经常被描述为黑天鹅,因为大多数投资和交易抵押贷款支持证券的银行对其投资组合中的风险视而不见。他们并没有预见到房地产价格的普遍下跌。然而,少数熟悉房地产和金融市场的投资者和银行确实预见到了抵押贷款市场的崩溃,并通过做空背靠抵押贷款的证券获得了巨额利润。不可预见的风险经常来自于公司供应商的小概率事件。以2000年3月飞利浦在新墨西哥州阿尔伯克基的一家半导体工厂发生的小火灾为例。由雷击引发的火灾在几分钟内就被当地消防部门扑灭了。工厂经理尽职尽责地向工厂的客户报告了这场火灾,告诉他们火灾只造成了轻微的损失,生产将在一周内恢复。大客户爱立信公司的采购经理检查了他手上的工厂半导体库存是否能满足未来几周的生产需要,并没有将问题上报。不幸的是,火灾的烟雾和烟尘以及对设施的大面积冲洗污染了制造高度敏感的电子晶圆的洁净室,生产在几个月内都没有重新开始。当爱立信的采购经理了解到这一延误时,该厂几种晶圆的所有替代供应商都已经与其他公司签订了生产合同。组件的短缺使爱立信下一代移动电话的推出被延迟,因此损失了4亿美元的收入,并导致其在第二年退出了这个市场。大型的、相互关联的技术、系统和组织可能会导致这样一种情况:一些事件,每一个在孤立的情况下都是可控的,但同时又会形成一个“完美风暴”。以波音公司开发的787梦想飞机为例。在这架飞机上,波音公司引进了新的结构材料——复合材料,替代了铝,以使机身更轻;要求其一级供应商在设计、工程和子组件的集成方面承担前所未有的责任;用需要大型锂电池作为备份电源的电子控制取代前几代飞机使用的液压控制。2011年《西雅图时报》采访的一位波音工程师指出,与之前的所有机型相比,787是“一架更复杂的飞机,有更新的想法、新的功能、新的系统、新的技术”。
波音公司在787的开发过程中经历了七次重大的、意想不到的延误,商业飞行的开始时间比原计划晚了三年半。这些延误增加了100多亿美元的开发成本,并迫使波音公司收购了一个主要供应商以防止其破产。787飞机推出后,其机载锂电池在多次飞行中起火,这导致监管机构将所有飞机停飞数月。该公司告诉路透社:“我们在同一时间做了太多的改变——新技术、新设计工具和供应链的改变——因此超出了我们有效管理的能力。”
组织训练人员,设计设备,并制定应对措施,以解决可预见的风险,但为超过一定规模的事件做准备是不切实际或不经济的。此外,有些事件是如此之大,甚至使最好的成本效益分析也变得过时,而且发生得如此之快,计划完全来不及反应。在日本的福岛核电站灾难之后,我们将这一类别称为海啸风险,这是一个典型的例子。福岛,像日本的许多其他电厂一样,在设计上可以抵御罕见的事件,如地震和高达5.7米的海浪。但是,2011年3月,日本东部发生的地震产生了惊人的14米高的海啸,席卷了该电厂的海堤,填满了地下室,并使该电厂的应急发电机停电,而该电厂已经在地震中受到严重破坏。这种影响是压倒性的。该厂发生了三次反应堆融毁和三次氢气爆炸,在当地释放出放射性污染,迫使10多万人撤离。在接下来的三年里,东京电力公司支付了超过380亿美元,以补偿个人和企业的损失。新冠肺炎疫情也是如此。世界已经有管理引起急性呼吸道症状的病毒全球爆发的经验,包括2003年的SARS疫情、2004至2006年的H5N1“禽流感”和2009年的H1N1。新冠病毒尽管是SARS的一个变种,但它的新颖性在于它所感染的人既无症状又有较强的传染性,其传播范围和速度远远超出大多数国家医疗系统的准备。公司有时可以通过情景分析(一种常规的风险管理工具)来识别新型风险,然后采取行动来减轻它们,从而避免新型风险的最坏后果。但即使经常应用,这种技术也不会涵盖所有的可能性,公司迟早会面临他们没有做过准备的风险。新型风险出现的最明显的信号是反常现象——那些说不通的事情。这听起来很明显,但大多数反常现象都很难被人们识别或处理。以前面描述的两个案例为例。一个有经验的半导体采购经理完全能意识到,即使是轻微的火灾,也会伴随着烟尘、烟雾和大量的水,从而影响到无尘室的完整性。波音公司的一位高级风险经理,估计对复杂的工程项目很熟悉,应该也能预料到在飞机的开发过程中可能会出现新型风险,因为第一级供应商正在执行他们以前从未做过的主要任务,飞机采用了以前从未在大型飞机上如此大规模使用的材料,熟悉的模拟液压控制被全新的电子控制所取代。未能捕捉到信号的根源在于偏见,这些偏见的存在是有证据证明的。几十年的行为研究表明,人们关注那些证实他们信念的信息,但当信息与他们的信念相冲突时,就会被置之不理。他们经常把反复出现的偏差和差点发生的事情当作小插曲。这种偏差的正常化被群体思维所强化,导致团队领导压制或忽视下级人员报告的担忧和异常情况。偏见也经常被标准程序所强化。例如,1998年,德国铁路公司的一辆高速列车在德国下萨克森州出轨,造成101人死亡,另有88人重伤。但这次事故本来是可以避免的。一名乘客看到一大块金属(后来确定是车轮的一部分)从地板上冒出来,进入车厢,卡在两个乘客座位之间。但他没有启动附近的紧急刹车,因为一个醒目的标志警告说,如果旅客擅自拉动刹车,将被处以巨额罚款——这一措施旨在防止不必要的列车停运。这名乘客尽职尽责地去找售票员,售票员有权启动刹车,但还是没有这样做。当该列车长被德国铁路公司以玩忽职守告上法庭时,他成功地为自己的行为辩护,声称他遵循了既定的,要求他在触发紧急停车之前目视检查任何问题(在这种情况下是在几个车厢之外)的规则。他遵守管理常规风险的协议,延迟了他对新事件的反应,最终造成了灾难性的后果。
最重要的是,认识到一个新型风险需要人们抑制他们的本能,质疑他们的假设,并对情况进行深入思考。正如丹尼尔·卡尼曼(Daniel Kahneman)所说的那样,不幸的是,这种系统的思考比快速评估和遵守规则更耗时,要求更高。而在火车脱轨这样的情况下,当下的压力使得人们更有可能默认他们的本能思维模式。鉴于这些问题,公司不能依靠熟悉常规风险规程的管理人员来识别新型风险。相反,他们应该授权一位高级管理人员来担心可能出错的问题。
飞利浦阿尔伯克基半导体工厂的另一个大客户诺基亚规定,与供应链中任何异常事件有关的信息都必须报告给负责运营、物流和采购的高级副总裁。这位高管很少承担日常运营责任,但他是公司最高级别的故障排除者,我们喜欢叫他“首席担忧官”。这个角色与传统的首席风险官不同,后者的首要任务是改善对已知常规风险的管理并识别新风险,然后将其转化为可管理的常规风险。相比之下,担忧官必须迅速认识到任何新型风险的出现,并实时调动一个流程来解决这个问题。当诺基亚的采购经理接到关于工厂火灾的电话时,他检查了现有的库存水平是否足够,并把它作为一个常规事件记录下来,就像他的爱立信同事所做的那样。但根据规定,他将其作为供应链的异常情况报告给高级副总裁。这位副总裁进一步调查后得知,该工厂的零件短缺可能会影响到公司5%以上的年产量。副总裁动员了一个30人的多功能团队来管理这一潜在威胁。工程师们重新设计了一些芯片,以便从其他来源获得这些芯片;团队很快从其他供应商那里购买了剩余大部分需要的芯片。但还有两种型号的芯片,供应商只有飞利浦。诺基亚副总裁打电话给正在公司飞机上的首席执行官,向他介绍了情况,并让他改变飞机的航线,在荷兰降落,去飞利浦总部与飞利浦的首席执行官会面。根据这位故障排除者在《华尔街日报》的采访,会后两家公司同意“飞利浦和诺基亚在这些部件的业务上会像一家公司一样运营”。实际上,诺基亚现在可以将飞利浦作为这两种稀缺芯片的专属供应商。这种关系使诺基亚能够维持现有手机的生产,按时推出其下一代手机,并在爱立信退出手机市场时受益。正如瑞士电力公司Swissgrid的经验所表明的,数字技术可以成为寻找异常情况的有力工具。通过一个用户友好的移动应用程序RiskTalk,瑞士电网公司的员工可以快速报告安全违规、维护问题和很可能即将发生的设备故障。风险、安全和质量管理人员分组轮流在中央控制室监控应用程序的信息,应用数据分析将这些小的、不相关的报告联系起来,并识别潜在的新型风险。这样,如果一个控制室经理认为一个低概率的新型风险可能发生,他就可以更深入地分析它,以确定是否实施一个非常规方案作为应对。实际上,团队成员作为公司的首席担忧官,被授权深入思考并快速应对新型风险。
除了鼓励员工报告外,公司还可以从组织外寻找有关新型风险的信息。Swissgrid已经与瑞士军队、瑞士国家警察部队以及其他一些联邦和州的机构和公司联合起来,开发了一个实时的国家危机管理平台,所有相关方都可以访问。每个实体都使用该平台来报告其了解到的任何问题,如森林火灾、引发大规模交通堵塞的事故、阿尔卑斯山的异常雪况或雪崩。与平台相连的瑞士电网公司的风险管理人,可以及早了解有可能中断对客户可靠电力供应的外部情况。
公司也可以通过查看其他行业和国家发生的情况,然后问自己:“如果在这里发生,会怎么样?”,来间接地识别潜在的新型。在Swissgrid,高级风险官一直关注着令人不安的事态发展,如瑞士航空的破产和航运巨头马士基遭受的高调网络攻击。在任何此类事件发生后,他都会安排一个由每个业务部门的高级经理和风险官员以及外部相关专家参加的特殊风险研讨会。经过讨论,该小组制定了一个行动计划,如果瑞士电网的供应链发生类似的情况,就可以实施该计划。这个系统化的过程有助于公司发现潜在的新型风险,并将其转化为可管理的风险。正如Swissgrid的首席执行官Yves Zumwald所指出的,“我们的业务太复杂了,个别风险和错综复杂的联系分布在我们所有的单位,想要让一个人全部掌握是不可能的。然而,我们不能等待问题的出现,然后像消防员一样解决它们。[我们建立的系统]使我们能够积极主动地解决很多问题”。这些问题现在包括许多对大多数其他公司来说完全是意外的风险。尽管公司努力预测万一,但新型风险仍然会发生,公司无法在发生之后就马上有一个剧本或备案来管理它们。而且,运营或风险管理人的背景也不能帮助他们快速和适当地做出反应。在这种情况下,公司需要做出满足以下条件的决定:(a)足够好;(b)能足够快地做出应对;(c)能足够好地沟通以被理解;(d)能被足够好地执行,直到出现更好的选择。一家公司在事后管理上有两种选择:当一个事件具有广泛的影响,但不需要一个完整的、即时的解决方案时,这种处理新型的标准方法——创建一个中央小组来监督应对措施——是很好的。这个团队应该由来自公司不同职能和级别的员工、具有相关专业知识的外部人员、以及利益相关者和合作伙伴的代表组成。例如,对于像新冠疫情这样的新事件,公司的关键应对团队需要具有医疗、公共卫生和公共政策专业知识的人,而公司内部可能没有这些人。为了管理大规模产品开发延迟的后果——例如,一架新飞机——团队应该与供应商密切合作。随着时间的推移,随着情况的变化和新信息的出现,团队的成员可能会改变。
团队要解读形势,确定最重要的问题,并在公司的多个、有时是相互竞争的部分和利益中确定优先次序。它可以将具体问题,比如如何获得现金和保持现金水平,以及如何管理供应链中的关键部分,委托给其他个人或小组来研究,但团队必须为协调应对措施的所有方面负责任。
该小组通常至少每天开会,如果事件发展迅速,则更频繁。它负责管理公司内部的沟通,并指导首席执行官进行外部沟通。所有的沟通都应该对现实情况的残酷保持诚实,明确强调组织还不知道的事情,为希望提供合理的基础,并同所有受事件影响的利益相关者共情。讨论的机制很重要。突发事件小组将不同的人聚集在一起,这些人可能以前从未见过,可能不愿意与他们不认识的人坦诚相待,尤其是组织中的高层。其目的是鼓励探究,而不是寻求赞同,这就是为什么会议必须是心理上安全的聚会,每个人都可以提供未经验证的想法,并提出不同意见。什么是正确的远比谁是正确的更重要。这也是为什么应该由除了团队领导之外的其他人来主持会议的部分原因。通过倾听而不是发言,领导者减少了下属听从首席决策者意见的可能性。一些新型风险没有部署危急事件小组的条件。时间是最重要的,而且有关情况的细节很难传达给远离威胁发生地的公司总部。在这种情况下,应对措施必须委托给最接近事件的人员。以“冒险旅行社”(化名)为例,这是一家总部设在波士顿的公司,向有经验的旅行者提供小众旅行。它最初雇用了熟悉其目标客户的美国导游。但首席执行官很快痛苦地了解到,任何旅行都可能涉及事故、疾病,以及极端天气、自然灾害、政治动荡、酒店取消、航空公司延误和罢工造成的干扰。新型风险伴随着企业的发展。在一个漫长而代价高昂的过程中,公司用每个国家的当地导游取代了其美国导游,这些导游对其所在地区有相当的了解,并与当地有密切的联系。该公司授权新的导游解决问题,并对旅行中出现的任何新情况采取应对措施。公司认为,导游对可能出现的挑战有最好的信息;有最好的知识、关系和资源来制定创造性的对策;最了解旅行团对对策的偏好;并有能力将选定的解决方案快速付诸实施。公司总部执行适合由总部工作人员处理的任务(如重新安排航班和重新预订酒店)来帮助他们。这家旅游公司授权运营人员同时担任风险管理员的分散做法,偏离了既定的风险管理标准。但是,对于一个需要立即反应的遥远的新事件,集中的风险管理人对该事件的信息有限,不了解当地的选择和偏好,几乎没有能力迅速实施反应。
鉴于在一个不确定的、动态的环境中,可用的信息非常少,无论是集中的团队还是当地雇员的最初决定都是推测性的。不可能将完全正确作为绩效标准。事后看来,任何反应都可能是次优的。但公司除了迅速做出一个“可能大致正确”的决定,从中吸取教训,获取新的信息,并再次采取行动以保持处在事态前沿之外,别无选择。(关于如何做到这一点,请参见“OODA循环”)。
风险有很多形式和味道。公司可以管理他们所知道和预期的风险。但是,新型风险——那些完全突如其来的风险——要么来自表面上常规的事件的复杂组合,要么来自史无前例的大规模事件。公司需要发现这些风险,然后启动一种不同于管理常规风险的标准方法的应对措施。这种应对必须是快速的、即兴的、反复的和谦逊的,因为并非所有应对行动都会达成预期效果。
备注:以上内容版权所有归属《哈佛商业评论》(Harvard Business Review),内容以原版为准。
