Книга: Управление рисками
На главную: Предисловие
Дальше: Как встроить риски в вашу бизнес-модель. Каран Гиротра, Сергей Нетесин

Управление рисками

Новая система

Роберт Каплан, Анетт Майкс

Когда в 2007 году Тони Хейворд стал генеральным директором BP, он торжественно пообещал сделать безопасность своим приоритетом. В числе правил, которые он ввел, были требования к сотрудникам закрывать кофейные чашки крышечками при ходьбе и воздерживаться от написания текстовых сообщений за рулем. Три года спустя на глазах Хейворда в Мексиканском заливе взорвалась нефтяная вышка Deepwater Horizon, вызвав одну из самых страшных техногенных катастроф в истории. Комиссия по расследованию определила, что причиной стали ошибки руководства, которые парализовали «способность ответственных лиц выявлять риски, надлежащим образом оценивать их, информировать о них и устранять».

История Хейворда отражает общую проблему. Несмотря на все обсуждения и вложенные средства, чаще всего управление рисками сводят к введению множества правил и принуждению сотрудников следовать им. Конечно, многие из таких правил разумны и снижают некоторые риски, способные нанести серьезный ущерб компании. Но управление рисками, основанное на правилах, не в силах ни снизить вероятность такой катастрофы, как взрыв Deepwater Horizon, ни уменьшить ее последствия. Ведь никакие правила не смогли предотвратить крах многих финансовых учреждений во время банковского кризиса 2007–2008 годов.

Понимание трех категорий риска

Риски, с которыми сталкиваются компании, делятся на три категории. И каждая из них требует своего подхода к управлению. Предотвратимые риски возникают внутри организации, и их можно отследить и контролировать с помощью правил, ценностей и стандартных инструментов, которые обеспечивают соблюдение норм. Стратегические и внешние риски, напротив, требуют отдельных процессов. Руководители должны открыто обсуждать их, чтобы найти экономически эффективные способы снизить вероятность возникновения таких рисков или смягчить их последствия.

Идея вкратце

Управление рисками, несмотря на громкие заявления о его важности и вкладываемые в него средства, слишком часто рассматривается как вопрос простого соблюдения норм.

Основанная на правилах система управления рисками может хорошо работать, если нужно внедрить ценности или контролировать сотрудников. Но она не подходит для предотвращения угроз, которые могут помешать реализации стратегии компании или которые связаны с серьезными изменениями внешней среды. Эти типы риска требуют систем, нацеленных на создание условий для обсуждения и дебатов.

В случае стратегических рисков компании должны адаптировать управление ими к масштабу потенциального урона и к скорости изменения его характера. Хотя мероприятия по управлению рисками варьируются от компании к компании, они должны быть частью корпоративных процессов стратегического планирования.

Чтобы управлять крупными внешними рисками, не поддающимися контролю со стороны компании, применяются такие инструменты, как ролевые тренинги и анализ сценариев развития событий. Выбор подхода зависит от того, как быстро могут проявиться потенциальные последствия рискового события, а также от факторов возникновения риска — геополитических, экологических, экономических или конкурентных.

В этой статье мы представляем новую классификацию рисков, которая позволит определить, какими рисками можно управлять с помощью основанной на правилах модели, а какие требуют иных подходов. Мы исследовали индивидуальные и организационные проблемы, возникающие в ходе открытых конструктивных дискуссий на тему управления стратегическими рисками, и утверждаем, что компании должны включить эти обсуждения в процесс разработки и реализации своей стратегии. В заключение мы рассмотрим, как организации могут выявлять непредсказуемые внешние риски и готовиться к ним.

Управление рисками: правила или диалог?

Первый шаг в создании эффективной системы управления рисками — понимание, что организация сталкивается с разными типами рисков. Наши исследования показывают: любой риск попадает в одну из трех категорий. Каждая категория включает в себя события, которые могут оказаться роковыми для стратегии компании и даже для дальнейшего существования бизнеса.

Выявление предотвратимых рисков и управление ими

Компания не в силах предвидеть каждую ситуацию, в которой у сотрудника может возникнуть конфликт интересов.

Таким образом, первая линия защиты от предотвратимых рисков состоит в четком разъяснении целей и ценностей компании.

Миссия

Хорошо продуманная миссия организации отражает ее основную цель и служит путеводной звездой для всех сотрудников. Например, первый пункт знаменитого кредо Johnson & Johnson гласит: «Наша основная ответственность — перед врачами, медсестрами и пациентами, перед матерями и отцами, а также перед всеми остальными, кто пользуется нашими продуктами». Таким образом все сотрудники понимают, чьи интересы для компании приоритетны в любой ситуации. Каждый работник должен знать и поддерживать миссию организации.

Ценности

Компании должны сформулировать ценности, которыми сотрудники могут руководствоваться, взаимодействуя с клиентами, поставщиками, коллегами, представителями сообществ и акционерами. Ясная система ценностей поможет работникам избежать нарушения стандартов компании и сведет на нет угрозу ее репутации и активам.

Границы

Сильная корпоративная культура разъясняет, чего делать нельзя, а четкое определение границ эффективно контролирует действия. Только вдумайтесь: девять из десяти заповедей и девять из первых десяти поправок к Конституции США (широко известные как Билль о правах) сформулированы в отрицательной форме. Компаниям нужны корпоративные кодексы делового поведения, которые определяют действия в случае конфликта интересов, недобросовестной конкуренции, разглашения коммерческой тайны и конфиденциальной информации, взяточничества, дискриминации и сексуальных домогательств.

Конечно, четко обозначенные миссия, ценности и границы сами по себе не гарантируют, что сотрудники будут вести себя надлежащим образом. Чтобы противостоять ежедневному давлению организационной жизни, топ-менеджеры должны сами подавать пример и показывать, что их слова не расходятся с делами. Компаниям необходимо создать надежные системы внутреннего контроля: например, разделение полномочий и процесс информирования о нарушениях, чтобы не только уменьшить количество проступков, но и свести на нет любой соблазн их совершать. Независимый отдел внутреннего аудита, который бы постоянно проверял, как сотрудники соблюдают стандарты и правила компании, тоже удерживал бы людей от нарушений и выявлял бы уже совершенные.

Категория 1: предотвратимые риски

Это внутренние риски, которые возникают в самой организации. Их можно контролировать и необходимо устранять или избегать. Например, это могут быть риски, связанные с несанкционированными, незаконными, неэтичными, неправильными или неуместными действиями сотрудников и менеджеров, а также риски сбоев в повседневных рабочих процессах. Безусловно, у компаний должна быть «зона терпимости» к недостаткам или ошибкам, которые не приведут к серьезному ущербу или полное устранение которых обойдется слишком дорого. Но в целом такие риски нужно устранять, поскольку они не дают каких-либо стратегических преимуществ. Жуликоватый трейдер или сотрудник, подкупающий местного чиновника, могут принести компании некоторую краткосрочную прибыль, но со временем их действия снизят ее стоимость.

Риски этой категории лучше всего регулировать с помощью активной профилактики: следить за рабочими процессами и поведением людей, направлять их решения в русло, соответствующее нормам. Поскольку о таком подходе на основе правил уже написано немало, мы не станем подробно разбирать его и ограничимся врезкой «Выявление предотвратимых рисков и управление ими».

Категория 2: стратегические риски

Компания добровольно принимает на себя некоторые риски ради улучшения стратегических результатов. Банк берет на себя риск, например, когда он предоставляет кредит; многие компании рискуют, занимаясь исследованиями и разработками.

Стратегические риски сильно отличаются от предотвратимых рисков, так как по сути их нельзя назвать нежелательными. Стратегия, нацеленная на получение высокой прибыли, обычно предполагает значительные риски для компании, и управление ими — ключевой фактор получения потенциальной выгоды. BP серьезно рисковала, решив бурить в Мексиканском заливе скважину глубиной несколько километров, — но она надеялась хорошо заработать на добытых нефти и газе.

Модель, основанная на правилах, неприменима к стратегическим рискам. Вместо этого нужна система управления, которая снизит вероятность возникновения риска, а в случае наступления рискового события поможет компании контролировать или сдерживать последствия. Подобная система не помешает компании предпринимать рискованные шаги, а, напротив, позволит идти на более высокий риск, чтобы добиться потенциально большей прибыли, чем у конкурентов, не имеющих столь эффективной системы.

Категория 3: внешние риски

Некоторые риски возникают в результате событий, происходящих за пределами компании, и находятся вне сферы ее влияния или контроля. Источником могут быть стихийные бедствия, а также политические и крупные макроэкономические сдвиги. Внешние риски требуют особого подхода. Поскольку компании не могут предотвратить такие события, следует сосредоточиться на их выявлении (как правило, при помощи оценки событий прошлого) и смягчении последствий.

Компании должны выстраивать свои процессы управления рисками в соответствии с этими тремя категориями. Хотя тактика, основанная на соблюдении нормативных требований, эффективна в случае предотвратимых рисков, она не подходит для стратегических или внешних рисков, которые требуют принципиально иного подхода, основанного на прямом и открытом обсуждении. Это, однако, не так просто сделать; обширные исследования поведения людей и организаций показали, что мы предпочитаем не думать о вероятных рисках и не обсуждать их заранее.

Почему так трудно говорить о рисках

Многочисленные исследования показывают, что люди переоценивают свою способность влиять на события, которые на самом деле в значительной степени определяются случайностью. Мы слишком самонадеянны, когда дело касается точности наших прогнозов и оценок рисков, и не в полной мере представляем себе возможные последствия.

Мы также привязываем наши оценки к легкодоступным доказательствам, несмотря на то что линейно экстраполировать события прошлого на крайне неопределенное и переменчивое будущее довольно опасно. Часто этой особенности сопутствует предвзятость подтверждения, которая побуждает нас отдавать предпочтение информации (как правило, позитивной), поддерживающей нашу точку зрения, и подавлять информацию (чаще всего негативную), которая ей противоречит. Когда события не соответствуют нашим ожиданиям, мы склонны придерживаться выбранного курса, нерационально вкладываем в него еще больше ресурсов, выбрасывая деньги на ветер.

Организационные предубеждения также препятствуют нашей способности обсуждать риск и неудачи. В частности, команды, сталкивающиеся с неопределенными условиями, часто прибегают к групповому мышлению: после того как какие-то решения или действия получают поддержку большинства, остальные несогласные придерживают при себе свои возражения (хотя и обоснованные) и подчиняются. Групповое мышление чаще проявляется, когда команду возглавляет властный или самоуверенный руководитель, стремящийся свести к минимуму конфликты, задержки и угрозы своему авторитету.

В совокупности эти когнитивные искажения — как индивидуальные, так и организационные — объясняют, почему так много компаний упускают из виду или неправильно истолковывают неявные угрозы. Вместо того чтобы снижать риск, фирмы фактически сами нормализуют отклонения, поскольку они игнорируют незначительные сбои и дефекты и воспринимают сигналы о надвигающейся опасности как ложные.

Эффективные процессы управления рисками должны противостоять этим ошибкам мышления. «Контролировать риски довольно нелегко», — говорит Джентри Ли, главный системный инженер Jet Propulsion Laboratory (JPL) подразделения NASA. Ученые-ракетчики в проектных группах JPL — выпускники элитных университетов, и многие из них никогда не сталкивались с неудачами ни во время учебы, ни на работе. Когда Ли решил создать в JPL новую культуру профилактики рисков, самым сложным оказалось научить проектные группы думать об уязвимых местах в их превосходных конструкторских решениях и заранее это обсуждать.

Разрешающие и запрещающие правила здесь не помогут. Фактически они производят противоположный эффект: в команде поощряется стереотипность мышления, которое подавляет критику и препятствует обсуждению. Управление стратегическими и внешними рисками требует совершенно иных подходов. Мы рассмотрим сначала, как выявлять и снижать стратегические риски.

Управление стратегическими рисками

За 10 лет исследований мы столкнулись с тремя подходами к управлению стратегическими рисками. Какой из них следует выбрать конкретной фирме, во многом зависит от типа организации, ее сферы деятельности и задач. Каждый подход требует совершенно разных структур и ролей, но все три поощряют сотрудников оспаривать имеющиеся предположения и открыто обсуждать информацию о рисках. Наш вывод о том, что универсального рецепта не существует, противоречит убеждениям законодательных органов и профессиональных ассоциаций, которые стремятся стандартизировать управление рисками.

Независимые эксперты

Некоторые организации (особенно такие, как JPL), которые занимаются технологическими инновациями, сталкиваются с высоким внутренним риском, поскольку они реализуют долгосрочные, сложные и дорогостоящие проекты. Но характер рисков мало меняется со временем, так как они возникают в силу действия известных законов природы. Поэтому подобные организации могут управлять рисками на стадии проекта.

Например, JPL учредила комитет по рассмотрению рисков. В него вошли независимые технические эксперты, которые должны критически оценивать решения инженеров-конструкторов, выявлять слабые места таких решений и предлагать меры по их устранению. В течение всего цикла разработки продукта эксперты регулярно занимаются переоценкой рисков. Поскольку для проектов JPL характерны почти похожие риски, члены комитета встречаются один-два раза в год, а его глава и руководитель проекта — ежеквартально.

Заседания комитета по рассмотрению рисков проходят бурно, в обстановке, которую Джентри Ли называет «культурой интеллектуальной конфронтации». «Мы рвем друг друга на части, бросаемся камнями и жестко критикуем все, что происходит в компании», — говорит член совета Крис Левицки. В ходе обсуждений инженеры проекта начинают видеть свою работу с других ракурсов. «У них появляется свежий взгляд», — добавляет Левицки.

Независимо от своего характера — конструктивного или деструктивного — встречи не направлены на то, чтобы помешать команде проекта решать амбициозные задачи и воплощать замыслы. Но они заставляют инженеров заранее подумать о том, как они будут защищать свои проектные решения и в достаточной ли мере учтены возможные сбои и дефекты. Члены комитета выступают в качестве «адвокатов дьявола» — уравновешивают самонадеянность инженеров, не допуская фокусировки на проектах с неприемлемым уровнем риска.

В JPL комитет по рассмотрению рисков не только поддерживает активные обсуждения, но и имеет бюджетные полномочия. Он устанавливает размеры возможных дополнительных финансовых и временны́х затрат для каждой стадии проекта в соответствии с его инновационностью. Например, на простое усовершенствование первоначальной концепции требуется от 10 до 20% финансового резерва, тогда как для чего-то совершенно нового, что и на Земле-то неизвестно как будет работать, а уж на далекой планете — тем более, закладывают 50–75% на непредвиденные расходы. Резервы гарантируют, что при возникновении проблем (а это неизбежно) команда проекта может распоряжаться необходимыми для их решения деньгами и временем, не ставя под угрозу дату запуска. JPL серьезно относится к этим оценкам; некоторые проекты были отложены или отменены, если средств оказалось недостаточно для покрытия рекомендованных резервов.

Фасилитаторы

Многие организации, занятые в сфере электро- и водоснабжения, работают в стабильной технологической и рыночной среде при относительно предсказуемом потребительском спросе. В такой ситуации риски в основном проистекают из разрозненных, не связанных между собой производственных решений. Поэтому проблемы постепенно накапливаются и их серьезность остается неочевидной в течение длительного времени.

Поскольку ни один коллектив не обладает достаточными знаниями для управления операционными рисками на уровне всей организации, компания может собрать относительно небольшую централизованную команду, к которой бы стекалась информация от операционных менеджеров. Таким образом, у руководителей будет полная картина о существующих и вероятных рисках.

Мы наблюдали эту модель в действии в Hydro One, канадской электроэнергетической компании. Каждый год директор по рискам Джон Фрейзер при поддержке генерального директора проводит десятки семинаров, на которых сотрудники всех уровней и отделов выявляют и ранжируют основные риски для стратегических целей компании. Сотрудники используют технологию анонимного голосования для оценки каждого риска по шкале от 1 до 5 с точки зрения его последствий, вероятности возникновения и имеющихся средств контроля. На семинарах сотрудники обсуждают рейтинги, открыто высказывая свое мнение. В конечном итоге группа вырабатывает единое видение, которое заносят в специальную карту рисков, рекомендует планы действий и назначает ответственных по каждому основному риску.

Hydro One принимает решения о распределении капитала и формировании бюджета с учетом выявленных рисков. В процессе финансового планирования на корпоративном уровне выделяется сотни миллионов долларов на проекты, в которых риски могут быть эффективно снижены. Группа фасилитаторов привлекает технических экспертов, чтобы те оспаривали инвестиционные планы и оценки рисков, представленные инженерами, и обеспечивали независимый экспертный надзор за распределением ресурсов. На ежегодном собрании по утверждению бюджетов менеджер защищает свою заявку перед коллегами и руководством. Любой менеджер хочет получить финансирование своего проекта, но, поскольку процесс планирования бюджета учитывает риски, сотрудники Hydro One учатся объективно и открыто говорить о возможных рисках.

Внутренние эксперты

Индустрия финансовых услуг занимает особое положение из-за волатильности рынков активов и потенциального влияния решений, принимаемых независимыми друг от друга трейдерами и управляющими инвест-компаний. Одна-единственная сделка или движение рынка может резко изменить характер риска инвестиционного банка. Таким компаниям для управления рисками требуются собственные эксперты, которые будут постоянно отслеживать характер риска и предотвращать его, работая бок о бок с линейными менеджерами. Ведь именно они генерируют новые идеи и инновации, которым сопутствуют риски, и — если все идет хорошо — зарабатывают прибыль.

В 2007 году, накануне мирового финансового кризиса, JP Morgan Private Bank перешел на эту модель. В каждом отделе есть собственные специалисты по управлению рисками, которые подчиняются руководителям отделов и централизованному независимому подразделению, занимающимся управлением рисками. Специалисты по риску, постоянно задавая вопрос: «А что, если?..», бросают вызов идеям портфельных менеджеров и заставляют их рассматривать разные сценарии. Риск-менеджеры оценивают влияние предлагаемых сделок на риск всего инвестиционного портфеля не только при нормальных обстоятельствах, но и в периоды экстремальных нагрузок, когда корреляции доходностей по различным классам активов возрастают. «Например, портфельный менеджер приходит ко мне с тремя сделками, и моделирование показывает, что все три принадлежат к одному и тому же типу риска, — объясняет Григорий Жикарев, менеджер по рискам в JP Morgan. — В девяти случаях из десяти менеджер сам скажет: "Нет, это не то, чего я хочу". Тогда мы садимся и реструктурируем сделку».

Главная опасность включения риск-менеджеров в организацию состоит в том, что, входя в ближайшее окружение руководителей бизнес-подразделений, они становятся «своими» — т.е. помогают заключать сделки, вместо того чтобы подвергать их сомнению. Недопущение таких нарушений — ответственность старшего специалиста по управлению рисками компании и генерального директора, от которого в конечном счете зависит вся корпоративная культура рисков.

Как избежать функциональной ловушки

Даже если у менеджеров есть система, способствующая активному обсуждению рисков, их ждет вторая ловушка — когнитивно-поведенческая. Поскольку многие стратегические (и некоторые внешние) риски вполне предсказуемы — и даже знакомы, — компании стремятся маркировать и разделять их, особенно в соответствии с бизнес-функциями. Банки часто по отдельности управляют тем, что они называют «кредитным риском», «рыночным риском» и «операционным риском». Другие компании выделяют «риск бренда», «риск репутации», «риск цепочки поставок», «риск человеческих ресурсов», «риск IT» и «финансовый риск».

Такое жесткое организационное разделение распыляет как информацию, так и ответственность за эффективное управление рисками. Оно мешает обсуждению того, как различные риски взаимодействуют между собой. Чтобы дискуссия о рисках была эффективной, участники должны не только высказывать противоположные точки зрения, но и искать точки соприкосновения. Из-за череды небольших событий, которые усиливают друг друга непредсказуемым образом, бизнесу может быть нанесен непоправимый ущерб.

Менеджеры могут выработать общее видение рисков для компании, сделав такие дискуссии неотъемлемой частью стратегического планирования, единым интеграционным процессом, который уже есть на вооружении у многих хорошо управляемых компаний. Например, Infosys, индийский поставщик IT-услуг, организует обсуждение рисков с помощью собственного управленческого инструмента для измерения стратегических показателей и коммуникации Balanced Scorecard. «Мы спрашивали себя о том, на каких рисках нужно сфокусироваться, — говорит М. Ранганатх, директор по рискам, — и постепенно сосредоточились на рисках для стратегических целей, утвержденных в нашей корпоративной оценочной ведомости».

При построении своей сбалансированной системы показателей Infosys определила «усиление связей с клиентами» в качестве ключевой цели и выбрала показатели для измерения прогресса, такие как число глобальных клиентов с годовыми счетами свыше $50 млн и ежегодный процентный рост доходов от крупных клиентов. Рассматривая цели и показатели эффективности в совокупности, руководство осознало, что в его стратегии появился новый фактор риска: дефолт клиента. Если бы бизнес Infosys основывался на многочисленных мелких клиентах, дефолт одного клиента не поставил бы под угрозу стратегию компании. Но невыполнение обязательств клиентом, которого компания оценивает в $50 млн, может стать серьезным ударом. По каждому крупному клиенту Infosys начала отслеживать риск неуплаты кредитной задолженности как основной показатель вероятности дефолта. Когда этот риск возрастает, Infosys ускоряет сбор дебиторской задолженности или запрашивает поэтапные платежи, чтобы уменьшить вероятность дефолта или его последствий.

В качестве другого примера рассмотрим Volkswagen do Brasil (далее — VW), бразильский филиал немецкого автопроизводителя. Подразделение VW по управлению рисками использует стратегическую карту компании в качестве отправной точки обсуждения рисков. Для каждой цели на карте группа выявляет события, которые могут стать препятствием на пути к достижению этой цели. Затем команда создает для каждого риска карточку события, фиксируя его возможное воздействие на операции, вероятность его возникновения, основные показатели и меры по смягчению последствий. Также определяется, кто несет основную ответственность за управление риском (см. врезку «Карточка рискового события»). После этого команда представляет экспертное заключение высшему руководству (см. врезку «Отчет о рисках»).

Помимо систематического выявления стратегических рисков и разработки профилактических мер, компаниям также необходима структура контроля. Infosys использует двойную структуру. Основная группа выявляет общие стратегические риски и составляет соответствующий план действий, а специализированные функциональные группы вместе с бизнес-подразделениями разрабатывают методы реализации централизованного плана и контролируют его выполнение. Такие группы помогают подразделениям выявлять угрозы и устранять их, передавая в центральную группу только исключительные случаи для проверки. Например, если менеджер по работе с клиентами хочет предоставить более длительный кредитный период компании с высоким уровнем кредитного риска, менеджер по функциональным рискам может отправить дело в централизованный отдел для проверки.

Эти примеры показывают, что размер и задачи отдела по управлению рисками не зависят от величины организации. Крупная компания Hydro One имеет относительно небольшую группу, которая выявляет риски, информирует о них организацию, а также консультирует руководство о распределении ресурсов с учетом рисков. И наоборот, относительно небольшим компаниям или подразделениям, таким как JPL или JP Morgan Private Bank, требуются для каждого проекта «надзорный» комитет или собственные эксперты, чтобы проводить экспертизу конкретной сферы для оценки рисков бизнес-решений. А для Infosys, крупной компании с широким оперативным и стратегическим охватом, нужен сильный централизованный отдел по управлению рисками и риск-менеджеры в бизнес-подразделениях, которые оценивают коммерческие решения с точки зрения рисков и обмениваются информацией с центральной группой.

Управление неуправляемым

К третьей категории относятся внешние риски, которые, как правило, не могут быть снижены или предотвращены с помощью мер контроля над предотвратимыми и стратегическими рисками. Внешние риски в значительной степени неподконтрольны компании, поэтому следует сосредоточиться на их выявлении, оценке их потенциального воздействия и разработке мер по смягчению последствий, если события будут развиваться по нежелательному сценарию.

Некоторые неминуемые внешние риски очевидны, и ими можно управлять так же, как и стратегическими рисками. Например, во время экономического спада после глобального финансового кризиса Infosys обнаружила новый риск, связанный с ее целью развития глобальной рабочей силы. В нескольких странах ОЭСР, где у Infosys было большое количество клиентов, усилился рост протекционизма, который мог привести к жестким ограничениям на выдачу рабочих виз и разрешений для иностранных граждан. Хотя протекционистское законодательство, не подверженное влиянию со стороны компании, технически является внешним риском, Infosys отнеслась к нему как к стратегическому риску. Она создала карту событий, которая включала в себя новый показатель: число и процент сотрудников с двойным гражданством или действующим разрешением на работу за пределами Индии. Начни это число уменьшаться из-за текучести кадров, глобальная стратегия Infosys могла бы оказаться под угрозой. Поэтому Infosys внедрила новую политику рекрутинга и предотвращения текучести кадров, которая смягчает возможные последствия этого внешнего риска.

Карточка рискового события

VW do Brasil использует карточки событий, чтобы оценить стратегические риски. Прежде всего менеджеры выявляют угрозы, которые могут помешать компании достигнуть каждую из ее стратегических целей. Затем для каждого выявленного риска менеджеры создают карточку, в которой перечисляют практические последствия события для операционной деятельности. Ниже приведен пример карточки, в которой рассматриваются последствия проблем с поставкой, угрожающие стратегической цели VW по обеспечению бесперебойно функционирующей цепочки поставок.

Отчет о рисках

VW do Brasil суммирует свои стратегические риски в отчете о рисках, структурированном согласно стратегическим целям (выдержка из отчета приведена ниже). Менеджеры сразу видят, сколько выявленных рисков для каждой цели являются критическими и требуют внимания или особых мер. Например, VW обнаружил 11 рисков, связанных с достижением цели «оправдать ожидания клиентов». Четыре из этих рисков были критическими, но соотношение улучшилось по сравнению с оценкой предыдущего квартала. Менеджеры также могут отслеживать прогресс в управлении рисками в компании.

 

Однако для большинства событий, связанных с внешним риском, требуется иной аналитический подход — либо потому, что вероятность таких событий очень мала, либо потому, что руководству сложно предвидеть их при разработке стратегии. Мы выявили несколько различных источников внешних рисков:

Для каждого из этих источников внешнего риска компании используют разные аналитические подходы.

Cтресс-тесты побочного риска

Стресс-тестирование помогает компаниям взять один или два отдельных параметра и рассмотреть их основные изменения, последствия которых будут весомыми и незамедлительными, хотя точные сроки события невозможно спрогнозировать. Фирмы, предоставляющие финансовые услуги, используют стресс-тесты, чтобы оценить, например, как повлияют на торговые позиции и инвестиции такие факторы, как троекратное повышение цен на нефть, значительное колебание обменных и процентных ставок или дефолт крупного учреждения либо суверенной страны.

Однако выгоды от стресс-тестирования в значительной степени зависят от предположений (которые сами могут быть предвзятыми) относительно того, насколько изменится рассматриваемый параметр. Например, в 2007–2008 годах стресс-тесты побочного риска во многих банках предполагали такой худший сценарий, при котором цены на жилье в США выровнялись бы и оставались стабильными в течение долгого периода. Очень немногим пришло в голову проверить, что же произойдет, если цены начнут резко падать. Это отличный пример тенденции привязывать оценки к последним и легкодоступным данным. Большинство компаний отталкивались от недавних цен на жилье в США, которые несколько десятилетий не снижались, и поэтому оценка рынка оказалась чрезмерно оптимистичной.

Сценарное планирование

Этот инструмент подходит для долгосрочного анализа (как правило, на период от пяти до десяти лет). Первоначально разработанный в компании Shell Oil в 1960-х годах, анализ сценариев позволяет определить будущее состояние мира. Специалисты изучают политические, экономические, технологические, социальные, нормативно-правовые и экологические факторы и выбирают определенное число — обычно четыре — тех, которые способны оказать наибольшее влияние на компанию. Некоторые компании сообщают о результатах этих исследований на заседаниях своих консультативных органов, чтобы информировать их о значимых тенденциях, происходящих вне их бизнеса и отрасли, которые, однако, следует учитывать в сценариях.

Для каждого из выбранных факторов оцениваются максимальные и минимальные ожидаемые значения на ближайшие пять–десять лет. Комбинация крайних значений четырех факторов дает 16 сценариев. Около половины, как правило, неправдоподобны, и их отбрасывают. Затем участники оценивают, как стратегия компании будет работать в оставшихся сценариях. Если менеджеры видят, что их стратегия основана на слишком оптимистичном прогнозе, то его могут изменить, чтобы включить пессимистичные сценарии, или могут разработать планы по изменению стратегии при первых сигналах неблагоприятного развития событий.

Ролевые тренинги для анализа действий конкурентов

Они помогают оценить уязвимость компании вследствие появления прорывных технологий или изменений стратегий конкурентов. Компания назначает три или четыре команды для разработки вероятных краткосрочных стратегий или действий, которые могут предпринять существующие или потенциальные конкуренты в течение ближайшей пары лет — более короткий временнóй интервал, чем при анализе сценариев. Затем команды встречаются, чтобы выяснить, как конкуренты могут атаковать стратегию их компании. Этот процесс помогает преодолеть предвзятость руководителей, которые игнорируют доказательства, противоречащие их нынешним убеждениям, и наглядно демонстрирует возможные действия конкурентов компании с целью разрушения ее стратегии.

Организации никак не могут повлиять на вероятность возникновения рисков, выявленных с помощью стресс-теста побочного риска, или сценарного планирования, или анализа действий конкурентов. Но менеджеры могут предпринять конкретные шаги, чтобы смягчить последствия рисковых событий. Поскольку риск недобросовестности не возникает в случае непредвиденных событий, компании могут использовать страхование или хеджирование для снижения некоторых рисков, как это делают авиаперевозчики, когда защищают себя от резкого повышения цен на топливо с использованием финансовых деривативов. Другой вариант заключается в том, чтобы инвестировать сейчас с целью избежать гораздо более высоких затрат в будущем. Например, производитель, располагающий оборудованием в сейсмически активных регионах, может увеличить стоимость строительства, чтобы защитить критически важные объекты от сильных землетрясений. Кроме того, компании, подверженные различным, но сопоставимым рискам, могут сотрудничать, чтобы смягчить их. Например, центры сбора данных Университета Северной Каролины потенциально могут пострадать от ураганов, в то время как аналогичные центры университетов на разломе Сан-Андреас в Калифорнии уязвимы для землетрясений. Вероятность того, что оба стихийных бедствия произойдут одновременно, достаточно мала, и два университета снижают свои риски, делая каждый вечер бэкап систем друг друга.

Трудности управления

Управление рисками сильно отличается от управления стратегией, поскольку фокусируется на негативе — угрозах и неудачах, — а не на возможностях и успехах. Это идет вразрез с корпоративной культурой, что нет ничего невозможного. Именно этот постулат стремятся поддерживать руководители при реализации стратегии. И многие лидеры склонны недооценивать будущее; они неохотно тратят сейчас время и деньги на то, чтобы потом избежать неопределенной проблемы, которая может стать преградой. Кроме того, снижение риска обычно предполагает распределение ресурсов и диверсификацию инвестиций, в то время как для успешной стратегии требуется существенная концентрация ресурсов. Менеджеры могут посчитать противоречащей своей культуре поддержку процессов, которые выявляют риски для сформулированных ими стратегий.

По этим причинам большинству компаний необходимо отдельное подразделение для управления стратегическими и внешними рисками. Его размер будет варьироваться от компании к компании, но в любом случае группа должна отчитываться непосредственно перед топ-менеджерами. А самой важной задачей будет поддержание тесных связей с высшим руководством; способность компании противостоять штормам во многом зависит от того, насколько серьезно лидеры воспринимают свою функцию управления рисками в то время, когда светит солнце и горизонт чист.

Это именно то, что отличало банки, потерпевшие крах во время финансового кризиса, от тех, которые выжили в нем. Первые низвели управление рисками до функции отдела по обеспечению нормативно-правового соответствия; их риск-менеджеры имели ограниченный доступ к высшему руководству и советам директоров; руководители обычно игнорировали предупреждения о рисковых кредитных позициях. Напротив, Goldman Sachs и JP Morgan Chase — две фирмы, которые успешно пережили финансовый кризис, — имели как сильные внутренние подразделения по управлению рисками, так и команды руководителей, которые понимали и контролировали множество корпоративных рисков. Барри Зуброу, директор по управлению рисками в JP Morgan Chase, сказал нам: «Хотя я и занимаю эту должность, но главный специалист по управлению рисками компании — генеральный директор Джейми Даймон».

____________________________________

Управление рисками — занятие не интуитивное; оно нуждается в отказе от многих индивидуальных и организационных предубеждений. Правила и ориентация на текущую ситуацию могут смягчить некоторые критические риски, но далеко не все из них. Активное и экономически эффективное управление рисками требует, чтобы менеджеры систематически изучали разные категории рисков, с которыми они сталкиваются, чтобы внедрить подходящие процессы для каждой из них. Эти процессы смогут нейтрализовать распространенные когнитивные искажения, из-за которых руководители воспринимают мир таким, каким они хотят его видеть, а не таким, каков он есть на самом деле или может стать.

Впервые опубликовано в выпуске за июнь 2012 года.

Дальше: Как встроить риски в вашу бизнес-модель. Каран Гиротра, Сергей Нетесин