Управление стратегическими рисками
За 10 лет исследований мы столкнулись с тремя подходами к управлению стратегическими рисками. Какой из них следует выбрать конкретной фирме, во многом зависит от типа организации, ее сферы деятельности и задач. Каждый подход требует совершенно разных структур и ролей, но все три поощряют сотрудников оспаривать имеющиеся предположения и открыто обсуждать информацию о рисках. Наш вывод о том, что универсального рецепта не существует, противоречит убеждениям законодательных органов и профессиональных ассоциаций, которые стремятся стандартизировать управление рисками.
Некоторые организации (особенно такие, как JPL), которые занимаются технологическими инновациями, сталкиваются с высоким внутренним риском, поскольку они реализуют долгосрочные, сложные и дорогостоящие проекты. Но характер рисков мало меняется со временем, так как они возникают в силу действия известных законов природы. Поэтому подобные организации могут управлять рисками на стадии проекта.
Например, JPL учредила комитет по рассмотрению рисков. В него вошли независимые технические эксперты, которые должны критически оценивать решения инженеров-конструкторов, выявлять слабые места таких решений и предлагать меры по их устранению. В течение всего цикла разработки продукта эксперты регулярно занимаются переоценкой рисков. Поскольку для проектов JPL характерны почти похожие риски, члены комитета встречаются один-два раза в год, а его глава и руководитель проекта – ежеквартально.
Заседания комитета по рассмотрению рисков проходят бурно, в обстановке, которую Джентри Ли называет «культурой интеллектуальной конфронтации». «Мы рвем друг друга на части, бросаемся камнями и жестко критикуем все, что происходит в компании», – говорит член совета Крис Левицки. В ходе обсуждений инженеры проекта начинают видеть свою работу с других ракурсов. «У них появляется свежий взгляд», – добавляет Левицки.
Независимо от своего характера – конструктивного или деструктивного – встречи не направлены на то, чтобы помешать команде проекта решать амбициозные задачи и воплощать замыслы. Но они заставляют инженеров заранее подумать о том, как они будут защищать свои проектные решения и в достаточной ли мере учтены возможные сбои и дефекты. Члены комитета выступают в качестве «адвокатов дьявола» – уравновешивают самонадеянность инженеров, не допуская фокусировки на проектах с неприемлемым уровнем риска.
В JPL комитет по рассмотрению рисков не только поддерживает активные обсуждения, но и имеет бюджетные полномочия. Он устанавливает размеры возможных дополнительных финансовых и временны́х затрат для каждой стадии проекта в соответствии с его инновационностью. Например, на простое усовершенствование первоначальной концепции требуется от 10 до 20 % финансового резерва, тогда как для чего-то совершенно нового, что и на Земле-то неизвестно как будет работать, а уж на далекой планете – тем более, закладывают 50–75 % на непредвиденные расходы. Резервы гарантируют, что при возникновении проблем (а это неизбежно) команда проекта может распоряжаться необходимыми для их решения деньгами и временем, не ставя под угрозу дату запуска. JPL серьезно относится к этим оценкам; некоторые проекты были отложены или отменены, если средств оказалось недостаточно для покрытия рекомендованных резервов.
Многие организации, занятые в сфере электро- и водоснабжения, работают в стабильной технологической и рыночной среде при относительно предсказуемом потребительском спросе. В такой ситуации риски в основном проистекают из разрозненных, не связанных между собой производственных решений. Поэтому проблемы постепенно накапливаются и их серьезность остается неочевидной в течение длительного времени.
Поскольку ни один коллектив не обладает достаточными знаниями для управления операционными рисками на уровне всей организации, компания может собрать относительно небольшую централизованную команду, к которой бы стекалась информация от операционных менеджеров. Таким образом, у руководителей будет полная картина о существующих и вероятных рисках.
Мы наблюдали эту модель в действии в Hydro One, канадской электроэнергетической компании. Каждый год директор по рискам Джон Фрейзер при поддержке генерального директора проводит десятки семинаров, на которых сотрудники всех уровней и отделов выявляют и ранжируют основные риски для стратегических целей компании. Сотрудники используют технологию анонимного голосования для оценки каждого риска по шкале от 1 до 5 с точки зрения его последствий, вероятности возникновения и имеющихся средств контроля. На семинарах сотрудники обсуждают рейтинги, открыто высказывая свое мнение. В конечном итоге группа вырабатывает единое видение, которое заносят в специальную карту рисков, рекомендует планы действий и назначает ответственных по каждому основному риску.
Hydro One принимает решения о распределении капитала и формировании бюджета с учетом выявленных рисков. В процессе финансового планирования на корпоративном уровне выделяется сотни миллионов долларов на проекты, в которых риски могут быть эффективно снижены. Группа фасилитаторов привлекает технических экспертов, чтобы те оспаривали инвестиционные планы и оценки рисков, представленные инженерами, и обеспечивали независимый экспертный надзор за распределением ресурсов. На ежегодном собрании по утверждению бюджетов менеджер защищает свою заявку перед коллегами и руководством. Любой менеджер хочет получить финансирование своего проекта, но, поскольку процесс планирования бюджета учитывает риски, сотрудники Hydro One учатся объективно и открыто говорить о возможных рисках.
Индустрия финансовых услуг занимает особое положение из-за волатильности рынков активов и потенциального влияния решений, принимаемых независимыми друг от друга трейдерами и управляющими инвест-компаний. Одна-единственная сделка или движение рынка может резко изменить характер риска инвестиционного банка. Таким компаниям для управления рисками требуются собственные эксперты, которые будут постоянно отслеживать характер риска и предотвращать его, работая бок о бок с линейными менеджерами. Ведь именно они генерируют новые идеи и инновации, которым сопутствуют риски, и – если все идет хорошо – зарабатывают прибыль.
В 2007 году, накануне мирового финансового кризиса, JP Morgan Private Bank перешел на эту модель. В каждом отделе есть собственные специалисты по управлению рисками, которые подчиняются руководителям отделов и централизованному независимому подразделению, занимающимся управлением рисками. Специалисты по риску, постоянно задавая вопрос: «А что, если?..», бросают вызов идеям портфельных менеджеров и заставляют их рассматривать разные сценарии. Риск-менеджеры оценивают влияние предлагаемых сделок на риск всего инвестиционного портфеля не только при нормальных обстоятельствах, но и в периоды экстремальных нагрузок, когда корреляции доходностей по различным классам активов возрастают. «Например, портфельный менеджер приходит ко мне с тремя сделками, и моделирование показывает, что все три принадлежат к одному и тому же типу риска, – объясняет Григорий Жикарев, менеджер по рискам в JP Morgan. – В девяти случаях из десяти менеджер сам скажет: "Нет, это не то, чего я хочу". Тогда мы садимся и реструктурируем сделку».
Главная опасность включения риск-менеджеров в организацию состоит в том, что, входя в ближайшее окружение руководителей бизнес-подразделений, они становятся «своими» – т. е. помогают заключать сделки, вместо того чтобы подвергать их сомнению. Недопущение таких нарушений – ответственность старшего специалиста по управлению рисками компании и генерального директора, от которого в конечном счете зависит вся корпоративная культура рисков.
Как избежать функциональной ловушки
Даже если у менеджеров есть система, способствующая активному обсуждению рисков, их ждет вторая ловушка – когнитивно-поведенческая. Поскольку многие стратегические (и некоторые внешние) риски вполне предсказуемы – и даже знакомы, – компании стремятся маркировать и разделять их, особенно в соответствии с бизнес-функциями. Банки часто по отдельности управляют тем, что они называют «кредитным риском», «рыночным риском» и «операционным риском». Другие компании выделяют «риск бренда», «риск репутации», «риск цепочки поставок», «риск человеческих ресурсов», «риск IT» и «финансовый риск».
Такое жесткое организационное разделение распыляет как информацию, так и ответственность за эффективное управление рисками. Оно мешает обсуждению того, как различные риски взаимодействуют между собой. Чтобы дискуссия о рисках была эффективной, участники должны не только высказывать противоположные точки зрения, но и искать точки соприкосновения. Из-за череды небольших событий, которые усиливают друг друга непредсказуемым образом, бизнесу может быть нанесен непоправимый ущерб.
Менеджеры могут выработать общее видение рисков для компании, сделав такие дискуссии неотъемлемой частью стратегического планирования, единым интеграционным процессом, который уже есть на вооружении у многих хорошо управляемых компаний. Например, Infosys, индийский поставщик IT-услуг, организует обсуждение рисков с помощью собственного управленческого инструмента для измерения стратегических показателей и коммуникации Balanced Scorecard. «Мы спрашивали себя о том, на каких рисках нужно сфокусироваться, – говорит М. Ранганатх, директор по рискам, – и постепенно сосредоточились на рисках для стратегических целей, утвержденных в нашей корпоративной оценочной ведомости».
При построении своей сбалансированной системы показателей Infosys определила «усиление связей с клиентами» в качестве ключевой цели и выбрала показатели для измерения прогресса, такие как число глобальных клиентов с годовыми счетами свыше $50 млн и ежегодный процентный рост доходов от крупных клиентов. Рассматривая цели и показатели эффективности в совокупности, руководство осознало, что в его стратегии появился новый фактор риска: дефолт клиента. Если бы бизнес Infosys основывался на многочисленных мелких клиентах, дефолт одного клиента не поставил бы под угрозу стратегию компании. Но невыполнение обязательств клиентом, которого компания оценивает в $50 млн, может стать серьезным ударом. По каждому крупному клиенту Infosys начала отслеживать риск неуплаты кредитной задолженности как основной показатель вероятности дефолта. Когда этот риск возрастает, Infosys ускоряет сбор дебиторской задолженности или запрашивает поэтапные платежи, чтобы уменьшить вероятность дефолта или его последствий.
В качестве другого примера рассмотрим Volkswagen do Brasil (далее – VW), бразильский филиал немецкого автопроизводителя. Подразделение VW по управлению рисками использует стратегическую карту компании в качестве отправной точки обсуждения рисков. Для каждой цели на карте группа выявляет события, которые могут стать препятствием на пути к достижению этой цели. Затем команда создает для каждого риска карточку события, фиксируя его возможное воздействие на операции, вероятность его возникновения, основные показатели и меры по смягчению последствий. Также определяется, кто несет основную ответственность за управление риском (см. врезку «Карточка рискового события»). После этого команда представляет экспертное заключение высшему руководству (см. врезку «Отчет о рисках»).