Помимо систематического выявления стратегических рисков и разработки профилактических мер, компаниям также необходима структура контроля. Infosys использует двойную структуру. Основная группа выявляет общие стратегические риски и составляет соответствующий план действий, а специализированные функциональные группы вместе с бизнес-подразделениями разрабатывают методы реализации централизованного плана и контролируют его выполнение. Такие группы помогают подразделениям выявлять угрозы и устранять их, передавая в центральную группу только исключительные случаи для проверки. Например, если менеджер по работе с клиентами хочет предоставить более длительный кредитный период компании с высоким уровнем кредитного риска, менеджер по функциональным рискам может отправить дело в централизованный отдел для проверки.
Эти примеры показывают, что размер и задачи отдела по управлению рисками не зависят от величины организации. Крупная компания Hydro One имеет относительно небольшую группу, которая выявляет риски, информирует о них организацию, а также консультирует руководство о распределении ресурсов с учетом рисков. И наоборот, относительно небольшим компаниям или подразделениям, таким как JPL или JP Morgan Private Bank, требуются для каждого проекта «надзорный» комитет или собственные эксперты, чтобы проводить экспертизу конкретной сферы для оценки рисков бизнес-решений. А для Infosys, крупной компании с широким оперативным и стратегическим охватом, нужен сильный централизованный отдел по управлению рисками и риск-менеджеры в бизнес-подразделениях, которые оценивают коммерческие решения с точки зрения рисков и обмениваются информацией с центральной группой.
Управление неуправляемым
К третьей категории относятся внешние риски, которые, как правило, не могут быть снижены или предотвращены с помощью мер контроля над предотвратимыми и стратегическими рисками. Внешние риски в значительной степени неподконтрольны компании, поэтому следует сосредоточиться на их выявлении, оценке их потенциального воздействия и разработке мер по смягчению последствий, если события будут развиваться по нежелательному сценарию.
Некоторые неминуемые внешние риски очевидны, и ими можно управлять так же, как и стратегическими рисками. Например, во время экономического спада после глобального финансового кризиса Infosys обнаружила новый риск, связанный с ее целью развития глобальной рабочей силы. В нескольких странах ОЭСР, где у Infosys было большое количество клиентов, усилился рост протекционизма, который мог привести к жестким ограничениям на выдачу рабочих виз и разрешений для иностранных граждан. Хотя протекционистское законодательство, не подверженное влиянию со стороны компании, технически является внешним риском, Infosys отнеслась к нему как к стратегическому риску. Она создала карту событий, которая включала в себя новый показатель: число и процент сотрудников с двойным гражданством или действующим разрешением на работу за пределами Индии. Начни это число уменьшаться из-за текучести кадров, глобальная стратегия Infosys могла бы оказаться под угрозой. Поэтому Infosys внедрила новую политику рекрутинга и предотвращения текучести кадров, которая смягчает возможные последствия этого внешнего риска.
Карточка рискового события
Отчет о рисках
Однако для большинства событий, связанных с внешним риском, требуется иной аналитический подход – либо потому, что вероятность таких событий очень мала, либо потому, что руководству сложно предвидеть их при разработке стратегии. Мы выявили несколько различных источников внешних рисков:
●
●
●
Для каждого из этих источников внешнего риска компании используют разные аналитические подходы.
Стресс-тестирование помогает компаниям взять один или два отдельных параметра и рассмотреть их основные изменения, последствия которых будут весомыми и незамедлительными, хотя точные сроки события невозможно спрогнозировать. Фирмы, предоставляющие финансовые услуги, используют стресс-тесты, чтобы оценить, например, как повлияют на торговые позиции и инвестиции такие факторы, как троекратное повышение цен на нефть, значительное колебание обменных и процентных ставок или дефолт крупного учреждения либо суверенной страны.
Однако выгоды от стресс-тестирования в значительной степени зависят от предположений (которые сами могут быть предвзятыми) относительно того, насколько изменится рассматриваемый параметр. Например, в 2007–2008 годах стресс-тесты побочного риска во многих банках предполагали такой худший сценарий, при котором цены на жилье в США выровнялись бы и оставались стабильными в течение долгого периода. Очень немногим пришло в голову проверить, что же произойдет, если цены начнут резко падать. Это отличный пример тенденции привязывать оценки к последним и легкодоступным данным. Большинство компаний отталкивались от недавних цен на жилье в США, которые несколько десятилетий не снижались, и поэтому оценка рынка оказалась чрезмерно оптимистичной.
Этот инструмент подходит для долгосрочного анализа (как правило, на период от пяти до десяти лет). Первоначально разработанный в компании Shell Oil в 1960-х годах, анализ сценариев позволяет определить будущее состояние мира. Специалисты изучают политические, экономические, технологические, социальные, нормативно-правовые и экологические факторы и выбирают определенное число – обычно четыре – тех, которые способны оказать наибольшее влияние на компанию. Некоторые компании сообщают о результатах этих исследований на заседаниях своих консультативных органов, чтобы информировать их о значимых тенденциях, происходящих вне их бизнеса и отрасли, которые, однако, следует учитывать в сценариях.
Для каждого из выбранных факторов оцениваются максимальные и минимальные ожидаемые значения на ближайшие пять – десять лет. Комбинация крайних значений четырех факторов дает 16 сценариев. Около половины, как правило, неправдоподобны, и их отбрасывают. Затем участники оценивают, как стратегия компании будет работать в оставшихся сценариях. Если менеджеры видят, что их стратегия основана на слишком оптимистичном прогнозе, то его могут изменить, чтобы включить пессимистичные сценарии, или могут разработать планы по изменению стратегии при первых сигналах неблагоприятного развития событий.
Они помогают оценить уязвимость компании вследствие появления прорывных технологий или изменений стратегий конкурентов. Компания назначает три или четыре команды для разработки вероятных краткосрочных стратегий или действий, которые могут предпринять существующие или потенциальные конкуренты в течение ближайшей пары лет – более короткий временнóй интервал, чем при анализе сценариев. Затем команды встречаются, чтобы выяснить, как конкуренты могут атаковать стратегию их компании. Этот процесс помогает преодолеть предвзятость руководителей, которые игнорируют доказательства, противоречащие их нынешним убеждениям, и наглядно демонстрирует возможные действия конкурентов компании с целью разрушения ее стратегии.
Организации никак не могут повлиять на вероятность возникновения рисков, выявленных с помощью стресс-теста побочного риска, или сценарного планирования, или анализа действий конкурентов. Но менеджеры могут предпринять конкретные шаги, чтобы смягчить последствия рисковых событий. Поскольку риск недобросовестности не возникает в случае непредвиденных событий, компании могут использовать страхование или хеджирование для снижения некоторых рисков, как это делают авиаперевозчики, когда защищают себя от резкого повышения цен на топливо с использованием финансовых деривативов. Другой вариант заключается в том, чтобы инвестировать сейчас с целью избежать гораздо более высоких затрат в будущем. Например, производитель, располагающий оборудованием в сейсмически активных регионах, может увеличить стоимость строительства, чтобы защитить критически важные объекты от сильных землетрясений. Кроме того, компании, подверженные различным, но сопоставимым рискам, могут сотрудничать, чтобы смягчить их. Например, центры сбора данных Университета Северной Каролины потенциально могут пострадать от ураганов, в то время как аналогичные центры университетов на разломе Сан-Андреас в Калифорнии уязвимы для землетрясений. Вероятность того, что оба стихийных бедствия произойдут одновременно, достаточно мала, и два университета снижают свои риски, делая каждый вечер бэкап систем друг друга.