Управление рисками: новые принципы | Большие Идеи

・ Корпоративный опыт
Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»

Управление рисками:
новые принципы

Жизнеспособные компании учитывают характер угрожающих им опасностей и принимают адекватные контрмеры

Авторы: Роберт Каплан , Анетт Майкс

Управление рисками: новые принципы
Giovanni Calia / Unsplash

читайте также

ROI для HR: как обосновать окупаемость инвестиций в персонал

Кейт Готье ,  Кэсинь Чэнь ,  Лалит Мунасингхе ,  Тиффани Бова

«Сейчас последний момент, когда можно накачать деньгами банковские ячейки»

Анна Натитник

Как продать блестящую идею

Элсбах Кимберли

Уцелеть при большом взрыве

Ларри Даунс,  Пол Нунес

Став в 2007 году генеральным директором ВР, Тони Хейворд торжественно поклялся, что займется прежде всего вопросами безопасности. Он ввел новые правила. Согласно им, например, переносить с места на место чашку с кофе можно было, только накрыв ее крышкой. А еще сотрудникам рекомендовалось не вести смс-переписку, управляя автомобилем. Прошло три года, и в июне 2010 года на глазах Хейворда в Мексиканском заливе взорвалась буровая платформа Deepwater Horizon, что привело к одной из самых страшных в истории рукотворных экологических катастроф. Американская следственная комиссия пришла к выводу, что причиной трагедии стали ошибки в управлении, парализовавшие «способность ответственных лиц выявлять риски, надлежащим образом оценивать их, сообщать о них и их устранять».

ИДЕЯ КОРОТКО

Система управления рисками, основанная на соблюдении правил, хороша, если речь идет об укоренении корпоративных ценностей и контроле за персоналом.
 
Но она не годится для предотвращения угроз, которые могут помешать компании реализовывать ее стратегию, а также нежелательных последствий развития новых технологий или значительных политических изменений. Готовиться к опасностям такого рода нужно, серьезно обсуждая их.
 
Важно учитывать масштаб предполагаемых угроз и скорость изменения их характера. Хотя структуры, отвечающие за анализ рисков и поиск контрмер, у каждой компании свои, всю эту работу нужно увязывать с корпоративными процедурами стратегического планирования.
 
Держать под контролем серьезные внешние риски, неподвластные компаниям, можно с помощью таких инструментов, как анализ сценариев развития событий и вероятных действий конкурентов. Выбор способа зависит от того, как быстро могут материализоваться потенциальные опасности и чем они вызваны — изменениями геополитического, экономического, природного характера или же действиями конкурентов.

История Хейворда высвечивает общую проблему. На управление рисками, сколько бы об этом ни говорили и сколько бы денег в это ни вкладывали, чаще всего смотрят с одной точки зрения: соответствия требованиям. Чтобы их выполнять, надо сформулировать побольше правил и заставить персонал следовать им. Конечно, многие правила вполне разумны и действительно предотвращают некоторые потенциально серьезные опасности. Но никакими правилами не снизить вероятность катаст­рофы вроде той, что произошла с Deepwater Horizon, и не уменьшить ее последствий. Ведь правила не предотвратили банкротства многих финансовых организаций во время кредитного кризиса 2007—2008 годов.

В этой статье мы предлагаем новую классификацию рисков. Она позволяет понять, какие из них можно держать под контролем с помощью правил, а для каких нужны иные меры. Мы рассказываем о том, какие трудности сопряжены с проведением открытых, конструктивных обсуждений рисков, сопутствующих реализации корпоративной стратегии, и доказываем, что такого рода дискуссии должны иметь не просто теоретическую, но и практическую значимость, то есть их выводы должны прямо отражаться на процедурах выработки и воплощения стратегии. И в заключение мы поговорим о том, как выявлять непредвиденные риски, которые возникают независимо от стратегии и работы организации, и как готовиться к ним.

Управление рисками: правила или диалог?

Первый шаг на пути к созданию надежной системы управления рисками — понимание того, что организация сталкивается с разными по своей природе угрозами. В ходе исследования мы выявили три их категории. К какой бы ни относилась та или иная опасность, она может оказаться роковой для стратегии компании и даже для дальнейшего существования бизнеса.

Категория 1: предотвратимые риски. Имеются в виду опасности, возникающие в самой организации; их можно контролировать, необходимо устранять или избегать. Речь, в частности, идет о последствиях неправомочных, незаконных, неэтичных, ошибочных дейст­вий рядовых сотрудников и руководителей, а также сбоев в стандартных рабочих процессах. Что касается дефектов и ошибок, из-за которых бизнес серьезно не пострадает и избавиться от которых полностью слишком дорого, то тут, конечно, компания должна предусмотреть «поле допуска». Но в целом подобные риски следует устранять, поскольку они нежелательны стратегически. Не слишком щепетильный торговый агент или сотрудник, дающий взятку чиновнику, могут обеспечить фирме некую сиюминутную выгоду, но в целом их действия подрывают репутацию компании, что обязательно отразится на ее стоимости. Рисков этой категории лучше вообще не допускать, а для этого нужно жестко контролировать рабочие процессы, укоренять желательные нормы поведения и добиваться грамотных решений. Поскольку о соблюдении правил уже написано немало, мы не будем здесь вдаваться в подробности; отсылаем заинтересованных читателей к врезке «Выявление предотвратимых рисков и выработка контрмер».

ВЫЯВЛЕНИЕ ПРЕДОТВРАТИМЫХ РИСКОВ И ВЫРАБОТКА КОНТРМЕР

Компании не в состоянии предвидеть все ситуации, в которых у сотрудников возникает конфликт интересов. Поэтому в качестве первой линии обороны вполне годятся четко сформулированные цели и ценности компании.
 
Миссия. Необходимо внятно и однозначно определить миссию организации. Для коллектива это станет своего рода Полярной звездой, по которой они будут ориентироваться в бурном море бизнеса. Например, первая фраза знаменитого кредо Johnson & Johnson, документа, определяющего философию корпорации, такова: «Наша основная ответственность — перед врачами и медицинскими сестрами, перед пациентами, перед отцами и матерями, перед всеми, кто пользуется нашей продукцией и услугами». И каждый в компании понимает, чьи интересы в любой ситуации стоят на первом месте. Миссию организации должны знать и разделять все сотрудники.
 
Ценности. Компаниям необходимо выстроить ясную систему ценностей, чтобы сотрудники руководствовались ими, взаимодействуя с клиентами, поставщиками, коллегами, акционерами, представителями сообществ. Это гарантирует, что не будут нарушены стандарты компании и ничто не поставит под угрозу ее репутацию и активы.
 
Границы. Корпоративная культура определяет, чего делать нельзя. Благодаря четко очерченным границам можно тщательно контролировать действия. Только подумайте: девять из Десяти заповедей и девять из первых десяти поправок к Конституции США 1787 года (больше известных как «Билль о правах») сформулированы в форме отрицания. Компаниям нужны своды корпоративных правил, в которых объяснялось бы, как вести себя в случае конфликта интересов, нарушения антитрестовского законодательства, разглашения коммерческой тайны, служебной информации, взяточничества, дискриминации, сексуальных домогательств.
 
Конечно, сколько ни формулируй миссию, сколько ни определяй ценности и ни очерчивай границы, это еще не гарантирует, что сотрудники всегда будут вести себя достойно. Чтобы люди правильно действовали в любых ситуациях, топ-менеджеры должны подавать им пример и показывать, что у них слова не расходятся с делами. Компаниям нужны надежные системы внутреннего контроля. Необходимо предусмотреть, например, разделение полномочий и отладить процесс информирования руководства о нарушениях, тогда станет меньше не только проступков, но и искушения их совершать. Сильный независимый отдел внутреннего контроля, который бы постоянно следил за тем, как сотрудники соблюдают правила и инструкции, тоже удерживал бы людей от нарушений и выявлял бы уже происшедшие.

Категория 2: риски стратегии. Некоторые риски предприятия берут на себя добровольно — ради максимальной прибыли, которую можно получить, реализуя бизнес-стратегию. Банк, например, рискует, предоставляя кредиты, компании-производители — вкладывая деньги в исследования и разработки. Риски этой категории существенно отличаются от предотвратимых, поскольку их нельзя назвать нежелательными по сути. Если стратегия нацелена на получение большой прибыли, то она изначально подразумевает высокий риск, и значит, ради потенциальной прибыли надо тщательно отслеживать этот ключевой фактор ее достижения. ВР, бурившая в Мексиканском заливе скважину глубиной в несколько километров, очень рисковала, надеясь хорошо заработать на нефти и газе, которые рассчитывала добыть. Риски стратегии невозможно контролировать и предотвращать, только соблюдая правила. В этом случае нужна система управления рисками, которая бы снижала вероятность их «материализации», а если события развиваются по негативному сценарию, то помогала бы компании направлять их в нужное русло. Такая система не помешает компаниям браться за самые авантюрные начинания; наоборот, она позволит идти на больший риск, сулящий более высокие прибыли, чем у конкурентов, не обладающих столь же эффективной системой.

Категория 3: внешние риски. Иногда компания попадает в зону риска из-за событий, происходящих вне ее стен, которые от нее не зависят и на которые она никак не может воздействовать. Это природные и политические катастрофы, глубинные макроэкономические сдвиги. Управлять внешними рисками нужно особым образом. Поскольку предотвратить вызывающие их события компании не в силах, важно прежде всего выявлять их признаки (задним числом обычно становится понятно, что они не могли не случиться) и пытаться смягчить их последствия. Процедуры управления рисками компании должны соответствовать перечисленным трем категориям. Соблюдать правила важно, если речь идет о рисках предотвратимых, но для внеш­них и угрожающих стратегии это абсолютно не применимо, а значит, в подобных случаях нужны другие подходы, предполагающие в том числе открытое и подробное обсуждение риска. Правда, это легко только на словах. Как показали обширные исследования поведения отдельных людей и целых организаций, наша психика устроена таким образом, что мы предпочитаем закрывать глаза на вероятные опасности и не любим заранее их обсуждать.

Почему так трудно обсуждать риски

В результате многочисленных исследований ученые сделали вывод, что люди переоценивают свою способность оказывать влияние на события, которые на самом деле во многом определяются стечением обстоятельств. Мы слишком уверены в точности наших прогнозов и оценок риска и, мягко говоря, не совсем адекватно представляем себе их вероятные последствия.

Кроме того, мы подвержены так называемому эффекту якорения или фиксации на известном, то есть делаем выводы, отталкиваясь от очевидных, лежащих на поверхности фактов, хотя известно, что прямолинейно экстраполировать события настоящего или недавнего прошлого на неопределенное будущее — весьма опасно. Эта наша особенность нередко усугубляется стремлением во всем искать подтверждение нашей правоты, из-за чего мы невольно воспринимаем только информацию, подкрепляющую нашу точку зрения (как правило, об успехах), и отсекаем все, что ей противоречит (как правило, речь идет о неудачах).

Если события развиваются не так, как мы думали, мы нередко настаиваем на однажды выбранном, хотя и ведущем в тупик курсе, и, не желая отказаться от своего решения, неразумно цепляемся за него, тратя все новые и новые ресурсы, то есть попросту выбрасывая деньги на ветер. Некоторые особенности коллективной психологии тоже отрицательно сказываются на нашей способности обсуждать опасности и неудачи. Скажем, в ситуации неопределенности коллективы наглядно демонстрируют феномен группового мышления.

Если какие-то решения или действия одобряются большинством, то остальные члены группы обычно оставляют свои возражения (пусть и очень ценные) при себе и подчиняются. Групповое мышление чаще проявляется в коллективе с авторитарным, или самоуверенным, или стремящимся любой ценой избегать конфликтов и на корню пресекать любую угрозу его власти руководителем. Все эти психологические особенности — отдельных людей и целых коллективов — объясняют, почему столь многие компании не замечают неявных угроз или неверно их истолковывают. Вместо того чтобы «подстилать соломку», они сами подвергают себя всяческим рискам.

Они начинают слишком легкомысленно относиться к мелким, вроде бы, сбоям и недостаткам и подобные первые «звонки» воспринимают не как сигналы надвигающейся опасности, а как ложную тревогу. То есть то, что должно было бы их насторожить, становится привычным, а значит, — нормой. Устранить подобные психологические ловушки и призваны грамотно выстроенные процедуры. «Контролировать риски совсем не легко», — говорит Джентри Ли, ведущий специалист по системам Jet Propulsion Laboratory (JPL) подразделения NASA. В проектных группах JPL работают лучшие выпускники лучших университетов; многие из них вообще не знают, что такое — неудача, с ними такого не случалось ни во время учебы, ни на работе. Когда Ли задался целью укоренить в JPL новую культуру профилактики рисков, оказалось, что самое трудное — это научить проектные группы думать о потенциально уязвимых местах их талантливых решений и заранее обсуждать это.

В такой ситуации расписывать, что можно делать, а чего нельзя, бессмысленно. Вообще правила чаще всего приводят к обратному эффекту. Люди начинают мыслить «согласно инструкциям», они уже не ищут творческих, нестандартных ходов и ничего не обсуждают. Держать под контролем стратегические и внеш­ние риски нужно иначе. Рассмотрим сначала, как выявлять риски стратегии и как предотвращать их самые опасные последствия.

Риски стратегии

За последние десять лет мы ознакомились с тремя разными принципами управления рисками этой категории. То, какая модель подходит конкретной фирме, во многом зависит от типа организации, ее специализации и задач. Каждому принципу соответствуют свои структуры, отвечающие за выявление, анализ и меры предотвращения вероятных угроз, но суть этих принципов одна: заставить сотрудников выискивать слабые места принятых ­допущений и обсуждать вероятность нежелательного развития событий. Наш вывод, согласно которому нет единого рецепта на все случаи жизни, очевидно противоречит убеждениям законодательных органов и профессиональных ассоциаций, которые стремятся стандартизировать процедуры анализа рисков и утвердить единые ответственные за это структуры.

Независимые эксперты. Некоторые организации (особенно технологические первооткрыватели вроде JPL из NASA), которые, разрабатывая инновационную продукцию, ведут рассчитанные на годы сложные и дорогостоящие проекты, по определению рискуют больше всех. Но характер таких рисков мало меняется со временем, поскольку подобные фирмы в своей работе имеют дело с известными законами природы, а значит, могут предусматривать ­вероятные опасности на стадии проекта.

К примеру, в JPL создали совет по анализу рисков. Входящие в него специалисты должны критически оценивать решения инженеров проекта, выявлять слабые места этих решений и предлагать меры по их устранению. Совет отвечает за то, чтобы оценка риска производилась систематически по мере разработки продуктов. Поскольку всем проектам JPL сопутствуют примерно одни и те же опасности, совету достаточно собираться один-два раза в год, а руководитель проекта и глава совета встречаются каждые три месяца.

Обсуждения проходят бурно, в атмосфере «интеллектуального противоборства», по словам Джентри Ли. Член совета Крис Левики говорит так: «Мы рвем друг друга в клочья, забрасываем камнями и ярост­но критикуем все, что делается». Но зато инженеры проекта могут увидеть свою работу в другом ракурсе. «Это прочищает их замыленный взгляд», — добавляет Левики.

Совещания, столь же конструктивные, сколь и ожесточенные, проводятся не для того, чтобы удержать проектировщиков от смелых идей. Зная, в какой атмосфере им предстоит отстаивать свои решения, инженеры заранее готовятся, думают, предусмотрели ли они возможные сбои и ошибки. Совет берет на себя роль коллективного Фомы Неверующего и обдает инженеров холодным душем; его задача — не допустить, чтобы компания увязла в слишком рискованных проектах.

Совет по анализу риска JPL не только поощряет активное обсуждение всех связанных с проектами опасностей — он имеет право распоряжаться деньгами. Для каждого этапа проекта, согласно степени их инновационности, он определяет сроки и резервирует ресурсы. Скажем, просто на усовершенствование первоначальной концепции выделяется 10—20% финансового резерва. Если же речь идет о чем-то совершенно новом — о чем-то таком, над чем никто еще в мире не работал, то на это может уйти от 50 до 75% непредвиденных расходов. Резерв — это гарантия того, что в случае проблем (а они неизбежны) у проектной группы будут деньги и время, чтобы эти проблемы устранить и не нарушить графика окончания работ. К оценкам совета в JPL относятся серьезно: уже не раз проекты откладывались или отменялись, если не хватало средств для пополнения резерва.

Посредники. Многие организации (например, коммунальные компании, занятые в сфере электро- и водоснабжения) работают в стабильных рыночных и технологических условиях и при сравнительно предсказуемом потребительском спросе. В основном самые серьезные угрозы для них представляют собой разрозненные, не связанные между собой производственные решения. В большой организации печальные последствия таких решений проявляются не сразу и до поры до времени никто об их серьезности не подозревает.

Поскольку ни один коллектив не обладает полной информацией, которая позволила бы контролировать риски всей организации, компании могут создавать относительно небольшие централизованные группы риска, которые бы анализировали и контролировали вероятные угрозы и к которым стекалась бы информация от начальников подразделений. С появлением таких групп руководители будут лучше понимать, какие опасности угрожают организации, и ясно представлять себе характер вероятных рисков. Эту модель практикуют в канадской энергетической компании Hydro One. Директор по рискам Джон Фрейзер при горячей поддержке гендиректора каждый год проводит десятки семинаров для сотрудников всех уровней и подразделений.

Здесь они выявляют и классифицируют основные риски, которые, по их мнению, могут помешать компании добиться своих стратегических целей. Каждый риск — с учетом его вероятности, тяжести последствий, надежности существующих систем контроля — оценивают анонимно по пятибалльной шкале. Затем участники семинара обсуждают результаты и поясняют свою точку зрения. В завершение группа согласовывает общую оценку, которую заносят в специальную карту риска, составляет рекомендации и назначает ответственного за каждый значительный риск. Принимая решения о распределении капитала и формировании бюджета, в Hydro One учитывают выявленные риски, что повышает дисциплину принятия инвестрешений. Процедура планирования капиталовложений всей корпорации — а речь идет о сотнях миллионов долларов — выстроена так, что деньги вкладываются прежде всего в проекты, не отягченные вероятными рисками.

Группы риска, полагаясь на помощь профильных специалистов, критически рассматривают представленные инженерами планы капиталовложений и их оценку рисков и контролируют процесс распределения ресурсов. На ежегодном совещании по распределению капитала инженеры защищают свои заявки в присутствии коллег и ­руководства. Любой менеджер хочет, чтобы его проект получил финансирование, но поскольку капиталовложения планируются с учетом рисков, то сотрудники Hydro One учатся объективно оценивать вероятные угрозы.

Собственные эксперты. В смысле риска у отрасли финансовых услуг особое положение из-за волатильности рынков активов и потенциальных последствий решений, принятых независимыми друг от друга трейдерами и менеджерами инвесткомпаний. Одна-единст­венная сделка или резкое изменение рыночной конъюнктуры — и инвестиционный банк может столкнуться с риском принципиально нового типа. Поэтому таким компаниям нужны собственные специалисты, которые по­стоянно анализировали бы характер рисков и предот­вращали их, работая бок о бок с менеджерами низшего звена, ведь именно «внизу» рождаются новые идеи, рацпредложения, которым всегда сопутствуют риски, — и зарабатывается прибыль, если все идет по плану.

В 2007 году, когда только разгорался мировой финансовый кризис, на эту модель перешел JP Morgan Private Bank. В каждом отделе банка есть специалисты по риску. Они подчиняются централизованной, независимой службе управления рисками и начальникам «своих» отделов, с которыми тесно взаимодействуют. Специалисты по риску, хорошо зная рынок, критически рассматривают идеи управляющих портфелем активов и заставляют их рассматривать различные сценарии. Они оценивают предлагаемые сделки с точки зрения риска для всего инвестиционного портфеля, причем не только применительно к нормальным условиям, но и к периодам кризисов, когда прибыльность активов очень сильно зависит именно от их категории. «Вот приходят ко мне управляющие портфелем активов и предлагают три сделки. А модель риска может показать, что всем трем присущи риски одного и того же типа, — говорит Григорий Жикарев, специалист по риску JP Morgan. — В девяти случаях из десяти они признают, что недоработали. Тогда мы садимся и реструктурируем сделки».

Главная опасность перевода специалистов по риску в подразделения связана с тем, что они ассимилируются, становятся «своими» для руководства и из критиков сделок превращаются в их инициаторов. За то, чтобы этого не происходило, должен отвечать директор по рискам и гендиректор, от которого в конечном счете зависит, как в компании относятся к рискам.

ТРИ КАТЕГОРИИ РИСКОВ

Риски, которым противостоят компании, можно разделить на три категории, и предотвращать их нужно по-разному. Предотвратимые риски, источником которых оказывается сама организация, можно отслеживать и контролировать, вводя строгие правила, пропагандируя корпоративные ценности и реализуя стандартные меры внутреннего контроля. Что касается рисков внешних и стратегических, то важно, чтобы управленцы открыто обсуждали их и вместе с подчиненными искали экономичные способы снижения вероятности нежелательного развития событий либо смягчения их последствий.

                                                                                                         
Категория 1
Предотвратимые риски


Опасности, которые возникают в самой компании и не дают никаких стратегических преимуществ.
Категория 2
Риски стратегии


Риски, которые компании берут на себя добровольно — ради максимальной прибыли, которую можно получить, реализуя свою бизнес-стратегию.
Категория 3
Внешние риски


Неконтролируемые внешние риски.
Цель
Избежать или предотвратить экономически обоснованным способом нежелательное развитие событий.Экономически эффективно снижать вероятность опасного развития событий и смягчать их последствия.Экономически обоснованно смягчать последствия нежелательного развития события.
Принцип контроля
Сильная корпоративная культура, соблюдение правил и предотвращение коррупции.      

Четкое формулирование миссии компании, системы ее ценностей, правил и границ, внутреннего контроля  и проверок, стандартные операционные процедуры.
Открытое обсуждение рисков, которые могут помешать компании добиться своих стратегических целей; применение таких инструментов, как:
• карты вероятности и последствий выявленных рисков;
• ключевые показатели риска.

Распределение ресурсов как средство предотвращения опасности.
Прогноз рисков посредством:
• оценки побочного риска и стресс-тестирования;
• сценарного планирования;
• анализа действий конкурентов.
Задачи отдела управления рисками
Координировать, курировать и корректировать системы и меры контроля рисков, регулярно проверяя их надежность.Проводить семинары и совещания по анализу риска.      

Помогать в создании портфеля высокорискованных проектов и планировании их финансирования.      

Критиковать
Проводить с руководством стресс-тестирование, сценарное планирование и анализ действий конкурентов.        

Критиковать
Отношение отдела управления рисками к бизнес-единицам
Действуют как независимые наблюдатели.Действуют как независимые посредники, независимые или внутренние эксперты.Дополняют группу разработчиков стратегии или выступают в роли независимых посредников при составлении прогноза рисков.

Опасность деления рисков по функциям

Допустим, руководство поощряет активное обсуждение рисков. Но теперь возникает опасность угодить в другую когнитивно-психологическую ловушку. Многие риски стратегии (и некоторые внешние) вполне предсказуемы и даже хорошо известны, и компании любят делить их на категории по функциям подразделений. Банки ранжируют риски как «кредитный», «рыночный» и «производственный» и занимаются ими по отдельности. В компаниях других отраслей выделяют риски брендов, цепочек поставок или ИТ, репутационные, кадровые и финансовые.

При таком делении невозможно надежно контролировать риски: ответственность размыта, необходимая информация свободно не циркулирует. Не получается и обсуждения взаимозависимости разных рисков. При грамотно организованной дискуссии ее участники не только высказывают противоположные мнения, но и ищут точки соприкосновения. Непоправимый ущерб бизнесу может нанести череда мелких событий, непредсказуемым ­образом усиливающих друг друга. Чтобы ясно видеть риски, угрожающие всей компании, руководителям следует принимать решения параллельно с планированием стратегии — это один из тех интеграционных процессов, что уже отлажены в большинстве хорошо управляемых компаний.

Скажем, Infosys, индийский поставщик ПО для электронной коммерции и телекоммуникационных компаний, анализируя и обсуждая риски, полагается на систему сбалансированных показателей — инструмент оценки стратегии и наглядного отражения того, как у компании обстоят дела. «Размышляя над тем, риски какого типа нам нужно учитывать, мы постепенно обнаружили те, которые могут помешать нам добиться целей, определенных нашей корпоративной системой показателей», — говорит М.Д. Ранганатх, вице-президент по управлению рисками. Создавая свою систему сбалансированных показателей, Infosys в качестве основной задачи выделила взаимоотношения с клиентами и выбрала показатели для оценки прогресса в этой области, например количество ино­странных клиентов, сумма заказов которых за год превышает $50 млн, а также ежегодное увеличение, в процентах, доходов от крупных клиентов.

Проанализировав эти цели и соответствующие показатели, руководство Infosys осознало, что такая стратегия несет новые угрозы — они связаны с вероятным невыполнением клиентами своих финансовых обязательств. Когда Infosys имела дело со множеством мелких заказчиков, невыплата долга кем-нибудь из них не подвергала опасности компанию. Но потеря $50 млн нанесла бы ей серьезный удар. Infosys начала отслеживать кредитоспособность каждого крупного заказчика — это стало главным показателем того, будет или не будет оплачен заказ. Если значение показателя росло, в Infosys принимали меры, чтобы клиент погасил задолженность, или требовали поэтапных выплат. Вот другой пример: Volkswagen do Brazil, дочернее предприятие немецкого концерна в Бразилии. В его отделе управления рисками при анализе и обсуждении вероятных угроз отталкиваются от стратегического плана компании. Для каждой из внесенных в план цели выявляют все то, что может помешать ее достижению.

Затем для каждого риска составляют карту. В ней перечисляют практические последствия конкретного риска для производства, указывают степень его вероятности, основные показатели и меры предупреждения опасности. Кроме того, в карте указывают ответственного за риск (см. врезку «Карта риска»). Потом отдел составляет заключение о результатах для высшего руководства (см. врезку «Карта отчета об управлении рисками»). Компаниям нужно не только постоянно выявлять риски и разрабатывать профилактические меры, но и создавать особые «надзорные» структуры. В Infosys есть централизованный отдел, который занимается общими рисками стратегии и составляет соответствующий план действия, и специализированные группы «на местах», которые вместе с бизнес-подразделениями разрабатывают методы реализации этого «централизованного» плана, следят за тем, как он выполняется, и помогают бизнес-подразделениям отвечать на возникающие угрозы и готовиться к новым рискам. В исключительных случаях — например, если менеджер по работе с клиентами хочет предоставить некоей компании, платежеспособность которой вызывает сомнения, кредит на большой срок — по просьбе этих групп подключается централизованный отдел.

КАРТА РИСКА

С ее помощью в VW do Brasil оценивают риски своей стратегии. Прежде всего менеджеры описывают опасности, которые могут помешать компании выполнить каждую из ее стратегических задач. Для каждого выявленного риска составляют карту: в ней перечисляют практические последствия нежелательных событий для работы фирмы. Образец такой карты приведен ниже. Здесь описаны последствия сбоя в поставках, из-за которого VW do Brasil может не достичь своей стратегической цели, а именно — отладить бесперебойное снабжение.

КАРТА ОТЧЕТА ОБ УПРАВЛЕНИИ РИСКАМИ

Риски своей стратегии VW do Brasil суммирует на карте отчета об управлении рисками, структура которой определяется стратегическими целями (фрагмент приведен ниже). Руководители сразу же видят, какие из выявленных для каждой стратегической задачи рисков опасны и требуют внимания или особых контрмер. К примеру, в VW выявили, что выполнить задачу «Оправдывать ожидания потребителей» могут помешать 11 факторов. Четыре опасны, но ситуация улучшилась по сравнению с предыдущим кварталом. Кроме того, карта показывает, как обстоят дела с управлением рисками во всей компании.

Как показывают эти примеры, размер и задачи отдела по управлению рисками не зависят от величины организации. В Hydro One, а это крупная компания, он относительно невелик; тем не менее он выявляет угрозы для бизнеса, информирует о них всю фирму, а также консультирует руководство по вопросам распределения ресурсов с учетом рисков. И наоборот, в сравнительно небольших компаниях или подразделениях вроде JPL и JP Morgan Private Bank иногда почти у каждого проекта есть свой наблюдательный совет или свои специалисты, которые выявляют уязвимые места бизнес-решений. А, скажем, Infosys, нацеленной на рост крупной компании с масштабным производством и стратегией, необходимы и сильная централизованная служба, и специалисты по рискам, работающие в подразделениях, которые оценивают с точки зрения рисков их коммерческие решения и обмениваются информацией с централизованной группой.

Контроль неконтролируемого

К внешним рискам (третья категория), как правило, не применимы меры контроля за предот­вратимыми рисками и рисками стратегии. Они обычно никак не зависят от самой компании; все, что она может, — это их выявлять, оценивать потенциальные последствия и думать, что делать, если события будут развиваться по нежелательному сценарию. Опасности внешнего характера иногда очевидны, поэтому к ним применимы те же меры, что и к рискам стратегии. Скажем, во время мирового экономического кризиса, наступившего вслед за финансовым, Infosys столкнулась с новой проблемой, которая мешала ей выполнить одну из намеченных задач, а именно — создать международный коллектив для глобального рынка. Речь идет о росте протекционизма.

Эта политика подразумевала жесткие ограничения на предоставление рабочих виз гражданам из некоторых стран — членов Организации экономического сотрудничества и развития, в которых у Infosys были крупные клиенты. Хотя теоретически протекционистское законодательство относится к рискам внешнего характера, в Infosys к нему отнеслись как к риску стратегии. Для него составили карту риска, куда вписали новый показатель: количество сотрудников с двойным гражданством или с разрешением работать за пределами Индии и их доля в процентах. Если бы из-за текучести кадров это количество стало уменьшаться, глобальная стратегия Infosys могла бы оказаться под угрозой.

Поэтому в компании стали искать новые методы найма и ­предотвращения текучести кадров, которые смягчили бы ­по­следствия протекционизма. Но по большей части для внешних угроз нужны иные аналитические подходы, поскольку либо вероятность опасного развития событий очень мала, либо их трудно предвидеть, когда выстраивают стратегию.

Мы выявили несколько источников внешних рисков.

  • Природные и экономические катастрофы, последствия которых проявляются сразу. Сами по себе они предсказуемы; другое дело, что обычно невозможно точно назвать время события (однажды в Калифорнии наверняка произойдет сильное землетрясение, но не известно точно, когда и в каком конкретно месте). Сигналы, говорящие о приближении подобных катастроф, относительно слабы. В качестве примера приведем такие природные катаклизмы, как извержение вулкана в Исландии в 2010 году, из-за которого пришлось закрыть воздушное пространство Европы, или падение стоимости активов из-за экономического кризиса. Если подобные события происходят, их последствия тяжелы и видны сразу, — достаточно вспомнить землетрясение и цунами 2011 года в Японии.

  • Геополитические и природные изменения, последствия которых ощущаются долгое время. Речь идет о политических пертурбациях (серьезных политических реформах, государственных переворотах, революциях и войнах), глобальном потеплении, истощении важнейших природных ресурсов вроде пресной воды.

  • Действия конкурентов со среднесрочным воздействием. В эту категорию рисков попадают подрывные технологии (например, интернет, смартфоны, штрих-код) и неожиданные стратегические ходы игроков отрасли (в частности, Amazon занялась розничной торговлей книгами, а Apple — производством мобильных телефонов и бытовой электроники). Внешние риски каждого типа требуют особого аналитического подхода.

Стресс-тесты побочного риска. Они помогают компаниям оценить последствия серьезных изменений (речь идет об одном или двух переменных факторах), которые будут немедленными и сильными, хотя точно сказать, когда произойдут вызвавшие их события, невозможно. Финансовые фирмы применяют стресс-тесты, чтобы спрогнозировать, как, например, повышение в три раза цен на нефть, резкие колебания курсов валют или процентных ставок, дефолт крупного институционального игрока или суверенного государства отразятся на позиционной торговле и инвестициях. Но при всех своих плюсах стресс-тестирование очень зависит от предположений (а они могут оказаться необъективными) о количестве факторов, которые претерпят изменения. Скажем, в 2007—2008 годах многие банки исходили из сценария, который считали худшим: цены на жилье в США стабилизируются и долго держатся на одной отметке. Мало кому пришло в голову проверить, что будет, если цены пойдут вниз. Это — пример того, как люди в своих оценках отталкиваются от последних и самых доступных данных. Большинство компаний опиралось на данные о стоимости жилья в США за последние годы, а цены несколько десятилетий существенно не снижались. В итоге прогнозы оказались излишне оптимистичными.

Сценарное планирование. Этот метод предназначен для анализа более или менее отдаленного будущего. Метод разработали в 1960-х в Shell Oil. Он позволяет создавать правдоподобную картину «состояния мира» лет через пять-десять. Специалисты анализируют природные явления, политические, экономические, технологические, социальные, нормативно-правовые факторы и выбирают несколько (обычно четыре), воздействие которых на бизнес будет особенно ощутимым. Кое-где просят своих консультантов выявлять важнейшие тенденции, которые развиваются вне их бизнеса и отрасли и которые надо обязательно учитывать в таких сценариях. Для каждого выбранного фактора рассчитывают максимальные и минимальные ожидаемые значения, такие, какими они предположительно будут через пять-десять лет. Комбинация крайних значений четырех факторов дает 16 сценариев. Примерно половина выглядит неубедительно, и их даже не рассматривают. Анализируют только, что будет с корпоративной стратегией при оставшихся сценариях. Если становится очевидно, что стратегия рассчитана на более или менее оптимистический прогноз, ее могут скорректировать с учетом пессимистического сценария либо продумать, как надо будет ее изменить при первых признаках неблагоприятного развития событий.

Анализ действий конкурентов. Он помогает оценить степень опасности для компании новых технологий или изменения стратегий конкурентов. Трем-четырем группам поручают подготовить правдоподобные стратегии для ближайшего будущего или планы действий уже существующих или потенциальных конкурентов, которые те могли бы реализовать в следующие год-два. Рассматриваемый период в этом случае короче, чем при анализе сценариев. Затем группы встречаются и обсуждают, как конкуренты могли бы подорвать стратегию компании. Такая процедура помогает руководителям преодолеть невольную необъективность, которая заставляет их игнорировать факты, противоречащие их представлениям о силе или слабости конкурентов. Предотвратить события, выявленные в результате анализа вероятных действий конкурентов, компании не в силах. Но можно принять меры, чтобы смягчить их последствия. Скажем, авиакомпании защищаются от резкого повышения цен на топливо с помощью финансовых деривативов. Еще вариант — инвестировать, не дожидаясь повышения цен. Например, производственная компания, заводы которой находятся в сейсмоопасной зоне, может, увеличив свои расходы на строительство, обезопасить самые важные объекты от разрушительных подземных толчков.

Компаниям, подверженным разным, но сходным опасностям, есть смысл действовать сообща. Так, информационный центр Университета Северной Каролины может пострадать от урагана, а университета, расположенного в Калифорнии на разломе Сан-Андреас, — от землетрясения. Вероятность того, что эти природные катаст­рофы произойдут одновременно, довольно мала, поэтому оба университета защитят себя, если будут следить за системами друг друга в вечерние и ночные часы.

Трудности управления

Держать под контролем риски или реализовывать стратегию — со­всем не одно и то же. Задача управления рисками — предотвратить негативное развитие событий: тут в центре внимания не новые возможности и успехи, а опасности и потери. И в этом смысле сама идея управление рисками диаметрально противоположна корпоративной культуре, которую лучше всего описывает лозунг: «Будь готов! Всегда готов!» и которую всячески приветствуют руководители.

При этом они обычно игнорируют будущее; им не хочется тратить время и деньги сейчас, чтобы избежать проблем, которые то ли будут, то ли нет, а если и будут, то разбираться с ними придется уже другим начальникам. Более того, предотвращение потенциальных угроз чаще всего подразумевает рассредоточение ресурсов и диверсификацию инвестиций, а жизнеспособная стратегия, наоборот, — высокую концентрацию ресурсов. Руководителям кажется, что это как-то неправильно — выстраивать специальные процедуры и выявлять уязвимые места стратегий, разработанных с их же участием. Именно поэтому в большинстве компаний отвечать за стратегические и внешние риски должны отдельные службы. Сколько в них будет сотрудников, зависит от величины компании и характера ее бизнеса, но подчиняться эти отделы должны напрямую топ-менеджменту. Собственно, это, пожалуй, важнейшая их задача — поддерживать тесную связь с высшим руководством.

Способность компании выдержать шторм во многом определяется тем, насколько серьезно руководство относится к этой работе тогда, когда на небе вовсю светит солнце и на горизонте ни облачка. Чем банки, разорившиеся во время финансового кризиса, отличались от уцелевших? В первых рисками занимались отделы, основная задача которых — следить за соблюдением требований нормативных документов, проводить юридическую экспертизу учредительных и других документов компаний — клиентов банка, отслеживают их «чистоту» и т.д. У сотрудников, контролирующих риски, не было прямого доступа к высшему руководству и советам директоров, а от их предупреждений о слишком большой доле сомнительных кредитов и недостаточной диверсификации банковских портфелей попросту отмахивались. Что же касается благополучно переживших финансовый кризис Goldman Sachs и JP Morgan Chase, то у них были сильные отделы по рискам. Их руководство хорошо понимало, что банки подвержены многочисленным опасностям, и принимало соответствующие меры. Барри Зуброу, директор по рискам JP Morgan Chase, сказал нам: «Хотя это моя епархия, на самом деле у нас в компании рисками ведает наш генеральный, Джеми Даймон».

В управлении рисками интуиция не помогает — сама эта задача противоречит многим психологически объяснимым особенностям и склонностям отдельных людей и целых организаций. Жестким соблюдением правил и законодательных норм, экономическими и юридическими экспертизами можно отвести лишь некоторые угрозы. Чтобы надежно держать под контролем риски и находить способы смягчения их последствий, нужно систематически отслеживать риски разных категорий, разработав для каждой соответствующие процедуры. Только благодаря грамотно выстроенным процессам можно нейтрализовать естественные для любого человека когнитивные искажения, в силу которых управленцы предпочитают видеть мир таким, каким им хотелось бы, чтобы он был, а не таким, каков он есть или может стать.

Об авторах

Роберт Каплан (Robert S. Kaplan) — почетный профессор Гарвардской школы бизнеса.

Анетт Майкс (Anette Mikes) — доцент кафедры бухгалтерского учета и управления в Гарвардской школе бизнеса.