Примечание редактора: после того, как этот выпуск HBR был отправлен в печать, JP Morgan, чья практика управления рисками освещается в этой статье, обнаружила значительные торговые убытки в одном из своих подразделений. Авторы комментируют этот поворот событий в своем вкладе в Центр исследований HBR по управлению рискованным поведением.
Когда Тони Хейворд стал генеральным директором BP в 2007 году, он пообещал сделать безопасность своим главным приоритетом. Среди новых правил, которые он ввел, были требования, чтобы все сотрудники закрывали кофейные чашки крышками во время ходьбы и воздерживались от текстовых сообщений за рулем. Три года спустя, на глазах у Хейворда, в Мексиканском заливе взорвалась нефтяная платформа Deepwater Horizon, вызвав одну из самых страшных техногенных катастроф в истории. Комиссия по расследованию США объяснила катастрофу ошибками управления, которые нанесли ущерб «способности вовлеченных лиц выявлять риски, с которыми они столкнулись, и должным образом оценивать, сообщать и устранять их». История Хейворда отражает общую проблему. Несмотря на всю риторику и вложенные в него деньги, к управлению рисками слишком часто относятся как к проблеме комплаенса, которую можно решить, составив множество правил и убедившись, что все сотрудники их соблюдают. Многие из таких правил, конечно, разумны и снижают некоторые риски, которые могут серьезно повредить компании. Но управление рисками, основанное на правилах, не уменьшит ни вероятность, ни последствия таких бедствий, как Deepwater Horizon, точно так же, как оно не предотвратило крах многих финансовых учреждений во время кредитного кризиса 2007-2008 годов.
В этой статье мы представляем новую классификацию рисков, которая позволяет руководителям определить, какими рисками можно управлять с помощью модели, основанной на правилах, а какие требуют альтернативных подходов. Мы изучаем индивидуальные и организационные проблемы, связанные с проведением открытых, конструктивных дискуссий об управлении рисками, связанными со стратегическим выбором, и утверждаем, что компаниям необходимо закрепить эти дискуссии в своих процессах разработки и реализации стратегии. В заключение мы рассмотрим, как организации могут выявлять непредотвратимые риски, возникающие вне их стратегии и операций, и готовиться к ним.
Управление рисками: правила или диалог?
Первым шагом в создании эффективной системы управления рисками является понимание качественных различий между типами рисков, с которыми сталкиваются организации. Наши полевые исследования показывают, что риски относятся к одной из трех категорий. События риска любой категории могут быть фатальными для стратегии компании и даже для ее выживания.
Категория I: Предотвратимые риски
Это внутренние риски, возникающие внутри организации, которые можно контролировать, и их следует устранять или избегать. Примерами являются риски от несанкционированных, незаконных, неэтичных, неправильных или ненадлежащих действий сотрудников и руководителей, а также риски от сбоев в рутинных операционных процессах. Безусловно, у компаний должна быть зона терпимости к дефектам или ошибкам, которые не нанесли бы серьезного ущерба предприятию и полностью избежать которых было бы слишком дорого. Но в целом компаниям следует стремиться к устранению этих рисков, поскольку они не получают от них никакой стратегической выгоды. Мошеннический торговец или служащий, подкупающий местного чиновника, может принести некоторую краткосрочную прибыль фирме, но со временем такие действия снизят стоимость компании.
Эта категория риска лучше всего управляется с помощью активной профилактики: мониторинга операционных процессов и направления поведения и решений людей в соответствии с желаемыми нормами. Поскольку уже существует значительный объем литературы по подходу соблюдения требований на основе правил, мы отсылаем заинтересованных читателей к боковой панели «Выявление и управление предотвратимыми рисками» вместо полного обсуждения лучших практик здесь.
Категория II: Стратегические риски
Компания добровольно принимает на себя некоторый риск, чтобы получить более высокие доходы от своей стратегии. Банк принимает на себя кредитный риск, например, когда он дает деньги взаймы; многие компании берут на себя риски, связанные с исследованиями и разработками.
Стратегические риски сильно отличаются от предотвратимых рисков, поскольку они не являются нежелательными по своей сути. Стратегия с высокой ожидаемой доходностью обычно требует от компании принятия на себя значительных рисков, и управление этими рисками является ключевым фактором для получения потенциальных выгод. BP приняла на себя высокие риски бурения на несколько миль ниже поверхности Мексиканского залива из-за высокой стоимости нефти и газа, которые она надеялась добыть.
Стратегические риски не могут управляться с помощью модели контроля, основанной на правилах. Вместо этого вам нужна система управления рисками, предназначенная для снижения вероятности того, что предполагаемые риски действительно материализуются, и для улучшения способности компании управлять событиями риска или сдерживать их, если они происходят. Такая система не остановит компании от рискованных предприятий; напротив, это позволило бы компаниям брать на себя более рискованные и более прибыльные предприятия, чем конкуренты с менее эффективным управлением рисками.
Категория III: Внешние риски
Некоторые риски возникают в результате событий вне компании и находятся вне ее влияния или контроля. Источниками этих рисков являются природные и политические катаклизмы и крупные макроэкономические сдвиги. Внешние риски требуют еще одного подхода. Поскольку компании не могут предотвратить возникновение таких событий, их руководство должно сосредоточиться на выявлении (они, как правило, очевидны задним числом) и смягчении их воздействия.
Понимание трех категорий риска
Риски, с которыми сталкиваются компании, делятся на три категории, каждая из которых требует своего подхода к управлению рисками. Предотвратимые риски, возникающие внутри организации, отслеживаются и контролируются с помощью правил, ценностей и стандартных инструментов соответствия. Напротив, стратегические риски и внешние риски требуют отдельных процессов, которые побуждают менеджеров открыто обсуждать риски и находить рентабельные способы снижения вероятности рисковых событий или смягчения их последствий.
| 1. Предотвратимые риски | 2. Стратегические риски | 3. Внешние риски | |
|---|---|---|---|
| ОПИСАНИЕ КАТЕГОРИИ |
1. Предотвратимые риски Риски, возникающие внутри компании, которые не создают стратегических выгод |
2. Стратегические риски Риски ради превосходной стратегической отдачи |
3. Внешние риски Внешние неконтролируемые риски |
| ЦЕЛЬ СНИЖЕНИЯ РИСКА |
1. Предотвратимые риски Избегайте или устраняйте случаи с минимальными затратами |
2. Стратегические риски Уменьшение вероятности и снижение затрат |
3. Внешние риски Экономично снизить воздействие в случае возникновения рискового события |
| МОДЕЛЬ УПРАВЛЕНИЯ |
1. Предотвратимые риски Интегрированная модель культуры и соблюдения требований: Разработка миссии; ценности и системы убеждений; правила и системы границ; стандартные операционные процедуры; внутренний контроль и внутренний аудит |
2. Стратегические риски Интерактивные обсуждения рисков для стратегических целей с использованием таких инструментов, как:
Распределение ресурсов для смягчения критических событий риска |
3. Внешние риски «Предвидение» рисков посредством:
|
| РОЛЬ СОТРУДНИКОВ ПО УПРАВЛЕНИЮ РИСКАМИ ФУНКЦИИ |
1. Предотвратимые риски Координирует, контролирует и пересматривает определенные средства контроля рисков с службой внутреннего аудита |
2. Стратегические риски Проводит семинары по рискам и совещания по анализу рисков Помогает разработать портфель риск-инициатив и их финансирование Выступают в роли адвокатов дьявола |
3. Внешние риски Проводит стресс-тестирование, планирование сценариев и военные игры с командой руководства Выступают в роли адвокатов дьявола |
| ОТНОШЕНИЕ ФУНКЦИИ УПРАВЛЕНИЯ РИСКАМИ С ПОДРАЗДЕЛЕНИЯМИ |
1. Предотвратимые риски Действует как независимые надзиратели |
2. Стратегические риски Действует как независимые фасилитаторы, независимые эксперты или встроенные эксперты |
3. Внешние риски Дополняет стратегическую команду или выступает в качестве независимого координатора упражнений по «представлению» |
Компании должны адаптировать свои процессы управления рисками к этим различным категориям. Хотя подход, основанный на соблюдении требований, эффективен для управления предотвратимыми рисками, он совершенно не подходит для стратегических или внешних рисков, которые требуют принципиально другого подхода, основанного на открытом и явном обсуждении рисков. Однако это легче сказать, чем сделать; обширные поведенческие и организационные исследования показали, что у людей есть сильные когнитивные предубеждения, которые мешают им думать и обсуждать риск, пока не станет слишком поздно.
Почему трудно говорить о риске
Многочисленные исследования показали, что люди переоценивают свою способность влиять на события, которые на самом деле во многом определяются случайностью. Мы склонны слишком самоуверенно относиться к точности наших прогнозов и оценок рисков и слишком узко оценивать диапазон возможных результатов.
Мы также привязываем наши оценки к легкодоступным данным, несмотря на известную опасность проведения линейных экстраполяций из недавней истории в крайне неопределенное и изменчивое будущее. Мы часто усугубляем эту проблему предвзятостью подтверждения, которая заставляет нас отдавать предпочтение информации, которая поддерживает наши позиции (обычно успехи), и подавлять информацию, которая им противоречит (обычно неудачи). Когда события отклоняются от наших ожиданий, мы склонны к эскалации обязательств, иррационально направляя еще больше ресурсов на наш неудавшийся план действий - бросая хорошие деньги за плохими.
Предубеждения в организации также препятствуют нашей способности обсуждать риски и неудачи. В частности, команды, столкнувшиеся с неопределенностью, часто прибегают к групповому мышлению: как только план действий получает поддержку внутри группы, те, кто еще не согласен, склонны подавлять свои возражения, какими бы обоснованными они ни были, и соглашаться. Групповое мышление особенно вероятно, если команду возглавляет властный или самоуверенный менеджер, который хочет свести к минимуму конфликты, задержки и вызовы своему авторитету.
В совокупности эти индивидуальные и организационные предубеждения объясняют, почему так много компаний не замечают или неправильно истолковывают двусмысленные угрозы. Вместо того, чтобы снижать риск, фирмы фактически инкубируют риск путем нормализации отклонений, поскольку они учатся терпеть кажущиеся незначительными сбои и дефекты и рассматривать ранние предупреждающие сигналы как ложные тревоги, а не предупреждения о неминуемой опасности.
Эффективные процессы управления рисками должны противодействовать этим предубеждениям. «Снижение рисков болезненно, это неестественное действие для людей», - говорит Джентри Ли, главный системный инженер Лаборатории реактивного движения (JPL), подразделения Национального управления по аэронавтике и исследованию космического пространства США. Ученые-ракетчики в проектных группах JPL - лучшие выпускники элитных университетов, многие из которых никогда не сталкивались с неудачами в школе или на работе. Самой большой проблемой Ли в создании новой культуры риска в JPL было заставить проектные группы чувствовать себя комфортно, думая и говоря о том, что может пойти не так с их превосходными проектами.
Правила о том, что можно и чего нельзя делать, здесь не помогут. На самом деле они обычно имеют противоположный эффект, поощряя менталитет контрольного списка, который препятствует вызову и обсуждению. Управление стратегическими рисками и внешними рисками требует совершенно разных подходов. Мы начнем с изучения того, как определить и снизить стратегические риски.
Управление стратегическими рисками
За последние 10 лет исследований мы столкнулись с тремя различными подходами к управлению стратегическими рисками. Какая модель подходит для данной фирмы, во многом зависит от контекста, в котором работает организация. Каждый подход требует совершенно разных структур и ролей для функции управления рисками, но все три побуждают сотрудников оспаривать существующие предположения и обсуждать информацию о рисках. Наш вывод о том, что «один размер не подходит всем», противоречит усилиям регулирующих органов и профессиональных ассоциаций по стандартизации функции.
Независимые эксперты
Некоторые организации, особенно такие, как JPL, которые раздвигают границы технологических инноваций, сталкиваются с высоким внутренним риском, поскольку они занимаются длительными, сложными и дорогостоящими проектами по разработке продуктов. Но поскольку большая часть риска возникает из-за того, что приходится сталкиваться с известными законами природы, риск медленно меняется с течением времени. Для этих организаций управление рисками может осуществляться на уровне проекта.
JPL, например, учредила совет по анализу рисков, состоящий из независимых технических экспертов, роль которых состоит в том, чтобы оспаривать решения инженеров проекта по проектированию, оценке рисков и снижению рисков. Эксперты следят за тем, чтобы оценки риска проводились периодически на протяжении всего цикла разработки продукта. Поскольку риски относительно неизменны, контрольный совет должен собираться только один или два раза в год, а руководитель проекта и глава контрольного совета встречаются ежеквартально.
Заседания совета по анализу рисков проходят интенсивно, создавая то, что Джентри Ли называет «культурой интеллектуальной конфронтации». Как говорит член правления Крис Левики: «Мы разрываем друг друга на части, бросаем камни и даем очень критические комментарии обо всем, что происходит». При этом инженеры-проектировщики видят свою работу с другой точки зрения. «Они отрывают носы от точильного камня», - добавляет Левицки.
Встречи, как конструктивные, так и конфронтационные, не предназначены для того, чтобы помешать команде проекта преследовать амбициозные цели и планы. Но они заставляют инженеров заранее думать о том, как они будут описывать и защищать свои проектные решения и достаточно ли они учли вероятные отказы и дефекты. Члены правления, действующие как адвокаты дьявола, уравновешивают естественную самоуверенность инженеров, помогая избежать эскалации приверженности проектам с неприемлемым уровнем риска.
Управление рисками болезненно - это неестественное действие для человека.
В JPL совет по анализу рисков не только способствует активному обсуждению проектных рисков, но также имеет полномочия в отношении бюджетов. Совет устанавливает резервы затрат и времени, которые должны быть выделены для каждого компонента проекта в соответствии со степенью его инновационности. Простое расширение предыдущей миссии потребует, например, от 10 до 20% финансового резерва, в то время как совершенно новый компонент, который еще не работал на Земле, а тем более на неизведанной планете, может потребовать от 50 до 75% резерва на непредвиденные обстоятельства.. Резервы гарантируют, что при неизбежном возникновении проблем команда проекта будет иметь доступ к деньгам и времени, необходимым для их решения, не ставя под угрозу дату запуска. JPL серьезно относится к оценкам; проекты были отложены или отменены, если средств было недостаточно для покрытия рекомендуемых резервов.
Фасилитаторы
Многие организации, такие как традиционные предприятия энергетики и водоснабжения, работают в стабильной технологической и рыночной среде с относительно предсказуемым потребительским спросом. В таких ситуациях риски возникают в основном из-за, казалось бы, несвязанных операционных решений в сложной организации, которые накапливаются постепенно и могут оставаться скрытыми в течение длительного времени.
Поскольку ни одна группа сотрудников не обладает знаниями для управления рисками на операционном уровне в рамках различных функций, фирмы могут создать относительно небольшую центральную группу по управлению рисками, которая собирает информацию от операционных менеджеров. Это повышает осведомленность менеджеров о рисках, принятых в организации, и дает лицам, принимающим решения, полную картину профиля рисков компании.
Мы видели эту модель в действии в канадской электроэнергетической компании Hydro One. Директор по управлению рисками Джон Фрейзер при явной поддержке генерального директора ежегодно проводит десятки семинаров, на которых сотрудники всех уровней и функций определяют и ранжируют основные риски, которые они видят для стратегических целей компании. Сотрудники используют технологию анонимного голосования, чтобы оценить каждый риск по шкале от 1 до 5 с точки зрения его воздействия, вероятности возникновения и силы существующих средств контроля. Рейтинги обсуждаются на семинарах, и сотрудники имеют право высказывать и обсуждать свое восприятие риска. В конечном итоге группа вырабатывает консенсусное мнение, которое записывается на визуальной карте рисков, рекомендует планы действий и назначает «владельца» для каждого основного риска.
Hydro One усиливает подотчетность, увязывая решения о распределении капитала и бюджете с выявленными рисками. В процессе планирования капиталовложений на корпоративном уровне выделяются сотни миллионов долларов, в основном на проекты, которые эффективно и действенно снижают риски. Группа риска привлекает технических экспертов для оспаривания инвестиционных планов линейных инженеров и оценки рисков, а также для обеспечения независимого экспертного надзора за процессом распределения ресурсов. На ежегодном собрании по распределению капитала линейные руководители должны защищать свои предложения перед своими коллегами и высшим руководством. Руководители хотят, чтобы их проекты привлекали финансирование в процессе планирования капитала с учетом рисков, поэтому они учатся преодолевать предвзятость, чтобы скрывать или минимизировать риски в областях своей ответственности.
Встроенные эксперты
Индустрия финансовых услуг представляет собой уникальную проблему из-за нестабильной динамики рынков активов и потенциального влияния решений, принимаемых децентрализованными трейдерами и инвестиционными менеджерами. Профиль риска инвестиционного банка может резко измениться в результате одной сделки или крупного движения рынка. Для таких компаний управление рисками требует, чтобы встроенные в организацию эксперты постоянно контролировали и влияли на профиль рисков бизнеса, работая бок о бок с линейными менеджерами, чья деятельность генерирует новые идеи, инновации и риски - и, если все идет хорошо, прибыль..
Опасность включения риск-менеджеров в линейную организацию заключается в том, что они «приживаются» - становясь заключающими сделки, а не задающими вопросы.
JP Morgan Private Bank принял эту модель в 2007 году, в начале мирового финансового кризиса. Риск-менеджеры, встроенные в линейную организацию, отчитываются как перед линейными руководителями, так и перед централизованной независимой функцией управления рисками. Личный контакт с линейными менеджерами позволяет опытным риск-менеджерам постоянно задавать вопросы «что, если», подвергая сомнению предположения портфельных менеджеров и заставляя их рассматривать различные сценарии. Риск-менеджеры оценивают, как предлагаемые сделки влияют на риск всего инвестиционного портфеля не только в нормальных условиях, но и в периоды экстремального стресса, когда корреляция доходности по различным классам активов обостряется. «Портфельные менеджеры приходят ко мне с тремя сделками, и модель [риска] может сказать, что все три добавляют к одному и тому же типу риска», - объясняет Григорий Жикарев, риск-менеджер в JP Morgan.«В 9 случаях из 10 менеджер скажет: «Нет, это не то, чем я хочу заниматься». Затем мы можем сесть и изменить дизайн сделок».
Главная опасность встраивания риск-менеджеров в линейную организацию заключается в том, что они «укореняются», присоединяясь к внутреннему кругу руководящей команды бизнес-подразделения, становясь теми, кто заключает сделки, а не ставит их под сомнение. Предотвращение этого является обязанностью старшего менеджера по управлению рисками компании и, в конечном счете, генерального директора, который задает тон культуре управления рисками компании.
Как избежать функциональной ловушки
Даже если у менеджеров есть система, которая способствует активным дискуссиям о риске, их ждет вторая когнитивно-поведенческая ловушка. Поскольку многие стратегические риски (и некоторые внешние риски) вполне предсказуемы - даже знакомые компании - склонны маркировать и разделять их, особенно по бизнес-функциям. Банки часто управляют тем, что они называют «кредитным риском», «рыночным риском» и «операционным риском» в отдельных группах. Другие компании разделяют управление «риском бренда», «риском репутации», «риском цепочки поставок», «риском человеческих ресурсов», «риском ИТ» и «финансовым риском».
Такие разрозненные организационные структуры рассеивают как информацию, так и ответственность за эффективное управление рисками. Они препятствуют обсуждению того, как взаимодействуют различные риски. Хорошие обсуждения риска должны быть не только конфронтационными, но и интегративными. Бизнес может быть подорван комбинацией небольших событий, которые непредвиденным образом усиливают друг друга.
Менеджеры могут разработать общекорпоративное представление о рисках, сосредоточив свои обсуждения на стратегическом планировании - единственном интеграционном процессе, который уже есть в большинстве хорошо управляемых компаний. Например, Infosys, индийская компания, предоставляющая ИТ-услуги, проводит обсуждения рисков на основе Balanced Scorecard, своего инструмента управления для измерения стратегии и обмена информацией. «По мере того, как мы задавались вопросом, на какие риски нам следует обращать внимание, - говорит М. Д. Ранганат, директор по управлению рисками, - мы постепенно концентрировались на рисках для бизнес-целей, указанных в нашей корпоративной оценочной таблице.”
При создании сбалансированной системы показателей компания Infosys определила «растущие отношения с клиентами» в качестве ключевой цели и выбрала показатели для измерения прогресса, такие как количество клиентов по всему миру с годовыми счетами более 50 миллионов долларов и ежегодное процентное увеличение доходов от крупных клиентов. Взглянув на цель и показатели эффективности вместе, руководство поняло, что его стратегия привнесла новый фактор риска: дефолт клиента. Когда бизнес Infosys базировался на множестве мелких клиентов, дефолт одного клиента не мог поставить под угрозу стратегию компании. Но дефолт клиента стоимостью 50 миллионов долларов стал бы серьезной неудачей. Infosys начала отслеживать ставку кредитного дефолтного свопа каждого крупного клиента как опережающий индикатор вероятности дефолта. Когда ставка клиента увеличивалась, Infosys ускоряла сбор дебиторской задолженности или запрашивала промежуточные платежи, чтобы снизить вероятность или последствия дефолта.
В качестве другого примера рассмотрим Volkswagen do Brasil (впоследствии сокращенно VW), бразильскую дочернюю компанию немецкого автопроизводителя. Подразделение VW по управлению рисками использует стратегическую карту компании в качестве отправной точки для своих диалогов о рисках. Для каждой цели на карте группа определяет события риска, которые могут привести к тому, что VW не достигнет этой цели. Затем команда создает карту события риска для каждого риска на карте, в которой перечислены практические последствия события для операций, вероятность возникновения, опережающие индикаторы и возможные действия по смягчению последствий. Он также определяет, кто несет основную ответственность за управление рисками. (См. приложение «Карта риск-события».) Затем группа риска представляет краткое изложение результатов высшему руководству. (См. «Карту отчета о рисках».)
Помимо внедрения систематического процесса выявления и снижения стратегических рисков, компаниям также необходима структура контроля за рисками. Infosys использует двойную структуру: центральная группа управления рисками, которая выявляет общие стратегические риски и устанавливает центральную политику, и специализированные функциональные группы, которые разрабатывают и контролируют политики и средства контроля, консультируясь с местными бизнес-группами. Децентрализованные группы обладают полномочиями и опытом, чтобы помочь бизнес-направлениям реагировать на угрозы и изменения в их профилях рисков, передавая только исключения центральной группе управления рисками для рассмотрения. Например, если менеджер по работе с клиентами хочет предоставить более длительный срок кредита компании с высокими параметрами кредитного риска, менеджер по функциональным рискам может отправить дело на рассмотрение центральной группе.
Эти примеры показывают, что размер и объем функции управления рисками не определяются размером организации. Hydro One, крупная компания, имеет относительно небольшую группу риска, которая занимается информированием и информированием о рисках в рамках всей фирмы, а также консультированием исполнительной команды по распределению ресурсов с учетом рисков. Напротив, относительно небольшие компании или подразделения, такие как JPL или JP Morgan Private Bank, нуждаются в нескольких экспертных советах на уровне проекта или в командах встроенных менеджеров по рискам, чтобы применять экспертные знания в предметной области для оценки риска бизнес-решений. А Infosys, крупной компании с широким операционным и стратегическим охватом, требует мощной централизованной функции управления рисками, а также рассредоточенных менеджеров по рискам, которые поддерживают местные бизнес-решения и облегчают обмен информацией с централизованной группой риска.
Управление неуправляемым
Внешние риски, третья категория рисков, как правило, не могут быть уменьшены или устранены с помощью подходов, используемых для управления предотвратимыми и стратегическими рисками. Внешние риски в значительной степени находятся вне контроля компании; компании должны сосредоточиться на их выявлении, оценке их потенциального воздействия и выяснении того, как лучше всего смягчить их последствия, если они возникнут.
Некоторые события внешнего риска настолько неизбежны, что менеджеры могут управлять ими так же, как они управляют рисками своей стратегии. Например, во время экономического спада после мирового финансового кризиса Infosys выявила новый риск, связанный с ее целью развития глобальной рабочей силы: рост протекционизма, который может привести к жестким ограничениям на рабочие визы и разрешения для иностранных граждан в нескольких странах ОЭСР. странах, где у Infosys было много клиентов. Хотя протекционистское законодательство технически является внешним риском, поскольку компания не может контролировать его, Infosys отнеслась к нему как к стратегическому риску и создала для него Карту событий риска, которая включала новый индикатор риска: количество и процент сотрудников с двойным гражданством или разрешения на работу за пределами Индии. Если это число сократится из-за текучести кадров, глобальная стратегия Infosys может оказаться под угрозой. Поэтому Infosys внедрила политику найма и удержания персонала, которая смягчает последствия этого события внешнего риска.
Большинство событий внешнего риска, однако, требуют другого аналитического подхода либо потому, что вероятность их возникновения очень низка, либо потому, что менеджерам трудно представить их себе в ходе своих обычных процессов разработки стратегии. Мы выявили несколько различных источников внешних рисков:
Природные и экономические бедствия с непосредственными последствиями. Эти риски в общих чертах предсказуемы, хотя их время обычно не определено (когда-нибудь в Калифорнии произойдет сильное землетрясение, но точно неизвестно, где и когда). Их можно предвидеть только относительно слабыми сигналами. Примеры включают стихийные бедствия, такие как извержение вулкана в Исландии в 2010 году, которое закрыло европейское воздушное пространство на неделю, и экономические бедствия, такие как лопнувший пузырь цен на основные активы. Когда возникают эти риски, их последствия, как правило, радикальны и немедленны, как мы видели на примере разрушений, вызванных землетрясением и цунами в Японии в 2011 году
Геополитические и экологические изменения с долгосрочными последствиями. К ним относятся политические сдвиги, такие как крупные изменения в политике, перевороты, революции и войны; долгосрочные изменения окружающей среды, такие как глобальное потепление; и истощение важнейших природных ресурсов, таких как пресная вода
Конкурентные риски со среднесрочным воздействием. К ним относятся появление прорывных технологий (таких как Интернет, смартфоны и штрих-коды) и радикальные стратегические действия игроков отрасли (такие как выход Amazon на рынок розничной торговли книгами и Apple на рынок мобильных телефонов и бытовой электроники)
Компании используют разные аналитические подходы для каждого из источников внешнего риска.
Стресс-тесты хвостового риска
Стресс-тестирование помогает компаниям оценить серьезные изменения в одной или двух конкретных переменных, последствия которых будут существенными и незамедлительными, хотя точное время предсказать невозможно. Фирмы, предоставляющие финансовые услуги, используют стресс-тесты, чтобы оценить, например, как такое событие, как утроение цен на нефть, значительное колебание обменных курсов или процентных ставок, дефолт крупного учреждения или суверенной страны, повлияет на торговые позиции и инвестиции.
Выгоды от стресс-тестирования, однако, в решающей степени зависят от предположений, которые сами по себе могут быть необъективными, относительно того, насколько изменится рассматриваемая переменная. Стресс-тесты многих банков в 2007-2008 годах, например, предполагали наихудший сценарий, при котором цены на жилье в США стабилизировались и оставались неизменными в течение нескольких периодов. Очень немногие компании додумались проверить, что произойдет, если цены начнут снижаться, - отличный пример тенденции привязывать оценки к последним и легко доступным данным. Большинство компаний экстраполировали недавние цены на жилье в США, которые не снижались в течение нескольких десятилетий, чтобы получить чрезмерно оптимистичные оценки рынка.
Планирование сценария
Этот инструмент подходит для долгосрочного анализа, как правило, на 5-10 лет вперед. Первоначально разработанный в Shell Oil в 1960-х годах, анализ сценариев представляет собой систематический процесс определения вероятных границ будущих состояний мира. Участники изучают политические, экономические, технологические, социальные, нормативные и экологические силы и выбирают некоторое количество движущих сил - обычно четыре, - которые окажут наибольшее влияние на компанию. Некоторые компании явно используют опыт своих консультативных советов, чтобы информировать их о важных тенденциях, выходящих за рамки повседневной деятельности компании и отрасли, которые следует учитывать в их сценариях.
Для каждого из выбранных факторов участники оценивают максимальные и минимальные ожидаемые значения в течение пяти-десяти лет. Объединение экстремальных значений для каждого из четырех драйверов приводит к 16 сценариям. Около половины, как правило, неправдоподобны и отбрасываются; Затем участники оценивают, как стратегия их фирмы будет работать в оставшихся сценариях. Если менеджеры видят, что их стратегия зависит от в целом оптимистичных взглядов, они могут модифицировать ее, чтобы приспособить к пессимистичным сценариям, или разработать планы того, как они изменят свою стратегию, если ранние индикаторы покажут растущую вероятность того, что события обернутся против нее.
Военные игры
War-gaming оценивает уязвимость фирмы перед прорывными технологиями или изменениями в стратегиях конкурентов. В военной игре компания поручает трем или четырем командам разработать правдоподобные краткосрочные стратегии или действия, которые существующие или потенциальные конкуренты могут предпринять в течение следующих одного или двух лет - более короткий временной горизонт, чем при анализе сценариев. Затем команды встречаются, чтобы изучить, как умные конкуренты могут атаковать стратегию компании. Этот процесс помогает преодолеть склонность лидеров игнорировать доказательства, противоречащие их нынешним убеждениям, в том числе возможность действий, которые могут предпринять конкуренты, чтобы подорвать их стратегию.
Способность фирмы выдерживать бури зависит от того, насколько серьезно руководители относятся к управлению рисками, когда светит солнце и на горизонте нет облаков.
Компании не имеют никакого влияния на вероятность рисковых событий, выявленных с помощью таких методов, как тестирование остаточных рисков, планирование сценариев и военные игры. Но менеджеры могут предпринять конкретные действия, чтобы смягчить их влияние. Поскольку моральный риск не возникает в случае непредотвратимых событий, компании могут использовать страхование или хеджирование для снижения некоторых рисков, как это делает авиакомпания, защищаясь от резкого повышения цен на топливо с помощью производных финансовых инструментов. Другой вариант для фирм - инвестировать сейчас, чтобы избежать гораздо более высоких затрат в будущем. Например, производитель, имеющий объекты в сейсмоопасных районах, может увеличить затраты на строительство, чтобы защитить важные объекты от сильных землетрясений. Кроме того, компании, подверженные различным, но сопоставимым рискам, могут сотрудничать для их снижения. Например, ИТ-центры данных университета в Северной Каролине будут уязвимы для ураганов, а центры аналогичного университета в разломе Сан-Андреас в Калифорнии будут уязвимы для землетрясений. Вероятность того, что обе катастрофы произойдут в один и тот же день, достаточно мала, чтобы два университета могли снизить риски, создавая резервные копии систем друг друга каждую ночь.
The Leadership Challenge
Управление рисками сильно отличается от управления стратегией. Управление рисками фокусируется на негативных угрозах и неудачах, а не на возможностях и успехах. Это полностью противоречит культуре «можно сделать», которую большинство руководящих команд стараются поддерживать при реализации стратегии. И многие лидеры имеют тенденцию обесценивать будущее; они не хотят тратить время и деньги сейчас, чтобы избежать неопределенной проблемы в будущем, которая может возникнуть в будущем, на чьих-то часах. Более того, снижение риска обычно включает в себя рассредоточение ресурсов и диверсификацию инвестиций, что прямо противоположно интенсивной направленности успешной стратегии. Менеджеры могут счесть противоречащим их культуре отстаивание процессов, выявляющих риски для стратегий, которые они помогли сформулировать.
По этим причинам большинству компаний требуется отдельная функция для управления стратегией и внешними рисками. Размер функции управления рисками будет варьироваться от компании к компании, но группа должна подчиняться непосредственно высшему руководству. Действительно, поддержание тесных отношений с высшим руководством, возможно, будет его самой важной задачей; Способность компании выдерживать бури во многом зависит от того, насколько серьезно руководители относятся к своей функции управления рисками, когда светит солнце и на горизонте нет облаков.
Вот что отличало банки, потерпевшие крах во время финансового кризиса, от тех, которые выжили. Обанкротившиеся компании возложили управление рисками на комплаенс-функции; их риск-менеджеры имели ограниченный доступ к высшему руководству и их советам директоров. Кроме того, руководители обычно игнорировали предупреждения риск-менеджеров о позициях с высокой долей заемных средств и высокой концентрации. Напротив, Goldman Sachs и JPMorgan Chase, две фирмы, которые хорошо пережили финансовый кризис, имели сильные внутренние функции управления рисками и руководящие группы, которые понимали и управляли многочисленными рисками компаний. Барри Зуброу, директор по управлению рисками в JP Morgan Chase, сказал нам: «Может, у меня и есть эта должность, но [CEO] Джейми Даймон - главный специалист по управлению рисками в компании».
..
Управление рисками не интуитивно понятно; это противоречит многим индивидуальным и организационным предубеждениям. Правила и соответствие могут снизить некоторые критические риски, но не все. Активное и рентабельное управление рисками требует от менеджеров систематического обдумывания множества категорий рисков, с которыми они сталкиваются, чтобы они могли внедрить соответствующие процессы для каждой из них. Эти процессы нейтрализуют их управленческую предвзятость видеть мир таким, каким они хотели бы его видеть, а не таким, каким он есть на самом деле или может стать.