Индустрия финансовых услуг занимает особое положение из-за волатильности рынков активов и потенциального влияния решений, принимаемых независимыми друг от друга трейдерами и управляющими инвест-компаний. Одна-единственная сделка или движение рынка может резко изменить характер риска инвестиционного банка. Таким компаниям для управления рисками требуются собственные эксперты, которые будут постоянно отслеживать характер риска и предотвращать его, работая бок о бок с линейными менеджерами. Ведь именно они генерируют новые идеи и инновации, которым сопутствуют риски, и – если все идет хорошо – зарабатывают прибыль.
В 2007 году, накануне мирового финансового кризиса, JP Morgan Private Bank перешел на эту модель. В каждом отделе есть собственные специалисты по управлению рисками, которые подчиняются руководителям отделов и централизованному независимому подразделению, занимающимся управлением рисками. Специалисты по риску, постоянно задавая вопрос: «А что, если?..», бросают вызов идеям портфельных менеджеров и заставляют их рассматривать разные сценарии. Риск-менеджеры оценивают влияние предлагаемых сделок на риск всего инвестиционного портфеля не только при нормальных обстоятельствах, но и в периоды экстремальных нагрузок, когда корреляции доходностей по различным классам активов возрастают. «Например, портфельный менеджер приходит ко мне с тремя сделками, и моделирование показывает, что все три принадлежат к одному и тому же типу риска, – объясняет Григорий Жикарев, менеджер по рискам в JP Morgan. – В девяти случаях из десяти менеджер сам скажет: "Нет, это не то, чего я хочу". Тогда мы садимся и реструктурируем сделку».
Главная опасность включения риск-менеджеров в организацию состоит в том, что, входя в ближайшее окружение руководителей бизнес-подразделений, они становятся «своими» – т. е. помогают заключать сделки, вместо того чтобы подвергать их сомнению. Недопущение таких нарушений – ответственность старшего специалиста по управлению рисками компании и генерального директора, от которого в конечном счете зависит вся корпоративная культура рисков.
Как избежать функциональной ловушки
Даже если у менеджеров есть система, способствующая активному обсуждению рисков, их ждет вторая ловушка – когнитивно-поведенческая. Поскольку многие стратегические (и некоторые внешние) риски вполне предсказуемы – и даже знакомы, – компании стремятся маркировать и разделять их, особенно в соответствии с бизнес-функциями. Банки часто по отдельности управляют тем, что они называют «кредитным риском», «рыночным риском» и «операционным риском». Другие компании выделяют «риск бренда», «риск репутации», «риск цепочки поставок», «риск человеческих ресурсов», «риск IT» и «финансовый риск».
Такое жесткое организационное разделение распыляет как информацию, так и ответственность за эффективное управление рисками. Оно мешает обсуждению того, как различные риски взаимодействуют между собой. Чтобы дискуссия о рисках была эффективной, участники должны не только высказывать противоположные точки зрения, но и искать точки соприкосновения. Из-за череды небольших событий, которые усиливают друг друга непредсказуемым образом, бизнесу может быть нанесен непоправимый ущерб.
Менеджеры могут выработать общее видение рисков для компании, сделав такие дискуссии неотъемлемой частью стратегического планирования, единым интеграционным процессом, который уже есть на вооружении у многих хорошо управляемых компаний. Например, Infosys, индийский поставщик IT-услуг, организует обсуждение рисков с помощью собственного управленческого инструмента для измерения стратегических показателей и коммуникации Balanced Scorecard. «Мы спрашивали себя о том, на каких рисках нужно сфокусироваться, – говорит М. Ранганатх, директор по рискам, – и постепенно сосредоточились на рисках для стратегических целей, утвержденных в нашей корпоративной оценочной ведомости».
При построении своей сбалансированной системы показателей Infosys определила «усиление связей с клиентами» в качестве ключевой цели и выбрала показатели для измерения прогресса, такие как число глобальных клиентов с годовыми счетами свыше $50 млн и ежегодный процентный рост доходов от крупных клиентов. Рассматривая цели и показатели эффективности в совокупности, руководство осознало, что в его стратегии появился новый фактор риска: дефолт клиента. Если бы бизнес Infosys основывался на многочисленных мелких клиентах, дефолт одного клиента не поставил бы под угрозу стратегию компании. Но невыполнение обязательств клиентом, которого компания оценивает в $50 млн, может стать серьезным ударом. По каждому крупному клиенту Infosys начала отслеживать риск неуплаты кредитной задолженности как основной показатель вероятности дефолта. Когда этот риск возрастает, Infosys ускоряет сбор дебиторской задолженности или запрашивает поэтапные платежи, чтобы уменьшить вероятность дефолта или его последствий.
В качестве другого примера рассмотрим Volkswagen do Brasil (далее – VW), бразильский филиал немецкого автопроизводителя. Подразделение VW по управлению рисками использует стратегическую карту компании в качестве отправной точки обсуждения рисков. Для каждой цели на карте группа выявляет события, которые могут стать препятствием на пути к достижению этой цели. Затем команда создает для каждого риска карточку события, фиксируя его возможное воздействие на операции, вероятность его возникновения, основные показатели и меры по смягчению последствий. Также определяется, кто несет основную ответственность за управление риском (см. врезку «Карточка рискового события»). После этого команда представляет экспертное заключение высшему руководству (см. врезку «Отчет о рисках»).
Помимо систематического выявления стратегических рисков и разработки профилактических мер, компаниям также необходима структура контроля. Infosys использует двойную структуру. Основная группа выявляет общие стратегические риски и составляет соответствующий план действий, а специализированные функциональные группы вместе с бизнес-подразделениями разрабатывают методы реализации централизованного плана и контролируют его выполнение. Такие группы помогают подразделениям выявлять угрозы и устранять их, передавая в центральную группу только исключительные случаи для проверки. Например, если менеджер по работе с клиентами хочет предоставить более длительный кредитный период компании с высоким уровнем кредитного риска, менеджер по функциональным рискам может отправить дело в централизованный отдел для проверки.
Эти примеры показывают, что размер и задачи отдела по управлению рисками не зависят от величины организации. Крупная компания Hydro One имеет относительно небольшую группу, которая выявляет риски, информирует о них организацию, а также консультирует руководство о распределении ресурсов с учетом рисков. И наоборот, относительно небольшим компаниям или подразделениям, таким как JPL или JP Morgan Private Bank, требуются для каждого проекта «надзорный» комитет или собственные эксперты, чтобы проводить экспертизу конкретной сферы для оценки рисков бизнес-решений. А для Infosys, крупной компании с широким оперативным и стратегическим охватом, нужен сильный централизованный отдел по управлению рисками и риск-менеджеры в бизнес-подразделениях, которые оценивают коммерческие решения с точки зрения рисков и обмениваются информацией с центральной группой.
Управление неуправляемым
К третьей категории относятся внешние риски, которые, как правило, не могут быть снижены или предотвращены с помощью мер контроля над предотвратимыми и стратегическими рисками. Внешние риски в значительной степени неподконтрольны компании, поэтому следует сосредоточиться на их выявлении, оценке их потенциального воздействия и разработке мер по смягчению последствий, если события будут развиваться по нежелательному сценарию.
Некоторые неминуемые внешние риски очевидны, и ими можно управлять так же, как и стратегическими рисками. Например, во время экономического спада после глобального финансового кризиса Infosys обнаружила новый риск, связанный с ее целью развития глобальной рабочей силы. В нескольких странах ОЭСР, где у Infosys было большое количество клиентов, усилился рост протекционизма, который мог привести к жестким ограничениям на выдачу рабочих виз и разрешений для иностранных граждан. Хотя протекционистское законодательство, не подверженное влиянию со стороны компании, технически является внешним риском, Infosys отнеслась к нему как к стратегическому риску. Она создала карту событий, которая включала в себя новый показатель: число и процент сотрудников с двойным гражданством или действующим разрешением на работу за пределами Индии. Начни это число уменьшаться из-за текучести кадров, глобальная стратегия Infosys могла бы оказаться под угрозой. Поэтому Infosys внедрила новую политику рекрутинга и предотвращения текучести кадров, которая смягчает возможные последствия этого внешнего риска.
Карточка рискового события
VW do Brasil использует карточки событий, чтобы оценить стратегические риски. Прежде всего менеджеры выявляют угрозы, которые могут помешать компании достигнуть каждую из ее стратегических целей. Затем для каждого выявленного риска менеджеры создают карточку, в которой перечисляют практические последствия события для операционной деятельности. Ниже приведен пример карточки, в которой рассматриваются последствия проблем с поставкой, угрожающие стратегической цели VW по обеспечению бесперебойно функционирующей цепочки поставок.
Отчет о рисках
VW do Brasil суммирует свои стратегические риски в отчете о рисках, структурированном согласно стратегическим целям (выдержка из отчета приведена ниже). Менеджеры сразу видят, сколько выявленных рисков для каждой цели являются критическими и требуют внимания или особых мер. Например, VW обнаружил 11 рисков, связанных с достижением цели «оправдать ожидания клиентов». Четыре из этих рисков были критическими, но соотношение улучшилось по сравнению с оценкой предыдущего квартала. Менеджеры также могут отслеживать прогресс в управлении рисками в компании.