Даже если у менеджеров есть система, способствующая активному обсуждению рисков, их ждет вторая ловушка – когнитивно-поведенческая. Поскольку многие стратегические (и некоторые внешние) риски вполне предсказуемы – и даже знакомы, – компании стремятся маркировать и разделять их, особенно в соответствии с бизнес-функциями. Банки часто по отдельности управляют тем, что они называют «кредитным риском», «рыночным риском» и «операционным риском». Другие компании выделяют «риск бренда», «риск репутации», «риск цепочки поставок», «риск человеческих ресурсов», «риск IT» и «финансовый риск».
Такое жесткое организационное разделение распыляет как информацию, так и ответственность за эффективное управление рисками. Оно мешает обсуждению того, как различные риски взаимодействуют между собой. Чтобы дискуссия о рисках была эффективной, участники должны не только высказывать противоположные точки зрения, но и искать точки соприкосновения. Из-за череды небольших событий, которые усиливают друг друга непредсказуемым образом, бизнесу может быть нанесен непоправимый ущерб.
Менеджеры могут выработать общее видение рисков для компании, сделав такие дискуссии неотъемлемой частью стратегического планирования, единым интеграционным процессом, который уже есть на вооружении у многих хорошо управляемых компаний. Например, Infosys, индийский поставщик IT-услуг, организует обсуждение рисков с помощью собственного управленческого инструмента для измерения стратегических показателей и коммуникации Balanced Scorecard. «Мы спрашивали себя о том, на каких рисках нужно сфокусироваться, – говорит М. Ранганатх, директор по рискам, – и постепенно сосредоточились на рисках для стратегических целей, утвержденных в нашей корпоративной оценочной ведомости».
При построении своей сбалансированной системы показателей Infosys определила «усиление связей с клиентами» в качестве ключевой цели и выбрала показатели для измерения прогресса, такие как число глобальных клиентов с годовыми счетами свыше $50 млн и ежегодный процентный рост доходов от крупных клиентов. Рассматривая цели и показатели эффективности в совокупности, руководство осознало, что в его стратегии появился новый фактор риска: дефолт клиента. Если бы бизнес Infosys основывался на многочисленных мелких клиентах, дефолт одного клиента не поставил бы под угрозу стратегию компании. Но невыполнение обязательств клиентом, которого компания оценивает в $50 млн, может стать серьезным ударом. По каждому крупному клиенту Infosys начала отслеживать риск неуплаты кредитной задолженности как основной показатель вероятности дефолта. Когда этот риск возрастает, Infosys ускоряет сбор дебиторской задолженности или запрашивает поэтапные платежи, чтобы уменьшить вероятность дефолта или его последствий.
В качестве другого примера рассмотрим Volkswagen do Brasil (далее – VW), бразильский филиал немецкого автопроизводителя. Подразделение VW по управлению рисками использует стратегическую карту компании в качестве отправной точки обсуждения рисков. Для каждой цели на карте группа выявляет события, которые могут стать препятствием на пути к достижению этой цели. Затем команда создает для каждого риска карточку события, фиксируя его возможное воздействие на операции, вероятность его возникновения, основные показатели и меры по смягчению последствий. Также определяется, кто несет основную ответственность за управление риском (см. врезку «Карточка рискового события»). После этого команда представляет экспертное заключение высшему руководству (см. врезку «Отчет о рисках»).
Помимо систематического выявления стратегических рисков и разработки профилактических мер, компаниям также необходима структура контроля. Infosys использует двойную структуру. Основная группа выявляет общие стратегические риски и составляет соответствующий план действий, а специализированные функциональные группы вместе с бизнес-подразделениями разрабатывают методы реализации централизованного плана и контролируют его выполнение. Такие группы помогают подразделениям выявлять угрозы и устранять их, передавая в центральную группу только исключительные случаи для проверки. Например, если менеджер по работе с клиентами хочет предоставить более длительный кредитный период компании с высоким уровнем кредитного риска, менеджер по функциональным рискам может отправить дело в централизованный отдел для проверки.
Эти примеры показывают, что размер и задачи отдела по управлению рисками не зависят от величины организации. Крупная компания Hydro One имеет относительно небольшую группу, которая выявляет риски, информирует о них организацию, а также консультирует руководство о распределении ресурсов с учетом рисков. И наоборот, относительно небольшим компаниям или подразделениям, таким как JPL или JP Morgan Private Bank, требуются для каждого проекта «надзорный» комитет или собственные эксперты, чтобы проводить экспертизу конкретной сферы для оценки рисков бизнес-решений. А для Infosys, крупной компании с широким оперативным и стратегическим охватом, нужен сильный централизованный отдел по управлению рисками и риск-менеджеры в бизнес-подразделениях, которые оценивают коммерческие решения с точки зрения рисков и обмениваются информацией с центральной группой.
К третьей категории относятся внешние риски, которые, как правило, не могут быть снижены или предотвращены с помощью мер контроля над предотвратимыми и стратегическими рисками. Внешние риски в значительной степени неподконтрольны компании, поэтому следует сосредоточиться на их выявлении, оценке их потенциального воздействия и разработке мер по смягчению последствий, если события будут развиваться по нежелательному сценарию.
Некоторые неминуемые внешние риски очевидны, и ими можно управлять так же, как и стратегическими рисками. Например, во время экономического спада после глобального финансового кризиса Infosys обнаружила новый риск, связанный с ее целью развития глобальной рабочей силы. В нескольких странах ОЭСР, где у Infosys было большое количество клиентов, усилился рост протекционизма, который мог привести к жестким ограничениям на выдачу рабочих виз и разрешений для иностранных граждан. Хотя протекционистское законодательство, не подверженное влиянию со стороны компании, технически является внешним риском, Infosys отнеслась к нему как к стратегическому риску. Она создала карту событий, которая включала в себя новый показатель: число и процент сотрудников с двойным гражданством или действующим разрешением на работу за пределами Индии. Начни это число уменьшаться из-за текучести кадров, глобальная стратегия Infosys могла бы оказаться под угрозой. Поэтому Infosys внедрила новую политику рекрутинга и предотвращения текучести кадров, которая смягчает возможные последствия этого внешнего риска.
Карточка рискового события
VW do Brasil использует карточки событий, чтобы оценить стратегические риски. Прежде всего менеджеры выявляют угрозы, которые могут помешать компании достигнуть каждую из ее стратегических целей. Затем для каждого выявленного риска менеджеры создают карточку, в которой перечисляют практические последствия события для операционной деятельности. Ниже приведен пример карточки, в которой рассматриваются последствия проблем с поставкой, угрожающие стратегической цели VW по обеспечению бесперебойно функционирующей цепочки поставок.
Отчет о рисках
VW do Brasil суммирует свои стратегические риски в отчете о рисках, структурированном согласно стратегическим целям (выдержка из отчета приведена ниже). Менеджеры сразу видят, сколько выявленных рисков для каждой цели являются критическими и требуют внимания или особых мер. Например, VW обнаружил 11 рисков, связанных с достижением цели «оправдать ожидания клиентов». Четыре из этих рисков были критическими, но соотношение улучшилось по сравнению с оценкой предыдущего квартала. Менеджеры также могут отслеживать прогресс в управлении рисками в компании.
Однако для большинства событий, связанных с внешним риском, требуется иной аналитический подход – либо потому, что вероятность таких событий очень мала, либо потому, что руководству сложно предвидеть их при разработке стратегии. Мы выявили несколько различных источников внешних рисков:
● Природные и экономические катастрофы с немедленными последствиями. Эти риски в целом предсказуемы, хотя их сроки обычно неизвестны (когда-нибудь в Калифорнии случится сильное землетрясение, но где и когда – неизвестно). Сигналы о надвигающейся катастрофе относительно слабые. Примерами служат такие стихийные бедствия, как извержение вулкана в Исландии в 2010-м, на неделю закрывшее европейское воздушное пространство, а также экономические кризисы, вызванные лопнувшим финансовым пузырем. Когда возникают такие риски, их последствия, как правило, внезапны и незамедлительны, как разрушения, вызванные японским землетрясением и цунами в 2011 году.
● Геополитические и экологические изменения с долгосрочными последствиями. К ним относятся политические сдвиги, такие как серьезные изменения политического курса, перевороты, революции и войны; долгосрочные экологические изменения вроде глобального потепления; истощение жизненно важных природных ресурсов, таких как пресная вода.
● Конкурентные риски со среднесрочными последствиями. К ним относятся появление прорывных технологий (интернет, смартфоны и штрихкоды) и неожиданные стратегические ходы игроков отрасли (такие, как вход Amazon на рынок розничной книжной торговли, а Apple – в индустрию мобильных телефонов и бытовой электроники).
Для каждого из этих источников внешнего риска компании используют разные аналитические подходы.
Стресс-тестирование помогает компаниям взять один или два отдельных параметра и рассмотреть их основные изменения, последствия которых будут весомыми и незамедлительными, хотя точные сроки события невозможно спрогнозировать. Фирмы, предоставляющие финансовые услуги, используют стресс-тесты, чтобы оценить, например, как повлияют на торговые позиции и инвестиции такие факторы, как троекратное повышение цен на нефть, значительное колебание обменных и процентных ставок или дефолт крупного учреждения либо суверенной страны.
Однако выгоды от стресс-тестирования в значительной степени зависят от предположений (которые сами могут быть предвзятыми) относительно того, насколько изменится рассматриваемый параметр. Например, в 2007–2008 годах стресс-тесты побочного риска во многих банках предполагали такой худший сценарий, при котором цены на жилье в США выровнялись бы и оставались стабильными в течение долгого периода. Очень немногим пришло в голову проверить, что же произойдет, если цены начнут резко падать. Это отличный пример тенденции привязывать оценки к последним и легкодоступным данным. Большинство компаний отталкивались от недавних цен на жилье в США, которые несколько десятилетий не снижались, и поэтому оценка рынка оказалась чрезмерно оптимистичной.
Этот инструмент подходит для долгосрочного анализа (как правило, на период от пяти до десяти лет). Первоначально разработанный в компании Shell Oil в 1960-х годах, анализ сценариев позволяет определить будущее состояние мира. Специалисты изучают политические, экономические, технологические, социальные, нормативно-правовые и экологические факторы и выбирают определенное число – обычно четыре – тех, которые способны оказать наибольшее влияние на компанию. Некоторые компании сообщают о результатах этих исследований на заседаниях своих консультативных органов, чтобы информировать их о значимых тенденциях, происходящих вне их бизнеса и отрасли, которые, однако, следует учитывать в сценариях.
Для каждого из выбранных факторов оцениваются максимальные и минимальные ожидаемые значения на ближайшие пять – десять лет. Комбинация крайних значений четырех факторов дает 16 сценариев. Около половины, как правило, неправдоподобны, и их отбрасывают. Затем участники оценивают, как стратегия компании будет работать в оставшихся сценариях. Если менеджеры видят, что их стратегия основана на слишком оптимистичном прогнозе, то его могут изменить, чтобы включить пессимистичные сценарии, или могут разработать планы по изменению стратегии при первых сигналах неблагоприятного развития событий.
Они помогают оценить уязвимость компании вследствие появления прорывных технологий или изменений стратегий конкурентов. Компания назначает три или четыре команды для разработки вероятных краткосрочных стратегий или действий, которые могут предпринять существующие или потенциальные конкуренты в течение ближайшей пары лет – более короткий временнóй интервал, чем при анализе сценариев. Затем команды встречаются, чтобы выяснить, как конкуренты могут атаковать стратегию их компании. Этот процесс помогает преодолеть предвзятость руководителей, которые игнорируют доказательства, противоречащие их нынешним убеждениям, и наглядно демонстрирует возможные действия конкурентов компании с целью разрушения ее стратегии.
Организации никак не могут повлиять на вероятность возникновения рисков, выявленных с помощью стресс-теста побочного риска, или сценарного планирования, или анализа действий конкурентов. Но менеджеры могут предпринять конкретные шаги, чтобы смягчить последствия рисковых событий. Поскольку риск недобросовестности не возникает в случае непредвиденных событий, компании могут использовать страхование или хеджирование для снижения некоторых рисков, как это делают авиаперевозчики, когда защищают себя от резкого повышения цен на топливо с использованием финансовых деривативов. Другой вариант заключается в том, чтобы инвестировать сейчас с целью избежать гораздо более высоких затрат в будущем. Например, производитель, располагающий оборудованием в сейсмически активных регионах, может увеличить стоимость строительства, чтобы защитить критически важные объекты от сильных землетрясений. Кроме того, компании, подверженные различным, но сопоставимым рискам, могут сотрудничать, чтобы смягчить их. Например, центры сбора данных Университета Северной Каролины потенциально могут пострадать от ураганов, в то время как аналогичные центры университетов на разломе Сан-Андреас в Калифорнии уязвимы для землетрясений. Вероятность того, что оба стихийных бедствия произойдут одновременно, достаточно мала, и два университета снижают свои риски, делая каждый вечер бэкап систем друг друга.
Управление рисками сильно отличается от управления стратегией, поскольку фокусируется на негативе – угрозах и неудачах, – а не на возможностях и успехах. Это идет вразрез с корпоративной культурой, что нет ничего невозможного. Именно этот постулат стремятся поддерживать руководители при реализации стратегии. И многие лидеры склонны недооценивать будущее; они неохотно тратят сейчас время и деньги на то, чтобы потом избежать неопределенной проблемы, которая может стать преградой. Кроме того, снижение риска обычно предполагает распределение ресурсов и диверсификацию инвестиций, в то время как для успешной стратегии требуется существенная концентрация ресурсов. Менеджеры могут посчитать противоречащей своей культуре поддержку процессов, которые выявляют риски для сформулированных ими стратегий.
По этим причинам большинству компаний необходимо отдельное подразделение для управления стратегическими и внешними рисками. Его размер будет варьироваться от компании к компании, но в любом случае группа должна отчитываться непосредственно перед топ-менеджерами. А самой важной задачей будет поддержание тесных связей с высшим руководством; способность компании противостоять штормам во многом зависит от того, насколько серьезно лидеры воспринимают свою функцию управления рисками в то время, когда светит солнце и горизонт чист.
Это именно то, что отличало банки, потерпевшие крах во время финансового кризиса, от тех, которые выжили в нем. Первые низвели управление рисками до функции отдела по обеспечению нормативно-правового соответствия; их риск-менеджеры имели ограниченный доступ к высшему руководству и советам директоров; руководители обычно игнорировали предупреждения о рисковых кредитных позициях. Напротив, Goldman Sachs и JP Morgan Chase – две фирмы, которые успешно пережили финансовый кризис, – имели как сильные внутренние подразделения по управлению рисками, так и команды руководителей, которые понимали и контролировали множество корпоративных рисков. Барри Зуброу, директор по управлению рисками в JP Morgan Chase, сказал нам: «Хотя я и занимаю эту должность, но главный специалист по управлению рисками компании – генеральный директор Джейми Даймон».
Управление рисками – занятие не интуитивное; оно нуждается в отказе от многих индивидуальных и организационных предубеждений. Правила и ориентация на текущую ситуацию могут смягчить некоторые критические риски, но далеко не все из них. Активное и экономически эффективное управление рисками требует, чтобы менеджеры систематически изучали разные категории рисков, с которыми они сталкиваются, чтобы внедрить подходящие процессы для каждой из них. Эти процессы смогут нейтрализовать распространенные когнитивные искажения, из-за которых руководители воспринимают мир таким, каким они хотят его видеть, а не таким, каков он есть на самом деле или может стать.
Впервые опубликовано в выпуске за июнь 2012 года.
В НАЧАЛЕ 2008 ГОДА ЧЕТЫРЕ ПРЕДПРИНИМАТЕЛЯ из Парижа основали MyFab – интернет-магазин мебели, который делает для изменения отрасли больше, чем любая другая компания со времен IKEA. Вместо того чтобы держать большие запасы продукции, как это делают конкуренты, MyFab предлагает каталог возможных моделей. Покупатели за них голосуют, и наиболее популярные запускаются в производство. Товар отгружается покупателям непосредственно с производственных площадок – без розничных точек, складских запасов, сложных систем дистрибуции и логистики.
Многих покупателей привлекли социальные аспекты голосования и возможность лично повлиять на результат, но больше всего людям понравились цены. Упростив цепочку поставок и выпуская только тот товар, который был нужен клиентам, MyFab смог значительно снизить себестоимость продукции по сравнению с обычными розничными мебельными магазинами. Уже через два года штат компании превысил 100 сотрудников; сейчас она продает мебель и другие товары в четырех странах, включая США.
MyFab не выявил новые сегменты рынка, не разработал новые продукты на основе новых технологий. Строго говоря, его продукция похожа на продукцию конкурентов, а часто и неотличима от нее. MyFab – как ранее Dell, Zara и Zipcar – достиг успеха благодаря инновационной бизнес-модели: суть в том, чтобы, используя уже существующие технологии, предложить уже известные продукты или услуги, которые удовлетворяют уже сложившиеся потребности клиентов. Инновации такого рода очень часто оказываются более значимыми и революционными, чем те, что связаны с продуктами или технологиями, – и это прекрасно известно всем, кто знаком с работами Клейтона Кристенсена или Чан Кима и Рене Моборн из бизнес-школы INSEAD.
Но при внедрении инновационных бизнес-моделей постоянно возникает одна и та же проблема. Как правило, оценить, какие изменения в модели сработают, труднее, чем понять, попадет ли в цель новый продукт или технология. Так в чем же секрет? Что может помочь компаниям систематически совершенствовать бизнес-модели? Как руководителю компании распознать и количественно оценить ценность вносимых изменений? Мы считаем, что в литературе об инновациях бизнес-моделей упускается из виду один из важнейших факторов, определяющих значимость преобразований: где в цепочке создания ценности кроются риски, связанные с созданием, поставкой и потреблением товаров и услуг. При построении цепочек создания ценности компании обычно сосредотачиваются на трех аспектах: выручка (цена, объем рынка и вспомогательные продажи), структура затрат (прямые и косвенные издержки, экономия за счет масштаба и диверсификации) и скорость оборота ресурсов (т. е. скорость, с которой создается ценность за счет используемых ресурсов; как правило, ее оценивают по срокам выполнения заказов, производительности, оборачиваемости запасов и использованию активов). Эти факторы прекрасно изучены, а их совершенствование – основная тема управленческой литературы. Хуже осознается, что эти факторы и сами подвержены влиянию резких изменений – например, спроса и предложения. Поэтому при разработке изменений в бизнес-модели необходимо изучить основные источники риска для этой модели и продумать как она будет справляться с этими рисками.
Если руководитель мыслит в таких категориях, ему сразу виден потенциал компании по созданию ценности за счет перестройки ее бизнес-модели с целью снижения рисков. Кроме того, он может обнаружить неожиданные возможности для создания ценности за счет дополнительного риска – если компания занимает выгодную позицию для управления им. Далее мы опишем различные виды инноваций бизнес-моделей, основанных на риске, и обсудим их преимущества и недостатки, опираясь на наш опыт в изучении и консультировании десятков компаний – от стартапов до крупных корпораций.
Идея вкратце
Многим руководителям проще определить, приживутся ли новые продукты или технологии, чем предугадать, сработают ли изменения в бизнес-модели компании.
Секрет методичного внедрения инноваций в бизнес-модели заключается в том, чтобы сосредоточиться на выявлении рисков в вашей цепочке создания ценности. Затем следует определить, есть ли возможность снизить эти риски, переложить их на кого-то другого или даже взять на себя.
При таком подходе к выбору вам не понадобятся масштабные эксперименты и создание прототипов – для управления рисками уже разработано множество инструментов.