Стратегическое управление рисками в опасные времена

Боб Паладино, консультант, управляющий партнер Bob Paladino & Associates, автор книги «Пять ключевых принципов управления корпоративной эффективностью»

Сегодня компании сталкиваются с целым спектром рисков: стратегических, операционных, валютных, кредитных, хеджевых… Не проходит и дня без сообщений об очередных списаниях, убытках, банкротствах, причиной которых стало низкое качество управления рисками. Что же такое корпоративное управление рисками (ERM, Enterprise Risk Managenent) и как ведущие компании используют эту методику чтобы не разориться в трудные времена?

Опыт United Illuminating Company

United Illuminating Company (UI), входящая в состав UIL Holdings Corporation, была создана в 1899 году в результате слияния Bridgeport Electric Company и New Haven Electric Company. UI – это регулируемая организация, которая поставляет энергию 320 тысячам клиентов в Нью-Хэвене и Бриджпорте, штат Коннектикут. В компании сейчас работает больше тысячи сотрудников, а ее выручка составляет 982 млн долларов. Компания получила награду APQC (American Productivity & Quality Center) за высочайшее качество инноваций и управления эффективностью. В качестве эксперта я сотрудничал с APQC и помог отобрать из числа 50 компаний пятерку лучших с точки зрения качества ERM. UI вошла в эту пятерку и может служить примером лучших практик. Многие из них описаны в этой статье.

Стратегический менеджмент, основанный на процессах

UI применяет непрерывный процесс стратегического планирования для достижения стратегических целей, показанных на рисунке 1. Как говорит Эдвард Дрю, вице-президент подразделения стратегического обслуживания UI: «Четкий, понятный и хорошо структурированный процесс управления позволяет компании непрерывно повышать качество работы, помогает распространять знания и повышает эффективность использования времени руководителей». Стратегические показатели, как правило, задаются на долгий срок, а оценка результатов происходит непрерывно, благодаря чему можно понять, что удалось, а что нет, и где нужно внести коррективы с учетом новых рыночных реалий. Все показатели делятся на 4 группы: финансы, потребители, операции, ресурсы. Шаги, нацеленные на достижение поставленных целей, также отражаются в стратегическом планировании, частью которого является идентификация и анализ рисков. Годовые цели фиксируются в корпоративной системе сбалансированных показателей и системах сбалансированных показателей отдельных подразделений.

Рисунок 1. Интеграция процессов стратегического планирования и риск-менеджмента

Цвета:
Фисташковый – консолидированные процессы
Синий – стратегия и бюджетирование
Розовый – другое

Задачи по управлению рисками были возложены на подразделение стратегического обслуживания (ПСО), отвечающее в UI за стратегическое планирование. Это подразделение подчиняется напрямую генеральному директору. Такое решение позволило UI интегрировать управление рисками со стратегическим планированием, системой оптимизации бизнес-процессов и управлением проектами (ключевыми областями компетенции ПСО). Также это дало возможность использовать оптимизацию процессов и управление проектами в качестве инструментов риск-менеджмента, что привело к повышению предсказуемости результатов. В результате этих усилий был создан интегрированный процесс стратегического планирования и управления рисками. UI – процессная организация, но при этом она использует традиционную вертикальную структуру для управления бюджетами и персоналом. Процессная модель отображает, как функционирует бизнес, и что наиболее важно для его результативности. Ключевой показатель в этом смысле – система управления рисками. Анализ рисков с точки зрения процессов имеет существенное преимущество перед строго функциональным подходом. Например, если рассматривать риск с учетом функциональных ограничений, он может попасть в другое подразделение компании, а это, в свою очередь, может нанести вред организации в целом. Скажем, несанкционированное вторжение на объекты UI (электрические подстанции),— это риск для системы общественной безопасности. Ответственность за такой риск подлежит страхованию, стало быть, он находится в компетенции функции финансового риск-менеджмента. Однако процессный подход UI подразумевает, что эффективное управление рисками должно вовлекать функцию «доставка электричества», поскольку ее персонал обязан следить за охранными системами подстанции и контролировать доступ на ее территорию. Такие меры по управлению рисками приносят пользу и финансам (поскольку постепенно сокращается размер страховых отчислений), а главное – снижают репутационные риски UI. В конечном счете, учет всех звеньев цепи приводит к большей эффективности ERM.

Подразделение стратегического обслуживания ежегодно готовит два отчета: один в октябре – обзор с оценкой рисков компании за минувший год, которая используется руководством для корректировки стратегий риск-менеджмента на следующий год; и один в мае – для проверки текущего состояния. Эти документы содержат количественные и качественные данные обо всех рисках компании и о стратегиях управления ими. Также они описывают изменения в регулировании (государственном и федеральном),  налоговом кодексе, законодательстве и отрасли, способные повлиять на  бизнес компании.

Процесс управления рисками в UI

Определение риска как одного из 9 важнейших бизнес-процессов помогло UI понять, как риск связан с остальными процессами в компании. Филипп Тернер, директор по рискам и стратегическому планированию, комментирует: «Признание управленческих рисков в качестве важнейшего бизнес-процесса помогло улучшить прозрачность компании и показало, что управление рисками – задача каждого сотрудника, а не только CEO или аудиторов. Также это заставило UI начать оценивать, какое влияние риски оказывают на акционерную стоимость, а не только на внутренние процессы организации». Процесс управления рисками, принятый в UI, показан на рисунке 2.

Рисунок 2. Процесс «управления рисками» UI

Этот процесс стал в UI основой для всех мероприятий, связанных с рисками, – от стратегического планирования до отдельных проектов. Однако цель состоит не в том, чтобы устранить все риски, а в том, чтобы эффективно управлять ими. Риски можно разделить на положительные и отрицательные (риски-угрозы и риски-возможности). Неиспользованная возможность вполне может обернуться угрозой. К примеру, упущенная возможность своевременной замены изнашивающегося оборудования электрических сетей может привести к крупной аварии, устранить последствия которой будет трудно и дорого.

Важнейший постулат UI заключается в том, что любой менеджер дожжен быть риск-менеджером. Таким образом, каждый руководитель в UI должен:

• понимать, какие последствия с точки зрения рисков имеют различные события, какова вероятность их возникновения, какие могут быть приняты меры предосторожности;
• задействовать ресурсы компании для мониторинга рисков и выстраивания защиты;
• соблюдать дисциплину и внутренние процедуры управления рисками, чтобы организация имела возможность достичь запланированных показателей на уровне каждого подразделения.

Хотя UI и не была новичком в области управления рисками, нельзя сказать, что все процедуры, связанные с ним, были стандартизированы и применялись на всех уровнях организации. Соответственно, было выделено 14 зон рисков, они указаны в приведенной ниже таблице.

Зоны риска	Риск, которым необходимо управлять
Надежность	Травма, аварии
Безопасность	Преступления, пожары
Непрерывность бизнеса	Остановки деятельности
IT-инфраструктура	Крупные неполадки в IT
Стихийные бедствия	Крупные неполадки в электрических сетях
Судебные иски	Страхуемые риски
Отчет чиновника Департамента общественного надзора за электрическими сетями	Рост числа жалоб клиентов
Стратегическое планирование	Стратегические угрозы и возможности
Управление проектами	Риски, связанные с портфелями проектов UI
Оптимизация процессов	Процессуальные угрозы и возможности
Окружающая среда	Загрязнения
Делопроизводство	Потеря документации
Внутренний распорядок	Мошенничество и репутационные риски
Выручка	Уклонение от оплаты счетов за электричество

В таблице приведены риски, управление которыми уже входило в зону ответственности соответствующего менеджера. Однако управление рисками осуществлялось независимо и неформализованно. Новый процесс предоставил последовательный набор инструментов и единую терминологию, позволившие более эффективно выявлять, оценивать, документировать и контролировать риски по всей организации. В рамках этого проекта компания распространила среди своих сотрудников специальные пособия по управлению рисками, посвященные конкретным зонам риска.

Чтобы облегчить усвоения новой методологии, ответственные за каждую зону риска менеджеры присоединились к специальному форуму, участники которого делились опытом и знаниями друг с другом. Многие из этих ответственных прежде даже не понимали, что другие сотрудники UIL имеют схожие задачи и, следовательно, схожие проблемы и потребности. При подключении к форуму ответственных попросили:

• применить систему управления рисками к своим задачам на 2006 год;
• сформулировать критерии, которые можно было бы использовать по всей компании, к примеру способ подсчета стоимости риска;
• зафиксировать любые улучшения процессов в 2006 году, особенно денежный эквивалент использованных возможностей и угроз, которых удалось избежать;
• использовать метрики 2006 года для постановки целей на 2007 год.

Еще одним результатом деятельности участников форума стало формирование единой политики расследований для изучение случившихся инцидентов. Прежде в каждой зоне риска был свой подход к расследованиям. Это приносило определенный эффект, но затрудняло накопление базы знаний, и каждого работника, ранее не участвовавшего в расследованиях, приходилось специально обучать. Единый процесс расследований обеспечил всех внутри компании справочной информацией, его можно быстро адаптировать под конкретные потребности в зависимости от типа расследования.

В 2009 году UI планирует распространить описанную методологию за пределы 14 зон риска, описанных в таблице, чтобы еще больше повысить прозрачность, улучшить распространение знаний и унифицировать технологии работы.

Непрерывное управление рисками и отчетность

Внедрение системы управления рисками осуществляется поэтапно. В Годовом отчете по рискам приводится картина стратегических рисков, выявленных руководством на основе данных, полученных от линейных менеджеров (тип риска, его вероятность, степень готовности организации). Участники собрания имеют возможность также акцентировать внимание на рисках, которые, по их мнению, выпали из поля зрения руководителей. Годовой отчет по рискам и формируемый на его основе План по управлению рисками  учитывают эту информацию и затем используются как базис для проведения проектов и отдельных мероприятий по всей компании. В UI считают, что каждый работник должен быть вовлечен в процесс. Дополнительные коммуникации осуществляются во время выступлений руководства и на специальных тренингах по риск-менеджменту.

Для увеличения вовлеченности сотрудников в управление рисками UI регулярно проводит тренинги по этой теме. Основные форматы обучения – занятия в группах и коучинг один на один. Вводное занятие, как правило, посвящено управлению проектами (когда, например, собирается новая проектная команда), поэтому семинары по риск-менеджменту пользуются в UI огромной популярностью. Компания также ввела обязательный обзорный курс по процессам для всех новых сотрудников (в 2005 году такой тренинг прошли все работники организации), где демонстрируется, насколько важен вклад отдельного сотрудника в общий результат компании.

Коучинг один на один, как правило, осуществляют руководители высшего звена для своих непосредственных подчиненных. Эти важный способ передачи знаний, особенно с учетом старения персонала – одного из стратегических рисков UI. Участие в составлении Годового отчета по рискам также способствует повышению риск-грамотности сотрудников, а форум риск-менеджеров обеспечивает возможность живого обмена опытом.

Совет директоров UI устанавливает пороговое значение для материальных рисков, при достижении которого о них следует доложить ему напрямую. При этом риски характеризуют следующим образом:

• «очень большие» — стоимость превышает 10 млн долларов;
• «большие» — стоимость составляет от 1 до 10 млн долларов;
• «средние» — стоимость составляет от 100 тысяч до 1 млн долларов;
• «маленькие» — стоимость менее 100 тысяч долларов.

Вся система отчетности по рискам основана на этой классификации: с повышением уровня риска повышается уровень сотрудников, которые им занимаются. К примеру, «очень большими» рисками занимается совет директоров, «большими» — главы подразделений и т. д. UI старается избегать проектов, где потенциальные риски не оправдываются ожидаемыми выгодами. Если возникает исключение из этого правила, требуется одобрение вышестоящего начальства и специальный надзор. Риски любого проекта просчитываются в соответствии с приведенной выше шкалой. Например, UI в настоящий момент строит новую высоковольтную линию передачи. Компания подсчитала вероятность превышения сметы проекта (составляющей около 200 млн долларов), поскольку это наиболее значимый риск, ведь для 100-процентного возмещения издержек по проекту UI необходимо получить одобрение регулирующих органов. Обсуждение способов минимизации этого риска стало важнейшей частью процесса принятия решения об утверждении проекта. Сейчас сотрудники UI готовят отчет с агрегированной оценкой риска по  всем 14 ключевым зонам (см. таблицу выше), который ляжет на стол высшего руководства. Такой отчет поможет взглянуть на риски не только с точки зрения отдельного проекта, но и с точки зрения компании в целом.

Проще говоря, подобные усилия помогают внедрить язык риск-менеджмента в обиход компании. В свою очередь, это позволит более четко формулировать риски, а значит, и более успешно бороться с ними.

Непрерывная оценка качества управления рисками

UI использует систему сбалансированных показателей и измеряет риски двумя способами: отслеживает показатели управления рисками и показатели эффективности бизнеса. Доротея Бреннан, директор UI по оптимизации бизнес-процессов, подчеркивает, что «задача компании – устранить процессы, существующие ради процесса, а также в обязательном порядке разрабатывать ответные меры при выявлении рисков». Подход UI к оценке системы управления рисками базируется на следующих постулатах:

• фокусироваться на том, что действительно важно клиентам, акционерам и регуляторам;
• измерять, чтобы улучшать; сотрудники должны сформулировать, что они сделают в отношении рисков, чтобы обезопасить бизнес;
• не измерять риск только потому, что он измерялся в прошлом, или потому, что это несложно сделать;
• не забывать о рисках, связанных с клиентами и поставщиками;
• учитывать, как изменится поведение людей после введения дополнительных метрик;
• не позволять лучшему быть врагом хорошего, или, как говорят в некоторых компаниях, быть проще.

UI смотрит на управление рисками широко, ведь хорошая организация процесса предполагает учет деятельности клиентов, акционеров и поставщиков, а не только деятельности самой организации.

Исторически UI использовала в своей работе сотни сквозных метрик, таких как надежность и степень удовлетворенности клиентов. Новый подход предполагает привязку всех показателей к процессам – с тем, чтобы на них можно было отвечать действиями. В 2006 году в системе сбалансированных показателей были поставлены задачи по разработке метрик для всех 9 процессов и подпроцессов. Цели были достигнуты, и новые показатели, постоянно обновляемые, внедрены во всей компании. Ниже приводим несколько примеров метрик, используемых для контроля качества процесса управления рисками:

• Уровень осведомленности определяется процентом риск-менеджеров, которые применяют методику управления рисками (от исследования до подготовки текущих отчетов);
• Целевые результаты определяется процентом риск-менеджеров, которые применяют метрику эффективности;
• Монетизированные результаты определяются общей стоимостью использованных возможностей и угроз, которых удалось избежать.

Целевые результаты определяются там, где невозможно посчитать результаты в денежном выражении (снижение количества жалоб клиентов, судебных исков и аварий, число полученных наград и т. д.). Результаты в денежном выражении включают возврат на инвестиции (ROI) по портфелю проектов, возвращенную выручку и уменьшение потерь, обусловленных исками.

Подход UI к управлению рисками базируется на высоком уровне знаний персонала, строгой отчетности и активной позиции по отношению к рискам. Компания поняла, что управление рисками – это путешествие. UI прошла уже большой путь, перед ней лежит широкая дорога и она строго держится взятого курса.

Ближайшая конференция по риск-менеджменту пройдет в Москве – Пятая конференция «Корпоративные системы риск-менеджмента».

Михаил Лукашевич

---

Материалы по теме: