Даже если у менеджеров есть система, способствующая активному обсуждению рисков, их ждет вторая ловушка – когнитивно-поведенческая. Поскольку многие стратегические (и некоторые внешние) риски вполне предсказуемы – и даже знакомы, – компании стремятся маркировать и разделять их, особенно в соответствии с бизнес-функциями. Банки часто по отдельности управляют тем, что они называют «кредитным риском», «рыночным риском» и «операционным риском». Другие компании выделяют «риск бренда», «риск репутации», «риск цепочки поставок», «риск человеческих ресурсов», «риск IT» и «финансовый риск».

Такое жесткое организационное разделение распыляет как информацию, так и ответственность за эффективное управление рисками. Оно мешает обсуждению того, как различные риски взаимодействуют между собой. Чтобы дискуссия о рисках была эффективной, участники должны не только высказывать противоположные точки зрения, но и искать точки соприкосновения. Из-за череды небольших событий, которые усиливают друг друга непредсказуемым образом, бизнесу может быть нанесен непоправимый ущерб.

Менеджеры могут выработать общее видение рисков для компании, сделав такие дискуссии неотъемлемой частью стратегического планирования, единым интеграционным процессом, который уже есть на вооружении у многих хорошо управляемых компаний. Например, Infosys, индийский поставщик IT-услуг, организует обсуждение рисков с помощью собственного управленческого инструмента для измерения стратегических показателей и коммуникации Balanced Scorecard. «Мы спрашивали себя о том, на каких рисках нужно сфокусироваться, – говорит М. Ранганатх, директор по рискам, – и постепенно сосредоточились на рисках для стратегических целей, утвержденных в нашей корпоративной оценочной ведомости».

При построении своей сбалансированной системы показателей Infosys определила «усиление связей с клиентами» в качестве ключевой цели и выбрала показатели для измерения прогресса, такие как число глобальных клиентов с годовыми счетами свыше $50 млн и ежегодный процентный рост доходов от крупных клиентов. Рассматривая цели и показатели эффективности в совокупности, руководство осознало, что в его стратегии появился новый фактор риска: дефолт клиента. Если бы бизнес Infosys основывался на многочисленных мелких клиентах, дефолт одного клиента не поставил бы под угрозу стратегию компании. Но невыполнение обязательств клиентом, которого компания оценивает в $50 млн, может стать серьезным ударом. По каждому крупному клиенту Infosys начала отслеживать риск неуплаты кредитной задолженности как основной показатель вероятности дефолта. Когда этот риск возрастает, Infosys ускоряет сбор дебиторской задолженности или запрашивает поэтапные платежи, чтобы уменьшить вероятность дефолта или его последствий.

В качестве другого примера рассмотрим Volkswagen do Brasil (далее – VW), бразильский филиал немецкого автопроизводителя. Подразделение VW по управлению рисками использует стратегическую карту компании в качестве отправной точки обсуждения рисков. Для каждой цели на карте группа выявляет события, которые могут стать препятствием на пути к достижению этой цели. Затем команда создает для каждого риска карточку события, фиксируя его возможное воздействие на операции, вероятность его возникновения, основные показатели и меры по смягчению последствий. Также определяется, кто несет основную ответственность за управление риском (см. врезку «Карточка рискового события»). После этого команда представляет экспертное заключение высшему руководству (см. врезку «Отчет о рисках»).

Помимо систематического выявления стратегических рисков и разработки профилактических мер, компаниям также необходима структура контроля. Infosys использует двойную структуру. Основная группа выявляет общие стратегические риски и составляет соответствующий план действий, а специализированные функциональные группы вместе с бизнес-подразделениями разрабатывают методы реализации централизованного плана и контролируют его выполнение. Такие группы помогают подразделениям выявлять угрозы и устранять их, передавая в центральную группу только исключительные случаи для проверки. Например, если менеджер по работе с клиентами хочет предоставить более длительный кредитный период компании с высоким уровнем кредитного риска, менеджер по функциональным рискам может отправить дело в централизованный отдел для проверки.

Эти примеры показывают, что размер и задачи отдела по управлению рисками не зависят от величины организации. Крупная компания Hydro One имеет относительно небольшую группу, которая выявляет риски, информирует о них организацию, а также консультирует руководство о распределении ресурсов с учетом рисков. И наоборот, относительно небольшим компаниям или подразделениям, таким как JPL или JP Morgan Private Bank, требуются для каждого проекта «надзорный» комитет или собственные эксперты, чтобы проводить экспертизу конкретной сферы для оценки рисков бизнес-решений. А для Infosys, крупной компании с широким оперативным и стратегическим охватом, нужен сильный централизованный отдел по управлению рисками и риск-менеджеры в бизнес-подразделениях, которые оценивают коммерческие решения с точки зрения рисков и обмениваются информацией с центральной группой.