Поряд з переосмисленням стратегії, можливо, нічого так не поглинає уваги власників бізнесу в ці останні місяці, як аналіз їх помилок і невдач в управлінні ризиками. Давайте розглянемо питання, як ризик менеджмент може бути краще інтегрований в процес реалізації стратегії. Аналіз і результати досліджень приводять до висновку, що ризик менеджмент повинен бути третьою складовою в процесі створення вартості поряд зі зростанням доходів і продуктивності. Дуже цікаві висновки робить в своїх роботах Роберт Каплан, творець і ідеолог Системи збалансованих показників. Він приходить до двох важливих концепцій: необхідність розгляду трирівневої ієрархії ризиків і застосування карти індикаторів ризиків паралельно зі стратегічної картою показників, яку він і Девід Нортон представили близько двох десятиліть тому.
Фінансова криза, що обрушився в 2007 році, виявив головні проломи в системах управління підприємств, особливо у фінансовому секторі. В основному, системи управління були сфокусовані на таких показниках, як зростання доходів, продуктивності, вартісному контролі і якості. І лише деякі включали в них управління ризиками. Давайте більш детально зупинимося на структурі управління ризиками.
Підприємства в своїй діяльності стикаються з різними видами ризиків. З точки зору їх передбачуваності, контрольованості і керованості, а також, що є найбільш важливим, з точки зору їх важливості та ступеня впливу на бізнес, ризики можна розділити на три основні категорії або рівні. Перерахуємо їх по наростанню важливості. Рівень 3, нижча категорія, включає операційні ризики, 2-ий рівень являє стратегічні ризики і рівень 1 охоплює глобальні ризики підприємства.
Рівень 3 – рутинні операційні ризики.
Як було сказано, 3-ий рівень ризиків відноситься до нижчої категорії ризиків, які з’являються в слідстві помилок в повсякденних, стандартизованих і передбачуваних процесах, які призводять до суттєвих втрат. Сутністю Системи збалансованих показників (Д.Нортона, Р.Каплана) є зв’язок між стратегією і операціями. У даній Системі поділяються стратегічні процеси – ті, які ідентифіковані в стратегічній карті і визначають сутність і індивідуальність стратегії підприємства, і життєво важливі процеси -ті, які, безумовно, важливі для реалізації і здійснення бізнесу, але які не сприяють диференціації стратегії, її унікальності і відмінності від конкурентів. Прикладами життєво важливих процесів можуть служити наступні: підтримка і актуалізація фінансового обліку та системи оподаткування, захист активів та інформації, забезпечення інформаційної безпеки, внутрішній контроль таких процесів, як захист від крадіжки, халатності і т.д. Будь-які порушення в процесах 3-го рівня можуть привести до значних фінансових і інформаційних втрат, а також до дорогих позовів і суперечок. Але навіть, коли ці процеси виконуються ідеально, компанія може терпіти невдачі в процесі реалізації стратегії, оскільки дані процеси не є стратегічними.
Компанії навчилися боротися з ризиками даного рівня. Це відбувається багатьма способами: за допомогою великих тренінгів персоналу, впровадження операційних процедур і внутрішнього контролю, розподіляючи відповідальність і повноваження. Все це спрямовано на досягнення 0 дефектів в процесах даного рівня. Тут важливу роль відіграє департамент внутрішнього аудиту, який здійснює моніторинг ризиків 3-го рівня за допомогою верифікації стандартних операційних процедур на предмет відсутності в них відхилень, невідповідностей або дефектів.
Рівень 2 – стратегічні ризики
Підприємства вибирають стратегію для створення і підтримки конкурентних переваг з метою отримання кращих фінансових показників. Але отримання кращих фінансових показників пов’язане також з прийняттям компанією певних ризиків. Очевидно, що за аналогією з ризиками попереднього рівня, стратегічні ризики відносяться до стратегічних процесів. Як зазначалося раніше, до стратегічних процесів відносяться процеси, що забезпечують підприємству його конкурентну перевагу на ринку в порівнянні з іншими компаніями. Природно, щоб керувати даними ризиками, для початку, необхідно їх ідентифікувати.
Література з управління ризиками визначає довгий детальний перелік можливих стратегічних ризиків, таких як: фінансові, клієнтські, репутаційні, ланцюжки поставок, інноваційні, навколишнього середовища, людських ресурсів, інформаційних технологій. Також в ній можна знайти повний процес з управління ризиками з можливими особливостями для кожного ризику. Однак, давайте згадаємо знову про Систему збалансованих показників, яка разом зі стратегічної картою включають всі стратегічні цілі підприємства і взаємодії між ними: складова навчання і розвитку містить цілі для персоналу і технологій; складова внутрішніх бізнес-процесів має мети для управління операціями, інноваціями, навколишнім середовищем і соціальними процесами; клієнтська складова показує зв’язок цінності клієнтського пропозиції з наслідками для клієнтів; і, нарешті, фінансова складова показує зв’язок з оборотом, ціною і прибутком. Таким чином, з наведеної структури стратегічної карти наочно видно, що вона забезпечує дієву структуру для ідентифікації та систематичного управління ризиками, які впливають на стратегічні цілі компанії. Визначення стратегії управління ризиками ключовим компонентом стратегії дозволяє в подальшому обґрунтовано розподіляти ресурси, здійснювати моніторинг встановлених процесів.
Яким же чином інтегрувати ці два управлінських інструменту – Система збалансованих показників і управління ризиками. Чи можливе використання будь-яких загальних принципів і механізмів в цих підходах? Давайте пошукаємо спільне та відмінне в них. Стратегічна карта і Система збалансованих показників (ССП) орієнтує компанію на прорив в будь-якої діяльності для досягнення конкурентних переваг і показують компанії дорогу в здійсненні намічених цілей. На противагу цьому, управління ризиками – це ідентифікація, уникнути або подолання перешкод, які можуть зустрітися при реалізації стратегії. Уникнення ризиків не просуває стратегію, але ризик менеджмент може знизити перешкоди і бар’єри, що заважають компанії в досягненні стратегічних цілей. Індикатори для ризик менеджменту і, пов’язані з ризиками ініціативи для їх запобігання або пом’якшення, відрізняються від індикаторів і ініціатив ССП. Спробуємо сформулювати основні принципи для створення і розвитку карти ризиків і пов’язаних з ними ініціатив.
Як же повинна виглядати карта ризиків?
Давайте почнемо з суті ССП, що об’єднує стратегічні цілі. Будуючи ССП, ми повинні формулювати показники для кожної стратегічної мети, встановлювати для них цільові значення і, в кінцевому рахунку, сформулювати стратегічні ініціативи для виключення розривів між цільовими і поточними показниками. Працюючи з цією ж стратегічної картою, ми можемо побудувати карту ризиків, ідентифікуючи для кожної стратегічної мети основні ризикові події, які можуть перешкодити досягненню цієї мети. Далі для кожного ризикової події ми повинні вибрати метрики або індикатори, які служили б їх раннього виявлення. Розглянемо приклад. В складової навчання і розвитку може існувати мета: «Освоїти стратегічні професії, в яких персонал володіє навичками, досвідом і знаннями, необхідними для виконання цих процесів, на високому або досконалому рівні». Ця мета повинна мати певну метрику: «Відсоток персоналу зі стратегічними професіями з рівнем« дуже добре »або« відмінно », мета – 90% і вище. Стратегічна ініціатива включає тренінги, мотиваційний план, заплановані ротації роботи.
Які ризики загрожують даної стратегічної мети? Ними можуть бути такі: велика плинність досвідченого персоналу зі стратегічними професіями або неефективні тренінгові програми. Ризикові показники (метрики) повинні відображати кожну з цих потенційних проблем – кількість актуальних і очікуваних звільнень, оцінка ефективності навчання та тренінгів, різниця між необхідним і «поставляється» кількістю повністю кваліфікованого персоналу. Для інноваційних цілей у фармацевтичній компанії ризики можуть виникнути через запізнення або провалів клінічних випробувань. Ризики ланцюжка поставок можуть виникнути через проблеми у постачальника або в центрах дистрибуції.
Слідуючи цьому підходу, кожна стратегічна мета на стратегічній карті повинна мати один або більш ризикових показників, які повинні забезпечувати ранні попереджувальні сигнали про виникаючої небезпеки для досягнення стратегічних цілей. Зростаючі тренди ризикових показників повинні викликати почуття тривоги у менеджерів, вимагаючи негайної уваги. Головною особливістю ризик менеджменту є те, що він повинен передбачити і попереджати, а не реагувати. Тому менеджери мають потребу в оцінці ймовірності настання ризикової події і його впливу на стратегію компанії. У деяких випадках компанії мають достатні історичні дані для оцінки ймовірності багатьох типів ризикових подій. Страхові компанії можуть оцінити ймовірність настання страхового випадку, включно зі смертністю, природні катаклізми, захворюваність і автомобільні аварії. Коли історичні дані не доступні або піддаються адекватному кількісному опису, ризик менеджери використовують інші інструменти такі, як heat-карти. На них кожне ризикове подія оцінюється двома параметрами (ймовірність події і важливість його наслідки на бізнес) за п’ятибальною шкалою (від 1 до 5). (Рис.1). Ці два коефіцієнти перемножуються для створення heat-карти зі значеннями від 1 до 25 (Рис.2)
Рис.1 Калькуляція ризику
Імовірність ризику
Бал | 5 | 4 | 3 | 2 | 1 |
Рейтинг | |||||
Імовірність події в наступні 36 місяці | 95% | 75% | 50% | 25% | 5% |
Важливість наслідків
Бал | 5 | 4 | 3 | 2 | 1 |
Наслідки | Деякий вплив | Мале вплив |
Маючи на руках такий інструмент як heat карту, менеджери в подальшому використовують її значення для встановлення пріоритетів при інвестуванні в заходи по зниженню або попередження ризиків. Ризики з показником 15 і більше є найбільш негативними і інвестиції для їх попередження є найбільш пріоритетними.
Таким чином, планування заходів по боротьбі зі стратегічними ризиками 2-ої рівня вимагає від менеджерів: ідентифікації головних стратегічних ризиків, встановлення показників для раннього розпізнавання несприятливих умов і встановлення пріоритетів для інвестування ініціатив щодо запобігання або зменшення найбільш ймовірних стратегічних ризикових випадків.
Оскільки стратегічна карта, маючи прозору і зрозумілу структуру, включає процеси найбільш значущі для успішної реалізації стратегії, для них незмінно будуть визначатися і плануватися дії, такі як стратегічні ризики. І тут особливо важливим є те, що вище керівництво під час своїх регулярних зустрічей з обговорення стратегії має виділяти і приділяти час для розгляду та обговорення критичних ситуацій і стратегічних ризиків.
Рис.2 Heat карта
Висока ймовірність | 5 | 15 | 25 |
Середня ймовірність | 3 | 9 | 15 |
Низька вірогідність | 1 | 3 | 5 |
Низький вплив | Середнє вплив | Висока вплив |
Рівень 1 – глобальні ризики підприємства
Ризики 2-ої рівня відносяться до, так званої, групи «знання невідомого». Однак невдачі багатьох компаній відбуваються частіше унаслідок «незнання невідомого», коли відбуваються непередбачувані, безпрецедентні події, що призводять до катастрофічних наслідків. Дані події відбуваються з незалежних від нас причин – стихійні лиха, катастрофи, економічні кризи і т.п. однак катастрофічні наслідки наступають, головним чином, через те, що компанії часто роблять спроби використовувати кількісну модель для вимірювання та управління ризиками в даних ситуаціях. Наприклад, багато моделей, що використовуються до фінансової кризи фінансовими і кредитними організаціями, грунтувалися на даних за кілька десятиліть, протягом яких не було зниження загальнонаціональних цін на житло. Топ-менеджери багатьох фінансових установ були впевнені, що таке масштабне зниження було вкрай малоймовірним, поза 99% -ого довірчого інтервалу з їх фінансових моделей. Як результат, вони не мали альтернативних або додаткових процесів для оцінки ймовірності цих рідкісних подій і їх мінімізації. Якщо говорити про розташування цих подій на heat карті, то їх можна інтерпретувати, як мають ймовірність меншу, ніж 1 (вкрай малоймовірно) і наслідки, ранжируваних вище, ніж 5 (вкрай несприятливо).
Короткозорість по відношенню до існуючих ризиків властива не тільки фінансовим установам. Катастрофічні наслідки для General Motors і Chrysler були обумовлені подвійним або потрійним зростанням цін на нафту, які позбавили попиту їх великі автомобілі, які споживають велику кількість палива. Жодна з цих компаній не передбачила в своїх стратегіях дану ситуацію і шляхи виходу з неї.
Можна погодитися з авторами багатьох публікацій, що кількісні моделі оцінки ризиків мають обмеження в їх застосуванні і прогнозі ймовірності появи ризиків 1-ого рівня, особливо в межах даного періоду часу. Однак не можна погодитися з тим, що менеджери не можуть планувати зниження ризиків.
Деякі компанії здійснюють планування діяльності на випадок настання ризикової події 1-ого рівня за допомогою проведення активних обговорень «неймовірних подій» і їх наслідків. Такі події можуть включати потрійний зростання цін на енергію, девальвацію національної валюти, народне повстання в Китаї, спустошення при землетрусах або інші стихійні лиха і т.п. при цьому учасники оцінюють різноманітні події, вплив їх на стратегію компанії і що може бути зроблено, щоб уникнути або зменшити негативні наслідки цих подій. Більшість подій так і не відбувається, однак, в разі їх настання, компанія має переваги перед конкурентами в тому, що має встановлений порядок дій в даній ситуації (своєрідний «План на випадок аварії»). Наприклад, LG Display, Корейський виробник великих LCD дисплеїв, проводить дводенні військові ігри три рази в рік, під час яких 4 команди менеджерів (одна – представники LG Display, три інші – представники найбільших конкурентів) оцінюють, як поточна стратегія компанії буде виконуватися відповідно з різними діями конкурентів. Обговорення ризиків 1-ого рівня допомагає керівництву визначити, чи є стратегія компанії досить здоровою і ясною, щоб вціліти від руйнувань, які можуть статися з числа «неймовірних» в їх фізичної, екологічної та конкурентному середовищі.
Передбачення – дуже важке заняття, особливо, якщо говорити про майбутнє. Ризик менеджмент вимагає передбачення подій, практично неймовірних, які можуть ніколи не відбутися або не відбувалися до цього моменту.
Ризики проявляються в різних формах і комбінаціях. Деякі ризики – 3-го рівня – відомі і їх можливо уникнути. Ми намагаємося мінімізувати їх поява за допомогою стандартних операцій і процедур, внутрішнього контролю та аудиту. Інші ризики, які ми класифікуємо, як ризики 2-ої рівня, притаманні стратегії компанії. Компанія визнає їх, як неминучі, але намагається знизити ймовірність їх появи. Стратегічна карта забезпечує потужний каркас для ідентифікації стратегічних і ключових операційних ризиків, які можуть моніториться з встановленими індикаторами ризиків. Heat карти показують імовірність і вплив ризикових подій, допомагаючи менеджерам встановлювати пріоритети і інвестувати в ініціативи щодо зменшення ризиків. Нарешті, деякі ризики, з числа неконтрольованих зовнішніх подій, можуть загрожувати існуванню підприємства. Це ризики 1-ого рівня, які є особливо важкими для передбачення, але можуть бути найбільш руйнівними в разі виникнення.
І на завершення. Все вдаються до використання ризик менеджменту в погані часи. Однак найкраща перевірка для управління ризиками – чи працює ця система в хороші часи. Чи будуть перші керівники стояти на стороні ризик менеджерів і уникати спокус, спокус і говорити «ні» тим речам, які можуть піддати підприємство ризику?
Література: Роберт Каплан «Ризик менеджмент і система реалізації стратегії» -2009, Harvard Business Publishing and Palladium Group
Михайло Левицький
Генеральний директор
ТОВ “Технічні та управлінські послуги”