Риск-менеджмент (РМ) – молодое (ему от роду всего-то три десятка лет) и бурно развивающееся направление в менеджменте. А у российского РМ возраст вообще детсадовский – пять лет или чуть больше. За прошедшую пятилетку уже можно отчитаться.
Зачем он нужен
Риск-менеджмент впервые заявил о себе, когда на западных рынках появились производные ценных бумаг, так называемые деривативы. Они использовались как способ борьбы с непостоянством финансовых и товарных рынков. Деривативы позволяют застраховаться от чересчур резких изменений ситуации на рынке. Например, корпорация, которая торгует зерном или сахаром, скачки цен на свой товар в отличие от профессиональных биржевых спекулянтов воспринимает лишь как помеху планированию бюджета и будущих прибылей. Покупая фьючерс или опцион (разновидности производных ценных бумаг), она может гораздо увереннее рассчитать свои будущие доходы, снизив тем самым рыночный риск.
До сих пор работа с рыночными рисками – наиболее продвинутая часть РМ, ведь существует множество математически точных методов, да и экономический эффект управления такими рисками легко посчитать. Однако за последнее десятилетие РМ заметно продвинулся в сторону управления и другими, нефинансовыми рисками. Теперь его цель – не только защита от скачков цен на бирже, валютного курса или колебаний банковских процентных ставок, но и снижение потерь от действий вороватого менеджера или от неудачи с разработкой нового продукта компании. В итоге современный риск-менеджмент претендует на то, чтобы защитить компанию от любой нестабильности, чем бы она ни была вызвана. Бесплатного сыра, как известно, не бывает, и снижение рисков чаще всего оборачивается снижением доходности компании. Однако западные корпорации ради понятного будущего на такие шаги готовы.
Не миновала мода на риск-менеджмент и Россию. Первыми занялись РМ банки и инвестиционные компании (особенно активно после дефолта 1998 года), но не только они. Андрей Шишаков из компании-консультанта по рискам Marsh, одного из мировых лидеров в этой области, уверен, что практически все российские фирмы, планирующие активные действия на рынке, подразделениями риск-менеджмента уже обзавелись, хотя и не афишируют этого.
По мнению независимых экспертов, у такого интереса несколько причин. Во-первых, как говорит известный российский специалист в области риск-менеджмента Михаил Рогов, серьезный стимул к развитию РМ – проблема оптимизации расходов на страхование, с которой столкнулись крупные российские компании. Страхование – самый старый из известных способов управления рисками. Страхователь, выплатив определенную «цену» (страховую премию), передает риск страховой компании. Но так как российский рынок страхования еще очень молод, достаточной информации об обоснованности «цен» нет ни у той, ни у другой стороны. Поэтому перед крупными компаниями, активно использующими не только зарплатные страховые схемы, но и реальное страхование, встает вопрос: «А не переплачиваем ли мы?» По словам господина Рогова, получить реальные данные по убыткам крайне сложно. Поэтому компаниям приходится брать на себя функции сюрвейерских фирм (от англ. survey – обозревать, осматривать; компании, осуществляющие экспертную или инспекторскую проверку уровня конкретных рисков на предприятии) и изучать вероятность неблагоприятных событий.
Кроме того, крупные российские фирмы, которые задумываются о выходе на западные рынки капитала, знают, что в международной бизнес-практике уже сложились определенные правила хорошего тона. Ими определяется то, каким должен быть уровень риск-менеджмента в публичной компании. Ари Аксельрод, ведущий консультант The Boston Consulting Group: «Самые суровые требования к управлению рисками, естественно, предъявляются к финансовым компаниям. Но и нефинансовые публичные компании должны в своем годовом отчете – по крайней мере, в США, таково требование Комиссии по ценным бумагам и биржам – подробно рассказать о работе с деривативами и наиболее существенных рисках для своего бизнеса. Законодательно расписанных требований, какие риски в этот отчет включать, нет. Но у инвестора после прочтения специального раздела отчета должна появиться возможность осознанного выбора – устраивает ли его имеющийся уровень риска».
Учтенная неожиданность
Первый этап работы подразделения риск-менеджмента – идентификация рисков, которым подвержено предприятие. Трудности начинаются уже здесь: нет общепринятой классификации рисков. Андрей Шишаков, например, насчитал около 20 различных версий подобной классификации.
Но в западной практике, по словам Ари Аксельрода, с некоторыми оговорками большинство экспертов соглашаются со следующей классификацией:
– рыночные риски (в частности, связанные с колебаниями цен на биржевые товары);
– кредитные риски (риски несоблюдения обязательств контрагентами компании);
– операционные риски (самые многочисленные, охватывающие разнообразные риски – от сбоев в информационной системе до нелояльности персонала);
– бизнес-риски (например, риск того, что новый товар компании при появлении на рынке постигнет неудача).
Другую, более подробную композицию из тех же элементов предложил СФ Андрей Шишаков .
Основные способы выявления рисков на опрошенных нами российских предприятиях – анализ финансовой документации и опрос связанных с рисками менеджеров (профессионалы называют их «принимающими риски»). Дело в том, что более или менее успешно формализации поддаются лишь финансовые риски. Для выявления же прочих лучший способ – экспертные высказывания профессионалов. Именно мнения руководителей подразделений стали основным источником для создания списка критических точек в бизнес-процессах компании «Аэрофлот – Российские авиалинии».
Интересен опыт работы со списком рисков и другого, более мелкого предприятия. Валерий Романов, начальник планово-экономического отдела Ульяновского завода крупнопанельного домостроения №1 (ЗКД), где трудятся чуть более 1000 человек, внедряет у себя на предприятии элементы риск-менеджмента. По словам господина Романова, для выявления рисков он проводил анализ бухгалтерской документации (так, анализ дебиторской задолженности помогает выявить кредитные риски), оргструктуры и штатного расписания, карт технологических процессов, договоров, контрактов, себестоимости и финансового плана. Валерий Романов считает, что 60% полезной информации получено с помощью анализа договорных взаимоотношений, а также проблем, с ними связанных (невыполнение обязательств, начисленные штрафы, пени, анализ себестоимости с целью выявления зависимости от определенных статей расходов и поставщиков).
В результате было сделано неприятное открытие: качество управленческой отчетности на предприятии с середины 1980-х заметно упало, что осложнило работу господина Романова. Он считает, что хорошо поставленный учет снимает множество проблем. А директор компании «Риск-менеджмент–технологии» Анастасия Гуковская уверена, что первым шагом на пути становления подразделения РМ может стать создание серьезной информационно-аналитической службы, которая будет систематизировать управленческую, оперативную и финансовую информацию о компании. По ее мнению, именно нехватка достоверной информации – главная проблема начинающих риск-менеджеров.
Андрей Меркулов, глава отдела риск-менеджмента компании «Русагро»: «Основная цель на этом этапе – выявить риски, с наибольшей вероятностью приводящие к ущербу или ущерб от которых может помешать основной деятельности. Так, при морской перевозке сахара-сырца риск потери от полного затопления судна гораздо менее вероятен, чем риск подмочки сахара, но потери несоизмеримо выше». В результате два этих риска, по словам Меркулова, находятся в одной весовой категории, а значит, подразумевают необходимость страхования. А вот риск весовой недостачи при практикуемой сейчас бестарной перевозке очень вероятен, но незначителен и требует совсем другого внимания риск-менеджера. Этот риск компания вполне может принять на себя, не передавая страховщикам.
Результатом работы по выявлению вероятной частоты и серьезности возможного ущерба становится так называемая карта рисков. Она позволяет наглядно проранжировать по важности все риски, которым подвержена компания. Если с определением частоты возникают трудности, карту можно преобразовать в матрицу. Вместо определенной частоты событий в ней будут более «расплывчатые» градации, например: «незначительная» вероятность возникновения проблем, «умеренная», «значительная» и «высокая». С помощью такой карты выделяются наиболее важные для компании риски. «Речь может идти, допустим, о перечне из трех рисков. Пытаться же управлять всеми – это безумие»,– считает Анастасия Гуковская.
В «Аэрофлоте» своими основными рисками считают сейчас рыночные, связанные, например, с изменением курса валют; среди операционных – риски потери воздушного судна, ошибки персонала. А так как основной источник заработков «Аэрофлота» – перевозки через независимую агентскую сеть, то неизбежно возникает существенный кредитный риск, связанный с вероятностью невозврата агентами выручки за выданные им билеты.
Для Ульяновского ЗКД Валерий Романов считает основными инвестиционный риск при строительстве зданий в качестве заказчика и генподрядчика, риск потерь объемов производства из-за несогласованности действий завода и собственного монтажного управления, а также операционный риск остановки технологического процесса.
Какие бывают риски К стратегическим рискам относятся: война, терроризм, революции, восстания, бунты, гражданские беспорядки, забастовки, комендантский час; законодательные изменения, изменения отраслевых правил; макроэкономические риски; маркетинговый (стратегия продаж); политические риски (экспроприация, конфискация); потеря клиентской базы; потеря репутации/стоимости брэнда.
Операционные риски возникают в ежедневной деятельности компании: безопасность на рабочих местах, безопасность финансово-информационной системы, компенсации и претензии уволенных сотрудников; нарушение авторских прав; неумышленные/непреднамеренные ошибки персонала, компьютеров, консультантов; нечестность/нелояльность персонала; профессиональная ответственность/ошибки, халатность; технологические риски.
Финансовые риски связаны с финансовыми операциями и платежеспособностью контрагентов: валютный риск; изменение/падение капитализации; инфляция; кредитный риск; риск ликвидности; неблагоприятное изменение цен на биржах; несостоятельность, банкротство; риск изменения процентных ставок. К рискам опасностей относят риски непредвиденных обстоятельств, природных опасностей, случайностей и инцидентов; вандализм; несостоятельность страховщика; падение летательных аппаратов; враждебные поглощения; погодные риски; природные опасности; эпидемии.
Самая распространенная классификация рисков выглядит так: стратегические (strategic), операционные (operational), финансовые (financial) и риски опасностей (hazard).
Финансовые риски могут показаться многим российским менеджерам не очень существенными. В России пока еще мало публичных компаний, акции которых котируются на бирже и подвержены ценовым колебаниям. Размещение свободных средств на рынке ценных бумаг тоже встречается нечасто. И если вы не экспортно-ориентированный добывающий гигант, который должен следить за колебаниями цен на свой товар, то влияние финансовых рисков может быть несущественным.
Но Ари Аксельрод считает, что игнорировать финансовые риски сейчас нельзя: слишком высок уровень конкуренции. Очевидно, что пренебречь колебаниями цены на биржевой товар компания, им торгующая, не может. Но есть и более опосредованное влияние финансового рынка на бизнес. «Если вы японский поставщик автомобилей и конкурируете на американском рынке, то из-за подорожания иены вашему Lexus будет сложнее конкурировать с Lincoln. Есть и еще более незаметные, замаскированные рыночные зависимости. Повышение цен на нефть приведет к повышению цен на бензин. И на том же самом американском рынке поднимутся продажи небольших, потребляющих мало топлива японских машин, а продажи американских внедорожников упадут. И хотя напрямую цена нефти в стоимости изготовления автомобилей не участвует, риск-менеджер должен учесть и этот фактор»,– говорит господин Аксельрод.
Для работы с финансовыми рисками наиболее широко применяется метод их оценки при помощи концепции Value at Risk (VaR). Она показывает, какой максимальный убыток рискует понести компания за определенный период с заданной вероятностью. С помощью VaR и других, разработанных на его базе методов можно эффективно контролировать риски своей компании.
Пример успешной работы с риском дефолта контрагента, то есть классического кредитного риска, привел риск-менеджер «Аэрофлота» Дмитрий Голембиовский. Топ-менеджеры поставили задачу снизить этот риск, в то же время не мешая развивать операции с агентами. Применяемые до сих пор методы – предоставление билетов после депонирования необходимой суммы или по предоплате – эту задачу не выполняли, ограничивая возможности агентов. Они вынуждены были выделять деньги задолго до получения дохода. Найденный выход, как говорит господин Голембиовский, позволил снизить риск, повысив доходность компании (что в общем-то не является обычным результатом работы риск-менеджера; чаще всего снижение риска приводит к падению доходности). В компании добились этого результата, когда начали выдавать билеты под банковскую гарантию и расширили круг принявших на себя риск участников сделки. Риск «Аэрофлота» ограничен определяемым его финансовым комитетом лимитом на выданные одним банком гарантии (если он оказывается превышен, гарантии от банка уже не примут). Лимит, пожалуй, самый распространенный инструмент работы с кредитными рисками. Этот же метод можно применять и при работе с покупателями. Лимит становится индикатором, который показывает, что приемлемый для компании уровень риска достигнут. А расчет обоснованной суммы такого лимита для каждого дебитора и есть главная забота риск-менеджера.
По мнению Андрея Шишакова, риск-менеджер должен хорошо владеть еще двумя инструментами: это страхование и так называемая инструкционная работа. Она помогает снижать операционные риски, устанавливая в компании необходимые правила.
Страхование, как уже было сказано выше, самый известный инструмент РМ. Так, Андрей Меркулов уверен, что в нефинансовых компаниях менеджер управляет в основном рисками, от которых можно застраховаться. По его мнению, одна из главных задач риск-менеджера в этом случае – правильно определить, какую часть риска передать страховщикам, а какую удержать у себя. Это возможно при помощи франшизы (в страховании так называют определенную договором часть убытков, не возмещаемую страховой компанией). Франшиза заметно удешевляет стоимость полиса и лимитов ответственности в договорах страхования.
Работа с операционными рисками подразумевает в основном отлаживание бизнес-процессов, введение таких правил и инструкций, которые позволят снизить потери. Скажем, риск утечки информации снижается введением определенных правил доступа к важным данным.
У каждого профессионального риск-менеджера должен быть свой проверенный набор приемов работы с операционными рисками. Об одном из способов, помогающих бороться с нечестностью персонала, рассказывает Андрей Шишаков. Правило «двухнедельного отпуска» хорошо известно многим западным риск-менеджерам. Какую бы позицию ни занимал человек в компании, раз в год его место во время отпуска занимает дублер, коллега либо начальник. Злоупотребления, если они были, легко вычисляются – привыкшие к каким-то определенным условиям клиенты и партнеры непременно сообщат о них новому человеку. До 30% хищений в компаниях раскрываются и предотвращаются с помощью такого казалось бы незамысловатого приема.
Риск-менеджер как министр по чрезвычайным ситуациям
По мнению Михаила Рогова, еще одной неотъемлемой функцией подразделения РМ является разработка плана действий для чрезвычайных ситуаций. Он считает, что прямая обязанность риск-менеджеров – дать определение, что же такое чрезвычайная ситуация для разных видов риска, обучить сотрудников определять момент ее наступления и затвердить порядок действий. Менеджеры, например, должны знать, какие активы продаются в первую очередь, какие статьи расходов сразу секвестрируются и когда отменяется коллегиальное принятие решений.
Полезность плана на случай кризисной или катастрофической ситуации можно проиллюстрировать таким примером. Офис компании Marsh & McLennan располагался в башне Всемирного торгового центра, здесь же был и центральный сервер компании. После атаки террористов 11 сентября 2001 года в соответствии с ранее составленным антикризисным планом заработал штаб по действиям в чрезвычайных ситуациях. Именно он смог обеспечить непрерывность ведения бизнеса. Операции перевели на резервный сервер, было налажено оповещение клиентов о текущей ситуации, специальная группа собирала информацию в госпиталях Нью-Йорка дляоповещения родственников пострадавших коллег. Примерно через полтора дня после терактов операции Marsh & McLennan были возобновлены в полном объеме. Андрей Шишаков: «Это произвело сильное впечатление на сотрудников нашей компании во всем мире. Корпоративный риск-менеджер подтвердил свою высокую квалификацию».
По мнению Ари Аксельрода, работающая система РМ делает организацию более защищенной. Однако время от времени очередной громкий крах какой-нибудь крупной компании все же происходит. «Поэтому хорошая система управления рисками должна помогать справляться с новыми опасностями, а не только защищать от катастроф вчерашнего дня»,– считает господин Аксельрод.
Где риск-менеджеру место
По словам Андрея Шишакова, последние несколько лет все чаще и чаще риск-менеджеры занимают в зарубежных компаниях топ-позиции. Данный факт, по-видимому, показывает отношение к статусу и навыкам таких специалистов.
В деятельности менеджеров этого направления есть свои особенности. По мнению Ари Аксельрода, при организации подразделения риск-менеджмента необходимо соблюдать несколько принципов. Во-первых, функции принятия и контроля рисков в компании должны быть разведены. Управленец, который работает с тем или иным риском, будь то трейдер или линейный менеджер в нефинансовой компании, не должен сам определять допустимый уровень риска. (Именно нарушение этого принципа привело к краху банк Baring.) Во-вторых, риск-менеджеру необходим прямой выход на высших руководителей. Часто события развиваются по неблагоприятному сценарию – слишком стремительно, и именно поэтому риск-менеджер должен иметь возможность донести свою информацию без проволочек. В-третьих, топ-менеджеры всегда должны быть информированы о состоянии дел с рисками. Хорошо, если так называемый risk-report оказывается на столе у генерального и финансового директоров каждый день. И при нормальной организации работы риск-менеджер по крайней мере раз в год обязан делать доклад совету директоров.
Рассмотрим несколько примеров применения этих принципов в российской практике. В «Аэрофлоте» служба риск-менеджмента создана в декабре 2000 года, когда компании после разработки стратегии стало понятно, какие изменения необходимы в организационной структуре. Сейчас это подразделение называется департаментом управления рисками и страхования. Департамент находится в подчинении одного из заместителей генерального директора. В его состав входят отдел учета, контроля, мониторинга и прогнозирования рисков, отдел финансовых рисков и страхования, группа оценки рисков. Кроме того, три менеджера не входят в эти отделы и курируют три главных направления – авиационные риски, бизнес-риски и финансовые риски. Впрочем, такую достаточно мощную структуру могут позволить себе лишь крупные компании. Например, большой отдел риск-менеджмента создан в «Норильском никеле». Понятно, что такая организация сталкивается в своей деятельности со значительными рисками – от ценового (скажем, риск падения цен на продукцию комбината) до геологических («Норникель» активно занимается геологоразведкой, где, как известно, результат далеко не гарантирован) и технологических. В «Русагро-сахар» риск-менеджер подчиняется непосредственно гендиректору. О преимуществах мы уже говорили: оперативность решения проблем и избегание вполне вероятного конфликта интересов.
Если же компания считает создание отдельной службы РМ нецелесообразным, она может передать эту деятельность на аутсорсинг (внешним консультантам) или создать небольшие рабочие группы по основным видам рисков, как это сделал Валерий Романов в Ульяновске.