Кевин Бюлер, Гуннар Притч
Риски — непременная составляющая деловой жизни, а управление ими — часть той масштабной работы, которую любая компания ведет ради создания стоимости. Однако крах многих корпораций, происшедший в последние годы, свидетельствует о том, что многие компании не только не обладают системами адекватного управления рисками, но и плохо понимают характер рисков, с которыми связана их деятельность. Судя по результатам исследования McKinsey, проблема касается не только нескольких компаний–банкротов. Мы проанализировали показатели свыше 200 ведущих финансовых компаний за период с 1997 по 2002 г. и в 90 из них выявили около 150 случаев серьезных финансовых проблем[1], то есть деятельность каждой второй компании хотя бы раз подверглась серьезному риску. Значит, подобные явления — очевидный факт, и нужно научиться управлять рисками, а не надеяться на благосклонность фортуны.
Члены советов директоров подтверждают этот вывод. Более трети членов советов директоров, опрошенных в 2002 г. в ходе совместного исследования McKinsey и исследовательской группы Directorship, специализирующейся на корпоративном управлении, признались, что плохо понимают суть основных рисков, с которыми сталкиваются их компании. Еще четверть директоров считают, что в их компаниях не умеют эффективно оценивать риски и управлять ими, а 20% сообщили, что у них вообще не делают этого.
Когда члены совета директоров ничего не знают про управление рисками, то, как правило, это отражается на деятельности менеджеров высшего звена. Топ–менеджерам редко вменяется в обязанность ориентироваться на финансовую результативность с учетом принимаемых рисков[2], и они используют в своей работе лишь сравнительно простые показатели — чистый доход, доход на акцию или прогнозы роста курса акций. Совершенствование риск–менеджмента предполагает, таким образом, действенный контроль со стороны совета директоров (см. статью «Совет директоров и риск–менеджмент») и интеграцию риск–менеджмента в ежедневный процесс выработки и принятия решений. Компании, которым не удалось наладить процесс управления рисками, сталкиваются с разными их видами: непредвиденные и часто весьма значительные финансовые потери (см. схему 1) приводят к колебаниям денежных потоков и курсов акций, что подрывает деловую репутацию компании в глазах клиентов, сотрудников и инвесторов.
Стремясь защитить себя и свои акции от нестабильности, компании иногда переходят на бизнес–модели, предполагающие минимум риска. Именно эту тенденцию имел в виду Вильям Дональдсон, глава Комиссии по ценным бумагам и биржам США, когда говорил, что, к сожалению, американские компании «утрачивают страсть к риску»[3]. Финансист прав: не рискуя, нельзя получить доход. Поэтому оптимальна та модель бизнеса, которая ограждает компании от тяжелых финансовых проблем и в то же время оставляет простор для деятельности. И для менеджмента должны быть созданы такие условия, чтобы он мог рисковать, при этом изучая потенциальную доходность любого бизнес– решения с точки зрения рисков.
В таком случае компании защищают себя от непредвиденных рисков и получают конкурентные преимущества, принимая больший объем рисков на более безопасных условиях. Говоря о причинах ухудшения финансового состояния своей компании, входящей в список Fortune 500, ее генеральный директор указал на «пробелы в культуре принятия рисков». Из–за отсутствия этой культуры, пояснил он, компания не смогла создать новые, отвечающие последним требованиям рынка продукты. Для сравнения приведем высказывание главы одного из ведущих инвестиционных банков с идеально отлаженной системой управления рисками. «Мы создали систему последовательного контроля в торговых операциях и теперь можем принимать больший объем рисков и в результате получать хорошую прибыль».
В некоторых отраслях компании уже инвестируют средства в развитие эффективных процессов управления рисками. Многие финансовые институты после серии экономических кризисов (на рынке недвижимости США в 1990 г., на развивающихся рынках в 1997 г., на технологическом рынке в 2001 г.) и под давлением регулирующих органов последние десять лет активно совершенствовали свои системы управления рисками. Но компаниям «реального сектора» — энергетическим, сырьевым, предприятиям обрабатывающей промышленности — еще многому предстоит научиться.
Мы определяем риски весьма широко — как любое событие, вследствие которого финансовые результаты деятельности компании могут оказаться ниже ожидаемых. Обычно для оценки риска применяются следующие показатели: капитал к риску, доходность к риску или денежные потоки к риску. Выбор того или иного показателя зависит от характера базовой информации, используемой при анализе (баланс, отчет о прибылях/убытках или информация о движении денежных потоков).
Выделяют четыре вида рисков. Первый — рыночный риск, то есть подверженность негативному изменению рыночных цен, в том числе изменениям стоимости ценных бумаг, валютообменных курсов, процентных ставок или спрэдов и цен на биржевые товары. Например, резкое падение цен на палладий в 2002 г. заставило Ford, имеющий значительные его запасы, списать 952 млн долл.
Второй — кредитный риск, то есть вероятность неисполнения заемщиком (контрагентом) обязательств, предусмотренных договором. Так, в 2002 г. Bank of New York увеличил свои резервы на покрытие возможных потерь по ссудам на 185 млн долл. и объяснил этот шаг тем, что выдал значительные ссуды телекоммуникационным компаниям, оказавшимся в сложном финансовом положении.
Третий — операционный риск, то есть вероятность потерь в результате неадекватных внутренних процессов и систем, а также внешних событий. Например, Allfirst, дочерняя организация Allied Irish Banks, потеряла 691 млн долл. в результате мошеннических действий трейдера, продолжавшихся более пяти лет и выявленных только в 2002 г.
И наконец, четвертый вид — риск объема бизнеса. Он связан с изменением динамики спроса/предложения или конкуренцией и представляет собой зависимость финансового состояния организации от колебаний доходов. Так, в 2003 г. ведущий авиаперевозчик США United Airlines обратился за защитой, предусмотренной Главой 11 Кодекса о банкротстве США, после того как из–за падения спроса снизились его доходы.
Чтобы грамотно управлять рисками, компания должна знать, с какими рисками связана ее деятельность. Для этого нужно объективно оценить все основные риски и понять, какие конкретно риски и в каком объеме она готова взять на себя. Часто, поставив перед собой такую цель, компания начинает создавать эффективную систему управления рисками, способную точно идентифицировать и оценивать риски, и снабжать топ–менеджмент и совет директоров независимой достоверной информацией. Хотя все эти действия заметно улучшают качество управления рисками, системами формального контроля ограничиваться нельзя. Следует формировать такую культуру, при которой весь управленческий персонал компании будет заинтересован не только в получении большей прибыли, но и в адекватном управлении рисками. Размер вознаграждения каждого сотрудника должен зависеть не только от финансовых итогов его деятельности, но и от того, насколько эффективно он управляет рисками.
Добиваясь прозрачности
Компании нужно хорошо понимать природу рисков, с которыми сопряжена ее деятельность, и их возможное влияние на финансовое состояние. К сожалению, такое встречается не часто. Например, одна североамериканская страховая компания потеряла сотни миллионов долларов, инвестировав их в высокодоходные, но высокорискованные кредитные продукты. В 1990–х годах, в период всплеска экономической активности, компания получала высокие доходы от этих операций, но, когда конъюнктура изменилась, оказалось, что топ–менеджеры были совершенно не готовы к этому.
Для каждой отрасли характерны свои особые виды риска, вернее, комбинации четырех рассмотренных выше видов. Поэтому компаниям нужно выработать системы управления именно «своими» рисками. Например, фармацевтическая компания может столкнуться с риском объема бизнеса (если конкурент выпустил на рынок более эффективное лекарство) или операционным риском (если в связи с этим сократится объем запланированной прибыли). Кроме того, компании нужно выработать стратегию в отношении риска, связанного с научно–исследовательской деятельностью, на тот случай, если ее новое лекарство не получит разрешения регулирующих органов или в результате клинических исследований будет выявлено несоответствие продукта стандартам безопасности.
Компании также нужно уметь оценивать объем денежных средств, поставленных на карту, понимать, как связаны между собой риски, принимаемые ее различными подразделениями, и каков ее общий рисковый профиль. Другими словами, нужен общий взгляд. American Express, например, из–за резкого падения деловой активности в индустрии авиаперевозок подвержена рискам на трех направлениях: в сфере обслуживания перевозок (риск объема бизнеса), в деятельности, связанной с кредитными картами (кредитный риск, обусловленный потенциальной необходимостью погашения неиспользованных, но оплаченных билетов) и в результате вложений страхового подразделения в облигации авиакомпаний или аренду воздушных судов (рыночный риск).
Выработать объективное мнение о рисках поможет так называемая сигнальная карта: на этой диаграмме наглядно показываются риски (разбитые по категориям и суммам), характерные для каждой бизнес–единицы, и определяется показатель общей корпоративной доходности к риску. Каждый вид риска закрашивается своим определенным цветом, потому легко выявить область с наибольшей концентрацией риска (см. схему 2 — на этой сигнальной карте выделена высокая степень кредитного риска в двух подразделениях). Красный цвет может означать, что объем риска подразделения достигает более 10% совокупных средств компании, зеленый — более 5%. Чтобы построить точную сигнальную карту, в компании должна быть налажена система сбора и обработки информации о рисках, а для этого нужен профессиональный риск– менеджмент.
Параметры сигнальной карты должны обсуждаться на встречах совета директоров с командой топ–менеджеров и главами бизнес–единиц. Желательно, чтобы топ–менеджеры регулярно, например ежемесячно, а члены совета директоров ежеквартально анализировали карту и вместе принимали решение о допустимости текущего уровня риска, целесообразности принятия большего объема риска и, соответственно, получения большей прибыли. Повышает ли высокая степень риска доходность или только снижает акционерную стоимость? Умеет ли компания адекватно управлять присущими ее деятельности рисками? Если объем некоторых рисков признан чрезмерным, следует ли хеджировать их или снижать иным способом? Технологическая компания, например, может прийти к выводу, что в ее портфеле научно– исследовательских разработок слишком много дорогостоящих высокорискованных проектов и слишком мало проектов, имеющих целью повышение качества и развитие уже существующих продуктов.
Высокая концентрация рисков — это не обязательно плохо. Все зависит от расположенности и готовности компании к риску. Но, к сожалению, у многих компаний вообще нет стратегии риска, хотя от нее зависят все инвестиционные решения и поэтому разрабатывать ее жизненно необходимо любой организации.
Грамотная стратегия выделяет типы рисков, сулящие компании максимальную выгоду, указывает предельный объем рисков, который она может взять на себя, и необходимый при этом уровень доходов. Определение этих параметров позволяет руководителям подразделений оценить свои стратегии в координатах риск — доходность и привести их в соответствие с общей корпоративной стратегией.
Формулировать стратегию компании в отношении рисков должен генеральный директор при поддержке совета директоров, хотя часто это происходит хаотически, и стратегия появляется на свет сама собой как результат многих деловых и финансовых решений. Один топ–менеджер, например, больше склонен к риску, чем другой, или его точка зрения на эффективный объем риска отличается от принятой остальными. В результате рисковый профиль компании может разрастись и стать неуправляемым. Поэтому важно, чтобы все сотрудники понимали общую стратегию рисков компании.
Очевидно, казалось бы, что компании следует принимать только те риски, которые она способна предвидеть и оценивать, но в действительности так бывает не всегда. Например, многие компании — производители телекоммуникационного оборудования активно финансировали клиентов в период технологического бума, хотя не обладали достаточным опытом в сфере кредитных отношений, и в итоге многие из них потерпели значительные убытки.
Что касается определения максимального риска, который готова взять на себя компания, то тут лучше всего ориентироваться на желаемый кредитный рейтинг и оценивать допустимый для этого рейтинга объем риска при существующей структуре капитала. Кредитные рейтинги служат своего рода барометром — они показывают, какова вероятность, что при тех рисках, с которыми сталкивается компания, она выполнит свои финансовые обязательства. Чем выше уровень риска, меньше величина капитала и объем будущих денежных поступлений, доступных для погашения риска, тем ниже будет кредитный рейтинг компаний и тем больше им придется платить за пользование привлеченными средствами. Компаниям, чей кредитный рейтинг ниже, чем им бы хотелось, скорее всего придется сократить объем рисков или привлечь дополнительный — и весьма дорогостоящий — капитал для их обеспечения.
Величина требуемого уровня доходности компании будет варьироваться в зависимости от расположенности к риску генерального директора и совета директоров. Одни руководители предпочитают идти на большой риск ради высокой прибыли; другие, более консервативные управленцы, устанавливают предельный объем риска вне зависимости от уровня доходности. Однако доходы должны как минимум превышать стоимость капитала, необходимого для покрытия рисков.
Как и любую стратегию, стратегию рисков необходимо протестировать применительно к различным сценариям развития событий. Например, компании по страхованию жизни следует понять, как будет изменяться уровень ее доходов в разных экономических условиях, и убедиться, что объемы потенциальных убытков, связанных с рыночным и кредитным рисками в период вероятного экономического кризиса, приемлемы для нее. Также нужно оценить возможность быстрой реструктуризации портфеля активов. Если объем потенциальных рисков при наиболее неблагоприятных условиях неприемлем, а портфель трудно вовремя реструктурировать, значит, стратегия рисков пока не отработана.
Сигнальная карта наглядно показывает, насколько точно компания следует собственной стратегии рисков, и позволяет спланировать корректирующие меры. Однако соответствие этой стратегии и эффективность корректирующих мер зависят от следующих двух направлений политики по управлению рисками.
Задача групп риск–менеджеров — выявлять, измерять и оценивать риски для каждой бизнес–единицы и вырабатывать общекорпоративную позицию по этим рискам. При этом объем принимаемых рисков должен соответствовать общекорпоративным принципам стратегии рисков. У этих групп бывают разные структуры — все зависит от типа компании, в которой они создаются. В крупных диверсифицированных конгломератах, например, для каждого направления деятельности скорее всего потребуется своя группа по управлению рисками, члены которой обладают опытом работы именно в этой сфере. В менее крупных компаниях управлением рисками может заниматься единая корпоративная группа риск–менеджмента. Но какой бы ни была структура организации, некоторые принципы управления должны соблюдаться везде.
Высококвалифицированные риск–менеджеры. В группу риск–менеджеров на уровне подразделений и корпоративного центра надо стянуть мощные интеллектуальные ресурсы, чтобы эти группы могли давать руководителям по–настоящему дельные советы и настаивать на своей точке зрения. Для этого нужно сделать так, чтобы назначение в группу риск–менеджмента рассматривалось как скачок в карьерном росте. Успех многих компаний, грамотно управляющих рисками, объясняется тем, что в них должность старшего риск–менеджера занимает опытный профессионал, он напрямую подчиняется генеральному директору или главному финансовому директору и благодаря своему статусу и авторитету на равных взаимодействует с руководителями подразделений.
Разделение обязанностей. Нельзя допускать, чтобы одни и те же сотрудники определяли стратегию рисков и следили, насколько соответствует ей деятельность компании, и в то же время инициировали бы решение о принятии рисков и управляли ими. Сотрудникам торгового отдела, например, выгодно заключить как можно больше сделок, поэтому они не должны разрабатывать стратегию рисков и определять, кому из клиентов предоставлять кредит.
Четкие личные обязанности. Нужно четко определить должностные обязанности риск–менеджера— это разработка стратегии рисков и контроль за ее реализацией — и строго разграничить полномочия корпоративного риск–менеджмента и риск–менеджеров отдельных подразделений. Нужно четко определить, может ли группа корпоративного риск–менеджмента пересматривать решения подразделений о размере прибыли с учетом риска или устанавливать стандарты для подразделений, например формат отчетности.
Ответственность за риск. Если даже в компании есть корпоративная группа риск–менеджмента, это не значит, что структурные подразделения организации не должны отвечать за принятые ими риски, тем более что они лучше других понимают природу этих рисков и обеспечивают первый уровень защиты компании от неразумных рисков.
Совет директоров любой компании должен понимать основные риски, с которыми связана ее деятельность, прогнозировать их и быть точно уверенным, что топ–менеджеры обладают достаточными навыками риск–менеджмента. Чтобы контроль совета директоров был эффективным, нужно проработать следующие вопросы.
Структура совета директоров. Нужно решить, будет ли контроль за рисками возложен на существующий комитет[4] (например, по финансам или аудиту), отдан новому или разделен между несколькими существующими комитетами. На первый взгляд, лучше всего эта функция подходит комитетам по аудиту, но в последнее время внимание акционеров и регулирующих органов к правильности финансовой отчетности значительно выросло, у членов комитета по аудиту прибавилось дел, поэтому им будет трудно справиться с дополнительной нагрузкой.
Учет рисков. Отчеты совету директоров и его комитетам должны, кроме всего прочего, содержать основные показатели соотношения рисков и доходности.
Обучение и квалификация. Нужно организовать обучение действующих и новых членов совета директоров и оценить потребности в новых руководителях, обладающих необходимой компетенцией в сфере управления рисками.
Деятельность совета директоров. Совет директоров должен регулярно анализировать эффективность своего управления рисками, знать структуру и уставы комитетов и взаимодействовать с менеджерами по вопросам управления рисками. В некоторых компаниях используют такой формальный инструмент, как самооценку— с его помощью члены совета директоров оценивают, насколько эффективно они управляют рисками.
Перечисленные элементы способствуют совершенствованию риск–менеджмента, но их недостаточно, чтобы защитить компанию от принятия неоправданно высоких рисков. Компании могут вводить системы формального контроля, например лимиты торгов. Так, принятый в 2002 г. В США закон Сарбейнса — Оксли установил обязательную сертификацию адекватности систем формального контроля. Но, поскольку современный бизнес развивается очень динамично, невозможно разработать систему контроля, которая охватывала бы все решения, связанные с рисками. Поэтому компаниям нужно развивать у себя культуру принятия риска. Тогда можно будет быстро выявлять тех, кто принимает рискованные решения, и это заставит каждого менеджера взвешивать доходность и рискованность своего решения.
Для развития культуры принятия рисков компаниям не обойтись без формализованного общекорпоративного анализа рисков, когда каждое структурное подразделение должно выработать свой рисковый профиль, который учитывался бы общекорпоративной системой управления рисками. Анализ также покажет, понимают ли руководители каждого уровня специфику основных рисков и принципы их регулирования. Ежемесячное составление сигнальной карты — один из видов общекорпоративного контроля за рисками.
Компаниям следует предпринимать и другие шаги. Обращая внимание на эффективность деятельности с учетом принимаемых рисков, а не только на традиционные показатели отчетности, руководители всех уровней будут точнее рассчитывать последствия своих решений. Компаниям, которым требуется большой объем рискового капитала, нужно анализировать динамику изменения акционерной стоимости и доходности капитала с учетом принимаемых рисков. Именно так компания, эмитирующая кредитные карты, поняла, что, вопреки ее прогнозам, доходность по операциям с новыми клиентами колебалась гораздо сильнее, чем по операциям с прежними клиентами, хотя у обеих групп были одинаковые показатели ожидаемой клиентской доходности. Раньше целесообразность привлечения конкретного клиента подтверждалась именно этим показателем. Теперь, принимая новую клиентуру, в компании учитывают связанный с ней высокий риск.
Компании должны также проводить образовательные программы и практические семинары по риск–менеджменту, о котором многие менеджеры почти ничего не знают. Кроме того, нужно мотивировать сотрудников к выработке и принятию эффективных решений в области рисков и оценивать работу руководителей подразделений не только на основании показателей чистой доходности, но и с учетом риска— тогда они будут отвечать за свои действия и не пойдут на неоправданный риск. Правильную позицию сотрудника в отношении рисков следует поощрять и вознаграждать, а нарушителей правил и процедур по оценке и управлению рисками — наказывать.
И последнее. Руководители компаний, которые хотят, чтобы все их сотрудники одинаково тщательно оценивали потенциальные негативные последствия и выгоды любого финансового решения, должны говорить о рисках так же часто, как о ситуации на рынке, состоянии и особенностях клиентской базы. Если генеральный директор понимает важность эффективной системы оценки и управления рисками, то это сказывается на деятельности всей компании.
***
Даже обладая самыми совершенными системами оценки и управления рисками, невозможно предотвратить все риски. Однако если компании освоят четыре элемента управления рисками, то обезопасят себя от многих неприятных сюрпризов и смогут лучше подготовиться к принятию рисков, необходимых для увеличения доходности и своего роста. Не имея эффективных программ оценки и управления рисками, организации могут непреднамеренно выйти на такой их уровень, при котором, в случае негативного развитии ситуации, компания окажется на грани гибели. Вероятна и обратная ситуация: компании примут излишне консервативные стратегии и упустят возможности, которыми воспользуются конкуренты.
[1] Мы отмечали наличие финансовых проблем, если в отношении компании велась процедура банкротства, кредитный рейтинг компании падал на два и более пунктов, резко снижались доходы (от 50% за 6 месяцев) или совокупный доход акционеров (не меньше чем на 20% относительно среднерыночного уровня).
[2] Показатели результативности с учетом рисков модифицируют доходы компании, отраженные в официальной отчетности, на степень риска, принимаемого компанией для генерирования этих доходов.
[3] Цит. по: Financial Times, July 24, 2003.
[4] Подробнее о комитетах в составе совета директоров см.: Л. Петухов. Ближе к стандартам // Вестник McKinsey, 2003, № 2 (4).