В качестве другого примера рассмотрим Volkswagen do Brasil (далее – VW), бразильский филиал немецкого автопроизводителя. Подразделение VW по управлению рисками использует стратегическую карту компании в качестве отправной точки обсуждения рисков. Для каждой цели на карте группа выявляет события, которые могут стать препятствием на пути к достижению этой цели. Затем команда создает для каждого риска карточку события, фиксируя его возможное воздействие на операции, вероятность его возникновения, основные показатели и меры по смягчению последствий. Также определяется, кто несет основную ответственность за управление риском (см. врезку «Карточка рискового события»). После этого команда представляет экспертное заключение высшему руководству (см. врезку «Отчет о рисках»).

Помимо систематического выявления стратегических рисков и разработки профилактических мер, компаниям также необходима структура контроля. Infosys использует двойную структуру. Основная группа выявляет общие стратегические риски и составляет соответствующий план действий, а специализированные функциональные группы вместе с бизнес-подразделениями разрабатывают методы реализации централизованного плана и контролируют его выполнение. Такие группы помогают подразделениям выявлять угрозы и устранять их, передавая в центральную группу только исключительные случаи для проверки. Например, если менеджер по работе с клиентами хочет предоставить более длительный кредитный период компании с высоким уровнем кредитного риска, менеджер по функциональным рискам может отправить дело в централизованный отдел для проверки.

Эти примеры показывают, что размер и задачи отдела по управлению рисками не зависят от величины организации. Крупная компания Hydro One имеет относительно небольшую группу, которая выявляет риски, информирует о них организацию, а также консультирует руководство о распределении ресурсов с учетом рисков. И наоборот, относительно небольшим компаниям или подразделениям, таким как JPL или JP Morgan Private Bank, требуются для каждого проекта «надзорный» комитет или собственные эксперты, чтобы проводить экспертизу конкретной сферы для оценки рисков бизнес-решений. А для Infosys, крупной компании с широким оперативным и стратегическим охватом, нужен сильный централизованный отдел по управлению рисками и риск-менеджеры в бизнес-подразделениях, которые оценивают коммерческие решения с точки зрения рисков и обмениваются информацией с центральной группой.

К третьей категории относятся внешние риски, которые, как правило, не могут быть снижены или предотвращены с помощью мер контроля над предотвратимыми и стратегическими рисками. Внешние риски в значительной степени неподконтрольны компании, поэтому следует сосредоточиться на их выявлении, оценке их потенциального воздействия и разработке мер по смягчению последствий, если события будут развиваться по нежелательному сценарию.

Некоторые неминуемые внешние риски очевидны, и ими можно управлять так же, как и стратегическими рисками. Например, во время экономического спада после глобального финансового кризиса Infosys обнаружила новый риск, связанный с ее целью развития глобальной рабочей силы. В нескольких странах ОЭСР, где у Infosys было большое количество клиентов, усилился рост протекционизма, который мог привести к жестким ограничениям на выдачу рабочих виз и разрешений для иностранных граждан. Хотя протекционистское законодательство, не подверженное влиянию со стороны компании, технически является внешним риском, Infosys отнеслась к нему как к стратегическому риску. Она создала карту событий, которая включала в себя новый показатель: число и процент сотрудников с двойным гражданством или действующим разрешением на работу за пределами Индии. Начни это число уменьшаться из-за текучести кадров, глобальная стратегия Infosys могла бы оказаться под угрозой. Поэтому Infosys внедрила новую политику рекрутинга и предотвращения текучести кадров, которая смягчает возможные последствия этого внешнего риска.