Актуальные вопросы корпоративного управления рисками в России. Эксперты обсудили профессиональные аспекты на конференции Ассоциации «НОВАК»
4 ДЕКАРЯ 2025
Русакова Анастасия Сергеевна, Генеральный директор Ассоциации «НОВАК», Член Общественного совета Минфина России
Русакова Анастасия Сергеевна, Генеральный директор Ассоциации «НОВАК», Член Общественного совета Минфина России
Сегодня риск-менеджмент в России переживает период глубокой трансформации. Из некогда формализованной, зачастую «бумажной» функции она все чаще становится критически важным элементом стратегического управления, обеспечивающим устойчивость и жизнеспособность бизнеса. Именно этим вопросам была посвящена одна из ключевых сессий отраслевой конференции Ассоциации «НОВАК», модератором которой выступила Анастасия Сергеевна Русакова, генеральный директор Национального объединения внутренних аудиторов и контролеров.
В фокусе дискуссии оказались как фундаментальные проблемы зрелости риск-культуры, так и сугубо практические аспекты: от синергии между контролирующими подразделениями и уголовных рисков в госзаказе до новых вызовов, связанных с обеспечением непрерывности бизнеса и интеграцией различных систем менеджмента.
В фокусе дискуссии оказались как фундаментальные проблемы зрелости риск-культуры, так и сугубо практические аспекты: от синергии между контролирующими подразделениями и уголовных рисков в госзаказе до новых вызовов, связанных с обеспечением непрерывности бизнеса и интеграцией различных систем менеджмента.
Синергия контроля и риск-менеджмента: практический кейс ОАК
Практическим опытом построения эффективного взаимодействия поделилась Елена Викторовна Малета, Директор по управлению рисками и внутреннему контролю ПАО «Объединенная авиастроительная корпорация». Ее выступление наглядно продемонстрировало, как направление управления рисками и направление внутреннего контроля, действуя сообща в рамках единой системы управления рисками и внутреннего контроля, создают синергетический эффект, выходящий за рамки простого соблюдения регуляторных требований.
В ОАК выстроен циклический процесс, при котором риск-менеджеры совместно с риск-координаторами в подразделениях дважды в год оценивают риски и формируют реестр рисков. Внутренние контролеры, в свою очередь, используют эти данные при планировании и проведении проверок отдельных бизнес-процессов. В ходе контрольных мероприятий они проводят верификацию заявленных рисков на операционном уровне, декомпозируя их на более детализированные риск-факторы.
«Когда внутренние контролеры анализируют тот или иной бизнес-процесс, направление, авиационную программу, они берут исходный реестр рисков. Если какой-либо из рисков имеет низкий уровень, либо не актуален на момент проверки, то ресурсы на управление таким риском целесообразно перенаправить на другие риски, а реестр актуализировать», — пояснила Малета.
Ярким примером стала проверка одной из авиационных программ, по результатам которой была пересмотрена оценка трех ключевых рисков (нехватки финансирования, снижения спроса и недостаточного учета ресурсов времени), а также выявлено три новых риска (нехватки производственной инфраструктуры, неэффективного использования ресурсов и кадрового дефицита производственного персонала). Эта обратная связь позволила риск-менеджерам и владельцам бизнес-процессов оперативно скорректировать планы мероприятий, перераспределить ресурсы в пользу вновь выявленных рисков и снизить их. Такой подход превращает реестр рисков из статичного документа в «живой» инструмент управления, постоянно актуализируемый по итогам контрольных мероприятий.
Практическим опытом построения эффективного взаимодействия поделилась Елена Викторовна Малета, Директор по управлению рисками и внутреннему контролю ПАО «Объединенная авиастроительная корпорация». Ее выступление наглядно продемонстрировало, как направление управления рисками и направление внутреннего контроля, действуя сообща в рамках единой системы управления рисками и внутреннего контроля, создают синергетический эффект, выходящий за рамки простого соблюдения регуляторных требований.
В ОАК выстроен циклический процесс, при котором риск-менеджеры совместно с риск-координаторами в подразделениях дважды в год оценивают риски и формируют реестр рисков. Внутренние контролеры, в свою очередь, используют эти данные при планировании и проведении проверок отдельных бизнес-процессов. В ходе контрольных мероприятий они проводят верификацию заявленных рисков на операционном уровне, декомпозируя их на более детализированные риск-факторы.
«Когда внутренние контролеры анализируют тот или иной бизнес-процесс, направление, авиационную программу, они берут исходный реестр рисков. Если какой-либо из рисков имеет низкий уровень, либо не актуален на момент проверки, то ресурсы на управление таким риском целесообразно перенаправить на другие риски, а реестр актуализировать», — пояснила Малета.
Ярким примером стала проверка одной из авиационных программ, по результатам которой была пересмотрена оценка трех ключевых рисков (нехватки финансирования, снижения спроса и недостаточного учета ресурсов времени), а также выявлено три новых риска (нехватки производственной инфраструктуры, неэффективного использования ресурсов и кадрового дефицита производственного персонала). Эта обратная связь позволила риск-менеджерам и владельцам бизнес-процессов оперативно скорректировать планы мероприятий, перераспределить ресурсы в пользу вновь выявленных рисков и снизить их. Такой подход превращает реестр рисков из статичного документа в «живой» инструмент управления, постоянно актуализируемый по итогам контрольных мероприятий.
Уголовные риски в госзаказе: красные флаги для заказчика
Если выступление Елены Малеты было сфокусировано на внутренних процессах, то доклад Руслана Олеговича Долотова, партнера адвокатского бюро «Феоктистов и партнеры», перенес аудиторию в поле высоких правовых рисков. На основе анализа сотен состоявшихся приговоров он выделил четыре типовые ситуации, когда заказчик по госконтракту может быть привлечен к уголовной ответственности вместе с исполнителем.
1. Нарушение лимита прибыли в гособоронзаказе. Самая распространенная история, когда заказчика привлекают за «соучастие», если у него выявлены родственные или иные аффилированные связи с исполнителем, который превысил допустимый 1% нормы прибыли по принесенным затратам. «Если есть среди исполнителей по гособоронзаказу какие-то родственные и иные связи, то это автоматически создает потенциальные риски привлечения к ответственности представителей заказчика, если где-то накосячит исполнитель», — предупредил Долотов.
2. Халатность при приемке работ. Должностное лицо заказчика может быть привлечено за халатность, даже если его должностная инструкция не содержит прямого требования перепроверять все коэффициенты в сметной документации. Суды исходят из того, что общая обязанность обеспечивать надлежащую приемку работ предполагает и необходимость такой проверки.
3. Сговор при формировании НМЦК. Заказчик, знающий о том, что коммерческие предложения для обоснования начальной цены контракта подаются аффилированными компаниями, рискует быть обвиненным в мошенничестве. Ущерб в этом случае будет рассчитан как разница между уплаченной ценой и «справедливой» ценой, которую определит экспертиза.
4. Нецелевое использование средств и «серые» схемы. Ситуация, когда заказчик в целях экономии времени просит исполнителя выполнить не предусмотренные контрактом работы, с последующей оплатой по фиктивным актам, также чревата уголовным преследованием за хищение.
Кроме того, даже если взятку доказать не удается, заказчика могут привлечь за мошенничество, так как завышенная цена зачастую включает в себя откат. Наличие любой, даже косвенной аффилированности между заказчиком и исполнителем многократно повышает эти риски.
Если выступление Елены Малеты было сфокусировано на внутренних процессах, то доклад Руслана Олеговича Долотова, партнера адвокатского бюро «Феоктистов и партнеры», перенес аудиторию в поле высоких правовых рисков. На основе анализа сотен состоявшихся приговоров он выделил четыре типовые ситуации, когда заказчик по госконтракту может быть привлечен к уголовной ответственности вместе с исполнителем.
1. Нарушение лимита прибыли в гособоронзаказе. Самая распространенная история, когда заказчика привлекают за «соучастие», если у него выявлены родственные или иные аффилированные связи с исполнителем, который превысил допустимый 1% нормы прибыли по принесенным затратам. «Если есть среди исполнителей по гособоронзаказу какие-то родственные и иные связи, то это автоматически создает потенциальные риски привлечения к ответственности представителей заказчика, если где-то накосячит исполнитель», — предупредил Долотов.
2. Халатность при приемке работ. Должностное лицо заказчика может быть привлечено за халатность, даже если его должностная инструкция не содержит прямого требования перепроверять все коэффициенты в сметной документации. Суды исходят из того, что общая обязанность обеспечивать надлежащую приемку работ предполагает и необходимость такой проверки.
3. Сговор при формировании НМЦК. Заказчик, знающий о том, что коммерческие предложения для обоснования начальной цены контракта подаются аффилированными компаниями, рискует быть обвиненным в мошенничестве. Ущерб в этом случае будет рассчитан как разница между уплаченной ценой и «справедливой» ценой, которую определит экспертиза.
4. Нецелевое использование средств и «серые» схемы. Ситуация, когда заказчик в целях экономии времени просит исполнителя выполнить не предусмотренные контрактом работы, с последующей оплатой по фиктивным актам, также чревата уголовным преследованием за хищение.
Кроме того, даже если взятку доказать не удается, заказчика могут привлечь за мошенничество, так как завышенная цена зачастую включает в себя откат. Наличие любой, даже косвенной аффилированности между заказчиком и исполнителем многократно повышает эти риски.
Кризис зрелости: почему риск-менеджмент не попадает «за взрослый стол»?
Провокационный взгляд на внутренние проблемы профессии представила Юлия Ли, руководитель направления по рискам АО «Росхим». Она обратила
внимание на стагнацию в уровне зрелости систем управления рисками в нефинансовых компаниях, который, по данным одного из исследований, годами остается на отметке около 0,34 из 1.
По ее мнению, традиционное объяснение этого феномена — «недостаточная зрелость управленческих процессов» — является поверхностным. Риск-менеджерам стоит задать себе вопрос «почему?» и копнуть глубже. Спикер указала на ряд типичных практик, которые дискредитируют функцию в глазах топ-менеджмента:
- Представление неполной информации: вынесение на совет директоров карты рисков без планов мероприятий.
- Размытые формулировки: риски вроде «нехватки персонала» или «долгого согласования документов» не несут конкретики и не позволяют принять управленческое решение.
- Некорректные оценки: две крайности — избыточное и непонятное руководству моделирование либо полное отсутствие внятных оценок, замененных на «светофоры».
- Уход от ответственности: ссылки на то, что ответственность за оценку рисков лежит на бизнесе, в то время как риск-менеджер должен гарантировать качество и достоверность информации.
«Если ты хочешь попасть за взрослый стол, надо быть взрослым. Быть взрослым — это значит уметь брать на себя ответственность. Я вместе с этой отчетностью свою голову кладу на плаху», — заявила Юлия Ли. По ее мнению, именно нежелание брать на себя ответственность за предоставляемые данные мешает риск-менеджменту стать полноправным участником стратегических дискуссий.
Непрерывность бизнеса: новая стратегическая цель риск-менеджмента
Ответом на новые вызовы, по мнению Станислава Ямникова, руководителя отдела управления рисками ПАО «Черкизово», становится смещение фокуса риск-менеджмента в сторону управления непрерывностью бизнеса (Business Continuity Management). Он отметил, что сегодня не только растет количество угроз (военные риски, санкции), но и увеличиваются последствия от стандартных инцидентов, таких как поломка оборудования или пожар, из-за сложностей с поставкой импортных запчастей.
«Риск-менеджмент должен приносить пользу. Одна из опций, как эту пользу принести — сконцентрироваться на том, чтобы управлять риском непрерывности бизнеса», — отметил Ямников.
Провокационный взгляд на внутренние проблемы профессии представила Юлия Ли, руководитель направления по рискам АО «Росхим». Она обратила
внимание на стагнацию в уровне зрелости систем управления рисками в нефинансовых компаниях, который, по данным одного из исследований, годами остается на отметке около 0,34 из 1.
По ее мнению, традиционное объяснение этого феномена — «недостаточная зрелость управленческих процессов» — является поверхностным. Риск-менеджерам стоит задать себе вопрос «почему?» и копнуть глубже. Спикер указала на ряд типичных практик, которые дискредитируют функцию в глазах топ-менеджмента:
- Представление неполной информации: вынесение на совет директоров карты рисков без планов мероприятий.
- Размытые формулировки: риски вроде «нехватки персонала» или «долгого согласования документов» не несут конкретики и не позволяют принять управленческое решение.
- Некорректные оценки: две крайности — избыточное и непонятное руководству моделирование либо полное отсутствие внятных оценок, замененных на «светофоры».
- Уход от ответственности: ссылки на то, что ответственность за оценку рисков лежит на бизнесе, в то время как риск-менеджер должен гарантировать качество и достоверность информации.
«Если ты хочешь попасть за взрослый стол, надо быть взрослым. Быть взрослым — это значит уметь брать на себя ответственность. Я вместе с этой отчетностью свою голову кладу на плаху», — заявила Юлия Ли. По ее мнению, именно нежелание брать на себя ответственность за предоставляемые данные мешает риск-менеджменту стать полноправным участником стратегических дискуссий.
Непрерывность бизнеса: новая стратегическая цель риск-менеджмента
Ответом на новые вызовы, по мнению Станислава Ямникова, руководителя отдела управления рисками ПАО «Черкизово», становится смещение фокуса риск-менеджмента в сторону управления непрерывностью бизнеса (Business Continuity Management). Он отметил, что сегодня не только растет количество угроз (военные риски, санкции), но и увеличиваются последствия от стандартных инцидентов, таких как поломка оборудования или пожар, из-за сложностей с поставкой импортных запчастей.
«Риск-менеджмент должен приносить пользу. Одна из опций, как эту пользу принести — сконцентрироваться на том, чтобы управлять риском непрерывности бизнеса», — отметил Ямников.
Он подчеркнул, что теперь наличие проработанных планов непрерывности бизнеса (ПНБ) становится не просто рекомендацией, а требованием со стороны Российской национальной перестраховочной компании (РНПК) для страхования крупных объектов. Это создает для компаний развилку: сделать планы «для галочки» или выстроить реально работающую систему.
Операционная эффективность: интеграция СУР, СВК и бережливого производства
Завершил сессию Игорь Анатольевич Тарасов, начальник Управления рисками АО «Уральская сталь», рассказав о синергии между системами управления рисками (СУР), внутреннего контроля (СВК) и бережливого производства (СМБП).
По его словам, попытки внедрить эти системы по отдельности часто наталкиваются на сопротивление: «Мы это уже все делали, нам это не нужно». Решением стала их глубокая интеграция. В частности, в рамках проектов бережливого производства была внедрена практика обязательного целеполагания и оценки рисков. Это позволило не только демонстрировать прямой операционный эффект (сокращение времени, издержек), но и привязывать проекты к снижению критических для компании рисков, переводя их в денежный эквивалент.
«Мы применили методику присущего и остаточного риска и привязали этот проект к снижению критического риска. У нас получился тройной эффект», — пояснил Тарасов.
Кроме того, используя простые и понятные чек-листы, компания смогла проводить риск-ориентированный аудит, который перестал быть карательной проверкой и превратился в инструмент помощи бизнесу по выявлению узких мест и повышению уровня зрелости систем менеджмента.
Операционная эффективность: интеграция СУР, СВК и бережливого производства
Завершил сессию Игорь Анатольевич Тарасов, начальник Управления рисками АО «Уральская сталь», рассказав о синергии между системами управления рисками (СУР), внутреннего контроля (СВК) и бережливого производства (СМБП).
По его словам, попытки внедрить эти системы по отдельности часто наталкиваются на сопротивление: «Мы это уже все делали, нам это не нужно». Решением стала их глубокая интеграция. В частности, в рамках проектов бережливого производства была внедрена практика обязательного целеполагания и оценки рисков. Это позволило не только демонстрировать прямой операционный эффект (сокращение времени, издержек), но и привязывать проекты к снижению критических для компании рисков, переводя их в денежный эквивалент.
«Мы применили методику присущего и остаточного риска и привязали этот проект к снижению критического риска. У нас получился тройной эффект», — пояснил Тарасов.
Кроме того, используя простые и понятные чек-листы, компания смогла проводить риск-ориентированный аудит, который перестал быть карательной проверкой и превратился в инструмент помощи бизнесу по выявлению узких мест и повышению уровня зрелости систем менеджмента.
Заключение
Представленные на конференции кейсы и дискуссии позволяют сделать несколько ключевых выводов о состоянии корпоративного управления рисками в России.
1. От формальности к интеграции. Успешные компании двигаются от изолированных функций к глубоко интегрированным системам, где риск-менеджмент, внутренний контроль, бережливое производство и аудит работают согласованно на общие бизнес-цели.
2. От отчетности к операционализации. Фокус смещается с создания отчетов для регуляторов и советов директоров на практическое применение риск-ориентированного подхода в операционной деятельности и проектах.
3. Рост значимости непрерывности бизнеса. Управление рисками непрерывности бизнеса перестает быть нишевой темой и становится стратегическим приоритетом, напрямую влияющим на финансовую устойчивость и выполнение обязательств.
4. Повышенное внимание к правовым рискам. В условиях ужесточения контроля со стороны государства, особенно в сфере госзаказа, компании вынуждены выстраивать более жесткие системы комплаенс и внутреннего контроля для минимизации уголовных рисков для руководства.
Главный вызов, который остается, — это преодоление «кризиса зрелости» внутри самой профессии. Как отметили спикеры, чтобы занять место «за взрослым столом», риск-менеджерам необходимо научиться говорить на языке бизнеса, брать на себя ответственность и демонстрировать измеримую пользу от своей работы, трансформируясь из сборщиков данных в полноценных партнеров для топ-менеджмента.
Представленные на конференции кейсы и дискуссии позволяют сделать несколько ключевых выводов о состоянии корпоративного управления рисками в России.
1. От формальности к интеграции. Успешные компании двигаются от изолированных функций к глубоко интегрированным системам, где риск-менеджмент, внутренний контроль, бережливое производство и аудит работают согласованно на общие бизнес-цели.
2. От отчетности к операционализации. Фокус смещается с создания отчетов для регуляторов и советов директоров на практическое применение риск-ориентированного подхода в операционной деятельности и проектах.
3. Рост значимости непрерывности бизнеса. Управление рисками непрерывности бизнеса перестает быть нишевой темой и становится стратегическим приоритетом, напрямую влияющим на финансовую устойчивость и выполнение обязательств.
4. Повышенное внимание к правовым рискам. В условиях ужесточения контроля со стороны государства, особенно в сфере госзаказа, компании вынуждены выстраивать более жесткие системы комплаенс и внутреннего контроля для минимизации уголовных рисков для руководства.
Главный вызов, который остается, — это преодоление «кризиса зрелости» внутри самой профессии. Как отметили спикеры, чтобы занять место «за взрослым столом», риск-менеджерам необходимо научиться говорить на языке бизнеса, брать на себя ответственность и демонстрировать измеримую пользу от своей работы, трансформируясь из сборщиков данных в полноценных партнеров для топ-менеджмента.
Подпишитесь на наши новости
Будьте в курсе всех актуальных анонсов, новостей и акций Ассоциации НОВАК
*Отправляя свои данные, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности, согласно 152-ФЗ