Анастасия Русакова, генеральный директор Ассоциации «Национальное объединение внутренних аудиторов и контролеров» (НОВАК), член Общественного совета Минфина
Управление рисками за последние годы приобрело приоритетное значение. Существуют две крайности: либо рисками вовсе не управляют, реагируя на проблемы постфактум, либо создают сложную систему, которая существует в виде громоздких реестров, не используемых для принятия решений.
Мы выработали практические рекомендации по построению живой и работающей системы управления рисками (СУР), которая не просто идентифицирует угрозы, но и интегрируется в стратегическое планирование и операционное управление, становясь источником конкурентного преимущества. Мы опираемся на лучшие мировые практики (COSO ERM, ISO 31000), адаптированные к российскому контексту и новым национальным стандартам в области внутреннего контроля.
Определение целей и архитектура СУР
Связь со стратегией
Система без цели — это просто набор процедур. Прежде чем внедрять методики, необходимо ответить на ключевые вопросы:
Риск — это любая неопределенность, влияющая на достижение этих целей. Таким образом, СУР — это система, обеспечивающая реализацию стратегии в условиях неопределенности.
Рекомендация
Архитектура «Трех линий защиты»
Эффективная СУР невозможна без четкого распределения ролей, что полностью созвучно новым национальным стандартам по построению СВК.
Линия защиты: Первая линия
Основные функции: Основная ответственность за управление рисками. Управление рисками в ежедневной операционной деятельности
Ответственные: Владельцы бизнес-процессов, операционные руководители
Примеры рисков, особенности: Директор по закупкам управляет рисками цепочки поставок, директор по ИТ — рисками кибербезопасности, руководитель проекта — рисками проекта
Линия защиты: Вторая линия
Основные функции: Методологический и надзорный центр. Разрабатывает единые подходы, инструменты (например, реестр рисков), проводит консолидацию информации, бросает вызов оценкам первой линии, обеспечивает отчетность перед руководством
Ответственные: Служба риск-менеджмента, подразделение внутреннего контроля
Примеры рисков, особенности: Функция должна быть строго отделена от внутреннего аудита
Линия защиты: Третья линия
Основные функции: Независимая оценка эффективности работы первых двух линий и СУР
Ответственные: Внутренний аудит
Примеры рисков, особенности: Аудит проверяет, не «проспала» ли первая линия критический риск, и насколько адекватны методики второй линии
Пример из практики
В крупной промышленной группе служба риск-менеджмента (2-я линия) сама проводила детальную оценку операционных рисков на заводах, дублируя работу местных менеджеров (1-я линия). В результате менеджеры чувствовали, что с них сняли ответственность, а аудиторы (3-я линия) не могли дать объективную оценку, так как проверяли работу, фактически выполненную коллегами из второй линии.
Решением стало перераспределение: заводские команды оценивают риски по заданной методике, центральная служба их агрегирует и анализирует, аудит проверяет процесс в целом.
Процесс управления рисками: от идентификации до мониторинга
Это ядро системы. Процесс должен быть циклическим и встроенным в бизнес-ритмы компании (ежеквартальные обзоры, годовое планирование).
Идентификация рисков
Методы:
Российский контекст
Обязательно включите в фокус санкционные риски (обрыв логистики, заморозка активов), репутационные риски в условиях повышенного общественного внимания к госкомпаниям, риски импортозамещения (качество отечественных аналогов, сроки выхода на рынок).
Оценка рисков
Оценка проводится по двум координатам:
Цель: получить «карту тепла» и выделить приоритеты.
Практическая рекомендация
Используйте качественные и относительные шкалы. Вместо «вероятность 7,83%» лучше использовать: «низкая», «средняя», «высокая». Вместо абсолютных сумм ущерба — «влияние на выполнение KPI проекта», «влияние на квартальную выручку».
Пример
Для IT-компании, разрабатывающей госсекретное ПО, риск утечки данных будет иметь катастрофическое влияние, даже если вероятность оценивается как низкая. Это автоматически выводит его в разряд стратегических приоритетов.
Разработка и реализация ответных мер (Risk Response)
Это самый важный этап, где управление рисками переходит в действия.
Четыре основные стратегии:
Мониторинг, отчетность и коммуникация
Риски динамичны. Их нужно регулярно пересматривать.
Ключевые риски должны быть в повестке правления и совета директоров. Отчетность должна быть наглядной: «карта тепла», топ-10 рисков, статус реализации мер.
Культура управления рисками прививается через постоянный диалог. История успеха, когда благодаря выявленному риску удалось избежать крупных потерь, — лучшая реклама для системы.
Управление стратегическими рисками
Стратегические риски — это риски, способные кардинально изменить бизнес-модель, подорвать основу конкурентного преимущества или разрушить планы по достижению стратегических целей. Они требуют особого подхода.
Методы работы со стратегическими рисками
Метод: Сценарное планирование
Суть: Разработка нескольких детализированных картин будущего
Применение: Анализ уязвимостей стратегии, подготовка гибкости
Примеры: «Жесткая конфронтация», «Стагнация», «Новая кооперация»
Метод: Войсковые учения (War Gaming)
Суть: Командные игры моделирования действий конкурентов и внешних факторов
Применение: Проверка реакций и ответных ходов
Примеры: Моделирование действий регуляторов или хакеров
Метод: Анализ слабых сигналов
Суть: Мониторинг СМИ, соцсетей, публикаций, высказываний политиков
Применение: Выявление нарождающихся трендов и потенциальных рисков
Примеры: Обсуждения нового экологического налога, санкционные тенденции
Примеры стратегических рисков и ответов на них
Интеграция с внутренним контролем и роль руководства
СУР отвечает на вопрос «Что может пойти не так?» и «Как мы на это реагируем?». СВК отвечает на вопрос «Какие конкретные процедуры мы внедрили, чтобы наши планы по реагированию на риски работали?».
Инструмент: интегрированная матрица рисков и контроля. Это развитие матрицы из национального стандарта по СВК. В одной таблице отражены: риск, его владелец (1-я линия), стратегия реагирования, конкретные контрольные процедуры (как элемент снижения риска), владелец контроля, показатель эффективности контроля (KPI). Эта матрица становится живым инструментом управления для руководителя подразделения.
Роль высшего руководства и совета директоров
Их вовлеченность — главный фактор успеха. Они должны:
СУР как культура
Выстроить управление рисками предполагает изменение культуры управления в компании: переход от реакции к предвидению, от поиска виноватых к коллективному поиску решений, от страха перед неопределенностью к умению использовать ее возможности.
Начинать нужно не с масштабных и дорогих проектов, а с фокуса на одном-двух критических стратегических инициативах. Примените к ним весь цикл: определите риски, обсудите сценарии, разработайте меры, внедрите контроль. Продемонстрируйте ценность на реальном примере. Так вы заработаете доверие и ресурсы для масштабирования системы на всю компанию.
Сегодня интегрированная в бизнес СУР система управления рисками и внутреннего контроля становится обязательным элементом корпоративного «иммунитета» и фундаментом для уверенного достижения любых корпоративных целей.
Мы выработали практические рекомендации по построению живой и работающей системы управления рисками (СУР), которая не просто идентифицирует угрозы, но и интегрируется в стратегическое планирование и операционное управление, становясь источником конкурентного преимущества. Мы опираемся на лучшие мировые практики (COSO ERM, ISO 31000), адаптированные к российскому контексту и новым национальным стандартам в области внутреннего контроля.
Определение целей и архитектура СУР
Связь со стратегией
Система без цели — это просто набор процедур. Прежде чем внедрять методики, необходимо ответить на ключевые вопросы:
- Зачем нам это нужно? Управление рисками должно начинаться со стратегии компании.
- Какие стратегические цели стоит перед организацией? Например, выход на новые экспортные рынки ЕАЭС, запуск линейки отечественного ПО, строительство критической инфраструктуры в рамках нацпроекта.
Риск — это любая неопределенность, влияющая на достижение этих целей. Таким образом, СУР — это система, обеспечивающая реализацию стратегии в условиях неопределенности.
Рекомендация
- Проведите стратегическую сессию с правлением.
- Для каждой стратегической цели определите 3-5 ключевых предположений (например, «доступность иностранных комплектующих», «стабильность регуляторной среды в регионе», «лояльность ключевых инженерных кадров»).
- Неопределенность в отношении этих предположений и есть ваши стратегические риски.
Архитектура «Трех линий защиты»
Эффективная СУР невозможна без четкого распределения ролей, что полностью созвучно новым национальным стандартам по построению СВК.
Линия защиты: Первая линия
Основные функции: Основная ответственность за управление рисками. Управление рисками в ежедневной операционной деятельности
Ответственные: Владельцы бизнес-процессов, операционные руководители
Примеры рисков, особенности: Директор по закупкам управляет рисками цепочки поставок, директор по ИТ — рисками кибербезопасности, руководитель проекта — рисками проекта
Линия защиты: Вторая линия
Основные функции: Методологический и надзорный центр. Разрабатывает единые подходы, инструменты (например, реестр рисков), проводит консолидацию информации, бросает вызов оценкам первой линии, обеспечивает отчетность перед руководством
Ответственные: Служба риск-менеджмента, подразделение внутреннего контроля
Примеры рисков, особенности: Функция должна быть строго отделена от внутреннего аудита
Линия защиты: Третья линия
Основные функции: Независимая оценка эффективности работы первых двух линий и СУР
Ответственные: Внутренний аудит
Примеры рисков, особенности: Аудит проверяет, не «проспала» ли первая линия критический риск, и насколько адекватны методики второй линии
Пример из практики
В крупной промышленной группе служба риск-менеджмента (2-я линия) сама проводила детальную оценку операционных рисков на заводах, дублируя работу местных менеджеров (1-я линия). В результате менеджеры чувствовали, что с них сняли ответственность, а аудиторы (3-я линия) не могли дать объективную оценку, так как проверяли работу, фактически выполненную коллегами из второй линии.
Решением стало перераспределение: заводские команды оценивают риски по заданной методике, центральная служба их агрегирует и анализирует, аудит проверяет процесс в целом.
Процесс управления рисками: от идентификации до мониторинга
Это ядро системы. Процесс должен быть циклическим и встроенным в бизнес-ритмы компании (ежеквартальные обзоры, годовое планирование).
Идентификация рисков
Методы:
- мозговые штурмы и интервью;
- анализ сценариев: «Что, если основной зарубежный поставщик откажется от контракта?», «Что, если ключевое ПО попадет под ограничения?»;
- анализ стейкхолдеров: какие риски несут наши отношения с регулятором, региональной властью, местным сообществом?
- анализ процессов: картируйте ключевые бизнес-процессы (как рекомендует новый национальный стандарт по СВК) и ищите точки сбоя в каждом.
Российский контекст
Обязательно включите в фокус санкционные риски (обрыв логистики, заморозка активов), репутационные риски в условиях повышенного общественного внимания к госкомпаниям, риски импортозамещения (качество отечественных аналогов, сроки выхода на рынок).
Оценка рисков
Оценка проводится по двум координатам:
- вероятность (частота);
- влияние (финансовый ущерб, срыв сроков, репутационные потери).
Цель: получить «карту тепла» и выделить приоритеты.
Практическая рекомендация
Используйте качественные и относительные шкалы. Вместо «вероятность 7,83%» лучше использовать: «низкая», «средняя», «высокая». Вместо абсолютных сумм ущерба — «влияние на выполнение KPI проекта», «влияние на квартальную выручку».
Пример
Для IT-компании, разрабатывающей госсекретное ПО, риск утечки данных будет иметь катастрофическое влияние, даже если вероятность оценивается как низкая. Это автоматически выводит его в разряд стратегических приоритетов.
Разработка и реализация ответных мер (Risk Response)
Это самый важный этап, где управление рисками переходит в действия.
Четыре основные стратегии:
- Принятие (Accept). Риск осознанно принимается, так как стоимость его снижения превышает возможный ущерб. При этом обязательно планируются резервы (время, бюджет).
- Снижение (Mitigate). Разработка контрольных процедур для уменьшения вероятности или влияния. Здесь происходит стыковка СУР и системы внутреннего контроля (СВК). Каждому значимому риску должна соответствовать одна или несколько контрольных процедур, владельцем которых является руководитель первой линии.
- Передача (Transfer). Страхование, аутсорсинг, хеджирование.
- Уклонение (Avoid). Отказ от деятельности, несущей неприемлемый риск (например, от выхода на определенный рынок).
Мониторинг, отчетность и коммуникация
Риски динамичны. Их нужно регулярно пересматривать.
Ключевые риски должны быть в повестке правления и совета директоров. Отчетность должна быть наглядной: «карта тепла», топ-10 рисков, статус реализации мер.
Культура управления рисками прививается через постоянный диалог. История успеха, когда благодаря выявленному риску удалось избежать крупных потерь, — лучшая реклама для системы.
Управление стратегическими рисками
Стратегические риски — это риски, способные кардинально изменить бизнес-модель, подорвать основу конкурентного преимущества или разрушить планы по достижению стратегических целей. Они требуют особого подхода.
Методы работы со стратегическими рисками
Метод: Сценарное планирование
Суть: Разработка нескольких детализированных картин будущего
Применение: Анализ уязвимостей стратегии, подготовка гибкости
Примеры: «Жесткая конфронтация», «Стагнация», «Новая кооперация»
Метод: Войсковые учения (War Gaming)
Суть: Командные игры моделирования действий конкурентов и внешних факторов
Применение: Проверка реакций и ответных ходов
Примеры: Моделирование действий регуляторов или хакеров
Метод: Анализ слабых сигналов
Суть: Мониторинг СМИ, соцсетей, публикаций, высказываний политиков
Применение: Выявление нарождающихся трендов и потенциальных рисков
Примеры: Обсуждения нового экологического налога, санкционные тенденции
Примеры стратегических рисков и ответов на них
- Технологическое отставание и зависимость в критических отраслях (микроэлектроника, станкостроение, софт). Ответ компаний-лидеров: создание партнерских экосистем с научными институтами, вузами, стартапами; агрессивные программы внутреннего венчурного инвестирования; выделение «скаутов», которые ищут прорывные технологии по всему миру.
- Уход с рынка иностранных игроков, обеспечивавших сервис и поддержку сложного оборудования. Ответ — ускоренная программа «обратной разработки» и создания собственных сервисных инженерных центров, массовая переподготовка кадров, заключение прямых контрактов с производителями из дружественных стран.
Интеграция с внутренним контролем и роль руководства
СУР отвечает на вопрос «Что может пойти не так?» и «Как мы на это реагируем?». СВК отвечает на вопрос «Какие конкретные процедуры мы внедрили, чтобы наши планы по реагированию на риски работали?».
Инструмент: интегрированная матрица рисков и контроля. Это развитие матрицы из национального стандарта по СВК. В одной таблице отражены: риск, его владелец (1-я линия), стратегия реагирования, конкретные контрольные процедуры (как элемент снижения риска), владелец контроля, показатель эффективности контроля (KPI). Эта матрица становится живым инструментом управления для руководителя подразделения.
Роль высшего руководства и совета директоров
Их вовлеченность — главный фактор успеха. Они должны:
- Задавать тон. Публично говорить о важности управления рисками, поощрять за своевременное сообщение о проблемах, а не наказывать за них.
- Участвовать в обзорах. Регулярно (хотя бы раз в квартал) уделять время на заседании обзору ключевых и возникающих рисков.
- Принимать риск-ориентированные решения. Требовать анализ рисков при утверждении крупных инвестиций, входе на новые рынки, запуске продуктов.
- Выделять ресурсы. Понимать, что сильная вторая линия (риск-менеджмент) и качественный внутренний аудит — это не затраты, а инвестиции в устойчивость.
СУР как культура
Выстроить управление рисками предполагает изменение культуры управления в компании: переход от реакции к предвидению, от поиска виноватых к коллективному поиску решений, от страха перед неопределенностью к умению использовать ее возможности.
Начинать нужно не с масштабных и дорогих проектов, а с фокуса на одном-двух критических стратегических инициативах. Примените к ним весь цикл: определите риски, обсудите сценарии, разработайте меры, внедрите контроль. Продемонстрируйте ценность на реальном примере. Так вы заработаете доверие и ресурсы для масштабирования системы на всю компанию.
Сегодня интегрированная в бизнес СУР система управления рисками и внутреннего контроля становится обязательным элементом корпоративного «иммунитета» и фундаментом для уверенного достижения любых корпоративных целей.