Анастасия Русакова для журнала Контур — о том, как превратить угрозы в инструмент достижения стратегии

Управление рисками за последние годы приобрело приоритетное значение. Существуют две крайности: либо рисками вовсе не управляют, реагируя на проблемы постфактум, либо создают сложную систему, которая существует в виде громоздких реестров, не используемых для принятия решений.

Мы выработали практические рекомендации по построению живой и работающей системы управления рисками (СУР), которая не просто идентифицирует угрозы, но и интегрируется в стратегическое планирование и операционное управление, становясь источником конкурентного преимущества. Мы опираемся на лучшие мировые практики (COSO ERM, ISO 31000), адаптированные к российскому контексту и новым национальным стандартам в области внутреннего контроля.

Определение целей и архитектура СУР

Связь со стратегией

Система без цели — это просто набор процедур. Прежде чем внедрять методики, необходимо ответить на ключевые вопросы:

• Зачем нам это нужно? Управление рисками должно начинаться со стратегии компании.
• Какие стратегические цели стоит перед организацией? Например, выход на новые экспортные рынки ЕАЭС, запуск линейки отечественного ПО, строительство критической инфраструктуры в рамках нацпроекта.

Риск — это любая неопределенность, влияющая на достижение этих целей. Таким образом, СУР — это система, обеспечивающая реализацию стратегии в условиях неопределенности.

Рекомендация

• Проведите стратегическую сессию с правлением.
• Для каждой стратегической цели определите 3-5 ключевых предположений (например, «доступность иностранных комплектующих», «стабильность регуляторной среды в регионе», «лояльность ключевых инженерных кадров»).
• Неопределенность в отношении этих предположений и есть ваши стратегические риски.

Архитектура «Трех линий защиты»

Эффективная СУР невозможна без четкого распределения ролей, что полностью созвучно новым национальным стандартам по построению СВК.

Линия защиты: Первая линия

Основные функции: Основная ответственность за управление рисками. Управление рисками в ежедневной операционной деятельности

Ответственные: Владельцы бизнес-процессов, операционные руководители

Примеры рисков, особенности: Директор по закупкам управляет рисками цепочки поставок, директор по ИТ — рисками кибербезопасности, руководитель проекта — рисками проекта

Линия защиты: Вторая линия

Основные функции: Методологический и надзорный центр. Разрабатывает единые подходы, инструменты (например, реестр рисков), проводит консолидацию информации, бросает вызов оценкам первой линии, обеспечивает отчетность перед руководством

Ответственные: Служба риск-менеджмента, подразделение внутреннего контроля

Примеры рисков, особенности: Функция должна быть строго отделена от внутреннего аудита

Линия защиты: Третья линия

Основные функции: Независимая оценка эффективности работы первых двух линий и СУР

Ответственные: Внутренний аудит

Примеры рисков, особенности: Аудит проверяет, не «проспала» ли первая линия критический риск, и насколько адекватны методики второй линии

Пример из практики

В крупной промышленной группе служба риск-менеджмента (2-я линия) сама проводила детальную оценку операционных рисков на заводах, дублируя работу местных менеджеров (1-я линия). В результате менеджеры чувствовали, что с них сняли ответственность, а аудиторы (3-я линия) не могли дать объективную оценку, так как проверяли работу, фактически выполненную коллегами из второй линии.

Решением стало перераспределение: заводские команды оценивают риски по заданной методике, центральная служба их агрегирует и анализирует, аудит проверяет процесс в целом.

Процесс управления рисками: от идентификации до мониторинга

Это ядро системы. Процесс должен быть циклическим и встроенным в бизнес-ритмы компании (ежеквартальные обзоры, годовое планирование).

Идентификация рисков

Методы:

• мозговые штурмы и интервью;
• анализ сценариев: «Что, если основной зарубежный поставщик откажется от контракта?», «Что, если ключевое ПО попадет под ограничения?»;
• анализ стейкхолдеров: какие риски несут наши отношения с регулятором, региональной властью, местным сообществом?
• анализ процессов: картируйте ключевые бизнес-процессы (как рекомендует новый национальный стандарт по СВК) и ищите точки сбоя в каждом.

Российский контекст

Обязательно включите в фокус санкционные риски (обрыв логистики, заморозка активов), репутационные риски в условиях повышенного общественного внимания к госкомпаниям, риски импортозамещения (качество отечественных аналогов, сроки выхода на рынок).

Оценка рисков

Оценка проводится по двум координатам:

• вероятность (частота);
• влияние (финансовый ущерб, срыв сроков, репутационные потери).

Цель: получить «карту тепла» и выделить приоритеты.

Практическая рекомендация

Используйте качественные и относительные шкалы. Вместо «вероятность 7,83%» лучше использовать: «низкая», «средняя», «высокая». Вместо абсолютных сумм ущерба — «влияние на выполнение KPI проекта», «влияние на квартальную выручку».

Пример

Для IT-компании, разрабатывающей госсекретное ПО, риск утечки данных будет иметь катастрофическое влияние, даже если вероятность оценивается как низкая. Это автоматически выводит его в разряд стратегических приоритетов.

Разработка и реализация ответных мер (Risk Response)

Это самый важный этап, где управление рисками переходит в действия.

Четыре основные стратегии:

1. Принятие (Accept). Риск осознанно принимается, так как стоимость его снижения превышает возможный ущерб. При этом обязательно планируются резервы (время, бюджет).
2. Снижение (Mitigate). Разработка контрольных процедур для уменьшения вероятности или влияния. Здесь происходит стыковка СУР и системы внутреннего контроля (СВК). Каждому значимому риску должна соответствовать одна или несколько контрольных процедур, владельцем которых является руководитель первой линии.
3. Передача (Transfer). Страхование, аутсорсинг, хеджирование.
4. Уклонение (Avoid). Отказ от деятельности, несущей неприемлемый риск (например, от выхода на определенный рынок).

Мониторинг, отчетность и коммуникация

Риски динамичны. Их нужно регулярно пересматривать.

Ключевые риски должны быть в повестке правления и совета директоров. Отчетность должна быть наглядной: «карта тепла», топ-10 рисков, статус реализации мер.

Культура управления рисками прививается через постоянный диалог. История успеха, когда благодаря выявленному риску удалось избежать крупных потерь, — лучшая реклама для системы.

Управление стратегическими рисками

Стратегические риски — это риски, способные кардинально изменить бизнес-модель, подорвать основу конкурентного преимущества или разрушить планы по достижению стратегических целей. Они требуют особого подхода.

Методы работы со стратегическими рисками

Метод: Сценарное планирование

Суть: Разработка нескольких детализированных картин будущего

Применение: Анализ уязвимостей стратегии, подготовка гибкости

Примеры: «Жесткая конфронтация», «Стагнация», «Новая кооперация»

Метод: Войсковые учения (War Gaming)

Суть: Командные игры моделирования действий конкурентов и внешних факторов

Применение: Проверка реакций и ответных ходов

Примеры: Моделирование действий регуляторов или хакеров

Метод: Анализ слабых сигналов

Суть: Мониторинг СМИ, соцсетей, публикаций, высказываний политиков

Применение: Выявление нарождающихся трендов и потенциальных рисков

Примеры: Обсуждения нового экологического налога, санкционные тенденции

Примеры стратегических рисков и ответов на них

• Технологическое отставание и зависимость в критических отраслях (микроэлектроника, станкостроение, софт). Ответ компаний-лидеров: создание партнерских экосистем с научными институтами, вузами, стартапами; агрессивные программы внутреннего венчурного инвестирования; выделение «скаутов», которые ищут прорывные технологии по всему миру.
• Уход с рынка иностранных игроков, обеспечивавших сервис и поддержку сложного оборудования. Ответ — ускоренная программа «обратной разработки» и создания собственных сервисных инженерных центров, массовая переподготовка кадров, заключение прямых контрактов с производителями из дружественных стран.

Интеграция с внутренним контролем и роль руководства

СУР отвечает на вопрос «Что может пойти не так?» и «Как мы на это реагируем?». СВК отвечает на вопрос «Какие конкретные процедуры мы внедрили, чтобы наши планы по реагированию на риски работали?».

Инструмент: интегрированная матрица рисков и контроля. Это развитие матрицы из национального стандарта по СВК. В одной таблице отражены: риск, его владелец (1-я линия), стратегия реагирования, конкретные контрольные процедуры (как элемент снижения риска), владелец контроля, показатель эффективности контроля (KPI). Эта матрица становится живым инструментом управления для руководителя подразделения.

Роль высшего руководства и совета директоров

Их вовлеченность — главный фактор успеха. Они должны:

1. Задавать тон. Публично говорить о важности управления рисками, поощрять за своевременное сообщение о проблемах, а не наказывать за них.
2. Участвовать в обзорах. Регулярно (хотя бы раз в квартал) уделять время на заседании обзору ключевых и возникающих рисков.
3. Принимать риск-ориентированные решения. Требовать анализ рисков при утверждении крупных инвестиций, входе на новые рынки, запуске продуктов.
4. Выделять ресурсы. Понимать, что сильная вторая линия (риск-менеджмент) и качественный внутренний аудит — это не затраты, а инвестиции в устойчивость.

СУР как культура

Выстроить управление рисками предполагает изменение культуры управления в компании: переход от реакции к предвидению, от поиска виноватых к коллективному поиску решений, от страха перед неопределенностью к умению использовать ее возможности.

Начинать нужно не с масштабных и дорогих проектов, а с фокуса на одном-двух критических стратегических инициативах. Примените к ним весь цикл: определите риски, обсудите сценарии, разработайте меры, внедрите контроль. Продемонстрируйте ценность на реальном примере. Так вы заработаете доверие и ресурсы для масштабирования системы на всю компанию.

Сегодня интегрированная в бизнес СУР система управления рисками и внутреннего контроля становится обязательным элементом корпоративного «иммунитета» и фундаментом для уверенного достижения любых корпоративных целей.