Даем 4 совета, как наладить централизованное управление рисками в компании
Определиться с целями, организовать три линии защиты и единую среду работы, снять барьеры открытости: рассказываем, как запустить системное управление рисками.
Совет 1. Начните с цели и привяжите риски к стратегии
Централизованное управление рисками «для галочки» не работает: топ-менеджмент и бизнес-подразделения должны понимать, зачем им это нужно, то есть сначала следует четко сформулировать ожидамый результат создания и поддержания актуальности такой системы. На практике обычно фиксируют две цели:
Повысить прозрачность и зрелось процессов управления рисками, чтобы оценки рисков и мероприятия по их управлению были понятны и адекватны стоимости и ожидаемой пользе. Работает как страховка: мы превентивно выделяем относительно небольшие ресурсы, чтобы купировать гораздо более серьёзные последствия в будущем.
Поддержка стратегических KPI, например, увеличение доли рынка, достижение финансовых целей или реализация больших проектов. Фокус на управлении именно теми рисков, которые препятствуют достижению целей.
Есть и третья типичная ситуация: руководству непонятно, как реально работают процессы и где есть потенциальные оптимизации, где компания несет убытки и репутационные риски. Тогда выстраивание процессов риск-менеджмета «снизу»: с описания и инвентаризации процессов и закрепления ответственности.
После того как становится ясно, зачем компании риск-менеджмент, следует зафиксировать определение риска и периметр, чем готовы централизованно управлять. Риски бывают разные: стратегические, операционные, устойчивого развития (ESG), репутационные и др. От выбранного класса зависят источники данных и методы управления.
Важно отметить, что «универсального списка рисков» не существует. Верхнеуровнево направления совпадают — все следят за бесперебойной работой ИТ-систем и информационной безопасностью, — но рабочие приоритеты и решения различаются. Одна ИТ-компания в районе ЦОДов разместит дизельные генераторы, другая — подключит альтернативное облако, а третья сочтёт риск приемлемым и оставит текущую конфигурацию без изменений.
Руководство к действию:
- Декомпозируйте стратегические цели до процессов и сформулируйте, что может помешать каждому звену — это и будет фокусный перечень рисков.
- Решите, какие виды и группы рисков берёте в периметр на ближайший цикл (необязательно всё сразу), как будете их оценивать.
- Зафиксируйте ожидаемый эффект от централизации (прозрачность, экономия, поддержка KPI), чтобы дальше измерять успех по пути от начального состояния к цели.
Совет 2. Проверьте, насколько процессы живые, и зафиксируйте структуру
Во многих организациях регламент по управлению рисками формально существует годами, но остаётся на бумаге: его видят риск-менеджеры и авторы годового отчёта, а в повседневной работе процессы не используются. Важно проверить, насколько регламенты действительно применяются на практике, какие источники данных задействованы (информационные системы, документы, люди), чтобы понять точку отсчёта: стартуем ли мы с нуля, либо уже есть база.
Дальше закрепляем единые правила игры и распределяем роли, наделяя каждую полномочиями и закрепляемграницами ответственности. Обычно принято организовывать три линии защиты:
- 1 линия — владельцы бизнес-процессов. Линейные сотрудники и отделы. Они идентифицируют риски в своих процессах, оценивают их, следят за актуальности перечня рисков, выполняют контрольные процедуры и фиксируют факты реализации рисков.
- 2 линия — риск-менеджмент и функциональные эксперты (например, по информационной безопасности), для которых работа с рисками является прямой профессиональной деятельностью. Они поддерживают методологию, калибруют оценки 1 линии, задают приоритеты и подсказывают, где нужны меры снижения уровня рисков, контрольные процедуры и изменения процессов.
- 3 линия — внутренний аудит. Обеспечивает независимую проверку корректности и эффективности системы внутреннего контроля, оценки рисков, использования инструментов управления рисками 1 и 2 линиями. Кроме того, может подсвечивать руководству, как и с чем не справляются другие линии и давать рекомендации по улучшению
Также в 1 линии иногда выделяют специализированного сотрудника, который ответственен за сбор информации о рисках и их оценку, взаимодействие со 2 и 3 линиями защиты. Этих людей называют риск-координаторами — они всё ещё часть бизнес-процессов, но больше погружены в «кухню» экспертов по рискам из 2 и 3 линий.
Отдельно следует предусмотреть ситуации, когда риск распределяется между двумя и более владельцами бизнес-процесса. Для этого необходимо прописать, в каком виде команда принимает и отдаёт обратно процесс, а также иметь единую систему риск-менеджмента (подробнее — в Совете 3). В итоге появляется порядок в распределении ролей: каждый понимает, за что отвечает, где заканчивается его зона и начинается зона коллег, куда эскалировать спорные случаи и на каком уровне принимать решения.
Руководство к действию:
- Оцените, насколько процессы живые, а также текущий статус по сбору данных.
- Утвердите модель трёх линий и границы ответственности: назначьте владельцев процессов и риск-координаторов в 1 линии.
- Зафиксируйте правила взаимодействия и эскалации при рисках на стыке подразделений: что, кому и в каком виде передаётся.
Совет 3. Централизуйте учёт рисков в единой системе со «сквозной» логикой и интеграциями
Цель этого шага — уйти от разрозненного сбора и ведения данных и получить единую «точку правды». Для этого лучше опираться на специализированное ПО: в нём уже есть инструменты для ведения реестра рисков, контрольных процедур, оценки и самооценки, классификации, сбора дашбордов, KRI (ключевых индикаторов риска), а также отдельные механизмы для фиксации инцидентов с разбором, что случилось, когда и почему.
Единая система делает процесс работы с рисками сквозным: идентификация → оценка → план контроля и мер → мониторинг через KRI-переоценка Плюс фиксация реализаций (инцидентов) → расследование и переоценка рисков.
Чтобы разные подразделения работали по единым стандартам, следует унифицировать формы и шкалы, определить, что необходимо обязательно заполнять в карточке риска и инцидента, какие атрибуты и классификаторы используются, где шкалы различаются для разных типов рисков. Это снимает проблему, когда каждый отдел заполняет данные по-своему.
Там, где это возможно, лучше автоматизировать получение информации. Например, для отслеживания состояния риска потери ключевых сотрудников можно интегрировать продукт с ИС HR-функции. Система управления рисками раз в месяц будет запрашивать информацию по текучести в определённых ролях и грейдах. Как только KRI выходит за порог, ответственным отправляются уведомления с просьбой принять меры. Таких индикаторов может быть много: чем шире набор интеграций (HR, ИБ, бухгалтерия), тем меньше ручного труда и быстрее реакция.
Когда всё живёт в одной системе и описано единообразно, инциденты разбираются быстрее, потому что данные и связи уже собраны, а актуальный уровень риска обновляется оперативнее, так как триггеры ведут к переоценке автоматически.
Руководство к действию:
- Введите стандарт регистрации инцидентов: что случилось, когда, почему, на что повлияло.
- Настройте интеграции (HR/ИБ/бухгалтерия) и пороги KRI с автоуведомлениями.
- Утвердите единые формы и классификаторы как «точку правды» для всех подразделений.
Совет 4. Развивайте риск-культуру: сильная 1 линия, общие правила и «кнут с пряником»
В развитии риск-культуры стоит фокусироваться на 1 линии. Именно владельцы бизнес-процессов первыми видят отклонения и способны предложить конкретные действия для купирования проблемы. Без их участия любая централизация остаётся декорацией.
Главные препятствия здесь: страх приносить руководству плохие новости, ощущение, что отчёты ничего не меняют, а заполнение форм — очередное бессмысленное желание руководства, перегрузка операционкой. Сняв эти барьеры, можно получить источник честных данных — основу всей системы.
Чтобы развивать риск-культуру, можно руководствоваться разными методами:
«Пряник». Сделать правильное поведение выгодным. Для этого стоит публиковать и разбирать кейсы о том, как своевременное заявление риска и его оценка позволили принять меры, предотвратить простои и штрафы, а после больше заработать. Прямая связь: отдел выполнил KPI — сотрудники получили большую премию.
Также нужны удобные формы, шаблоны и другие инструменты, чтобы риск-координаторы могли проводить разбор инцидентов, фокусируясь на причинах и улучшениях, а не на поиске виноватых.
«Кнут»: справедливо проверять и держать дисциплину. 2 линия калибрует оценки и помогает их описывать, 3 — выборочно верифицирует факты и процедуры. Если нарушаются обязательные сроки регистрации инцидентов или реализации рекомендаций, нет реакции на триггеры, происходит умышленное искажение данных с потенциальными последствиями, это должно влиять на оценку сотрудников и эффективность отделов.
Как правило методы «кнута» и «пряника» используются совместно, такая связка повышает доверие к системе и удерживает её в рабочем состоянии.
Руководство к действию:
- Зафиксируйте для 1 линии простые правила: что и в какие сроки фиксировать, какие формы использовать, куда эскалировать.
- Запустите связку «кнута и пряника»: быстрые решения по заявленным рискам и публичные кейсы пользы плюс выборочная верификация 2 и 3 линиями с последствиями за сокрытие и искажение фактов.
- Введите постоянные ритуалы: ежемесячные краткие обзоры KRI и инцидентов с пересмотром оценок по триггерам — без поиска виновных, но с понятными выводами и действиями.
Централизованное управление рисками опирается на четыре элемента: связь со стратегическими целями, работающую структуру из трёх линий, единую систему с унифицированными формами и интеграциями, устойчивую культуру открытости и проверки. Такая конфигурация даёт сопоставимые данные, предсказуемые решения по инцидентам и сокращает время реакции. В результате руководители получают целостную картину рисков, а команды — понятные правила и инструменты.
Эффект отражается в метриках и виден на длинной дистанции: больше рисков приобретают приемлемый уровень, скорость расследований повышается, как и уровень актуальности данных, что для принятия качественных решений является ключевым. В результате выстраивания эффективной системы управления рисками снижаются потери, которые заметно перекрывают затраты на внедрение и поддержание процессов.