В предыдущей статье мы рассмотрели основные причины создания систем риск-менеджмента. Давайте разберемся, как же организовать такую систему в своей компании.


Для идентификации рисков и управления ими собственники бизнеса и высшие руководители могут создавать в организациях соответствующие бизнес-процессы и структурные подразделения, однако в последнее время все чаще прибегают к услугам сторонних организаций и специалистов, предоставляющих также сервис по построению и/или оценке этих систем на профессиональной основе.

Управление рисками — признак высокой корпоративной зрелости компании

Согласно общепринятым концепциям, существуют 5 уровней корпоративной зрелости. Также иногда отдельно выделяют 0-й уровень, когда нет никаких признаков организации.

Переход компании на более высокий уровень зрелости является необходимым условием для роста бизнеса и сопровождается появлением ряда факторов, которые позволяют владельцам и руководителям получить более высокий уровень доходов, — например, удешевление себестоимости типового производства, оптимизация использования рабочей силы, внедрение механизмов самооптимизации и пр.

На 3-м уровне корпоративной зрелости (“Регламентируемость”) в компании появляются базовые механизмы обратной связи, которые достигают своей полноты в 4-й стадии (“Управляемость”). К этим же механизмам относятся и инструменты управления рисками.

Регламентируемость позволяет организации выйти на принципиально новый уровень развития и начать использовать обратную связь, которая при последовательном развитии компании формируется в механизм самоадаптации и самооптимизации системы.

Благодаря формированию механизма обратной связи у собственников и высшего руководства компании появляется возможность составить “карту рисков”: диаграмму оценки каждого отдельно взятого риска по критериям размера связанного ущерба и вероятности его возникновения.

Как устроена система реагирования на воздействие негативных факторов?

Применительно к управлению рисками обратная связь заключается в формировании многолинейной системы реагирования на воздействие негативных факторов. В настоящее время в качестве базовой модели рассматривается система “трех линий обороны”.

Первая линия обороны — самооборона

Как видно из схемы, первая линия обороны принадлежит владельцам бизнес-процессов — линейному менеджменту (линейному руководству), который сталкивается с факторами риска ежедневно и должен всячески предупреждать текущие инциденты, а в случае необходимости информировать о возникновении угроз или выявлении инцидента высшее руководство и собственников. Для компаний с ранними формами организационной зрелости эта линия обороны, как правило, является единственной.

Вторая линия обороны — участковые

Вторая линия обороны на схеме представлена подразделениями внутреннего линейного контроля в их различных вариантах и формах. Сюда относятся все подразделения, основной сферой деятельности которых являются процедуры внутреннего контроля. И которые совместно с линейным менеджментом участвуют в разработке и последующем внедрении в практику схем бизнес-процессов, регламентов и внутренних нормативов как исключительно организационно-распорядительного, так и операционно-технического характера.

Стоит отметить, что эта линия начинает формироваться при переходе от стадии повторяемости к стадии регламентируемости и формирует цепь обратной связи, из которой собственники и высшее руководство начинают получать первые сведения о неочевидных для них рисках, а также инцидентах в деятельности компании. На таком этапе высшему руководству и собственникам наиболее важно осознавать две базовые истины:

  • каждый внедряемый регламент не является окончательным, его стоит периодически пересматривать на предмет соответствия реальной жизни;
  • надлежащей реакцией на каждый новый обнаруженный риск является оценка его возможных последствий. И только после этого (при необходимости) — разработка мер по его предотвращению и минимизации.

Когда в компании, по мнению высшего руководства и собственников, сформирована полноценная вторая линия из служб и отдельных специалистов, формирующих систему внутреннего контроля, стоит задуматься о внедрении службы внешнего надзора за ними, то есть третью линию обороны.

Третья линия обороны — патрульные

К третьей линии обороны, которая формируется на четвертой стадии организационной зрелости (“Управляемости”) и приносит максимальную пользу при достижении компанией пятой стадии (“Самооптимизации”), относятся службы внутреннего аудита (СВА), которые могут состоять из собственных постоянных сотрудников или привлеченных извне специалистов, ключевой характеристикой которых является независимость в оценке процессов и систем компании, а основным заданием — оценка адекватности и эффективности системы внутреннего контроля и управления рисками.

Основы профессиональной деятельности внутреннего аудитора определяются Международным институтом внутренних аудиторов (The Institute of Internal Auditors, The IIA) и сформулированы следующим образом.

Внутренний аудит — это независимая деятельность в организации (на предприятии) по проверке и оценке ее работы в ее же интересах. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

В деятельность СВА, которая, как правило, осуществляется на плановой основе, входит оценка состояния внутренней среды компании, ее отдельных бизнес-процессов, внедренных в них средств внутреннего контроля, отдельных фактов и аспектов хозяйственной деятельности, систем управления рисками.

Одним из ключевых заданий СВА является оценка рисков мошенничества, поскольку в этой стадии организационной зрелости в компании вполне может образоваться и достаточно зрелая схема вывода активов, в которой в равной степени могут быть задействованы и сотрудники производственных подразделений, и сотрудники служб второй линии (внутреннего линейного контроля), особенно при совмещении этих полномочий одним лицом (пример — крах Barings Bank). Ущерб от функционирования такой схемы сопоставим с последствиями реализации критического риска и способен значительно пошатнуть финансовое здоровье организации или прекратить ее существование.

Сообщение об инцидентах от сотрудников — осведомители (Whistleblowers)

Помимо перечисленных на схеме во многих компаниях также внедряется механизм Whistleblowing, который заключается в возможности каждого сотрудника подать уведомление о выявленном инциденте недобросовестного поведения или мошенничества на горячую линию. Как правило, для того чтобы стимулировать поступление такой информации, в компаниях учреждается некоторый премиальный фонд, а для защиты в дальнейшем осведомителей от преследования со стороны сотрудников, совершивших инцидент, внедряются политики защиты осведомителей.

Для компаний, участвующих в торгах на фондовых рынках США, защита осведомителей, подающих информацию в Комиссию по ценным бумагам (SEC), и их премирование закреплены на уровне законодательства.

Стоит также отметить разницу в культуре восприятия осведомителей в отечественном бизнесе и за рубежом. Термин Whistleblower означает не доносчика, а человека, который для осведомления окружающих дует в свисток, чем привлекает внимание к опасности.

Детективы: расследование инцидентов штатными или сторонними специалистами

Как мы отмечали выше, любой реализовавшийся факт риска необходимо расследовать, в том числе и для того, чтобы не дать реализоваться подобным рискам и предотвратить такие инциденты в будущем.

Для проведения расследований компании высокого организационного уровня зрелости, которые уже неоднократно сталкивались с критическими инцидентами, обычно имеют в своем штате группу специально подготовленных экспертов, работа которых отличается межрегиональным, а иногда и международным характером.

Компании, для которых выявленный инцидент является неординарным или имеет критическое значение, могут реагировать собственными силами либо привлечь сторонние силы — прибегнуть к услугам компаний и специалистов, проводящих расследования. В последнем случае заказчик таких услуг получает целый комплекс преимуществ:

  • обеспечивается независимость при формировании материалов расследования, что исключит влияние возможных заинтересованных лиц в высшем руководстве;
  • услуги предоставляются опытными специалистами, которые могут предупредить заказчика обо всех нюансах расследования заблаговременно, дать действенные рекомендации по минимизации возможных последствий и компенсации ущерба;
  • сторонние компании, как правило, имеют ряд независимых высококвалифицированных технических экспертов по вопросам, которые необходимо осветить в ходе расследования;
  • затраты на услуги высокого качества будут меньшими, чем при существовании собственной службы расследований, которая может со временем утратить независимость ввиду внутрикорпоративных отношений;
  • исключается личный конфликт заказчика с сотрудниками, которые находятся с ним в доверительных отношениях и которые злоупотребили таким доверием.

Результатом работы квалифицированного специалиста по расследованиям будет отчет, содержащий:

  • объективную оценку ситуации и факторов, которые к ней привели;
  • ссылки на важные документы и обстоятельства, оценку доказательной базы;
  • список лиц с определением возможных ролей в реализации инцидента;
  • выявленные признаки противоправных действий;
  • оценку перспективы компенсации ущерба, медиации и судебного преследования потенциально виновных лиц;
  • рекомендации по предотвращению подобных инцидентов.

Заранее обращаем внимание, что ущерб, причиненный противоправными действиями, возможно компенсировать через суд лишь в том случае, когда в отношении подозреваемого лица ведется уголовное производство, при этом для компенсации убытков в рамках заранее определенной материальной ответственности работника возможно применение судебного механизма без привлечения правоохранительных органов.

Система управления рисками должна быть в каждой компании, которая хочет минимизировать возникновение инцидентов и иметь возможность расследовать каждый такой случай, предотвращать инциденты, находить виновных и компенсировать свой ущерб. Когда система работает адекватно, компании не приходится иметь дело с инцидентами — они изучены и проработаны еще на стадии потенциального риска.

Материал подготовлено ведущим экспертом Baker Tilly, Романом Гриневским, CFE