Три уровня управления рисками и роль СД в каждом
Управление рисками — это не один документ и не одна функция. Это система, работающая на трёх уровнях. Понимание каждого уровня и роли совета директоров в нём — ключ к реальному, а не декоративному управлению рисками.
Уровень 1: Операционные риски. Ежедневные риски в операционной деятельности — производственные, IT, кадровые, безопасность. Ими управляют линейные менеджеры и функциональные подразделения. Роль СД: установить стандарты (какой уровень риска допустим?) и убедиться, что системы работают через аудиторский комитет.
Уровень 2: Стратегические риски. Риски, угрожающие стратегическим целям компании: изменение регулирования, технологическая дезинтермедиация, потеря ключевых клиентов. Ими управляет топ-менеджмент. Роль СД: оценить, адекватно ли менеджмент идентифицирует и управляет стратегическими рисками; убедиться, что стратегия учитывает ключевые риски.
Уровень 3: Системные и ESG риски. Макроэкономические, геополитические, климатические риски. Ими невозможно управлять, но к ним нужно готовиться. Роль СД: убедиться, что компания понимает свою уязвимость к таким рискам и имеет планы адаптации.
Аппетит к риску: как СД устанавливает границы
Risk appetite — аппетит к риску — это ключевое понятие, которое определяет, насколько агрессивно или консервативно компания принимает риски для достижения своих целей. Это не абстрактная концепция — это операционный инструмент управления.
Зачем это нужно.. Без явного риск-аппетита менеджмент принимает риски исходя из собственных предпочтений и стимулов. CEO с агрессивными KPI будет принимать больше рисков, чем считали бы правильным акционеры. CFO с консервативным характером — меньше. Явный риск-аппетит выравнивает ожидания.
Как формулировать риск-аппетит.. Количественно: «Максимальный приемлемый убыток от отдельного события — X млн рублей». «Максимальный приемлемый debt/EBITDA — 2.5x». Качественно: «Мы не принимаем репутационные риски, связанные с нарушением экологического законодательства, даже при значительных финансовых выгодах».
Утверждение и пересмотр.. Риск-аппетит утверждается советом директоров — это его прямая функция. Пересматривается ежегодно или при значимых изменениях стратегии или внешней среды. CEO и менеджмент принимают решения в рамках установленного риск-аппетита.
Бесплатная диагностика — результат за 5 минут
Корпоративная карта рисков: что СД должен требовать
Корпоративная карта рисков — базовый инструмент управления рисками. Но её качество в российских компаниях варьируется от «действительно полезный документ» до «декоративный отчёт для галочки». Совет директоров должен уметь отличить одно от другого.
Признаки хорошей карты рисков. Риски сформулированы конкретно: не «регуляторный риск», а «риск изменения порядка лицензирования до конца 2026 года, что потребует X млн дополнительных инвестиций». Вероятность и воздействие обоснованы данными, а не оценками «на глаз». Для каждого ключевого риска — владелец, меры снижения, индикаторы раннего предупреждения. Карта обновляется не реже раза в квартал — менеджмент докладывает об изменениях.
Признаки декоративной карты. Риски — стандартные категории без специфики компании. Вся карта закрашена в «жёлтый» — нет ни зелёного (низкий риск), ни красного (высокий). Одни и те же риски из года в год с одинаковыми оценками. Меры снижения — общие слова без конкретики.
Вопросы СД для оценки качества системы управления рисками
- Утверждён ли риск-аппетит, и понимает ли его менеджмент?
- Кто является «владельцем» каждого ключевого риска?
- Когда последний раз карта рисков обновлялась?
- Есть ли в карте риски, которые реализовались в прошлом году?
- Какие новые риски появились за последние 12 месяцев?
- Есть ли у нас emerging risks, которых нет в текущей карте?
- Проводился ли независимый аудит системы управления рисками?
Оцените систему управления рисками вашей компании
Методология GAF включает блок аудита системы управления рисками — выявите пробелы до того, как риски материализовались.
Начать аудит