Найти и минимизировать

Эксперты поделились полезным опытом в области управления рисками

Лучшие практические кейсы по управлению рисками специалисты ведущих компаний представили на Двенадцатой конференции «Корпоративные системы риск-менеджмента», которая прошла в Москве 22–23 марта. Мероприятие организовали группа Просперити

Медиа и портал CFO-Russia.

Опытом одного из крупнейших независимых производителей углеводородного сырья в нашей стране поделился начальник отдела управления рисками ООО «Иркутская нефтяная компания» Денис Скороходов. В числе основных элементов сильной риск-культуры он выделил: лидерство руководства (вовлечение топ-менеджмента в управление рисками – ключевой фактор развития риск-культуры), вовлеченность в процесс всего персонала (каждый сотрудник – «риск-менеджер» в своей области), развитие компетенций (тренинги по рискам должны быть специализированными, а не одноразовыми) и эффективные коммуникации (позволяют правильно позиционировать управление рисками и открыто обсуждать информацию по ним).

Спикер рассказал, что для выявления ожиданий и ключевых направлений развития риск-ориентированного подхода к управлению был проведен опрос топ-менеджеров Иркутской нефтяной компании. На основании его результатов сформулированы политика по рискам, целевая модель и детальный план развития риск-ориентированного подхода. Также для развития риск-культуры и повышения компетенций сотрудников компании был проведен Байкальский риск-форум, где достигнуты договоренности о сотрудничестве в области управления рисками с крупными промышленными предприятиями.

Директор департамента риск-менеджмента Национального расчетного депозитария Анна Володина поделилась своим видением практики применения ERM (Enterprise risk management – управление рисками предприятия), отметив: независимо от того, какой процесс или инициатива разрабатывается или выполняется, риск-менеджмент должен быть ее неотъемлемой частью. При этом главная цель риск-менеджмента заключается в понимании и должном управлении неопределенностями, способными повлиять на стратегические и операционные цели компании и, следовательно, обеспечить ее стабильную работу и рост.

Полезные рекомендации для эффективной интеграции риск-менеджмента в общую систему управления компанией дал начальник отдела управления рисками ПАО «МТС», к.э.н., доцент Александр Красильников. В частности, он посоветовал коллегам избегать создания многостраничных регламентов по риск-менеджменту, а также определить, каким образом риски учитываются при принятии основных решений (по сути, а не по форме). В случае, если риски уже учитываются в рамках процесса, подменять текущую методологию нецелесообразно. При этом владелец процесса должен понять преимущества, которые появляются для него при учете рисков.

Эксперт подробно прокомментировал особенности интеграции ERM в основные процессы: стратегическое, инвестиционное и бизнес-планирование, закупочные процедуры, процессы слияния и поглощения.

Заинтересовал аудиторию опыт ОАО «РЖД» по формированию и развитию системы управления рисками в компаниях с государственным участием. Дело в том, что начальник Центра развития управления рисками и аутсорсингом ОАО «РЖД» Глеб Зазнов не только рассказал об этапах внедрения системы управления рисками в компании, но и остановился на основных направлениях Программы развития управления рисками в холдинге «РЖД» на 2017–2020 годы. В числе приоритетных оказались такие направления, как: развитие нормативной базы СУР, обучение персонала управлению рисками, организация процессов управления рисками в ОАО «РЖД» и его дочерних организациях, подготовка отчетности руководству и совету директоров об эффективности СУР, а также автоматизация процессов управления рисками и сертификация.

Говоря об управлении рисками, Глеб Зазнов отметил, что к мероприятиям по управлению рисками нередко относят контрольные процедуры, но, как правило, внутренний контроль не включает в себя обеспечение выбора оптимальных способов реагирования на риск, об этом не стоит забывать.

Руководитель службы внутреннего аудита ПАО «ТрансФин-М» Наталья Цангль рассказала о том, как эффективно организовать внутренний контроль в группе компаний. Она подчеркнула, что на уровне холдинга или группы внутренний контроль призван обеспечивать три уровня защиты. На первом он выполняет фронт-функции, контроль производится благодаря коллегиальности принятия решений и наличию «кураторов» со стороны группы в отношении каждой дочерней компании. На втором уровне акцент должен делаться на контрольные функции, и контроль производится в разрезе двух основных направлений – риск-менеджмента и безопасности. На третьем же уровне защиты в приоритете внутренний аудит группы – работа по обеспечению единого, унифицированного подхода к осуществлению внутреннего контроля, внутреннего аудита в дочерних компаниях, с учетом существующего в них дизайна контрольной среды.

Заместитель начальника управления риск-менеджмента АО «Объединенная зерновая компания» Наталья Квитко говорила о прогнозировании рисков в краткосрочном периоде. Она акцентировала внимание на том, что сегодня совет директоров хочет видеть не только то, как менеджмент предупреждал риски в отчетном периоде; какие риски реализовались за период; как в данной ситуации повел себя менеджмент; какой стоимостный ущерб был нанесен от реализации указанных рисков, а также хотел бы понимать, какие из рисков в ближайшее время могут реализоваться и что делает менеджмент для их предотвращения. Кстати, в АО «ОЗК» для прогнозирования используются ключевые индикаторы рисков, которые присваиваются каждому риску и формируются на основании имеющейся количественной и качественной информации.

Одним из ключевых пунктов программы конференции стал специальный доклад директора по безопасности «М. Видео» Юлии Бронских, которая рассказала про эффективную работу с персоналом по минимизации рисков утечки информации. Докладчиком было отмечено, что основным источником утечки информации из организации является ее персонал. Человеческий фактор способен свести на нет любые, самые изощренные механизмы безопасности, это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации.

По словам спикера, особую группу риска составляют увольняющиеся сотрудники. Так, работница одного из автоцентров отправила конфиденциальные данные с корпоративной почты на личную: персональные данные коллег, клиентов и различную переписку, но IT-система зафиксировала этот факт. В объяснительной записке нарушительница указала, что информация нужна ей для написания диплома. А через пару дней служба безопасности перехватила письмо, из которого следовало, что сотрудница ведет переговоры о трудоустройстве на новое место – в страховую компанию, и база персональных данных является ее пропуском в эту фирму. В результате мошенницу, разумеется, уволили.

Юлия Бронских считает, что главным механизмом защиты от подобных случаев является работа с персоналом. Следовательно, должны проводиться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме. Кроме того, обязательным условием приема на работу должно быть подписание соглашения о неразглашении конфиденциальной информации кандидатом. Требования информационной безопасности, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение безопасности. Более того, ответственность за информационную безопасность должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и мероприятия по обеспечению безопасности.

Выступление Юлии Бронских вызвало оживленную дискуссию, что еще раз подтверждает большой интерес профессионального сообщества к данной проблематике.

Другую важную тему – управление рисками в период цифровой трансформации подняла независимый эксперт Ольга Феофанова. Она напомнила, что кибератаки входят в топ-3 наиболее вероятных рисков. Между тем, к основным технологическим рискам можно отнести: негативные последствия технологического прогресса (намеренные или ненамеренные последствия технологических улучшений, таких, как искусственный интеллект, геоинженерия и синтетическая биология, повреждение среды и экономики); аварии на критической инфраструктуре или сети (киберзависимость повышает уязвимость выхода из строя критической информационной инфраструктуры); крупномасштабные кибератаки или вирусы (приводят к значительным экономическим последствиям, геополитической напряженности или повсеместной утрате доверия к интернет-ресурсу); массовые инциденты, утрата или кража данных (незаконная эксплуатация частных или официальных данных в существенном масштабе).

Один из показательных примеров – в 2017 году программа-вымогатель WannaCry заблокировала доступ более чем к 230 тысячам компьютеров в 150 странах мира, требуя 300–600 долларов в биткоинах за разблокировку.

Ольга Феофанова отметила, что наиболее подвержены атакам государственные органы, финансовые компании, СМИ, интеграторы и провайдеры услуг, все крупные коммерческие организации, а также ключевые элементы инфраструктуры: энергетика, транспорт и телеком.

Также в ходе конференции состоялась панельная дискуссия, в ходе которой представители таких компаний, как Росводоканал, Аэрофлот, ТМК, Почта России, ЕвроХим, Мосэнерго, обсудили подходы к построению трех линий защиты в компании. Эксперты рассказали, как управление рисками и внутренний аудит согласованы со стратегией компании, как обеспечить гарантию непрерывной работы системы управления рисками и улучшить взаимодействие всех подразделений.

Елена Восканян. Фото предоставлено организаторами