У руководителей бизнеса появилось понимание, что управление рисками должно осуществляться на ежедневной основе – только в таком случае можно говорить о его эффективности для компании. Ключевые тенденции в данной сфере эксперты обсудили в ходе пленарного заседания XXII Профессионального форума «Управление рисками – новые вызовы», организованного Русским обществом управления рисками (РусРиск) в Сочи в сентябре 2025 года. На площадке мероприятия собрались около 100 руководителей и специалистов по управлению рисками из промышленных и транспортных компаний, ИТ-интеграторов, страховых и брокерских организаций, а также преподаватели ведущих российских вузов, независимые эксперты и представители СМИ.
Игорь Юргенс, председатель Наблюдательного совета «РусРиска»:
– На Восточном экономическом форуме-2025 глава Сбербанка Герман Греф заявил о технической рецессии российской экономики – два квартала подряд ее рост приближается к нулевому. В результате геостратегических проблем под большим давлением находятся три ключевых элемента, которые являются драйвером любой экономики, – кадры, инвестиции, технологии. Такая тенденция говорит о том, что управление рисками сегодня – не просто занятие, уберегающее руководство компании от принятия неправильных решений, это каждодневная практика.
Более 20 лет назад Виктор Верещагин с коллегами основал Русское общество управления рисками, целью деятельности которого стало создание условий для развития риск-менеджмента в России. Благодаря РусРиску Россия по‑прежнему входит в IFRIMA (International Federation of Risk and Insurance Management Associations – Международная федерация ассоциаций по управлению рисками и страхованию), участвует в международной жизни. Риск-менеджер теперь – важная профессия, которая обретает свое профессиональное и институциональное место в экономике. Это значит, нам необходимо уделять больше внимания подготовке кадров, совершенствованию ежедневной деятельности, внимательному отслеживанию стандартов, применяемых в мире и, прежде всего, в дружественных странах, чем, собственно, и занимается РусРиск.
Элла Платонова, вице-президент Всероссийского союза страховщиков (ВСС):
– Риск-менеджеры, занимаясь локальными задачами по определению риска и его концепции, фактически должны ориентироваться на развитие рынка в целом и на понимание его тенденций.
Остановлюсь на актуальных рисках в страховании. Мы живем в цифровом веке и страховую отрасль волнуют риски информационной безопасности, в частности, рост количества киберинцидентов, в связи с чем повышается спрос на киберстрахование. Особое место в повестке дня занимают риски военных конфликтов и терроризма, а также риски при эксплуатации беспилотных транспортных средств и летательных аппаратов. Актуальны риски климатических изменений и опасных природных явлений, ими мы тоже занимаемся в рамках периметра наших задач на площадке Всероссийского союза страховщиков. Происходит перестройка программ страхования складских, имущественных и производственных комплексов под новые условия перестрахования. Возможно исключение покрытия в случае нарушения правил безопасности и удорожание полного покрытия.
Перед страховым рынком сейчас стоят дополнительные задачи:
• повышение клиентской ценности страховых продуктов;
• сохранение условий рыночной конкуренции;
• расширение информационного обмена с государственными системами здравоохранения;
• запуск проверки наличия полисов ОСАГО через средства фотофиксации;
• расширение охвата страхования ответственности при перевозках такси;
• разработка и реализация программ страхования жилья;
• развитие экологического страхования;
• совершенствование механизмов ответственности владельцев объектов с массовым пребыванием граждан;
• повышение борьбы с мошенничеством.
Уже сегодня в сфере страхования используются новые технологии. В частности, искусственный интеллект (ИИ) и Big Data. В фокусе внимания ИИ – прикладные задачи по обработке документов, общению с клиентом, скорингу рисков и андеррайтингу, персонализации страховых предложений, учету факторов риска с использованием электронных данных, в том числе телематики и геолокации, инженерных датчиков и трекеров.
Видим перспективы расширения возможностей по персонализации страховых продуктов в части разработки и применения алгоритмов в урегулировании убытков, расчете ущерба при страховании ТС и имущества в личном страховании. Особое внимание до конца 2025‑го и в течение следующего года будет направлено на такое направление, как повышение эффективности медицинских исследований и оптимизации клиентского пути в медицинском страховании. Одна из перспектив, в частности, это подбор оптимальных инвестиционных решений со страховой защитой на основе предпочтений и риск-профиля страхователя.
Алексей Сонин, президент Ассоциации «Институт внутренних аудиторов»:
– В своем выступлении я хотел бы остановиться на известной концепции «Трех линий», которая ранее называлась концепцией «Трех линий защиты» (Three Lines of Defense).
Благополучие, да и само существование внутренних аудиторов, риск-менеджеров зависит от наших стейкхолдеров – совета директоров, наблюдательного совета, как представителя собственников компании. Значительную роль в последние годы играет такой стейкхолдер, как государство. Наше благополучие зависит от их чаяний, пожеланий, видения того, насколько мы этим чаяниям, пожеланиям отвечаем.
Чего хотят наши заказчики? Достижения поставленных целей, прежде всего, стратегических; уверенности в том, что системы и процессы эффективны, а законодательство и обязательства соблюдаются (compliance). В этом заказчикам помогают системы управления рисками и системы внутреннего контроля.
В 2010 году FERMA совместно с Европейской конфедерацией институтов внутреннего аудита ECIIA представили концепцию «Трех линий защиты». В 2013‑м глобальный Институт внутренних аудиторов принял ее на вооружение, начал эффективно продвигать и пропагандировать. Концепция разъясняла, кто чем должен заниматься в рамках управления рисками, внутреннего контроля, для того чтобы обеспечивать результативность, эффективность, compliance.
Первая линия защиты – это менеджмент – владельцы рисков и контроля, люди, которые ежедневно занимаются бизнесом, принимают управленческие решения, управляют рисками, внедряют соответствующие средства контроля и следят за их эффективностью.
Вторая линия должна помогать первой. По сути, это специализированные помощники, владеющие экспертными знаниями по различным направлениям, аспектам и осуществляющие экспертизу и некие мониторинговые функции. Вторая линия действует в рамках управленческих функций, менеджмента и подотчетна менеджменту компании, управленцам.
Третья линия защиты – внутренний аудит, призванный «с высоты птичьего полета» оценивать, насколько первые две линии, владельцы контроля и специализированные помощники, справляются с поставленной задачей по обеспечению эффективного процесса или системы управления рисками (СУР) и внутреннего контроля.
Над этими тремя линиями защиты совет директоров – наблюдательный орган, выразитель интересов заказчиков – владельцев и акционеров. Если говорить о более широком круге стейкхолдеров, это и государство, и сообщества, в которых компании работают, – потребители, поставщики, сотрудники организации.
Со временем эксперты пришли к выводу, что эта концепция оторвана от жизни: акцент в ней изначально был сделан на защите, хотя на самом деле все функции управления рисками, внутреннего контроля и многочисленные контролирующие подразделения нужны не столько для того, чтобы защищаться от рисков, сколько для того, чтобы, используя благоприятные возможности, создавать добавленную стоимость, ценность для компаний. Выходило, что концепция «Трех линий защиты» была нацелена не на то, что действительно важно. Во-вторых, эти линии были совершенно разделены, каждая функционировала сама по себе, особенно третья, которая только констатировала, что что‑то пошло не так, хотя, по идее, все должны делать одно общее дело.
В 2019−2020 гг. глобальный Институт внутренних аудиторов обновил концепцию, поменяв название на концепцию «Трех линий». В обновленном документе подразумевается некое размывание линий: к примеру, появилась рекомендация о том, что риск-менеджмент, находящийся на второй линии, должен быть подотчетен совету директоров.
Другая интересная деталь – на третью линию оказались выведены некоторые функции, которые ранее были на второй. Третья линия – это поставщики гарантии или поставщики уверенности, как мы теперь говорим. Функции, которые обеспечивают уверенность или дают заверение, что все идет должным образом. Так вот, на третью линию, где изначально был внутренний аудит, вывели других поставщиков гарантии, в частности, службу безопасности, инспекции – охрану труда, охрану окружающей среды, технику безопасности и других.
Появилась и условная четвертая линия – внешние поставщики гарантий, включая независимый аудит – внешних аудиторов. Концепция декларировала, что мы должны не только сидеть в осаде и кого‑то защищать, но и создавать для компании добавленную стоимость и ценность.
Последние пять лет наблюдается перманентный кризис – в высокотурбулентной среде ситуация меняется если не каждый день, то каждую неделю или месяц. Наблюдаются волатильность, динамичность и кросс-влияние рисков. Мы видим целое созвездие взаимопереплетенных рисков: репутационных, операционных, комплаенса, утечки персональных данных, перебоев в текущей операционной деятельности и других.
Один из наиболее значимых рисков – не использовать возможности. Важно помнить: у системы управления рисками и системы внутреннего контроля нет цели свести на нет все риски. Наоборот, они должны поднять риск-аппетит: любые благоприятные возможности всегда связаны с рисками, поэтому их нужно просчитывать и управлять ими.
Один из наиболее значимых рисков – не использовать возможности. Важно помнить: у системы управления рисками и системы внутреннего контроля нет цели свести на нет все риски. Наоборот, они должны поднять риск-аппетит: любые благоприятные возможности всегда связаны с рисками, поэтому их нужно просчитывать и управлять ими, контролируя вероятные неблагоприятные события и последствия.
Еще один риск заключается в том, что три линии могут использовать разную терминологию, методологию, реестры рисков, каждая готовит свою отчетность. Яркий пример – отличие в подходах риск-менеджеров и внутренних аудиторов.
Интересный момент: первая линия склонна полагаться на вторую, хотя сам владелец риска должен управлять ими и контролировать ситуацию. Эффективность систем и процессов системы управления рисками и контроля зависит от деятельного и заинтересованного участия в процессе самих владельцев. Делегирование полномочий по управлению рисками, внутреннему контролю кому‑либо из второй линии приводит к снятию ответственности с себя.
Еще один нюанс – третья линия склонна обеспечивать уверенность на основе прошлых событий. Даже если мы делаем стопроцентную выборку, наши выводы основываются на прошлом – том, что было от месяца до полугода назад, в зависимости от периода, рассматриваемого в рамках аудита. Да, это полезно, но предвосхищение будущего на основе анализа предшествующих, предыдущих событий в сегодняшнем турбулентном мире имеет ограниченную ценность.
Кстати, внешние независимые аудиторы также делают заключение о достоверности финансовой отчетности на основании анализа цифр и данных из прошлого.
Рекомендую компаниям честно ответить на несколько вопросов:
• Насколько учитываются риски при принятии решений?
• Участвуют ли риск-менеджеры в процессе принятия решений?
• Готовы ли владельцы рисков рисковать (использовать возможности)?
• Насколько оценивается, какие контроли необходимо иметь в будущем, чтобы управлять теми или иными рисками?
• Насколько тесно взаимодействуют три линии?
Хотел бы обратиться к результатам трех исследований. Так, согласно исследованию Группы ДРТ, проведенному при поддержке РусРиска в 2025 году, только у трети руководителей подразделений по управлению рисками есть доступ к любой необходимой информации в компании; не более 15% таких руководителей имеют право голоса при принятии решений. Так о какой эффективности может идти речь?
В исследовании Deloitte говорится: только 13% высших руководителей (сильно) согласны, что система управления рисками помогает им в принятии и реализации стратегических решений. А Baker Tilly отмечает, что только 14% высших руководителей (сильно) согласны, что возможности СУР используются при принятии руководством решений. К слову, эти результаты устойчивы – практически ежегодно каждая седьмая-восьмая компания говорит о том, что ее система управления рисками эффективно используется, помогает в принятии решений.
Все чаще звучат мнения, что концепция «Трех линий» близка к анабиозу. Глобальный институт внутренних аудиторов уже запустил процесс по ее пересмотру. Пока этого не произошло, возможно, стоит обратить внимание на интегрированное управление рисками. Интеграция заключается в том, что все линии защиты используют одни источники данных, современные технологии это позволяют делать. Во многих компаниях по‑прежнему зоопарк информационных систем, но ситуация постепенно меняется в плане эффективности информационных систем, их интегрированности и достоверности данных. Интеграция подразумевает унификацию методологии всех линий, совместную оценку рисков и ведение одного реестра рисков, то есть сближение трех линий, тесное взаимодействие и сотрудничество.
Интеграция также предполагает совместную отчетность по рискам, управление ими и контроль должны быть встроены в повседневный процесс управления.
Подводя итоги Форума, президент Ассоциации «Русское общество управления рисками» Виктор Верещагин поблагодарил коллег за активное участие в дискуссиях о настоящем и будущем сферы управления рисками в России. По его мнению, прошедший Форум продемонстрировал высокий интерес делового сообщества к вопросам управления рисками и страхования. Ключевым итогом мероприятия стало понимание необходимости сочетать эффективное использование мирового опыта с разработкой новых подходов для решения возникающих проблем.
Елена ВОСКАНЯН
Фото: предоставлены пресс-службой РусРиска
