16+
Регистрация
РУС ENG
http://www.eprussia.ru/epr/386/4430801.htm
Газета "Энергетика и промышленность России" | № 06 (386) март 2020 года

Баланс между рисками и выгодами

Отечественные компании все больше внимания уделяют управлению рисками.

88 %! российских компаний имеют утвержденную генеральным директором или советом директоров политику по управлению рисками. А 31 % закрепили ответственность за выявление, анализ и управление рисками в уставе, регламентирующих документах, положениях о подразделениях и должностных инструкциях. Однако всего 19 % организаций проводят анализ рисков при принятии решений и документируют его результаты. К такому выводу пришли аналитики компании «Делойт», СНГ, проведя совместно с Институтом стратегического анализа рисков исследование по оценке уровня зрелости управления рисками в нашей стране в 2019 году.


Ответ на требования законодательства

По словам управляющего партнера, руководителя департамента управления рисками «Делойт», СНГ Натальи Капризиной, существенно возросла доля организаций – участников исследования, в которых подразделение по управлению рисками было создано менее года назад, что, вероятно, является ответом на появление новых требований федерального законодательства по управлению рисками и внутреннему контролю для публичных обществ.

Лидерами в области продолжительности работы подразделений по управлению рисками являются металлургические организации: 67 % сформировали такое подразделение более пяти лет назад. В нефтегазовых организациях подразделения, ответственные за сопровождение и методологическую поддержку процессов управления рисками, существуют менее пяти лет. У организаций с выручкой от 5 миллиардов долларов США нет молодых подразделений, лишь 20 % создали собственные подразделения менее пяти лет назад.

В 40 % организаций сектора TMT (телекоммуникации, медиа и технологии) и нефтегазовой промышленности за сопровождение и методологическую поддержку процессов управления рисками отвечают более пяти сотрудников, включая руководителя. В 80 % организаций с выручкой от 5 миллиардов долларов США за это отвечают четыре или пять сотрудников.

В 2019 году в рамках процесса годового бюджетирования анализ рисков проводился более детально, чем в рамках стратегического планирования. 19 % организаций анализируют риски при годовом бюджетировании и при этом регламентируют порядок проведения анализа рисков в политике / регламенте, в то время как полный анализ рисков при стратегическом планировании проводят 12 % организаций.

По мнению руководителя направления международного сотрудничества АНО ДПО «Институт стратегического анализа рисков» Алексея Сидоренко, это один из самых важных трендов исследования.

– По сравнению с 2018 годом не наблюдается рост числа компаний, где управление рисками по праву рассматривается как важный элемент планирования и бюджетирования.

Это является существенным недостатком и сигналом к тому, что, возможно, подход к внедрению управления рисками нужно менять. Мы, например, для внедрения анализа рисков в планирование и бюджетирование используем такие инструменты, как «проверка допущений» и имитационное моделирование, которые активно применяются аналитиками спецслужб, – подчеркнул он.

Кроме того, в 2019 году в два раза (на 12 %) сократилась доля организаций, в которых анализ рисков непосредственно влияет на пересмотр стратегических целей и бюджетов организации. А также увеличилась на 5 % доля организаций, в которых анализ рисков не имеет влияния на данные аспекты. Доля организаций, в которых анализ влияния рисков оказывает косвенное влияние на изменение целей и пересмотр бюджета, увеличилась на 7 %.

Все нефтегазовые организации, участвовавшие в опросе, не связывают действующую систему КПЭ с деятельностью по управлению рисками.

На 6 % увеличилась доля организаций, не привлекающих риск-менеджеров к принятию высшим руководством стратегических и инвестиционных решений в течение года. Также на 10 % снизилась доля организаций, привлекающих риск-менеджеров и проводящих анализ рисков при принятии всех существенных решений.

Эксперты «Делойт», СНГ уточняют: доля компаний, которые внедрили эффективные процедуры мониторинга рисков, связанных с принимаемыми решениями, по‑прежнему невысока. Только около трети опрошенных выполняют такой мониторинг регулярно. При этом только каждая пятая компания проводит анализ рисков при принятии решений и документирует его результаты.

В случае существенного изменения уровня риска отсутствие мониторинга (желательно на непрерывной основе) не позволит своевременно отреагировать на инциденты. А отсутствие задокументированных результатов проведенного анализа риска при расследовании инцидентов может снизить доверие к имеющимся процедурам риск-менеджмента. В целом это снижает риск-культуру и формирует отношение сотрудников к анализу рисков как к чему‑то необязательному и неэффективному.

– Ряд проблем, связанных с внедрением управления рисками, остается неизменным и требует особого внимания. Вопреки мнению ряда респондентов, я твердо уверен: для изменений не нужно ждать поручения от топ-менеджмента, – говорит Алексей Сидоренко. – Риск-менеджеры должны сами стремиться доказать полезность риск-менеджмента как инструмента принятия решений.


Темная сторона цифровизации

Большинство компаний идут в «цифру» для того, чтобы понизить количество возможных ошибок у операторов, сократить количество затрачиваемых человеко-часов, то есть получить неэкономические выгоды. Такое мнение высказал руководитель финансового отдела и бухгалтерии LLC, Hyundai Truck & Bus Rus, PhD, ACMA, CGMA Кирилл Баранов на IX Национальной практической конференции «Внутренний контроль и аудит в России. Новые тенденции в условиях цифровизации», организованной Ассоциацией «НОВАК».

– Разумеется, встает вопрос и о безопасности новых технологий. На мой взгляд, сегодня нужно искать баланс между рисками и выгодами от цифровизации на предприятии, – считает он. – Поиск выгод должен немного перевешивать, ведь главное – бизнес, и он задает свои правила, требования, в данном случае ИТ и функция финансов будут реализаторами этих решений.

Директор по управлению рисками и внутреннему контролю Департамента по управлению рисками и внутреннему контролю ООО «УК «РОСНАНО», вице-президент ГИФА, руководитель ИСАР Константин Дождиков отмечает: в ходе цифровизации появляется новое поколение услуг для бизнеса. Поэтому многие бизнес-стратегии умных российских компаний сейчас нацелены на создание объектов интеллектуальной собственности, в том числе программных продуктов. В процессе управления ими важно сделать акцент на идентификации.

– Часто эти объекты в организациях в принципе не идентифицируются. Получается такая история, когда компания, используя, допустим, agile или другую методологию, создала программный продукт, в организации он есть, а затем команда увольняется, переходит в другую компанию и там с нуля создает похожий продукт, немного изменяя коды, – комментирует эксперт.

Не стоит списывать со счетов риски информационной безопасности. Они, по словам руководителя Департамента внутреннего контроля и управления рисками ПАО «Интер РАО» Павла Смолкова, являются темной стороной цифровизации.

– Чем больше данных и сведений переводится в цифру, тем выше риски сохранения их целостности, доступности, конфиденциальности. Не открою Америку: наше государство давно занимается этим вопросом, есть соответствующая законодательная база, выделяются большие средства на защиту данных, – говорит он. – Крупные компании ищут средства защиты от киберрисков, речь идет о больших финансовых затратах в горизонте пяти-десяти лет.

Проблема очень сложная и распадается на две части. Первая – это комплаенс, что соответствует ФЗ «О персональных данных» и ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Это обязательные затраты, которые компания должна понести. Хотя риски могут быть там не очень большими, в том числе с точки зрения влияния на те же финансовые показатели.

Может быть доказано, что риск удаленного захвата контроля над каким‑либо технологическим узлом и вывод его из строя с разрушением немного меньше, чем предполагаемые затраты на то, чтобы не допустить проникновения злоумышленника в сеть, захвата контроля и вызова техногенной катастрофы.

Вторая часть проблемы – риск-ориентированная информационная безопасность, когда нужно за рамками комплаенса осознать последствия реализации киберрисков.

На примере своей компании Павел Смолков рассказал, как на практике может быть сложно измерить масштабы и объемы последствий:

– На современных электростанциях все в «цифре», новыми техническими системами управляют АСУ ТП. Мы имеем дело с интернетом вещей, когда устройства собирают, обрабатывают, хранят данные и обмениваются ими.
Встает вопрос: допустим такой риск, как техногенная катастрофа с разрушением оборудования, которое стоит миллиарды, с потерей человеческих жизней, нанесением травм персоналу и третьим лицам.

Теоретически, в уме, такой сценарий представить можно, но крайне сложно доказать, что это возможно. Стендовые испытания здесь не годятся, каждый технологический объект уникален. Разные АСУ ТП, разные производители, по‑разному устроена архитектура и конфигурация сети.

С другой стороны, технологических объектов очень много, они рассредоточены по всей России, нереально на каждом провести натурные испытания с привлечением сторонних экспертов. В силу того что практически нереально доказать или опровергнуть возможность наступления таких рисков, практически нереально выстроить риск-ориентированную информационную безопасность.


Информационная безопасность, Цифровизация

Отправить на Email

Похожие Свежие Популярные