#213 COSO ERM (Enterprise Risk Management) — система управления стратегическими рисками

«Риск возникает из-за того, что вы не знаете, что делаете» — Уоррен Баффетт

Знакомо?
Рисками занимается отдел, который раз в квартал приносит толстый отчет. Но когда случается реальная проблема, оказывается, что ее не было в списке. Управление рисками воспринимается как обуза, а не как инструмент для принятия решений. Вы реагируете на угрозы постфактум, вместо того чтобы предотвращать их.

Актуальность: Цифры и факты

• 85% компаний имеют ERM, но только 20% интегрируют его со стратегией (PwC, 2024)
• Внедрение COSO ERM снижает потери от рисков на 40% (Deloitte, 2023)
• 67% советов директоров считают риск-менеджмент критическим для выживания бизнеса (McKinsey, 2024)

Суть метода: В чем прорыв?
COSO ERM — это не просто каталог рисков. Это система встраивания риск-мышления в процесс принятия решений на всех уровнях. Вы перестаете «защищаться» и начинаете использовать неопределенность для создания конкурентных преимуществ.

Сигналы к применению: Когда вам срочно нужен этот инструмент?

• Решения принимаются без оценки долгосрочных последствий
• Ваша текущая система риск-менеджмента не предотвращает кризисы
• Вы хотите использовать риск-аппетит для смелого стратегического позиционирования
• Руководство не понимает, как риски влияют на достижение целей

«Плохие времена создают хороших риск-менеджеров. Хорошие времена их уничтожают» — Нассим Талеб

---

ИНСТРУКЦИЯ ПО ПРИМЕНЕНИЮ: ПОШАГОВЫЙ РЕГЛАМЕНТ

ШАГ 1. ПОДГОТОВКА И ДИАГНОСТИКА (День 1-10)
Формируем основу для системы управления рисками

1. Определите риск-аппетит организации:
   • Проведите интервью с членами Совета директоров
   • Сформулируйте количественные пределы по:
     • Максимальные потери капитала: ______%
     • Допустимое падение выручки: ______%
     • Лимиты по операционным рискам: ______
   • Результат: Утвержденная «Политика риск-аппетита»
2. Создайте рабочую группу:
   • Представитель Совета директоров
   • Финансовый директор
   • Руководители ключевых направлений
   • Внутренний аудитор
   • Результат: Приказ о создании рабочей группы

ШАГ 2. ИДЕНТИФИКАЦИЯ И ОЦЕНКА РИСКОВ (День 11-30)
Выявляем и ранжируем стратегические риски

1. Проведите воркшопы по идентификации рисков:
   • Метод мозгового штурма по 5 категориям COSO:
     • Стратегические риски
     • Операционные риски
     • Финансовые риски
     • Риски соблюдения
     • Репутационные риски
   • Результат: Реестр из 50-100 рисков
2. Используйте матрицу оценки рисков:

Риск | Вероятность (1-5) | Влияние (1-5) | Приоритет
Потеря ключевого клиента | 3 | 5 | Высокий
Кибератака | 2 | 5 | Высокий
...

• Результат: Ранжированный список топ-20 рисков

ШАГ 3. РАЗРАБОТКА МЕТРИК И КОНТРОЛЕЙ (День 31-45)
Создаем систему мониторинга

1. Определите Key Risk Indicators (KRI):
   • Для каждого критического риска установите 2-3 KRI
   • Пример: Риск «Потеря рынка» → KRI «Доля рынка», «NPS», «Отток клиентов»
   • Результат: Дашборд KRI для руководства
2. Разработайте план реагирования:
   • Для каждого риска определите стратегию:
     • Принять (риск в пределах аппетита)
     • Снизить (внедрить контроли)
     • Передать (страхование)
     • Избежать (прекратить деятельность)
   • Результат: План мероприятий по управлению рисками

---

ПРАКТИЧЕСКИЙ РЕЗУЛЬТАТ: ЧТО ЭТО ДАСТ ВАМ ЛИЧНО

✅ Принятие решений с открытыми глазами — знание рискованности каждого решения
✅ Снижение вероятности катастрофических сценариев на 40-60%
✅ Использование риск-менеджмента как конкурентного преимущества
✅ Единое понимание рисков на всех уровнях управления

Кейс: Как технологическая компания избежала катастрофы

• Проблема: Зависимость от одного поставщика компонентов (80% поставок)
• Внедрение COSO ERM:
  • Риск-аппетит: Максимальная зависимость от одного поставщика — 30%
  • Меры: Диверсификация поставщиков, создание стратегического запаса
• Результат: Когда у основного поставщика случился кризис, компания продолжила работу без сбоев, сохранив $2 млн ежемесячной выручки

«Самый большой риск — не принимать никаких рисков» — Марк Цукерберг

БЫСТРЫЙ СТАРТ: ПРОСТОЕ ДЕЙСТВИЕ С МОМЕНТАЛЬНЫМ ЭФФЕКТОМ (15 МИНУТ)

1. Выберите одну стратегическую цель вашего отдела
2. Определите: какой ОДИН риск может полностью разрушить ее достижение?
3. Запишите 2-3 индикатора, которые будут сигнализировать о приближении этого риска
4. Ключевой вопрос: Что вы можете сделать на этой неделе, чтобы снизить вероятность этого риска?

---

ИНСТРУМЕНТАРИЙ: ФРЕЙМВОРКИ И МЕТОДИКИ

1. Риск-аппетит framework — количественное выражение толерантности к рискам
2. Сценарный анализ — проработка действий при реализации рисков
3. Key Risk Indicators (KRI) — система раннего предупреждения
4. Стресс-тестирование — проверка устойчивости стратегии
5. Интеграция с BSC/KPI — связь рисков с системой показателей

---

ПЛАН ВНЕДРЕНИЯ: РАБОЧИЙ РЕГЛАМЕНТ НА 90 ДНЕЙ

ФАЗА 1: ПОДГОТОВКА (Дни 1-30)
Ответственный: Руководитель проекта по риск-менеджменту

Период	Задача	Инструменты	Результат	Контроль качества
1-7	Определение риск-аппетита	Интервью с руководством	Утвержденная политика риск-аппетита	Согласование советом директоров
8-15	Создание рабочей группы	Организационный дизайн	Приказ о создании рабочей группы	Назначение ответственных
16-23	Диагностика текущего состояния	Аудит процессов, анкетирование	Отчет «As-Is» с выявленными пробелами	Карта процессов управления рисками
24-30	Разработка методологии	Адаптация COSO ERM	Методика риск-менеджмента организации	Утверждение методологии

ФАЗА 2: ИДЕНТИФИКАЦИЯ РИСКОВ (Дни 31-60)
Ответственный: Владельцы рисков

Период	Задача	Инструменты	Результат	Контроль качества
31-37	Стратегические риски	Стратегические сессии	Реестр стратегических рисков	Приоритизация топ-10 рисков
38-44	Операционные риски	Воркшопы с подразделениями	Карта операционных рисков	Оценка вероятности и влияния
45-51	Финансовые риски	Анализ финансовых данных	Матрица финансовых рисков	Расчет потенциальных потерь
52-60	Риски соблюдения	Аудит соответствия	Реестр compliance-рисков	План мероприятий по устранению

ФАЗА 3: ВНЕДРЕНИЕ СИСТЕМЫ (Дни 61-90)
Ответственный: Руководитель проекта

Период	Задача	Инструменты	Результат	Контроль качества
61-67	KRI и дашборды	BI-системы, отчетность	Рабочий дашборд KRI	Тестирование системы отчетности
68-74	Процедуры реагирования	Регламенты, инструкции	Планы реагирования на риски	Тренировка по процедурам
75-81	Интеграция в процессы	Изменение процессов	Обновленные регламенты	Аудит интеграции
82-90	Обучение и запуск	Тренинги, пилотное тестирование	Запуск системы ERM	Оценка эффективности

---

ИСТОЧНИКИ ДЛЯ СИСТЕМНОГО ИЗУЧЕНИЯ

1. COSO, «Enterprise Risk Management — Integrating with Strategy and Performance» — официальное руководство по framework
2. Дуглас Хаббард, «The Failure of Risk Management» — критика традиционных подходов и предложение эффективных методов
3. Нассим Талеб, «Черный лебедь» — о психологии неожиданных событий и устойчивости к ним

Резюме
Ирония в том, что компании тратят миллионы на compliance, но упускают стратегические риски, которые могут уничтожить бизнес, потому что они не вписаны в процесс принятия решений. COSO ERM — это ваш способ превратить риск-менеджмент из затратной функции в источник конкурентного преимущества.

Вопрос для осознания: Какой стратегический риск вы несете прямо сейчас, не осознавая его, потому что ваша система риск-менеджмента не смотрит дальше операционных сбоев?

#COSOERM #УправлениеРисками #Стратегия #Комплаенс #БизнесУстойчивость