Отже, ви це зробили. Після тижнів аналізу, інтерв'ю та мозкових штурмів перед керівництвом лежить бездоганна теплова карта ризиків. Зелені, жовті та червоні зони чітко окреслені, ключові загрози ідентифіковані, а ваша робота отримала високу оцінку.
Здається, компанія тепер під контролем, але якою б деталізованою не була ваша карта ризиків, вона не зупинить реальний штраф, не допоможе уникнути витоку даних і не врятує репутацію, якщо ви укладете угоду з токсичним контрагентом. Без конкретного плану дій, ваш аналіз може перетворитися на дорогий та формальний документ, що лежатиме у папці з такими ж документами, доки не станеться перший серйозний інцидент.
На що реагувати, коли горить усе?
Перша реакція на готову теплову карту ризиків - подивитись у верхній правий кут, який часто виявляється переповненим. Співпраця з PEP, порушення санкцій, шахрайство під час закупівель, кібербезпека - це все критично.
Спроба розробити заходи для всіх цих загроз одночасно - гарантований спосіб розпорошити увагу команди, спалити ресурси і в підсумку не досягти жодного значущого результату.
Завдання комплаєнс-офіцера на цьому етапі не гасити всі пожежі одночасно, а стратегічно визначити, яка з них загрожує несучим конструкціям бізнесу. Для цього потрібно пропустити весь перелік загроз через два фільтри.
Ризик-апетит компанії - це рівень та тип ризику, який керівництво компанії свідомо готове прийняти для досягнення стратегічних цілей. Це не просто технічний термін, а фундаментальне рішення, яке приймається на рівні власників або ради директорів.
Візуально на карті це лінія, що відсікає прийнятні ризики від неприйнятних, перетворюючи карту з технічного звіту на інструмент стратегічного управління. Наприклад, ризик “Порушення правил охорони праці” під час оцінки потрапив у “жовту” зону. Водночас компанія публічно декларує політику нульової толерантності до будь-яких загроз життю та здоров'ю співробітників.
У цьому випадку лінія ризик-апетиту повинна бути проведена так, щоб цей ризик, попри його відносно низький рейтинг, опиниться в зоні неприйнятних загроз. Він вимагатиме такої ж пріоритетної уваги, як і ризики з “червоної” зони. І навпаки, якийсь фінансовий ризик із тієї ж “жовтої” зони може бути визнаний прийнятним, якщо він є частиною стратегії виходу на новий ринок.
Пошук швидких перемог. Після того, як ви визначили стратегічно неприйнятні ризики, подивіться на карту ще раз під іншим кутом. Знайдіть 1-2 загрози, для яких ви можете суттєво знизити рівень ризику з мінімальними зусиллями прямо зараз. Це і є ваші швидкі перемоги.
Вони можуть бути не наймасштабнішими загрозами, але їхня цінність у демонстрації ефективності. Успішна реалізація таких заходів створює позитивну динаміку, підвищує довіру до комплаєнс-функції та полегшує отримання ресурсів для боротьби з більш складними ризиками.
Чотири сценарії роботи з пріоритетними ризиками
Після того, як ви визначили 2-3 найпріоритетніші загрози, потрібно обрати для кожної з них правильну стратегію реагування. Це ключовий момент. Спроба застосувати одну й ту ж логіку до всіх ризиків, наприклад, всюди впроваджувати додаткові контролі, є неефективною.
1. Зменшити
Це найпоширеніша і найбільш логічна стратегія, яка застосовується, коли діяльність є важливою для бізнесу і ви маєте важелі впливу на ситуацію. Її мета полягає не в тому, щоб усунути ризик повністю, а взяти його під контроль, знизивши ймовірність або потенційний вплив.
Наприклад, якщо аналіз показав високий ризик змови у відділі закупівель, ви не можете просто зупинити закупівлі. Натомість ви можете впровадити низку контрольних заходів для зменшення цього ризику: автоматизувати тендерні процедури на електронному майданчику для підвищення прозорості; запровадити “принцип чотирьох очей”, за яким усі договори, наприклад, на суму понад 100 000 грн візує не лише керівник відділу, а й комплаєнс-офіцер.
2. Передати
Іноді ви не можете суттєво вплинути на ймовірність ризику, але хочете захиститись від його фінансових наслідків. У таких випадках ризик можна передати, тобто перекласти його фінансовий вплив на третю сторону. Класичним прикладом є страхування.
Уявімо, що ваша компанія експортує партію вартісного товару. Існує ризик його пошкодження або повної втрати під час транспортування, особливо якщо логістичний шлях є складним. Замість того, щоб нести потенційні збитки самостійно, ви можете передати цей ризик, уклавши договір страхування вантажу. У разі настання страхового випадку, саме страхова компанія компенсує вам вартість втраченого товару. Таким чином, фінансовий удар приймає на себе третя сторона.
3. Уникнути
Це найбільш радикальна стратегія, що передбачає повну відмову від діяльності, яка генерує неприйнятний ризик. Це не відступ, а свідоме бізнес-рішення, яке приймається, коли ризик є неконтрольованим, а його потенційний вплив - катастрофічним.
Типовий сценарій для уникнення - вихід на новий ринок з надвисоким рівнем корупції. Якщо юридичний аналіз підтверджує, що вести бізнес прозоро в новій країні майже неможливо, керівництво може прийняти стратегічне рішення відмовитись від експансії. Таким чином компанія уникає корупційних та репутаційних ризиків, які могли б зашкодити її стабільності на вже існуючих ринках.
4. Прийняти
Стратегія прийняття ризику - це свідоме та задокументоване рішення нічого не робити, оскільки вартість заходів реагування значно перевищує потенційні збитки. Це не ігнорування, а зважене управлінське рішення.
Наприклад, у вашій компанії існує ризик, що через людський фактор деякі внутрішні документи будуть погоджені із затримкою. Фінансовий вплив від цього нульовий, а репутаційний мінімальний. Розробка складної автоматизованої системи контролю коштуватиме значно дорожче, ніж потенційні незручності. У такому випадку керівництво може офіційно задокументувати рішення прийняти цей ризик, залишивши його на рівні періодичного моніторингу.
Розробка покрокового плану реагування
Визначення пріоритетів та вибір стратегії - це важлива аналітична робота. Але для бізнесу вона не має жодної цінності, доки не перетворена на чіткі, вимірювані та обмежені в часі завдання. Будь-яка стратегія - це просто слово, доки за неї не відповідає конкретна людина з конкретним терміном виконання.
На цьому етапі ваше завдання для кожного пріоритетного ризику створити деталізований план дій. Це не має бути громіздкий документ. Часто достатньо структурованої таблиці, яка містить відповіді на ключові питання.
Як налаштувати моніторинг та не дати плану застаріти
Ви створили детальний план реагування, і це величезний крок уперед. Але бізнес-середовище не статичне. Завтра можуть з'явитись нові санкції, змінитися законодавство, компанія може вийти на новий ринок або запустити новий продукт. Будь-яка з цих подій може миттєво зробити вашу ідеальну карту ризиків та план реагування неактуальними.
Щоб цього не сталося, система управління ризиками має бути живим організмом. Для цього потрібно налаштувати постійний цикл моніторингу та звітності.
Створення циклу управління ризиками
Регулярний перегляд. Це заплановані зустрічі для контролю над ситуацією. Встановіть чіткий графік, наприклад, щоквартальний перегляд статусу виконання планів реагування для ризиків із “червоної” та “помаранчевої” зон. На цих зустрічах з “власниками ризиків” потрібно відповідати на три питання: чи дотримуємось ми встановлених термінів? Чи досягаємо ми запланованих KPI? Чи не з'явились нові обставини, що вимагають коригування плану?
Повну ревізію всієї карти ризиків доцільно проводити раз на півроку або раз на рік.
Позачерговий перегляд. Це негайна реакція на суттєві зміни. Ваше завдання полягає у тому, щоб визначити перелік подій-тригерів, які автоматично запускають процес переоцінки відповідних ризиків.
Такими тригерами можуть бути
Зовнішні зміни. Нові закони (про фінмоніторинг, мобілізацію, захист даних), оновлення санкційних списків, значні геополітичні події, гучні інциденти у вашій галузі.
Внутрішні зміни. Вихід на новий ринок, запуск нового продукту, суттєва зміна бізнес-процесів, велика реорганізація або серйозний внутрішній інцидент.
Оцініть свої ризики за допомогою аналітики LIGA360. Щоб детальніше дізнайтися про переваги - замовляйте персональну презентацію менеджера.
