Управление рисками в бизнесе

Введение в ландшафт современных систем риск-менеджмента

Современный деловой климат требует от организаций не просто интуитивного реагирования на угрозы, а внедрения структурированных, воспроизводимых систем управления рисками. Две наиболее авторитетные и широко признанные в мире модели — это COSO ERM (Комитета спонсорских организаций Комиссии Тредуэя) и ISO 31000 (Международной организации по стандартизации). Несмотря на общую цель — повышение устойчивости организации — их философия, структура и область оптимального применения существенно различаются. Данный анализ предоставляет объективную основу для сравнения, помогая руководителям и специалистам по внутреннему контролю выбрать подход, максимально соответствующий корпоративной культуре, отраслевым требованиям и стратегическим амбициям компании.

Ключевые отличия в архитектуре и философии подходов

Фундаментальное различие между COSO ERM и ISO 31000 лежит в их исходных предпосылках. COSO ERM построен на интеграции управления рисками со стратегией и бизнес-процессами, фокусируясь на создании и защите стоимости для акционеров. Его модель часто визуализируется в виде куба, что подчеркивает многомерную связь целей, компонентов и организационных уровней. ISO 31000, в свою очередь, предлагает более универсальный и процессно-ориентированный стандарт. Он описывает общие принципы, структуру и процесс риск-менеджмента, который может быть адаптирован для любой организации, независимо от ее размера, сектора или географического положения. Его сила — в гибкости и применимости к самым разнообразным контекстам, от проектного управления до операционной деятельности.

• Происхождение и целевая аудитория: COSO ERM был разработан в США преимущественно для публичных компаний, находящихся под давлением регуляторов фондового рынка (SEC). ISO 31000 является международным стандартом, созданным глобальным консенсусом и применимым в государственном и частном секторе по всему миру.
• Связь со стратегией: COSO явно интегрирует риск-менеджмент в стратегическое планирование, требуя рассмотрения рисков при формулировке стратегии. ISO 31000 рассматривает риск-менеджмент как процесс, способствующий достижению любых целей, включая стратегические, но не предписывает жесткой организационной привязки.
• Степень структурированности: Модель COSO более предписательна и детализирована в описании необходимых компонентов и принципов внутреннего контроля. ISO 31000 выступает как руководство по внедрению, оставляя больше свободы в выборе конкретных инструментов и методов.
• Визуальная модель и запоминаемость: COSO ERM представлен в виде запоминающегося трехмерного куба, что облегчает его объяснение и внедрение через все уровни организации. ISO 31000 иллюстрируется цикличным процессным чертежом, подчеркивающим непрерывность и итеративность управления рисками.
• Язык и терминология: COSO использует терминологию, близкую к финансовому аудиту и внутреннему контролю (например, «внутренняя среда», «контрольные деятельности»). Язык ISO 31000 более нейтрален и ориентирован на менеджмент качества и общие управленческие практики.

Сравнительная таблица: COSO ERM vs ISO 31000

Для наглядного сопоставления ключевых параметров двух фреймворков ниже представлена сводная таблица. Она позволяет быстро оценить их формальные характеристики и требования к организации.

Таблица: Сравнение ключевых аспектов COSO ERM и ISO 31000

| Критерий | COSO ERM (2017) | ISO 31000:2018 |
| :--- | :--- | :--- |
| Основная цель | Интеграция управления рисками со стратегией и исполнением для создания, сохранения и реализации стоимости. | Создание и защита ценности путем систематического управления неопределенностью. |
| Структурная модель | Куб, объединяющий 5 компонентов, 20 принципов и 4 категории целей (стратегические, операционные, отчетность, соблюдение). | Процессный цикл (выявление, анализ, оценка, обработка) в рамках заданных принципов и организационной структуры. |
| Связь с внутренним контролем | Прямая и неразрывная; ERM является расширением внутреннего контроля (COSO ICIF). | Упоминается как часть контекста, но не является центральной темой. |
| Роль руководства и надзора | Четко разграничивает обязанности руководства (исполнение) и совета директоров (надзор). | Подчеркивает лидерство и обязательства высшего руководства, но с менее формализованным разделением. |
| Ориентация на перспективу | Сильный акцент на будущее и стратегию. | Баланс между ретроспективным анализом и проактивным взглядом вперед. |
| Сертификация | Нет официальной сертификации для организации. Есть сертификации для специалистов (на основе знаний). | Организация может пройти сертификацию на соответствие стандарту через аккредитованные органы. |

Пошаговое руководство по выбору и внедрению методологии

Выбор между COSO ERM и ISO 31000 не должен быть случайным. Это стратегическое решение, которое требует тщательного анализа внутренних и внешних факторов. Следующее пошаговое руководство описывает логический путь от диагностики потребностей до запуска системы.

1. Диагностика бизнес-контекста и драйверов. Начните с четкого определения, что движет необходимостью внедрения формализованного риск-менеджмента. Если основной драйвер — соответствие требованиям регуляторов фондового рынка (например, SEC для листинга на NYSE) или ожиданиям аудиторов в рамках Sarbanes-Oxley Act (SOX), COSO ERM является де-факто отраслевым стандартом. Если потребности лежат в области повышения операционной устойчивости, безопасности или качества в нефинансовом секторе, ISO 31000 предлагает более гибкую основу.
2. Оценка корпоративной культуры и зрелости процессов. COSO требует достаточно зрелой системы внутреннего контроля и понимания со стороны совета директоров. Он лучше приживается в иерархических организациях с четкими регламентами. ISO 31000 может быть более успешно внедрен в компаниях, уже работающих по другим стандартам ISO (например, 9001, 14001), где процессный подход уже укоренен в культуре.
3. Анализ ресурсов и экспертизы. Оцените доступность внутренних компетенций. Внедрение COSO часто требует привлечения специалистов с опытом в финансовом аудите и внутреннем контроле. Для ISO 31000 могут быть более доступны специалисты по менеджменту качества или проектные менеджеры. Также учтите бюджет на возможную сертификацию (для ISO) или консультационные услуги.
4. Пилотная интеграция с ключевыми процессами. Не пытайтесь внедрить систему сразу на всю организацию. Выберите один стратегический процесс (например, разработку нового продукта) или один департамент. Апробируйте выбранную методологию в этом ограниченном контексте, используя ее язык, инструменты и отчетные формы. Это позволит выявить практические сложности и адаптировать подход.
5. Разработка и формализация политики и процедур. На основе результатов пилота создайте официальный документ — Политику управления рисками. В ней зафиксируйте выбранную методологическую основу (COSO, ISO или их гибрид), роли и ответственность, ключевые процессы (идентификация, оценка, реагирование, мониторинг) и порядок отчетности. Этот документ станет краеугольным камнем системы.
6. Масштабирование и интеграция в цикл планирования. Постепенно расширяйте применение системы на другие бизнес-единицы и функции. Ключевой этап — интеграция оценки рисков в ежегодный цикл стратегического и бюджетного планирования. Риски должны обсуждаться на тех же встречах и с тем же уровнем серьезности, что и финансовые показатели и стратегические инициативы.
7. Внедрение технологической платформы и метрик. Для эффективной работы системы необходима специализированная GRC-платформа (Governance, Risk, Compliance) или, как минимум, адаптированные инструменты. Одновременно разработайте ключевые показатели эффективности (KPI) для самой системы риск-менеджмента, например, процент реализованных рисков, на которые были заранее запланированы ответные действия, или время на реагирование.

Кому какой подход подходит: рекомендации по применению

Однозначного ответа «что лучше» не существует. Оптимальный выбор определяется конкретным профилем компании. COSO ERM является практически обязательным выбором для публичных компаний, акции которых торгуются на американских биржах, а также для крупных финансовых институтов (банков, страховых компаний), где интеграция с системами внутреннего финансового контроля критически важна. Этот фреймворм также хорошо подходит для крупных холдингов со сложной корпоративной структурой, где необходим строгий надзор со стороны совета директоров.

ISO 31000 демонстрирует свои преимущества в международных компаниях, не ориентированных на американский рынок капитала, но стремящихся к глобальному признанию своих стандартов управления. Он идеален для промышленных предприятий, организаций в сфере энергетики, транспорта, здравоохранения, где риски связаны с безопасностью, экологией и непрерывностью бизнеса. Стандарт также отлично подходит для государственных учреждений и некоммерческих организаций. Малый и средний бизнес, начинающий путь формализации риск-менеджмента, часто находит ISO 31000 менее громоздким и более понятным для старта.

• Выбирайте COSO ERM, если: вы — публичная компания в США; ваш бизнес строго регулируется в части финансовой отчетности; у вас есть зрелая функция внутреннего аудита; приоритет — защита акционерной стоимости и соответствие регуляторным требованиям.
• Выбирайте ISO 31000, если: вы работаете на глобальных рынках вне США; ваша отрасль связана с производством, безопасностью, цепочками поставок; вы уже используете другие стандарты ISO; вам важна возможность сертификации системы; нужна максимальная гибкость в адаптации процессов.
• Рассмотрите гибридную модель, если: вы — международная компания с листингом в США; вам необходимо соответствовать и SOX, и отраслевым стандартам безопасности/качества. В этом случае за основу берется COSO для финансовой отчетности, а ISO 31000 — для операционных и стратегических рисков.

Типичные ошибки при выборе и внедрении системы

Независимо от выбранной методологии, компании часто сталкиваются с рядом повторяющихся проблем, которые сводят на нет усилия по внедрению. Первая и главная ошибка — восприятие риск-менеджмента как отдельной, изолированной функции, «полиции», которая только создает препятствия. Успешная система встроена в бизнес-процессы и служит их поддержке. Вторая ошибка — фокусировка исключительно на финансовых и ретроспективных рисках, игнорируя стратегические, репутационные и возникающие угрозы, такие как киберриски или изменения климатической политики.

Еще одна распространенная проблема — недостаточное вовлечение высшего руководства и совета директоров. Если риск-менеджмент не является регулярным пунктом повестки на заседаниях правления, система теряет стратегическую значимость и превращается в бюрократическую формальность. Наконец, компании часто недооценивают важность коммуникации и обучения, не инвестируя в изменение корпоративной культуры, где каждый сотрудник понимает свою роль в управлении рисками.

Заключение и взгляд в будущее

Выбор между COSO ERM и ISO 31000 — это выбор между глубокой интеграцией в корпоративное управление и финансовый контроль (COSO) и универсальной, гибкой процессной моделью (ISO). В современной динамичной среде наблюдается конвергенция этих подходов: последние версии COSO стали более ориентированными на стратегию и будущее, а ISO 31000 усиливает акцент на лидерстве и интеграции. Трендом ближайших лет станет не просто выбор одной методологии, а их адаптивное сочетание с использованием технологий искусственного интеллекта и анализа больших данных для прогнозной аналитики рисков. Ключ к успеху лежит не в слепом следовании стандарту, а в его осмысленной адаптации к уникальному контексту бизнеса, где система управления рисками становится не центром затрат, а источником конкурентного преимущества и устойчивости.

Добавлено: 19.04.2026