Популярное

Уровень зрелости риск-менеджмента в российских компаниях
16
6 минут
Уровень зрелости риск-менеджмента в российских компаниях

Скачать исследование «Уровень зрелости риск-менеджмента в российских компаниях» (2025)


Группа ДРТ совместно с Ассоциацией риск-менеджеров «Русское общество управления рисками» представили результаты масштабного исследования «Уровень зрелости риск-менеджмента в российских компаниях» (2025).

Представленный ниже анализ раскрывает ключевые положения исследования, фокусируясь на группах рисков, текущем состоянии дел и прогнозах на ближайший год.

В контексте данного исследования и общепринятой корпоративной практики, уровень зрелости риск-менеджмента определяется как интегральный показатель, отражающий глубину развития, степень формализации и реальную интеграцию процессов управления рисками в общую систему корпоративного управления и повседневную деятельность компании. Этот показатель наглядно демонстрирует, насколько системно организация подходит к выявлению, оценке, контролю и мониторингу рисков, а также использует полученную информацию для принятия взвешенных решений, вместо того чтобы действовать реактивно или формально.

С точки зрения руководителя службы безопасности, данный отчет представляет собой не просто аналитику процессов, а критически важную диагностическую карту, выявляющую уязвимости российского бизнеса перед лицом как внешних, так и внутренних угроз. Исследование подтверждает тревожную тенденцию: существует колоссальный разрыв между формальным наличием «бумажной» системы управления рисками и реальной защищенностью активов компании. Общий балл 0,34 из 1 - это не просто показатель стагнации, это тревожный сигнал о высоком уровне остаточного риска, который бизнес принимает на себя, зачастую неосознанно, что ставит под угрозу его устойчивость и долгосрочное развитие.

1. Анализ ситуации: критические уязвимости в системе безопасности

С точки зрения экономической безопасности, мы выделили три ключевых аспекта, требующих пристального внимания:

А. Иллюзия контроля вместо реальной защиты

В половине компаний (47%) управленческие решения принимаются директивно, без предварительного анализа рисков. Это означает, что стратегические шаги предпринимаются "вслепую", а система управления рисками используется лишь для постфактумного оправдания понесенных убытков. Для безопасности это тревожный сигнал: риск-аппетит либо не определен, либо игнорируется. В результате компания может незаметно для себя оказаться в зоне недопустимых финансовых потерь. Отсутствие у риск-менеджера права вето (лишь в 5% случаев) лишает систему безопасности "стоп-крана", необходимого для предотвращения критических сделок.

Б. Культурная и кадровая "слепая зона"

В 72% компаний мотивация сотрудников никак не связана с управлением рисками. С точки зрения безопасности, это означает отсутствие стимулов для выявления угроз. Более того, инициативное сообщение о риске может быть воспринято как проявление нелояльности. Лишь 44% организаций поощряют открытое информирование о рисках. В таких условиях внутреннее мошенничество, халатность и сокрытие инцидентов становятся системными проблемами. Ситуация усугубляется тем, что в 35% компаний ответственность за управление рисками не закреплена в должностных инструкциях. Это делает практически невозможным установление виновных и предотвращение повторения неблагоприятных событий.

В. Технологическая отсталость как угроза непрерывности бизнеса

Основным инструментом для расчетов в 75% компаний остается Excel. Для службы безопасности это равносильно хранению критически важной информации о рисках в незащищенной среде, подверженной ошибкам, искажениям и несанкционированному доступу. Низкий уровень автоматизации сбора данных замедляет скорость реагирования на возникающие угрозы. При этом киберугрозы стабильно входят в топ-5 внешних вызовов, однако лишь 27% компаний смогли реально интегрировать управление рисками в свою информационную безопасность. Возникает классический разрыв: угрозы растут, а инструменты мониторинга и реагирования остаются устаревшими.

2. Группы риска: взгляд через призму экономической безопасности

Помимо отраслевых и размерных сегментов, для более глубокого анализа уязвимости мы выделили поведенческие профили, которые пересекаются с нашей выборкой исследования. Эти группы представляют собой различные уровни готовности к экономическим вызовам и рискам.

Группа «Отрицатели» (преимущественно малый и средний бизнес без риск-менеджмента)

  • Характеристика: около трети исследуемых компаний относятся к этой группе. Они не имеют даже базовых механизмов анализа угроз.
  • Уязвимость: с точки зрения экономической безопасности, такие компании являются «лёгкой добычей». Они подвержены рейдерским атакам, мошенническим схемам со стороны контрагентов и внезапным кассовым разрывам, вызванным налоговыми или регуляторными изменениями.
  • Последствия: отсутствие понимания реальной ёмкости рисков означает, что владельцы не осознают критический уровень убытков, который может привести к банкротству. Прогноз для этой группы - увеличение числа инцидентов, связанных с прямым финансовым ущербом.

Группа «Формалисты» (крупные компании с формальным подходом к риск-менеджменту)

  • Характеристика: этот тип компаний представляет наибольшую опасность с точки зрения безопасности. Несмотря на наличие утвержденной документации, и действующих комитетов, ключевые решения принимаются вне рамок риск-контура.
  • Уязвимость: такой подход создает ложное ощущение защищенности у Совета директоров. В условиях кризиса (например, санкций или разрыва цепочек поставок) формальные отчеты не смогут служить системой раннего предупреждения. Более того, под давлением регуляторов компании могут скрывать реальные риски, опасаясь признать неэффективность дорогостоящих систем.
  • Последствия: именно эта группа с высокой вероятностью столкнется с «внезапными» дефолтами и потерей кредитных рейтингов.

Группа «Передовики с открытым флангом» (представители пищевой промышленности, добывающей отрасли)

  • Характеристика: даже при высоком уровне зрелости риск-менеджмента (например, 0,92), существует угроза «чёрного лебедя». Это полное игнорирование климатических и глобальных ESG-рисков, которые стремительно превращаются в торговые барьеры.
  • Уязвимость: с точки зрения безопасности, это означает, что текущая санкционная повестка затмевает долгосрочные угрозы. Компания может быть идеально защищена от прошлых рисков, но окажется безоружной перед требованиями углеродной нейтральности или отказом азиатских партнеров от продукции, не соответствующей экологическим стандартам.

3. Прогноз угроз экономической безопасности на 2026 год: ключевые вызовы для служб безопасности

Анализ отчета выявил следующие основные тенденции, к которым службам безопасности необходимо готовиться в предстоящем году:

  1. Кадровая безопасность как фактор выживания
    Дефицит квалифицированных специалистов выходит на первый план, становясь главной угрозой экономической безопасности. Ожидается усиление конкуренции за таланты, что приведет к росту случаев переманивания сотрудников, промышленного шпионажа и инсайдерских утечек. Компании, не уделяющие должного внимания формированию культуры управления рисками, рискуют потерять ключевых сотрудников, обладающих критически важными знаниями, что напрямую скажется на непрерывности их бизнеса.
  2. Конфликт между формальной и реальной безопасностью
    На фоне планов 70% компаний по развитию культуры управления рисками, службам безопасности предстоит доказывать экономическую целесообразность "мягких" мер защиты. При этом 47% респондентов отмечают директивный стиль руководства как существенное препятствие. Сопротивление топ-менеджмента внедрению реальной, а не формальной культуры безопасности может привести к сокрытию инцидентов и лавинообразному росту ущерба.
  3. Киберриски в условиях импортозамещения
    Массовый переход на отечественное программное обеспечение и самописные решения, в условиях нехватки профильных специалистов, неизбежно приведет к увеличению числа уязвимостей. Недостаточно развитые инструменты количественной оценки рисков в сочетании с атаками на цепочки поставок программного обеспечения создадут благоприятную почву для целевых кибератак.
  4. Риски чрезмерного комплаенса (оверкомплаенс)
    Стремление соответствовать требованиям регуляторов (например, Центрального банка) и рейтинговых агентств может привести к избыточному формализму. Службы безопасности окажутся, перегружены подготовкой отчетов, но при этом могут утратить реальные полномочия для предотвращения рискованных операций. Это сместит фокус с превентивных мер по минимизации потерь на их последующее документирование.

Ключевые выводы и рекомендации: управление рисками в эпоху неопределенности

Нынешний уровень зрелости управления рисками не обеспечивает должной экономической безопасности бизнеса в условиях затяжной нестабильности. Это серьезный сигнал для руководства.

Предлагаем сместить фокус с формального документирования рисков на три стратегических направления:

  • Усиление контроля над сделками: необходимо наделить риск-менеджеров реальным правом вето или обязательным участием в голосовании при заключении крупных контрактов. Их заключение должно быть равнозначно визе службы безопасности.
  • Переход к цифровым решениям: следует ускорить миграцию расчетов из Excel в защищенные GRC-среды, оснащенные интегрированными кибер-индикаторами.
  • Трансформация корпоративной культуры: в KPI топ-менеджмента должны быть включены не просто факты наличия отчетов, а конкретные показатели своевременности выявления угроз и скорости их нейтрализации. Без этого любые бюджеты на автоматизацию будут потрачены впустую.


Делитесь с коллегами!
———
Мы делаем сложное понятным! ИД Советник, ж-л Директор по безопасности, ж-л Безопасность компании 

Подписывайтесь на наши ресурсы: