Взгляд на риски - pwc.ru · Латинская Америка ... и 2015 годы,...

Взгляд на риски Управление рисками «на передовой»6-е Ежегодное исследование, июнь 2017 года

Взгляд на риски – 2017 I PwC 3

Истоки сложившейся ситуации 4Лидерство на основе сотрудничества как залог успехаКакие компании являются передовыми?

Подробное обсуждение вопроса 9Тенденция: бизнес-ориентированный подход к росту и повышению эффективностиПринципы лидерства передовых компаний

Финансовые выгоды управления рисками «на передовой»

Интегрированная система управления рисками на основе взаимного сотрудничества положительно влияет на работу всех линий защиты

Важность развитой риск-культуры

Система управления рисками: в каких областях она стала сильнее, а в каких все осталось по-прежнему

Директора по управлению рисками стремятся принимать более активное участие в решении стратегических задач

Уровень зрелости в области киберрисков

Уровень зрелости риск-культуры

Оценка зрелости системы управления рисками

Как это может повлиять на ваш бизнес 28Выстраивание оптимальной экосистемы управления рискамиВремя действовать

Задачи для высшего руководства

Содержание

В рамках 6-го Ежегодного исследования «Взгляд на риски» фирмой PwC в конце 2016 года был проведен глобальный опрос, в котором принял участие 1 581 респондент из компаний, представляющих 30 отраслей более чем в 80 странах мира.В опросе участвовали члены советов директоров, руководители высшего звена и их непосредственные подчиненные. Значительную часть респондентов представляли директора по управлению рисками (CRO), руководители функции внутреннего аудита (CAE) или их непосредственные подчиненные, финансовые директора (CFO), председатели или члены комитетов по аудиту, генеральные директора (CEO) или члены совета директоров. По сравнению с опросом 2016 года в этом году более активное участие в исследовании приняли руководители высшего звена; число участников, занимающих должности уровня CEO и CRO, увеличилось на 31 %. (Примечание: наименования должностей могут варьироваться, например: CAE или главный аудитор, CRO или руководитель департамента по управлению рисками и т. д.)

Для того чтобы расширить и дополнить результаты исследования, мы изучили мнения руководителей PwC и экспертов компании Oxford Economics, а также провели ряд личных встреч с руководителями компаний из разных отраслей экономики.

С учетом местонахождения головного офиса компаний участники опроса распределились следующим образом: Северная Америка – 34 %, Европа – 33 %, Азиатско-Тихоокеанский регион – 19 %, Латинская Америка – 7 %, Ближний Восток и Африка – 7 %.

Для целей настоящего исследования мы разделили респондентов на шесть отраслевых групп: производство потребительских и промышленных товаров и услуг (40 %), финансовый сектор (33 %), технологии, коммуникации, развлечения и СМИ (11 %), здравоохранение (8 %), государственный сектор (4 %), образовательные и некоммерческие организации (2 %). Респонденты из прочих отраслевых групп составили 2 % опрошенных.

Благодарим всех, кто принял участие в подготовке настоящего исследования.

Взгляд на риски – 2017: методология исследования

4 PwC I Взгляд на риски – 2017

Истоки сложившейся ситуацииЛидерство на основе сотрудничества как залог успеха

С начала кризиса 2008 года прошло почти десять лет. Его последствия и стремление преодолеть трудные времена вынудили компании занять консервативные позиции в области управления рисками и перенести ответственность за данный процесс с бизнес-подразделений на вторую линию защиты.

Однако на фоне общей дестабилизации и непрерывных изменений, происходящих во внешней среде, компании ощущают потребность в пересмотре сложившейся практики. В настоящее время управление рисками на основе эффективного взаимодействия первой и второй линий защиты с четким переносом ответственности на первую линию служит залогом успеха на пути к целевому состоянию компании и обеспечению необходимых темпов роста. Подобный подход предполагает, что все решения относительно рисков принимаются первой линией защиты в соответствии со стратегией компании. В свою очередь, вторая линия защиты действует на опережение и вносит свой вклад в принятие решений путем акцентирования внимания на новых и возникающих рисках, оказания содействия в поддержании эффективной практики оценки рисков, а также своевременного предоставления консультаций и поддержки. Третья линия защиты предоставляет независимые гарантии в части эффективного функционирования системы управления рисками, тем самым внося дополнительный вклад в сохранение и повышение стоимости компании.

5Взгляд на риски – 2017 I PwC

PwC I Взгляд на риски – 20176

Сопоставляя результаты настоящего исследования с данными исследований прошлых лет, мы можем проследить явную тенденцию к усилению активной роли руководства бизнес-подразделений и использованию в совокупности таких понятий, как владелец риска и ответственность за принятие решений по управлению рисками.

В целом почти две трети (63 %) наших респондентов считают, что перенос ответственности по управлению рисками на первую линию защиты способствовал повышению гибкости их компаний, то есть способности своевременно идентифицировать и оценивать риски, а также оперативно проводить мероприятия по управлению рисками. Вместе с тем 46 % опрошенных планируют продолжать процесс пересмотра ответственности по управлению рисками в течение следующих трех лет.

Однако одна группа респондентов, которую мы назвали «передовой», вырвалась далеко вперед.В передовых компаниях, представленных примерно 13 % респондентов настоящего исследования, с ощутимым перевесом ответственность за риски и

принятие соответствующих решений возложена на представителей первой линии защиты. Руководство данных компаний уверено в том, что первая линия защиты эффективно управляет большей частью рисков, опираясь в своем мнении на повсеместное применение апробированной методологии по рискам, а также наличие поддержки и получение гарантий со стороны второй и третьей линий защиты.

Успех порождает успех: по сравнению с остальными респондентами передовые компании с большей уверенностью прогнозируют рост выручки и прибыли в течение следующих двух лет. И хотя подобные компании подвержены дестабилизирующим факторам и рискам не меньше других, они способны быстрее оправиться после наступления неблагоприятных рисковых событий и последующей дестабилизации бизнеса. Передовые компании определяют роли и зоны ответственности каждой линии защиты, что позволяет бизнес-подразделениям и внутренним поставщикам гарантий сконцентрироваться на тех областях, где они могут принести максимальную пользу, а также повышает их гибкость, динамичность и целенаправленность в сложных ситуациях.

Вместе с тем только

13 %респондентов в большей мере возлагают ответственность за риски и принятие решений по управлению рисками на первую линию защиты и выстраивают эффективное взаимодействие всех линий защиты (передовые компании).

46 %планируют продолжить процесс пересмотра ответственности за управление рисками в течение следующих трех лет.

63 %согласны с тем, что перенос ответственности по управлению рисками на первую линию защиты способствует повышению гибкости, своевременному выявлению рисков, а также оперативному проведению мероприятий по управлению рисками.

Респонденты согласны с тем, что принятие решений в отношении рисков первой линией защиты является оптимальным вариантом


Система управления рисками, в которой ведущую роль играет первая линия защиты и за основу берутся принципы сотрудничества и совместной ответственности всех трех линий защиты, позволяет компании эффективно отвечать на вызовы текущих условий дестабилизации и непрерывных изменений. Для реализации подобного подхода необходимо:

четко определить общекорпоративную риск-культуру, которая должна начинаться с совета директоров и CEO и охватывать всю организацию;

внедрить четко сформулированную концепцию риск-аппетита в рамках всей организации;

пересмотреть роли и задачи каждой линии защиты в свете обеспечения эффективного функционирования системы управления рисками, когда первая линия несет ответственность за принятие решений по управлению рисками, вторая линия осуществляет мониторинг первой, а третья линия выполняет независимую оценку эффективности системы управления рисками;

обеспечить согласованность процесса управления рисками со стратегическими целями компании в точках принятия решений, чтобы первая линия защиты могла предвидеть бизнес-риски при выборе тактических приоритетов;

Перенос ряда процессов управления рисками на первую линию защиты представляет собой не угрозу, а возможность для функций управления рисками, комплаенса и внутреннего аудита. Выступая единым фронтом во главе с бизнес-подразделениями и базируясь на принципах сотрудничества и взаимной поддержки, вторая и третья линии защиты смогут привносить ощутимую пользу организации в роли бизнес-партнеров и тем самым сделать максимальным свой вклад в успешное развитие организации.

Высшее руководство и бизнес-подразделения

Функции управления рисками, комплаенс и пр.

Внутренний аудит

1-я линия защиты



разработать систему отчетности по рискам, позволяющую руководителям и членам совета директоров эффективно выполнять свои надзорные функции в области управления рисками.

Какие компании являются передовыми?

Для всех передовых компаний (13 % опрошенных) характерны схожие сильные стороны, о чем свидетельствуют их ответы. Передовые компании, принявшие участие в нашем опросе...

1. ...согласны или полностью согласны с тем, что их бизнес-подразделения обладают необходимыми полномочиями, ресурсами и поддержкой со стороны руководства для эффективного управления рисками

2. ...согласны или полностью согласны с тем, что перенос ответственности за управление рисками на первую линию защиты делает их более подготовленными к своевременному выявлению рисков, а также снижению негативных последствий в случае реализации рисков;

3. ...в настоящий момент принимают решения по рискам на первой линии защиты в отношении не менее чем 6 из 12 областей риска, проанализированных в исследовании;

4. ...чаще остальных участников опроса имеют четко сформулированную и доведенную до сведения всех подразделений концепцию риск-аппетита и принимают решения с учетом установленного уровня риск-аппетита;

5. ...чаще других корректно определяют бюджет функции управления рисками, используют технологии и специальный инструментарий для сбора информации о рисках по всей организации, создают развитую риск-культуру, способствующую органичному встраиванию процедур по управлению рисками в повседневную операционную деятельность, а также демонстрируют взаимодействие всех трех линий защиты как единый партнерский альянс, ориентированный на достижение стратегических целей.

Директора по управлению рисками в компаниях, которые мы назвали передовыми, также чаще других рассматривают систему управления рисками как катализатор роста, а не как сдерживающий фактор, и считают, что их функции управления рисками и комплаенса являются для бизнес-подразделений надежной опорой, акцентируют внимание на наиболее значимых областях и предоставляют упреждающие стратегические рекомендации.

1.

2.

3.

4.

5.



Компании, занимающиеся производством потребительских и промышленных товаров и услуг, составляют 41 % всех респондентов и 40 % группы передовых компаний. Компании финансового сектора – это 29 % всех респондентов и 33 % группы передовых компаний. Таким образом, в относительных значениях данные отраслевые группы можно считать наиболее передовыми.

Достижения компаний финансового сектора вполне ожидаемы, в то время как присутствие в рядах передовых компаний производителей потребительских и промышленных товаров и услуг, скорее, неожиданно. Вместе с тем стремление компаний данного сектора к повышению уровня зрелости системы управления рисками находит ряд объяснений.

В настоящий момент компании – производители потребительских и промышленных товаров и услуг возлагают все больше ответственности за управление рисками на первую линию защиты.

В компаниях данного сектора первая линия защиты в большей мере управляет операционными рисками.

И наконец, 53 % опрошенных компаний – производителей потребительских и промышленных товаров и услуг, испытавших сбои в операционной деятельности по причине дестабилизирующих факторов, эффективно справлялись с ними (доля остальных респондентов, которым удалось успешно противостоять дестабилизирующим факторам, составила 46 %).

Отраслевое распределение:

Отраслевое и географическое распределение передовых компаний

Географическое распределение:

Производство потребительских и промышленных товаров и услуг

Финансовый сектор

Здравоохранение Государственный сектор

Образовательные и некоммерческие организации

Технологии, коммуникации, развлечения и СМИ

40 % 8 %33 % 4 %11 % 2 %

34 %

7 %7 %

33 %19 %

Северная Америка

Латинская Америка

Ближний Восток и Африка

Азиатско-Тихоокеанский регион

Европа

По мнению респондентов, когда у руля принятия решений по рискам стоит первая линия защиты, применяется более тщательный и обоснованный подход к определению уровня риск-аппетита и допустимой толерантности к риску, повышается общая эффективность системы управления рисками, что в свою очередь дает больше уверенности в росте выручки и прибыльности организации.

Тенденцию переноса ответственности за принятие решений с учетом рисков на первую линию защиты можно считать устоявшейся, что подтверждается всеми опрошенными респондентами: бизнес-подразделения либо являются единоличными владельцами и ответственными за принятие решений по управлению рисками, либо действуют совместно с функцией управления рисками и (или) функцией комплаенса.

Подробное обсуждение вопросаТенденция: бизнес-ориентированный подход к росту и повышению эффективности



Данную тенденцию можно проследить при анализе статистических данных. Если мы сравним результаты исследования «Взгляд на риски» за 2017 и 2015 годы, то увидим, что за прошедшие два года уровень ответственности за принятие решений по рискам и управление рисками второй линией защиты не изменился или даже снизился в 8 из 11 проанализированных групп рисков. При этом уровень ответственности за принятие решений по рискам и управление рисками первой линией защиты повысился по 5 из 11 групп рисков.

0

20

Вторая линия защиты Совместная деятельность

Первая линия защиты

Риски, связанные с управлением персоналом

60

40

2015

2017

0

20

Вторая линия защиты Первая линия защиты

Операционные риски

60

40

2015

2017

0

20


Риск нарушения информационной безопасности и конфиденциальности данных

60

40

2015

2017

0

20


Риски, связанные с экологической ситуацией, и риски устойчивого развития60

40

2015

2017

Совместная деятельность

0

20


Риски, связанные со снижением доходности и волатильностью

60

40

2017

2015


0

20


Риски единой культуры и восприятия; риски, связанные с мотивацией персонала

60

40

2015

2017


0

20


ИТ-риски

60

40

2017

2015


0

20

40


2015

2017

-правовых Риски неисполнения требований регуляторов и/или несоблюдения нормативнооснов

60


0

20


Финансовые риски

60

40

2015

2017


0

20


Репутационные риски / риски, связанные с брендом60

40

2015

2017




0

20


60

40

2015

2017


Риски, связанные с реализацией стратегии

Мелисса Ли, директор глобальной функции корпоративного регулирования и контроля в компании SAP, считает чрезвычайно важным активное вовлечение бизнес-подразделений в процесс управления рисками: «Мы прилагаем все усилия для обеспечения лидирующей роли первой линии защиты в процессе управления рисками. Чем больше процедур управления рисками мы сможем перебросить “на передовую” – сначала вооружить ими руководство, а потом и всех сотрудников, научить их корректно формировать свои ожидания и принимать верные решения, – тем успешнее будет компания. Мы стараемся добиться того, чтобы наши сотрудники, работающие непосредственно с клиентами на местах или обладающие глубоким пониманием возможных сценариев реализации того или иного риска, имели полномочия и ресурсы, достаточные для выработки соответствующего подхода к принятию оптимальных решений по управлению рисками».

Такие перемены своевременны. На протяжении более чем десяти лет деятельность функций управления рисками во многих компаниях была направлена на соблюдение нормативно-правовых требований, в частности соответствие законам Сарбейнса – Оксли и Додда – Франка. Подобные действия естественным образом укрепляли позиции директоров по управлению рисками, комплаенсу и аудиту в общей иерархии системы управления рисками. Прошло почти 15 лет после вступления в силу закона Сарбейнса – Оксли; потрясения финансового кризиса 2007–2009 годов представляются все более далекими. Компании начинают пересматривать и реформировать систему упрsавления рисками в соответствии с условиями и потребностями современной бизнес-среды.

В недавно опубликованном PwC юбилейном, 20-м Ежегодном опросе руководителей крупнейших компаний мира бизнес-лидеры признали основными дестабилизирующими факторами отсутствие определенности в отношении перспектив экономического роста, чрезмерное регулирование, дефицит квалифицированных кадров, геополитическую нестабильность и высокие темпы технологических перемен. Добавьте к этому весьма конкретную и актуальную угрозу кибератак, изменение поведения потребителей, социальную нестабильность, и вы получите ситуацию, при которой владельцы рисков со стороны первой линии защиты должны занять лидирующую позицию по управлению вышеперечисленными категориями рисков.



«Первая линия защиты принимает решение о рисках, которые берет на себя организация, – сообщил нам старший исполнительный вице-президент и директор по управлению рисками компании TIAA Стив Группо. – Они владеют рисками и имеют четкое представление о риск-аппетите. Вторая линия выступает в роли помощника и наставника для бизнес-подразделений, оказывает поддержку при внедрении программ по управлению рисками, а также обеспечивает поддержание единой риск-культуры и соответствие мероприятий по управлению рисками заявленному уровню риск-аппетита как на уровне организации в целом, так и в конкретных бизнес-подразделениях».

Залогом эффективности системы управления рисками являются ее повсеместная поддержка, объединение усилий и согласованность действий во всех подразделениях организации: первая линия защиты интегрирует деятельность по управлению рисками в процесс реализации заданных стратегических инициатив; вторая и третьи линии обеспечивают наличие ресурсов, данных и источников информации, необходимых для поддержания эффективной системы управления рисками во всей организации. Результаты опроса передовых компаний указывают на то, что под руководством бизнес-подразделений повышается общая эффективность системы управления рисками и, соответственно, обеспечивается больший рост выручки и прибыли организации.

Принципы лидерства передовых компанийВ отличие от остальных респондентов, представители передовых компаний более склонны применять тщательно выстроенный подход к управлению рисками на основании четко определенного риск-аппетита и примеров лучшей практики.

Если говорить о применении пяти различных видов лучшей практики управления рисками, то здесь передовые компании опережают остальных респондентов как минимум на 12 процентных пунктов.

Передовые компании применяют более тщательный подход к управлению рисками

53 % 69 %

66 %52 %

49 %

46 % 61 %

57 %45 %

65 %

Остальные респонденты

Риск-аппетит или толерантность к риску определены в отношении ключевых категорий риска

Бизнес-решения принимаются с учетом допустимого уровня риск-аппетита

В компании четко сформулированы концепция риск-аппетита и заявления об уровне риск-аппетита, которые в понятной форме доводятся до сведения сотрудников

В компании выстроен процесс формирования профиля рисков на уровне всей организации и сопоставления фактического уровня риска с заявленным риск-аппетитом

Компания осуществляет мониторинг заявленного уровня риск-аппетита, активно используя ключевые индикаторы риска

Передовые компании


Среди компаний, подвергшихся воздействию таких факторов, как изменение бизнес-модели или стратегии развития, 66 % передовых компаний успешно справились с ними (остальные респонденты – 48 %). Среди компаний, подвергшихся негативному влиянию операционных рисков, 63 % передовых компаний смогли эффективно преодолеть последствия реализации подобных рисков (остальные респонденты – 46 %). Среди компаний, подвергшихся влиянию дестабилизирующих факторов, связанных с геополитическими волнениями, 56 % передовых компаний успешно справились с ними (остальные респонденты – 39 %).

Как группа респондентов, передовые компании с большей уверенностью, чем другие, заявляют о наличии у них эффективного процесса управления рисками по всем 12 группам рисков, рассмотренным в рамках исследования. По некоторым группам их ответы существенно отличаются от мнения остальных участников исследования.

Ответы передовых компаний на вопросы о последствиях реализовавшихся рисков позволяют сделать вывод о том, что их уверенность в своих силах основана на успешном применении методов управления рисками в прошлом. В сравнении с остальными респондентами значительно больший процент передовых компаний успешно справлялся с негативными последствиями наступивших рисков. Подобная тенденция была характерна для всех 12 рассмотренных нами категорий рисков.

Передовые компании управляют рисками более эффективно


Риски неисполнения требований регуляторов и (или) несоблюдения нормативно-правовых основ

Риски, связанные со снижением доходности и волатиль-ностью


Репутационные риски / риски, связанные с брендом


Риски, связанные с экологической ситуацией, и риски устойчивого развития

Риски нарушения информа-ционной безопасности и конфиденциальности данных

ИТ- риски


Риски, связанные с исполнением обязательств третьими сторонами (поставщики или цепочка поставок)


0 % 20 % 40 % 60 % 80 % 100 %




По результатам наших исследований «Взгляд на риски» за прошлые годы четко прослеживается связь между эффективной системой управления рисками, направленной на реализацию стратегии компании, и улучшением финансовых показателей, поэтому нет ничего удивительного в том, что исследование этого года предполагает, что управление рисками силами первой линии защиты является фактором роста ключевых показателей компании.

За счет согласованности таких элементов, как стратегия, ответственность за риски и принятие решений, система управления рисками во главе с первой линией защиты автоматически начинает действовать в целях реализации стратегии и работать на опережение, а не в режиме обороны и реагирования на последствия, что способствует уверенному росту выручки и прибыли, увеличению занимаемой доли на рынке, снижению текучести кадров и повышению устойчивости к дестабилизирующим факторам.

Вывод: по сравнению с остальными респондентами передовые компании с большей уверенностью прогнозируют рост выручки и прибыли в течение следующих двух лет.

«Мы не собираемся прекращать принимать риски. Мы хотим, чтобы риски принимались осознанно, на основании достаточной информации, с учетом всех нюансов, а также в рамках заявленного уровня риск-аппетита. Я всегда провожу аналогию с гоночным автомобилем: тормоза придают вам смелости сильнее давить на газ. На прямых участках трассы ускоряешься, на поворотах притормаживаешь, чтобы не угодить в кювет. Чистый эффект – очень высокая средняя скорость движения в сравнении с поездкой на автомобиле без тормозов».Ник Хайронс, старший вице-президент департамента этики и комплаенса в компании GlaxoSmithKline

Передовые компании сообщают о более высоких результатах.

В течение следующих двух лет:

Финансовые выгоды управления рисками «на передовой»

ожидают увеличения темпа

роста прибыли

ожидают увеличения темпа

роста выручки

59 % 77 %51 % 71 %

Интегрированная система управления рисками на основе взаимного сотрудничества положительно влияет на работу всех линий защиты Эффективное управление рисками во главе с первой линией защиты не означает снижения роли и вклада функций второй линии защиты (управление рисками и комплаенс). Напротив, подобная тенденция является естественным следствием стремления повысить уровень осведомленности и ответственности в области управления рисками, интегрировать риск-культуру в общекорпоративную культуру и, как результат, создать оптимальную систему управления рисками. Передовые компании не управляют рисками изолированно, они опираются на принципы сотрудничества и взаимной поддержки, соединяют воедино все три линии защиты в целях эффективного управления рисками и достижения стратегических целей.

Передовые компании придают первостепенное значение развитию общекорпоративной риск-культуры, общий тон которой задается высшим исполнительным руководством, членами совета директоров и руководителями бизнес-подразделений. Кроме того, особое внимание уделяется согласованности риск-культуры со стратегией развития компании, что позволяет более эффективно реагировать на риски и дестабилизирующие факторы.

Подобный подход предполагает следующее распределение функционала.

Первая линия принимает решения по рискам, выявляет бизнес-риски, интегрирует систему управления рисками в процессы реализации стратегических и тактических целей, а также обеспечивает применение надлежащих методов управления рисками.

Вторая линия (функции управления рисками и комплаенса) работает совместно с первой линией, выступая в роли координатора и бизнес-партнера процесса управления рисками, обеспечивает поддержание и оптимизацию эффективной практики управления рисками.

Третья линия (функция внутреннего аудита) выполняет независимую оценку эффективности системы управления рисками для подтверждения надежности и достаточности мероприятий по рискам, проводимых первой и второй линиями защиты.

«Все дело во взаимопомощи и партнерских отношениях, – считает главный аудитор и директор по управлению рисками крупной американской компании. – Я не принимаю решений по управлению рисками; я отвечаю за координацию и коммуникацию, и моя команда всегда в курсе происходящего в компании. Мы выявляем и прорабатываем актуальные вопросы и проблемы.

В конечном счете я информирую о текущей ситуации генерального директора и комитет по рискам, а они уже решают, принимать тот или иной риск или нет. Для выработки единого мнения может потребоваться один, два, три, четыре этапа переговоров, но в конечном итоге неизбежно встает вопрос: “Какое решение будет наилучшим для организации и акционеров и как это повлияет на наши цели и задачи?”».



Важность развитой риск-культуры

• продвижения культуры, при которой вторая линия защиты позиционируется как наставник, координатор и помощник первой линии защиты, в том числе обеспечивая дополнительный экспертный взгляд на действия бизнес-подразделений в части надлежащего управления рисками (передовые компании – 55 %, остальные респонденты – 45 %).

Применение и повсеместное распространение передовой практики, современных методов и инструментария для управления рисками обеспечивают дальнейшее развитие риск-культуры, и в этой сфере передовые компании также оставили других респондентов далеко позади.

Важность развитой риск-культуры Зрелую риск-культуру характеризует наличие прозрачного и понятного всем процесса управления рисками, включающего в себя агрегирование информации по рискам, выявление и оценку рисков, мониторинг эффективности принимаемых мер, при этом для получения наиболее полной картины по рискам повсеместно применяются методы анализа данных и используется специализированный ИТ-инструментарий. Эффективное сотрудничество и обмен информацией между тремя линиями защиты в совокупности с непрерывным мониторингом и механизмами мотивации сотрудников, стимулирующими эффективное управление рисками, способствуют повышению общего уровня информированности о рисках, риск-аппетите и допустимом уровне риска.

«Мы разработали структурированный процесс определения риск-аппетита и информирования о нем. Совет директоров принимает активное участие в рассмотрении и согласовании заявлений о риск-аппетите как на уровне предприятия, так и на уровне каждого из наших трех основных направлений деятельности, – рассказывает Стив Группо из TIAA. – В целом данные заявления демонстрируют уровень риск-аппетита как с позиции качественных характеристик рисков (склонности к риску), так и с учетом количественных метрик».Передовые компании опережают своих коллег по уровню реализации мер, направленных на поддержание устойчивой и развитой риск-культуры, с помощью:

• активного взаимодействия с внешними заинтересованными сторонами после наступления негативного рискового события (передовые компании – 49 %, остальные респонденты – 37 %);

• обязательного прохождения тренингов по этике и комплаенсу всеми сотрудниками организации (передовые компании – 80 %, остальные респонденты – 71 %);

• наличия одного или более комитетов по рискам на уровне совета директоров для обеспечения эффективного применения подходов «сверху вниз» и «снизу вверх» по управлению рисками (передовые компании – 64 %, остальные респонденты – 54 %);

подразделения компании и имели четкое представление об изменении своих обязанностей. Информирование о грядущих изменениях проводилось по принципу «сверху вниз»: CEO и совет директоров являлись инициаторами перемен, затем изменения каскадировались на уровень исполнительного руководства высшего и среднего звена, которые в свою очередь содействовали распространению сведений по всей организации.

Были проведены личные встречи с руководителями подразделений компании в различных странах, в ходе которых детально рассматривались подходы к реализации новой бизнес-модели и, что не менее важно, были учтены возможные ошибки и сложности при внедрении.

Кроме того, было проведено дополнительное информирование сотрудников по принципу «снизу вверх»: неоднократные рассылки по электронной почте, общие собрания, а также другие каналы информирования, включая личное общение руководства с сотрудниками.

В данном проекте существенную роль сыграла вторая линия защиты в лице комплаенс-функции, сотрудники которой принимали активное участие на каждом этапе внедрения. По мнению руководства компании, самым важным было обучить сотрудников, непосредственно взаимодействующих с клиентами, или сотрудников, обладающих наиболее точным представлением о сценариях реализации рисков, какие методы следует применять для надлежащего управления данными рисками.

В ряде отраслей компании следуют негласным правилам, предполагающим постоянный поиск и запуск инновационных решений в целях сохранения своих лидерских и новаторских позиций в динамично развивающейся среде. Любое замедление подобно смерти и может кардинально повлиять на целый ряд областей – от репутации бренда до подбора персонала, а в результате привести к безвозвратной потере темпа роста и развития компании.

Для успешного преодоления дестабилизирующих факторов одна международная компания недавно внесла масштабные изменения в свою бизнес-модель, объединив традиционный подход к поиску крупных клиентов с подходом по привлечению клиентов средней и малой величины на основе подписки. Помимо таких очевидных областей, как обеспечение безопасности данных (в том числе защита персональных данных), а также управление регуляторными и юридическими рисками, отдельной задачей стоял вопрос адаптации корпоративной культуры в соответствии со стратегией компании.

Объединенными усилиями трех линий защиты была проведена масштабная работа с руководством и линейными сотрудниками компании для разъяснения того, что плавный переход на новую операционную модель играет ключевую роль в обеспечении успеха бизнеса в будущем.

Совместная работа трех линий защиты была направлена на обеспечение того, чтобы все сотрудники организации были проинформированы о новой модели, ее влиянии на соответствующие

Преодоление дестабилизирующих факторов совместными усилиями трех линий защиты

Пример из практики



Ранжирование рисков

Разработка и внедрение мероприятий по управлению рисками

Определение уровня риск-аппетита

Аудит третьих сторон / поставщиков

Стресс-тестирование

Анализ и сопоставление информации из множественных источников, раннее выявление индикаторов риска

Система поощрения, ориентированная на управление рисками

Углубленная проверка на благонадежность

Количественные методы оценки рисков (анализ сценариев, моделирование)

Выявление и прогнозирование возникающих рисков

Использование информационных панелей и других средств визуализации информации по рискам

Экологический аудит, аудит охраны труда и техники безопасности

Доля передовых компаний, активно использующих технические средства для управления рисками, по сравнению с остальными респондентами (%)

Передовые компании более активно используют специализированное программное обеспечение и дополнительный инструментарий для управления рисками

«Вся наша работа – это непрерывный процесс оценки рисков, включая регулярное взаимодействие с бизнес-подразделениями. Если мы должны проводить отдельную громоздкую процедуру, это значит, что мы недостаточно тесно взаимодействовали с бизнесом».Дуг Уотт, старший вице-президент и руководитель службы внутреннего аудита в компании Fannie Mae

14 %

13 %

13 %

12 %12 %

9 %9 %

8 %

7 %7 %

6 %2 %


Динамика эффективности управления рисками: сравнение результатов, полученных в 2017 и 2015 годах

Система управления рисками: в каких областях она стала сильнее, а в каких все осталось по-прежнему

Менее эффективное управление рисками

Более эффективное управление рисками

Риски неисполнения требований регуляторов и (или) несоблюдения нормативно-правовых основ

Риски, связанные со снижением доходности и волатильностью

Репутационные риски / риски, связанные с брендом

Риски, связанные с экологической ситуацией, и риски устойчивого развития


Риски нарушения информационной безопасности и конфиденциальности данных

ИТ-риски





областях степень эффективности управления рисками несколько снизилась или не изменилась вовсе.

По мнению респондентов, самые значительные улучшения были достигнуты в области экологии и кибербезопасности.

При сравнении данных, представленных в исследованиях 2015 и 2017 годов, мы наблюдаем общую тенденцию к повышению эффективности управления большинством бизнес-рисков, а также к более активному применению методов управления стратегическими рисками. Однако в некоторых


Совершенствование подходов к определению риск-аппетита

Вместе с тем респонденты отметили незначительное снижение эффективности мероприятий по управлению финансовыми, операционными и стратегическими рисками.

За последние два года также отмечен прогресс по всем категориям рисков в части применения ряда

подходов к определению риск-аппетита и допустимого уровня риска, что соответствует общей тенденции все большего вовлечения первой линии защиты в процесс управления рисками.

42 %

38 %

38 %

36 %

55 %

51 %

49 %

47 %

Риск-аппетит или допустимый уровень риска определены в отношении ряда ключевых категорий риска

В компании четко сформулированы концепция определения риск-аппетита и соответствующие заявления о риск- аппетите

В рамках всей компании выстроен четкий процесс агрегирования информации по рискам и сопоставления полученного уровня риска с утвержденным риск-аппетитом

Компания осуществляет эффективный мониторинг текущего уровня риск-аппетита, активно используя ключевые индикаторы риска


В ряде отраслей компании следуют негласным правилам, предполагающим постоянный поиск и запуск инновационных решений в целях сохранения своих лидерских и новаторских позиций в динамично развивающейся среде. Любое замедление подобно смерти и может кардинально повлиять на целый ряд областей – от репутации бренда до подбора персонала, а в результате привести к безвозвратной потере темпа роста и развития компании.

Для успешного преодоления дестабилизирующих факторов одна международная компания недавно внесла масштабные изменения в свою бизнес-модель, объединив традиционный подход к поиску крупных клиентов с подходом по привлечению клиентов средней и малой величины на основе подписки. Помимо таких очевидных областей, как

обеспечение безопасности данных (в том числе защита персональных данных), а также управление регуляторными и юридическими рисками, отдельной задачей стоял вопрос адаптации корпоративной культуры в соответствии со стратегией компании.

Объединенными усилиями трех линий защиты была проведена масштабная работа с руководством и линейными сотрудниками компании для разъяснения того, что плавный переход на новую операционную модель играет ключевую роль в обеспечении успеха бизнеса в будущем.

Совместная работа трех линий защиты была направлена на обеспечение того, чтобы все сотрудники организации были проинформированы о новой модели, ее влиянии на соответствующие

CRO отмечают повышение эффективности системы управления рисками

Директора по управлению рисками стремятся принимать более активное участие в решении стратегических задач

В течение следующих 18 месяцев

В настоящее время

Выступают в роли консультанта по новым направлениям развития бизнеса

Повышают эффективность процессов мониторинга и управления рисками

Переносят ответственность в части управления рисками на первую линию защиты

Более активно вовлекаются в процесс стратегического планирования

Сотрудничают с директором по информационным технологиям и исполнительным руководством в целях снижения уровня киберугроз и рисков, связанных с нарушением конфиденциальности данных

Кроме того, по сравнению с данными за 2016 год большее число CRO отметили, что высшее руководство осознает ценность зрелой системы управления рисками (в 2017 году – 72 %, в 2016 году – 58 %) и видит вторую линию защиты в роли катализатора, способствующего дальнейшему развитию системы управления рисками (в 2017 году – 43 %, в 2016 году – 36 %).

22 %

39 %

36 %

38 %

41 %

40 %

57 %

46 %

46 %

48 %


Низкий уровень зрелости или отсутствие практики управления киберрисками

Средний уровень зрелости

Высокий уровень зрелости

Очень высокий уровень зрелости

Во всех отраслях респонденты прогнозируют существенное увеличение негативного воздействия киберрисков. В свете этой новой реалии компании с развитой практикой управления киберрисками получат явное конкурентное преимущество.

74 %

17 %

6 %3 %

Уровень зрелости в области киберрисков

Уровень зрелости в области киберрисков (все респонденты)

Респонденты, заявившие об очень высоком уровне зрелости, применяют перечисленные ниже подходы в рамках практики управления киберрисками:

1. Директор по управлению рисками и директор по информационным технологиям (CIO) / технический директор (CTO) несут совместную ответственность за надзор в области киберрисков и рисков нарушения конфиденциальности данных.

2. Управление киберрисками и рисками нарушения конфиденциальности данных возложено на директора по информационным технологиям / технического директора.

3. Директор по информационным технологиям / технический директор тесно взаимодействует с каждым отдельным бизнес-подразделением и функцией по вопросам защиты данных.

4. В компании создан кросс-функциональный комитет по киберрискам / информационным рискам.

Цифровые платформы становятся объектами атак изобретательных киберпреступников, и сейчас необходимость эффективного противодействия киберрискам актуальна как никогда. В недавно опубликованном PwC 20-м Ежегодном опросе руководителей крупнейших компаний мира больше половины бизнес-лидеров (53 %) прогнозируют в течение следующих пяти лет снижение доверия заинтересованных сторон к их отраслям из-за кибератак и утечек конфиденциальной информации. В США 85 % CEO выражают озабоченность – от некоторой до чрезвычайной степени – по поводу киберпреступности как угрозы росту их бизнеса.

Киберриски и риски нарушения конфиденциальности данных могут повлиять на любой аспект деятельности компании, и эта угроза становится все более ощутимой по мере того, как во многих отраслях активно внедряются такие платформы, как «Интернет вещей» и прочие новейшие технологии. Для того чтобы изучить опыт компаний, которые успешно управляют киберрисками, и определить, насколько хорошо им это удается, мы разработали шкалу уровней зрелости системы управления киберрисками.

1.

2.

3.

4.

На сегодняшний день лишь немногие компании демонстрируют высокий уровень зрелости системы управления киберрисками, несмотря на то, что в течение следующих трех лет ожидается существенное увеличение влияния данной угрозы.Только 3 % от общего числа респондентов (1 581 человек) продемонстрировали очень высокий уровень зрелости системы управления киберрискам; 6 % – высокий уровень зрелости; 17 % – средний уровень зрелости. Примечательно, что у двух третей респондентов (66 %) отмечен результат, указывающий на низкий уровень зрелости (например, они соответствуют только одному из четырех критериев зрелости), а у 8 % – система управления киберрисками отсутствует вовсе. Тем не менее по сравнению с результатами исследований прошлых лет респонденты сообщают, что именно в части обеспечения кибербезопасности принимается все больше мер по управлению рисками. Такая статистика свидетельствует о том, что, хотя компании чувствуют бóльшую уверенность в своих силах, они по-прежнему склонны занимать оборонительные позиции и еще не внедрили передовую практику управления киберрисками, которая может повысить конкурентоспособность компании в части обеспечения кибербезопасности.

Многие компании видят риски, связанные с обеспечением кибербезопасности и сохранности данных, в числе наиболее быстро прогрессирующих, но только некоторые из них готовы успешно противостоять этим рискам

62 % компаний прогнозируют негативное воздействие киберрисков на их деятельность в течение следующих трех лет.

Однако только 9 % продемонстрировали очень высокий или высокий уровень зрелости системы управления киберрискам.

«Сегодня уже нельзя эффективно противодействовать киберрискам или рискам, связанным с легализацией доходов, полученных преступным путем, только на региональном уровне. Если вы работаете в глобальной сети, управляете глобальными системами, то ваши средства контроля должны повсеместно функционировать на высоком уровне; в противном случае ваша сила будет равняться силе вашего самого слабого звена».

Лиза Хьюмберт, управляющий директор, директор по управлению информационными рисками, руководитель департамента по управлению информационными рисками, Mitsubishi UFG



существенно опережают остальных респондентов по всем показателям, определяющим уровень зрелости риск-культуры.

По аналогии с ожиданиями темпов роста, представленными передовыми компаниями, респонденты, применяющие все четыре вида практики управления киберрисками, указывают рост прибыли на уровне63 % в течение следующих двух лет (остальные респонденты – 50 %). Компании, расположившиеся на вершине шкалы зрелости, также зачастую ожидают роста выручки в размере 75 % (остальные респонденты – 71 %).

Повышение уровня зрелости системы управления киберрисками может принести ряд дополнительных выгод.Из анализа, проведенного PwC, следует, что высокий уровень зрелости в части управления киберрисками характерен для компаний с развитой риск-культурой, демонстрирующих наилучшие результаты по управлению стратегическими, операционными, регуляторными, финансовыми и другими ключевыми категориями рисков. Подобные компании

Компании с высоким уровнем зрелости системы управления киберрисками обладают более развитой риск-культурой

В компании введена формальная процедура, в соответствии с которой сотрудники могут сообщить о возможных случаях реализации риска или об опасениях, связанных с индикаторами риска

Обучение по вопросам этики и соблюдения нормативно-правовых требований является обязательным для всех сотрудников

Руководство компании придает первостепенное значение поддержанию риск-культуры, в соответствии с которой поступать нужно правильно, а не так, как требуется

Компания периодически проводит обучение для своевременного информирования сотрудников о новых и возможных рисках, с которыми сталкивается компания

На уровне совета директоров создан комитет по рискам (или несколько комитетов), который обеспечивает эффективное применение подходов «сверху вниз» и «снизу вверх» по управлению рисками

В компании вторая линия защиты может в нужный момент выступить в роли эксперта и указать на возможные слабые стороны / упущения а работе бизнес-подразделений

Предоставление актуальной информации по управлению рисками является неотъемлемой частью регулярных отчетов о результатах деятельности организации

В случае наступления неблагоприятного события специалисты по внешним связям оперативно связываются с заинтересованными сторонами

Компания привлекает внешних поставщиков услуг в области управления рисками, комплаенса, обучения и др

В компании назначен отдельный сотрудник, ответственный за риски, связанные с третьими сторонами

Компания поощряет сотрудников, которые активно участвуют в минимизации рисков, используя имеющиеся ресурсы



0 % 20 % 40 % 60 % 80 % 100 %


Уровень зрелости риск-культурыВ ходе оценки уровня зрелости риск-культуры мы задали нашим респондентам вопросы по 11 видам практики управления рисками, характеризующим высокоразвитую риск-культуру. Для оценки уровня зрелости риск-культуры мы присваивали респондентам один балл за каждый вид практики, применяемый в их компании. Респонденты с низким уровнем зрелости получили от 0 до 2 баллов, со средним – от 3 до 5 баллов, с высоким – от 6 до 8 баллов, с очень высоким – от 9 до 11 баллов. Лучшие результаты показали компании финансового сектора и сектора здравоохранения.

В большинстве отраслевых групп респонденты применяли практику обязательного для всех сотрудников обучения по вопросам этики и соблюдения нормативно-правовых требований; самые высокие показатели продемонстрировали компании финансового сектора (81 %) и сектора здравоохранения (79 %).

Среди других видов практики, пользующихся популярностью во многих отраслях, следует отметить формальную процедуру, в соответствии с которой сотрудники могут сообщить о возможных случаях реализации риска или об опасениях, связанных с индикаторами риска (самые высокие показатели продемонстрировали компании финансового сектора (70 %) и сектора здравоохранения (66 %)), и наличие одного или нескольких комитетов по рискам на уровне совета директоров (самые высокие показатели

продемонстрировали компании финансового сектора (72 %) и сектора здравоохранения (56 %)).

В так называемые области отставания, отмеченные в ряде отраслей, вошли такие виды практики, как поощрение сотрудников, которые активно участвуют в минимизации рисков, используя имеющиеся ресурсы: только в одном секторе (здравоохранение) показатель применения данной практики превысил 20 %. Аналогичным образом лишь в компаниях финансового сектора показатель применения практики назначения отдельного сотрудника, ответственного за риски, связанные с третьими сторонами, превысил 20 %.

Оценка зрелости системы управления рискамиАнализ отраслей в целях определения уровня зрелости системы управления рисками дал ожидаемый результат. В отраслях с наиболее жесткими регуляторными требованиями компании применяют наиболее развитые виды практики управления рисками. Однако, расположив основные отраслевые группы на шкале зрелости системы управления киберрисками и риск-культуры, мы выяснили, что в ряде отраслей относительно низкий уровень зрелости системы управления киберрисками привел к некоторым неожиданным результатам, как показано на следующей странице.

Низкий уровень зрелости

Всего

Финансовый сектор

Здравоохранение и фармацевтика

Производство потребительских и промышленных товаров и услуг

Технологии, коммуникации, развлечения и СМИ

Средний уровень зрелости

Высокий уровень зрелости

Очень высокий уровень зрелости

27 %

46 %

33 %

15 %

23 %

42 %

28 %

7 %

22 %

41 %

27 %

9 %

19 %

38 %

23 %

7 %

14 %

41 %

28 %

9 %

Уровень зрелости риск-культуры: основные отраслевые группы

% сектора


30 35 40 45 50 55

25

30

35

40

Компании государственного сектора

Транспорт и логистика

Коммунальные услуги

Химическая промышленность

Промышленное производство

Бизнес-услуги

Страхование

Образование



Здравоохранение:- медицинские услуги;- фармацевтика.

Технологии, коммуникации развлечения и СМИ:- развлечения, СМИ и коммуникации;- технологии.

Финансовый сектор:- управление активами;- банковские услуги;- страхование.

Производство потребительских и промышленных товаров и услуг:- автомобилестроение;- бизнес-услуги;- химическая промышленность;- топливно-энергетический сектор;- проектирование и строительство;- промышленное производство;- розничная торговля и производство потребительских товаров;- транспорт и логистика;- коммунальные услуги.

Компании государственного сектора

Фармацевтика

Автомобилестроение

Проектирование и строительство

Розничная торговля и производство потребительских товаров

Медицинские услуги

Управление активамиЭнергетика

Технологии

Развлечения, СМИ и коммуникации

Уровень зрелости риск-культуры

Ур

овен

ь зр

ело

сти

сист

емы

упр

авл

ения

ки

бер

рис

кам

и

Банковские услуги

Распределение отраслей в соответствии с уровнем зрелости системы управления киберрисками и риск-культуры

Как это может повлиять на ваш бизнесВыстраивание оптимальной экосистемы управления рискамиУправление рисками «на передовой» – это в первую очередь все большая вовлеченность бизнеса в процесс управления рисками и создание такой среды, где ответственность за основные элементы системы управления рисками (согласованность со стратегией, компетентность, выстраивание непрерывного процесса и обеспечение его надежности) возложена на тех, кто наилучшим образом подготовлен к их успешной реализации. Четкое определение функций каждой линии защиты обеспечивает разумное распределение задач в соответствии со специализацией каждой линии, способствует их тесному сотрудничеству, а также свободному обмену мнениями и идеями.

«Перенос ответственности за принятие решений по рискам обратно на первую линию защиты и закрепление надзорной роли за второй линией требует тщательной совместной работы, однако сотрудничать и вместе с тем предоставлять конструктивную оценку действий коллег непросто, – отмечает исполнительный вице-президент и директор по управлению рисками компании Fannie Mae Кимберли Х. Джонсон. – Функция управления рисками всегда была сугубо аналитическим подразделением, имеющим дело с цифрами, но теперь эффективно работающий менеджер по рискам должен обладать развитым эмоциональным интеллектом. Нужно уметь конструктивно ставить под сомнение идеи и допущения коллег, не переходя на личности и не прекращая диалога».



Время действовать

Перенос функций управления рисками на первую линию защиты – это только один шаг на пути к созданию единой упреждающей и интегрированной со стратегией системы управления рисками. Для построения оптимальной экосистемы управления рисками, готовой противостоять современным вызовам и дестабилизирующим факторам, требуется повсеместная поддержка всех подразделений компании. Мы предлагаем вам пять шагов, которые помогут вашей компании двигаться в верном направлении.

• Каждая линия защиты должна быть обеспечена всей необходимой информацией и ресурсами для эффективной работы.

4. Внедрите четко сформулированную концепцию и заявления о риск-аппетите в рамках всей организации.

• Определите (а) риски, которые компания готова принять при осуществлении того или иного вида деятельности; (б) риски, которые компания не может принять; (в) риски, подлежащие оценке и мониторингу; (г) риски, которые связаны с динамикой финансовых показателей и могут препятствовать достижению стратегических целей.

• Понятный и прозрачный процесс управления рисками должен определять порядок выполнения таких шагов, как агрегирование информации, отслеживание индикаторов риска, а также выявление и прогнозирование рисков. По возможности данный процесс должен включать в себя применение методов анализа данных и использование специализированного ИТ-инструментария.

• Концепция и заявления о риск-аппетите должны быть ясно изложены и доведены до сведения лиц, принимающих решения.

5. Создайте систему отчетности по рискам, позволяющую высшему руководству и членам совета директоров выполнять свои надзорные функции в области управления рисками.

• Улучшите качество процессов сбора и управления данными для повышения эффективности процедур подготовки отчетности по рискам.

• Агрегирование информации по рискам, отслеживание текущего состояния и предоставление отчетности имеют ключевое значение для того, чтобы решения, принимаемые бизнесом, соответствовали заявленному риск-аппетиту/допустимому уровню риска.

• Процессы отчетности и мониторинга должны на постоянной основе отслеживать уровень рисков и мероприятия, проводимые по управлению данными рисками.

• По всем ключевым рискам общекорпоративного уровня должны быть назначены владельцы рисков, ответственные за разработку и реализацию детальных планов реагирования на данные риски.

1. Задайте четкий курс на развитие корпоративной риск-культуры.

Генеральный директор и совет директоров должны стать образцом и задавать тон для формирования риск-культуры; она должна пронизывать всю организацию и постоянно контролироваться и оцениваться с точки зрения эффективности.

• CEO должны обеспечивать согласованность системы оценки и мотивации сотрудников с достижением целей по управлению рисками и формированием риск-культуры.

• Информационные сообщения от руководства должны быть четкими и последовательными.

• Управление рисками должно стать неотъемлемой частью рабочих встреч и быть интегрировано в процесс принятия решений.

2. Обеспечьте согласованность системы управления рисками со стратегией в точке принятия решений.

• Четкое понимание стратегии организации позволяет первой линии защиты выстраивать свои процедуры и процесс принятия решений таким образом, чтобы наиболее оперативно реагировать на риски и дестабилизирующие факторы.

• Лица, принимающие решения, должны обеспечить интеграцию процесса управления рисками в процедуры стратегического планирования и реализации тактических задач.

3. Пересмотрите роли и задачи каждой линии защиты в свете обеспечения эффективного функционирования системы управления рисками.

Для обеспечения оптимального функционирования первая линия должна нести ответственность за принятие решений по управлению рисками, вторая линия – осуществлять мониторинг первой, а третья линия – выполнять независимую оценку эффективности системы управления рисками.

• Определение границ и областей пересечения функционала способствует максимально эффективному распределению ролей и ответственности между всеми линиями защиты.

• Руководство сможет лучше формулировать риски, поручать работу с данными рисками представителям соответствующих линий защиты и тем самым обеспечивать наиболее эффективное управление рисками.

1.

4.

5.

2.

3.


Задачи для высшего руководства

Активное вовлечение высшего руководства в процесс управления рисками обеспечивает постепенную смену его модели поведения от простой поддержки к заинтересованному управлению.

Директор по управлению рисками (CRO) содействует поддержанию эффективной системы управления рисками посредством активного мониторинга рисков, проведения тренингов по определению допустимого уровня риска и взаимодействия с директором по информационным технологиям (CIO) / директором по информационной безопасности (CISO) по вопросам управления киберрисками.

Совет директоров оказывает поддержку генеральному директору в продвижении и каскадировании риск-культуры, а также осуществляет надзор за совокупным уровнем риска, определяя его соответствие заявленному риск-аппетиту и допустимому уровню риска.

Директор по соблюдению нормативно-правовых требований (CCO) руководит процедурами агрегирования информации по рискам в целом по организации. В отличие от других руководителей, директора по соблюдению нормативно-правовых требований чаще говорят о том, что в их распоряжении имеется формальный процесс сбора сводной информации по рискам и что они анализируют совокупные результаты по всей организации, сопоставляя их с заявленным уровнем риск-аппетита (CCO – 58 %, CRO – 51 %).

Генеральный директор (CEO) должен задавать тон общекорпоративной риск-культуры, содействовать регулярному и повсеместному информированию о концепции и заявлениях о риск-аппетите, обеспечивать согласованность системы управления рисками с процедурами стратегического планирования.

Директор по информационным технологиям (CIO) несет ответственность за все ИТ-риски, обеспечивает линии защиты технологиями, необходимыми для выявления и мониторинга рисков.

Директор по управлению информационными рисками (CIRO) в сотрудничестве с CRO осуществляет мониторинг киберрисков и рисков, связанных с сохранностью и конфиденциальностью данных.

Финансовый директор (CFO) должен обеспечивать структурирование процессов принятия решений в отношении рисков посредством распределения ресурсов по линиям защиты и точкам принятия решений.

Руководитель службы внутреннего аудита (CAE) в роли последней и объективной линии защиты проводит оценку системы управления рисками, включая эффективность CRO, а также независимую оценку деятельности первой и второй линий защиты.

PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес- консультирования, а также налоговые и юридические услуги компаниям разных отраслей. В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Ростове-на-Дону, Краснодаре, Воронеже, Владикавказе и Уфе работают более 2 500 специалистов. Мы используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса. Глобальная сеть фирм PwC объединяет более 223 000 сотрудников в 157 странах.

* Под «PwC» понимается Общество с ограниченной ответственностью «ПрайсвотерхаусКуперс Консультирование» или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом.

© 2017 Общество с ограниченной ответственностью «ПрайсвотерхаусКуперс Консультирование». Все права защищены.

www.pwc.ru

Тим КлауПартнерУслуги по анализу и контролю рисков+7 (495) 967 6018 [email protected]

Олег МележниковМенеджер Отдел анализа и контроля рисков+7 (903) 760 0817 [email protected]

Для более подробного обсуждения вопросов, пожалйста обращайтесь:

Взгляд на риски - pwc.ru · Латинская Америка ... и 2015 годы,...

Documents