Украина и риск-менеджмент: какие риски для бизнеса есть и какие действия нужны
В пресс-релизе, предваряющем детальный разбор возникающих угроз, эксперты Gartner советуют переоценить четыре организационных риска, актуализировавшихся из-за конфликта. Они констатируют: изменился весь стремительно меняющийся ландшафт рисков, а значит, на повестке дня — пересмотр всей системы управления корпоративными рисками (ERM, enterprise risk management). А в статье об аудите и рисках в связи с конфликтом в Украине ее автор Роб ван дер Меулен предлагает управленцам предпринять три вида действий, связанных с рисками и аудитом, чтобы адаптация бизнеса к кризисной реальности оказалась более быстрой и безболезненной.
Четыре организационных риска
1. Риск талантов. Первая «линия обороны» организации — решение проблем здоровья и безопасности сотрудников, непосредственно затронутых войной. Однако существует множество эффектов второго и третьего порядка, способных повлиять на благополучие сотрудников: например, под угрозу могут попасть семьи, друзья, близкие сотрудников, оказавшиеся в затронутом конфликтом регионе. «Внутренние коммуникации, касающиеся благополучия сотрудников и предоставления консультационных услуг, должны быть тщательно откалиброваны и производиться с более высокой частотой», — считают аналитики. На организационном уровне риски талантов могут проявляться в ограничениях производительности в пострадавшем регионе, а также в нарушении доступа к большому количеству IT-талантов, которые сосредоточены в затронутых конфликтом странах.
2. Риск кибербезопасности. Потенциал для увеличения кибератак во время конфликта предполагает повышение частоты проверок кибербезопасности компании, а также постоянный контроль протоколов защиты от вымогателей и других видов вредоносных ситуаций. Ранее Gartner Research были выявлены новые модели действий вымогателей, бросающие вызов типичным стратегиям киберзащиты. Для лидеров ERM более важно, чем когда-либо, четко определить степень ценности своих активов и разработать план реагирования, чтобы позднее не пришлось заниматься тем же самым впопыхах прямо во время кибератаки.
3. Финансовый риск. Если санкции прямо финансово воздействуют на ваш бизнес с Россией, руководители ERM должны тесно пообщаться со сторонними поставщиками услуг о том, как лучше предоставлять и получать альтернативные платежи, не нарушая текущей политики санкций. Война, вероятно, продолжит повышать цены на ключевые сырьевые товары и выступать драйвером инфляции. Финансовые модели торговли сырьем будут нуждаться в более частых обновлениях, валюты и процентные ставки в 2022 году, вероятно, окажутся более волатильными, чем обычно. Руководители ERM должны координировать свои действия с коллегами по анализу информации о финансовых рисках и подготовке стратегий более частого смягчения последствий угроз.
4. Риск цепочки поставок. Менеджеры ERM должны убедиться, что их организации обновили планы действий поставщиков в непредвиденных обстоятельствах. Риски цепочки поставок должны быть оценены заново. Следует предпринять усилия по выявлению и ограничению зависимости от отдельных поставщиков. В долгосрочной перспективе лидеры ERM должны обсудить, как их организации справятся с потенциальной нехваткой ключевых материалов и более высокими расходами, оценить альтернативные варианты логистики для получения материалов и критических компонентов.
Три направления для рисков и аудита
1. Аудит должен обеспечивать адекватное покрытие рисков. По мере развития ситуации документируйте любые изменения в бизнес-процессах или контроле за ними. Аудит должен сотрудничать с ERM для поддержки идентификации рисков и реагирования на них, определять области, нуждающиеся в его вмешательстве: прежде всего анализ, исследования и отчетность. «Нужно быть гибким, чтобы корректировать запланированную работу и объем каждого задания, а также в нужное время сосредоточиться на нужных темах», — советуют эксперты. Кроме того, необходимо пересмотреть действия по сценарному планированию, чтобы убедиться, что они по-прежнему учитывают соответствующие факторы и продолжают поддерживать долгосрочные и краткосрочные бизнес-планы.
2. Риск-команды должны увеличить частоту отчетности. Ландшафт рисков меняется почти ежедневно по мере вступления в силу новых санкций против России. Увеличьте коммуникацию с ключевыми заинтересованными сторонами о возникающих рисках и о том, как они связаны с ключевыми рисками предприятия. Необходимо предоставлять отчеты о рисках чаще, чем обычно... Особое значение приобретают обобщение и передача информации о возникающих новых обстоятельствах, способных повлиять на риски, которые фигурируют во внутренних регламентах предприятия. Следует предоставлять промежуточную обновленную информацию об изменениях в профиле рисков организации и усилиях по смягчению последствий. «Обязательно отмечайте вторжение России в Украину в существующих отчетах о рисках, чтобы выделить новые и усилившиеся риски», — советуют эксперты Gartner.
Еще один совет — пересмотр ключевых допущений о риске, чтобы убедиться, что они по-прежнему соответствуют операционной реальности, а также создание ключевых индикаторов риска, предупреждающих об эскалации угроз и необходимости ответных действий.
3. Координация антикризисного реагирования и деятельности. В Gartner считают, что «скорость возникновения новых рисков... может подавить способность отдельных функций обеспечения возможности реагировать». Поэтому для обеспечения эффективного реагирования на кризисные ситуации функции обеспечения должны координировать и согласовывать свою деятельность. Продуктивный шаг в этом направлении — формализация обмена информацией через определение показателей, отслеживаемых по нескольким функциям. В идеале функции обеспечения работают над единой базой данных о рисках, контроле, проблемах и планах действий, включающей все данные этой тематики. Хотя корпоративные действия могут соответствовать законодательству, существуют значительные риски, связанные с общественным восприятием действий, которые могут быть расценены как попытка извлечь выгоду из конфликта.
По оценке Gartner, такой подход позволяет устранить разрыв между функциями обеспечения безопасности и создать корпоративную культуру, способную прогнозировать и поглощать крупные сбои в деятельности компании, реагировать на них и затем восстанавливаться. Сбои такого рода, как конфликт в Украине, в будущем могут быть вызваны стихийными бедствиями, другими конфликтами либо серьезными изменениями рынка и способны повлиять на клиентов, коллег, поставщиков или финансирование бизнеса.