Меня зовут Евгений Теленков, я больше 15 лет занимаюсь управлением рисками — в технологических компаниях, промышленности и банковском секторе. Какое-то время я строил систему управления рисками в одной из компаний группы Сбера и вблизи видел, как устроен риск-менеджмент головного банка. Это не «галочки» и регламенты на полке, а живая работающая система. Ниже — три её опоры.
1. Операционный риск и борьба с фродом — на цифрах, а не на словах
Первое, что меня удивило, — глубина работы с операционным риском, в частности с мошенническими операциями (фродом). Банк не просто «борется с мошенниками». Риск фрода оценивается количественно, а меры защиты обосновываются через риск-менеджмент: вот сколько составят потери без этой системы — значит, вложение в неё оправдано.
В расчёт идут не только прямые финансовые потери, но и репутационные риски и безопасность клиентов — ситуация оценивается целиком, а не одной строкой в отчёте. И система работает с реальными инцидентами: данные о фактах мошенничества собирают в том числе из независимых источников, а если риск реализовался — запускается цепочка «разбор причин → отчётность → жёсткий мониторинг того, как команда внедрила исправления и снизила риск».
2. Роль CRO — риск-менеджмент как равноправный партнёр бизнеса
Во многих компаниях риски — это функция внутри финансового блока, подчинённая финансовому директору. В Сбере иначе: главный директор по рискам (CRO) подчиняется напрямую CEO. Это значит, что риск — не вспомогательная функция «после бизнеса», а равноправный голос за столом принятия решений.
За CRO — большая команда (в группе темой рисков занимается порядка тысячи человек) и полный спектр: кредитные, рыночные, операционные, модельные, ESG-риски. Высокий статус позволяет влиять на стратегию, сделки, процессы и продукты — но при этом у CRO есть собственная ответственность и KPI. Ключевое: он говорит «да» или «нет» не потому, что «так написано в методике», а потому что понимает, как решение скажется на устойчивости и прибыли.
3. Киберриск — управляется на всех уровнях
Для киберриска заданы количественные метрики и декларация риск-аппетита — чёткие границы, за которые нельзя выходить. Это позволяет не бороться с каждой угрозой вслепую, а действовать в рамках стратегии. Меры по управлению киберриском продуктовые команды встраивают прямо в продукты, а эффективность защиты проверяют независимые аудиторы и регулярные тесты — внутренние и с привлечением внешних экспертов.
Если инцидент всё же происходит, его документируют и расследуют, а результаты докладывают на самый высокий уровень — комитету по аудиту и рискам. При этом ответственность за кибербезопасность закреплена за каждым сотрудником, от стажёра до члена правления.
Что из этого может взять обычный бизнес
Масштаб у среднего бизнеса другой, но принципы переносятся один в один:
- Риск — участник решений, а не «тормоз». Дайте теме рисков голос на уровне первых лиц, а не прячьте её в финотдел.
- Считайте риск в деньгах. Обосновывайте меры защиты через предотвращённые потери — это понятный язык для собственника.
- Задайте риск-аппетит. Определите границы, в которых вы готовы рисковать, чтобы не реагировать на всё подряд.
- Разбирайте инциденты. Каждый сбой — это разбор причин и контроль исправлений, а не повод «замять».
Зрелый риск-менеджмент — это не бюрократия, а среда, в которой возможны и стабильность, и рост.
Узнайте, насколько устойчив ваш бизнес
13 вопросов, 5 минут, бесплатно — результат сразу на экране и на почту.
Частые вопросы
Кто такой CRO и чем он отличается от финансового директора?
CRO (Chief Risk Officer) — директор по рискам. В зрелой модели он подчиняется напрямую генеральному директору и отвечает за все виды рисков, а не только финансовые, и участвует в принятии стратегических решений наравне с бизнесом.
Что такое риск-аппетит?
Это заранее заданные границы, в пределах которых компания готова принимать риск ради целей. Декларация риск-аппетита помогает не реагировать на каждую угрозу вслепую, а расставлять приоритеты.
Применимо ли это к малому и среднему бизнесу?
Да, в упрощённом виде. Не нужна тысяча человек — нужны принципы: голос риска при принятии решений, оценка рисков в деньгах, понятные границы риска и разбор инцидентов.
