29 декабря 2025 г.

Наталья Рудик

Когда неопределенность на рынках растет, а контроль со стороны государства в отношении крупного бизнеса усиливается, компании все чаще прибегают к возможностям систем управления рисками (Enterprise Risk Management, ERM). Целостный взгляд на них становится ключевым фактором долгосрочной устойчивости и конкурентоспособности бизнеса. Подробнее о ситуации с ERM и цифровизации этого процесса рассказывает Наталья Рудик, директор по рискам «НЕКСТБИ».

Принцип работы ERM

Системы управления корпоративными рисками опираются на признанные международные стандарты COSO ERM и ISO 31000, которые формируют единый подход к идентификации, анализу, оценке и контролю рисков. Эти стандарты задают методологическую основу риск-менеджмента. COSO ERM делает акцент на интеграции риск-менеджмента в стратегию компании и связь рисков с достижением бизнес-целей, тогда как ISO 31000 ориентирован на построение гибкой системы непрерывного управления рисками и описывает принципы управления рисками и требования к данному процессу (идентификация, анализ, оценка, обработка).

Практическая реализация этих подходов может быть обеспечена разными способами как «в ручном режиме», так и через специализированные инструменты ERM. Автоматизированные системы управления рисками позволяют унифицировать процессы, освобождать сотрудников от сбора и обработки данных о рисках, формировать прозрачную отчетность и обеспечивать единую методологию оценки рисков. В результате появляется возможность сопоставления данных различных подразделений, ускоряется анализ и повышается качество управленческих решений. Управление рисками становится не разовой, а постоянно действующей функцией.

В отличие от инструментов, ориентированных исключительно на соблюдение требований регуляторов или защиту информационной инфраструктуры, ИТ-решения ERM охватывают весь спектр рисков — стратегических, операционных, финансовых, комплаенс- и репутационных. В основе этих продуктов лежит принцип интеграции: риск-менеджмент не выносится за скобки бизнес-процессов, а встраивается в них. ИТ-решения ERM позволяют создавать единое информационное поле для анализа рисков, их влияния на ключевые показатели и принятия обоснованных управленческих решений. Они формируют прозрачный реестр рисков для каждого бизнес-процесса, предоставляют методологию их оценки (в том числе количественную), помогают моделировать сценарии и выстраивать систему контроля и отчетности, актуальную для всех пользователей, в том числе участников операционных команд, менеджеров и членов совет директоров.

Современные ИТ-решения ERM становятся ядром системы внутреннего контроля и управления рисками, включая в себя элементы автоматизации, прогнозной аналитики, а в продвинутых вариантах — алгоритмы машинного обучения и инструменты сценарного анализа. Они могут работать как в защищённом корпоративном контуре — что характерно для крупных компаний с повышенными требованиями к безопасности, — так и в облаке, если это допускают политика безопасности и особенности бизнеса.

Рынок ИТ-решений ERM

На фоне увеличения зрелости бизнеса и роста внимания к улучшению управления внутри компаний российский рынок ИТ-решений ERM сдвинулся с мертвой точки. По итогам 2025 года отдельные сегменты вырастут — в первую очередь за счет компаний реального сектора, в том числе предприятий из сферы торговли, промышленности, энергетики, а также крупных холдингов, которые уделяют особое внимание систематизации и централизованному управлению рисками.

Рост интереса к ИТ-решениям ERM тесно связан с развитием интеграционных платформ. Современные решения строятся не как изолированные модули, а как часть единой цифровой инфраструктуры, объединяющей функции GRC и общепринятую методологию ERM. Такой подход позволяет централизовать сбор данных, автоматизировать отчетность и проводить мониторинг рисков в реальном времени. В числе используемых решений — международные продукты, их российские аналоги и ряд новых no code/low code-платформ с модулями для управления рисками.

Также увеличение спроса на ИТ-решения ERM обусловлено ростом требований к прозрачности и управляемости бизнеса. Жесткое регулирование, санкционная нестабильность и проекты импортозамещения подталкивают компании к ускорению автоматизации. Цифровой риск-менеджмент постепенно выходит за рамки комплаенс-функции и становится инструментом принятия управленческих решений, встроенным в ключевые бизнес-процессы.

Однако, до массового распространения ИТ-решений ERM еще далеко: рост рынка упирается в ряд барьеров. Главные из них — низкая зрелость процессов бизнеса и несформированная культура риск-ориентированного управления. Без формализованных процедур сбора данных и поддержки со стороны руководства даже самые продвинутые ИТ-решения превращаются ERM в интерфейс без содержания. Давление макроэкономики также сдерживает инвестиции: при ограниченных бюджетах проекты по цифровизации риск-менеджмента часто уступает более приоритетным направлениям развития.

Спектр российских решений

Российский рынок ИТ-решений ERM далек от насыщения, но существующий пул продуктов способен удовлетворить базовые требования регуляторов и бизнес-заказчиков. Многие системы разрабатываются с учетом отраслевой специфики и требований к интеграции, что позволяет использовать их в госсекторе, промышленности, ритейле и финансах. Тем не менее, даже в государственных корпорациях и крупнейших холдинговых компаниях решения по-прежнему остаются преимущественно кастомизированными или полностью заказными.

Что касается продуктов западных вендоров, ранее они действительно реализовывали в стране продвинутые модули для управления рисками, но из-за санкций, фокуса на импортозамещение крупных системно значимых компаний и высокой стоимости владения их внедрение стало экономически и организационно затруднительным. В результате бизнес предпочитал делать доработки самостоятельно, «подгоняя» решения под себя.

Активный рост разработчиков ИТ-решений начался после ухода западных вендоров. За последние 2–3 года в сегмент вошли как ИТ-компании (в частности, «НЕКСТБИ»), так и интеграторы при крупных банках, чья экспертиза сосредоточена в первую очередь на финансовом секторе. Появилось также множество новых no-code/low-code платформ —почти у каждой есть свой риск-модуль, но их уровень зрелости и глубина аналитики различаются.

При этом компании реального сектора часто предпочитают самописные ИТ-решения ERM или специализированные инструменты, например, со специализацией на рисках информационной безопасности. В отдельных организациях учет рисков до сих пор ведется в Excel, что ограничивает масштабируемость и прозрачность процесса. В крупных банках часто поддерживается существующая функциональность западных продуктов, но новые проекты строят преимущественно на российском ПО или внутренней разработке.

Технологические тренды

Современные ИТ-решения ERM уже не ограничиваются карточкой риска и простым реестром. В центре внимания — моделирование (в том числе количественное), взаимосвязи между рисками и бизнес-процессами, прогнозирование и использование ИИ.

Технологическая эволюция ИТ-решений ERM связана с развитием машинного обучения и моделирования рисков: алгоритмы учатся выявлять аномалии и прогнозировать последствия и вероятность различных сценариев, а также формировать предупреждения в режиме реального времени, сокращая срок принятия решений. Появляются примеры, когда ERM-модуль способен предсказывать вероятность наступления определенного риска на основе исторических данных и внешних факторов. Так, компании в промышленности экспериментируют с моделями прогнозирования аварий или отказов оборудования на основе данных от систем мониторинга. В ритейле и логистике — с оценкой рисков, связанных с поставщиками, нарушениями сроков или колебаниями спроса. Эти модели требуют времени и набора качественных данных, но они создают основу для перехода от реактивного риск-менеджмента к проактивному.

Следующим этапом развития ERM систем становится добавление речевых интерфейсов и чат-ботов позволяющих сотрудникам сообщать о нарушениях, инициировать задачи или запускать проверки напрямую через голосовые команды. Использование систем обработки естественного языка (Natural Language Processing — NLP) и анализа текстовой или голосовой неструктурированной информации помогает раннему выявлению репутационных и операционных рисков, они могут, например, применяться для анализа новостей и медиа.

Развитие автономных ИИ‑агентов внутри ERM/GRC‑систем способствует проведению анализа риска по заданным правилам и сценариям, инициации корректирующих действий или эскалации с голосовым или текстовым взаимодействием с пользователями. В ряде компаний экспериментируют с интеграцией таких решений с корпоративными мессенджерами и голосовыми ассистентами. Это повышает удобство работы с системами и снижает барьеры входа для пользователей. Именно такие интерфейсы делают работу с ИТ-решениями ERM менее формализованной и более интуитивной.

В компаниях, где процессы только начинают формироваться, простота использования критична. Поэтому тренд на no-code и low-code инструменты будет только усиливаться, особенно в условиях дефицита ИТ-ресурсов и необходимости часто обновлять модели и регламенты.

Ситуация с применением

Как отмечалось ранее, широкому распространению ERM-систем препятствует недостаточная зрелость бизнес-процессов. В банках и страховых компаниях такие решения уже стали стандартом — этому способствует давление регуляторов и высокая чувствительность бизнеса к рискам. В промышленности, логистике, добывающем и аграрном секторах ситуация иная: подход к управлению рисками часто носит фрагментарный характер и не охватывает всю цепочку бизнес-процессов из-за отсутствия единой методологии и формализованных процедур. Обычно фокус смещен на такие направления, как информационная безопасность, охрана труда и комплаенс-риски — то есть управление строится преимущественно вокруг областей, уже попадающих под жесткое нормативное регулирование.

Нередко возникает ситуация, когда отсутствует единая методология, не назначены владельцы процессов и, как следствие, не определены роли сотрудников, ответственных за контроль рисков в своих зонах ответственности. Отчетность и коммуникации при этом осуществляются только точечно. Но главным препятствием для развития риск-менеджмента, в том числе его цифровизации, остается отсутствие соответствующих нормативных требований. Без внешнего стимула со стороны регуляторов компании редко готовы добровольно инвестировать в ИТ-решения для построения системы управления рисками.

Тем не менее, ожидается повышение зрелости бизнес-процессов и риск-культуры в будущем. Хотя в большинстве отраслей нет такой жесткой зарегулированности, как в финансовом секторе, компании все чаще начинают уделять риск-менеджменту внимание и системно подходить к его развитию — прежде всего в рамках решения конкретных бизнес-задач: усиления операционной устойчивости, оптимизации процессов, снижения количества инцидентов и связанных с ними убытков. Это становится внутренним драйвером развития практик управления рисками и постепенно формирует спрос на ИТ-решения класса ERM.

Источник: Наталья Рудик, директор по рискам «НЕКСТБИ»