Вывихнутая управленческая стратегия 

Опыт учит многому, но не гарантирует успеха в новых обстоятельствах — это первый парадокс бизнеса. Вы распределяете риски между подразделениями, страхуете будущее, моделируете сценарии. Но кто станет главным «рискодержателем», когда грянет гром? Кто окажется ответственным за провалы? Формально — владельцы процессов, фактически — генеральный директор. Особенно остро это проявляется в НКО, где ответственность перед обществом выше. Разбираем, как работает система управления рисками и что делать, чтобы она не превратилась в театр галочек.

Опыт говорит о многом и не говорит совсем ни о чём. Этот парадокс действует в параллелях бизнеса, где точки соприкосновения, кажущиеся идентичными, разнятся до неузнаваемости. Сами оцените. Вы, как управленец, справедливо распределяете прогнозируемые риски между профильными подразделениями, так сказать структурными единицами-добытчиками, страхуете завтрашний день финансовыми инструментами и даже моделируете неожиданные выкрутасы рынка. Без относительно специфики, кто на ваш взгляд будет основным «рискодержателем»? Кто окажется ответственным за провалы? Задумались?

А ведь вопрос далеко не праздный и затрагивает одну из центральных управленческих коллизий современности, которая определяет разрыв между формальным распределением рисков и реальной ответственностью за провалы. Парадокс, о котором идёт речь, действительно существует. И тот самый опыт учит тому, что работает в конкретных данных условиях, но не гарантирует универсальности этих уроков. То, что было эффективным в одном контексте, может стать катастрофой в другом, даже если «точки соприкосновения кажутся идентичными». 

Содержание: 

1. Модель ответственности: три линии защиты — теория и реальность
2. За что отвечает каждый уровень?
3. Юридическая битва за ответственность
4. Игра на стыке функций
5. Вывод? Ответственность у нас плавает
6. Как перейти от слов к делу, так чтобы не разориться
7. Почему результат получается таким стойким?

Модель ответственности: три линии защиты — теория и реальность

В мире риск-менеджмента часто говорят о «трёх линиях защиты». На бумаге эта модель выглядит просто и логично: есть четкое разделение ролей, каждый знает свою зону ответственности. Но когда от теории переходишь к практике, нюансов становится куда больше.

Начнём с первой линии, самой приземлённой и, честно говоря, самой загруженной. Это руководители подразделений, владельцы процессов — те самые люди, которые день за днём принимают решения по ходу дела: расширять смену или остановить станок, закупить новое ПО или потерпеть со старым. В идеале они и должны быть «рискодержателями» в своей области: отслеживать угрозы, выявлять слабые места, сразу реагировать. То есть если речь, например, о рисках производственного брака или сбоев оборудования — всё это их поле боя. Практика подтверждает: самая тяжёлая работа по управлению рисками ложится именно на их плечи.

Дальше вступает в игру вторая линия — специалисты по рискам, комплаенс-офицеры, финансовый контроль. Они не бегают по цехам и не рулят проектами — вместо этого создают методологию (да-да, тот самый книжный минимум, но без него никуда), вырабатывают стандарты и мониторят работу первой линии. Их задача — быть опорой для операционных руководителей, помогать видеть шире и не скатываться в формализм ради отчётности.

Наконец — независимый аудитор. Именно он проверяет всю систему целиком: насколько реально работает встроенная защита или же риски красиво пишутся в одном уголке Excel’я и тут же забываются до следующей проверки.

Но есть и еще одна сторона ответственности, которую мы забываем и не предаём ей никакого значения в таком важном вопросе управления рисками. А может ли, скажем, HR-отдел или тот же IT встать в ряды «рискодержателя», а не просто выполнять свои стандартные задачи? Сначала кажется — ну как, ведь это не ядро бизнеса. Но на самом деле — запросто могут. И не просто могут – должны!

Давайте чуть пристальней присмотримся к реальной жизни компании. И что мы увидим: большинство рисков «живёт» вовсе не только внутри ключевого бизнес-процесса. Вот пример из практики — IT-команда совершенно точно управляет целым слоем угроз. Ки протоколы защиты, потеря данных, хакерские атаки или та самая злополучная флешка, которую кто-то воткнул куда не надо… Хороший айтишник быстро убедится, что без управления этими рисками компания может за день потерять и лицо, и деньги. Там же и HR: если у тебя бардак с адаптацией новых сотрудников или давно никто не думал над этикой увольнений — проблемы долго ждать себя не заставят. Утечка инсайдерской информации или массовый конфликт вдруг начинают казаться вполне вероятной историей… А если у тебя вообще нет HR подразделения… «Да, на кой оно нужно-то, - скажет любой гендир, - я сам лично выдеру себе специалистов. Чать не зря 15 лет у руля – людей вижу, как облупленных…». Оставим в покое вездесущего гендира и продолжим.

Да что говорить — даже редакция корпоративного сайта на сегодняшний день управляет репутационными рисками сильнее PR-служб прошлых лет. Размещённая с ошибкой новость или бездумный пост мгновенно становятся достоянием тысяч людей — и расходятся как сухой порох по ветру.

Можно пройтись по всем так называемым «вспомогательным» отделам: бухгалтерия тащит на себе финансовую прозрачность (налоги, аудит), закупки следят за кристальной чистотой поставщиков (здесь всегда есть место махинациям), транспортники отвечают за логистику, что напрямую влияет на бизнес-обещания клиенту… Список длинный.

Поэтому классическая модель трёх линий защиты работает только тогда, когда объединяет всех участников экосистемы. Не бывает мелких ролей: каждая команда обязана выявлять свои собственные зоны риска и работать с ними всерьёз — в паре с риск-менеджерами и теми самыми героями «второй линии». И если сделать из этого рутину - пусть иногда занудную — организация становится гибче: реагирует быстрее, теряет меньше ресурсов и зарабатывает ту самую профессиональную репутацию устойчивого игрока. Без этой прозрачности современная компания просто вылетает из гонки.

Вот только жизнь всегда сложнее любой схемы. Возникает естественный вопрос: а кто же в итоге остаётся крайним? Кто платит за провалы?

За что отвечает каждый уровень?

На оперативном, операционном уровне всё прозрачно: конкретный руководитель отдела отвечает за своё направление. Если что-то пошло не так с поставкой товара или случился технологический сбой — его зона ответственности очевидна.

Но чем выше поднимаемся по управленческой лестнице — тем интереснее. Стратегические просчёты (скажем, неверная ставка на новый рынок или игнорирование цифровых трендов) попадают уже на стол совета директоров и топ-менеджмента. Они задают общий «риск-аппетит»: то есть границы допустимого риска на уровне всей компании. Для них задача — не микроменеджмент каждого риска отдельно (что невозможно физически), а скорее создание среды осознанного отношения к рискам как явлению.

Убедился сам неоднократно. В свою бытность выпала мне доля, с завидной регулярность занимать пост временного кризисного управляющего целого ряда дочерних акционерных обществ РАО ЕС. И разгребая завалы, выявляя причины, привлёкшие меня к этой деятельности, я увидел вот какую закономерность: провал происходит не потому, что рисками никто не занимается, а потому, что каждый считает себя занимающимся ими, но никто не несёт за это персональной системной ответственности.

Знаете, как часто бывает: директор цеха уверен — ну уж кто-кто, а риск-менеджер все предусмотрел. Риск-менеджер, в свою очередь, считает: если что случится, это область решений главы подразделения. Совет директоров живет с ощущением, что управленческая команда держит ситуацию под контролем — ведь они для того и наняты! А топ-менеджмент убежден, что главные границы давно нарисованы советом директоров: мол, риск-аппетит определен — играйте по этим правилам. В результате ответственность за риски превращается почти в мираж: официально она есть у всех и ни у кого одновременно.

И вот какой парадокс я заметил на практике. Там, где бизнес идет хорошо, люди почему-то гораздо трепетней относятся к возможным провалам. Они не боятся встревожить начальство проблемными звоночками — даже если сообщение неудобное или портит кому-то настроение. А вот компании с хроническими проблемами часто внешне спокойны и строго следуют формальным протоколам: «отчитываться — отчитался», «галочку поставил» — всё по регламенту и инструкции… только вот вопросы по-настоящему важные остаются где-то под ковром. К примеру, даже не прописаны должностные обязанности – ни у кого. В итоге управление рисками превращается в бюрократию ради галочки. Заполнили формы — молодцы? Как бы не так. Или вообще: «пока петух не клюнет».
Когда что-то по-крупному накрывается (а это рано или поздно происходит), выясняется неприятная штука: никто толком не знал, кто отвечает именно за этот риск, кто должен был сигналить о надвигающейся проблеме и запускать реальные действия. Вот эта размытость ответственности страшнее любых рыночных штормов — потому что она делает компанию уязвимой изнутри, когда все внешне вроде бы «согласовано».

Юридическая битва за ответственность

Вот мы и добрались до самого интересного — юридический подвох! На бумаге круг ответственностей разделён между слоями пирамиды; но стоит возникнуть крупной проблеме — всё внимание (в том числе регуляторов) переключается наверх, или в бок, но никак не по восходящей. 

По закону генеральный директор отвечает буквально «за всё под луной». Та же судебная практика это повторяет как мантру: директор не может проконтролировать каждый шаг сотрудников лично, но обязан строить систему так, чтобы серьёзные нарушения исключались системно или выявлялись сразу уж точно не в последний момент.

Взять хотя бы виды ответственности:

• Материальная (причинил компании убытки? Удержат из зарплаты или даже обратятся к твоему личному имуществу)
• Административная (нарушил какие-то нормы ведения бизнеса)
• Уголовная (сёстры-преступления вроде злоупотреблений полномочиями)
• Субсидиарная (лично отвечаешь всем своим добром по долгам организации)

Даже если ошибка произошла где-то «внизу», суд первым делом спросит с управляющего вершиной айсберга.

В общем-то, разговор о рисках мы с вами обычно ассоциируем с бизнесом — «где прибыль, там ответственность». Вот незадача, а статья-то опубликована на сайте «третьего сектора». Да, когда мы переключаемся на некоммерческий сектор, появляется иллюзия: вроде, как и ставки ниже, и нервотрёпки поменьше. Мол, нет у нас акционеров и пресловутых бешеных инвесторов (никто в ночи не пишет "а что с отчётностью?"), значит, жить проще? Вот тут как раз всё наоборот.

У руководителя НКО список ожиданий шире, чем можно было бы представить. С одной стороны — учредители и попечительский совет: люди, которые доверили тебе развивать миссию организации. С другой — государство. Оно может поддержать субсидиями или налоговыми льготами… а может просто отозвать лицензию, если найдутся нарушения. Дальше идут доноры и благодарители — те самые частные лица или компании, которые поверили в ваши идеи и вложились рублем или временем. И уж совсем нельзя забывать про бенефициаров: ради кого вообще весь сыр-бор. Ну и последний пункт — общество в целом. Здесь ты не абстрактный управленец безликого бизнеса, а человек, отвечающий за то, как используются ресурсы на общее благо.

Вот где возникает интересный нюанс: риск-менеджмент для НКО часто воспринимается как чему-то ненужному — мол, мы же все на чистом энтузиазме! Система отчетности выглядит скучной бюрократией (от неё хочется сбежать к очередному крутому проекту), а проверки со стороны надзорных органов долгое время где-то на задворках календаря. Но стоит один раз по-дружески забыть оформить договор или прозевать рутинную бумажку — проверка вылетает из ниоткуда, и вся ответственность моментально падает на руководителя.

Парадокс в том, что отсутствие погони за прибылью не освобождает от серьёзных рисков. Скорее наоборот — работаешь с общественным доверием и деньгами третьих лиц? Значит требования к прозрачности выше, чем у среднего ОООшки из соседнего офиса. Ошибся? Не только получишь штраф или письмо счастья от контролёров — можешь подорвать репутацию всей сферы НКО - это правда работает именно так.

Поэтому история про управление рисками для НКО не про «чтобы было», а реально про выживание и стабильность организации. Это не атрибут большой бюрократии — это твоя страховка и уважение ко всем тем людям (и смыслам), ради которых ты вообще здесь работаешь.

Короче говоря, ставим на полку миф о «беспечной жизни» вне бизнеса: в НКО ответственности куда больше. Просто устроена она по-другому — но уж точно не легче!

Игра на стыке функций

Самое коварное место во всей этой архитектуре начинается там, где однозначных границ между отделами нет вообще. Перекрестные процессы легко теряются между двумя соседними командами: каждый считает этот участок работы чужим полем… Или наоборот — уверен, что тут всё сразу разделено настолько формально, что обсуждать нечего до первой проблемы! Оказавшись в слепой зоне между отделами закупок и логистики (например), полагаешься на то, что кто-нибудь другой уже оценил риск перебоев поставок?? Именно здесь нужны командные мосты между функциями; вторые линии защиты должны выступать медиаторами и интеграторами обмена информацией о рисках между подразделениями.

В консалтинговой компании, особенно если речь идет о бухгалтерском и юридическом сопровождении, одной только экспертизы недостаточно — здесь всё держится на том, как разные отделы умеют договариваться друг с другом. Вот представьте классическую рабочую сцену: клиент обращается за помощью по сложному вопросу, получить ответ нужно быстро и комплексно. Юрист говорит: «Всё нужно задокументировать, иначе налоговая прицепится». Бухгалтер тут же добавляет: «Но если оформить именно так, высок риск попасть под камеральную проверку». И вот они оба вроде бы правы, каждый защищает интересы клиента со своей стороны, но где гарантия, что их рекомендации вместе не приведут к тупику?

Чаще всего отделы работают в параллельных мирах: налоговый консультант пишет расчёты (честно и внимательно), юрист готовит контракт (с оглядкой на закон), а кто-то ответственен за риски (и зачастую узнаёт о неприятностях уже после того, как они случились). В итоге клиент набирает на руки отдельные куски совета, складывает их в единую картину... и иногда оказывается в ситуации, где рекомендации вдруг начинают конфликтовать — а заплатить за ошибку приходится ему. И сразу возникает не самый приятный вопрос: кому теперь отвечать? Кому клиент предъявит претензии? А если ошибка заметна внешнему миру — может быть дело дойдет до регулятора? Или пострадает имя самой консалтинговой фирмы?

Вот почему отделы внутреннего контроля — риск-менеджмент, аудит или служба качества — должны выступать не просто охранниками регламентов, а настоящими интеграторами-разруливателями. Их задача — найти все эти пересечения "на стыках" ещё до того, как проблема вылезет наружу. Они постоянно должны держать в голове простые вопросы: «Уверены ли мы, что юристы видят налоговые нюансы? Сообщили ли бухгалтерам обо всех договорных рисках? О чём могут промолчать аналитики?»

Причём делать это раз от раза на больших совещаниях попросту не работает — нужна система автоматического обмена информацией, бизнес-процессы с понятными зонами ответственности и заранее прописанными сценариями эскалации. Пока такие механизмы не работают по умолчанию, ошибки будут повторяться снова и снова. Результат предсказуем: клиенты теряются не из-за сложности задач или нехватки квалификации сотрудников — а потому что никто не собрал всю мозаику целиком.
Культура вместо регламента

А вот теперь о непридуманном главном факторе успеха или фиаско любого риск-менеджмента. 5% результата здесь определяет процесс; оставшиеся 95% — культура внутри компании. Не зря лучшие практики большого бизнеса на Западе всегда сводятся к простому тезису: разговаривайте о своих промахах вслух! Когда любой сотрудник может не бояться высказать тревогу (без риска заполучить шлейф «паникёра»), уровень зрелости системы автоматически растёт.

Что значит сильная культура управления рисками:

• Люди готовы открыто рассказывать об ошибках;
• Каждый лично осознаёт свои мини-риски ежедневно;
• На неприятности реагируют быстро («под ковёр» их никто никогда не заметает);
• Анализ угроз стал привычкой для всех слоёв команды…

Вывод? Ответственность у нас плавает

Если в компании процесс устроен по уму — и это не только про регламенты, но про доверие, которое идёт как сверху, так и снизу — зона ошибок для каждого становится прозрачной. Ты понимаешь: вот где я отвечаю, а вот здесь начинается территория коллеги. Всякие аварии или косяки не превращаются в катастрофу: ясно, кто что может починить и чему научиться на будущее.

Но стоит в этой конструкции дать трещину (или если культура управления — «дело тонкое» только на словах) — начинается настоящий детектив по поиску виноватых. Тут каждый раз всплывает один занятный паттерн. Если наверху хотят выглядеть безупречно, то стрелочники обычно ищутся где-то попроще: среди тех, кто ближе к реальной работе — операционные отделы, IT-отделы, технические специалисты или даже HR («Ну так кого ещё обвинить в недостаточной подготовке персонала?»). Иногда схема сложнее: крайними делают те подразделения, которые воспринимаются как обслуживающие — бухгалтерию или внутренний сервис. Получается кривая логика: проще обвинить бухгалтеров за ошибку в отчётности, чем всерьёз признать просчёт в стратегии всей компании. Или валят сбой на IT-шников («Не защитили данные!»), хотя вопрос на самом деле про хаотичный подход к управлению рисками.
В итоге самый крепкий удар обычно ловят на себя вовсе не директора или члены управляющего совета, а те люди, которые физически ближе всего к месту «взрыва». То есть иногда сделать свою работу хорошо означает... оказаться отличной мишенью.

Тут возникает еще один забавный парадокс. Все любят рассуждать о важности прозрачной ответственности — мол, всё декомпозировано, зоны чётко очерчены! На практике же санкции либо обрушиваются наверх (что бывает редко и обычно после скандалов), либо оседают мелкими снежинками на самых удобных козлах отпущения внизу: девочка из поддержки, мальчик из склада или скромная команда финансистов. И никакой прогрессивный документооборот этот закон пищевой цепочки пока не переломил — особенно если организация живёт по привычным удобным для них бизнес-заветам.

Суть универcальна: хочешь контролировать процессы под собой и держать репутацию «молодца»? Будь готов либо «выгрести» любой форс-мажор лично (где бы ни рвануло), либо искать удобную жертву среди своих людей.

Именно поэтому система управления рисками, если мы хотим чтобы она работала, должна строиться не сверху вниз ультиматумами и галочками («пусть все распишутся!»), а снизу вверх — через настоящую вовлечённость всех участников и очень честное распределение ответственности между ними. Стоит хоть чуть-чуть перекосить справедливость — риски никто по-настоящему отслеживать и обсуждать уже не будет: все начинают имитировать работу ради отчётов и перестают говорить о важных вещах вслух. Получается театр теней вместо системы безопасности. А рынок долго ждать не любит — первая настоящая буря покажет цену всем этим красивым реляциям и схемам на бумаге.

Позвонить юристу

Оставить заявку

Пишите, мы онлайн!

Как перейти от слов к делу, так чтобы не разориться

Давайте честно — мало кто не сталкивался с этим разочарованием: вот мы часами обсуждаем на совещаниях все эти риски, делим ответственность, разбираемся в теории… а дальше? Возникает соблазн пригласить модного консультанта или купить сложную (и дорогую) платформу, чтобы «управлять рисками по-взрослому». Только обычно денег на такое нет, да и почти всем кажется — что-то тут не то. И это правда: любые живые управленческие процессы начинаются без бюджета и без пафосных решений на полгода вперед.

С чего стартовать, если у организации касса пуста (или ограничена до символической суммы)?

• Находим риски там, где за них реально отвечают  

Первое — попробуйте собрать руководителей хотя бы раз в одной комнате и начните делать заметки по-простому: прямо в Excel или даже на бумаге составляете табличку «отдел — риск — ответственный». Пусть каждый отдел сам расскажет о своих зонах тревоги — так люди сразу включаются лично, и когда появится новая угроза, будут помнить: это моя зона ответственности. В НКО особенно важно позвать представителей попечителей: им нужно видеть, что вы реально контролируете обстановку.

• Договариваемся о «точках невозврата»  

Пусть у каждого будет право озвучить тот риск, на который ни при каких обстоятельствах нельзя закрыть глаза. Ну вот как для юристов критично не накосячить с консультацией так, чтобы клиент пострадал (это сразу удар по репутации и бюджету), а для благотворительных организаций красная линия — трата денег не туда или нарушение условий гранта. Такие темы должны быть проговорены всем коллективом и доведены до формальных процедур эскалации. Ноль затрат, нужен только честный разговор.

• Назначаем личных «хозяев рисков»

Самый бюджетный способ структурировать контроль — прямо вписать в должностные инструкции конкретные обязанности: «Руководитель IT отвечает за поиск кибер-угроз и еженедельно отчитывается», или «Финансовый менеджер мониторит расходование средств под условиями грантов». Это формально и работает лучше любых устных договоренностей.

• Заводим «дневник неприятностей»

Можно опять-таки использовать Google Sheets или любую другую удобную штуку: три столбца — описание риска, кто отвечает, статус. Когда эту таблицу обновляют хотя бы раз в месяц, всем видно: риски существуют, их отслеживают, ничего не прячут под ковер. Бюджет? Пара часов рабочего времени! И чтобы потом вывесить на всеобщее обозрение – очень важно!

• Учим людей защищать друг друга  

Вместо того чтобы приглашать дорогих внешних экспертов — устройте мини-семинары из реальных кейсов вашей отрасли («как другой НКО чуть не погорел из-за проверок» или «что бывает при ошибке юриста»). Кратко разбираем ошибки других и размышляем: сделали бы мы иначе?

А теперь что всё-таки стоит вложить какие-то деньги (и почему оно себя окупает):

• «Хранитель рисков» хотя бы на полставки  

Это человек (или даже один из действующих сотрудников), который заведует процессом целиком: следит за журналом рисков, напоминает людям про отчеты и бегает между отделами за апдейтами. Условно его зарплата обычно с лихвой окупается уже предотвращением одного-единственного косяка в год (поверьте опыту). Для НКО это еще часто «страховой полис» от регуляторных бед.

• Процедуры проще простого  

Стремиться сразу к толстым регламентам скучно: достаточно нескольких страниц с алгоритмами («если случилось Х — делаем Y»). Иногда выгодно даже заказать шаблон у консультанта или доплатить своему айтишнику за автоматизацию формы.

• Мини-аудиты своими силами  

Не зовите людей извне — выделяйте день-два в квартал: проходите вместе по чек-листу того же журнала рисков («какие контрольные точки забыли», «кто перестал вести учета»). Это экономит время (и деньги), но при этом исключает эффект неожиданности.

• Обучение под ваши задачи

Для юристов это разбор судебной практики; для благотворительных организаций изучение требований контролирующих органов и типичных конфликтных случаев с финансированием. Освоив эти базовые пакеты знаний однажды — вы профилактируете самые частые дорогие ошибки на годы вперёд.

Почему результат получается таким стойким?

Всё просто: система управления рисками начинает работать только тогда, когда она вплетена в обычную ежедневную рутину компании/фонда/АНО, а участники реально понимают свою пользу и роль в процессе. Никто не хочет быть крайним из-за чужой беспечности — зато всем интересно быть частью команды, которая разбирается со своими страхами напрямую.

Особенно для НКО такой подход работает ещё мощнее: видимая прозрачность процессов убеждает доноров и грантодателей вкладываться снова и снова (все хотят знать свой вклад в безопасности).

Если коротко – начните сегодня маленькими шагами: занесите сами первый риск в журнал, поговорите открыто о том, что самое страшное может случиться именно у вас, дайте людям право голоса… Через пару кварталов вы вдруг обнаружите странный эффект: компания управляется спокойней; никто не паникует при первых звонках беды; а коллектив стал чуточку свободнее говорить друг с другом про то самое трудное. Именно из этого складывается настоящая зрелость управления рисками – как системы поддержки друг друга внутри компании. Живая штука!

А чтобы вам было еще понятней, и вы не тратили время на «шаблоны журналов и учётов», на «разработку системы оценки рисков», на «антикризисные решения» и т.д. Мы – эксперты «Партнёр НКО» и Отраслевого исследовательского центра ФПН приняли решение разработать собственные методики, изучить практики других и всё это описать в монографии «Управление рисками в НКО». 

Всю организацию исследовательской и издательской деятельности мы планируем за собственные средства. Поэтому, говорим открыто, если есть возможность и желание присоединиться и стать соавторами этого научного труда – добро пожаловать: можно деньгами, а можно и своими наработками. 

Директор ОИЦ ФПН
к.э.н. Д.Г.Плынов

Остались вопросы?

Пишите или звоните: +7 (495) 004-02-10

Академия НКО — образование руководителей и команды от «Партнёр НКО».
Вебинары НКО — 25 часов, с онлайн разбором ваших кейсов.
Конференция НКО — Общероссийский форум по развитию НКО.
Форум НКО — крупнейшее сообщество НКО в России.

Подпишитесь на наш Телеграм-канал Самое срочное и полезное для Вашей НКО