Как отслеживать риски в 2026 году: руководство с примерами и лучшими практиками

Практическая перспектива управления рисками в стратегическом планировании с использованием ISO 31000 в качестве руководящего стандарта.

Ключевые тенденции, формирующие ландшафт управления рисками в 2026 году

Мы активно отслеживаем новые тенденции в стратегическом планировании, в частности их влияние на управление рисками.

Сценарии, связанные с рисками, зафиксированные в 2025 году:

• Внедрение управления рисками в стратегию путем каскадирования корпоративных рисков в связанные стратегические и функциональные системы показателей, связывания рисков, сценариев и KPI между функциями.
• Интеграция управления рисками в выполнение стратегии путем постоянного мониторинга превентивных и смягчающих мер с помощью bowtie-анализа в рамках единой системы эффективности.

Вот изменения в управлении рисками, которые мы ожидаем увидеть в 2026 году:

• Все больше нормативных актов явно включают требования к практике управления рисками. Понятие заинтересованных лиц становится все более распространенным в управлении рисками.
• Управление ИИ широко внедряется для снижения рисков, связанных с появлением генеративного ИИ.
• Значительные утечки данных (например, связанные с Coupang, Aflac и Университетом Феникса) вызвали рост интереса к валидации сторонних поставщиков.
• Продолжающаяся геополитическая фрагментация, торговые ограничения и макроэкономическая нестабильность побуждают организации в 2026 году расширять и стресс-тестировать свои модели рисков, особенно по всей цепочке поставок.
• Экстремальные погодные явления расширили интерес к плану восстановления после катастроф за пределы ИТ.

Тема рисков становится все более актуальной в профессиональном сообществе. Мы наблюдаем рост числа конференций по рискам и GRC в США и Европе. Мы поделимся нашим практическим опытом в области управления рисками на запланированных докладах на конференциях.

Введение: Определение риска за пределами вероятности и влияния

Руководящим стандартом в области управления рисками является ISO 31000. Интересно наблюдать, как эволюционировало определение риска в стандарте со временем:

• Предыдущее определение риска по ISO: «Возможность или вероятность потерь.»
• Определение согласно ISO 31000:2018: «Воздействие неопределенности на цели.»

Что изменилось?

• Старое определение упоминало «потери«; новое использует термин «воздействие.» Это изменение подразумевает потенциальные положительные и отрицательные эффекты, а также подчеркивает важность нематериальных факторов, таких как восприятие клиентов.
• Старое определение использовало «вероятность» и «шанс» для описания вероятности возникновений. В современном определении мы встречаем «воздействие неопределенности«, также объясняется как эффект неполного знания. Этот подход позволяет более гибко определять риски, выходя за рамки модели «вероятность x влияние».
• Добавление термина «цель» в новое определение подчеркивает, что риски определяются в конкретном контексте, предотвращая потенциальное несоответствие общей стратегии.

Давайте изучим практическое применение управления рисками в стратегическом планировании, используя руководящие принципы стандарта ISO.

1. Оценка риска: систематический и с учетом заинтересованных лиц

Отобразите возможные риски через систематический анализ движущих сил и их ранних индикаторов в контексте стратегии организации и интересов заинтересованных лиц.

Общий принцип стандарта ISO подчеркивает, что оценка риска должна быть систематической и учитывать мнения различных заинтересованных лиц.

Что это значит на практике?

Оценка риска: систематическая

Концепция систематической оценки риска различается в разных отраслях. По сути, она включает в себя следование установленным процессам и стандартам, таким как:

• Регулярность оценки риска
• Количественная оценка риска
• Назначение ответственных лиц

Ниже мы обсуждаем, как это может быть реализовано на операционном уровне.

Оценка риска: взгляд заинтересованного лица

Подобно другим бизнес-доменам (рассмотрите, например, директиву по отчетности в области устойчивого развития), стандарт ISO сосредотачивается на определении заинтересованных сторон и требует учета их мнений при управлении рисками.

На практике это означает, что организациям необходимо:

• Провести анализ заинтересованных сторон для определения вовлеченных заинтересованных лиц.
• Учитывать интересы заинтересованных сторон при создании модели риска в контексте целей.

Это стандартное требование хорошо согласуется с подходом, который мы поддерживаем через нашу систему реализации стратегии.

Пользователи BSC Designer найдут шаблон анализа заинтересованных сторон в своих аккаунтах.

• Список заинтересованных сторон можно определить через Настройки > Организация > Стратегия.
• Заинтересованные стороны из списка будут включены в список ‘Ответственный‘ и могут быть назначены на цель, риск или план по работе с риском.

Идентификация рисков в контексте целей

Следующим шагом оценки риска является обозначение конкретного риска. Новый стандарт ISO требует, чтобы риски определялись в контексте целей. Цель стандарта — улучшить связь между риском и бизнес-контекстом.

Майкл Расмуссен, известный аналитик GRC, поделился своим мнением о риск-менеджменте для создания ценности по сравнению с риск-менеджментом для комплаенса:

• «[Хороший инструмент для управления рисками] начинается с целей бизнеса и картирует и управляет рисками в контексте этих целей (настоящий ISO 31000).»

В стратегическом планировании, вместо использования отдельной системы показателей рисков, интегрируйте риски в стратегические системы показателей.

При проведении декомпозиции стратегии на основе ценности мы разбиваем стратегические амбиции заинтересованных сторон на более конкретные цели и подцели. На этом этапе мы количественно оцениваем цели и определяем риски, чтобы лучше понять бизнес-контекст, с которым имеем дело.

Большинство инструментов, которые мы используем для сканирования бизнес-среды (обратитесь к сегменту анализа стратегии на диаграмме), естественным образом помогут в идентификации рисков.

Чтобы определить риск в BSC Designer:

• Выберите существующую цель или создайте новую.
• Выберите Добавить риск в меню кнопки Добавить.
• Заполните соответствующие факторы в поле описания и используйте раздел Документы для загрузки любых подтверждающих документов.

Чтобы ввести результаты анализа риска:

1. Выберите индикатор Вероятность.
2. Введите первоначальную оценку риска в поле Начальный риск.
3. Введите допустимый риск в поле Допустимый.
4. Введите текущую оценку риска в поле Остаточный.

Повторите шаги для индикатора Влияние.

Определение индикаторов ранних признаков

Основная причина риска — это то, что в ISO обозначается как эффект «неполного знания».

Как мы можем улучшить наши модели риска в контексте движущих сил?

В дополнение к индикаторам вероятности определите индикаторы ранних признаков. Например, это могут быть индикаторы раннего предупреждения о экономических кризисах или даже войнах. Переводя общие движущие силы в более конкретные факторы, мы увеличиваем шанс найти надежный индикатор раннего предупреждения.

В стратегическом планировании мы различаем эти предсказательные/действующие индикаторы, связанные с факторами успеха, от индикаторов, измеряющих результаты (индикаторы результата).

Чтобы создать предсказательный индикатор раннего признака в BSC Designer:

• Создайте новый индикатор.
• Переключитесь на вкладку Контекст.
• Измените тип индикатора на «Действия».

Changing type of indicator to Leading. Источник: Risk Management Example.

Этот индикатор не будет учитываться при расчете эффективности его родительской цели, но мы можем отслеживать его и использовать для количественной оценки обнаружения риска или инициатив по работе с риском.

2. Анализ риска: вероятность, влияние, уязвимость

Сделайте риски более конкретными, количественно оценив такие характеристики, как вероятность, влияние и уязвимость.

Анализ риска — это широкая практика, направленная на понимание риска и его потенциальных последствий для организации. Ниже мы предлагаем рекомендации по анализу риска в контексте стратегического планирования.

Определить индикатор вероятности/вероятности

Индикатор вероятности может быть определен:

• Качественно, например, по шкале [Низкий, Средний, Высокий] или
• Количественно, например, по шкале [от 0 до 100%].

Количественная шкала подходит для случаев, когда у события риска есть достаточно эмпирических данных для оценки его вероятности в течение определенного периода времени.

Количественная шкала для измерения вероятности риска. Источник: Пример управления рисками.

Пользователи BSC Designer могут определять качественные единицы измерения (пользовательская шкала [«Редко, Маловероятно, Возможно, Вероятно, Определенно»]), которые программа может преобразовать в конкретные значения.

Качественная шкала для оценки вероятности риска. Источник: Пример управления рисками.

Индикатор влияния риска

Подобно индикатору вероятности, мы можем количественно определить индикатор риска по шкале от 0 до 100%.

Альтернативным вариантом было бы использование долларовой шкалы для индикатора влияния риска.

Индикатор влияния, измеряемый по долларовой шкале. Источник: Risk Management Example.

Подобно индикатору вероятности, мы можем определить собственную количественную шкалу для влияния:

Качественная шкала для индикатора влияния риска. Источник: Risk Management Example.

Индикатор уязвимости

Оценка вероятности риска и его возможного влияния не учитывает чувствительность организации к такому виду риска.

При обсуждении индикаторов ранних признаков мы количественно оценивали аспекты деловой среды, которые могли предсказать развитие определенных движущих сил. В случае уязвимости мы проводим аналогичный анализ, но сосредотачиваемся на организации и ее инфраструктуре.

Например, мы могли бы оценить существующие уязвимости в области кибербезопасности с помощью военных игр или моделирования атак. Более конкретные примеры можно найти в статье о кибербезопасности.

«Уязвимость» может быть количественно оценена согласно CVSS по шкале от 0 до 10 с функцией оптимизации «Минимизация».

Связь риска с эффективностью внутренних контролей

Один из способов оценить вероятность или влияние риска — это оценка эффективности внутренних контролей.

Эффективность контролей подтверждается индикаторами результата. Если они находятся в зеленой зоне, мы можем ожидать более низкую оценку риска.

Отслеживать временные факторы

Постоянное изменение движущих сил, а также инициатив по предотвращению рисков приводит к изменениям в оценках рисков.

Отслеживайте развитие риска с течением времени и записывайте соответствующие идеи для цикла обучения и улучшения.

Чтобы автоматизировать это в BSC Designer:

• Установите интервал обновления для индикаторов риска.

• Используйте внутренний календарь и поле Значение, чтобы обновить индикатор свежими данными.
• Используйте кнопку комментария, чтобы добавить соответствующие заметки к обновлению.

3. Обработка рисков: Определение реакции на риск

Реализуйте планы по работе с рисками и отслеживайте успех их внедрения по статусам инициатив и индикаторам работы с рисками.

В соответствии с установленными порогами допустимых рисков и по результатам анализа рисков, лица, принимающие решения, формулируют стратегию реагирования на риск с возможными вариантами, такими как:

• Удаление рисков как неактуальных
• Мониторинг в рамках существующей модели риска
• Введение плана по обработке рисков
• Под вопросом анализ риска
• Под вопросом контекст (цель или амбиции заинтересованных лиц)

В BSC Designer:

• Используйте инициативы План снижения риска для записи планов обработки рисков.
• Свяжите индикатор прогресса с инициативой по снижению риска.
• Используйте поле статуса риска для указания его текущего состояния в соответствии с принятой схемой управления рисками.

Track status of risk mitigation initiative. Источник: Risk Management Example.

• Добавьте дополнительные пункты через диалог Инициативы (новые риски, инициативы, обоснования, гипотезы, ожидаемые результаты)
• Добавьте соответствующие данные для обработки рисков, такие как бюджет, сроки, индикатор прогресса, ответственные лица
• Загрузите соответствующие подтверждающие документы

4. Мониторинг рисков: новый взгляд на риск-экспозицию

Отслеживайте изменения риск-экспозиции со временем с помощью ключевых индикаторов риска и дашбордов.

Индикаторы, которые мы использовали для определения рисков, настроены на определенный интервал обновления. Ответственные, назначенные для индикаторов риска, будут получать уведомления о предстоящих интервалах обновления и пропущенных обновлениях.

Также возможно визуализировать на дашборде индикаторы, которые не были обновлены вовремя.

Детали всех обновлений (кто обновил, когда было сделано обновление, было ли изменено предыдущее значение) можно просмотреть через журнал аудита для индикаторов.

На уровне системы показателей управления регулярный анализ рисков может быть количественно оценен с помощью специального индикатора:

• Добавьте «Провести систематическую оценку рисков» в систему показателей управления.
• Настройте индикатор на обновление ежеквартально или ежегодно.
• Назначьте человека/команду, ответственных за регулярный анализ рисков, владельцем этого индикатора, чтобы получать напоминания по электронной почте о предстоящих обновлениях.
• Свяжите этот индикатор с соответствующими индикаторами с нижних уровней, которые количественно оценивают оценки рисков в конкретных областях.

Графики

В дополнение к мониторингу с регулярно обновляемыми индикаторами, рассмотрите возможность добавления дашборда с соответствующими диаграммами:

• Диаграмма со списком рисков, их статусами, прогрессом обработки, ответственными лицами
• Отдельные диаграммы для наиболее критичных рисков
• Диаграммы для индекса риска и его изменения во времени.

A dashboard with risk diagrams. Источник: Risk Management Example.

Взвешенный индекс риска

Одним из популярных способов сообщить о рисковых инцидентах является использование взвешенного индекса риска. Простой индекс может выглядеть следующим образом:

• События с низким влиянием (вес = 5%)
• События со средним влиянием (вес = 15%)
• События с высоким влиянием (вес = 30%)
• Критические события (вес = 50%)

Использование индекса помогает предотвратить манипуляцию индикатором, маскируя события с высокой ценностью исправлениями с низкой ценностью.

An example of weighted risk index. Источник: Risk Management Example.

В BSC Designer:

• Используйте кнопку Добавить, чтобы создать иерархическую структуру индикаторов.
• Используйте свойство Вес на вкладке Эффективность, чтобы назначить соответствующий вес индикаторам.

Управление рисками в масштабе: реестр рисков против целевых определений рисков

При масштабировании практик, связанных с рисками, организации обычно комбинируют эти два метода управления рисками, чтобы сбалансировать видимость рисков и их связь:

• Использование системы показателей реестра рисков для общих рисков, и
• Фокус на целевых определениях рисков для более специфичных рисков.

Пример реестра рисков в функциональной системе показателей, автоматизированной BSC Designer. Источник: Risk Register.

Комплексный анализ риска – метод Bowtie

Выше мы сосредоточились на количественном анализе конкретных рисков. Но что делать, если нам нужно более детальное понимание неопределенностей, связанных с определённым рисковым событием, которое включает в себя несколько угроз и последствий в различных измерениях?

В таких случаях метод анализа риска Bowtie обеспечивает чёткое и структурированное представление о данном рисковом событии, отображая не только само событие, но и меры по его предотвращению и снижению.

Слайды

Заключение: интеграция риска в стратегическое планирование

Мы больше не говорим об отдельных дисциплинах управления рисками, комплаенс и корпоративное управление. Быстро меняющаяся бизнес-среда заставляет организации искать интегрированную GRC-структуру.

Как указано в нашей Системе внедрения стратегии, практическая реализация включает:

• Разделение сложных проблем на конкретные области, управляемые специализированными стратегическими и функциональными системами показателей.
• Формулирование целей с соответствующими определениями рисков, индикаторами и инициативами.
• Сосредоточение систем показателей на интересующих областях, таких как комплаенс, кибербезопасность или цепочка поставок.

Используйте шаблон Risk Management Example

BSC Designer помогает организациям реализовывать их сложные стратегии:

1. Зарегистрируйтесь на бесплатный план на платформе.
2. Используйте шаблон Risk Management Example в качестве отправной точки. Вы найдете его в Новая > Новая система показателей > Больше шаблонов.
3. Следуйте нашей Системе внедрения стратегии, чтобы связать заинтересованные стороны и стратегические амбиции в комплексную стратегию.

Начните сегодня и посмотрите, как BSC Designer может упростить реализацию вашей стратегии!