Управление рисками предприятия по стандарту ISO 31000 в условиях турбулентности

Стандарт ISO 31000 (ГОСТ Р ИСО 31000-2019) — универсальная методология менеджмента риска для предприятий любого масштаба. В условиях санкционного давления, логистических разрывов и кадрового дефицита системный подход к управлению рисками становится не конкурентным преимуществом, а условием выживания.

Матрица рисков и реестр: практические инструменты

Два инструмента составляют ядро операционного риск-менеджмента: реестр рисков и матрица рисков. Без них ISO 31000 остаётся теорией на бумаге.

Реестр рисков

Реестр — это «живой» документ, фиксирующий всю информацию о каждом идентифицированном риске. Минимальный набор полей реестра:

Матрица рисков 5×5

Матрица — визуальный инструмент приоритизации. Каждый риск размещается в ячейке на пересечении вероятности и влияния. Зоны окрашиваются в три цвета:

• Зелёная зона (1–4 балла) — приемлемый риск. Действие: принять и мониторить.
• Жёлтая зона (5–12 баллов) — умеренный риск. Действие: разработать план обработки, назначить владельца.
• Красная зона (15–25 баллов) — критический риск. Действие: немедленная эскалация на уровень высшего руководства, экстренные контрмеры.

По нашему опыту, при первом составлении матрицы компании часто получают перегруженную красную зону — это нормально. Задача не в том, чтобы устранить все красные риски, а в том, чтобы системно снижать их уровень до приемлемого.

Санкции, логистика, кадры: карта ключевых угроз 2024–2026

Для российских предприятий период 2024–2026 годов характеризуется уникальным сочетанием рисков, которые требуют системного подхода по ISO 31000. Рассмотрим ключевые категории.

Санкционные риски

Санкционное давление продолжает нарастать, затрагивая не только прямых участников ВЭД, но и компании, работающие на внутреннем рынке. Вторичные санкции усложняют расчёты с контрагентами из третьих стран, а ограничения на экспорт технологий создают дефицит оборудования и комплектующих. По оценкам экспертов, до 30% логистических компаний завершили 2024 год с убытком, а 15–20% покинули рынок.

Логистические риски

Перестройка транспортных коридоров — одна из самых масштабных трансформаций последних лет. Компании вынуждены использовать более длинные маршруты, что увеличивает стоимость доставки и сроки. Диверсификация путей доставки — от «разворота на Восток» через Казахстан, Китай и Турцию — требует новых компетенций и партнёрств.

Кадровые риски

Дефицит квалифицированных специалистов обостряется: конкуренция за персонал растёт, а отток кадров за рубеж снижает доступный кадровый потенциал. Для системы менеджмента риска это означает необходимость включить в реестр риски потери ключевых сотрудников и утраты критических компетенций.

Технологические и комплаенс-риски

Программы импортозамещения требуют перехода на российское ПО и оборудование, что несёт риски совместимости, снижения производительности и роста затрат на переобучение. Одновременно ужесточается регуляторика в области информационной безопасности и защиты персональных данных.

Как превратить угрозу в рыночную возможность: алгоритм действий

ISO 31000 определяет риск как «влияние неопределённости на цели» — и это определение принципиально отличается от бытового понимания «риск = опасность». Неопределённость может нести и позитивные последствия — их называют возможностями (opportunities). Задача зрелой системы риск-менеджмента — не только защищать, но и находить точки роста.

Нассим Талеб ввёл понятие антихрупкости — свойства систем, которые становятся сильнее от потрясений. Стандарт ISO 31000, хотя и не использует этот термин, по сути описывает механизм построения антихрупкой организации: выявляй неопределённость, анализируй варианты, действуй заранее.

Пошаговый алгоритм трансформации угроз в возможности:

1. Переформулируйте угрозу как вопрос. Вместо «Санкции блокируют поставки европейского оборудования» спросите: «Какие альтернативные поставщики получат преимущество на освободившемся рынке? Можем ли мы стать одним из них?»
2. Проведите анализ «Что если?». Для каждого существенного риска моделируйте не только негативный, но и позитивный сценарий. Какие конкуренты уйдут с рынка? Какие ниши откроются?
3. Оцените ресурсы. Есть ли у компании компетенции, производственные мощности или партнёрства для захвата новой ниши? Если нет — каковы инвестиции и сроки?
4. Примите решение быстро. В условиях турбулентности окно возможностей открывается и закрывается стремительно. Компании с «живым» реестром рисков принимают решения быстрее, потому что аналитическая работа уже проделана.
5. Зафиксируйте возможность в реестре. Присвойте ей владельца, ресурсы и сроки реализации — точно так же, как и для угрозы.

Типичный пример из практики: производственная компания из Уральского региона, зависевшая от европейских комплектующих, в 2022–2023 годах оперативно переключилась на азиатских поставщиков. Попутно она наладила собственное производство части деталей, ранее закупавшихся за рубежом. В результате компания не только сохранила объёмы, но и начала продавать эти детали конкурентам, сформировав новое направление бизнеса.

Другой сценарий: логистическая компания, работавшая исключительно на европейском направлении, использовала кризис 2022 года для выхода на маршруты Средней Азии и Ближнего Востока. Компании, которые рассматривали уход западных игроков не как катастрофу, а как освобождение рыночных ниш, смогли за 12–18 месяцев увеличить свою долю на рынке. Ключевым условием такой трансформации был именно системный риск-менеджмент: когда угрозы уже идентифицированы и проанализированы, переключение на позитивный сценарий занимает дни, а не месяцы.

ISO 31000 vs COSO ERM: какой фреймворк выбрать

При выборе методологии управления рисками предприятия чаще всего сравнивают два фреймворка: ISO 31000 и COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission — Enterprise Risk Management). Оба подхода определяют риск как влияние неопределённости на достижение целей и предполагают интеграцию в стратегическое управление. Однако различия существенны.

Для российских предприятий ISO 31000 имеет практическое преимущество: наличие прямого ГОСТ-аналога облегчает обоснование внедрения перед руководством и регуляторами. Кроме того, компактность стандарта делает его доступным даже для малого бизнеса — нет необходимости в штате риск-аналитиков, чтобы начать работу.

На аудитах по ISO 9001 аудиторы всё чаще спрашивают, как организация управляет рисками. Ссылка на ISO 31000 как на методологическую базу — один из самых убедительных ответов.

Интеграция ISO 31000 с другими системами менеджмента

ISO 31000 проектировался как универсальный стандарт, совместимый с любой системой менеджмента, построенной на гармонизированной структуре (Annex SL). Это означает, что принципы и процесс управления рисками из ISO 31000 органично встраиваются в СМК (ISO 9001), экологический менеджмент (ISO 14001), охрану труда (ISO 45001) и другие стандарты.

Для предприятий, уже внедривших интегрированную систему менеджмента (ИСМ), добавление элементов ISO 31000 — логичный следующий шаг. Вот как это работает на практике:

• ISO 9001 + ISO 31000: Раздел 6.1 стандарта ISO 9001 требует «определить риски и возможности», но не детализирует методику. ISO 31000 даёт конкретный процесс и инструменты для выполнения этого требования.
• ISO 14001 + ISO 31000: Экологические риски (аварийные выбросы, нарушения лимитов, штрафы Росприроднадзора) получают единую методологию оценки и обработки.
• ISO 45001 + ISO 31000: Оценка профессиональных рисков на рабочих местах — прямое приложение процесса ISO 31000 к области охраны труда.
• ISO 22301 + ISO 31000: Система непрерывности бизнеса использует анализ рисков как входные данные для планирования аварийного восстановления.

Единый подход к рискам через ISO 31000 устраняет дублирование: вместо трёх отдельных реестров (по качеству, экологии и охране труда) предприятие ведёт один интегрированный реестр с классификацией по категориям. Это экономит ресурсы и обеспечивает целостную картину.

На практике интеграция начинается с унификации шкал оценки: если в СМК вероятность оценивалась по шкале от 1 до 3, а в охране труда — от 1 до 5, необходимо привести их к единому формату. Далее назначается координатор по рискам, который обеспечивает согласованность реестра между подразделениями. По нашему опыту, компании, выстроившие единую систему управления рисками поверх ИСМ, проходят надзорные аудиты значительно увереннее — аудиторы видят целостный подход, а не набор разрозненных документов.

Итог

Стандарт ISO 31000 управление рисками превращает из бюрократической формальности в стратегический инструмент адаптации бизнеса. В условиях, когда турбулентность стала нормой, а не исключением, системный подход к неопределённости — единственный способ не просто выжить, но и найти точки роста. Реестр рисков, матрица приоритизации и культура проактивного реагирования — три столпа, на которых строится антихрупкое предприятие.

Начинать не обязательно с масштабного проекта. Достаточно провести первую кросс-функциональную сессию по идентификации рисков, составить реестр из 10–15 ключевых угроз и назначить владельцев. Уже этот шаг покажет руководству ценность системного подхода и заложит фундамент для дальнейшего развития риск-менеджмента по ISO 31000.

Нужна помощь с внедрением системы управления рисками или подготовкой к аудиту? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и предложат оптимальный план действий.