Оглавление

ЧАСТЬ I. ОСНОВЫ

Глава 1. Парадоксы управления рисками: почему опыт не гарантирует успеха

Опыт в управлении рисками — вещь коварная. Он может спасти, а может утянуть на дно. Я это понял не сразу. Долгое время мне казалось: чем больше опыт, проектов, проверок и кризисных ситуаций за плечами, тем ниже вероятность повторить старые ошибки. На практике всё оказалось, наоборот. Именно уверенность в собственной «привитой» компетентности несколько раз подводила меня и организации, с которыми я работал. В этой главе я хочу показать, почему опыт в управлении рисками не только не гарантирует успех, но иногда становится его главным препятствием.

Парадокс релевантности опыта: решения-герои и решения-саботажники

Мы привыкли доверять прошлому. Если определённое решение однажды спасло проект или организацию, рука сама тянется применить его снова — почти автоматически. Так рождается парадокс релевантности опыта: то, что однажды сработало блестяще, в новой ситуации может привести к катастрофе.

В бизнесе этот парадокс заметен, но в НКО он особенно болезненный. НКО живут в более чувствительном, менее предсказуемом контексте: меняется законодательство, правила взаимодействия с государством, ожидания доноров, общественный фон, репутационные стандарты. Всё это делает даже недавний опыт потенциально устаревшим. То, что ещё вчера было «единственно правильной практикой», сегодня может восприниматься как нарушение, подозрительность или, как минимум, непрофессионализм.

Приведу характерный типовой сценарий. Руководитель НКО однажды пережил сложную проверку, после которой организация выжила во многом благодаря максимальной закрытости: минимум публичных комментариев, жёсткий контроль информации, осторожная внешняя коммуникация. Этот опыт становится для него опорой. Спустя несколько лет он действует так же — но уже в другой реальности: общество привыкло к прозрачности, доноры ждут объяснений, медиа интерпретируют молчание как признание вины. Стратегия, которая, когда-то спасла, теперь подрывает доверие и усиливает репутационный риск.

Или, наоборот. НКО удачно закрыла «дыры» в отчётности, быстро скорректировала документы «задним числом» и избежала санкций. В памяти остаётся простой вывод:

«Главное — гибкость и скорость, формальности догоним».

Это закрепляется как «рабочий шаблон». Но один и тот же приём в другой ситуации становится прямой дорожкой к обвинениям в фальсификации и злоупотреблениях. Там, где раньше было «спасли ситуацию», теперь возникает «нарушили закон».

Опыт — это не набор правильных ответов. Это коллекция контекстов. И если мы забываем о контексте, мы превращаем опыт в набор опасных рефлексов. В управлении рисками это особенно заметно: рефлексы быстрее и приятнее, чем анализ, но именно они чаще всего подводят.

Иллюзия контроля: когда распределение рисков живёт на бумаге

Следующий парадокс связан с тем, что я много раз видел в средних, чаще в крупных организациях, а затем в чуть упрощённом виде и в НКО. Руководство искренне уверено: риски у нас распределены, зоны ответственности прописаны, матрицы согласованы. Документов много, схемы выглядят солидно, презентации — идеально. Возникает ощущение тотального контроля.

Однако в момент реального кризиса эти конструкции рассыпаются за минуты. Оказывается, что единственное место, где риски действительно были распределены, — это внутренний регламент. В живой деятельности люди действовали по-другому. Кто-то давно не читал свою должностную инструкцию, и вообще не читал актуальной литературы в сегменте. Кто-то формально числится ответственным за направление, к которому в реальности почти не имеет отношения. Кто-то только вчера пришёл в организацию и не успел понять, что именно на нём официально «висит».

Иллюзия контроля особенно крепко держится там, где сделан упор на формальное распределение полномочий: мы прописали — значит, управляем. Но управление рисками — не про распределение строк в документе, а про то, кто реально принимает решения, кто видит угрозы первым, и кто имеет право нажать на тормоз.

Регулярно я задаю очень простой вопрос:

«Назовите трёх людей в организации, которые могут остановить рискованное действие до того, как оно приведёт к ущербу — и которых при этом реально послушают».

Эти три фамилии гораздо честнее описывают вашу систему управления рисками, чем любые диаграммы в положении о внутреннем контроле.

Парадокс в том, что чем сложнее система документов, тем легче спрятать за ней отсутствие реального контроля. Красивая бумажная архитектура создаёт ощущение «мы всё предусмотрели». Но реальность интересуется не схемами, а тем, кто в конкретный момент готов взять на себя неприятное решение: сказать «нет», переспросить, затормозить запуск, настоять на проверке.

«Коллективная безответственность»: когда все занимаются рисками, кроме тех, кто действительно отвечает

И с этим феноменом я сталкивался и сталкиваюсь с завидной регулярностью — особенно там, где активно внедрялась «современная» концепция трёх линий защиты или аналогичные модели. Сначала идея звучит здраво: рисками должны заниматься все, каждый на своём уровне, риск-ориентированный подход пронизывает всю организацию. На практике же это очень быстро превращается в пространство размытой ответственности.

Когда «все занимаются рисками», часто никто не несёт за них персональной ответственности. Любой серьёзный инцидент оказывается результатом целой цепочки решений и бездействий, а попытка найти конкретную ответственность тонет в рассуждениях о «коллективных ошибках системы». Формально это верно: риски редко реализуются по чьей-то одной вине. Но если не закреплена хотя бы одна точка персонального ответа за область, управление рисками становится фоном, а не функцией.

Я видел НКО, где одновременно существовали: комитет по рискам, рабочая группа по внутреннему контролю, ответственный за комплаенс и ещё пара неформальных «смотрящих». В кризисной ситуации никто из них не считал, что именно он должен принять решение и публично его защитить. Комитет не успевал собраться, рабочая группа была перегружена текущими задачами, комплаенс-функция чувствовала себя консультантом, а не владельцем решения. В итоге решал тот, кому просто нельзя не решать — директор. И он же потом отвечал.

«Коллективная безответственность» — это не отсутствие людей, занимающихся рисками, а отсутствие ясной, понятной всем цепочки: кто первым должен заметить риск, кто обязан его поднять наверх, кто принимает решение, а кто отвечает за последствия.

Всё остальное — организационный шум.

Парадокс успешных компаний (и НКО): чем лучше дела, тем серьёзнее отношение к угрозам

Ещё один факт, который меня поражал… правда потом перестал: самые успешные организации, с которыми мне приходилось работать, как правило, были более тревожны и системны в отношении рисков, чем те, кто постоянно «пожарил» и жаловался на судьбу.

Внешне у успешных всё спокойно: стабильные проекты, доверие доноров, понятная стратегия, сильная команда, высокий уровень компетенций. Можно было бы наблюдать их расслабленность и уверенность: «раз всё хорошо, значит, риски под контролем». Но на деле они обсуждали угрозы регулярно, иногда даже навязчиво. Руководители таких НКО задавали, казалось бы, лишние вопросы: «А что если…?», «Где у нас слабое звено?», «Чем это может обернуться через год?».

На противоположном полюсе — организации, живущие в режиме хронического кризиса. Там управление рисками часто сводится к формальностям: есть какие-то регламенты, периодические отчёты, обязательные «планы мероприятий», но внутренней тревоги по поводу угроз почти нет. Не потому, что рисков мало. Просто, когда всё время пожар, у людей притупляется чувствительность: «что ещё может случиться, чего мы не видели?».

Парадокс в том, что устойчивый успех делает управление рисками не менее, а более важным. Успех — ресурс, который можно потерять, и именно это ощущение заставляет успешные НКО быть аккуратными. Тогда как организации, уже привыкшие жить на грани, иногда воспринимают очередной риск как «ещё одну проблему в списке» и перестают видеть качественную разницу между мелкой неприятностью и угрозой существованию.

Мне кажется важным признать: здоровое отношение к рискам всегда немного тревожно. Не паническое, не парализующее, но такое, которое не позволяет успокоиться окончательно. Там, где эту лёгкую тревогу вытесняет фатализм («и так живём на краю») или самоуверенность («мы уже всё проходили»), управление рисками начинает деградировать, даже если внешне ничего не изменилось.

Специфика НКО: отсутствие прибыли не снимает рисков, а умножает требования к прозрачности

В некоммерческом секторе есть ещё один устойчивый миф, который сильно влияет на отношение к рискам:

«Мы же не про деньги, мы про добро»

За этой формулой скрывается довольно опасная установка: если организация не ориентирована на прибыль, её риски как бы мягче, морально легче, социально оправданнее.

На практике всё наоборот. Отсутствие прибыли не уменьшает риски, а меняет их природу и усиливает требования. НКО управляет не просто ресурсами, а доверием — донорским, общественным, государственным. Такое доверие гораздо более чувствительно к ошибкам и скандалам, чем капитал на балансе коммерческой компании. Деньги можно заработать заново. Восстановить подорванное доверие к НКО — задача в разы сложнее.

У НКО принципиально больше «невидимых стейкхолдеров»: люди, которые никогда не станут клиентами или акционерами, но внимательно следят за тем, «кто и за чей счёт занимается благотворительностью». Любой серьёзный инцидент — финансовый, правовой, репутационный — воспринимается не только как проблема конкретной организации, но и как удар по легитимности всего сектора:

«Вот, мы же говорили…»

Поэтому последствия ошибок НКО часто выходят далеко за пределы её собственных проектов.

Эта специфика порождает особый парадокс. Формально у НКО меньше инструментов защиты. Нет крупных резервов, нет сложных юридических конструкций, нет армии консультантов. Но от неё требуют большего: максимальной прозрачности, чистоты, безупречности решений. Там, где коммерческая компания ещё может объяснить «это бизнес-риск», НКО сталкивается с моральным приговором.

Поэтому я убеждён: для НКО грамотное управление рисками — не опция и не «хороший тон», а условие выживания. И если коммерческая компания может позволить себе жить с некоторым уровнем циничного риска, то для НКО каждый серьёзный провал — это не только её собственная боль, но и вклад в недоверие к благотворительности вообще.

Опыт, к которому мы так привязаны, в этой картине перестаёт быть защитой и превращается в потенциальный источник уязвимости. Если мы воспринимаем его как набор готовых решений — мы зажаты между парадоксами. Если как повод постоянно пересматривать свои подходы — тогда опыт становится тем, чем и должен быть в управлении рисками: живым инструментом сомнения и уточнения, а не коллекцией «раз и навсегда правильных» ответов. В следующих главах я покажу, как эти парадоксы можно использовать конструктивно — чтобы строить систему управления рисками в НКО, которая не боится меняться вместе с контекстом.

Глава 2. Модель трёх линий защиты: от теории к российской практике

Модель трёх линий защиты — одна из тех концепций, которые звучат красиво на конференциях и в учебниках, но в реальности вызывают у практиков смешанные чувства. Я видел, как эта модель становилась основой по-настоящему работающих систем управления рисками. И я видел, как она же превращалась в очередные «пляски галочек» и учёта «голов, очков, секунд» — документ для проверяющих, не имеющий никакого отношения к тому, как на самом деле принимаются решения.

В этой главе я хочу разобрать модель трёх линий не как абстрактную схему, а как живой инструмент. Что она даёт на практике? Где её слабые места? И главное — как её адаптировать для российских НКО, где ресурсы ограничены, функции совмещены, а формальных «линий защиты» иногда просто не существует.

Первая линия: операционные руководители как «рискодержатели»

Начнём с того, на чём держится вся конструкция. Первая линия защиты — это люди, которые непосредственно управляют деятельностью: руководители проектов, координаторы программ, начальники отделов, кураторы направлений. В классической модели именно они называются «рискодержателями» — теми, кто владеет рисками в своей зоне ответственности.

На бумаге это логично: кто ближе всего к операционной деятельности, тот первым видит угрозы и первым может на них среагировать. Но на практике именно здесь возникает «высоковольтное» напряжение.

Операционные руководители и без того перегружены.

Им нужно:

— выполнять планы и показатели;

— управлять командой;

— взаимодействовать с партнёрами, донорами, благополучателями;

— отчитываться перед руководством;

— решать десятки ежедневных задач.

И вдобавок ко всему — «владеть рисками». Причём не формально, а реально. Выявлять угрозы, оценивать их, принимать меры, документировать, эскалировать при необходимости. А плечи-то одни.

Честно говоря, это требует совершенно другого типа мышления. Операционная работа — это про «сделать». Управление рисками — про «а что может пойти не так, пока я делаю». Совмещать оба режима в голове одновременно — навык, который есть далеко не у всех. А у неумелого управленца это вообще может стать смехотворным самодурством. И дело не в профессионализме, а в том, что это разные когнитивные установки.

Поэтому первая линия защиты — самая уязвимая. Если операционные руководители не понимают (или только делают вид, что понимают), зачем им это нужно, если они воспринимают управление рисками как дополнительную нагрузку, если у них нет ни времени, ни инструментов — система не работает. Можно сколько угодно рисовать схемы и писать регламенты, но реальные риски будут проскакивать мимо.

Вторая линия: методологи, комплаенс, финансовый контроль — опора, а не надзиратели

Вторая линия защиты в классической модели — это функции, которые помогают первой линии справляться с рисками: методологи, комплаенс-служба, финансовый контроль, юристы, иногда отдельные риск-менеджеры.

Ключевое слово здесь — «помогают». Вторая линия не должна подменять первую, не должна брать на себя её ответственность. Её задача — создавать инструменты, методики, стандарты; консультировать; мониторить; предупреждать о системных проблемах.

Но в нашей практике реалий я постоянно наблюдаю две крайности.

Крайность первая: вторая линия становится «полицией». Комплаенс превращается в надзирателя, который ищет нарушения и «ловит» коллег на ошибках. Финансовый контроль — в инстанцию, которая блокирует любые нестандартные решения. Юристы — в людей, которые говорят «нельзя» на любой вопрос. В такой модели первая линия начинает воспринимать вторую как врага, а не как союзника. Информация о рисках перестаёт подниматься наверх — зачем, если за это прилетит?

Крайность вторая: вторая линия существует формально. Есть должность «специалист по внутреннему контролю», есть даже какие-то документы. Но реального влияния на процессы нет. Первая линия живёт своей жизнью, вторая — своей. Пересекаются они только в момент годового отчёта или какой-нибудь проверки.

Здоровая вторая линия — это партнёр. Человек или функция, к которой операционный руководитель может прийти с вопросом:

«Слушай, у меня тут ситуация, не понимаю, насколько это рискованно — помоги разобраться»

И получить не нотацию, не блокировку, а реальную помощь в оценке и принятии решения.

Третья линия: независимый аудит как испытание всей системы

Третья линия защиты — внутренний аудит. В идеале это независимая функция, которая проверяет не отдельные операции, а всю систему управления рисками: работает ли первая линия, помогает ли вторая, нет ли системных сбоев, слепых зон, конфликтов интересов.

Внутренний аудит должен быть независим от операционного руководства. Он подчиняется напрямую высшему органу управления — совету директоров, попечительскому совету, учредителям. Это принципиально, если аудит зависит от тех, кого проверяет, он перестаёт быть аудитом.

В крупных корпорациях третья линия — это целые департаменты с десятками сотрудников. В НКО, особенно небольших, такой роскоши нет. Но это не значит, что третья линия невозможна. Она может быть:

— внешним аудитором, которого привлекают раз в год;

— ревизионной комиссией (если она реально работает, а не существует «для галочки»);

— независимым экспертом, который периодически смотрит на систему «свежим взглядом»;

— в конце концов — попечительским советом, если его члены готовы задавать неудобные вопросы.

Главное, чтобы кто-то регулярно проверял, а работает ли то, что мы построили? Или мы просто привыкли думать, что работает?

Критика классической модели

Модель трёх линий защиты выглядит стройно и логично. Но у неё есть фундаментальная проблема: она описывает только часть организации.

В классическом понимании «рискодержатели» — это подразделения процесса, те, кто генерирует основную деятельность. А «вспомогательные» функции — бухгалтерия, IT, HR, административный блок, как бы остаются за скобками. Они либо относятся ко второй линии, либо вообще не упоминаются.

На практике это создаёт огромные слепые зоны.

Я много раз видел ситуацию: в организации выстроена система управления рисками для основных проектов, но при этом:

— IT-инфраструктура держится «на честном слове», и никто не отвечает за кибербезопасность;

— кадровые решения принимаются хаотично, без оценки рисков (а потом оказывается, что ключевой сотрудник ушёл к конкурентам вместе с базой контактов);

— закупки проводятся «по знакомству», без минимальных процедур, и в какой-то момент это становится поводом для обвинений в коррупции;

— внешние коммуникации не координируются, и неосторожный пост в соцсетях превращается в репутационный кризис.

Модель трёх линий работает только тогда, когда в неё включена ВСЯ организация. Без исключений.

«Вспомогательные» подразделения как полноценные рискодержатели

Это, пожалуй, один из главных выводов, к которому я пришёл за годы практики: нет «вспомогательных» функций с точки зрения управления рисками. Есть функции, которые мы привыкли считать вспомогательными, но которые на самом деле владеют особо критическими рисками.

IT и кибербезопасность. Утечка персональных данных благополучателей, взлом почты руководителя, потеря базы доноров — любой из этих инцидентов может нанести НКО ущерб, сопоставимый с потерей крупного гранта. IT — это не «те, кто чинит компьютеры», а полноценный рискодержатель.

HR и кадровые риски. Уход ключевых сотрудников, конфликты в команде, выгорание, нарушения трудового законодательства — всё это зона ответственности HR. Если в НКО нет отдельного HR, эти риски всё равно существуют, просто ими никто системно не занимается.

Бухгалтерия и финансовая прозрачность. Бухгалтер в НКО — это не просто человек, который сдаёт отчётность. Это хранитель финансовой репутации организации. Ошибка в отчёте, несвоевременная уплата налогов, неправильное оформление пожертвований — всё это риски, которые могут привести к проверкам, штрафам, потере статуса.

Редакция, PR, внешние коммуникации. Репутационные риски — одни из самых недооценённых в НКО. Одна неудачная публикация, один непродуманный комментарий, одно фото «не с тем человеком» — и годы работы над репутацией обнуляются.

Закупки и административный блок. Даже если НКО небольшая и закупок немного, коррупционные и репутационные риски в этой зоне существуют. Как выбираются подрядчики? Есть ли конфликт интересов? Можно ли объяснить любую закупку донору или проверяющему?

Каждая из этих функций должна понимать свои риски и нести за них ответственность. Иначе в системе управления рисками образуются дыры, через которые и просачиваются самые болезненные инциденты.

Адаптация модели для НКО: когда ресурсов нет, а риски есть

Теперь — самый практический вопрос: как применить модель трёх линий в НКО, где нет ни комплаенс-службы, ни внутреннего аудита, ни отдельных риск-менеджеров? Где один человек может совмещать роли бухгалтера, кадровика и офис-менеджера? Где весь штат — пять человек и десять волонтёров?

Ответ: модель нужно не копировать, а адаптировать. Сохранить логику, но изменить форму.

Первая линия в НКО — это каждый, кто принимает решения в своей зоне. Руководитель проекта, координатор программы, даже волонтёр, который работает с благополучателями. Им не нужно знать термин «рискодержатель». Им нужно понимать: «в моей работе есть вещи, которые могут пойти не так, и я должен их видеть и сообщать о них».

Вторая линия в НКО — это, как правило, сам руководитель или его ближайший заместитель. Тот, кто задаёт вопросы: «А мы это проверили?», «А что будет, если…?», «А у нас есть план Б?». Это не отдельная должность, а функция, которую кто-то должен выполнять.

Третья линия в НКО — это внешний взгляд. Ревизионная комиссия, если она работает. Попечительский совет, если его члены готовы вникать. Внешний аудитор или консультант, которого приглашают хотя бы раз в год. Коллега из другой НКО, с которым можно обменяться «перекрёстным аудитом».

Главное — не количество людей и не названия должностей. Главное — чтобы в организации были все три функции:

— Те, кто владеет рисками в операционной деятельности и отвечает за них.

— Те, кто помогает, консультирует, задаёт неудобные вопросы.

— Те, кто периодически проверяет, работает ли система в целом.

Если эти три функции есть — пусть даже в минимальном виде, пусть даже совмещённые в двух-трёх людях — модель работает. Если хотя бы одна из них отсутствует — в системе есть дыра.

Практический минимум. Что сделать уже сейчас

Если вы дочитали до этого места и думаете: «Хорошо, но с чего начать?» — вот короткий список.

— Определите рискодержателей. Пройдитесь по всем направлениям деятельности и назовите конкретного человека, который отвечает за риски в каждой зоне. Не «отдел» и не «все вместе», а конкретное имя.

— Назначьте «хранителя вопросов». Кто в организации будет регулярно спрашивать: «А что может пойти не так?» Это может быть руководитель, заместитель, член правления — кто угодно, но этот человек должен быть и эта функция должна выполняться.

— Организуйте объективны взгляд. Хотя бы раз в год приглашайте кого-то извне посмотреть на вашу систему. Это не обязательно дорогой аудит. Это может быть коллега из другой НКО, бывший сотрудник, член попечительского совета, который готов потратить день на то, чтобы задать вам неудобные вопросы.

— Включите «вспомогательные» функции. IT, бухгалтерия, кадры, коммуникации — все они должны понимать свои риски. Проведите с ними короткий разговор:

«Какие три вещи в твоей работе могут создать большие проблемы для организации?»

Модель трёх линий защиты — не догма и не бюрократическая конструкция. Это способ думать об управлении рисками системно. И в этом смысле она работает в организации любого размера — если, конечно, мы готовы адаптировать её под свою реальность, а не просто скопировать из учебника.

Глава 3. Архитектура ответственности: кто платит за провалы

Есть вопрос, который я задаю почти на каждой консультации:

«Если завтра случится серьёзный инцидент — кто будет отвечать?»

Ответы обычно делятся на две категории. Первая: уверенное перечисление должностей и регламентов. Вторая: неловкая пауза и что-то вроде «ну, это зависит от ситуации».

Парадокс в том, что обе категории ответов часто описывают одну и ту же реальность — просто с разных сторон. Формально ответственность распределена. Фактически — когда что-то идёт не так, начинается хаос: кто должен был предупредить, кто должен был проверить, кто вообще принимал это решение?

В этой главе я хочу разобрать архитектуру ответственности в управлении рисками: как она устроена в теории, как разваливается на практике и почему руководителю НКО особенно важно понимать, что в конечном счёте отвечает именно он — причём не только морально, но и юридически.

Оперативный уровень. Прозрачная ответственность за конкретные процессы

Начнём снизу — с операционной деятельности. Здесь логика ответственности кажется простой: кто делает, тот и отвечает.

Руководитель проекта отвечает за риски проекта. Координатор программы — за риски программы. Бухгалтер — за корректность учёта. Юрист — за правовую чистоту и обоснованность документов. Каждый в своей зоне.

На этом уровне ответственность должна быть максимально конкретной и прозрачной. Не «отдел отвечает за направление», а «Иван Петрович отвечает за то, чтобы отчётность по гранту была сдана вовремя и без ошибок». Не «команда проекта управляет рисками», а «Мария Сидорова еженедельно проверяет статус ключевых рисков проекта и эскалирует критические на уровень руководителя».

Почему это важно? Потому что размытая ответственность — это отсутствие ответственности.

Я видел десятки ситуаций, когда после инцидента выяснялось: формально за процесс отвечали три человека. Каждый из них искренне считал, что этот участок — зона ответственности кого-то из двух других. В итоге этот участок не контролировал никто.

Прозрачность на оперативном уровне — это не бюрократия. Это гигиена. Если человек не знает точно, за что он отвечает, он не может этим управлять. А если он думает, что знает, но его понимание расходится с пониманием руководителя — проблема вскроется в самый неподходящий момент.

Стратегический уровень. Совет директоров, попечительский совет и «риск-аппетит»

Теперь поднимемся выше. На стратегическом уровне ответственность устроен