В сентябре 2018 года в московском офисе компании «Делойт» прошла презентация официального перевода концепции COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» на русский язык. В зале присутствовали представители Центрального Банка, Минэкономразвития, Московской биржи, руководители внутреннего аудита и риск-менеджмента крупнейших российских компаний . Тогда это казалось поворотным моментом для российского корпоративного управления. Алексей Сонин, директор Института внутренних аудиторов, выступая на презентации, подчеркнул: «Риск-менеджмент не является обособленным видом деятельности — это неотъемлемая часть управления в целом. Управление рисками — это не о том, как избежать неприятностей, а о том, как эффективно достичь целей или результатов» .
Прошло почти девять лет. Многое ли изменилось в том, как ваша компания управляет ESG-рисками?
Что именно заложили в COSO ERM 2017
Обновленный фреймворк 2017 года принес два принципиальных изменения по сравнению с версией 2004 года.
1. Компоненты «Управление и культура» и «Постановка стратегии и целей» вынесли наверх и замкнули на Совет директоров. Риск-менеджмент перестал быть вотчиной отдельного департамента и был объявлен частью стратегического управления. В структуре 2017 года выделено пять взаимосвязанных компонентов: «Корпоративное управление и культура», «Стратегия и постановка целей», «Эффективность деятельности», «Анализ и пересмотр», «Информация, коммуникация и отчетность» . Ключевое отличие — риски теперь должны оцениваться не сами по себе, а в привязке к конкретным стратегическим целям.
2. Само определение риска изменилось. COSO ERM определяет его как «возможность наступления событий, которые окажут влияние на достижение стратегии и бизнес-целей». ISO 31000 формулирует практически идентично: «эффект неопределенности на цели» . Разница с предыдущим подходом существенная: речь идет не об отклонении от плана, а о вероятности недостижения цели как таковой.
На бумаге — методологический прорыв. На практике — инерция, которую профессиональное сообщество признает, но пока не может преодолеть.
Шесть лет спустя: диагноз Тима Лича
В августе 2023 года Тим Лич, участвовавший в рецензировании проекта COSO ERM на стадии предварительного раскрытия, опубликовал в LinkedIn разбор того, что пошло не так за прошедшие шесть лет.
Вывод жесткий: «Несмотря на то, что в 2017 году я написал положительные рецензии на видение COSO — сфокусировать ERM на стратегии, целях и эффективности — я также отмечал, что руководству не хватает практических советов, как перейти от legacy-методов к более интегрированному подходу. К сожалению, спустя шесть лет после выпуска COSO ERM достигнут незначительный прогресс в реализации этого видения» .
Лич констатирует: большинство организаций продолжает вести реестры рисков, ранжированные по вероятности и ущербу, но не привязанные к конкретным стратегическим показателям с указанием допустимого порога отклонения. Risk-регистр — это инвентаризация опасений. Он отвечает на вопрос «чего мы боимся». Он не отвечает на вопрос «насколько текущий профиль риска угрожает достижению цели по доле рынка через три года».
По оценкам экспертов GRC Report, в отсутствие регуляторного давления от 75 до 95 процентов руководителей риск-подразделений и внутреннего аудита продолжат использовать традиционные модели ERM, несмотря на очевидные недостатки . Причины банальны: профессиональная инерция, комфортные зоны ответственности, страх перед accountability за провал целей, отсутствие внятных внешних мандатов и банальная привычка советов директоров получать heat maps и принимать их за «хорошее управление» .
ESG как стресс-тест для новой модели
ESG-повестка не создала проблему разрыва между ERM и стратегией — она её проявила с хирургической точностью.
В 2025 году в Journal of Accounting Literature вышло исследование, посвященное применению COSO ERM для управления ESG-рисками. Авторы констатируют разрыв между существующими механизмами и потребностью в эффективной оценке композитного эффекта неопределенности по ESG-направлениям. Разработанный ими механизм оценки включает 55 раскрытий, категоризированных по компонентам E, S и G, и демонстрирует применимость как на глобальном уровне, так и в страновой специфике .
Показательно, что исследование подчеркивает: управление ESG-рисками требует не добавления ещё одного слоя проверок, а перепривязки существующих процедур к стратегическим целям. Именно этого COSO ERM 2017 и требовал с самого начала.
Теперь посмотрим на российскую специфику. Эксперты Финансового университета при Правительстве РФ в 2025 году опубликовали анализ барьеров внедрения ESG-стандартов в российских компаниях. Среди ключевых препятствий названы: недостаток знаний и понимания принципов ESG среди руководителей, восприятие ESG-подходов как дополнительных расходов, а не инвестиций, недостаточность регуляторной базы, макроэкономическая нестабильность, заставляющая фокусироваться на краткосрочных целях в ущерб долгосрочной устойчивости .
К этому добавляется ещё один барьер: нехватка доступной информации и методических рекомендаций по внедрению ESG-практик. Многие компании не имеют опыта создания и публикации ESG-отчетности, а необходимые инструменты для сбора данных отсутствуют.
При этом в России уже действует ряд ГОСТов, способствующих внедрению ESG: ГОСТ Р ИСО 14033–2021 по экологическому менеджменту, ГОСТ Р ИСО 26000–2012 по социальной ответственности, а также Постановление Правительства РФ №1587 от 21 сентября 2021 года, определяющее критерии зеленых и адаптационных проектов .
Проблема в том, что наличие стандартов и реальная практика внутреннего контроля существуют в параллельных вселенных.
Где ломается связка COSO ERM и ESG-контроля
Возьмем конкретный пример. Производственная компания поставляет продукцию на рынки, где действует трансграничное углеродное регулирование. Стратегическая цель зафиксирована: сохранить объем поставок в страну N на горизонте трех лет. Ключевой внешний фактор — поэтапное ужесточение требований к углеродоемкости продукции со стороны регулятора страны-импортера. Траектория снижения допустимого показателя известна и опубликована.
Что делает классическая служба внутреннего контроля при проверке экологического блока? Проверяет достоверность отчетности по выбросам, убеждается, что расчеты выполнены по утвержденной методике, журналы первичного учета ведутся, штрафов за предыдущий отчетный период нет. Соответствие нормативным требованиям подтверждено. Акт подписан. Соответствие установленным требованиям подтверждено.
Что должен делать контроль, ориентированный на стратегические цели в логике COSO ERM 2017? Ответить на вопрос: достаточна ли текущая скорость снижения углеродоемкости для того, чтобы через 24 месяца продукция компании осталась в допустимом коридоре регулирования?
Это два разных класса задач. Первая — проверка соблюдения установленных правил. Вторая — оценка вероятности достижения стратегической цели с учетом внешней динамики. COSO ERM 2017 методологически позволяет решать вторую задачу. Компонент «Эффективность деятельности» и принцип выявления рисков прямо предполагают оценку того, какие события могут отклонить организацию от достижения целей. Но на уровне аудиторских программ этот компонент почти никогда не реализуется.
Три причины, почему спираль не крутится
Причина первая — горизонт планирования. Внутренний контроль и аудит работают с годовым циклом. План проверок верстается на календарный год. Критерий качества — процент покрытия рисков из утвержденного реестра. Экологические и социальные риски, связанные с изменением внешнего регулирования, имеют горизонт материализации два-три года. В годовой план они либо не попадают, либо попадают с пометкой «мониторинг», что на практике означает отсутствие конкретных контрольных процедур.
Причина вторая — отсутствие опережающих индикаторов. Ключевые индикаторы риска в большинстве компаний фиксируют уже случившееся: число инцидентов, объём штрафных санкций, долю просроченной задолженности. Для оценки устойчивости к внешним изменениям нужны опережающие индикаторы: темп снижения углеродоемкости относительно регуляторного графика, динамика текучести ключевого персонала до того, как она стала критической, изменение позиции компании в отраслевых рейтингах, влияющих на доступ к тендерам. Публикация COSO 2017 года среди будущих тенденций прямо называла максимальное использование автоматизации и углубленной аналитики для выявления взаимосвязей, которые ранее нельзя было распознать. Но этот прогноз в большинстве организаций пока не материализовался.
Причина третья — локализация ответственности. Экологические риски отданы отделу охраны труда и промышленной безопасности, социальные — кадровой службе, управленческие — юридическому департаменту. Агрегированной оценки их совокупного влияния на стратегические цели не происходит. COSO ERM 2017 требует рассматривать композитный эффект неопределенности, но организационная структура большинства компаний к этому не приспособлена.
Что с этим делать практически?
Тим Лич и его коллеги по дискуссии о будущем ERM — Норман Маркс и Алекс Сидоренко — на платформе OCEG в 2023 году сформулировали консенсус: принятие решений находится в центре управления рисками. Фокус риск-менеджмента не должен ограничиваться избеганием вреда — он должен обеспечивать информированные решения, ведущие организацию к достижению целей . COSO ERM 2017 признан шагом в правильном направлении, однако методических указаний по интеграции риск-оценки в процесс принятия стратегических решений по-прежнему недостаточно.
Что это означает для ESG-контроля на практике?
1. Переход от планирования по процессам к планированию по целям. Программа проверки должна формироваться не вокруг закупок, казначейства или сбыта, а вокруг вопроса: что угрожает достижению конкретной стратегической цели, и какие контрольные процедуры должны предотвратить или смягчить эти угрозы.
2. Введение опережающих показателей в модели оценки остаточного риска. При расчете уровня риска должен учитываться не только сочетание вероятности и ущерба, но и временной горизонт материализации относительно цикла стратегического планирования.
3. Расширение периметра до цепочки поставок. Значительная часть ESG-рисков локализована не внутри юридического периметра компании, а у ключевых поставщиков и подрядчиков. COSO ERM это не запрещает — компонент «Анализ и пересмотр» предполагает мониторинг существенных изменений внешней среды, включая действия контрагентов.
Вывод
COSO ERM 2017 — достаточная методологическая основа для встраивания ESG-контроля в систему управления рисками. Проблема не в стандарте, а в его практической реализации. Как точно сформулировал Тим Лич: цель каждого риск-подразделения и внутреннего аудита в мире должна состоять в предоставлении надежной информации о композитном статусе риска, связанного с достижением критически важных целей .
Переход от реестров рисков к управлению, ориентированному на стратегические цели, требует не косметической правки регламентов, а смены логики планирования контрольной деятельности. Это не вопрос методологии — методология уже есть. Это вопрос воли, компетенций и готовности отказаться от иллюзии контроля в пользу реального управления неопределенностью.
В следующем материале разберу конкретный кейс: матрица опережающих показателей для стратегической цели «сохранение доступа к рынку с ужесточающимся углеродным регулированием». С цифрами, расчетом допустимых отклонений и привязкой к существующей управленческой отчетности. Без воды — только то, что можно внедрить в ближайший цикл планирования.
Применяете ли вы в своих программах контрольных проверок временной горизонт, выходящий за пределы годового цикла? Если да — как обосновываете это перед проверяемыми подразделениями и руководством? Если нет — что именно останавливает?
#ESGКонтроль #ВнутреннийАудит #COSO #COSOERM #УправлениеРисками