Ризик-менеджмент у роботі юридичного департаменту у воєнний час

Війна внесла значні корективи в життя кожного із нас, час буквально розділився на «до 24.02.222 р.» і після цієї дати. 

Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!

Жертви, потрясіння, руйнування, розпач, безсилля – це все про наші емоції у воєнний час. Разом з тим упродовж цієї війни ми всі разом відчули також небачені до цього єднання, підтримку, мужність, гордість, любов.

Війна – це ще й виклик, випробування, каталізатор в різних вимірах: для людини, бізнесу, держави.

І зараз вже немає сумніву в тому, що цей виклик ми прийняли з неабиякою сміливістю й мужністю, випробовування завершиться нашою перемогою, а війна проявила в кожному з нас безмежну волю до спільної мети через взаємопідтримку, допомогу, віру і працю на майбутнє країни.

Якщо подивитись ретроспективно на останнє «воєнне» півріччя, то крім емоційних, можна зробити також цілком практичні висновки щодо роботи в кризових умовах, налагодження внутрішньої та зовнішньої комунікації та впровадження ризик-менеджменту. 

Відтак саме темі ризик-орієнтованого підходу в роботі юридичного департаменту хотілось приділити увагу в цій публікації.

Власне про ризик-менеджмент 

Більшість джерел визначає ризик-менеджмент як «систему управління ризиками, яка за допомогою сукупності методів, прийомів і заходів дозволяє прогнозувати ризики, визначити їхні ймовірні розміри і наслідки, запобігти чи мінімізувати пов’язані з ними втрати, а також досягати бізнес-цілі підприємства». У свою чергу, ризик визначають «як можливу подію, внаслідок настання якої можуть статися позитивні, нейтральні чи негативні наслідки». 

Ризик-менеджмент як невід’ємна частина системи управління компанією існує доволі давно в компаніях із «зарегульованих» сфер, таких як: банки, страхування, фінансові послуги тощо.

Так, у компаніях, діяльність яких жорстко регулюється і чий бізнес пов’язаний з ризиками, створюються великі підрозділи з управління ризиками. І це логічно, оскільки ризики, з якими стикаються компанії, що надають фінансові послуги, як правило, кореняться в цифрах, і тому їх можна кількісно визначити та ефективно проаналізувати за допомогою відомих технологій і автоматичних методів. Сценарії ризику у фінансових компаніях можна моделювати з певною точністю.

Для інших галузей (таких, як ІТ-бізнес, сфера нефінансових послуг тощо) визначення ризику відбувається, як правило, на більш якісному рівні, і тому ним важче керувати, що збільшує потребу в обдуманому, ретельному та послідовному підході до управління ризиками.

Особливу увагу ризик-менеджменту слід приділяти при прийнятті рішень щодо найбільш значущих для розвитку компанії питань: в кризових ситуаціях, при стратегічному плануванні та змінах у політиках компанії, при впровадженні нових проєктів, процесів та процедур, перед великими фінансовими інвестиціями чи оптимізаційними заходами.

Методика – всьому голова, або З чого складається процес управління ризиками

Для процесу ризик-менеджменту надзвичайно важливим є інструментарій управління ризиками. Тобто слід обрати або ж кастомізувати під себе методику, яка і буде вірним помічником у процесі виявлення, реагування та контролю за ризиками. 

Одним із найвідоміших джерел щодо визначення процесу управління ризиками є стандарт ISO 31000 «Управління ризиками – рекомендації», розроблений Міжнародною організацією стандартизації, широко відомою як ISO.

П’ятиетапний процес управління ризиками ISO включає наступне та може використовуватися будь-яким типом компаній:

1. Визначення ризиків (Identify the risks).

2. Аналіз ймовірності настання і впливу кожного з ризиків (Analyze the likelihood and impact of each one).

3. Визначення пріоритетності ризиків на основі бізнес-цілей (Prioritize risks based on business objectives).

4. Реагування на (або відповідь на) умови ризику (Treat (or respond to) the risk conditions).

5. Контроль результатів та коригування дій за потреби (Monitor results and adjust as necessary).

Ключовим етапом ризик-менеджменту вважається етап вибору методів та інструментів управління ризиком. Базовими методами ризик-менеджменту є відмова від ризиків, їх зниження, передача ризиків і прийняття ризиків.

Натомість ризик-інструментарій – значно ширший. Він включає організаційні, правові, економічні, соціальні інструменти, причому ризик-менеджмент як система допускає можливість одночасного застосування декількох методів та інструментів ризик-управління.

Найбільш часто вживаним інструментом ризик-менеджменту є страхування. Страхування допускає передачу відповідальності за відшкодування передбачуваного збитку сторонній організації (страховій компанії). Прикладами інших інструментів можуть бути відмова від надмірно ризикової діяльності (метод відмови), профілактика або диверсифікація (метод зниження), аутсорсинг витратних ризикових функцій (метод передачі), формування резервів або запасів (метод прийняття).

Водночас на етапі ідентифікації ризиків важливо правильно їх класифікувати. Так, у гайдлайнах Комітету організацій – спонсорів Комісії Тредвея (COSO) використовуються такі чотири категорії:

1. Стратегічний ризик (наприклад, репутація, відносини з клієнтами, технічні інновації);

2. Фінансовий ризик і ризик звітності (наприклад, ринковий, податковий, кредитний);

3. Ризик комплаєнсу та управління (наприклад, юридичний, регулятивний, етичний); 

4. Операційний ризик (наприклад, ІТ-безпека та конфіденційність, ланцюг поставок, трудові проблеми, стихійні лиха, кризові ситуації).

Є й інші способи класифікувати ризики, один із них – це розподілити бізнес-ризики на такі чотири основні типи: ризики для людей, ризики для об’єктів, ризики для процесів і ризики для технологій.

Таким чином, правильно ідентифікувавши ризики, визначивши ймовірність їх настання та вплив на бізнес, обравши метод реагування та проконтролювавши результати цієї роботи, можна досягти значних успіхів щодо підвищення ефективності та результативності як бізнесу в цілому, так і його окремих підрозділів.

Воєнний ризик-менеджмент юридичного департаменту

Слід зауважити, що найкращим стимулом для запровадження ризик-орієнтованого підходу в компанії є, як не дивно, реалізовані ризики, про які ніхто «не здогадувався», тобто кризові ситуації. 

В роботі нашого департаменту ми практикували ризик-менеджмент в тій чи іншій мірі досить тривалий час, однак війна дійсно стала каталізатором для того, щоб застосовувати процес управління ризиками на системному рівні.

Відтак, дотримуючись п’ятиетапної методики, насамперед ми ідентифікували, проаналізували та прореагували на можливі і видимі для нас ризики, класифікувавши їх за сферами й пріоритетністю. Тому отримали наступну картину ризиків.

Оскільки основною цінністю для нашої компанії є люди, то за пріоритетністю і важливістю, звісно, першою сферою ризиків було визначено ризики персоналу. Сюди ввійшли питання, пов’язані з безпекою та захищеністю людей, їх евакуацією, матеріальною підтримкою, забезпеченням належних умов праці, житлових умов тощо. Разом з тим виникли питання щодо припинення/призупинення трудових відносин (оскільки люди могли переїхати до інших країн, залишившись працювати там); ведення обліку/надання консультацій військовозобов’язаним; організації тимчасових офісів в інших країнах; релокейту; отримання дозвільних документів в інших країнах тощо. І це була лише частина з ідентифікованих ризиків, ймовірність настання яких та вплив на бізнес ми оцінили як достатньо високі. Стосовно заходів реагування, то юридичним департаментом були надані рекомендації керівництву компанії щодо методів управління визначеними ризиками, зокрема щодо уникнення чи прийняття певних ризиків чи щодо мінімізації наслідків їх настання. Тоді як у співпраці з HR-департаментом були втілені комунікаційні політики та алгоритми дій для кожної зі згаданих кризових ситуацій. Ну і, власне, там, де потребувалася суто юридична робота, її, звісно, було зроблено. 

Другою сферою ризиків, також досить значущою для компанії, було визначено ризики, пов’язані з контрагентами. Власне, тут були ідентифіковані як ризики: ймовірність розірвання договорів, відтак і втрати прибутку, договірні ризики (зокрема, застосування глави про форс-мажорні обставини), судові ризики, ризики контрагентів, пов’язаних з державою-агресором тощо. Надзвичайно важливим у даному випадку було провести ретельний дьюділ контрагентів, моніторинг договорів, боргових зобов’язань, орендних відносин тощо. В цьому разі ми тісно співпрацювали зі службою безпеки компанії та з бізнес-підрозділами, розробляючи ситуативні моделі поведінки під час переговорів, превентивні заходи, комунікуючи нові комплаєнс-політики тощо. 

Третьою сферою ризиків, яка невід’ємно пов’язана з роботою нашого департаменту, була стрімка зміна законодавства в період воєнного стану. Звичайно ж, моніторинг та аналіз релевантних змін до законодавства є однією з постійних функцій нашої команди. Однак у довоєнний час ця функція не була настільки пріоритетною, а навіть більш супровідною. Та з початком війни все змінилось, адже з кожним прийнятим нормативно-правовим актом ризики для роботи компанії чи для наших працівників значним чином зростали. Тому всі зміни до законодавства в цей час в такому ж турборежимі аналізувались нашим підрозділом, щоб можна було спланувати подальші кроки компанії та надати рекомендації зацікавленим особам. 

Четвертою сферою ризиків була робота контролюючих органів у воєнний час. Варто зауважити, що в цей період співпраця бізнесу і влади значним чином зросла, і наша компанія брала чималу участь у волонтерському русі, в «інформаційних» військах, а наші відважні співробітники ще й досі захищають країну на передовій. Однак, ураховуючи підвищений рівень повноважень правоохоронних та контролюючих органів у воєнний час, підготувати бізнес та персонал до можливих перевірок, пояснити їх права та обов’язки, вказати на повноваження перевіряючих було одним з першочергових завдань юридичного департаменту.

П’яту сферу ризиків ми умовно назвали матеріальні та нематеріальні активи. Сюди увійшли ризики, пов’язані як з майном і документами, так і з об’єктами інтелектуальної власності, вебсайтами тощо. Ми, зокрема, ідентифікували ризики роботи державних реєстрів, втрати/пошкодження майна, рейдерських атак тощо. Окремою темою для управління ризикам стала робота належних холдингу вебсайтів (деякі з них – новинного характеру). Оскільки слід було впевнитись, що правила конфіденційності й політики кібербезпеки можуть забезпечуватись і у воєнний час, а стартові сторінки всіх вебсайтів відображаються лише державною мовою.

Тож, як можна здогадатись, робота з управління ризиками в юридичному департаменті не зупиняється ні на день навіть під звуки сирен, адже місія справжнього інхауза саме й полягає в тому, щоб запобігти кризовим ситуаціям і мінімізувати ризики для компанії.

Замість висновків

Передбачити і належним чином підготуватись до всіх кризових ситуацій в житті чи в роботі – завдання не з легких. Однак з цим завданням впоратись набагато легше та ефективніше, вміло застосовуючи методику визначення потенційних ризиків та алгоритми реагування на них. Як на мене, юристи – це ті, хто постійно перебуває на «ризиковій передовій», а тому правильно визначати, оцінювати, корегувати ризики та вчасно реагувати у випадку їх реалізації – це навик, необхідний для кожного правника.