В 2012 году банк JPMorgan Chase потерял больше 6 миллиардов долларов не из-за кризиса, не из-за санкций и даже не из-за хакеров. Один трейдер в лондонском офисе полтора года спокойно обходил все внутренние контролёры, потому что система была построена так, будто люди внутри компании никогда не ошибаются и не врут.
В России похожих историй десятки — от банков, где кредитные менеджеры годами выдавали займы подставным фирмам, до промышленных гигантов, где закупки превращались в личный бизнес отдельных сотрудников. Внешние угрозы мы научились бояться. Своих — пока нет.
Что такое внутренние риски на самом деле?
Это всё, что может ударить по компании изнутри:
🟣ошибка рядового сотрудника, который случайно отправил коммерческое предложение конкурентам;
🟣руководитель, который ради квартального бонуса закрывает глаза на подозрительную сделку;
🟣 системный администратор, который уходит в другую компанию и уносит с собой базу клиентов;
🟣корпоративная культура, в которой никто не решается сказать начальству, что «король голый».
По данным Verizon за 2024 год, 82 % всех утечек данных имеют внутренний след — сознательный или случайный.
🟣Почему именно сейчас внутренние риски тоже важны?
Компании стали слишком большими и распределёнными, чтобы управляться «по понятиям». Удалённая работа, облачные хранилища, тысячи сотрудников с доступом к критическим системам — всё это резко увеличило поверхность атаки изнутри. Регуляторы больше не принимают отговорки «мы не заметили»: от Basel IV и европейского DORA до российского 152-ФЗ ответственность за внутренний контроль стала личной — вплоть до дисквалификации топ-менеджеров.
Три линии защиты, которые действительно работают
Классическая модель Institute of Internal Auditors до сих пор лучшая, если её не превращать в формальность.
➡️🟣Первая линия — те, кто каждый день принимает решения: руководители подразделений, казначеи, продажники, айтишники. Именно они должны видеть риски в моменте и иметь простые инструменты, чтобы их гасить: автоматические блокировки, принцип четырёх глаз, обязательное согласование исключений.
➡️🟣🟣Вторая линия — риск-менеджеры, комплаенс, информационная безопасность. Их задача — смотреть на всю картину, собирать сигналы со всей компании и бить тревогу, когда где-то начинает «пахнуть жареным»: растёт количество ручных проводок, сотрудники массово не проходят обучение, в одном отделе вдруг резко выросла текучка.
➡️🟣🟣🟣Третья линия — внутренний аудит. Независимый взгляд со стороны: не «как написано», а «как работает на самом деле». Аудитор может взять реальный доступ бывшего сотрудника и попытаться перевести деньги — и посмотреть, на каком этапе система его остановит.
Главное условие — совет директоров и правление должны получать честную картинку и реальную власть её менять.
Успешно справляетесь с внутренними рисками?
Если вы зашли в тупик в стратегическом маркетинге или риск-менеджменте — стучитесь ко мне:
