Как крупные компании оценивают и управляют регуляторными рисками — мнение Анны Архангельской

Регуляторные риски — один из наиболее сложных и быстрорастущих классов рисков для бизнеса. По словам Анны Архангельской, юриста, банкира и специалиста в области комплаенса и управления рисками, в условиях постоянных изменений законодательства, ужесточения требований надзорных органов и повышения прозрачности бизнеса компании вынуждены выстраивать системные подходы к комплаенсу. Особенно остро эта задача стоит перед крупными финансовыми институтами и корпорациями с международным присутствием, где даже незначительное несоответствие нормам может привести к серьезным санкциям или ограничению деятельности.

Что такое регуляторный риск и почему он стратегически важен

Регуляторный риск — это вероятность убытков или репутационных потерь из-за несоблюдения действующих норм, правил и стандартов. Он охватывает широкий круг направлений:

• соблюдение требований AML/CFT и KYC;
• антимонопольное и налоговое регулирование;
• защита персональных данных и кибербезопасность;
• корпоративное управление и отчетность;
• соблюдение ESG-принципов и нефинансовой отчетности.

Для крупных компаний этот риск не ограничивается рамками юридического комплаенса. Как утверждает Анна Архангельская, он напрямую влияет на стратегию, инвестиционные решения, операционные процессы и взаимоотношения с партнерами. В последние годы регуляторные риски становятся частью общей системы корпоративного управления рисками (ERM), а контроль за ними поднимается на уровень совета директоров.

Международная практика: системность, технологичность и стратегическая интеграция

Мировая практика управления регуляторными рисками прошла путь от точечных мер к комплексным системам GRC (Governance, Risk, Compliance). Такие системы позволяют объединить нормативные обязательства, внутренний контроль и риск-менеджмент в единую структуру.

1. Автоматизация и RegTech

Крупнейшие банки и корпорации активно используют RegTech-решения для автоматического мониторинга изменений в регулировании.

В JPMorgan и HSBC функционируют интегрированные RegTech-платформы, которые ежедневно анализируют тысячи нормативных документов в разных юрисдикциях и автоматически обновляют внутренние регистры рисков.

Европейские компании применяют решения Thomson Reuters Regulatory Intelligence и Ascent RegTech — системы, способные не только отслеживать изменения законодательства, но и оценивать, какие подразделения и процессы они затрагивают.

2. Regulatory mapping и «динамические карты рисков»

Практика regulatory mapping (картирование нормативных требований) позволяет визуализировать, какие процессы компании подпадают под конкретные требования регуляторов.

Например, в банках Великобритании и Германии все ключевые бизнес-процессы «привязаны» к соответствующим положениям законодательства — от GDPR и MiFID II до локальных актов. При изменении норм система автоматически сигнализирует ответственным подразделениям.

3. Роль комплаенса как бизнес-партнера

В международных компаниях функции комплаенса давно перестали быть исключительно контролирующими. Они стали частью стратегического планирования.

Так, в Goldman Sachs или Deutsche Bank комплаенс-директора участвуют в разработке новых продуктов, оценивая регуляторные последствия еще до запуска. Это снижает риск нарушений и упрощает диалог с регуляторами.

Российская практика: от формального контроля к интеграции в управление

По мнению Анны Архангельской, в России подход к управлению регуляторными рисками постепенно эволюционирует. Компании переходят от формального «галочного» контроля к созданию полноценных систем управления, основанных на принципах международных стандартов — ISO 37301:2021 (Compliance Management Systems) и COSO ERM.

1. Централизация и системность

В крупнейших банках и госкорпорациях создаются центры компетенций по комплаенсу и рискам, объединяющие юридические, риск- и IT-подразделения. Такие структуры позволяют унифицировать подходы к идентификации и оценке рисков.

Например, Сбер, ВТБ и Росатом внедрили единую систему управления нормативными требованиями, интегрированную с внутренними аудитами и системами отчетности.

2. Карты регуляторных рисков и самооценка подразделений

Российские компании все чаще внедряют карты регуляторных рисков, которые обновляются на регулярной основе. Каждое подразделение проводит self-assessment — внутреннюю самооценку соответствия требованиям законодательства и корпоративных политик.

Эти оценки агрегируются в централизованных базах, что позволяет совету директоров видеть полную картину регуляторных рисков по всей группе компаний.

3. Использование отечественных RegTech-инструментов

Появляются локальные технологические решения, упрощающие мониторинг нормативных изменений. Например:

• модули аналитики в «Консультант+» и «Техэксперт», которые позволяют настраивать оповещения по изменениям законодательства, релевантным конкретной компании;
• интеграция с GRC-платформами (например, «Naumen GRC», «Интерпроком GRC»), где регуляторные риски связываются с операционными процессами, ответственными лицами и KRI (ключевыми индикаторами рисков).

4. Вовлечение совета директоров

Современная практика крупных российских компаний — создание комитетов по аудиту, рискам и комплаенсу при совете директоров.

Их задача — анализировать ключевые нормативные изменения и оценивать их влияние на стратегию, инвестиционные решения и репутационные риски.

В такие комитеты все чаще приглашаются независимые директора с опытом в области регуляторики, что приближает российскую практику к международным стандартам корпоративного управления.

Анна Архангельская уверена, что комплексное управление регуляторными рисками становится неотъемлемой частью стратегического планирования. Компании, которые системно выстраивают процессы мониторинга и оценки нормативных изменений, снижают вероятность штрафов и санкций, повышают доверие инвесторов и создают основу для устойчивого развития.

В современном мире эффективный комплаенс — это не только юридическая необходимость, но и стратегическое преимущество. Именно способность предвидеть регуляторные тренды и быстро адаптироваться к ним отличает зрелые организации от тех, кто реагирует постфактум.

Источник: Национальные интересы