В крупном B2B репутационный риск перестал быть зоной импровизации пресс-службы и стал документом с владельцем, шкалой и регламентом. К 2024 году цена репутации видна в цифрах: 57% российских компаний понесли урон бренду из-за сбоев, 65% зафиксировали потерю доверия покупателей. Вопрос «кто отвечает за карту репутационных рисков» уже редко имеет ответ «пресс-служба» — владелец процесса должен быть закреплён за пределами одной службы.
Три кейса крупного российского B2B показывают одно: репутационный риск перестал быть зоной импровизации пресс-службы и стал документом с владельцем, шкалой и регламентом. В крупном B2B вопрос «кто отвечает за карту репутационных рисков» уже редко имеет ответ «пресс-служба» — репутация дороже, чем стоимость работы PR-функции. Владелец процесса должен быть закреплён за пределами одной службы.
В статье — про операционный механизм превентивной работы: картирование, владельца риска, матрицу «вероятность × ущерб», регламент эскалации и ежеквартальный аудит.
Описательный подход — что такое репутационный риск, какие у него виды, какие причины — доминировал в публичной литературе по теме много лет и закрывал задачу, пока репутация не имела прямой цены. К 2024 году эта цена видна в цифрах: 57% российских компаний понесли репутационный урон бренду из-за сбоев, 65% зафиксировали потерю доверия покупателями, около 60% — прямые финансовые потери.
Проблемы с качеством товара или услуг приводят к падению продаж в течение того же квартала. Описание категорий риска больше не поможет директору по коммуникациям закрыть смену, потому что нужно другое — рабочий процесс, в котором риску соответствует владелец, шкала оценки и регламент действий.
Сдвиг к измеримому риску совпал с другим долгим трендом — концентрацией данных в цифровых сервисах и слабостью корпоративной безопасности. Россия в 2024 году заняла второе место по количеству инцидентов утечек данных в мире — на российские фирмы пришлось 8,5% случаев компрометации данных, зарегистрированных глобально.
В 2024 году ЭАЦ ГК InfoWatch зарегистрировал 592 случая утечек ПДн против 569 в 2023 году, объём — 1,5 млрд записей, рост более 30%. Каждый такой случай в социальных сетях разворачивается за часы: история в СМИ, претензия в Роскомнадзор и провал по доверию клиентов в одном пакете.
В этой логике владелец карты — не пресс-служба и не служба ИБ по отдельности, а конкретное лицо в топ-менеджменте, у которого есть мандат собрать риски разных функций — юридические, технологические, кадровые, регуляторные — и расставить их на одной шкале. Без такой позиции карта остаётся набором разрозненных таблиц по отделам. В итоге связи между рисками не видны даже руководству.
«Репутационный кризис и репутационный менеджмент — это вопрос не только PR-команды, пресс-службы и других коммуникаторов, это задача всего менеджмента во главе с руководителем компании».
Екатерина Куманина, директор по внешним коммуникациям «Почты России».
PR-функция исторически складывалась вокруг готового комментария журналисту и оперативного ответа на жалобу. Превентивная часть — мониторинг, моделирование сценариев, работа с источниками угроз заранее — финансировалась по остаточному принципу. В крупном B2B этот баланс начал меняться: цена позднего обнаружения проблемы в индустриях со сложной регуляторикой и массовой клиентской базой растёт быстрее, чем затраты на регламентную подготовку. Объяснение простое: удар через слив данных или инцидент на производстве одновременно бьёт по продажам и приводит регуляторное давление.
Превентив в этой логике становится первичной задачей PR-функции — раньше работы с уже произошедшим. Это сдвиг практический, зафиксированный на уровне директоров по коммуникациям крупного промышленного бизнеса. Так, Трубная Металлургическая Компания перестроила приоритеты PR-функции — систематический разбор внешних угроз: санкции, регуляторные изменения, поведение поставщиков; картирование сценариев; проактивная работа со СМИ до инцидента.
Для финансистов, специалистов по ИБ и юристов приоритет превентивного подхода привычен: бюджеты на риск-менеджмент, страхование и комплаенс существуют десятилетиями. Для PR этот сдвиг происходит позже и сложнее, потому что общение с медиа труднее измерить в денежном выражении. Карта репутационных рисков поможет сделать превентивную работу видимой через список сценариев, методов их выявления, владельцев и сроков ревизии. Даже базовая версия — таблица на одной странице — снижает вероятность того, что ухудшения имиджа компания заметит поздно.
Главное отличие зрелой кризисной карты от учебной — она устроена не как один документ «что делать в кризисе», а как пополняемый каталог сценариев под разные риски. Универсальный план быстро теряет пользу при первом нестандартном инциденте. У разных кризисов отличаются масштаб, каналы коммуникации, ответственные и шаблоны реакции. Поэтому зрелые B2B-компании работают не с одним общим планом, а с набором сценариев.
Каждый сценарий описывает пошаговый порядок действий: что говорить, в какой последовательности, кто отвечает за реакцию, какие каналы использовать. Когда событие уже произошло, команда достаёт релевантную заготовку и не ищет решение с нуля. Каталог собирают по источникам угроз. Для крупного бизнеса обычно есть четыре крупных блока, и для каждого нужны отдельный сценарий и отдельный владелец.
Узел утечек за последние три года — один из самых нагруженных по статистике.
По данным «СёрчИнформ», 48% российских компаний фиксировали слив данных, причём в 67% случаев — из-за ошибок сотрудников и нарушения базовых правил кибергигиены.
По данным «ИнфоВотч», лидером стала торговля: 27,8% случаев в целом и 35,1% инцидентов с компрометацией ПДн.
Это указывает на отрасли с массовой клиентской базой как зону высокого риска и определяет состав ответственных за узел: ИБ, HR, юристы, иногда поставщики DLP-систем.
Контрагенты в этом узле — отдельная подкатегория: ненадёжные партнёры с доступом к данным или к информационной инфраструктуре компании переносят свою регуляторную дисциплину на бренд клиента. Картирование рисков должно содержать список таких партнёров с оценкой их собственной зрелости, иначе слив у субподрядчика становится репутационным инцидентом основной фирмы. Их политику обработки данных проверяют заранее, не после происшествия.
Регуляторный узел в РФ непропорционально перегружен. 78% российских компаний считают главным риском в области персональных данных проверки Роскомнадзора. Эксперты интерпретируют это так: компании воспринимают приватность прежде всего как зону регуляторного риска. Этот перекос означает, что превентивная работа в большинстве компаний построена вокруг подготовки к проверкам — фокус на доверие клиентов уходит на второй план. Карта рисков, чтобы быть сбалансированной, должна явно выделить узел «регуляторика» отдельно от узла «клиенты» и закрепить разных владельцев: за регуляторику отвечает юридический блок и DPO, за клиентское мнение и качество сервиса — коммуникации и продуктовая функция.
Узел «люди» обычно недооценён в карте именно потому, что хуже всего алгоритмизируется. Поведение топ-менеджера в публичной речи, в соцсетях, в переписке — источник риска, который сложно регламентировать заранее: запрет на публичность не сработает, формальный медиа-тренинг покрывает только часть ситуаций.
Рабочая практика здесь — карта зон высокого риска: политические темы, неудачные комментарии о конкурентах, упоминания клиентов. К ней добавляются регулярная сверка с топ-менеджментом и готовые сценарии на первые часы: как опубликовать корректирующую позицию или снять спорную публикацию. Ответственность за этот блок несут корпоративные коммуникации и юристы. В крупных компаниях к ним подключается руководитель HR.
Сотрудники — отдельная зона риска. Как показывают цифры выше, в 2024 году большинство инцидентов у российских компаний было связано не с внешними атаками, а с ошибками персонала. Этот риск нужно картировать вместе с HR и ИБ. HR отвечает за обучение и культуру кибергигиены, ИБ — за контроль и быстрое реагирование.
Внешний узел — то, что обычно интуитивно понимается под «репутационным риском»: негативные публикации, отзывы недовольных клиентов в социальных сетях, неудачные рекламные кампании, действия конкурентов на инфополе. Здесь работают понятные методы: мониторинг упоминаний, отслеживание тональности, рабочие отношения со СМИ, регулярный анализ обратной связи от покупателей и партнёров.
Особенность зрелой карты — каждый канал внешнего фона привязан к конкретной методике из каталога: жалоба в социальной сети с быстрым распространением — один сценарий, негативная публикация в отраслевом издании — другой, активность конкурента — третий. Игнорирование любого канала даёт зону, где негатив накапливается незаметно для руководства.
Список рисков сам по себе не управляет ресурсами превентива. Без шкалы вероятности и урона ресурсы размазываются ровным слоем: PR-команда тратит одинаковое внимание на маловероятный сценарий и на ежеквартально повторяющийся. Матрица превращает список в очередь работ: приоритет — рискам высокой вероятности и большого урона, резервный сценарий — для низкой вероятности и катастрофического исхода, фоновый мониторинг — для низкой вероятности и низкого урона. Так проще понять, какие узлы требуют действий немедленно, а какие — после квартального ревью.
Шкала собирается из двух источников.
Первый — историческая база инцидентов, своих и чужих: чем больше похожих случаев в прошлом, тем точнее прогноз.
Второй — экспертная оценка: PR-функция, юристы, финансы, операционный блок дают свою позицию по финансовому, регуляторному и репутационному удару по каждому сценарию. Оценки сводятся в одну шкалу.
Калибровка матрицы — работа с накопленной базой кейсов, а не теоретическое упражнение по учебнику. Хорошо собранная матрица помогает выявить риски на ранней стадии и снизить вероятные последствия за счёт заблаговременных действий.
Накопительная база работает в обе стороны: разбор собственных инцидентов и в индустрии. Для второго блока используются открытые отчёты по утечкам, разборы кейсов конкурентов в отраслевых СМИ, обзоры регуляторов. Каждый разобранный случай добавляет в матрицу либо новую строку, либо уточнение оценки на уже существующей. Через год-два регулярной работы матрица перестаёт быть гипотетическим документом и превращается в управленческий инструмент: при появлении нового риска понятно, в какую клетку матрицы он попадает и какой регламент к нему применять. Невозможно избежать всех угроз, но возможно резко минимизировать их частоту и ущерб.
Картирование и матрица работают на превентив, но в момент, когда инцидент всё-таки случился, нужен регламент эскалации — расписанная заранее последовательность действий с привязкой к владельцу каждого узла. В острой фазе нет времени договариваться, кто звонит CEO, юристам и в Роскомнадзор: эту последовательность фиксируют до инцидента.
Зрелый регламент включает четыре блока.
Каждый блок поможет команде действовать оперативно и не допускать импровизации в первые часы, когда вероятность ошибки максимальна.
Самый детальный публичный пример такого регламента в российском B2B — «Северсталь». Компания разработала матрицу пост-катастрофных коммуникаций, где по минутам прописаны действия всех служб — HR, PR, топ-менеджмента, юристов — с готовыми шаблонами пресс-релизов и других документов. Регламент применяется как готовая инфраструктура: при инциденте служба не разрабатывает свои действия, а исполняет уже согласованный сценарий.
Без регулярной ревизии карта рисков перестаёт работать через несколько месяцев: появляются новые регуляторные требования, происходят инциденты в индустрии, меняется состав владельцев, устаревают шаблоны. Регламентная частота ревизии — квартал для крупного B2B со сложной регуляторикой и ежемесячный цикл для финсектора и компаний с массовой клиентской базой. Постоянно следите за тем, чтобы версия карты соответствовала текущей структуре и приоритетам бизнеса.
В ежеквартальный аудит входят три блока.
Ревизия — не формальное собрание, а рабочая сессия с пересмотром приоритетов и обновлением методик. В крупных компаниях её ведёт корпоративный риск-менеджер совместно с PR-функцией, юристами и ИБ. Результат каждого квартала — обновлённая матрица, дополненный каталог методов, зафиксированный список изменений и решение по тем узлам, где ситуация ухудшается. Через год работы такого цикла карта рисков превращается из проектного документа в управленческую практику, встроенную в годовое планирование и в KPI коммуникаций компании.
«Здесь важно предвосхищать события на 1–2 шага вперёд, чтобы не находиться в роли догоняющего».
В 2023 году Полина Тризонова, на тот момент руководитель пресс-службы «Сбербанка».
В крупном B2B вопрос «кто отвечает за карту репутационных рисков» уже редко имеет ответ «пресс-служба». Владелец карты — не пресс-служба и не служба ИБ по отдельности, а конкретное лицо в топ-менеджменте, у которого есть мандат собрать риски разных функций — юридические, технологические, кадровые, регуляторные — и расставить их на одной шкале. Без такой позиции карта остаётся набором разрозненных таблиц по отделам, и связи между рисками не видны даже руководству.
Описательный подход закрывал задачу, пока репутация не имела прямой цены. К 2024 году эта цена видна в цифрах: 57% российских компаний понесли репутационный урон бренду из-за сбоев, 65% зафиксировали потерю доверия покупателями, около 60% — прямые финансовые потери. Описание категорий риска больше не помогает директору по коммуникациям — нужен рабочий процесс, в котором риску соответствует владелец, шкала оценки и регламент действий.
Каталог собирают по источникам угроз — обычно есть четыре крупных блока, и для каждого нужны отдельный сценарий и отдельный владелец: утечки данных и контрагенты (ИБ, HR, юристы, поставщики DLP); регуляторика и проверки (юридический блок и DPO); поведение топ-менеджеров и сотрудников (корпоративные коммуникации, юристы, HR, ИБ); внешний информационный фон и СМИ (мониторинг упоминаний и тональности). Зрелая карта устроена не как один универсальный план, а как пополняемый каталог сценариев под разные риски.
Список рисков сам по себе не управляет ресурсами превентива — без шкалы вероятности и урона внимание размазывается ровным слоем. Матрица превращает список в очередь работ: приоритет — рискам высокой вероятности и большого урона, резервный сценарий — для низкой вероятности и катастрофического исхода, фоновый мониторинг — для низкой вероятности и низкого урона. Шкала собирается из двух источников: исторической базы инцидентов (своих и чужих) и экспертной оценки PR, юристов, финансов и операционного блока.
Зрелый регламент включает четыре блока: уровни критичности (шкала «жёлтый, оранжевый, красный» с порогом перехода и триггерами); время отклика (нормативы для каждого уровня — от первого внутреннего оповещения до публичной речи); ответственные (основной владелец по узлу и резервный сотрудник); шаблоны (пресс-релизы, заявления, тексты в соцсетях, заранее согласованные с юристами). Самый детальный публичный пример в российском B2B — «Северсталь» с матрицей пост-катастрофных коммуникаций, где по минутам прописаны действия HR, PR, топ-менеджмента и юристов.
Без регулярной ревизии карта перестаёт работать через несколько месяцев. Регламентная частота — квартал для крупного B2B со сложной регуляторикой и ежемесячный цикл для финсектора и компаний с массовой клиентской базой. В ежеквартальный аудит входят три блока: новые инциденты у себя и на рынке; изменения регуляторики (регуляторный узел требует самой частой ревизии, так как 78% компаний считают главным риском проверки Роскомнадзора); ротация ответственных при изменениях в составе топ-менеджмента.
В крупном B2B цена позднего обнаружения проблемы в индустриях со сложной регуляторикой и массовой клиентской базой растёт быстрее, чем затраты на регламентную подготовку: удар через слив данных или инцидент на производстве одновременно бьёт по продажам и приводит регуляторное давление. Превентив становится первичной задачей PR-функции — раньше работы с уже произошедшим. Карта репутационных рисков делает превентивную работу видимой через список сценариев, методов их выявления, владельцев и сроков ревизии.
