Пробелы в современном ESG

Риски, которые ранее были гипотетическими сценариями в корпоративных стресс-тестах, стали повседневной операционной реальностью. И глобальная статистика это подтверждает. По данным Global Risks Report 2025 от World Economic Forum, крупнейшим краткосрочным риском для мира впервые названы вооруженные конфликты между государствами.

Киберугрозы, геополитическая фрагментация и сбои в цепочках поставок также входят в пятерку основных рисков на двухлетний период. По данным Allianz Risk Barometer 2026, киберинциденты остаются риском №1 для бизнеса в мире пятый год подряд.

ESG создавался для другого мира

Когда ESG (Environmental, Social, Governance) как концепция, структурирующая устойчивое развитие по трем группам факторов, решала иную задачу. Её целью было помочь инвесторам лучше оценивать нефинансовые риски, включая воздействие на окружающую среду, социальные практики и качество управления.

Тогда перед бизнесом не стоял вопрос, есть ли в офисе укрытие, может ли производство работать во время обстрелов, выдержит ли компания кибератаку, которая остановит все операции. Тогда риски были долгосрочными и накопительными, касались преимущественно сокращения выбросов парниковых газов (показатель – Environmental), ответственного отношения к персоналу (Social), наличия антикоррупционных политик (Governance).

Где мы сейчас

Сегодня ESG-отчетность стала гораздо более глубокой и требовательной, а европейские стандарты и требования инвесторов создают жесткие условия, в которых доступ к финансированию напрямую зависит от качества ESG-подхода.

Современные стандарты отчетности в области устойчивого развития, такие как ESRS, GRI, IFRS S1/S2, действительно дают компаниям инструменты для демонстрации своей устойчивости. В них предусмотрены показатели по охране труда, управлению рисками, воздействию на сообщества и работе с цепочками поставок.

Но если присмотреться повнимательнее, то становится ясно, что вопросы безопасности там распределены между различными подразделениями. Часть показателей относится к блоку охраны труда и производственной безопасности (OHS), часть — к риск-менеджменту, а часть — к корпоративному управлению (Governance).

В этих стандартах нефинансовой отчетности отсутствуют показатели, отражающие работу во время обстрелов, наличие эвакуационных планов, состояние поврежденных активов, минную опасность, интеграцию ветеранов и безопасность энергоснабжения. Это уже не HR-функция, это часть устойчивости бизнеса, а устойчивость является базовым элементом стабильности.

Если посмотреть на подходы мировых ESG-рейтинговых агентств, в частности S&P Global, ситуация выглядит аналогично. Безопасность там присутствует через отдельные показатели в различных блоках оценки, но она не выделена в отдельное измерение и не оценивается как целостная система. Это работает только для стабильных экономик, где риски носят прогнозируемый характер.

Инвестор, ожидающий нефинансовой отчетности по ESG от потенциального бизнес-партнера, видит отдельные элементы, которые трудно оценить в комплексе, и не получает ответа на главный вопрос: выдержит ли компания кризис и насколько рискованно инвестировать капитал.

Только в конце 2025 года Еврокомиссия опубликовала разъяснение и делегированный регламент – первые документы, которые четко определили: оборонная отрасль сама по себе не противоречит принципам устойчивости. Отныне автоматическому включению подлежат только производители оружия, прямо запрещенного международными конвенциями.

Регламент вступит в силу 30 июня 2026 года — через четыре года после начала большой войны в Украине. Это показательный симптом. Система ESG настолько долго существовала в логике мирного времени, что даже на вопрос, можно ли финансировать безопасность Европы, не было четкого ответа в рамках действующих правил.

То есть требования ESG существуют, но целостности нет, поскольку безопасность как фактор не объединена в единую логику, и практически они не отражают реальность, в которой работает бизнес. В результате компания может выглядеть сильной по показателям ESG, но оставаться уязвимой к физическим, операционным, кибер- и военным рискам.

Что на самом деле включает в себя безопасность как часть современного ESG

Когда речь идет о безопасности в контексте устойчивого развития, это не только о безопасности труда на производстве — в частности, о таких показателях, как TRIR (общий уровень производственного травматизма) и LTIR (уровень травматизма с потерей трудоспособности). Это гораздо более широкое понятие, которое охватывает способность бизнеса функционировать в условиях постоянного внешнего давления:

• физическую безопасность персонала — могут ли люди работать во время воздушной тревоги, есть ли укрытия;
• киберзащита – средняя стоимость утечки данных в мире превышает 4,4 млн долл., поэтому компании вынуждены выделять значительные CAPEX и OPEX на цифровую безопасность;
• риски, связанные с ИИ и алгоритмическими системами – алгоритмическая предвзятость, сбои в безопасности и целевые атаки на модели;
• непрерывность бизнеса – способность работать во время отключения электроэнергии или сбоев в логистике;
• состояние и защита активов – наличие плана действий в случае повреждения или недоступности активов;
• радиационную и экологическую безопасность – оценка рисков для людей в регионах с повышенным уровнем опасности и т. д.;

Вся логика ESG всегда была связана с рисками и капиталом, и в этом ничего не изменилось. Компания, которая не способна защитить людей и обеспечить непрерывность работы, автоматически воспринимается как более рискованная, а это означает более дорогое финансирование, меньший интерес со стороны инвесторов и более слабые партнерские отношения, что напрямую влияет на ее экономические результаты.

Украина — пример для всего мира

С 2014 года в Украине накапливается опыт, который переосмысливает классические подходы к устойчивому развитию, поскольку бизнес уже работает в условиях, которые мир только начинает осознавать, включая геополитическую нестабильность, энергетические потрясения, кибератаки и сбои в цепочках поставок.

С февраля 2022 года украинские компании в режиме реального времени решали вопросы, которые не предусмотрены ни одним ESG-стандартом: как эвакуировать персонал во время обстрелов, как поддерживать производство при ежедневных отключениях электроэнергии, как сохранять операционную деятельность после уничтожения складов и логистической инфраструктуры, как реинтегрировать сотрудников, вернувшихся с фронта.

Этот опыт не является абстрактным, он уже имеет ощутимые последствия для экономики и бизнеса. По оценке Fifth Rapid Damage and Needs Assessment (RDNA5), потребности в восстановлении Украины по состоянию на конец 2025 года превысили 580 млрд долл., что отражает масштаб разрушений и в то же время показывает, что значительная часть экономики функционирует в условиях поврежденной инфраструктуры. В Microsoft Digital Defense Report 2025 отмечается, что Украина оставалась одной из основных целей государственных кибератак, в частности российских.

Что с этим делать

Устойчивый бизнес сегодня — это не только влияние на окружающую среду или социальная политика, это способность работать в условиях, когда внешняя среда нестабильна и непредсказуема. Если безопасность не оценивается как отдельный фактор, инвесторы, доноры, международные партнеры получают стратегию и нефинансовую отчетность по устойчивому развитию бизнеса, которая не всегда может соответствовать реальности.

Именно поэтому современный ESG без учета безопасности не дает полного представления о реальной устойчивости.

Речь идет не о замене ESG, а о том, чтобы сделать его полноценным и зрелым, где "безопасность" перестает быть подтемой и должна стать полноценной частью оценки устойчивости, учитывая опыт бизнеса, функционирующего в условиях вооруженного конфликта, энергетических ударов и кибератак. Это упреждающий подход, который глобальные стандарты только начинают осознавать.

В этом контексте украинский опыт должен стать ориентиром для трансформации глобальных подходов к устойчивому развитию.