Цикл «ERM у дії: як побудувати систему, що реально впливає на рішення»

Система управління ризиками має сенс лише тоді, коли вона змінює управлінські рішення.

Багато компаній мають систему управління ризиками. Але значно менше можуть показати, які управлінські рішення вона реально змінила.

У професійній дискусії про управління ризиками часто виникає одна й та сама проблема. Більшість організацій формально мають систему ERM: існують політики, реєстри ризиків, звіти та регулярні презентації для керівництва. Проте навіть за наявності цих елементів ризик-менеджмент не завжди стає частиною реального управління.

Причина полягає в тому, що багато систем ERM зосереджені переважно на описі ризиків, а не на впливі на рішення. Ризики ідентифікуються, оцінюються і класифікуються, але сам процес прийняття стратегічних або операційних рішень часто відбувається окремо від цього аналізу. У результаті система ризик-менеджменту існує поруч з управлінням компанією, але не завжди інтегрована в нього.

Цей цикл статей присвячений іншому підходу до ERM — підходу, у якому управління ризиками розглядається як частина управлінської архітектури організації. Йдеться не про створення нових процедур або додаткових звітів, а про те, як зробити так, щоб аналіз ризиків допомагав керівництву приймати більш зважені рішення.

У центрі цього підходу лежить проста ідея: ризики виникають не в реєстрах ризиків, а в управлінських рішеннях. Кожна стратегія зростання, інвестиційна ініціатива або новий продукт створює нову конфігурацію ризиків для компанії. Саме тому система ERM повинна бути інтегрована в ті процеси, де ці рішення приймаються.

У цьому циклі ми розглянемо практичні елементи такої системи. Почнемо з того, як визначити ключові управлінські рішення, у яких формуються ризики. Далі поговоримо про розподіл відповідальності між різними рівнями управління і про те, як уникнути ситуації, коли ризик-менеджмент намагається відповідати за чужі рішення.

Окрему увагу буде приділено тому, як аналіз ризиків може допомагати керівництву обирати між альтернативними сценаріями розвитку бізнесу. Ми також розглянемо інтеграцію управління ризиками у стратегічне планування і бюджетний процес — саме там формуються ключові припущення щодо майбутнього компанії.

Наступні статті циклу будуть присвячені операційним інструментам ERM: системі лімітів і тригерів, використанню ключових індикаторів ризику та ролі системи раннього попередження у стабільності бізнесу.

Фінальна стаття циклу буде присвячена, мабуть, найважливішому питанню для будь-якої організації: як зрозуміти, що система управління ризиками дійсно працює. Адже справжня ефективність ERM вимірюється не кількістю звітів або процедур, а тим, наскільки він допомагає компанії приймати кращі рішення в умовах невизначеності.

Саме про це — цей цикл.

Вступ

У багатьох компаніях побудова системи ERM починається однаково: формується реєстр ризиків, проводяться інтерв’ю з керівниками підрозділів, створюється heatmap, визначається «топ-10 ризиків». Такий підхід виглядає логічним і добре відповідає традиційним методологіям управління ризиками.

Однак у практиці управління досить швидко виявляється проблема: навіть якісний реєстр ризиків не обов’язково впливає на ключові управлінські рішення. Стратегія, бюджет, великі інвестиційні або операційні ініціативи часто формуються в окремих процесах, до яких ризик-менеджмент підключається вже після того, як основні параметри визначені.

У результаті ERM починає працювати переважно з наслідками — описує ризики, які вже сформувалися внаслідок управлінських рішень. Але якщо метою системи є вплив на майбутнє, важливо розуміти не лише які ризики існують, а й де саме в організації приймаються рішення, що ці ризики створюють або змінюють.

Саме тому перший крок у побудові ERM, що реально впливає на управління, полягає не у складанні реєстру ризиків, а у визначенні ключових точок прийняття рішень у компанії. Іншими словами — у побудові карти управлінських рішень, які формують її ризик-профіль.

Де насправді народжується ризик

Коли в компанії говорять про ризики, зазвичай мають на увазі події: падіння ринку, збитковість портфеля, дефолт контрагента, збій ІТ-системи або регуляторні санкції. Але з точки зору управління більшість таких подій є лише наслідком раніше прийнятих рішень.

Будь-яке управлінське рішення фактично є вибором між альтернативами з різним профілем невизначеності. Коли компанія визначає стратегію зростання, змінює тарифну політику, інвестує у нові активи або запускає великий ІТ-проєкт, вона одночасно змінює свою експозицію до певних ризиків. Саме в цих точках формується майбутній ризик-профіль.

Наприклад, рішення агресивно нарощувати портфель у певному сегменті страхування спочатку виглядає як бізнес-ініціатива. Але разом із ним змінюється структура ризику: зростає залежність від одного сегмента, посилюється чутливість до тарифної помилки, збільшується навантаження на резерви. Через певний час ці фактори можуть проявитися як технічний збиток або нестача резервів, але їхнє джерело — саме у стратегічному виборі.

Схожа логіка працює і в інвестиційній діяльності. Коли компанія змінює структуру інвестиційного портфеля, наприклад збільшуючи частку довгострокових або менш ліквідних інструментів, це може підвищити очікувану дохідність. Але водночас змінюється ліквідність балансу, чутливість до ринкових коливань і залежність від конкретних емітентів. Знову ж таки, ризик з’являється не в таблиці — він виникає в момент ухвалення рішення.

Ще одна типова ситуація пов’язана з трансформаційними або ІТ-проєктами. Рішення швидко перейти на нову систему управління полісами чи CRM може виглядати раціональним із точки зору ефективності. Але якщо строки впровадження занадто стислі або тестування скорочене, компанія фактично приймає на себе підвищений операційний ризик. У реєстрі це може бути зафіксовано як «ризик ІТ-систем», але реальне джерело — управлінський вибір швидкості та масштабу змін.

Те саме відбувається під час бюджетування. Коли в план закладається агресивне зростання продажів без відповідного посилення контролів або андеррайтингу, організація фактично обирає більш ризикову бізнес-модель. Якщо ERM не був присутній на етапі формування таких припущень, він уже не зможе суттєво вплинути на траєкторію.

Саме тому першим кроком у побудові ефективної системи управління ризиками має бути не інвентаризація ризиків, а інвентаризація управлінських рішень. У більшості компаній їх не сотні. Як правило, 15–25 рішень протягом року визначають основну частину ризикового профілю: стратегія, бюджет, інвестиційні зміни, великі проєкти, нові продукти або значні операційні трансформації.

Коли такий перелік сформовано, стає очевидним, що багато ризиків із реєстру є прямими похідними цих конкретних управлінських кроків. І тоді фокус ERM природно зміщується: від спроби описати всі можливі ризики — до участі в тих точках, де приймаються рішення, що ці ризики створюють.

Саме з цього починається наступний етап — побудова карти управлінських рішень (decision map), яка дозволяє зрозуміти, у яких саме процесах ризик-менеджмент повинен бути інтегрований до моменту ухвалення рішення.

Чому «топ-10 ризиків» — це наслідок, а не початок системи

Після складання реєстру ризиків у більшості компаній з’являється наступний знайомий інструмент — список «топ-10 ризиків». Його зазвичай формують на основі оцінки ймовірності та впливу, а потім регулярно переглядають на засіданнях правління або комітету з ризиків. Формально це виглядає як концентрований огляд основних загроз для бізнесу.

Проблема в тому, що такий список майже завжди описує наслідки управлінських рішень, які були прийняті раніше. Він показує, де компанія вже знаходиться з точки зору ризику, але рідко пояснює, які саме рішення привели її до цієї точки.

Наприклад, у багатьох страховиків серед ключових ризиків регулярно з’являється ризик збитковості портфеля. Але якщо подивитися глибше, його джерело часто лежить у рішеннях про тарифну політику, маркетингові кампанії або швидке нарощування продажів через нові канали. Коли ці рішення ухвалюються, ризик ще не виглядає очевидним. Він проявляється через певний час — у вигляді погіршення комбінованого коефіцієнта або нестачі резервів.

Схожа ситуація виникає з ризиком ліквідності. У реєстрі він може виглядати як абстрактна загроза: неспроможність своєчасно виконувати фінансові зобов’язання. Але на практиці його джерелом часто є конкретні рішення — наприклад, збільшення частки менш ліквідних інвестицій або фінансування довгострокових проєктів за рахунок коротких ресурсів. Через певний час ці фактори можуть створити напруження у грошових потоках, але почалося все з інвестиційного вибору.

Ще один характерний приклад — операційний ризик у великих трансформаційних проєктах. У реєстрі він може виглядати як загальна категорія: ризик збоїв ІТ-систем або порушення бізнес-процесів. Але на практиці його часто формують управлінські рішення про строки впровадження, бюджет проєкту або рівень тестування перед запуском. Якщо ці параметри визначені занадто оптимістично, компанія фактично приймає підвищений рівень операційного ризику ще до початку реалізації.

Те саме стосується і регуляторного ризику. У страховому секторі він часто входить до переліку ключових. Але його рівень значною мірою залежить від того, як компанія організовує внутрішні процеси комплаєнсу, управління даними або підготовки звітності. У багатьох випадках регуляторні проблеми виникають не раптово, а як результат управлінських рішень щодо ресурсів, процесів або пріоритетів.

Коли дивитися на «топ-10 ризиків» через цю призму, стає очевидно: більшість із них є агрегованими проявами рішень, прийнятих у різних частинах організації. Реєстр ризиків фіксує результат, але не завжди показує причинно-наслідковий ланцюг.

Саме тому ERM, який прагне впливати на управління, не може обмежуватися переліком ключових ризиків. Значно важливіше зрозуміти, у яких саме управлінських процесах формуються рішення, що створюють ці ризики.

І тут ми повертаємося до ключового інструменту, з якого фактично починається практична інтеграція ERM у систему управління — карти управлінських рішень (decision map). Вона дозволяє побачити не лише перелік ризиків, а й точки, де організація формує їхню майбутню структуру.

Decision Map: де ERM має з’являтися до того, як прийнято рішення

Якщо більшість ризиків є наслідком управлінських рішень, логічне запитання звучить так: у яких саме точках компанії ці рішення формуються?

На практиці таких точок набагато менше, ніж здається. У більшості організацій 15–25 управлінських рішень протягом року визначають значну частину майбутнього ризик-профілю. Саме ці рішення і повинні бути ідентифіковані в межах так званої карти управлінських рішень — Decision Map.

Decision Map — це не складна модель і не новий регламент. Фактично це структурований перелік ключових управлінських рішень, які здатні істотно змінити ризик-профіль компанії, із зазначенням того, на якому етапі ERM повинен надати свою позицію.

Щоб зрозуміти, як це працює, достатньо подивитися на кілька типових управлінських ситуацій.

Наприклад, затвердження бюджету. У багатьох компаніях бюджетний процес концентрується навколо фінансових показників: обсяг продажів, витрати, прибуток. Але за цими цифрами стоять припущення — темпи зростання, рівень збитковості, структура витрат, динаміка ринку. Якщо ці припущення не аналізуються з точки зору ризику, бюджет фактично стає оптимістичним сценарієм, а не збалансованим управлінським планом. У Decision Map бюджет — це одна з ключових точок, де ERM має оцінити, як різні сценарії впливають на фінансову стійкість компанії.

Інший приклад — запуск нового страхового продукту. Бізнес-підрозділ може бачити нову можливість на ринку, але рішення про запуск водночас змінює профіль андеррайтингового ризику, потребу в перестрахуванні, структуру резервів і вимоги до капіталу. Якщо ризик-аналіз з’являється лише після запуску продукту, його вплив буде мінімальним. Якщо ж ERM бере участь на етапі оцінки альтернатив — наприклад, різних тарифних моделей або умов покриття — він може реально вплинути на параметри продукту.

Ще один характерний приклад — вибір перестрахувальної програми. Це рішення часто виглядає технічним: визначити ліміти, франшизи, структуру покриття. Але фактично воно визначає, яку частину ризику компанія залишає на власному балансі, а яку передає ринку. Невдалий вибір структури перестрахування може призвести до суттєвих коливань фінансового результату в разі великих збитків. У Decision Map така точка повинна бути позначена як критична для аналізу ризик-профілю.

Дуже показовими є і рішення щодо великих ІТ-проєктів. Наприклад, перехід на нову систему управління полісами або CRM. Такі проєкти часто запускаються як ініціативи підвищення ефективності, але на практиці вони можуть тимчасово підвищити операційний ризик: збої в обробці даних, затримки у врегулюванні збитків, помилки у тарифах. Якщо ERM залучений на ранній стадії, він може оцінити ці ризики і запропонувати сценарії впровадження, що знижують ймовірність серйозних операційних інцидентів.

Коли компанія системно аналізує такі управлінські точки, стає зрозуміло: значна частина ризиків, які пізніше потрапляють до реєстру або до списку «топ-10», фактично виникла в цих конкретних рішеннях.

Саме тому Decision Map виконує просту, але дуже важливу функцію — вона показує, де ERM має бути присутнім до моменту ухвалення рішення, а не після нього.

І коли така карта побудована, виникає наступне принципове питання: хто насправді відповідає за ризики цих рішень?

Хто насправді є власником ризику

Коли ризик-менеджмент починає аналізувати ключові управлінські рішення, досить швидко виникає ще одне важливе питання: хто насправді відповідає за ризик цих рішень? Формально відповідь здається очевидною — у більшості політик ERM зазначено, що власниками ризиків є керівники бізнес-підрозділів. Але на практиці ситуація часто виглядає інакше: у дискусіях, звітах або навіть у протоколах засідань відповідальність поступово «зсувається» до функції ризик-менеджменту.

Це особливо помітно під час обговорення складних або потенційно ризикових рішень. Коли йдеться про запуск нового продукту, зміну тарифної політики чи великий трансформаційний проєкт, бізнес-підрозділи часто очікують від CRO чіткої оцінки ризику і фактично перекладають на нього роль арбітра. У результаті може виникнути небезпечна ілюзія: якщо ризик був проаналізований і описаний функцією ERM, то відповідальність за його наслідки також частково переходить до неї.

Подібні ситуації добре знайомі багатьом ризик-менеджерам. Наприклад, під час обговорення нового страхового продукту бізнес може запитувати: «Чи прийнятний цей ризик?» Але саме бізнес приймає рішення щодо тарифів, умов покриття та каналів продажу, а отже — саме він визначає рівень ризику, який компанія готова взяти на себе. Роль ERM у такій ситуації полягає не в ухваленні рішення, а в тому, щоб зробити його ризикові наслідки максимально прозорими для керівництва.

Схожа логіка працює і під час великих інвестиційних або ІТ-рішень. Ризик-менеджмент може оцінити сценарії, показати чутливість до різних факторів або звернути увагу на концентрацію ризику. Але остаточний вибір — наприклад, структури інвестиційного портфеля або параметрів трансформаційного проєкту — завжди залишається управлінським рішенням, за яке відповідає відповідний власник бізнес-функції.

Саме тому зріла система ERM не розмиває відповідальність, а навпаки — робить її більш чіткою. Risk management не «володіє» ризиками, а забезпечує керівництво інформацією, аналізом і альтернативами, які дозволяють усвідомлено приймати рішення.

У цьому сенсі справжня цінність ERM проявляється не в кількості ідентифікованих ризиків і навіть не в якості звітності. Вона проявляється в тому, наскільки системно аналіз ризиків інтегрований у ключові управлінські рішення компанії. І саме ця тема стане центральною для наступної статті циклу, де ми детально розглянемо, як визначати і фіксувати реальних власників ризиків у процесі ухвалення рішень.

Що це означає для практики ERM

Якщо подивитися на систему управління ризиками з цієї точки зору, перший практичний крок стає досить очевидним: замість того щоб починати з розширення реєстру ризиків, варто спочатку визначити перелік управлінських рішень, які реально формують ризик-профіль компанії. У більшості організацій це обмежене коло процесів — стратегічне планування, бюджетування, запуск нових продуктів, формування інвестиційної політики, вибір перестрахувальної програми або реалізація великих трансформаційних проєктів. Саме в цих точках аналіз ризиків може змінювати параметри рішень, а не лише описувати їхні наслідки. Але коли ERM починає працювати на рівні таких управлінських рішень, неминуче виникає наступне ключове питання: хто саме в організації відповідає за ризик цих рішень і як ця відповідальність фіксується на практиці.

Висновок

Система управління ризиками починається не з таблиці і не з реєстру. Вона починається з розуміння того, де в компанії приймаються рішення, що змінюють її майбутній ризик-профіль. Якщо ERM з’являється лише після того, як ці рішення вже ухвалені, він неминуче працює з наслідками. Але якщо аналіз ризиків інтегрований у ключові точки управління — стратегію, бюджет, інвестиції, запуск нових продуктів або великі трансформаційні проєкти — система управління ризиками перестає бути інструментом спостереження і стає частиною управлінської архітектури компанії. І саме в цей момент питання методології відходить на другий план, поступаючись значно важливішому питанню — хто насправді є власником ризику управлінських рішень, про що йтиметься у наступній статті цього циклу.

Сергій БАБИЧ