Цикл «ERM у дії: як побудувати систему, що реально впливає на рішення»

Система управління ризиками працює лише тоді, коли зрозуміло, хто відповідає за ризик управлінських рішень.

У більшості компаній у політиках чітко зазначено, що власниками ризиків є керівники бізнес-підрозділів. Але під час обговорення складних рішень ця ясність часто зникає.

Вступ

Формально архітектура відповідальності в системі управління ризиками виглядає досить просто. Бізнес приймає рішення і відповідає за ризики, які виникають у його діяльності. Функція ризик-менеджменту аналізує ці ризики, допомагає їх оцінювати та забезпечує незалежний погляд на управлінські рішення.

На практиці ця модель працює не завжди так однозначно. Під час обговорення нових ініціатив, стратегічних змін або великих проєктів відповідальність за ризик нерідко починає зміщуватися. Бізнес очікує чіткої позиції від ризик-менеджменту, а керівництво часто ставить запитання: «Чи погоджено це з ризик-менеджментом?»

У результаті поступово виникає небезпечна управлінська ілюзія: якщо ризик був проаналізований функцією управління ризиками, то вона начебто частково відповідає і за його наслідки. Саме так CRO у багатьох організаціях поступово перетворюється на людину, яка нібито «відповідає за всі ризики».

Ця стаття присвячена тому, чому така модель є хибною і як на практиці розмежувати відповідальність між бізнесом і функцією ризик-менеджменту. Адже якщо система ERM справді має впливати на управлінські рішення, у компанії повинно бути абсолютно зрозуміло, хто створює ризик, хто його аналізує і хто зрештою приймає рішення.

Ілюзія «власника ризику» в політиці

Якщо відкрити будь-яку політику управління ризиками, відповідальність за ризики зазвичай описана досить чітко. У документах зазначається, що власниками ризиків є керівники бізнес-підрозділів, адже саме вони приймають рішення щодо продуктів, продажів, інвестицій або операційної діяльності. Функція ризик-менеджменту при цьому виконує іншу роль — допомагає ідентифікувати ризики, оцінювати їхній вплив і забезпечує незалежний погляд на управлінські рішення.

На рівні документів така модель виглядає цілком логічною. Проте в реальних управлінських процесах вона нерідко починає працювати інакше. Щойно на порядку денному з’являється складне або потенційно ризикове рішення, дискусія швидко переходить у площину: «що про це думає ризик-менеджмент?» І хоча це природне запитання, воно часто поступово змінює сприйняття ролей у системі управління.

Наприклад, під час обговорення запуску нового страхового продукту бізнес-підрозділ зазвичай представляє ринкову можливість: очікувані обсяги продажів, конкурентну ситуацію, тарифні припущення. Але майже відразу виникає питання про ризики — рівень збитковості, достатність резервів, потребу в перестрахуванні. У цей момент керівництво часто звертається до ризик-менеджменту: «Чи прийнятний цей ризик?» І хоча формально рішення належить бізнесу та правлінню, сама постановка питання поступово створює враження, що саме функція ризик-менеджменту повинна визначити, чи варто запускати продукт.

Подібну ситуацію можна спостерігати і під час бюджетування. Якщо план передбачає агресивне зростання продажів або значне розширення певного сегмента портфеля, дискусія нерідко зводиться до того, чи погоджується з таким сценарієм ризик-менеджмент. У результаті відповідальність за баланс між зростанням і ризиком, яка насправді є управлінським вибором, починає сприйматися як питання «дозволу» від функції управління ризиками.

Ще один типовий приклад виникає під час великих трансформаційних або ІТ-проєктів. Коли керівництво обговорює строки впровадження нової системи або масштаб змін у бізнес-процесах, ризик-менеджмент часто залучають для оцінки операційних ризиків. Але якщо дискусія формулюється як «чи дозволяє ризик-менеджмент рухатися з таким графіком», відповідальність за рішення фактично починає зміщуватися від тих, хто керує проєктом, до тих, хто лише аналізує його ризики.

У таких ситуаціях виникає тонка, але важлива управлінська підміна. У документах власником ризику залишається бізнес-підрозділ, але в управлінській практиці ризик-менеджмент поступово починає виглядати як орган, що санкціонує або блокує рішення. І саме ця ілюзія часто стає першою причиною того, що функція управління ризиками починає сприйматися як «власник усіх ризиків компанії».

Коли керівник функції ризик-менеджменту стає «власником усього»

Коли відповідальність за ризики починає розмиватися, функція ризик-менеджменту поступово опиняється в дивній управлінській ролі. Формально вона має аналізувати ризики та забезпечувати незалежний погляд на рішення. Але на практиці її все частіше починають сприймати як орган, який має визначити, чи можна приймати те чи інше рішення.

Найчастіше це проявляється під час обговорення ініціатив, пов’язаних зі швидким зростанням. Наприклад, коли бізнес пропонує значно збільшити продажі в певному сегменті страхування, правління може запитати: «Яка позиція ризик-менеджменту?» Якщо відповідь обережна, виникає відчуття, що саме функція ризик-менеджменту стримує розвиток. Якщо ж вона погоджується із запропонованим планом, у разі проблем пізніше легко сказати: «Це було погоджено з ризик-менеджментом».

Схожа логіка виникає і під час інвестиційних рішень. Наприклад, коли компанія розглядає можливість збільшити частку більш дохідних, але менш ліквідних активів, дискусія часто концентрується навколо того, чи підтримує таку ідею ризик-менеджмент. Якщо ринки згодом змінюються і ліквідність стає проблемою, у внутрішніх дискусіях нерідко згадують, що відповідне рішення свого часу отримало «позитивний висновок» функції управління ризиками.

Ще один типовий випадок виникає під час врегулювання великих збитків або кризових ситуацій. Коли компанія змушена ухвалювати швидкі рішення — наприклад, щодо резервів, виплат або комунікації з регулятором, — керівництво часто прагне отримати підтвердження від ризик-менеджменту. У цей момент функція, яка має забезпечувати аналітичну підтримку, може почати виглядати як інстанція, що фактично бере участь у самому рішенні.

Поступово формується парадоксальна ситуація. З одного боку, у всіх документах зазначено, що бізнес є власником ризиків. З іншого — у реальних управлінських дискусіях ризик-менеджмент починає виглядати як функція, що відповідає за те, щоб ризик «не був занадто великим». У результаті саме керівник функції ризик-менеджменту іноді починає сприйматися як людина, яка має контролювати всі ризики компанії.

Проблема такої моделі полягає не лише у розмитті відповідальності. Вона поступово змінює і сприйняття самої функції ERM. Замість того щоб бути інструментом підтримки управлінських рішень, ризик-менеджмент починає виглядати як механізм обмеження бізнесу. І саме в цей момент з’являється знайомий багатьом ризик-менеджерам ярлик — «гальмо розвитку».

Хто насправді є власником ризику

Щоб уникнути ілюзій щодо розподілу відповідальності, варто повернутися до простого управлінського принципу: власником ризику є той, хто приймає рішення, яке цей ризик створює. Ризик не існує сам по собі — він виникає як наслідок конкретних управлінських дій. Тому відповідальність за нього не може належати тому, хто лише аналізує ситуацію або надає консультацію.

Розглянемо це на простому прикладі. Коли компанія вирішує знизити тариф для швидкого збільшення продажів у певному сегменті страхування, вона фактично приймає рішення взяти на себе більший андеррайтинговий ризик. Функція ризик-менеджменту може проаналізувати історичні дані, показати можливі сценарії збитковості або звернути увагу на чутливість результату до тарифної помилки. Але рішення щодо тарифу приймає бізнес і затверджує керівництво — а отже саме вони є власниками ризику цього рішення.

Інший приклад можна побачити в інвестиційній діяльності. Якщо компанія вирішує збільшити частку довгострокових або менш ліквідних активів для підвищення прибутковості, вона одночасно підвищує ризик ліквідності та ринкових коливань. Ризик-менеджмент може оцінити вплив такого рішення на фінансову стійкість компанії, але саме інвестиційний комітет або правління визначає структуру портфеля. Тому відповідальність за відповідний ризик належить тим, хто ухвалює це рішення.

Дуже наочно ця логіка проявляється і в операційних рішеннях. Наприклад, коли керівництво вирішує впроваджувати нову ІТ-систему в дуже стислі строки, щоб швидше отримати операційні вигоди, воно одночасно приймає підвищений ризик збоїв або помилок у перехідний період. Функція ризик-менеджменту може попередити про ці ризики і запропонувати альтернативні сценарії впровадження, але остаточний вибір швидкості та масштабу змін залишається управлінським рішенням.

Саме тому роль функції управління ризиками полягає не у володінні ризиками, а у створенні прозорості для тих, хто приймає рішення. Ризик-менеджмент робить невизначеність видимою, показує можливі наслідки різних альтернатив і допомагає керівництву усвідомити, який рівень ризику воно фактично приймає.

Коли ця логіка чітко усвідомлена в організації, роль ERM змінюється принципово. Ризик-менеджмент перестає бути функцією, що нібито «дозволяє або забороняє» рішення. Натомість він стає інструментом, який допомагає керівництву приймати рішення більш усвідомлено, розуміючи їхні ризикові наслідки.

Як фіксувати відповідальність у реальних управлінських процесах

Якщо компанія справді хоче уникнути розмиття відповідальності за ризики, важливо не лише правильно визначити ролі, а й закріпити їх у реальних управлінських процедурах. Найчастіше це робиться через протоколи засідань правління, інвестиційних або інших управлінських комітетів, де фіксуються ключові аргументи та позиції сторін перед ухваленням рішення. У таких протоколах має бути зрозуміло, хто запропонував ініціативу, які ризики були обговорені та хто зрештою взяв на себе відповідальність за рішення.

Наприклад, під час обговорення нового страхового продукту бізнес може запропонувати агресивні тарифні припущення, щоб швидше зайняти частку ринку. Функція ризик-менеджменту у такій ситуації може надати свою позицію: показати чутливість результату до зміни збитковості, звернути увагу на необхідність перестрахування або на потенційний вплив на резерви. Якщо правління вирішує рухатися вперед попри ці застереження, у протоколі має бути чітко зафіксовано, що рішення прийнято керівництвом, а ризик-менеджмент надав аналітичну позицію.

Схожа ситуація може виникнути і під час інвестиційних рішень. Наприклад, коли обговорюється можливість збільшення частки активів із вищою дохідністю, але меншою ліквідністю. Ризик-менеджмент може показати сценарії стресових ситуацій, коли компанії може знадобитися швидкий доступ до коштів. Якщо після такої дискусії інвестиційний комітет усе ж ухвалює рішення змінити структуру портфеля, саме комітет стає власником відповідного ризику.

Особливо важливою є така прозорість під час великих трансформаційних проєктів. Наприклад, якщо компанія вирішує скоротити строки впровадження нової ІТ-системи, щоб швидше отримати операційні вигоди, ризик-менеджмент може попередити про підвищення операційних ризиків у перехідний період. Але якщо керівництво приймає рішення рухатися швидше, відповідальність за цей баланс між швидкістю змін і ризиком також має бути чітко зафіксована.

Такі механізми можуть виглядати простими, але вони мають дуже важливий управлінський ефект. Коли позиції сторін чітко зафіксовані, дискусія навколо ризику стає більш зрілою. Бізнес розуміє, що ризик-менеджмент не «блокує» рішення, а допомагає побачити його наслідки, а керівництво усвідомлює, що остаточний вибір завжди залишається управлінським.

Що це означає для практики управління ризиками

Якщо система управління ризиками справді інтегрована у процес прийняття рішень, перший практичний висновок досить очевидний: відповідальність за ризик повинна бути пов’язана з відповідальністю за рішення. Це означає, що керівники бізнес-напрямів, інвестиційних або операційних функцій залишаються власниками ризиків, які виникають унаслідок їхніх управлінських кроків. Функція ризик-менеджменту при цьому не перебирає на себе відповідальність за ризики, а забезпечує керівництво інформацією, аналізом і альтернативними сценаріями.

Другий важливий висновок полягає в тому, що роль ERM стає значно ефективнішою, коли позиція ризик-менеджменту чітко фіксується в управлінських процесах. Протоколи правління, рішення інвестиційних або інших комітетів повинні відображати не лише фінальне рішення, а й аргументи, які обговорювалися перед його ухваленням. Це дозволяє зберегти прозорість дискусії і водночас запобігає ситуаціям, коли відповідальність за ризик починає заднім числом зміщуватися до тих, хто лише проводив аналіз.

Нарешті, чітке розмежування ролей змінює сприйняття самої функції ризик-менеджменту в організації. Замість того щоб бути «інстанцією дозволів», вона стає джерелом незалежного аналізу, який допомагає керівництву бачити наслідки різних управлінських альтернатив. І саме в цій точці система управління ризиками починає виконувати свою справжню функцію — підтримувати якість управлінських рішень.

Висновок

Власник ризику — це не той, хто аналізує ризик, а той, хто приймає рішення, що його створює. Саме тому зріла система управління ризиками не розмиває відповідальність, а навпаки — робить її більш чіткою. Бізнес визначає рівень ризику, який компанія готова взяти на себе, керівництво ухвалює остаточні рішення, а функція ризик-менеджменту забезпечує незалежний аналіз і допомагає побачити наслідки різних альтернатив.

І коли ця логіка працює, роль ERM природно переходить на наступний рівень. Адже якщо ризик-менеджмент не приймає рішення, його головне завдання полягає в іншому — допомогти керівництву обрати між різними управлінськими варіантами, розуміючи їхній ризиковий профіль. Саме про це йтиметься у наступній статті циклу.

ДОДАТОК

Шаблон аналітичної записки для управлінського рішення

(приклад структури)

1. Суть управлінського рішення

Коротко описується рішення, яке розглядається.

Приклад

Розглядається можливість запуску нового страхового продукту для малого бізнесу.

Основні параметри:

• очікуваний обсяг продажів
• тарифна модель
• канали продажу
• необхідність перестрахування

Мета — оцінити вплив різних варіантів запуску на ризик-профіль компанії.

2. Варіанти рішення

У записці завжди мають бути мінімум два альтернативних варіанти.

Варіант 1 — агресивне зростання

• нижчий тариф
• швидкий запуск
• максимальний обсяг продажів

Перевага: швидке зростання портфеля.

Ризик: висока чутливість до помилки в оцінці збитковості.

Варіант 2 — помірне зростання

• консервативніший тариф
• обмеження за каналами продажу
• поступове нарощування портфеля

Перевага: стабільніша збитковість.

Ризик: повільніше зростання.

3. Аналіз ключових ризиків

Розглядаються найважливіші фактори невизначеності.

Наприклад:

• ризик помилки тарифу
• концентрація портфеля
• достатність перестрахування
• вплив на резерви.

Коротко показується, як ці ризики відрізняються між варіантами.

4. Сценарний аналіз

Найпростіший формат:

Це допомагає керівництву побачити асиметрію ризику.

5. Позиція функції ризик-менеджменту

Це дуже важливий блок.

Тут чітко зазначається:

• основні ризики
• ключові припущення
• умови, за яких рішення буде прийнятним.

Наприклад:

Функція ризик-менеджменту вважає варіант 1 можливим за умови:

• обмеження частки портфеля
• додаткового перестрахування
• регулярного перегляду тарифу.

6. Рішення керівництва

У протоколі фіксується:

• який варіант обрано
• які ризики усвідомлено прийняті.

Сергій БАБИЧ