Цикл «ERM у дії: як побудувати систему, що реально впливає на рішення»

Ризик-апетит стає реальним інструментом управління лише тоді, коли існують сигнали, що змушують організацію реагувати.

У багатьох компаніях межі ризику формально визначені: існують документи, таблиці, індикатори. Проте в реальній управлінській практиці ці межі не завжди впливають на рішення. Причина проста: самі по собі ліміти не змінюють поведінку організації.

Вступ

У попередніх статтях цього циклу ми розглянули, як система управління ризиками може впливати на управлінські рішення: через аналіз альтернатив, участь у стратегічному плануванні та інтеграцію в бюджетний процес. Проте навіть коли ці елементи працюють, залишається важливе питання — як зрозуміти, що компанія наближається до небезпечного рівня ризику.

Більшість організацій відповідають на це питання через систему ризик-апетиту. У документах визначаються допустимі рівні ризику, встановлюються ліміти та індикатори, які повинні сигналізувати про відхилення від бажаного профілю ризику. Формально така система виглядає достатньо структурованою.

Проте на практиці часто виникає інша ситуація. Ліміти існують у документах, індикатори відображаються у звітності, але вони не завжди змінюють управлінські рішення. Керівництво може знати, що певний показник наближається до межі, але це не обов’язково призводить до коригування стратегії або операційної діяльності.

Саме тому ефективна система управління ризиками повинна містити не лише ліміти, а й тригери — сигнали, які запускають управлінську реакцію. У цій статті ми розглянемо, як така система може працювати на практиці і як вона допомагає організації реагувати на зростання ризику ще до того, як проблема стане критичною.

Коли ліміт існує лише на папері

У багатьох компаніях система лімітів виглядає цілком переконливо. На рівні політик і профілю ризиків визначені граничні значення для концентрації портфеля, збитковості, ліквідності, інвестиційних експозицій або операційних показників. Ці обмеження затверджуються правлінням або наглядовою радою, вносяться до звітності, іноді навіть регулярно переглядаються. Формально все виглядає правильно: межі ризику існують, отже компанія нібито контролює рівень ризику, який готова прийняти.

Але на практиці наявність ліміту ще не означає, що він реально впливає на поведінку організації. Дуже часто ліміт існує як елемент документації, а не як інструмент управління. Його бачать у звіті, про нього згадують на комітеті, але сам факт наближення до межі не змінює ані темпу продажів, ані структури портфеля, ані параметрів управлінських рішень. У такій ситуації ліміт виконує радше інформаційну функцію: він фіксує, що ризик зріс, але не запускає реальної реакції.

Особливо добре це видно у страхових компаніях, коли йдеться про концентрацію портфеля. Наприклад, компанія активно розвиває один прибутковий сегмент — скажімо, страхування майна корпоративних клієнтів або певний напрям моторного бізнесу. Продажі зростають, премії збільшуються, бізнес задоволений результатом. Одночасно ризик-менеджмент фіксує, що частка цього сегмента в портфелі поступово наближається до внутрішньо встановленого ліміту концентрації. Формально це важливий сигнал, адже зростає залежність компанії від одного напряму, а отже — і чутливість результату до змін збитковості, великих збитків або ринкових коливань саме в цьому сегменті.

Однак у реальній управлінській практиці в цей момент часто починає діяти інша логіка. Бізнес каже: сегмент прибутковий, ринок сприятливий, навіщо зупиняти те, що працює. Правління може погоджуватися з тим, що концентрація зростає, але водночас не хоче втрачати темп продажів. У підсумку ліміт ніби існує, але не виконує свою ключову функцію — не обмежує небажане накопичення ризику. Він лише показує, що компанія вже підійшла до межі, а іноді й перейшла її, не змінивши поведінки.

Схожа ситуація виникає і з лімітами на збитковість або технічний результат. Уявімо, що компанія встановила для певного сегмента контрольний рівень збитковості, перевищення якого має вважатися сигналом підвищеного ризику. Протягом кількох місяців показник поступово погіршується. Спочатку це пояснюють сезонністю, потім — тимчасовими відхиленнями, далі — необхідністю «ще трохи подивитися на тренд». Формально система спостереження працює: цифри є, відхилення видно. Але якщо ніхто не приймає рішень щодо тарифу, андеррайтингу, умов покриття або перестрахування, ліміт знову залишається лише цифрою у звіті.

У таких випадках проблема полягає не в самому ліміті. Проблема в тому, що між числовою межею і управлінською реакцією немає жорсткого зв’язку. Компанія знає, що показник вийшов у небезпечну зону, але не має заздалегідь визначеної відповіді на запитання: що саме повинно статися далі. Хто зобов’язаний ініціювати перегляд рішення? На якому рівні має відбутися ескалація? Які дії є обов’язковими, а які — можливими? Поки цієї логіки немає, будь-який ліміт ризикує перетворитися на декоративний елемент системи.

Ще одна типова ситуація стосується інвестиційних лімітів. Наприклад, компанія встановлює обмеження на частку певного класу активів або на концентрацію на окремих емітентах. Певний час усе виглядає стабільно, але згодом через зміну ринкової ситуації або перерозподіл портфеля показник починає наближатися до межі. Якщо в організації немає чіткої процедури дій на такому етапі, інвестиційний підрозділ може відкладати реакцію, сподіваючись, що ринок сам «вирівняє» ситуацію. У результаті ліміт знову спрацьовує не як запобіжник, а як ретроспективне підтвердження того, що ризик вже виріс.

Саме тому зріла система ризик-апетиту не може обмежуватися лише встановленням числових меж. Її сила не в тому, що ліміт існує в документі, а в тому, що він вбудований у логіку управлінської реакції. Інакше кажучи, компанія має заздалегідь визначити не лише скільки ризику вона готова прийняти, а й що саме вона робитиме, коли наблизиться до цієї межі. Без цього ліміт залишається пасивним індикатором, а не дієвим інструментом управління.

У практичному сенсі це означає просту, але дуже важливу річ: ліміт повинен не лише вимірювати стан ризику, а й змінювати поведінку організації. Якщо після його спрацювання нічого не змінюється — не коригується продажна політика, не переглядаються параметри продукту, не посилюється андеррайтинг, не ескалюється питання на рівень правління, — тоді проблема не в показнику, а в самій архітектурі системи. Компанія має межі ризику, але не має механізму, який змушує ці межі працювати.

Саме в цій точці й з’являється наступний ключовий елемент — тригери. Вони потрібні для того, щоб перетворити суху числову межу на управлінський сигнал, який запускає конкретну дію. І саме про це — наступний розділ.

Тригери: коли організація повинна реагувати

Якщо ліміти визначають межі допустимого рівня ризику, то тригери визначають момент, коли організація повинна почати реагувати. Саме тригери перетворюють систему ризик-апетиту з набору числових показників на реальний механізм управління. Без них ліміти залишаються лише орієнтирами, які показують, де проходить межа, але не визначають, що має відбутися, коли компанія починає до неї наближатися.

На практиці тригери працюють як сигнали раннього попередження. Вони дозволяють керівництву побачити зростання ризику ще до того, як він перетвориться на проблему. Ідея проста: якщо ліміт означає «далі йти не можна», то тригер означає «час звернути увагу і перевірити, чи рухається компанія в безпечному напрямку».

У багатьох організаціях для цього використовується проста система зон ризику. Наприклад, показник може мати зелену, жовту і червону зони. Зелена означає нормальний стан, жовта сигналізує про наближення до межі, а червона означає перевищення встановленого ліміту. Але ключове питання полягає не в кольорах, а в тому, які саме управлінські дії пов’язані з кожною з цих зон.

Розглянемо типову ситуацію зі збитковістю страхового портфеля. Компанія встановлює допустимий рівень збитковості для певного сегмента. Поки показник перебуває у зеленій зоні, бізнес працює у звичайному режимі. Але коли збитковість починає зростати і переходить у жовту зону, система повинна запускати конкретну реакцію. Наприклад, перегляд тарифів, аналіз якості андеррайтингу або більш детальний моніторинг структури портфеля.

Якщо ж показник переходить у червону зону, реакція повинна бути більш жорсткою. Це може бути обмеження продажів у певному сегменті, зміна умов покриття або навіть тимчасове припинення укладання нових договорів до стабілізації ситуації. У такій моделі тригер не просто сигналізує про проблему, а автоматично переводить дискусію на рівень управлінських рішень.

Схожий підхід застосовується і до інвестиційних ризиків. Наприклад, компанія встановлює ліміт на частку певного класу активів у портфелі. Якщо показник наближається до жовтої зони, інвестиційний комітет може розглянути сценарії ребалансування портфеля або обмежити нові інвестиції у цей клас активів. Якщо ж межу перевищено, система може вимагати обов’язкового перегляду структури портфеля або ескалації питання на рівень правління.

Важливість тригерів особливо добре проявляється під час швидкого зростання бізнесу. Уявімо ситуацію, коли новий продукт або новий канал продажу починає дуже швидко набирати обсяг. З точки зору бізнесу це позитивний сигнал, але з точки зору управління ризиками таке зростання може створювати нові операційні або андеррайтингові ризики. Якщо компанія заздалегідь визначила тригери, пов’язані з темпами зростання або часткою нового сегмента в портфелі, керівництво може вчасно переглянути параметри продукту або посилити контроль якості ризиків.

Ще одна сфера, де тригери відіграють ключову роль, — ліквідність. Страхові компанії повинні мати достатній обсяг ліквідних активів для виконання своїх зобов’язань. Якщо показники ліквідності починають погіршуватися, тригер може вимагати перегляду інвестиційної політики або обмеження нових довгострокових інвестицій. У такій ситуації тригер дозволяє реагувати на зміну ситуації задовго до того, як компанія зіткнеться з реальною проблемою ліквідності.

У результаті тригери виконують дуже важливу функцію. Вони створюють міст між аналітикою і управлінням. Показник ризику перестає бути просто цифрою у звіті і стає сигналом, який запускає конкретну управлінську реакцію. Саме завдяки цьому система ризик-апетиту починає реально впливати на поведінку організації.

Проте для того, щоб тригери працювали ефективно, недостатньо лише визначити їх у документах. Компанія повинна також чітко визначити, хто саме відповідає за реакцію на спрацювання тригера і як відбувається ескалація проблеми. І саме це питання ми розглянемо в наступному розділі.

Хто реагує на тригер: управлінська відповідальність і ескалація

Навіть найкраща система тригерів не працюватиме, якщо в організації не визначено, хто саме повинен реагувати на сигнал ризику. На практиці це одна з найпоширеніших слабких точок системи ризик-апетиту. Компанія може мати добре визначені показники, чітко сформульовані ліміти і навіть формально описані тригери, але якщо після їх спрацювання не відбувається управлінської реакції, система втрачає сенс.

Проблема полягає в тому, що тригер — це лише сигнал. Сам по собі він нічого не змінює. Його завдання — привернути увагу керівництва до зростання ризику і запустити процес прийняття рішення. Саме тому кожен тригер повинен бути пов’язаний із конкретною відповідальністю: хто аналізує ситуацію, хто пропонує варіанти дій і на якому рівні приймається рішення.

Розглянемо типову ситуацію зі збитковістю страхового портфеля. Припустимо, що компанія встановила тригер для певного сегмента: якщо фактична збитковість перевищує певний рівень протягом двох кварталів поспіль, це сигнал для перегляду тарифної політики. У цей момент важливо, щоб система чітко визначила, хто саме повинен діяти. Зазвичай це бізнес-підрозділ, який відповідає за відповідний продукт, але з обов’язковою участю андеррайтингу та функції ризик-менеджменту.

У практиці страхового бізнесу такі ситуації трапляються доволі часто. Наприклад, певний сегмент починає показувати гірші результати, ніж очікувалося. Першою реакцією бізнесу може бути спроба пояснити відхилення тимчасовими факторами: сезонністю, кількома великими збитками або зміною структури клієнтів. У багатьох випадках це справді може бути правдою. Але саме для того і потрібні тригери, щоб організація не ігнорувала систематичні сигнали про зміну ризикового профілю.

Ще один типовий приклад пов’язаний із концентрацією портфеля. Уявімо, що компанія активно розвиває один сегмент страхування, і його частка починає швидко зростати. Коли показник переходить у жовту зону, функція ризик-менеджменту сигналізує про зростання концентрації. У цей момент керівництво може прийняти різні рішення: обмежити продажі, активніше розвивати інші сегменти або залишити ситуацію без змін, якщо концентрація вважається прийнятною.

Саме тут виникає важливий момент. Тригери не повинні автоматично зупиняти бізнес. Їхня роль полягає не в тому, щоб блокувати розвиток, а в тому, щоб змусити організацію усвідомлено обговорити ризик. Іншими словами, тригер переводить проблему з рівня статистики на рівень управлінського рішення.

Третя поширена ситуація виникає у великих проєктах або трансформаційних програмах. Наприклад, компанія реалізує масштабний ІТ-проєкт, який має значний бюджет і складний графік впровадження. Якщо проєкт починає відставати від графіка або перевищувати бюджет, система тригерів може вимагати обов’язкового перегляду плану реалізації. У такому випадку питання часто ескалується на рівень правління або наглядової ради, оскільки ризик уже виходить за межі операційного управління.

У добре побудованій системі управління ризиками такі ситуації мають чітко визначений механізм ескалації. Якщо показник переходить у жовту зону, питання розглядається на рівні відповідного підрозділу або комітету. Якщо ж показник переходить у червону зону або перевищує встановлений ліміт, рішення повинно прийматися на більш високому рівні управління.

Саме така структура дозволяє організації реагувати на зростання ризику поступово, не чекаючи, поки проблема стане критичною. Керівництво отримує можливість коригувати рішення на ранніх етапах, коли зміни ще не потребують радикальних заходів.

У результаті тригери виконують дуже важливу функцію: вони роблять систему управління ризиками динамічною. Ризик більше не сприймається як статичний показник у звіті. Натомість він стає частиною управлінського процесу, який постійно реагує на зміну ситуації.

Що це означає для побудови системи ризик-апетиту

Розглянуті приклади показують, що система ризик-апетиту починає реально працювати лише тоді, коли вона поєднує три елементи: ліміти, тригери та управлінську відповідальність. Якщо хоча б один із цих елементів відсутній, система легко перетворюється на формальну конструкцію, яка існує у документах, але мало впливає на поведінку організації.

Ліміти визначають межі допустимого рівня ризику. Вони дають керівництву орієнтир, який допомагає зрозуміти, де проходить межа між прийнятним і небажаним рівнем невизначеності. Проте сам по собі ліміт не змінює управлінські рішення. Він лише показує, що певний показник наближається до встановленої межі або вже її перевищив.

Тригери виконують іншу функцію. Вони дозволяють реагувати на зміну ситуації раніше, ніж ризик досягне критичного рівня. Саме завдяки тригерам система управління ризиками переходить від пасивного спостереження до активного управління. Коли показник переходить у жовту зону, організація отримує сигнал для аналізу ситуації та можливого коригування рішень.

Третім важливим елементом є управлінська відповідальність. Кожен тригер повинен бути пов’язаний із конкретною управлінською реакцією: хто аналізує ситуацію, хто пропонує варіанти дій і на якому рівні приймається рішення. Саме ця логіка робить систему ризик-апетиту частиною управлінської архітектури компанії, а не лише елементом звітності.

Коли ці три елементи працюють разом, організація отримує можливість реагувати на зміну ризикового профілю поступово і своєчасно. Керівництво не чекає, поки показник перевищить ліміт і проблема стане очевидною. Натомість компанія отримує сигнали на ранніх етапах і може коригувати свої рішення ще до того, як ризик почне впливати на фінансовий результат.

Висновок

У зрілій системі управління ризиками ліміти і тригери не є просто інструментами контролю. Вони формують механізм, який допомагає організації підтримувати баланс між розвитком бізнесу і фінансовою стійкістю.

Коли така система працює правильно, керівництво отримує не лише інформацію про поточний стан ризиків, а й сигнали про те, як змінюється ризиковий профіль компанії. Саме ці сигнали дозволяють своєчасно коригувати управлінські рішення і уникати ситуацій, коли проблеми стають очевидними лише після того, як вони вже вплинули на результати діяльності.

У цьому сенсі система лімітів і тригерів є важливою частиною архітектури управління. Вона з’єднує стратегічні рішення, бюджетні припущення і операційну діяльність із фактичним рівнем ризику, який бере на себе компанія.

Проте навіть добре побудована система лімітів і тригерів потребує ще одного елементу — надійних індикаторів, які дозволяють своєчасно виявляти зміни у ризиковому профілі організації.

Саме тому наступна стаття цього циклу буде присвячена тому, як обрати невелику кількість ключових індикаторів ризику (KRI), які справді сигналізують про проблеми, а не створюють ілюзію контролю.

Сергій БАБИЧ