Цикл: Практика ризик-менеджменту

У попередніх матеріалах циклу ми говорили про те, як ризик-менеджмент починає реально впливати на рішення. Не як набір інструментів чи звітів, а як механізм, який визначає межі: що компанія готова робити, а що — ні. Ми розглядали, як результати оцінки ризиків трансформуються в обмеження, як ці обмеження “вбудовуються” в бізнес-процеси, і чому без цього вся система перетворюється на формальність. Фактично, мова йшла про перехід від RM1 (інструменти) до RM2 (вплив на рішення), де ключовим результатом є не звіт, а зміна управлінської поведінки.

Але є один момент, без якого вся ця логіка просто не працює. І він зазвичай не виглядає проблемою доти, доки система не стикається з реальним рішенням. Це не питання методології, не питання якості оцінки ризиків і навіть не питання культури в широкому сенсі. Це значно простіше і водночас значно критичніше: хто саме приймає рішення щодо ризику.

На рівні документів відповідь зазвичай є. У класичній моделі трьох ліній  захисту (Three Lines of Defence model) перша лінія — це бізнес-підрозділи як власники ризиків, друга — функція ризик-менеджменту, яка координує та контролює, третя — внутрішній аудит. У цій конструкції відповідальність виглядає очевидною: ризик “належить” бізнесу, а всі інші функції працюють навколо нього, забезпечуючи якість управління. Саме це припущення — наявність власника ризику — і є точкою, на якій тримається вся модель.

Але на практиці досить часто виникає інша ситуація. Система формально впроваджена: є реєстр ризиків, є оцінки, є звітність, є навіть регулярні обговорення. Функція ризик-менеджменту працює, збирає дані, готує аналітику, формує висновки. Проте в момент, коли потрібно прийняти рішення — наприклад, погодитися на певний рівень ризику, обмежити діяльність або змінити підхід — виявляється, що немає того, хто має мандат і відповідальність це рішення прийняти.

У такій конфігурації ризик-менеджмент починає існувати сам по собі, окремо від управління. Ризики описуються, але не трансформуються в дії. Аналітика створюється, але не має адресата, який зобов’язаний на неї реагувати. Рішення або відкладаються, або приймаються поза рамками системи, часто інтуїтивно або під впливом поточних бізнес-пріоритетів. І це не питання якості роботи другої лінії — це наслідок відсутності першої як повноцінного елементу системи.

У результаті функція ризик-менеджменту опиняється у складній позиції. Вона або починає фактично підміняти бізнес, намагаючись “продавити” рішення, які вважає правильними, або залишається в ролі спостерігача, який фіксує ризики, але не впливає на них. Обидва варіанти виглядають робочими лише на короткій дистанції. У першому випадку бізнес поступово втрачає відчуття відповідальності за ризики, у другому — сама функція ризик-менеджменту втрачає сенс з точки зору впливу.

Саме тому кейс компанії, яка впровадила систему управління ризиками без визначених власників ризиків, є не просто прикладом “неідеальної практики”. Це можливість побачити, що саме відбувається з системою, коли з неї випадає один із базових елементів. Не на рівні теорії, а на рівні конкретних управлінських наслідків.

У цій статті я пропоную розібрати цей кейс як практичну ситуацію: що саме “ламається” в моделі, як це проявляється в рішеннях і чому це створює ілюзію працюючої системи при фактичній відсутності управління ризиками. І головне — що з цим робити, якщо компанія вже опинилася в такій точці. Бо ключове питання тут звучить значно жорсткіше, ніж здається на перший погляд: чи існує управління ризиком, якщо немає того, хто готовий цей ризик прийняти.

Що саме ламається в моделі трьох ліній, коли немає власника ризику

На рівні опису модель трьох ліній захисту виглядає простою і логічною. Перша лінія приймає ризики і відповідає за них, друга — допомагає і контролює, третя — незалежно оцінює ефективність системи. Але ця логіка починає “тріщати” не в документах, а в конкретних рішеннях — там, де має з’являтися відповідальність за ризик.

Найпростіший приклад — бюджетування. Компанія формує план зростання премій, закладає цільові показники, погоджує їх на рівні правління. Паралельно функція ризик-менеджменту показує: за поточних тарифів і динаміки збитковості таке зростання означає збільшення ризику недостатності премій. У нормальній конфігурації це питання адресоване конкретному бізнес-власнику: чи готовий він прийняти цей ризик, змінити тариф або переглянути план. Але якщо власника немає, ситуація зависає. Бюджет затверджується як бізнес-документ, а ризик залишається як “інформація до відома”.

Схожа ситуація виникає у продуктових рішеннях. Наприклад, запускається новий страховий продукт або змінюються умови існуючого — розширюється покриття, зменшується франшиза, додаються нові опції для клієнтів. Ризик-менеджмент може показати: це підвищує частоту або середній розмір збитку. Але якщо немає конкретного власника ризику продукту, який має сказати “так, ми беремо цей ризик, бо очікуємо таку-то маржу” або “ні, ми змінюємо параметри”, рішення фактично приймається без прив’язки до ризику. Воно виглядає як маркетингове або конкурентне, але не як ризик-орієнтоване.

Ще більш показовий приклад — андеррайтинг. У складних або нетипових ризиках завжди є зона професійного судження: прийняти ризик, відмовити або змінити умови. Якщо є чіткий власник — наприклад, керівник напрямку, — він розуміє, що кожне таке рішення впливає на портфель і несе персональну відповідальність. Якщо ж власник ризику розмитий, андеррайтинг починає працювати за принципом “аби не втратити клієнта”. Ризик накопичується не через одну помилку, а через десятки дрібних рішень, за які ніхто не відповідає як за систему.

Окрема історія — закупівлі та взаємодія з підрядниками. Припустимо, компанія обирає ІТ-рішення або зовнішнього провайдера. Є очевидні ризики: залежність від постачальника, кіберризики, операційна стійкість. Ризик-менеджмент їх описує, можливо, навіть оцінює. Але хто приймає рішення: “ми готові працювати з цим провайдером на таких умовах”? Якщо такого власника немає, рішення зводиться до критерію ціни або швидкості впровадження, а ризик залишається поза процесом вибору.

У всіх цих прикладах є спільна риса: рішення не зупиняється через відсутність аналізу ризику. Воно зупиняється через відсутність того, хто має цей ризик “підписати”. У результаті ризик-менеджмент виробляє якісну аналітику, але вона не інтегрується в точку прийняття рішення.

Це змінює і поведінку другої лінії. Замість того щоб бути “архітектором” системи і партнером для бізнесу, вона починає або тиснути — намагаючись вплинути на рішення без формального мандату, — або дистанціюватися, обмежуючись формулюванням застережень у звітах. У першому випадку виникає конфлікт із бізнесом (“ризик-менеджмент заважає працювати”), у другому — втрачається сама ідея впливу (“ризик-менеджмент просто фіксує проблеми”).

Для третьої лінії це створює ще складнішу ситуацію. Внутрішній аудит може перевірити, що реєстр ризиків ведеться, оцінки проводяться, звіти формуються. Але він не може підтвердити, що ризики реально управляються, якщо немає чітко визначеного носія відповідальності. У результаті виникає класична ілюзія: система виглядає зрілою з точки зору процесів, але не працює з точки зору результату.

І тут проявляється ключова проблема: відсутність власника ризику не зупиняє бізнес. Компанія продовжує продавати, запускати продукти, укладати договори, інвестувати в системи. Але всі ці рішення приймаються без явного усвідомлення того, хто і в яких межах готовий приймати пов’язаний із ними ризик.

Саме тому така конфігурація є небезпечнішою, ніж повна відсутність ризик-менеджменту. У другому випадку компанія хоча б розуміє, що працює “на інтуїції”. У першому — вона має відчуття контрольованості, яке не підкріплене реальною відповідальністю.

Чому бізнесу зручно жити без власник ризику — і чому це пастка

Якщо подивитися на ситуацію чесно, відсутність власників ризиків рідко є випадковістю. Це не просто “не допрацювали” або “не встигли визначити”. У багатьох компаніях така модель формується природно, тому що вона… зручна.

Перший рівень цієї зручності — розмиття відповідальності. Коли ризик ні за ким не закріплений, будь-яке рішення можна пояснити обставинами: ринок змінився, клієнт наполіг, конкуренти тиснуть, регулятор створює невизначеність. У такій логіці немає точки, де потрібно сказати: “це наше усвідомлене рішення прийняти цей ризик”. Є процес, є результат, але немає суб’єкта відповідальності.

Це особливо добре видно в ситуаціях, коли щось іде не так. Наприклад, виникає суттєве перевищення планових показників збитковості або операційний збій, який призводить до втрат. Якщо власник ризику відсутній, розбір ситуації швидко перетворюється на аналіз факторів: що вплинуло, які були передумови, чому це було складно передбачити. Але практично ніколи не виникає питання: хто прийняв рішення, яке призвело до цього ризику, і на яких умовах.

Другий рівень — можливість рухатися швидше. Відсутність чітко визначеного власника ризику прибирає необхідність узгоджень. Не потрібно формалізувати позицію щодо ризику, не потрібно співвідносити рішення з ризик-апетитом, не потрібно брати на себе зобов’язання пояснювати цей вибір. У короткостроковій перспективі це дає відчуття гнучкості: рішення приймаються швидше, процеси виглядають менш обтяженими.

Але ця “швидкість” має свою ціну. Рішення стають фрагментованими, не пов’язаними між собою. Кожен крок виглядає логічним у моменті, але в сукупності вони формують профіль ризику, який ніхто не планував і не оцінював як цілісність. І саме тут відсутність власник ризику починає працювати проти бізнесу.

Третій аспект — психологічний комфорт. Прийняття ризику — це завжди про невизначеність і потенційні втрати. Коли є конкретний власник, це означає, що є і персональна відповідальність за можливі наслідки. Коли власник ризику розмитий, цей тиск зникає. Ризик ніби “належить системі”, а не конкретній людині чи функції.

Це добре проявляється в дискусіях на рівні менеджменту. Поки мова йде про опис ризиків, всі активно залучені: обговорюють, уточнюють, доповнюють. Але коли питання переходить у площину “хто приймає цей ризик і в яких межах”, розмова часто втрачає чіткість. Формулювання стають обережними, рішення — розмитими, відповідальність — колективною, а отже фактично відсутньою.

Ще один прояв — використання ризик-менеджменту як “страховки” для рішень. Коли власник ризику немає, аналітика другої лінії може використовуватися вибірково: якщо вона підтверджує бажане рішення — на неї посилаються, якщо ні — її ігнорують або відсувають. У такій моделі ризик-менеджмент стає не інструментом управління, а елементом аргументації, який підключається за потреби.

У підсумку формується досить стабільна, але хибна рівновага. Бізнес рухається, рішення приймаються, ризик-менеджмент існує, звітність формується. На перший погляд система працює. Але в ній відсутній ключовий елемент — зв’язок між ризиком і відповідальністю за його прийняття.

І саме тому це пастка. Вона не створює проблем одразу. Навпаки, певний час усе може виглядати навіть ефективніше, ніж у більш “жорсткій” моделі з чітким власник ризику. Але коли середовище змінюється — різко, як це часто буває в нашій реальності — виявляється, що компанія не має механізму, який дозволяє швидко і усвідомлено переглянути свої ризикові рішення. Бо для цього потрібен не лише аналіз. Потрібен той, хто готовий цей ризик або прийняти, або відхилити.

Як зрозуміти, що власник ризику у вас відсутній (навіть якщо формально він є)

Найскладніше в цій темі — те, що відсутність власника ризику рідко виглядає як очевидна проблема. У документах усе зазвичай оформлено правильно: ризики розподілені, відповідальні визначені, структура виглядає логічно. Але між формальним призначенням і реальною відповідальністю часто існує розрив, який і визначає, чи працює система на практиці.

Перший сигнал — це характер обговорення ризиків. Якщо під час нарад або робочих зустрічей ризики обговорюються як “загальна проблема”, без чіткого переходу до рішення і без фіксації, хто саме має це рішення прийняти, — це вже ознака відсутності реального власника. Розмова може бути глибокою, аналітика — якісною, але вона не завершується управлінською дією.

Другий сигнал — реакція на відхилення. Коли показники виходять за межі встановлених орієнтирів, у системі з працюючим власник ризику одразу виникає питання: хто має відреагувати і що саме буде зроблено. Якщо ж відхилення фіксується, обговорюється, але не призводить до конкретних дій або відповідальність розмивається між кількома функціями, це означає, що ризик формально існує, але не “належить” нікому.

Третій момент — це якість самих рішень. У системі без власник ризику рішення часто виглядають як компроміс між різними інтересами, але без чіткої логіки щодо ризику. Наприклад, можуть одночасно прийматися кроки, які збільшують ризик, і заходи, які намагаються його знизити, але без єдиного бачення, який рівень ризику є прийнятним. Це не помилка окремих рішень, а наслідок відсутності точки, де формується узгоджена позиція.

Окремий індикатор — поведінка менеджменту в момент, коли потрібно прийняти непопулярне рішення. Наприклад, обмежити продажі, відмовитися від частини клієнтів або змінити умови продукту. Якщо такі рішення системно відкладаються або “розчиняються” в обговореннях, це означає, що немає того, хто готовий взяти на себе відповідальність за ризик і його наслідки.

Ще один практичний сигнал — це роль функції ризик-менеджменту в комунікації. Якщо вона змушена постійно “нагадувати” про ризики, повертати дискусію до одних і тих самих питань або фактично просувати рішення замість бізнесу, це означає, що перша лінія не виконує свою функцію. У працюючій системі ризик-менеджмент не є ініціатором дій — він є їх каталізатором, але не замінює власника рішення.

Важливо також звернути увагу на те, як фіксуються рішення. Якщо після обговорення ризику немає чіткого запису: яке рішення прийнято, хто його прийняв і в яких межах він готовий працювати з цим ризиком, — це означає, що відповідальність не закріплена. У такій ситуації будь-яке рішення в майбутньому легко переглядається або інтерпретується інакше, що ще більше підсилює розмитість власник ризику.

І нарешті, найпростіший, але дуже показовий тест: спробувати прямо відповісти на питання “хто приймає цей ризик?”. Якщо відповідь звучить як “ми”, “компанія”, “бізнес в цілому” або включає кілька підрозділів одночасно, це майже завжди означає, що реального власника немає. У працюючій системі відповідь завжди персоніфікована, навіть якщо рішення погоджується колегіально.

У підсумку всі ці ознаки зводяться до одного: ризик може бути описаний, оцінений і навіть регулярно обговорюваний, але без чітко визначеного власника він не переходить у площину управління. І саме це відрізняє формально впроваджену систему від тієї, що реально працює.

Що з цим робити: як повернути власника ризику в систему

Коли компанія вже опинилася в ситуації, де ризики формально описані, але фактично “нічийні”, найгірше, що можна зробити — це обмежитися формальним призначенням відповідальних. Записати в документі, що “за ризик Х відповідає підрозділ Y”, — недостатньо. Це створює видимість вирішення проблеми, але не змінює поведінку і не повертає ризик у площину управління.

Починати доводиться з іншого — з прив’язки ризику до конкретних управлінських рішень. Кожен значущий ризик має бути “вшитий” у процес, де він реально виникає: бюджетування, продуктова політика, андеррайтинг, закупівлі, інвестиційні рішення. І саме в цих точках має з’являтися власник ризику — не як абстрактна роль, а як той, хто приймає рішення і несе за нього відповідальність.

Практично це означає дуже просту, але часто неприємну річ: у кожному ключовому рішенні має бути зафіксовано, хто погодився працювати з відповідним рівнем ризику. Наприклад, не просто “бюджет затверджено”, а “такий-то керівник прийняв рішення працювати з таким рівнем ризику збитковості”. Це змінює логіку обговорення — з колективного “давайте подумаємо” на персональне “я готовий взяти це на себе”.

Другий крок — це зв’язка з обмеженнями. Власник ризику з’являється не там, де є опис ризику, а там, де є межі. Якщо компанія визначає, який рівень ризику є прийнятним, ці межі мають бути прив’язані до конкретних рішень і конкретних людей. Інакше вони залишаються декларацією. У працюючій системі перевищення меж — це не просто сигнал, а тригер для дії конкретного власника.

Третій елемент — фіксація рішень і їх наслідків. Власник ризику з’являється тоді, коли можна простежити зв’язок: рішення → прийнятий ризик → результат. Якщо цього зв’язку немає, відповідальність неминуче розмивається. Саме тому важливо не лише приймати рішення, а й повертатися до них: що ми вирішили, який ризик прийняли і до чого це призвело.

Окремо варто сказати про роль функції ризик-менеджменту в цьому процесі. Її завдання — не стати “власником замість бізнесу”, а змусити систему працювати так, щоб власник ризику був неминучим. Через постановку питань, через структуру обговорень, через вимогу фіксації рішень. Це менш помітна, але значно складніша роль, ніж просто підготовка аналітики.

При цьому варто бути готовим до опору. Поява власника ризику означає появу персональної відповідальності, а це завжди дискомфортно. Частина менеджменту буде намагатися зберегти статус-кво: залишити рішення колективними, формулювання — розмитими, відповідальність — спільною. І тут важливо не “продавити” зміни, а послідовно змінювати практику — від конкретних рішень до загальної логіки управління.

Ще один важливий момент — не намагатися охопити все одразу. Немає потреби призначати власників для кожного ризику в реєстрі. Значно ефективніше почати з ключових ризиків, які реально впливають на бізнес, і відпрацювати механіку на них. Коли система починає працювати в цих точках, її легше масштабувати.

У підсумку повернення власника ризику — це не про зміну документів, а про зміну поведінки. Це перехід від ситуації, де ризик “існує поруч із рішенням”, до ситуації, де він є невід’ємною частиною самого рішення. І саме в цій точці ризик-менеджмент перестає бути функцією підтримки і стає частиною управління.

Висновок

Кейс системи без власників ризику добре показує одну просту, але принципову річ: наявність ризик-менеджменту ще не означає наявність управління ризиками. Можна мати реєстри, оцінки, звіти і навіть регулярні обговорення — але без того, хто приймає ризик, усе це залишається на рівні опису.

Це підводить до наступного логічного питання, яке варто розглянути окремо: якщо власник ризику є, виникає наступне питання – «як саме він приймає рішення — і на що спирається?». І саме там починається ще складніша, але й цікавіша частина практики ризик-менеджменту.

Сергій БАБИЧ