Цикл «Ризик-менеджмент та андеррайтинг»

Останніми роками ризик-менеджмент дедалі частіше обговорюють через призму методологій, моделей оцінки ризиків, сценарного аналізу, ризик-апетиту, систем внутрішнього контролю або регуляторних вимог. Усе це безумовно важливо. Проте в реальній роботі страхової компанії цінність ризик-менеджменту визначається не кількістю документів чи звітів, а його здатністю впливати на щоденні бізнес-рішення. Саме тому в цьому циклі статей я планую подивитися на ризик-менеджмент не як на окрему функцію або набір інструментів, а як на невід’ємну частину ключових процесів страховика. Ми поговоримо про те, як управління ризиками реалізується в андеррайтингу, врегулюванні збитків, перестрахуванні, продажах, інформаційних технологіях та інших напрямах діяльності страхової компанії. Адже ризик-менеджмент існує не лише у звітах CRO чи профілі ризиків. Насправді він проявляється у тисячах управлінських рішень, які щодня приймаються в різних підрозділах страховика.

Якщо попросити працівників страхової компанії показати, де саме знаходиться ризик-менеджмент, більшість, ймовірно, вкаже на підрозділ управління ризиками. Проте в реальності ризик-менеджмент не обмежується роботою функції управління ризиками. Він реалізується через конкретні бізнес-процеси та конкретних власників ризиків. У кожному процесі можуть бути присутні десятки різних ризиків — операційні, комплаєнс, регуляторні, репутаційні або технологічні. Проте зазвичай один або кілька ризиків є ключовими для досягнення цілей конкретного процесу. Саме через управління такими ризиками найкраще видно, як ризик-менеджмент працює на практиці. Тому в межах цього циклу нас цікавитимуть не стільки загальні принципи управління ризиками, скільки їхня реалізація в реальних бізнес-процесах страхової компанії.

Андеррайтинг є логічною відправною точкою для такої розмови. Саме тут страховик приймає своє головне бізнес-рішення — які ризики він готовий включити до страхового портфеля, а від яких вирішує відмовитися. Безумовно, процес андеррайтингу пов’язаний не лише з андеррайтинговим ризиком. Тут присутні й операційні ризики, і комплаєнс-ризики, і навіть репутаційні ризики. Проте саме андеррайтинговий ризик є ключовим ризиком цього процесу. Саме тому андеррайтер виступає його власником і саме через його рішення значною мірою формується майбутня якість страхового портфеля. Щоб зрозуміти, як ризик-менеджмент реалізується в роботі страховика, варто почати саме з процесу, у якому ризик уперше перетворюється на конкретне управлінське рішення.

Як рішення щодо одного клієнта перетворюються на андеррайтинговий ризик страховика

Однією з особливостей страхового бізнесу є те, що андеррайтинговий ризик страховика майже ніколи не виникає миттєво. На відміну від операційного інциденту, кібератаки або порушення регуляторних вимог, які можуть відбутися в конкретний момент часу, андеррайтинговий ризик накопичується поступово. Кожне окреме рішення андеррайтера зазвичай виглядає незначним у масштабах усієї компанії. Один договір страхування майна, один поліс відповідальності, один ризик великого виробничого підприємства навряд чи здатні самостійно вплинути на фінансову стійкість страховика. Проте саме з таких рішень формується страховий портфель. Через певний час десятки, сотні або тисячі окремих рішень починають працювати як єдина система. Саме тоді якість андеррайтингу перетворюється на якість страхового портфеля, а якість страхового портфеля — на фінансовий результат компанії.

Цей взаємозв’язок особливо добре видно на прикладі страхування майна від природних катастроф. Протягом багатьох років значна частина страховиків у США активно страхувала житлову нерухомість у Каліфорнії. З погляду окремого договору більшість таких ризиків виглядали цілком прийнятними. Будинки відповідали будівельним нормам, клієнти були платоспроможними, а історична статистика не демонструвала критичних відхилень. Проте поступово кліматичні умови почали змінюватися. Періоди посухи ставали довшими, площі лісових пожеж збільшувалися, а забудова наближалася до небезпечних природних зон. Жоден окремий договір не виглядав катастрофічним. Але сукупність тисяч таких рішень призвела до того, що деякі страховики були змушені переглядати свою присутність на ринку або суттєво змінювати підходи до андеррайтингу. Цей кейс добре показує, що андеррайтинговий ризик страховика формується не в момент пожежі. Він формується протягом багатьох років через накопичення окремих рішень щодо прийняття ризиків.

Ще більш показовою є ситуація з кіберстрахуванням. На початку розвитку цього сегмента більшість ризиків здавалися відносно незалежними один від одного. Якщо андеррайтер оцінював окрему компанію, він аналізував її системи захисту, процедури резервного копіювання, політики інформаційної безпеки та інші фактори. Проблема полягала в тому, що майже всі учасники ринку дивилися переважно на окремого клієнта. Значно менше уваги приділялося тому, що сотні різних компаній можуть використовувати однакове програмне забезпечення, однакових постачальників хмарних сервісів або однакові технологічні платформи. У результаті страховики почали накопичувати концентрації ризику, яких не бачили на рівні окремого договору. Коли кількість масштабних атак із застосуванням програм-вимагачів різко зросла, багато учасників ринку зрозуміли, що проблема полягає не в якості окремих клієнтів. Проблема полягала в сукупному впливі великої кількості андеррайтингових рішень, які здавалися правильними в момент їх прийняття.

Подібна логіка працює навіть у значно менш екзотичних видах страхування. Уявімо страховика, який активно працює зі складською нерухомістю. Кожен окремий об’єкт відповідає вимогам компанії, має сучасні системи пожежогасіння та позитивну історію експлуатації. З погляду андеррайтингу кожне рішення виглядає обґрунтованим. Проте через декілька років може виявитися, що значна частина портфеля зосереджена в одному регіоні, залежить від однієї транспортної інфраструктури або знаходиться в зоні впливу однакових природних ризиків. Жоден андеррайтер свідомо не створював таку концентрацію. Вона виникла поступово як результат великої кількості правильних на перший погляд рішень. Саме тому сучасний андеррайтинг дедалі менше обмежується оцінкою окремого ризику і дедалі більше враховує вплив цього ризику на весь страховий портфель.

Для ризик-менеджера цей механізм має принципове значення. Якщо андеррайтинговий ризик формується через сукупність окремих рішень, то управління ним не може обмежуватися лише контролем збитковості або аналізом фінансових результатів. Необхідно розуміти, які саме рішення приймаються в процесі андеррайтингу, які припущення лежать в їх основі та як вони можуть вплинути на структуру портфеля в майбутньому. Саме тому в багатьох міжнародних страхових групах ризик-менеджери дедалі активніше взаємодіють з андеррайтинговими підрозділами не після виникнення проблеми, а під час формування підходів до прийняття ризиків. Фактично вони намагаються зрозуміти майбутній профіль андеррайтингового ризику компанії ще до того, як він проявиться у звітності.

З практичної точки зору це приводить до дуже важливого висновку. Для андеррайтера кожен новий клієнт є окремим ризиком. Для ризик-менеджера цей самий клієнт є частиною майбутнього профілю ризиків страховика. Саме тому ефективне управління андеррайтинговим ризиком починається не тоді, коли компанія аналізує збитки або переглядає результати діяльності. Воно починається в момент прийняття рішення щодо конкретного ризику. І чим краще страховик розуміє цей зв’язок між окремим договором та майбутнім станом портфеля, тим вищими є його шанси уникнути ситуації, коли якісний на перший погляд бізнес поступово перетворюється на джерело серйозних проблем.

Андеррайтер як власник андеррайтингового ризику

У багатьох компаніях поняття власника ризику досі сприймається як елемент методології або вимога внутрішніх документів. На практиці все значно простіше. Власником ризику є людина або підрозділ, який щодня приймає рішення, що впливають на рівень цього ризику. Саме тому одним із найкращих прикладів власника ризику в страховій компанії є андеррайтер. Він не лише працює з андеррайтинговим ризиком, а й безпосередньо впливає на його рівень кожним своїм рішенням. Якщо андеррайтер погоджується застрахувати об’єкт із підвищеною пожежною небезпекою, змінює умови договору, погоджує винятки з внутрішніх правил або приймає рішення щодо нового сегмента бізнесу, він фактично змінює профіль андеррайтингового ризику страховика. У цьому полягає одна з ключових відмінностей між власником ризику та функцією управління ризиками. Перший управляє ризиком через бізнес-рішення. Друга створює умови для того, щоб таке управління було системним та контрольованим.

Цікаво, що якщо уважно подивитися на щоденну роботу андеррайтера, у ній можна побачити практично всі класичні елементи процесу управління ризиками. Спочатку відбувається ідентифікація ризику. Андеррайтер намагається зрозуміти, з яким саме ризиком має справу, які фактори можуть вплинути на майбутню збитковість і які характеристики ризику є найбільш важливими. Далі йде оцінка ризику. Аналізуються можливі сценарії збитків, якість систем контролю, історія страхування, фінансовий стан клієнта та багато інших параметрів. Після цього визначаються заходи впливу на ризик. Це можуть бути спеціальні умови договору, франшизи, ліміти відповідальності, вимоги до систем безпеки або перестрахувальний захист. І лише після цього приймається остаточне рішення щодо рівня ризику, який компанія готова взяти на себе. Якщо прибрати професійну термінологію, це практично класичний цикл управління ризиками.

Особливо добре роль андеррайтера як власника ризику видно у великих корпоративних ризиках. Наприклад, коли страховик розглядає можливість страхування великого виробничого комплексу, рішення рідко обмежується відповіддю «так» або «ні». Набагато частіше андеррайтер починає шукати способи змінити профіль ризику до того, як він потрапить у портфель компанії. Він може вимагати модернізації систем пожежогасіння, встановлення додаткових систем контролю, перегляду процедур технічного обслуговування або впровадження нових заходів безпеки. У результаті ризик, який спочатку був неприйнятним для страховика, може стати прийнятним після реалізації певних змін. Фактично андеррайтер не просто оцінює ризик. Він активно впливає на нього, що є однією з головних ознак власника ризику.

Подібний підхід дедалі частіше використовується й у кіберстрахуванні. Якщо десять років тому багато страховиків обмежувалися збором базової інформації про стан інформаційної безпеки клієнта, то сьогодні ситуація виглядає зовсім інакше. Наявність багатофакторної автентифікації, резервного копіювання, систем виявлення атак або планів реагування на кіберінциденти часто стає обов’язковою умовою страхування. У деяких випадках страховики навіть відмовляються від укладання договору до моменту усунення критичних вразливостей. З точки зору ризик-менеджменту це дуже показова ситуація. Андеррайтер не просто оцінює ризик клієнта. Він використовує власні повноваження для зміни цього ризику до прийнятного рівня.

Саме тут стає особливо помітною роль функції управління ризиками як другої лінії захисту. Ризик-менеджер зазвичай не бере участі в оцінці кожного окремого клієнта. Його завдання полягає в іншому. Він аналізує накопичення ризиків у портфелі, оцінює відповідність андеррайтингової практики ризик-апетиту компанії, контролює концентрації та допомагає керівництву зрозуміти довгострокові наслідки поточних рішень. Іншими словами, андеррайтер відповідає за якість окремих рішень, а ризик-менеджер — за якість системи прийняття таких рішень. Ці ролі не дублюють одна одну. Навпаки, вони доповнюють одна одну і створюють основу для ефективного управління андеррайтинговим ризиком.

Практика показує, що проблеми найчастіше виникають саме тоді, коли межі відповідальності між цими функціями починають розмиватися. Якщо андеррайтер сприймає управління ризиками як завдання CRO, він поступово втрачає відчуття власної відповідальності за якість портфеля. Якщо ж ризик-менеджер намагається фактично замінити андеррайтинг і брати участь у прийнятті кожного рішення, система починає втрачати ефективність та швидкість. Саме тому сучасні підходи до управління ризиками дедалі більше акцентують увагу на ролі власників ризиків. Найкращі системи управління ризиками працюють не тоді, коли всі рішення приймає підрозділ ризик-менеджменту, а тоді, коли власники ризиків усвідомлюють свою відповідальність та отримують необхідну підтримку від другої лінії захисту.

Для страхового ринку це має особливе значення. Андеррайтинговий ризик є одним із небагатьох ризиків, який компанія приймає свідомо як основу своєї бізнес-моделі. Саме тому якість управління цим ризиком значною мірою визначає успішність страховика в цілому. І якщо ризик-менеджмент є невід’ємною частиною будь-якого бізнес-процесу, то в андеррайтингу його присутність проявляється особливо яскраво. Тут власник ризику не просто контролює ризик. Він щодня приймає рішення, які формують майбутнє страхового портфеля компанії.

Коли власник ризику говорить «ні», а бізнес запитує «чому?»

Однією з найпоширеніших помилок під час обговорення ризик-менеджменту є уявлення, що конфлікт між бізнесом та ризиками виникає виключно через надмірну обережність власників ризиків або підрозділу управління ризиками. Насправді ситуація значно складніша. У більшості випадків обидві сторони прагнуть досягти однієї й тієї самої мети — забезпечити успішний розвиток компанії. Різниця полягає в горизонті прийняття рішень. Бізнес зазвичай концентрується на поточних результатах, обсягах продажів, виконанні планів та розвитку клієнтської бази. Власник ризику змушений дивитися далі. Його завдання полягає не лише в тому, щоб допомогти компанії заробити сьогодні, а й у тому, щоб переконатися, що сьогоднішні рішення не створять неприйнятних проблем через декілька років. Саме тому в певний момент майже кожен власник ризику стикається з необхідністю сказати «ні» там, де бізнес очікує позитивної відповіді.

В андеррайтингу такі ситуації виникають регулярно. Уявімо великого корпоративного клієнта, який приносить значний обсяг премії та має стратегічне значення для страховика. З точки зору продажів це бажаний клієнт, якого необхідно утримати за будь-яку ціну. Проте під час аналізу ризику виявляється, що частина виробничих процесів не відповідає вимогам страховика, системи пожежного захисту потребують модернізації, а результати останнього інженерного огляду містять серйозні зауваження. У цей момент андеррайтер опиняється перед вибором. Він може погодитися з аргументами бізнесу та прийняти ризик у поточному стані або ж наполягати на усуненні недоліків. У короткостроковій перспективі другий варіант майже завжди виглядає менш привабливим. Проте саме він відповідає ролі власника андеррайтингового ризику.

Цікаво, що подібні ситуації регулярно виникали під час розвитку ринку кіберстрахування. Багато компаній прагнули отримати страховий захист, не інвестуючи достатньо коштів у власну інформаційну безпеку. Для продавця така ситуація виглядає відносно просто: є клієнт, є потреба у страховому покритті, є потенційна премія. Для андеррайтера картина виглядає інакше. Відсутність багатофакторної автентифікації, резервного копіювання або базових процедур реагування на інциденти означає, що страховик фактично бере на себе ризик, який клієнт не бажає контролювати самостійно. Саме тому багато міжнародних страховиків протягом останніх років істотно посилили свої вимоги до страхувальників. Для частини клієнтів це виглядало як створення додаткових бар’єрів. Насправді ж це був приклад того, як власник ризику виконує свою основну функцію — захищає довгострокові інтереси компанії.

Не менш показовими є приклади з майнового страхування. Після серії масштабних природних катастроф у різних країнах світу багато страховиків почали переглядати свою присутність у регіонах із підвищеним ризиком повеней, лісових пожеж або штормів. Такі рішення майже завжди супроводжувалися внутрішніми дискусіями. З точки зору бізнесу відмова від роботи в певному сегменті означає втрату частини ринку та потенційних доходів. З точки зору власника ризику ситуація виглядає інакше. Якщо ризик більше не відповідає ризик-апетиту компанії або його неможливо адекватно оцінити та тарифікувати, продовження роботи в цьому сегменті може створювати загрозу для фінансової стійкості страховика. У таких випадках рішення про обмеження бізнесу є не проявом консерватизму, а результатом професійної оцінки ризику.

Саме тут особливо важливим стає поняття ризик-апетиту. У добре побудованій системі управління ризиками власник ризику не говорить «ні» тому, що він обережніший за інших або не підтримує розвиток бізнесу. Він говорить «ні» тому, що певне рішення виходить за межі рівня ризику, який компанія заздалегідь погодила як прийнятний. Це принципова різниця. Якщо межі прийнятного ризику не визначені, будь-яке обмеження починає виглядати суб’єктивним. Якщо ж компанія має чітко сформульований ризик-апетит, дискусія переходить із площини особистих думок у площину корпоративного управління. У цьому випадку власник ризику не блокує розвиток бізнесу, а забезпечує дотримання правил, погоджених керівництвом та наглядовою радою.

З практичної точки зору це одна з найважливіших функцій власника ризику в будь-якому бізнес-процесі. Незалежно від того, чи йдеться про андеррайтинг, врегулювання збитків, перестрахування або інформаційні технології, рано чи пізно виникає ситуація, коли короткострокові бізнес-інтереси починають суперечити довгостроковій стійкості компанії. Саме в цей момент і проявляється справжня роль власника ризику. Його завдання полягає не в тому, щоб забороняти або обмежувати бізнес. Його завдання полягає в тому, щоб нагадувати компанії про ризики, які можуть залишатися непомітними в періоди зростання, високих продажів та хороших фінансових результатів.

Для андеррайтингу ця роль має особливе значення. Більшість наслідків помилкових андеррайтингових рішень проявляються із суттєвою затримкою в часі. Саме тому власник андеррайтингового ризику часто змушений приймати непопулярні рішення тоді, коли жодних видимих проблем ще не існує. У певному сенсі це і є головним тестом зрілості системи управління ризиками. Якщо компанія готова підтримувати власників ризиків навіть тоді, коли їхні рішення суперечать короткостроковим бізнес-інтересам, ризик-менеджмент дійсно інтегрований у процеси управління. Якщо ж голос власника ризику починає ігноруватися щоразу, коли він заважає досягненню поточних цілей, ризик-менеджмент поступово перетворюється на формальність.

Управління ризиком починається задовго до укладання договору

Однією з найпоширеніших помилок є сприйняття андеррайтингу як процесу вибору між двома варіантами: прийняти ризик або відмовити в страхуванні. Насправді на практиці значна частина роботи андеррайтера полягає не в тому, щоб сказати «так» або «ні», а в тому, щоб знайти спосіб зробити ризик прийнятним для компанії. Саме в цей момент найкраще видно різницю між формальною оцінкою ризику та реальним управлінням ризиком. Власник ризику не просто констатує наявність проблеми. Він намагається вплинути на неї до того, як ризик стане частиною страхового портфеля.

Уявімо ситуацію, коли компанія звертається за страхуванням складського комплексу. Первинна інформація виглядає цілком прийнятною, але під час аналізу документів андеррайтер звертає увагу на відсутність автоматичної системи пожежогасіння в одній із будівель. Формально страховик може просто відмовити у страхуванні або встановити значно вищий тариф. Проте на практиці часто використовується інший підхід. Клієнту пропонується встановити відповідну систему захисту протягом визначеного терміну. Після виконання цієї умови договір укладається на більш вигідних умовах. У такій ситуації андеррайтер не лише оцінив ризик, а й безпосередньо вплинув на його рівень.

Схожі рішення регулярно виникають і в менш очевидних ситуаціях. Наприклад, під час страхування автопарку компанії андеррайтер може звернути увагу на підвищену аварійність певної групи водіїв. Замість автоматичного підвищення тарифу страховик може запропонувати впровадження додаткового навчання водіїв або систем моніторингу стилю керування транспортними засобами. Для клієнта це означає необхідність додаткових організаційних заходів. Для страховика — можливість знизити майбутню збитковість портфеля. І знову ми бачимо класичний приклад управління ризиком через бізнес-процес, а не через формальне обмеження.

Ще одним поширеним прикладом є робота з винятками з внутрішніх правил андеррайтингу. У практиці будь-якого страховика регулярно виникають ситуації, коли ризик не повністю відповідає встановленим вимогам компанії. Великий клієнт може просити вищий ліміт відповідальності, нестандартні умови покриття або зменшення франшизи. Саме в такі моменти особливо добре проявляється роль андеррайтера як власника ризику. Його завдання полягає не в механічному застосуванні правил, а в оцінці того, як запропоновані зміни вплинуть на рівень андеррайтингового ризику. У результаті рішення часто виглядає значно складніше за просте погодження або відмову: змінюються умови договору, обмежується покриття окремих ризиків, коригується франшиза або застосовуються додаткові вимоги до клієнта.

Дуже показовою є й ситуація з накопиченням концентрацій у портфелі. Уявімо, що протягом року страховик активно працює з мережею автосалонів або елеваторів. Кожен окремий ризик відповідає внутрішнім вимогам і не викликає зауважень. Проте через певний час андеррайтер починає бачити, що частка таких ризиків у портфелі швидко зростає. Формально підстав для відмови немає. Але власник ризику вже розуміє, що подальше накопичення однотипних ризиків може призвести до небажаної концентрації. Саме тому він починає ініціювати додатковий аналіз або обмеження прийняття нових ризиків у цьому сегменті. У такому випадку управління ризиком відбувається не на рівні окремого клієнта, а на рівні портфеля.

Усі ці приклади демонструють одну важливу закономірність. У реальній роботі андеррайтер значно рідше займається вибором між «так» і «ні», ніж це може здатися зовні. Набагато частіше він шукає способи змінити рівень ризику до того, як ризик стане частиною страхового портфеля компанії. Саме тому андеррайтинг є одним із найкращих прикладів того, як ризик-менеджмент реалізується через повсякденну діяльність власника ризику. І саме тому якість роботи андеррайтера значною мірою визначає якість управління андеррайтинговим ризиком страховика.

Висновки

Якщо подивитися на андеррайтинг через призму управління ризиками, стає очевидно, що це значно більше, ніж процес оцінки заявок на страхування та розрахунку страхових тарифів. Саме в андеррайтингу реалізується управління одним із ключових ризиків страхової компанії — андеррайтинговим ризиком. Тут він виникає, оцінюється, контролюється та змінюється через конкретні управлінські рішення. Саме тому андеррайтер виступає не просто учасником бізнес-процесу, а власником ризику, який безпосередньо впливає на майбутню якість страхового портфеля.

Ця стаття відкриває цикл матеріалів, присвячених тому, як ризик-менеджмент проявляється в ключових процесах страховика. Ми свідомо почали саме з андеррайтингу, оскільки саме тут страховик приймає своє головне бізнес-рішення — визначає, які ризики готовий взяти на себе, а від яких варто відмовитися. Саме тут найкраще видно, що ризик-менеджмент не обмежується діяльністю функції управління ризиками. Він реалізується через власників ризиків, які щодня приймають рішення у своїх бізнес-процесах.

Водночас якісний андеррайтинг не гарантує відсутності майбутніх проблем. Більше того, історія страхового ринку неодноразово демонструвала ситуації, коли саме найуспішніші сегменти бізнесу через декілька років ставали джерелом найбільших збитків. Хороші фінансові результати, швидке зростання портфеля та активне залучення нових клієнтів далеко не завжди свідчать про високу якість ризику. Іноді вони навпаки приховують поступове накопичення проблем, які стають помітними лише через роки.

Саме про це ми поговоримо в наступній статті циклу. Ми спробуємо розібратися, чому хороший бізнес іноді перетворюється на поганий ризик, як успішне зростання може створювати нові загрози для страховика та чому андеррайтеру інколи доводиться насторожуватися саме тоді, коли всі навколо задоволені результатами. Адже в управлінні андеррайтинговим ризиком найскладніше завдання часто полягає не в тому, щоб помітити проблему, а в тому, щоб побачити її тоді, коли вона ще маскується під історію успіху.

Сергій БАБИЧ