Ознайомився з цікавою публікацією у мережі LinkedIN професора ризик-менеджменту Стефана Хунцікера, присвяченою новому документу COSO «From Guidance to Action: Exploring Practical Enterprise Risk Management». Автор порушує питання, яке останніми роками дедалі частіше звучить у професійній спільноті: чи не перетворився ризик-менеджмент на систему, що доводить власне існування, замість того щоб реально впливати на рішення?

На думку автора, сучасні організації мають усе необхідне для «правильного» управління ризиками: реєстри ризиків, апетит до ризику, звітність, теплові карти, комітети та регламенти. Проте сама наявність цих інструментів ще не означає, що ризик-менеджмент справді впливає на поведінку керівництва. Повний реєстр ризиків може залишатися неактуальним для стратегічних рішень, добре оформлена теплова карта — не змінювати зміст дискусії, а детальний звіт для ради директорів — не допомагати зрозуміти, що саме змінилося і які припущення варто переглянути. Автор формулює дуже сильну тезу: ризик-менеджмент може бути формально присутнім, але когнітивно відсутнім.

Особливо цікаво, що Хунцікер позитивно оцінює новий документ COSO саме за його практичність. У ньому йдеться не стільки про нові теорії, скільки про сигнали для прийняття рішень, сценарії, тригери, відповідальність та регулярні управлінські цикли. Автор відзначає ще одну проблему, добре знайому багатьом ризик-менеджерам: оцінка ризиків часто перетворюється на вправу з виставлення балів, а звітність — на демонстрацію річної роботи підрозділу ризик-менеджменту замість передачі дійсно важливої інформації керівництву.

Водночас автор наголошує, що навіть такий підхід не вирішує головної проблеми. Значна частина стратегічних невизначеностей не піддається точному вимірюванню. Частина ризиків може бути кількісно оцінена, але інші залишаються нечіткими, неоднозначними та залежать від подій, які ще тільки формуються. Тому справжня цінність ризик-менеджменту полягає не в черговій моделі чи оцінці, а в тому, чи допомагає він керівникам критично осмислювати власні припущення, бачити альтернативи, відстежувати сигнали змін та вчитися на вже прийнятих рішеннях.

Обговорення під постом виявилося не менш цікавим за саму публікацію. Більшість учасників погодилися з основною тезою автора, але водночас розширили її кількома важливими напрямами. Один із коментаторів запропонував простий критерій ефективності ризик-менеджменту: чи змінив він рішення до того, як настав результат. На його думку, документований ризик ще не створює цінності, тоді як ризик, який призводить до зміни стратегії, умов контракту, бюджету чи плану реагування, уже впливає на бізнес.

Цікавий розвиток дискусії запропонував ще один учасник. Він звернув увагу на те, що між операційною реальністю та радою директорів існує цілий ланцюг інтерпретацій. Кожен рівень управління не лише отримує інформацію про ризики, а й перетворює її відповідно до власних інтересів, стимулів і розуміння ситуації. У результаті викривлення накопичуються поступово, а не виникають в одній точці. На його думку, перш ніж говорити про якість рішень, необхідно зрозуміти, наскільки достовірною залишається сама картина ризиків, коли вона доходить до керівництва.

Ще одну цікаву думку висловив один з ризик-менеджерів. Він вважає, що проблема полягає не лише в тому, щоб зробити ризик-менеджмент корисним для ухвалення рішень. Значно складніше забезпечити постійну увагу до ризиків уже після того, як рішення було прийняте. Бізнес-середовище продовжує змінюватися, припущення втрачають актуальність, виникають нові залежності та обмеження. Тому управління ризиками має бути не епізодичним елементом погодження рішень, а постійним процесом спостереження за зміною експозицій.

Досить жваву дискусію викликала і тема теплових карт. Частина учасників прямо заявила, що теплова карта ніколи не здатна відобразити реальний профіль ризику організації. На їхню думку, набагато важливішими є кількісна оцінка, моделювання та агрегування ризиків у контексті фінансових показників компанії. Саме такий підхід дозволяє не лише описувати ризики, а й підтримувати прийняття управлінських рішень.

У коментарях пролунала і думка, що ризик-менеджмент часто не має впливу на рішення тому, що говорить мовою ризиків, а не мовою самих рішень. Іншими словами, менеджменту потрібні не чергові оцінки чи рейтинги, а розуміння причинно-наслідкових зв’язків, можливих сценаріїв і наслідків альтернативних дій.

Особливий інтерес для української аудиторії становить ще один аспект дискусії. У власному коментарі до посту я звернув увагу на те, що однією з причин перетворення ризик-менеджменту на систему оцінок і звітів є поступове накопичення регуляторних вимог. У багатьох галузях, включаючи фінансовий сектор, управління ризиками дедалі більше концентрується на демонстрації відповідності, повноти документування та виконанні процедур. У результаті організація може мати чудові реєстри ризиків, якісні теплові карти та об’ємні звіти для ради директорів, але ключові стратегічні рішення все одно прийматимуться поза межами ризик-менеджменту. Це проблема, яка добре знайома і українським страховикам, і банкам, і багатьом іншим організаціям.

Загалом публікація та її обговорення демонструють цікаву тенденцію в розвитку професії. Якщо ще десять років тому основна увага приділялася побудові систем управління ризиками, то сьогодні дедалі більше фахівців ставлять інше запитання: чи допомагають ці системи приймати кращі рішення? Саме навколо цього питання, схоже, і формується нова хвиля професійних дискусій у сфері ризик-менеджменту. І в цьому контексті заклик автора — «менше тепла, більше світла» — виглядає не просто вдалою метафорою, а доволі точним описом того, куди рухається сучасна професія.

Докладніше за посиланням

Сергій БАБИЧ