Архітектура ORSA: що має знати CRO
ORSA як конструкція, а не документ
Коли ми чуємо слово «ORSA», то найчастіше уявляємо документ — товсту папку або файл із десятками таблиць, графіків, сценаріїв. Але насправді ORSA — це не звіт, а конструкція, складна і гнучка водночас.Як архітектор не зводить дім із цегли без креслення, так і компанія не може будувати стратегію без власної карти ризиків і капіталу.
ORSA — це не результат, це процес проектування. Він схожий на інженерну систему компанії, де кожен трубопровід, клапан і сенсор має своє місце.
— Дані — це фундамент.
— Аналітика і сценарії — це несучі стіни.
— Управлінські рішення — це дах, який тримає всю конструкцію.
І якщо щось у цій схемі не працює — не врятує жоден звіт. Саме тому ORSA не можна «зробити» — його можна тільки побудувати.
Від креслення до будівлі
У європейських компаніях ORSA вже давно перестав бути формальністю. Його сприймають як архітектурний план майбутнього бізнесу. Перед новим стратегічним періодом CRO, фінансисти, актуарії, андеррайтери збираються за одним столом, щоб обговорити: «Яку конструкцію ми будуємо і чи витримає вона наші ризики?» Якщо на кресленні бракує несучих елементів — наприклад, прогнозів ліквідності або стрес-тестів по ключових продуктах — будівля може не витримати навіть першої бурі. Саме тому EIOPA ще у 2023 році підкреслювала: “The ORSA should be embedded in the decision-making process and should reflect the unique architecture of each insurer.” І це слово — architecture — не випадкове.
Архітектура проти бюрократії
У нас, на жаль, ORSA часто починають із шаблону. Спершу заповнюють таблиці, потім шукають дані, а потім питають: “А навіщо все це?”. І виходить, що ми ніби зводимо дім, починаючи з фарбування стін. А правильний ORSA починається з іншого: з розуміння, як компанія мислить ризиками. Які процеси з’єднані між собою? Де ми вимірюємо ризик, а де лише вгадуємо? Хто приймає рішення — і на основі чого? Це не просто методика. Це мапа мислення компанії. І саме її має бачити CRO, коли говорить “ми готуємо ORSA”.
Погляд уперед
Справжня архітектура ORSA будується не за принципом «зробимо, бо треба», а за принципом взаємопов’язаності. Кожен елемент — ризик-профіль, KRI, сценарій, бізнес-план, декларація апетиту — має бути з’єднаний із рештою. Тоді ORSA стає живим організмом, який реагує на зміни середовища, як сучасна будівля, що “дихає” й пристосовується до вітру. І якщо у першій статті ми говорили, що ORSA — це дзеркало компанії,то тепер — це її каркас. Те, що тримає форму, навіть коли вітер ринку дме з усіх боків.
Архітектура процесу: три опори ORSA
Кожна система має свою внутрішню логіку. Як у будинку не буває міцного даху без фундаменту, так і ORSA неможливо побудувати без трьох опор — даних, аналітики та рішень. Це не просто етапи, а взаємопов’язані рівні, між якими постійно циркулює інформація. Якщо один із них не працює — руйнується вся конструкція.
Перша опора — вхідні дані. Це серце ORSA. Усе починається з реальності: ризик-профіль, історія збитковості, структура портфеля, показники ліквідності, плани розвитку, зміни на ринку. Звучить очевидно, але тут найчастіше виникають перші помилки. Дані збираються з різних систем, не оновлюються синхронно, або ж інтерпретуються без контексту. Європейські регулятори давно підкреслюють: якість ORSA прямо залежить від data governance. Без якісних даних ORSA стає лише спробою відгадати майбутнє.
Друга опора — аналітична модель, або, простіше, здатність компанії думати сценарно. Саме тут народжується суть ORSA — коли факти перетворюються на гіпотези. Це не просто “якщо курс гривні впаде на 10%”. Це розмова про причинно-наслідкові ланцюжки: як зміниться поведінка клієнтів, які ризики зростуть, які зменшаться, що відбудеться з капіталом. EIOPA у своїх настановах радить не обмежуватись стандартними сценаріями, а враховувати ризики поза моделями — наприклад, репутаційні чи поведінкові. Саме тут проявляється інтелект компанії: наскільки вона здатна бачити те, що не вимірюється.
Третя опора — управлінські рішення. Вони роблять ORSA живим. У багатьох компаніях на цьому етапі процес закінчується — сценарії розрахували, висновки написали, звіт відправили. Але справжній ORSA починається саме тут. Його мета — не відповісти на питання “чи ми платоспроможні зараз?”, а дати відповідь на більш складне: “що ми будемо робити, якщо станемо неплатоспроможними завтра?”. В ідеалі результати ORSA мають лягати в основу стратегічних рішень: зміну структури портфеля, перегляд лімітів, оновлення ризик-апетиту, уточнення планів розвитку.
У практиці Allianz і Generali результати ORSA безпосередньо впливають на бюджетування. Якщо аналіз показує, що стратегія зростання загрожує перевищенням толерансу капіталу, керівництво змінює параметри плану. Це приклад того, як ORSA переходить із площини звітності у площину управління.
Між цими трьома опорами постійно рухається інформація. Дані живлять аналітику, аналітика формує рішення, рішення створюють нові дані. Цей цикл — нервова система ORSA, у якій немає кінця чи початку. Саме тому ORSA — не щорічна подія, а процес, який має тривати постійно, оновлюючи себе разом із бізнесом.
І коли цей процес працює, компанія починає бачити себе як цілісний організм. Не як набір департаментів, а як єдину систему, у якій фінансисти, андеррайтери, актуарії та ризик-менеджери говорять однією мовою. Бо ORSA — це не просто інструмент CRO. Це спільна конструкція, яка тримає компанію в рівновазі навіть тоді, коли ґрунт під ногами змінюється.
Роль CRO: диригент між тишею і хаосом
У класичній організації ризик-менеджер часто нагадує контролера — людина, що перевіряє, вказує на помилки, зводить таблиці. У ORSA цей образ не працює. Тут CRO стає диригентом — тим, хто тримає ритм між різними інструментами: фінансами, актуаріатом, комплаєнсом, продажами, стратегією. І якщо кожен грає свою партію окремо, музики не буде.
У процесі ORSA саме CRO з’єднує “мови” різних підрозділів. Фінансисти говорять про ліквідність, актуарії — про сценарії смертності, андеррайтери — про динаміку портфеля, комплаєнс — про нормативні ризики. Але саме CRO має поставити запитання, яке з’єднує все це: “Що це означає для нашої стійкості через рік? Через три? І що ми готові зробити, якщо все піде не за планом?”
Європейські регулятори дедалі частіше говорять саме про інтеграційну роль CRO. У настановах EIOPA і PRA неодноразово підкреслюється: “The CRO should ensure that the ORSA is not a technical exercise but a cross-functional dialogue.” І це не випадково — бо без цього діалогу ORSA перетворюється на арифметику без сенсу.
У великих компаніях, таких як Aviva чи Allianz, CRO сьогодні має статус стратегічного радника ради директорів. Він не просто “контролює ризики” — він формує бачення майбутнього, пояснюючи, як різні сценарії можуть вплинути на капітал, ліквідність і довіру клієнтів. У деяких випадках саме ORSA-звіт став приводом для зміни бізнес-моделі. Наприклад, коли stress-testing показав, що компанія занадто залежить від однієї країни чи продукту.
Водночас роль CRO — це не лише аналітика, а й вміння керувати емоціями команди. Бо ORSA — це постійний баланс між тишею і хаосом. Коли аналітики хочуть більше даних, керівники — більше впевненості, а реальність — більше невизначеності, саме CRO має втримати гармонію. Не замовкнути, але й не заглушити інших.
В українських реаліях ця роль набуває ще більшої ваги. У наших компаніях, де часто бракує горизонтальної взаємодії, CRO стає єдиним центром, який може об’єднати ризик, фінанси, комплаєнс і стратегію в одну логіку. І коли це вдається, компанія починає звучати інакше. Зникає фрагментарність, з’являється спільна картина.
Бути CRO — це не лише мати компетенцію. Це мати внутрішню дисципліну мислення, здатність не втрачати спокій у хаосі цифр і припущень. У цьому сенсі ризик-менеджер ближчий до диригента симфонічного оркестру, ніж до аудитора. Бо його завдання — не довести, що все правильно, а зробити так, щоб усі частини системи звучали в унісон. І якщо в першій статті ми говорили, що ORSA — це дзеркало компанії, а тепер бачимо його як конструкцію, то роль CRO — це інженер і диригент водночас. Людина, яка не лише розуміє, як побудована система, а й уміє змусити її працювати як єдине ціле.
Інструменти ORSA: stress-testing, reverse stress-testing, дашборд
Жоден архітектор не проектує будівлю без перевірки її міцності. Те саме робить і CRO, коли тестує систему компанії на стійкість. У процесі ORSA є три ключові інструменти, які дозволяють не просто оцінювати ризики, а бачити, як компанія поводиться під тиском реальності:
- стрес-тестування (stress-testing),
- зворотне стрес-тестування (reverse stress-testing),
- аналітична панель управління (дашборд, англ. dashboard).
Стрес-тестування: як перевірити компанію на міцність
Стрес-тестування — це серцевина ORSA. Воно показує, що відбудеться з компанією, якщо станеться щось несподіване. Не катастрофа, а просто реальність, яка не збіглася з прогнозом: падіння обсягів премій, стрибок виплат, коливання валют, втрата основного партнера.
У європейських компаніях цей інструмент уже давно став частиною культури. Allianz чи Generali проводять десятки таких тестів щороку — і не лише для звітності. Це спосіб «відчути» майбутнє на дотик. Один із керівників Allianz Group якось сказав: “Stress-testing — це не перевірка витривалості, це репетиція майбутнього.”
В Україні цей підхід тільки формується. НБУ у своїх вимогах наголошує, що стрес-тестування має бути «власним» — тобто компанія повинна розробляти власні сценарії, а не копіювати готові. Це непросто, але саме тут з’являється справжня глибина ORSA: коли страховик тестує себе не за шаблоном, а за своєю логікою бізнесу.
Зворотне стрес-тестування: як знайти точку зламу
Якщо звичайний стрес-тест показує, як компанія витримує удари, то зворотне (reverse) стрес-тестування відповідає на інше питання: “Що має статися, щоб ми не витримали?” Це метод, який не просто вимірює ризики, а шукає межу виживання. Його люблять у Великій Британії — PRA прямо рекомендує проводити такі аналізи щонайменше раз на рік. Вони допомагають зрозуміти, де система ламається: у ліквідності, у перестрахуванні, у клієнтському потоці чи в людях.
Для CRO це потужний інструмент комунікації з керівництвом. Бо замість сухих графіків можна сказати просто: “Наша точка зламу — падіння премій на 25%. Якщо це станеться, ми втратимо капітал нижче толерансу.” Це мова, яку розуміє наглядова рада. І це головна мета ORSA — не ускладнювати, а перекладати ризики на мову управління.
Дашборди: коли цифри починають говорити
Дашборд (англ. dashboard, аналітична панель управління) — це не просто зручна таблиця. Це візуальна нервова система ORSA, яка дозволяє керівництву бачити ризики в реальному часі. У європейських компаніях дашборди давно замінили громіздкі звіти. Вони відображають ключові показники: рівень SCR, KRI, зони ризику, відхилення від плану, динаміку капіталу. CRO, який має під рукою якісний дашборд, може за п’ять хвилин пояснити керівництву, де компанія стоїть і куди рухається. Коли ризики візуалізовані, ORSA стає не лише аналітичним, а й інтуїтивним процесом. Як кажуть у Swiss Re: “Data doesn’t change minds. Visualization does.”
В українських умовах навіть простий дашборд у Power BI або Excel може стати проривом, якщо його логіка побудована правильно. Бо ORSA — це не про форму, а про зміст. Не важливо, чи система автоматизована, чи побудована вручну. Важливо, щоб вона допомагала думати.
Поєднання інструментів
Ці три інструменти — не три різні процеси, а три грані одного підходу. Стрес-тестування показує, як система реагує; зворотне стрес-тестування — де вона ламається; дашборд — як побачити це в динаміці. Разом вони формують реальну архітектуру ORSA, у якій цифри стають діалогом, а аналітика — рішеннями.
Вбудованість у цикл управління ризиками
ORSA — це не окремий процес. Це ланка, яка замикає коло управління ризиками і з’єднує всі його елементи — від ризик-апетиту до звітності. Якщо уявити систему управління ризиками як живий організм, то ORSA — це його кровообіг: він проходить через усі органи, постачаючи кисень у вигляді інформації і повертаючи назад результати для прийняття рішень.
Більшість помилок у впровадженні ORSA виникають саме через те, що його намагаються зробити окремо. Готують звіт, який не має спільних показників із ризик-профілем або Декларацією ризик-апетиту. У результаті — три документи, три різні реальності. Але ORSA за своєю природою не терпить відриву. Його мета — узгодити мову ризиків між усіма рівнями управління.
Як ORSA “дихає” в межах RM-циклу
Якщо подивитися на класичний цикл управління ризиками — ідентифікація → оцінка → моніторинг → звітність → рішення → перегляд, — ORSA проходить через усі ці етапи. Він підсвічує, де процеси працюють, а де лише імітують діяльність. Наприклад, у фазі ідентифікації ORSA допомагає побачити ризики, які не входять у стандартну матрицю (скажімо, ризик втрати критичної компетенції персоналу чи ESG-ризики). На етапі оцінки він дає змогу перевірити їхню чутливість через стрес-тести. У моніторингу — забезпечує оновлення показників KRI. А під час прийняття рішень — дозволяє перевірити, чи відповідають ці рішення заявленому ризик-апетиту. У результаті ORSA не просто вписується у цикл ризик-менеджменту — він з’єднує всі його фази в єдину логіку.
Взаємодія з ключовими документами
ORSA — це міст між чотирма базовими документами компанії:
- Декларація ризик-апетиту задає напрямок — скільки ризику компанія готова прийняти.
- Стратегія управління ризиками визначає правила гри.
- Профіль ризиків показує, що є насправді.
- Звітність ORSA з’єднує все це з майбутнім — перевіряє, чи реальність відповідає бажанню, і чи вистачить капіталу для обраного шляху.
Ця логіка чітко прописана в європейських стандартах і підтримується вимогами Постанови НБУ №194, яка прямо вказує: ORSA має бути інтегрованою частиною системи управління ризиками, а не її додатком. Саме тому в європейських страховиків ORSA-звіт часто розпочинається з короткої таблиці, яка показує зв’язок між ключовими документами: «який ризик — у якій політиці — у якому сценарії — у якій дії». Це і є доказ зрілості процесу.
Як уникнути дублювання і формалізму
В українських компаніях ORSA часто сприймають як “паралельний світ” — процес, який живе окремо від реальної управлінської практики. Проблема полягає у відсутності єдиної системи координат: різні документи описують ризики різними словами, а різні департаменти — різними числами. Рішення просте, але не легке: створити єдину матрицю узгодженості, де кожен ризик має свій ідентифікатор, показник (KRI), ліміт, власника і відображення у сценаріях ORSA. Тоді жоден документ не суперечить іншому, а система дійсно працює як єдине ціле. У Європі такий підхід називають “single source of truth” — єдине джерело правди. У нас це можна перекласти коротко: всі говорять однією мовою ризику.
ORSA як управлінський зворотний зв’язок
Коли процес ORSA вбудовано у цикл ризик-менеджменту, він стає механізмом зворотного зв’язку для керівництва. Це не просто аналітика, а тест на зрілість системи. Якщо результати ORSA не впливають на рішення, значить, система ще не готова. Якщо ж після аналізу компанія змінює ризик-апетит, переглядає ліміти чи посилює капітальні буфери — тоді ORSA справді працює.
Український контекст: еволюція замість революції
Для більшості українських страховиків інтеграція ORSA у систему управління ризиками — це не революція, а природний наступний крок. Ми вже маємо ризик-профілі, політики, декларації. Тепер потрібно навчитися з’єднувати їх у живий цикл, щоб ORSA не дублював, а доповнював. І тоді, через рік-два, замість окремого процесу ми побачимо, як ORSA стає способом мислення компанії.
ORSA як система кровообігу компанії
У здоровому організмі кров рухається безперервно. Вона живить кожен орган, переносить кисень, виводить токсини. Зупиниться кров — зупиниться життя.
Те саме відбувається у компанії, коли ORSA стає частиною її системи управління. Він циркулює між даними, аналітикою й рішеннями, постійно підтримуючи життєздатність бізнесу. Не раз на рік — постійно.
Коли ORSA працює правильно, у компанії зникає розрив між аналітикою та управлінням. CRO уже не готує “звіт про ризики” — він веде постійну розмову з керівництвом. Фінансисти не рахують капітал у вакуумі — вони бачать, як кожен сценарій впливає на платоспроможність. А рада директорів не просто “затверджує документи” — вона бачить, як ORSA допомагає приймати стратегічні рішення.
Живий процес замість календарного обов’язку
Найгірше, що можна зробити з ORSA, — перетворити його на річну подію. Бо тоді він стає схожим на штучне дихання — технічно правильне, але без пульсу. У європейських компаніях уже давно зрозуміли, що ORSA — це пульс управління, який має бити постійно. Коли з’являється новий продукт — одразу перевіряють його вплив на капітал. Коли змінюється стратегія — переглядають ризик-апетит. Коли зовнішнє середовище кидає виклик — оновлюють сценарії.
Саме тому ORSA часто називають “continuous process”, або безперервним процесом. У цьому і полягає різниця між формальністю й зрілістю: у першому випадку ORSA завершується звітом, у другому — починається ним.Коли компанія починає відчувати власний ритм
Коли всі елементи системи — політики, профіль ризиків, апетит, сценарії, звіти — працюють у гармонії, компанія починає відчувати власний пульс. Вона розуміє, що ризик — це не ворог, а сигнал. Що стрес-тест — не перевірка, а тренування. І що ORSA — не бюрократична процедура, а мова усвідомленого управління. У таких компаніях CRO уже не змушує колег заповнювати таблиці. Навпаки — до нього звертаються, щоб обговорити “а що, якщо…”. І саме тоді ризик-менеджмент стає не гальмом, а прискорювачем розвитку.
Від ORSA до управління майбутнім
Справжній сенс ORSA у тому, що він допомагає керувати не минулим, а майбутнім.
Під час війни, рецесії чи будь-якої кризи компанії, які мають зрілий ORSA, реагують інакше: вони не панікують, бо вже програли ці сценарії наперед.
І в цьому — глибока сила процесу. Бо ORSA не захищає від шторму, але вчить тримати курс, коли компас крутиться.
Фінальний штрих
Можливо, через кілька років ми навіть перестанемо називати цей процес “ORSA”. Він просто стане звичним способом мислення: оцінювати, тестувати, узгоджувати, діяти.
І тоді українські компанії зможуть говорити те саме, що колись сказав CRO Aviva: “У нас ORSA не живе у звіті. Він живе у кожному рішенні.”
Наступна стаття циклу — “Звіт ORSA: як написати документ, який має сенс”
Ми поговоримо, як перетворити ORSA-звіт із формального обов’язку на управлінський інструмент: які розділи дійсно потрібні, як писати зрозуміло для наглядової ради і як зробити, щоб цифри розповідали історію.
Сергій Бабич