Під час однієї з професійних дискусій мені поставили несподіване запитання: “Чи зобов’язаний головний ризик-менеджер страхової компанії повідомляти регулятора про серйозні проблеми в компанії так само, як це передбачено для відповідального актуарія?”.

На перший погляд відповідь здається очевидною. Якщо ризик-менеджер бачить суттєві порушення законодавства, загрозу платоспроможності або дії керівництва, які можуть завдати шкоди клієнтам, то хіба не повинен він повідомити про це Національний банк? Проте після більш уважного аналізу виявляється, що питання значно складніше. Воно стосується не лише повноважень CRO, а й фундаментальних принципів корпоративного управління, на яких побудована сучасна система регулювання фінансових установ.

У професійному середовищі нерідко можна почути думку, що незалежність функції управління ризиками буде справжньою лише тоді, коли CRO матиме можливість напряму звертатися до регулятора. Прихильники такого підходу вважають, що це дозволяє уникнути ситуацій, коли правління або власники компанії ігнорують серйозні ризики. Водночас існує й протилежна позиція. Якщо ризик-менеджер перетворюється на постійний канал комунікації з регулятором в обхід органів управління компанії, то чи не руйнує це саму логіку системи корпоративного управління?

На мій погляд, це питання заслуговує окремої дискусії. Воно стосується не лише страховиків, а й будь-якої компанії, яка впровадила сучасну систему управління ризиками. Для того щоб відповісти на нього, варто спочатку зрозуміти, як законодавство бачить роль CRO та які механізми ескалації проблем уже існують сьогодні.

Що говорить українське законодавство

Якщо уважно проаналізувати Закон України «Про страхування» та Положення НБУ №194 про систему управління страховика, можна помітити цікаву особливість. Законодавець приділяє значну увагу незалежності функції управління ризиками, але при цьому майже не говорить про прямі відносини між CRO та регулятором.

Навпаки, вся конструкція побудована навколо внутрішньої системи ескалації. Головний ризик-менеджер повинен мати можливість незалежно оцінювати ризики, готувати звіти для правління та наглядової ради, брати участь у прийнятті рішень, що можуть впливати на ризиковий профіль компанії, та безперешкодно доносити свою позицію до органів управління. Особливо важливим є право прямого доступу до наглядової ради без посередництва виконавчого органу. Цей механізм законодавець розглядає як основну гарантію незалежності CRO.

Фактично модель виглядає так. Якщо ризик-менеджер виявляє проблему, він інформує правління. Якщо проблема не вирішується або її масштаби є суттєвими, питання ескалується до наглядової ради. Саме наглядова рада, а не регулятор, є тим органом, який повинен забезпечити належну реакцію на виявлені ризики. Такий підхід повністю відповідає логіці сучасного корпоративного управління, де відповідальність за діяльність компанії насамперед покладається на її органи управління.

Цікаво, що для відповідального актуарія законодавство передбачає спеціальні механізми взаємодії з регулятором у випадках виявлення суттєвих проблем. Для CRO аналогічної норми наразі немає. І це навряд чи є випадковістю. Швидше за все, законодавець виходив із того, що функція управління ризиками повинна працювати через механізми корпоративного управління, а не підміняти собою наглядові функції держави.

Ось тут виникає головне питання. Якщо законодавство не передбачає прямого обов’язку CRO повідомляти регулятора, то чи означає це, що існуюча модель є достатньою за будь-яких обставин? Чи можуть виникнути ситуації, коли внутрішня система ескалації перестає працювати і тоді постає питання про інші механізми реагування? Поговоримо про це далі.

Чому регулятори не вимагають від CRO напряму повідомляти про проблеми

На перший погляд може здатися дивним, що законодавство надає CRO значну незалежність, але не покладає на нього прямого обов’язку інформувати регулятора про виявлені проблеми. Багатьом така модель видається недостатньо надійною. Адже якщо ризик-менеджер бачить серйозну загрозу для компанії, клієнтів або ринку, чому б не дозволити йому звернутися безпосередньо до наглядового органу?

Однак сучасна система корпоративного управління побудована на іншій логіці. Вона виходить із того, що відповідальність за діяльність компанії повинна залишатися всередині компанії. Правління приймає рішення та управляє ризиками. Наглядова рада здійснює контроль за діяльністю правління. Функції управління ризиками, комплаєнсу та внутрішнього аудиту забезпечують незалежний контроль і своєчасно інформують органи управління про проблеми. Регулятор же здійснює нагляд за тим, наскільки ефективно працює вся ця система в цілому.

Якщо CRO починає регулярно взаємодіяти з регулятором в обхід органів управління компанії, виникає низка складних питань. Кому він підзвітний у першу чергу? Чи не починає він фактично виконувати частину функцій регулятора? Чи не втрачає наглядова рада свою роль останньої інстанції внутрішньої ескалації? Зрештою, чи зможе CRO ефективно виконувати свої обов’язки, якщо керівництво компанії сприйматиме його не як незалежного радника та контролера, а як потенційний канал передачі інформації назовні?

Не випадково більшість сучасних моделей корпоративного управління будуються навколо принципу внутрішньої ескалації. Спочатку проблема повинна бути донесена до правління. Якщо реакція є недостатньою або відсутня, питання передається на рівень наглядової ради. І лише коли вся система корпоративного управління виявляється неспроможною належним чином відреагувати на ризик, постає питання про подальші дії.

Водночас історія корпоративних криз показує, що навіть добре побудовані системи інколи дають збій. Скандали навколо Enron, Wirecard або Silicon Valley Bank демонструють, що наявність формальних процедур сама по собі не гарантує належного реагування на ризики. У багатьох випадках проблеми були відомі окремим співробітникам або контрольним функціям задовго до того, як про них дізналися акціонери, клієнти чи регулятори. Саме тому дискусія про межі відповідальності CRO не припиняється й сьогодні.

І тут ми підходимо до ключового питання. Що повинен робити ризик-менеджер, якщо всі передбачені законодавством механізми ескалації були використані, але проблема залишилася без належної реакції? Чи закінчується на цьому його відповідальність, чи починається зовсім інший рівень відповідальності — професійної та особистої?  Про це йтиметься далі.

А що робити, якщо правління і наглядова рада ігнорують проблему?

Поки система корпоративного управління працює належним чином, питання взаємодії CRO з регулятором має переважно теоретичний характер. Ризик-менеджер виявляє проблему, доповідає про неї керівництву, отримує рішення або план дій і контролює його виконання. У більшості випадків процес виглядає приблизно так і не викликає серйозних дискусій.

Складнощі починаються тоді, коли механізм ескалації формально існує, але фактично не працює. Уявімо ситуацію, коли CRO виявляє суттєвий ризик. Наприклад, значне погіршення платоспроможності, систематичне порушення внутрішніх лімітів, приховування інформації від наглядової ради або агресивну бізнес-практику, здатну завдати шкоди клієнтам у майбутньому. Він готує відповідний висновок і доповідає правлінню. Реакція відсутня або проблема свідомо применшується. Після цього питання виноситься на рівень наглядової ради. Але й там не відбувається жодних реальних дій.

У такій ситуації ризик-менеджер опиняється перед складною професійною дилемою. З одного боку, він виконав усі передбачені законодавством процедури. З іншого — проблема нікуди не зникла. Більше того, її наслідки можуть торкнутися страхувальників, акціонерів, працівників компанії та навіть ринку в цілому. Виникає питання: чи закінчується відповідальність CRO в момент направлення чергового звіту або протоколу?

Історія корпоративних криз показує, що подібні ситуації не є суто теоретичними. Після банкрутства Enron, Wirecard, Silicon Valley Bank та низки інших компаній журналісти, аудитори, слідчі й акціонери майже завжди ставили одне й те саме питання: хто знав про проблему раніше? І дуже часто виявлялося, що інформація про неї була відома задовго до катастрофи. Інша справа, що люди, які володіли цією інформацією, вважали свої обов’язки виконаними після направлення службової записки або чергового звіту керівництву.

Водночас було б несправедливо перекладати всю відповідальність на контрольні функції. Ризик-менеджер не управляє компанією. Він не затверджує бюджет, не визначає бізнес-стратегію і не ухвалює управлінські рішення. За це відповідають правління та наглядова рада. Тому було б небезпечно створювати ілюзію, що CRO повинен особисто виправляти помилки всієї системи корпоративного управління.

Проте ця обставина не знімає іншого питання. Якщо всі формальні процедури виконані, але людина продовжує бачити ризик, який може призвести до серйозних наслідків, чи достатньо послатися на посадову інструкцію та сказати: «Я зробив усе, що вимагав регулятор»? Тут ми поступово виходимо за межі нормативних вимог і наближаємося до теми професійної етики, особистої відповідальності та внутрішніх стандартів самого ризик-менеджера.

Закон, етика і особиста відповідальність

У професії ризик-менеджера існує одна особливість, про яку рідко пишуть у нормативних документах і методологіях. Більшість складних ситуацій виникає не тоді, коли людина не знає, що потрібно робити. Найважчі рішення доводиться приймати тоді, коли всі процедури вже виконані, але внутрішнє відчуття підказує, що проблема залишається невирішеною.

Будь-який CRO працює одночасно в кількох площинах відповідальності. Найпростішою є нормативна відповідальність. Законодавство визначає його права, обов’язки та порядок взаємодії з органами управління компанії. Якщо ризик-менеджер підготував висновок, належним чином задокументував свою позицію та повідомив правління і наглядову раду про проблему, можна вважати, що формальні вимоги виконані.

Наступний рівень — професійна відповідальність. Вона значно ширша за посадову інструкцію. Від ризик-менеджера очікують не лише підготовки звітів, а й здатності наполегливо доносити свою позицію тоді, коли вона є непопулярною. Багато катастроф у бізнесі відбувалися не через відсутність інформації про ризики, а через те, що люди переставали про них говорити після першої невдалої спроби бути почутими. Професіоналізм інколи полягає не в умінні виявити проблему, а в готовності продовжувати говорити про неї, навіть коли цього ніхто не хоче чути.

Існує і третій рівень — особиста відповідальність. Тут уже не допоможуть ні закони, ні внутрішні політики, ні методичні рекомендації. Людина залишається наодинці зі своїми переконаннями. У певний момент кожен досвідчений ризик-менеджер може поставити собі незручне питання: якщо через рік або два проблема реалізується і призведе до значних збитків, чи зможу я чесно сказати, що зробив усе можливе для її запобігання?

У цьому сенсі незалежність функції управління ризиками визначається не лише місцем CRO в організаційній структурі компанії. Вона багато в чому залежить від особистої сміливості людини. Право доступу до наглядової ради можна прописати в будь-якому положенні. Набагато складніше знайти в собі готовність наполягати на своїй позиції, коли це створює конфлікт із керівництвом, загрожує кар’єрним перспективам або робить людину незручною для оточення.

При цьому важливо не впадати в іншу крайність. Ризик-менеджер не повинен перетворюватися на самопроголошеного борця за справедливість або вважати себе єдиною людиною, яка знає правильне рішення. Професійна етика вимагає не героїзму, а чесності, об’єктивності та послідовності. Завдання CRO полягає не в тому, щоб завжди перемагати в суперечках із керівництвом. Його завдання — забезпечити, щоб органи управління ухвалювали рішення, розуміючи всі суттєві ризики та їх можливі наслідки.

Можливо, тому питання про обов’язок повідомляти регулятора не має універсальної відповіді. Закон може визначити процедури, але не здатний описати всі життєві ситуації. Там, де закінчуються нормативні вимоги, починається територія професійної етики та особистої відповідальності, і в цій зоні найчастіше проявляється справжня незалежність ризик-менеджера.

CRO чи викривач? Дві точки зору на одну проблему

Готуючи матеріал для цієї статті, я вирішив подивитися, як питання взаємодії CRO та регулятора вирішується в європейській практиці. Здавалося б, відповідь повинна бути очевидною. Якщо ризик-менеджер бачить серйозну проблему, закон має чітко визначати його подальші дії. Однак досить швидко з’ясувалося, що все значно складніше. У професійному середовищі існують різні погляди на межі відповідальності CRO, а дискусія про те, чи повинен він за певних обставин звертатися до регулятора, триває вже багато років. І що цікаво — серед фахівців досі немає єдиної думки щодо того, де проходить межа між незалежністю контрольної функції та обов’язком повідомляти про серйозні проблеми зовнішнім органам.

Прихильники першого підходу вважають, що CRO не повинен виконувати роль викривача. На їхню думку, головний ризик-менеджер є частиною системи корпоративного управління компанії. Його завдання полягає у виявленні ризиків, їх оцінці, інформуванні органів управління та контролі за виконанням прийнятих рішень. Якщо після належної ескалації правління або наглядова рада ухвалюють рішення, відповідальність за його наслідки повинна залишатися на них. Інакше виникає ризик розмиття відповідальності між органами управління та контрольними функціями.

Прихильники цього підходу також звертають увагу на питання довіри. Для ефективної роботи ризик-менеджер повинен мати доступ до максимально повної інформації та можливість відкрито обговорювати проблеми з керівництвом. Якщо CRO починають сприймати як потенційне джерело інформації для регулятора, це може негативно впливати на якість внутрішньої комунікації та ефективність усієї системи управління ризиками.

Існує й інша точка зору. Її прихильники виходять із того, що інтереси клієнтів, кредиторів, акціонерів або фінансового ринку в окремих випадках можуть бути важливішими за внутрішні процедури компанії. Якщо ризик-менеджер бачить серйозне порушення законодавства, приховування інформації, шахрайство або загрозу платоспроможності, а всі внутрішні механізми реагування вичерпані, він не повинен залишатися пасивним спостерігачем. На їхню думку, у виняткових випадках професійний обов’язок може вимагати більш рішучих дій.

Цікаво, що обидві позиції мають сильні аргументи. Перша захищає принципи корпоративного управління та чіткий розподіл відповідальності. Друга нагадує, що будь-яка система управління створюється для захисту людей та бізнесу, а не заради самої себе. І якщо система перестає виконувати свою функцію, виникає питання про додаткові механізми захисту.

Мені здається, що на практиці істина знаходиться десь посередині. Більшість ситуацій повинні вирішуватися всередині компанії через механізми ескалації та корпоративного управління,  для цього й створювалися функції управління ризиками, комплаєнсу та внутрішнього аудиту. Проте важко заперечувати, що можуть існувати виняткові обставини, коли ризик для клієнтів або ринку стає настільки значним, що питання виходить за межі внутрішніх процедур.

І тут ми повертаємося до питання, з якого починалася ця стаття. Чи повинен CRO повідомляти регулятора? Можливо, правильніше поставити питання інакше: чи існують обставини, за яких мовчання ризик-менеджера може бути більш небезпечним, ніж його дії? Відповідь на це питання кожен професіонал рано чи пізно дає собі сам.

А що про це думає ризик-менеджер?

Після всіх нормативних вимог, моделей корпоративного управління та професійних дискусій виникає закономірне питання: якою повинна бути позиція самого CRO?

На мою думку, головний ризик-менеджер не повинен автоматично перетворюватися на «очі та вуха» регулятора всередині компанії. Такий підхід навряд чи сприятиме розвитку культури відкритого обговорення ризиків і може підірвати довіру, без якої ефективна система управління ризиками працювати не здатна. Основним середовищем для роботи CRO повинна залишатися система корпоративного управління компанії, а головними адресатами його висновків — правління та наглядова рада.

Водночас я не впевнений, що відповідь може бути абсолютно категоричною. Життя значно складніше за будь-які нормативні акти. Історія фінансового сектору знає достатньо прикладів, коли органи управління компаній ігнорували попередження контрольних функцій або свідомо приховували інформацію про серйозні проблеми. У таких ситуаціях формальне виконання процедур не завжди означає виконання професійного обов’язку.

Мені здається, що в центрі цієї дискусії знаходиться не питання повідомлення регулятора як такого. Набагато важливішим є питання незалежності суджень та професійної мужності. Чи готовий ризик-менеджер наполягати на своїй позиції, коли вона суперечить думці керівництва? Чи готовий він повторно піднімати проблему, якщо попередні спроби не дали результату? Чи готовий він нести особисту відповідальність за свої висновки?

На практиці більшість проблем вирішується задовго до того, як виникає потреба думати про регулятора. Добре побудована система корпоративного управління повинна забезпечувати своєчасне реагування на ризики без зовнішнього втручання. Саме тому справжнім показником зрілості компанії є не наявність механізму звернення до регулятора, а здатність правління та наглядової ради чути неприємні сигнали ще до того, як вони перетворяться на кризу.

Тому, на мою думку, головне питання полягає не в тому, чи повинен CRO повідомляти регулятора. Головне питання полягає в тому, чи створила компанія таку систему управління, за якої необхідність такого повідомлення взагалі не виникатиме.

Висновки

Запитання читача, з якого почалася ця стаття, виявилося набагато глибшим, ніж могло здатися на перший погляд. Формально відповідь доволі проста: чинне українське законодавство не покладає на головного ризик-менеджера прямого обов’язку повідомляти Національний банк про виявлені проблеми за аналогією з відповідальним актуарієм. Модель, закладена в Законі України «Про страхування» та нормативних актах НБУ, побудована навколо внутрішньої ескалації через правління та наглядову раду.

Проте за межами нормативних вимог починається значно складніша територія професійної етики та особистої відповідальності. Закон може визначити порядок дій, але він не здатний описати всі можливі ситуації, з якими стикаються люди на практиці. Іноді ризик-менеджеру доводиться приймати рішення в умовах, коли формальні процедури вже виконані, а проблема залишається невирішеною.

Європейська дискусія також не дає однозначної відповіді. Одні фахівці вважають, що CRO повинен залишатися частиною системи корпоративного управління і не виконувати роль викривача. Інші допускають, що в окремих виняткових випадках суспільний інтерес може вимагати більш рішучих дій. Обидві позиції мають вагомі аргументи, а остаточна відповідь значною мірою залежить від конкретних обставин.

Можливо, найважливіший висновок полягає в іншому. Незалежність функції управління ризиками визначається не кількістю нормативних гарантій і не правом доступу до регулятора. Вона починається з готовності професіонала чесно говорити про ризики, наполягати на своїй позиції та не підлаштовувати свої висновки під очікування керівництва.

У добре побудованій системі корпоративного управління потреба в прямому зверненні CRO до регулятора повинна залишатися винятком, а не правилом. Якщо ж така потреба все-таки виникає, це може свідчити не лише про проблему окремого ризику, а й про значно серйознішу проблему — неспроможність самої системи управління компанією виконувати свою функцію.

Сергій БАБИЧ