Це друга стаття з нашого циклу про звітність у системі ризик-менеджменту. У першій ми говорили про власників ризиків і їхні сигнали до CRO — ті самі «перші клітинки нервової системи». Тепер піднімаємося на наступний рівень і розберемо, як головний ризик-менеджер звітує правлінню.

Правління — це не «кабінет із трьома дверима, куди несуть папки». Це мозок компанії. Тут ухвалюють рішення, які визначають долю бізнесу на роки вперед. Але мозок може працювати тільки тоді, коли до нього доходять правильні сигнали. І саме CRO має донести ці сигнали у зрозумілій, чесній і переконливій формі.

Звітувати правлінню — це не просто «зробити презентацію». Це означає показати, що відбувається з ризиками компанії у великій картині: які тренди небезпечні, які можливості можна використати, де потрібне негайне рішення, а де достатньо спостереження.

Бо CRO не звітує про те, «скільки інцидентів сталося у відділі врегулювання» чи «скільки разів упав сервер». Правлінню потрібна інша мова: «Через ризики IT у нас може зупинитися продаж на день, втрати — 5 мільйонів. Потрібно інвестувати у резервний дата-центр».

І тут є тонка межа. Якщо CRO перетворюється на «людину з поганими новинами», його перестають слухати. Якщо ж він фарбує все рожевим, ризики стають невидимими. Справжня майстерність — знайти баланс: говорити про проблеми відверто, але показувати рішення, а не лише драму.

Що правління справді хоче почути від CRO (і чого не хоче)

Правління не живе у світі ризик-менеджера. Його члени не думають категоріями «KRI», «heat map» чи «апетит до ризику». Вони думають категоріями грошей, репутації та стратегічних рішень. І саме тому CRO має перекладати ризикову інформацію з технічної мови на бізнесову.

Правлінню потрібно почути три речі:

1. Де ми можемо втратити гроші?
   І не просто абстрактно — «у нас високий операційний ризик». А конкретно: «Якщо зараз не модернізувати систему врегулювання, то середній час виплати зросте вдвічі, і ми ризикуємо втратити 15% клієнтів наступного року».
2. Де ми можемо втратити репутацію?
   Бо іноді репутаційний ризик болить навіть сильніше за фінансовий. Правління хоче знати: «Що може потрапити в новини завтра?» І чи готова компанія пояснити, що відбулося.
3. Що нам треба зробити?
   Не просто «проблема є», а «пропоную три кроки: збільшити резерв, найняти людей, змінити підрядника». Правлінню не потрібна драма без сценарію. Їм потрібна дорожня карта.

А тепер про те, чого правління точно не хоче:

• Воно не хоче слухати лекції з ризик-менеджменту. «Що таке ризик?», «Чому він може матеріалізуватися?» — залишимо для тренінгів.
• Воно не хоче отримувати дані без інтерпретації. Якщо CRO показує 10 слайдів таблиць без висновку, реакція буде одна: «І що з цього?»
• Воно не хоче чути одні лише погані новини. Якщо кожна презентація CRO починається словами «у нас усе погано», дуже скоро ця доповідь стане пунктом «для галочки», який усі перегортають.

У результаті: правління чекає від CRO не бухгалтерського звіту, а аналітики та порад. Роль CRO — бути радником, який не тільки показує проблеми, а й веде до рішень.

Як CRO має структурувати звіт для правління

Уяви собі, що у правління на порядку денному 15 питань: від кредитів і нових продуктів до кадрових конфліктів. Твій звіт — лише один із цих пунктів. І якщо ти прийдеш із презентацією на 60 слайдів, то шанси, що її хтось уважно прочитає, рівні шансам знайти каву без черги в понеділок вранці.

Три правила структури: коротко, по суті, з акцентом на рішення.

1. Вступ одним слайдом.
   CRO одразу каже: «Ось три головні ризики, які сьогодні вимагають уваги правління. Решта — під контролем». Це як заголовок газети: ще до читання зрозуміло, про що номер.
2. Топ-3 ризики у деталях.
   Не десять, не двадцять, а три. Кожен — за шаблоном:
   • що сталося / може статися;
   • який вплив у грошах та репутації;
   • що пропонує CRO зробити.

      Приклад: «Ризик відтоку клієнтів: за останні 3 місяці рівень скарг зріс на 20%, ймовірні втрати — до 10 млн грн. Пропоную: виділити ресурс на нову систему кол-центру й провести навчання персоналу».

    3. Карта ризиків для контексту.
Так, heat map потрібна, але лише як фон: «ось де ми зараз у цілому». Ніхто не має гортати її лупою — вона має просто дати картинку: «жовтого стало більше, ніж у минулому кварталі».

    4. Тренди.
Це те, що відрізняє сильного CRO. Бо правлінню важливо не лише знати «де ми зараз», а й «куди ми йдемо». І тут достатньо 2–3 графіків: наприклад, динаміка KRI за останній рік.

    5. Висновки і прохання.
Кожен звіт CRO має закінчуватися чітким «що я прошу від правління». Це може бути рішення (наприклад, затвердити бюджет на нову систему), може бути стратегічна дискусія. Але ніколи — просто «для ознайомлення».

Бо звіт без запиту до правління — це як лист без адресата: красиво написано, але ніхто не знає, що з ним робити.

Практика: коли звіт CRO змінює гру, а коли стає порожнім слайдом

Позитивний кейс

Великій страховій компанії довелося пережити кризу після серії затримок у виплатах клієнтам. CRO у своєму квартальному звіті правлінню показав не просто таблицю скарг, а зробив акцент на фінансових наслідках:
«Якщо тенденція продовжиться, відтік клієнтів складе до 12% у наступному році. Це мінус 80 мільйонів гривень премій. Причина — перевантаженість відділу врегулювання й застарілі ІТ-системи. Моє прохання: терміново інвестувати 20 мільйонів у новий софт і додатковий штат».

Правління спершу знизувало плечима: мовляв, проблеми з ІТ — це завжди дорого. Але коли CRO показав графік відтоку й наклав його на фінансовий план, опір зник. Інвестицію погодили, і через пів року відтік клієнтів призупинився.

Цей приклад став майже легендою всередині компанії: CRO вперше не лише «налякав ризиком», а показав, як інвестиція перетворює проблему на рішення.

Негативний кейс

Банк. CRO виходить із презентацією на 45 слайдів. На перших двадцяти — карти ризиків, таблиці з KRI, методологічні пояснення. Правління слухає хвилин п’ятнадцять, а потім один із членів ради запитує: «Добре, а що ви від нас хочете?»

CRO відповідає: «Поки нічого, це просто інформація». У залі запала тиша.

Результат: звіт CRO перестали вносити окремим пунктом у порядок денний. Його почали приєднувати в розділ «інше», разом із оновленням графіка ремонтів у головному офісі. Іншими словами — престиж і вплив ризик-менеджера зійшли нанівець.

Мораль очевидна: якщо звіт CRO не веде до дії, він стає баластом.

Трохи гумору зі звітів CRO

У світі CRO ходить багато «легенд». Одна з них — про керівника, який любив починати свій звіт перед правлінням словами: «У мене для вас дві новини: погана і дуже погана». І так щокварталу. На третьому засіданні голова правління не витримав і сказав: «Зробіть мені вже хоч одну «середню» новину, бо я перестану приходити».

Або інша історія. Один CRO вирішив, що правлінню бракує «наочності». Він зробив карту ризиків, де всі квадратики були червоні. Абсолютно всі. Слайд виглядав як сигнал тривоги у підводному човні. Правління подивилося на це криваво-червоне полотно й запитало: «Ну, а що нам тепер робити? Вимикати світло і йти додому?»

Мораль проста: звіти CRO мають бути серйозними, але не драматизованими до абсурду. Іноді краще три чіткі сигнали з рішеннями, ніж двадцять сторінок апокаліпсису.

Висновки: маніфест CRO перед правлінням

Звіт CRO для правління — це не файл у пошті і не пункт «для ознайомлення». Це момент істини. Це хвилина, коли компанія або бачить свої ризики, або заплющує очі. CRO не повинен бути «людиною з поганими новинами», яку слухають із сумом і відразу забувають. Але він і не має перетворюватися на «корпоративного оптиміста», який фарбує все в зелене, аби не псувати настрій. Його місія — бути чесним радником.

Справжній звіт CRO для правління має відповідати трьом принципам:

• Чесність. Якщо ризик зростає — говорити про це прямо. Замовчування сьогодні коштуватиме мільйони завтра.
• Мова бізнесу. Ніяких методологічних лекцій. Лише фінансові та репутаційні наслідки, зрозумілі навіть тому, хто ніколи не бачив risk map.
• Запит на рішення. Кожен звіт повинен закінчуватися дією. «Потрібно інвестувати», «треба змінити процес», «варто винести питання на стратсесію». Без цього звіт — мертва буква.

Бо якщо CRO мовчить — компанія йде сліпою. Якщо CRO говорить, але не пропонує дій — компанія глуха. А справжня сила звітності у тому, щоб мозок (правління) чув і бачив ті самі сигнали, що й нервові закінчення на периферії.

У фіналі можна сказати так: CRO не просто звітує правлінню. Він дає компанії здатність відчувати майбутнє і готуватися до нього.

          У третій статті циклу ми перейдемо від операційних і тактичних сигналів до стратегічного рівня — поговоримо про звіти CRO Наглядовій раді, де ризики набувають значення не як інциденти, а як фактори майбутнього розвитку компанії.

Сергій Бабич