Цикл «Коли управління ризиками не спрацьовує»

Після кожної великої кризи — чи то в банківській системі, чи на страховому ринку, чи всередині окремої компанії — лунає знайома формула виправдання: «Процедури були. Політики затверджені. Ліміти встановлені. Комітети засідали». І це, як правило, правда. Документи існували. Звіти готувалися. Служба управління ризиками сигналізувала. Проте рішення ухвалювалися так, ніби жодних меж не існувало.

У таких ситуаціях виникає незручне запитання: що саме не спрацювало? Чи була система надто слабкою? Чи, навпаки, вона виконала свою функцію — але люди свідомо вирішили її обійти, інтерпретувати гнучко або відкласти реакцію «до кращих часів»? Досвід ринку показує: у більшості випадків ризик не був невідомим. Його бачили. Його описували в профілі ризиків. Його навіть обговорювали на рівні правління. Але в момент ухвалення рішення ваги були зсунуті не на бік обережності.

Цей цикл — про ту точку розриву, де формальна система управління ризиками перестає впливати на поведінку. Про момент, коли відповідальність більше не розчиняється у колегіальності, а стає персональною. І про те, чому інколи служба управління ризиками перетворюється на свідка кризи, а не на її запобіжник.

Сигнал був. Але рішення приймалося в іншій логіці

У більшості професійних організацій криза не починається з «чорного лебедя». Вона починається з повільного зміщення параметрів, яке видно в цифрах задовго до публічного провалу. І якщо чесно переглянути внутрішні звіти за рік-два до проблеми, там майже завжди знайдеться раннє попередження.

Наприклад, страхова компанія протягом трьох кварталів поспіль демонструє зростання комбінованого коефіцієнта в одному сегменті. Формально він ще не перевищує критичну межу. Але тренд стабільно негативний. Паралельно служба андеррайтингу знижує тарифи, щоб утримати частку ринку. У звіті управління ризиками з’являється формулювання: «спостерігається тенденція до погіршення маржинальності портфеля». Це не порушення ліміту. Це сигнал. Рішення ж приймається з іншої логіки: «ринок тимчасово просідає, після стабілізації ми відновимо баланс». Через рік портфель уже структурно збитковий.

Інший кейс — інвестиційний портфель страховика. Частка активів із підвищеним кредитним ризиком повільно зростає, оскільки дохідність державних інструментів падає. Формально концентраційні ліміти не перевищені. Але структура ризику змінюється. Служба управління ризиками вказує на підвищення чутливості до кредитних подій. Правління відповідає: «ризик компенсується додатковою дохідністю». Коли настає подія дефолту, виявляється, що портфель був не диверсифікований, а просто розтягнутий у часі.

Ще один типово український приклад — дебіторська заборгованість у корпоративному страхуванні. Зростання прострочення пояснюється «складною економічною ситуацією клієнтів». Ризик-менеджмент фіксує накопичення залежності від кількох великих контрагентів. Але бізнес-підрозділ аргументує: «це стратегічні партнери, втрачати їх не можна». Через певний час компанія стикається не лише з проблемою ліквідності, а й із репутаційним ризиком через судові спори.

У кожному з цих випадків сигнал не був проігнорований. Його не приховували. Його навіть обговорювали. Але інтерпретація сигналу відбувалася через призму цільового показника — зростання премій, дохідності, частки ринку, виконання бюджету. Ризик розглядався як супутній фактор, а не як обмеження.

Тут виникає ключовий зсув: управлінська логіка короткострокового результату починає домінувати над логікою стійкості. Формально всі показники ще «в межах». Фактично компанія вже змінила свій профіль ризику, не визнавши цього на рівні стратегічного рішення.

Проблема полягає не у відсутності методики. Проблема в тому, що жодна методика не змусить управлінця переглянути рішення, якщо система мотивації, очікування акціонера або особиста кар’єрна логіка підштовхують рухатися вперед. У цей момент управління ризиками перестає бути частиною архітектури рішення і стає його супровідним коментарем.

Саме з цієї точки починається розрив. Не з помилки в розрахунку. Не з недосконалого регламенту. А з того моменту, коли сигнал існує — але рішення приймається в іншій координатній системі.

Коли ескалація не відбулася: механізм мовчазного накопичення ризику

У більшості регламентів порядок ескалації прописаний детально: хто інформує, у які строки, за яких умов питання виноситься на правління або наглядову раду. На папері система виглядає бездоганною. Проте практика показує: формальна наявність процедури не гарантує її застосування у критичний момент.

Показовим є кейс британського банку HBOS напередодні фінансової кризи 2008 року. Після поглинання та активної експансії банк суттєво наростив кредитування у секторі комерційної нерухомості. Внутрішні підрозділи ризик-менеджменту неодноразово звертали увагу на концентрацію ризику та агресивність бізнес-моделі. Проте стратегічний наратив правління залишався незмінним: швидке зростання як конкурентна перевага. Коли ринок нерухомості почав падати, масштаби концентрації стали очевидними. У подальших офіційних розслідуваннях регулятор прямо вказував на слабку внутрішню культуру виклику рішень (challenge culture). Ескалація формально існувала, але її вплив був мінімальним.

Інший приклад — інвестиційний банк Lehman Brothers. Задовго до банкрутства аналітики та внутрішні підрозділи фіксували надмірну залежність від короткострокового фінансування та зростання позицій у ризикових іпотечних паперах. Інформація про це не була таємницею всередині організації. Проте стратегічна ставка на збереження ринкової позиції переважила. Відомі внутрішні матеріали, оприлюднені в межах судових процесів, демонструють, що дискусії щодо рівня ризику відбувалися, але рішення не змінювалися. Це класичний випадок, коли ескалація перетворюється на обговорення без корекції курсу.

Схожий механізм спостерігався і в страховому секторі. Після фінансової кризи низка європейських страховиків переглядали свої підходи до інвестиційної політики саме тому, що раніше застереження щодо ліквідності та якості активів не отримували належної ваги. Регуляторні звіти того періоду фіксували: проблемою була не відсутність аналітики, а недостатня інтеграція висновків ризик-менеджменту в стратегічні рішення.

Що об’єднує ці кейси? По-перше, сигнали існували задовго до катастрофи. По-друге, вони були відомі керівництву. По-третє, рішення не були прийняті під тиском браку інформації — вони приймалися під тиском цілей зростання, очікувань інвесторів і конкуренції.

Механізм «не-ескалації» часто виглядає не як відверте приховування, а як поступове зниження гостроти проблеми в комунікації. Формулювання стають м’якшими. Ризик описується як «контрольований». Акцент переноситься з концентрації на прибутковість. У підсумку правління отримує не сигнал тривоги, а технічну ремарку.

Для ризик-менеджера ключове питання звучить так: чи передбачає система не лише право інформувати, а й обов’язок наполягати? І чи існує механізм, за якого незгода фіксується не як формальність, а як фактор, що реально впливає на рішення?

Саме в цій точці управління ризиками переходить з площини методики у площину культури. Ескалація — це не тільки процедура. Це готовність поставити під сумнів рішення, яке вже фактично ухвалене.

Коли задекларовані межі не визначають поведінку

Затвердження ризик-апетиту на рівні наглядової ради — це завжди сильний формальний сигнал: компанія усвідомлює свої межі. У документі фіксуються кількісні орієнтири щодо достатності капіталу, концентрацій, ліквідності, волатильності результату. Але справжня перевірка цього документа починається не в момент його підписання, а тоді, коли стратегічна можливість суперечить задекларованій обережності.

Показовим прикладом є кейс американської страхової групи AIG напередодні кризи 2008 року. Група мала розвинену систему управління ризиками, багаторівневу структуру контролю та формальні ліміти. Проте підрозділ фінансових продуктів активно нарощував операції з кредитними деривативами, які фактично створювали значну позабалансову експозицію. Формально кожна операція проходила погодження, але на рівні групи ризиковий профіль змінювався швидше, ніж система прийняття рішень встигала це усвідомити. Коли ринок іпотечних цінних паперів обвалився, виявилося, що задекларований рівень толерантності до ризику не відповідав фактичному масштабу зобов’язань.

Інший характерний приклад — крах британського підрядника Carillion. Компанія системно брала участь у великих державних контрактах із низькою маржинальністю та високими операційними ризиками. Фінансові звіти протягом років демонстрували зростання дебіторської заборгованості та зниження грошових потоків. При цьому дивідендна політика залишалася агресивною. Формально фінансові показники ще не виходили за межі допустимого, але стратегічна поведінка свідчила про готовність приймати ризик ліквідності, який не відповідав довгостроковій стійкості. Після банкрутства офіційні розслідування прямо вказували на розрив між управлінськими рішеннями та реальним фінансовим станом.

У банківському секторі аналогічний механізм проявився у випадку Credit Suisse. Упродовж кількох років банк пережив серію ризикових подій — від втрат, пов’язаних із Archegos, до проблем із фондами, пов’язаними з Greensill. Формально ризик-апетит існував, контрольні функції працювали, але накопичення інцидентів свідчило про системну готовність приймати підвищений ризик у гонитві за дохідністю. Кінцева криза довіри стала наслідком не одного рішення, а послідовності рішень, які розширювали межі прийнятного.

Спільна риса цих випадків полягає в тому, що межі не порушувалися одномоментно. Вони поступово «розтягувалися». Кожне окреме рішення мало логічне обґрунтування: ринкова можливість, конкурентний тиск, стратегічна необхідність. Але сукупність таких рішень змінювала профіль ризику швидше, ніж система управління ризиками встигала адаптуватися.

Управлінська небезпека тут у тому, що ризик-апетит починає виконувати роль аргументу в дискусії, а не реального обмежувача. Якщо показник ще не перетнув ліміт — рішення вважається допустимим. Проте дух обмеження може бути вже давно порушений. Стійкість підміняється формальною відповідністю.

Саме тому головне питання цього розділу не в тому, чи був документ. Питання в іншому: чи існує в компанії механізм, який зупиняє накопичення граничних рішень? Чи є точка, після якої правління зобов’язане переглянути стратегію, навіть якщо жоден показник формально не «червоний»?

Розрив між задекларованими межами та фактичною поведінкою — це не технічна вада. Це управлінський вибір. І саме він у підсумку визначає, чи стане система управління ризиками бар’єром, чи лише хронологією подій.

Коли керівник служби управління ризиками стає спостерігачем

У більшості організацій керівник служби управління ризиками має формально незалежний статус, прямий доступ до правління та наглядової ради, право висловлювати позицію без погодження з бізнес-підрозділами. На схемі корпоративного управління все виглядає правильно. Але реальна сила цієї позиції перевіряється лише в одному випадку — коли позиція ризик-менеджменту суперечить стратегічному рішенню.

У практиці банківського сектору після кризи 2008 року неодноразово підкреслювалося, що проблема полягала не лише в моделях чи оцінках. У ряді розслідувань щодо великих фінансових інституцій прямо зазначалося: функція управління ризиками не мала достатнього впливу на фінальні рішення. Інформація була представлена, але вона не змінювала курсу. І це суттєво відрізняється від ситуації, коли ризик просто не був ідентифікований.

Показовим є кейс Barings Bank. Хоча це історія 1990-х років, її досі аналізують у програмах з корпоративного управління. Трейдер Нік Лісон роками накопичував приховані збитки. Система внутрішнього контролю формально існувала, але функції були поєднані, а незалежний контроль був ослаблений. Ризикові сигнали не трансформувалися в жорстке втручання. У підсумку банк з історією понад 200 років збанкрутував через відсутність реального стримуючого механізму.

Більш сучасний приклад — скандал із фіктивними рахунками у Wells Fargo. Внутрішні підрозділи неодноразово фіксували проблеми з практиками продажів, що стимулювали відкриття рахунків без згоди клієнтів. Сигнали надходили, але стратегічна орієнтація на агресивні показники продажів домінувала. Після розслідувань стало очевидно: проблема була не в нестачі інформації, а в тому, що культура результату переважала культуру контролю.

У кожному з цих випадків постає складне питання: чи достатньо для керівника служби управління ризиками зафіксувати незгоду в протоколі? Формально — так. Але якщо ризик матеріалізується, суспільство, регулятор і акціонери не оцінюють протокольні формулювання. Вони оцінюють результат.

Професійна дилема полягає в наступному: служба управління ризиками не є органом виконавчої влади в компанії. Вона не приймає бізнес-рішень. Але якщо її позиція системно ігнорується, постає питання — чи це проблема системи, чи недостатня наполегливість, авторитет або сміливість самої функції?

У розвинених юрисдикціях після фінансової кризи регулятори почали прямо вимагати посилення ролі керівників контрольних функцій, включаючи можливість прямого звернення до наглядової ради без фільтра правління. Проте навіть формальні повноваження не гарантують впливу, якщо корпоративна культура не сприймає ризик-менеджмент як рівноправного учасника стратегічної дискусії.

Саме тут цикл підходить до своєї центральної теми: управління ризиками зазнає поразки не тоді, коли бракує процедур. Воно зазнає поразки тоді, коли професійна позиція не здатна зупинити рішення, яке веде до накопичення системного ризику.

І це вже питання не структури, а особистої відповідальності — як керівника бізнесу, так і керівника функції ризик-менеджменту.

Коли бонуси переписують межі: як мотивація перемагає обережність

Жодна система управління ризиками не існує у вакуумі. Вона працює всередині економічної логіки компанії — логіки бюджету, рентабельності, преміювання, очікувань акціонера. Якщо ця логіка побудована виключно навколо короткострокового фінансового результату, жоден документ не зможе довго стримувати поведінку, що поступово розширює межі допустимого.

Після скандалу у Wells Fargo офіційні розслідування прямо вказували: ключовим фактором була система стимулювання продажів. Працівники відкривали рахунки без згоди клієнтів не тому, що не знали правил. Вони знали. Але виконання агресивних планів продажів було прив’язане до особистого доходу. Коли показник стає питанням заробітку, межа починає виглядати як перешкода, а не як запобіжник.

Аналогічна динаміка спостерігалася в інвестиційному банкінгу перед кризою 2008 року. У випадку Lehman Brothers та інших великих установ бонусна система орієнтувалася на короткострокову дохідність операцій. Ризик довгострокової ліквідності або концентрації не відображався повною мірою в системі винагород. У результаті менеджери отримували винагороду за обсяг і прибутковість угод, тоді як негативні наслідки реалізувалися пізніше — вже після виплати бонусів.

У страховому секторі механізм працює не менш жорстко. Якщо винагорода топ-менеджменту залежить від приросту премій або частки ринку, то навіть формально помірний ризик-апетит поступово тлумачиться «гнучко». Агресивне ціноутворення, зниження андеррайтингових вимог, прийняття ризиків із мінімальною маржею — усе це може виглядати виправданим, поки показник зростає. Але система управління ризиками в такій конструкції стає фактором, що гальмує досягнення особистої фінансової мети керівника.

Проблема не в самому бонусі. Проблема у відсутності зв’язку між винагородою і довгостроковою стійкістю. Якщо негативні наслідки ризикового рішення проявляються через два-три роки, а премія виплачується за підсумками поточного року, стимул очевидний. Людська поведінка в такій системі передбачувана.

Після глобальної фінансової кризи міжнародні регулятори запровадили вимоги до відкладених виплат та механізмів повернення бонусів у разі негативних наслідків. Але навіть ці інструменти не усувають повністю проблему, якщо стратегічний дискурс компанії залишається орієнтованим на короткий горизонт.

Управління ризиками зазнає поразки не тому, що аналітика слабка. Воно програє тоді, коли економічна мотивація сильніша за обмеження. Коли дохід сьогодні важить більше, ніж стійкість завтра. І доки система винагород не синхронізована з реальним профілем ризику, будь-яка декларація обережності залишатиметься умовною.

Що відрізняє систему, яка запобігає кризі, від системи, що її протоколює

Якщо уважно проаналізувати кейси великих корпоративних провалів — від Barings Bank до Credit Suisse — стає очевидно: проблема рідко полягала у відсутності формальних процедур. У більшості випадків компанії мали регламенти, комітети, ліміти, звітність і навіть стрес-тестування. Відмінність між стійкою організацією та тією, що зламалася, пролягала в іншій площині — у здатності змінювати рішення під впливом ризикової інформації.

Система, яка працює, має одну критично важливу властивість: вона впливає на вибір. Якщо після негативного сигналу стратегія коригується, апетит до ризику переглядається, портфель скорочується або ініціатива відкладається — управління ризиками виконує свою функцію. Якщо ж сигнал лише фіксується, а курс залишається незмінним, система стає свідком, а не запобіжником.

Друга відмінність — наявність реальних «точок зупинки». У стійких компаніях існують ситуації, коли автоматично запускається перегляд рішення: суттєве відхилення від прогнозу, повторюваний інцидент, концентрація понад визначений поріг, серія операційних збоїв. І головне — ці тригери не підлягають політичному тлумаченню. Вони не залежать від настрою керівництва або квартального плану.

Третій фактор — інтеграція ризику в мотиваційну модель. Там, де винагорода топ-менеджменту пов’язана не лише з фінансовим результатом, а й зі стійкістю, поведінка змінюється. Коли порушення межі або матеріалізація значного ризику впливає на персональний дохід, ризик перестає бути абстракцією.

Четверта і, можливо, найскладніша умова — культура професійного виклику. У стійких організаціях незгода не сприймається як нелояльність. Вона розглядається як елемент системи стримувань і противаг. Якщо керівник служби управління ризиками може відкрито поставити під сумнів стратегічну ініціативу без ризику маргіналізації, система має шанс спрацювати до того, як проблема стане публічною.

У підсумку управління ризиками зазнає поразки не через відсутність документації. Воно програє тоді, коли інформація не трансформується в управлінське рішення. Коли «ми сигналізували» стає фінальною точкою відповідальності. Коли система фіксує наближення кризи, але не змінює траєкторію руху.

І саме тут постає наступне питання, яке ми розглянемо в другій статті циклу: чому навіть за наявності формальних процедур ескалація інколи не відбувається? Чому сигнал не піднімається до рівня, де його ще можна перетворити на рішення? І в який момент мовчання стає системним фактором ризику, а не просто комунікаційною похибкою? Продовжимо з розбору механіки не-ескалації — без теорії, з конкретними управлінськими ситуаціями.

Сергій БАБИЧ