Цикл «ERM у дії: як побудувати систему, що реально впливає на рішення»

Індикатори ризику повинні попереджати про проблему, а не лише підтверджувати, що вона вже сталася.

У багатьох організаціях дашборди ризиків містять десятки або навіть сотні показників. Проте велика кількість індикаторів не означає кращого контролю. Навпаки, надлишок даних часто ускладнює розуміння того, що насправді відбувається з ризиковим профілем компанії.

Вступ

У попередній статті ми розглядали роль лімітів і тригерів у системі управління ризиками. Проте для того, щоб ця система працювала, компанія повинна мати надійні індикатори, які сигналізують про зміну ризикового профілю. Саме індикатори дозволяють зрозуміти, коли ситуація починає відхилятися від очікуваного сценарію.

Багато організацій намагаються вирішити це завдання шляхом створення великих дашбордів ризиків. У них включають десятки показників: фінансові коефіцієнти, операційні метрики, статистику інцидентів, результати аудиту та інші дані. Формально така система виглядає дуже детальною і навіть переконливою.

Проте на практиці надмірна кількість індикаторів часто створює протилежний ефект. Керівництво отримує занадто багато інформації, але водночас втрачає можливість швидко зрозуміти, які саме сигнали потребують уваги. У результаті важливі зміни можуть загубитися серед великої кількості другорядних показників.

Саме тому ефективна система управління ризиками повинна спиратися не на велику кількість показників, а на невелику групу ключових індикаторів ризику (KRI), які дозволяють вчасно побачити зміну ситуації. У цій статті ми розглянемо, як обрати такі індикатори і чому іноді десять показників можуть бути значно кориснішими, ніж сотня.

Чому дашборди ризиків часто не працюють

Бажання виміряти ризики через велику кількість показників виглядає цілком логічним. Якщо компанія стикається з різними видами ризиків — ринковими, страховими, операційними, технологічними — природно припустити, що для їхнього контролю потрібно багато індикаторів. Саме тому багато організацій створюють великі системи моніторингу, які збирають різноманітні дані з різних підрозділів.

Проблема полягає в тому, що така система дуже швидко починає перевантажувати користувачів інформацією. Керівники отримують таблиці або дашборди, де десятки показників мають різні тенденції. Одні зростають, інші знижуються, деякі змінюються сезонно, інші коливаються випадково. У такій ситуації стає складно зрозуміти, які зміни справді сигналізують про ризик.

Розглянемо типову ситуацію з операційними ризиками. Компанія вирішує контролювати якість процесів через велику кількість показників: кількість інцидентів, кількість скарг клієнтів, тривалість обробки заявок, кількість технічних збоїв, кількість виправлених помилок у системах і багато інших метрик. У підсумку формується великий дашборд, який регулярно оновлюється і виглядає дуже детальним.

Але коли керівництво дивиться на цей дашборд, виникає природне питання: що з цього всього справді важливо? Наприклад, кількість інцидентів може зростати просто тому, що компанія покращила систему їх реєстрації. Збільшення часу обробки заявок може бути пов’язане з сезонним навантаженням, а не з проблемою процесів. У результаті керівники бачать багато цифр, але не отримують чіткого сигналу про реальний рівень ризику.

Ще одна типова проблема виникає у фінансових показниках. Наприклад, компанія може відстежувати десятки коефіцієнтів: рентабельність портфеля, рівень витрат, частку перестрахування, ліквідність активів, структуру інвестиційного портфеля. Кожен із цих показників може бути корисним сам по собі, але разом вони створюють складну картину, яку важко швидко інтерпретувати.

У такій ситуації керівництво починає покладатися не на індикатори, а на власне інтуїтивне відчуття ситуації або на загальні фінансові результати компанії. Парадокс полягає в тому, що система індикаторів формально існує, але її вплив на управлінські рішення залишається обмеженим.

Ще одна причина, чому великі дашборди не працюють, полягає в тому, що багато показників є індикаторами наслідків, а не попереджувальними сигналами. Наприклад, зростання збитковості портфеля вже означає, що проблема фактично відбулася. У цей момент компанія може лише реагувати на наслідки, але не попередити саму подію.

Саме тому ефективна система KRI повинна зосереджуватися на невеликій кількості показників, які дозволяють побачити зміну ситуації до того, як вона стане очевидною у фінансових результатах. Такі індикатори повинні бути простими, зрозумілими і безпосередньо пов’язаними з ризиками, які компанія намагається контролювати.

У практиці багатьох організацій це означає радикальне скорочення кількості показників. Замість великого набору метрик керівництво отримує невелику групу ключових індикаторів, які сигналізують про зміну ризикового профілю. Саме такі індикатори стають основою для системи тригерів і управлінських рішень.

Як відрізнити сигнал від шуму: вибір справжніх KRI

Коли компанія вирішує скоротити кількість індикаторів і залишити лише ключові, виникає природне питання: які саме показники повинні залишитися. Вибір справжніх KRI — це не технічне завдання зі складання списку показників, а управлінське рішення, яке повинно спиратися на розуміння того, як саме формуються ризики в бізнесі.

Головний принцип тут досить простий: хороший KRI повинен показувати зміну ситуації раніше, ніж ця зміна стане очевидною у фінансових результатах або операційних збоях. Якщо показник сигналізує про проблему лише тоді, коли вона вже відбулася, він може бути корисним для аналізу, але не для управління.

Розглянемо приклад зі страховим портфелем. Багато компаній використовують збитковість як ключовий показник ризику. Безумовно, цей індикатор є важливим, але він має одну фундаментальну особливість: він показує наслідок, а не причину. Коли збитковість починає зростати, це означає, що проблема вже матеріалізувалася. Компанія може підвищити тариф або змінити умови страхування, але вона вже реагує на ситуацію постфактум.

Набагато кориснішим сигналом у такій ситуації може бути інший показник — наприклад, зміна структури портфеля або зростання частки ризиків, прийнятих на спрощених умовах андеррайтингу. Якщо компанія бачить, що нові договори укладаються швидше, ніж їх встигає якісно оцінити андеррайтинг, це може бути раннім сигналом того, що майбутня збитковість портфеля зросте.

Ще одна типова ситуація виникає в операційних ризиках. Компанія може контролювати кількість операційних інцидентів — наприклад, помилки в обробці договорів або затримки у врегулюванні збитків. Але сам по собі цей показник не завжди є хорошим KRI. Якщо система реєстрації інцидентів працює краще, кількість зареєстрованих подій може навіть збільшитися, хоча реальний рівень ризику залишиться незмінним.

Більш інформативним індикатором у такій ситуації може бути частка складних або нестандартних операцій, які потребують ручної обробки. Якщо цей показник починає зростати, це може сигналізувати про перевантаження процесів або недостатню автоматизацію. Такий сигнал з’являється значно раніше, ніж масові помилки або затримки почнуть впливати на клієнтів.

Інший приклад можна знайти у сфері технологічних ризиків. Багато організацій відстежують кількість ІТ-інцидентів або час простою систем. Це важливі показники, але вони знову ж таки відображають вже реалізовані проблеми. Набагато кориснішим KRI може бути, наприклад, кількість критичних змін у системах, які впроваджуються без повного тестування, або частка систем, що працюють на застарілих версіях програмного забезпечення.

Такі показники не означають, що проблема вже виникла, але вони сигналізують про зростання ймовірності майбутніх інцидентів. Саме тому вони є більш цінними з точки зору управління ризиками.

Ще один важливий критерій вибору KRI — його зрозумілість для керівництва. Індикатор, який потребує складної інтерпретації або спеціальних пояснень, навряд чи стане ефективним управлінським інструментом. Керівники повинні мати можливість швидко зрозуміти, що означає зміна показника і чому вона є важливою.

Саме тому багато успішних систем управління ризиками використовують невелику кількість простих індикаторів, які безпосередньо пов’язані з ключовими процесами бізнесу. Коли такий показник змінюється, керівництво одразу розуміє, що відбувається і які рішення можуть знадобитися.

У результаті відбір справжніх KRI зводиться до одного ключового запитання: чи допомагає цей індикатор побачити проблему до того, як вона стане очевидною для всієї організації. Якщо відповідь позитивна, показник має високу цінність для системи управління ризиками. Якщо ж він лише фіксує вже відомі наслідки, його роль у системі повинна бути допоміжною.

Скільки KRI насправді потрібно компанії

Коли організація починає серйозно працювати з індикаторами ризику, перше практичне питання зазвичай звучить дуже просто: скільки їх має бути. Інтуїтивна відповідь часто така: чим більше показників, тим краще контроль. Саме тому багато компаній поступово накопичують десятки індикаторів, кожен із яких відображає певний аспект ризику.

Однак практика показує протилежне. Коли кількість показників стає занадто великою, система моніторингу починає втрачати ефективність. Керівництво отримує занадто багато інформації, але водночас не має можливості швидко зрозуміти, які саме сигнали є критичними. У результаті частина індикаторів перестає привертати увагу, а справді важливі сигнали можуть залишитися непоміченими.

Саме тому багато зрілих систем управління ризиками використовують обмежену кількість ключових індикаторів. У практиці фінансових організацій це часто означає приблизно десять–п’ятнадцять показників, які охоплюють основні групи ризиків. Такий підхід дозволяє керівництву регулярно переглядати всі індикатори і при цьому зберігати чітке розуміння загальної картини.

Важливо також розуміти, що KRI повинні бути пов’язані з конкретними джерелами ризику. Наприклад, для страхової компанії ключові індикатори можуть бути пов’язані з трьома основними зонами: якістю страхового портфеля, операційною стабільністю процесів і фінансовою стійкістю. Саме ці фактори найчастіше визначають загальний ризик-профіль бізнесу.

Розглянемо умовний приклад структури KRI для страхової компанії.

Такий підхід дозволяє керівництву бачити загальну картину ризиків без перевантаження деталями. Кожен індикатор пов’язаний із конкретним типом ризику і має чітке значення для управлінських рішень.

Ще один важливий аспект полягає в тому, що різні рівні управління можуть використовувати різну деталізацію індикаторів. Наприклад, операційні підрозділи можуть працювати з більшою кількістю показників, які допомагають контролювати процеси на щоденному рівні. Проте для правління або наглядової ради зазвичай достатньо невеликої групи ключових індикаторів, які відображають загальний ризик-профіль компанії.

На практиці це означає, що система KRI має ієрархічну структуру. На нижньому рівні можуть існувати десятки операційних метрик, але вони агрегуються у кілька ключових індикаторів, які регулярно розглядає керівництво. Саме ці показники стають основою для системи тригерів і лімітів, про які йшлося в попередній статті.

Важливо також, щоб KRI не залишалися статичними. Зміни в бізнес-моделі, ринку або технологіях можуть створювати нові джерела ризику. У таких випадках компанія повинна переглядати систему індикаторів і коригувати її відповідно до нових умов.

У результаті ефективна система KRI виглядає не як великий дашборд із десятками показників, а як невелика група індикаторів, які керівництво регулярно аналізує і використовує для прийняття рішень. Саме така система дозволяє ризик-менеджменту виконувати свою ключову функцію — сигналізувати про зміну ситуації до того, як вона стане очевидною для всіх.

Що це означає для побудови системи KRI

Розглянуті приклади показують, що ключова проблема більшості систем індикаторів полягає не у відсутності даних, а у їх надлишку. Організації часто намагаються контролювати ризики через велику кількість показників, але така модель рідко допомагає керівництву приймати кращі рішення. Навпаки, вона створює інформаційний шум, у якому важливі сигнали губляться серед другорядних метрик.

Саме тому ефективна система KRI повинна бути побудована за іншим принципом. Замість великого дашборду показників вона повинна містити невелику групу індикаторів, які безпосередньо пов’язані з ключовими джерелами ризику в бізнесі. Такі індикатори мають бути зрозумілими для керівництва, регулярно переглядатися і мати чіткий зв’язок із системою лімітів і тригерів.

Ще одна важлива особливість полягає в тому, що KRI повинні виконувати роль ранніх сигналів. Якщо індикатор лише підтверджує проблему, яка вже стала очевидною, його користь для управління ризиками обмежена. Натомість справжні KRI дозволяють побачити зміну ситуації ще до того, як вона почне впливати на фінансові результати або операційну діяльність компанії.

У практичному сенсі це означає, що система KRI повинна бути тісно пов’язана з управлінськими рішеннями. Коли показник починає змінюватися, керівництво повинно розуміти, що саме це означає для бізнесу і які дії можуть знадобитися. Саме в такому випадку індикатори стають не елементом звітності, а інструментом управління.

Висновок

Ключові індикатори ризику є важливою частиною системи управління ризиками, але їхня цінність визначається не кількістю, а якістю. Невелика група правильно обраних показників може дати керівництву значно більше інформації про реальний стан ризиків, ніж великий набір другорядних метрик.

Коли система KRI побудована правильно, вона дозволяє організації швидко бачити зміну ризикового профілю і реагувати на неї до того, як проблеми почнуть впливати на результати діяльності. У цьому сенсі індикатори ризику виконують роль своєрідної системи раннього попередження, яка допомагає підтримувати баланс між розвитком бізнесу і його стійкістю.

Разом із системою лімітів і тригерів KRI формують основу операційної архітектури управління ризиками. Вони забезпечують постійний зв’язок між фактичними показниками діяльності компанії і межами ризику, які визначає її стратегія.

Проте навіть добре побудована система індикаторів і тригерів не відповідає на ще одне важливе питання: як зрозуміти, що система управління ризиками дійсно приносить користь організації.

Саме цьому питанню буде присвячена фінальна стаття циклу — як оцінити реальний вплив ERM на управлінські рішення і чому ефективність системи ризик-менеджменту вимірюється не кількістю звітів, а змінами в управлінській практиці.

Сергій БАБИЧ