Звітність у ризик-менеджменті часто сприймають як нудну й технічну рутину: якісь таблиці, стрілочки, «світлофори» та нескінченні слайди. Насправді ж — це щось значно більше. Звітність у системі ризик-менеджменту — це не просто Excel із цифрами, це нервова система компанії. Вона передає імпульси від найменших клітинок організації до мозку — правління і наглядової ради. Якщо цей зв’язок переривається, навіть найздоровіше тіло може втратити чутливість і не помітити небезпечної рани.

       Цією статтею ми відкриваємо цикл матеріалів, у яких уважно розглянемо, хто кому і про що має звітувати в ризик-менеджменті. Почнемо з самого фундаменту — звітності власників ризиків перед головним ризик-менеджером. Далі піднімемося вище: звіти CRO для правління, потім — для наглядової ради. Поговоримо про квартальні звіти, про те, як на них реагувати, де місце внутрішнього аудиту й чому наглядова рада не має права бути пасивним «отримувачем інформації».

      І, звісно, будуть приклади. Реальні, смішні й сумні. Бо саме через них найкраще видно, як сухі регламенти перетворюються на живий процес, а подекуди — як через відсутність нормальної звітності компанія втрачає мільйони.

Хто такі власники ризиків і чому вони мають звітувати

Уявімо собі компанію як величезний корабель. Є капітан (правління), є старші офіцери (керівники департаментів), є штурман (CRO), а є ті, хто стежать за конкретними ділянками: двигун, вітрила, камбуз. Це і є власники ризиків. І якщо машиніст мовчки спостерігає, як двигун починає піддимлювати, то капітан про це може дізнатися лише тоді, коли корабель уже стане посеред океану.

У корпоративній реальності це виглядає так:

• директор з ІТ відповідає за кіберризики;
• начальник відділу врегулювання збитків — за ризики шахрайства;
• керівник андеррайтингу — за андеррайтингові ризики.

Формально все зрозуміло: у положенні написано «відповідальний за ризик». Але тут і починається найцікавіше. Бо між формальним «призначений» і реальним «усвідомлює» лежить ціла прірва. Часто можна почути знамените: «Це не мій ризик, це ризик-менеджери вигадали!» І тут у багатьох CRO нервово сіпається око. Адже якщо власник ризику не відчуває відповідальності, то жодна система звітності не працюватиме.

Звітність якраз і дисциплінує. Вона робить ризик не абстракцією, а частиною щоденних завдань. Бо коли раз на місяць чи квартал керівник підписує звіт, де чорним по білому написано «у моєму процесі три інциденти й жовта зона KRI», відмахнутися від цього вже важче. Це як з тренажерною залою: поки абонемент лежить у кишені, можна відкладати, але коли тренер чекає на звіт про вагу й повтори — мотивація різко зростає.

Тому власник ризику має звітувати не для галочки і не тому, що «так хоче CRO», а тому що це єдиний спосіб зробити його відповідальність реальною, а не паперовою.

Що саме має бути у звіті

Тут варто сказати відверто: якщо дати власнику ризику повну свободу у форматі, він може надіслати все що завгодно — від 20-сторінкової одіссеї з деталями кожного інциденту до трьох слів «усе нормально, тримаюсь». Обидва варіанти однаково шкідливі. Тому система звітності має чітко задавати рамки.

Ідеальний звіт risk owner, як на мене,  — це максимум дві сторінки. Усе, що довше, ризикує перетворитися на бюрократичний епос, який ніхто не читатиме. А тепер — по суті.

1. KRI (ключові індикатори ризику).
   Це серце звіту. Вони мають бути зрозумілими, вимірюваними й такими, що сигналізують про проблеми.
   • Для ІТ — «кількість зареєстрованих інцидентів за місяць».
   • Для відділу продажів — «частка заявок, відхилених андеррайтингом».
   • Для фінансів — «відсоток прострочених дебіторських платежів».

Тут важливо уникати абстракцій на кшталт «ризик на середньому рівні». Це як температура у лікарні: якщо пацієнт приходить і каже «ну, десь так собі», лікареві важко зробити висновки. А от коли градусник показує 38,2 — все стає ясно.

1. Події та інциденти.
   Тут потрібна коротка хроніка: що сталося, який був вплив, що зроблено. Без багатосторінкових актів, але й без замовчування. І головне — чесність. Адже «дрібні збої» у звітності часто перетворюються на великі проблеми в реальності.
2. Оцінка тренду.
   Чи зростає ризик? Чи він стабільний? Чи, навпаки, вдається тримати його під контролем? Тренд — це не просто стрілочка вгору чи вниз, це спосіб показати, куди все рухається. Бо для правління важливіше знати не «де ми зараз», а «де будемо через квартал».
3. План дій.
   У хорошому звіті завжди має бути розділ «що робимо». Якщо показники погіршуються, то має бути план корекційних заходів. Якщо стабільні — як підтримувати. А якщо все добре — що робимо, щоб так залишалося.
4. Коментар власника ризику.
   Це маленький, але дуже важливий блок. Три-чотири речення, де керівник пише своє суб’єктивне бачення. Іноді ці кілька рядків вартують більше, ніж уся таблиця. Наприклад: «На мою думку, найбільший ризик зараз не в кіберінцидентах, а в тому, що ми втратили ключового спеціаліста і заміни поки немає».

У результаті CRO отримує не хаотичні цифри й відписки, а концентрат: індикатори, факти, тенденції та дії. Тобто той матеріал, із якого можна ліпити реальну аналітику.

Формати звітів: від телеграм до «світлофорів»

Формат звіту — це як стиль одягу: він має відповідати нагоді. На вечірку можна прийти у футболці, але на переговори з регулятором — не дуже. Так само і зі звітами власників ризиків: не кожен формат підходить для швидкого ухвалення рішень.

Найчастіше використовуються кілька перевірених варіантів.

1. Таблиця «одна сторінка».
   Класика жанру. Простий Excel або слайд, де кожен рядок — це ризик, а колонки: KRI, значення, тренд, зона (зелена/жовта/червона), коментар.

• Плюси: зрозуміло, швидко переглядається.
• Мінуси: легко перетворюється на «кладовище цифр», якщо KRI забагато.

2. Система «світлофорів» (RAG — red, amber, green).
   Улюблений формат більшості керівників: замість тонни цифр одразу видно, де проблема.

• Зелений — усе в межах апетиту.
• Жовтий — на межі, треба придивитися.
• Червоний — біда, потрібна реакція.

Тут працює той самий принцип, що й на дорогах: не обов’язково знати швидкість кожної машини, достатньо зрозуміти, чи можна їхати далі, чи пора зупинитися.

3. Інфографіка.
   Якщо ризик «живий» і має динаміку (кількість інцидентів, збитки від шахрайства, рівень простроченої дебіторки), то діаграма чи графік іноді говорять більше, ніж десять сторінок пояснень. Усе стає зрозуміло одразу: крива йде вгору — значить, ризик посилюється.
4. Гібридні формати.
   Найбільш практичний варіант: таблиця з ключовими KRI плюс 1–2 графіки для трендів. Так звіт залишається компактним, але водночас має «живі» візуальні сигнали.
5. Неформальні «ad hoc» звіти.
   Так, іноді й вони потрібні. Коли стається серйозний інцидент, власник ризику має одразу «підняти трубку» — у переносному чи прямому сенсі. Це не завжди таблиця чи графік, це може бути коротке повідомлення: «У нас стався злам, працюємо над локалізацією, звіт буде за 2 години». Важливо, щоб CRO дізнався вчасно, а не з новин.

Роль CRO: диригент у ризиковому оркестрі

Головний ризик-менеджер у цій системі — не «поштовий ящик», який збирає папірці від власників ризиків і передає далі. CRO — це диригент. Він не пише ноти за музикантів, але саме від нього залежить, чи буде гармонія, чи хаотичний шум.

По-перше, CRO задає ритм. Якщо він не визначить формат і дедлайни, власники ризиків будуть звітувати, хто як звик: один 5-го числа, інший 25-го, хтось раз на пів року. А коли всі грають у різному темпі, партитуру скласти неможливо.

По-друге, CRO забезпечує якість. Його завдання — не тільки прийняти звіт, але й подивитися критично: чи реальні там цифри, чи вони «намальовані». Якщо керівник відділу пише, що в нього завжди зелена зона, а всі знають, що червоний сигнал мигає з березня, — це привід поставити питання.

По-третє, CRO робить переклад «з мови департаментів» на «мову правління». Для ІТ-директора важливо, що «було три DDoS-атаки з 400 тисячами запитів». Для правління це абстракція. CRO має сказати простіше: «Через атаки система була недоступна три години, клієнти не могли оплачувати поліси — потенційні втрати оцінюємо у 2 млн грн».

По-четверте, CRO забезпечує зворотний зв’язок. Якщо звітність працює лише в один бік («принесли — поклали — забули»), то власники ризиків втрачають мотивацію. Натомість, коли CRO повертає результати консолідації й показує: «дивіться, у вас трьох повторюється проблема з персоналом», тоді звітність починає грати роль дзеркала для самої компанії.

І нарешті, CRO має сміливість піднімати тему вище. Бо сенс не в тому, щоб констатувати факти, а щоб домогтися рішень. Іноді це непопулярно, але без цього ризик-звіти перетворюються на архів, а не на інструмент управління.

Практика: коли звітність рятує, а коли підводить

Позитивний кейс

В одній страховій компанії начальник відділу врегулювання збитків щомісяця звітував про KRI, серед яких був показник: «середній час розгляду заявки клієнта».
Одного разу цифра різко стрибнула вгору: замість звичних 3–4 днів вона сягнула 7. У звіті він чесно написав: «Маємо нестачу кадрів у пікові періоди. Якщо ситуація не зміниться, скарги клієнтів будуть рости, а ризик відтоку збільшиться».

CRO включив цей сигнал у консолідований квартальний звіт і виніс питання на правління. Результат — виділили бюджет на кількох нових співробітників, ввели просту систему чергування, а через квартал час розгляду знову повернувся до норми. Компанія уникла репутаційного удару й реальних фінансових втрат.

Мораль проста: один чесний звіт risk owner врятував компанію від лавини скарг і відтоку клієнтів.

Негативний кейс

Банк. У ІТ-відділі часто виникали дрібні збої: система лягала на 5–10 хвилин, потім відновлювалася. Начальник департаменту вирішив, що це «буденні дрібниці», і у звітах CRO про них не згадував.

Через пів року «дрібниці» склалися в картину: накопичені проблеми призвели до масштабного збою, коли платежі не працювали добу. СМІ написали, клієнти панікували, НБУ почав задавати незручні питання. І саме тоді з’ясувалося, що в компанії вже було понад 20 зафіксованих «дрібних» інцидентів, які так і не потрапили у систему звітності.

Мораль тут теж очевидна: коли risk owner замовчує проблеми, організація стає сліпою і глухою до власних ризиків.

Висновки: маніфест звітності власників ризиків

Звітність власників ризиків — це не про таблички й бюрократію. Це про чесність. Про сміливість дивитися на свої процеси без рожевих окулярів. Про здатність сказати: «У мене тут проблема, і якщо ми нічого не зробимо — нас накриє хвиля». Без цієї звітності вся система RM2 перетворюється на картонний фасад. Правління може слухати красиві презентації CRO, наглядова рада може отримувати блискучі графіки, але якщо внизу немає сигналів — усе це самообман.

Тому перше правило: звітність має бути короткою, конкретною і регулярною. Ніяких «романів» і ніяких «усе добре». Лише факти, індикатори, тренди й дії.

Друге правило: краще перебільшити проблему, ніж її замовчати. Бо з дрібниць виростають катастрофи. Якщо у вас ледь-ледь протікає дах — напишіть про це зараз. Інакше через рік ми будемо вичерпувати воду з підвалу.

Третє правило: звітність повинна жити. Вона не має лежати у шухляді. CRO має консолідувати її, показувати перехресні проблеми, добиватися реакції правління. Тільки тоді вона перетворюється з паперу на інструмент.

І четверте: звітність власників ризиків — це справа честі. Так, саме так. Це показник того, наскільки людина відчуває відповідальність за свій процес. Бо можна бути керівником відділу, менеджером, директором, але якщо ти ігноруєш свої ризики — ти лишаєш корабель без вартового.

У підсумку: звітність власників ризиків — це не додаткова робота. Це нервова система, яка дозволяє організації відчувати світ і вчасно реагувати. І якщо ми хочемо, щоб наш бізнес не був паралізованим тілом, а живим і чутливим організмом — маємо навчитися чесно й регулярно говорити про свої ризики.

Наступна стаття нашого циклу буде про те, як головний ризик-менеджер має звітувати правлінню: що їм справді потрібно знати, а що можна залишити «за лаштунками».

Сергій Бабич