Вступаючи на посаду ризик-менеджера вищого рівня — Chief Risk Officer (CRO) — новачок стикається з численними викликами: звідки почати, що насамперед змінити, як зробити функцію ризик-менеджменту стратегічним активом. McKinsey провела понад 30 інтерв’ю з діючими та колишніми CRO у великих фінансових установах, які працювали на посаді щонайменше п’ять років. На основі цих розмов і досліджень визначили шість ключових звичок, що дозволяють CRO бути ефективними з дня перших  днів   У цьому матеріалі саме описуються ці звички — як їх впроваджувати та чому вони важливі в перші місяці на посаді.

Звичка 1. Почніть із місця: перші 100 днів мають значення

Для багатьох новопризначених керівників відділів ризиків (CRO) перші кілька місяців стають періодом орієнтації, «мʼякого входження», розуміння культури компанії, її бізнес-моделі та вивчення внутрішніх процесів. Але McKinsey попереджає: такий підхід може бути надто обережним і неефективним. Новим CRO варто діяти рішуче з першого дня — не чекаючи, поки хтось вручить їм «повну карту» ризиків чи запросить до стратегічних дискусій.

За словами консультантів, перші 100 днів — це «золоте вікно» для формування власного авторитету, виявлення слабких місць системи управління ризиками й демонстрації своєї цінності. Саме в цей час новий керівник має можливість вплинути на наратив навколо ролі ризик-менеджменту в компанії.

“На самому початку ви маєте найбільшу легітимність, щоб ставити запитання, змінювати очікування і переглядати пріоритети”, — зазначають автори. “Використайте цю можливість не для того, щоб влитися в існуючий порядок, а щоб створити умови для його трансформації.”

Один із головних ризиків на цьому етапі — це втратити інерцію. Якщо перші 100 днів минають у пасивному «вивченні ландшафту», CRO ризикує бути сприйнятим як технічний функціонер, а не стратегічний партнер. Натомість, McKinsey радить одразу визначити кілька ключових сфер, де зміни будуть відчутні, і де ризик-функція може додати реальної вартості.

Наприклад, це може бути:

• новий підхід до оцінки ризиків у проєктах цифрової трансформації;
• ініціативи з посилення культури відповідальності за ризики;
• або навіть перегляд способу взаємодії з Радою директорів.

McKinsey також застерігає від спокуси хапатися одразу за «класичні інструменти» — наприклад, оновлення ризик-реєстру, перерахунок залишкового ризику або запуск чергової хвилі тренінгів. Хоча все це потрібне, але воно не створює імпульсу. Якщо новий CRO хоче показати себе лідером змін — він має розпочати з того, що дійсно зачіпає бізнес: фінансова вразливість, репутаційні виклики, регуляторна складність.

Успішна стратегія на старті включає три компоненти:

1. Швидка діагностика:
   Проведіть неформальні інтервʼю з ключовими стейкхолдерами: CEO, CFO, керівниками підрозділів. Запитуйте: які ризики їх хвилюють найбільше? Що працює добре, а що — ні? Це дозволяє створити «теплову карту» очікувань щодо функції ризик-менеджменту.
2. Декілька швидких перемог:
   Ідентифікуйте сфери, де можна швидко показати результат — наприклад, виявити проблему в управлінні постачальниками, запропонувати рішення по концентрації ризиків у певному сегменті чи запропонувати сценарій кризового реагування. Навіть локальні, але помітні успіхи формують позитивний імідж CRO як проактивного гравця.
3. Формування бачення майбутнього:
   У перші 100 днів варто окреслити стратегію на найближчі 12–18 місяців. Не детальний план, а саме меседж: “Куди ми йдемо як функція управління ризиками, і яку цінність ми створимо для бізнесу”.

“Ризик-менеджери, які в перші тижні проявляють ініціативу та демонструють готовність брати участь у формуванні стратегічного порядку денного, швидше отримують запрошення до прийняття ключових рішень”, — наголошує McKinsey.

Ця звичка — мислити як стратег і діяти як агент змін із першого дня — є фундаментом для всіх наступних кроків. Вона не про імпульсивні рішення, а про свідому готовність бути не обслуговуючим підрозділом, а партнером з управління майбутнім компанії.

Звичка 2. Негайно вийти за межі “функції ризиків” і увійти в бізнес-реальність

У другій звичці McKinsey звертає увагу на один із найбільших викликів для нового CRO: вміння швидко вийти за межі своєї функціональної «вежі зі слонової кістки» і стати частиною бізнесу, а не лише спостерігачем з боку. Це означає — зануритися у справжні процеси, живі рішення, що приймаються в операційній діяльності, і проявити себе як стратегічний партнер, а не лише як контролер ризиків.

“Якщо перші кілька тижнів CRO проводить виключно у власному кабінеті або на нарадах з комплаєнсом і аудитом, він уже втрачає довіру бізнесу”, — підкреслює один із учасників опитування, проведеного серед CRO.

У сучасних компаніях ризик-менеджмент перестає бути лише функцією контролю — і стає інструментом створення вартості. Новий CRO має негайно встановити зв’язки з головами бізнес-одиниць, комерційними та фінансовими керівниками, а також із тими, хто реально «кермує» продуктами, каналами, клієнтами. Саме ці люди щодня стикаються з ризиками у вигляді складних угод, інвестицій, нових ринків або невизначеностей в ланцюгах постачання.

McKinsey наполягає: успішний новий CRO у перші 30–60 днів встигає побудувати «швидкі перемоги» — це не глобальні трансформації, а конкретні корисні дії, які бачать інші. Наприклад, допоміг виявити слабке місце в новому продукті, підсвітив ризик у контракті або підтримав створення моделі ухвалення рішень на рівні відділу закупівель.

“Немає нічого гіршого для CRO, ніж бути людиною, яку залучають лише в кінці, коли все вже узгоджено. Якщо ти хочеш змінити правила гри — ти маєш сісти за стіл з самого початку.”

Саме тому друга звичка — не чекати, доки тебе «запросять», а активно створювати цю взаємодію. Навіть якщо немає офіційного запрошення — потрібно йти самому: ініціювати розмови, піднімати запитання, пропонувати підтримку. Успішні CRO діють як внутрішні консультанти, що розуміють, чим живе бізнес і які компроміси змушені приймати бізнес-керівники.

Ще один важливий момент — здатність розмовляти «мовою бізнесу», а не лише мовою політик, нормативів і ризик-апетитів. Це включає розуміння показників EBITDA, маржі, вартості клієнта, ідентифікацію ключових драйверів прибутковості.

McKinsey радить: створіть карту впливу ризик-менеджменту на ключові бізнес-рішення — і починайте саме з тих сфер, де можна швидко додати цінності. Це стане мостом до довіри і партнерства.

Звичка 2. Пріоритезувати не за «шумом», а за справжніми джерелами вартості та ризику

У багатьох компаніях новопризначені CRO стикаються з лавиною інформації, масивом звітів і сотнями ризиків, які — бодай формально — вже ідентифіковано. Проте автори дослідження McKinsey застерігають: найбільша помилка на цьому етапі — намагатися «обійняти неосяжне» і приділити однакову увагу всім ризикам. Успішні CRO, навпаки, від самого початку навчаються жорстко фільтрувати, де реальна вартість і загроза, а де — лише фоновий шум або залишкові, несуттєві ризики.

Принцип 80/20 працює і в ризик-менеджменті: 20% ризиків відповідають за 80% потенційної шкоди або можливостей. І саме на ці 20% варто спрямувати зусилля.

Один із ефективних підходів — сегментація ризиків за здатністю впливати на стратегічні цілі компанії, а також за тим, наскільки добре організація контролює їх. Тут важливо не лише дивитися на імовірність і вплив, а й оцінювати керованість ризику, тобто наскільки компанія здатна активно впливати на нього.

Наприклад, у компанії, яка активно виходить на нові ринки, ключовими можуть бути ризики репутації, регуляторного середовища та ризики зміни клієнтських очікувань. Якщо ж мова про індустріального гіганта з централізованим виробництвом, на перший план можуть вийти ланцюги постачання, кіберризики та фізичні ризики, пов’язані зі зміною клімату.

Автори наголошують: «Ризик-менеджери не повинні боятися сказати “ні” певним темам. Це не означає нехтування, це — стратегічний фокус».

Ще один корисний інструмент — розподіл ризиків на коротко-, середньо- та довгострокові, залежно від горизонту прийняття рішень. Наприклад, ринкові коливання можуть потребувати негайної реакції, тоді як ризики, пов’язані з розвитком технологій чи ESG, будуть актуальними протягом років, але потребують сьогоднішнього закладання основ — тобто впровадження принципу превентивного управління.

І, нарешті, справжнє мистецтво CRO — пов’язати ризики з драйверами вартості бізнесу. Наприклад, як певний ризик впливає на темпи зростання, на чистий прибуток, на NPV або EVA. Такий підхід дозволяє донести ризик-апетит до ради директорів у мовних категоріях бізнесу, а не суто «страхових» показниках.

 

Звичка 3. Побудова довіри через спілкування, адаптоване до мови бізнесу

Успішні CRO — це не лише експерти з ризиків, а й комунікатори, які вміють перекладати складні технічні концепції на мову, зрозумілу керівникам бізнесу, членам правління, командам з продажу, маркетингу або інновацій. Саме тому одним із ключових навиків є вміння створювати «переклад» ризикових моделей, сценаріїв та метрик у категорії, які резонують із логікою прийняття бізнес-рішень.

У статті McKinsey зазначено:

«Найкращі CRO з самого початку обирають мову впливу: вони говорять не про VaR, KRI чи heat maps, а про вплив на EBITDA, cashflow або стратегічні KPI».

Це означає, що в комунікації важливо не лише донести суть ризику, а й змусити керівництво емоційно «взяти участь» у його розумінні. Наприклад, якщо ризик уповільнення цифрової трансформації може знизити темпи зростання на 4% у найближчі два роки — саме так це треба представити, а не у формі «ймовірність середня, вплив високий».

Що роблять ефективні CRO?

• Працюють разом із CFO та COO, щоб показати, як ризики інтегруються у планування, бюджетування і оцінку інвестиційних проектів.
• Використовують наративи, засновані на сценаріях: не просто графіки і матриці, а короткі описи потенційних подій і їхнього впливу.
• Уникають «страшилок» і не зловживають драматизмом, натомість дають практичну інформацію для ухвалення рішень.

Успішні ризик-менеджери вважають, що довіра — це валюта, без якої неможливо здійснити вплив. Якщо керівники компанії бачать у CRO лише технічного експерта з комплаєнсу, а не стратега і радника — жодна система ризик-менеджменту не запрацює повноцінно.

Тому одним із перших кроків є створення союзів із ключовими внутрішніми стейкхолдерами — особливо тими, хто формує бізнес-стратегію. Показати їм, що ризик-менеджмент — це не про гальма, а про навігацію в складному середовищі, що дає змогу рухатися впевнено.

Звичка 4. Створення «продукту» ризик-менеджменту, що приносить реальну цінність

У багатьох компаніях ризик-менеджмент надто довго залишався внутрішньою «сервісною» функцією — чимось, що існує паралельно до бізнесу, подає звіти або ж погоджує контрольні списки. Але нова реальність вимагає іншого підходу. Замість того щоб бути лише контролером, CRO має стати продуктовим менеджером, що створює ризик-менеджмент як цінність для бізнесу.

У статті McKinsey зазначається: «Нові CRO, які мають найбільший вплив, мислять як продуктові лідери, зосереджуючись на тому, як зробити функцію ризик-менеджменту зрозумілою, помітною й корисною для внутрішнього клієнта — бізнесу».

Це означає розробку конкретних «продуктів ризик-менеджменту» — інструментів, сервісів, процесів, які можуть безпосередньо допомагати підрозділам досягати своїх цілей. Наприклад:

• Панелі управління ризиками (risk dashboards), які інтегруються в щоденну операційну діяльність, а не лише подаються раз на квартал.
• Моделі прийняття рішень під час невизначеності, адаптовані під потреби конкретних департаментів: продажів, закупівель, R&D.
• Програми тренування бізнес-користувачів, які навчають бачити ризик не як загрозу, а як ресурс для кращого планування.
• Коучинг керівників, які приймають рішення, на базі нових підходів до толерантності до ризику.

McKinsey наголошує, що успішні CRO не просто «звіряють відповідність політикам». Вони шукають точки конкретного прикладного впливу, щоб ризик-менеджмент працював як навігаційний інструмент у стратегічному плануванні, бюджетуванні, розробці нових продуктів.

«Питання, яке вони ставлять собі постійно: що я можу створити, аби бізнесу було легше діяти впевнено в складних умовах?», – пояснюють автори дослідження.

Ключова порада — розмовляти мовою бізнесу, а не контролю, фокусуватись не на нормативному тиску, а на операційній ефективності. Щоб досягти цього, новий CRO має тісно працювати з продуктовими, операційними та фінансовими командами, тестувати MVP (мінімальні життєздатні продукти) всередині компанії, зберігаючи зворотний зв’язок та вдосконалення.

Іншими словами — ризик-менеджмент має бути «купованим» сервісом всередині компанії, а не обов’язковим обмеженням згори.

 

П’ята звичка: Відважно формулювати позицію — і навчитися відстоювати її

Для нового CRO може здаватися безпечним перші місяці просто слухати, адаптуватися і не висовуватися. Але, як зазначає McKinsey, це омана. В умовах невизначеності компанії потребують не безбарвного спостерігача, а активного лідера, який готовий озвучувати неприємні речі — звісно, аргументовано та професійно.

П’ята звичка — це сміливість формулювати позицію на основі фактичних даних і чіткої логіки. Це вміння сказати: «Ні, ця стратегія надто ризикована» — навіть якщо всі навколо мовчать або схильні до оптимізму. McKinsey прямо вказує: CRO має стати «голосом розуму» в компанії, навіть якщо цей голос незручний.

Але сміливість — це ще не все. Важливо також знати, коли та як саме її проявити. Успішні CRO практикують обережну, але чітку ескалацію питань — і не залишають неоднозначності в тому, що саме потрібно переглянути. Вони готують альтернативи, розкладають ризики по поличках, і — що головне — діють не з позиції «контролю», а з позиції «відповідального партнера».

Ще один важливий аспект: готовність навчатися на помилках. Успішні CRO не лише говорять «не можна», але й аналізують, коли їхні попередження не були враховані, і що можна змінити в комунікації чи структурі управління ризиками, аби це не повторилося. Вони не бояться запитати себе: «Що я міг зробити інакше, щоб мене почули?»

 

Шоста звичка: Будувати сильну та різноманітну команду ризик-менеджменту

McKinsey звертає особливу увагу на те, що сила CRO — це не тільки про особисті компетенції. Це ще й про те, яку команду він чи вона здатен зібрати й розвинути. Саме ця команда — аналітики, менеджери, фахівці з комплаєнсу та ІТ — стає продовженням руки CRO в організації.

Успішні керівники ризиків не бояться залучати таланти з різних середовищ — включаючи спеціалістів з data science, кібербезпеки, кліматичних ризиків, а іноді й людей з інших галузей. Така різноманітність забезпечує комплексність підходів до ризиків — від фінансових до регуляторних і репутаційних.

Ключова навичка — вміння синхронізувати різні профілі, об’єднати людей навколо спільного бачення й при цьому дати їм автономію. McKinsey підкреслює: сучасний ризик-менеджмент більше не працює у вертикальних структурах. Команда CRO має бути гнучкою, адаптивною, здатною працювати в кросфункціональному середовищі, швидко реагувати на виклики — і водночас не губити цінностей відповідальності, точності, скепсису й прозорості.

І ще: CRO має бути «магнітом для талантів». Це означає створення привабливого середовища, в якому хороші фахівці хочуть працювати. Адже саме через команду ризик-менеджмент впроваджується в серце компанії — у продукти, процеси, стратегії.

Докладніше за посиланням