1. Вступ: Чому ризик-менеджмент сьогодні — це не «про форму», а «про зміст»

• Протягом останніх років страхові компанії стикаються з дедалі складнішим середовищем: війна, макроекономічна нестабільність, регуляторні зміни, зростання очікувань клієнтів.
• На цьому тлі система управління ризиками більше не сприймається як «формальний документ для перевірки», а стає інструментом виживання і адаптації.
• Регулятор посилив вимоги (Постанова НБУ №194), але це лише верхівка айсбергу. Справжній виклик — перехід до культури управління ризиками, де ризик-менеджмент — не окрема функція, а частина ДНК компанії.

2. Що таке сучасний ризик-менеджмент: RM1 vs RM2

• Часто говорять про два підходи:
  RM1 — контроль, комплаєнс, політики, звітність.
  RM2 — стратегічне управління невизначеністю, інтеграція в прийняття рішень.
• Обидва підходи важливі, але фокус тільки на RM1 веде до формалізму: документи є, але вони не впливають на реальні рішення.
• Практичний висновок: RM1 — це “шкіра”, RM2 — “м’язи і кровообіг”. Наявність RM1 без RM2 — як бронежилет без солдата всередині.
• Успішна система — це поєднання: формалізація (RM1) + залучення бізнесу (RM2).

3. Як побудувати систему ризик-менеджменту в реальному житті

• Створення системи — це не написання політик, а зміна підходу до прийняття рішень на всіх рівнях.
• Ключові кроки:
  1. Призначення risk owner’ів — бізнес-підрозділи мають нести відповідальність за свої ризики.
  2. Мапа ризиків — фокус не на “всіх можливих ризиках”, а на 10–15 ключових, які можуть реально «збити з курсу».
  3. Ризик-апетит — чітке розуміння, скільки втрат ми готові прийняти без катастрофи.
  4. KRI і зони ризику — індикатори, які сигналізують: «ми наближаємося до межі».
  5. Сценарії і планування — не тільки “що може піти не так”, а “що ми тоді будемо робити”.
• Важливо: система має бути життєздатною і зрозумілою, а не досконалою «на папері».

4. Типові помилки при впровадженні системи управління ризиками

На практиці страхові компанії часто повторюють схожі помилки, які суттєво знижують ефективність системи ризик-менеджменту, попри формальну відповідність вимогам регулятора:

1. Формальний підхід до політик і процедур
   Розробляються документи, які існують лише на папері. Наприклад, політика управління ризиками не оновлюється з моменту її затвердження, або не використовується в реальних процесах ухвалення рішень.
2. Невизначеність ролей і відповідальностей
   Власники ризиків не знають, що саме вони мають робити. Відсутня взаємодія між підрозділами. Ризик-менеджер перетворюється на «технічного укладача звітів», а не координатора ризик-культури.
3. Звітність заради звітності
   Компанії часто прагнуть продемонструвати НБУ повну відповідність Постанові № 194 через об’ємні звіти та шаблони, не зосереджуючись на суті: чи бачать ці звіти реальні ризики? Чи допомагають вони приймати кращі рішення?
4. Надмірна централізація функції
   Уся відповідальність зосереджена на одному спеціалісті або підрозділі з ризик-менеджменту, без залучення бізнес-підрозділів. Це суперечить принципу RM2 і перетворює систему на «відокремлену» від бізнесу.
5. Ігнорування операційних ризиків
   Часто компанії обмежуються лише страховими ризиками, залишаючи поза увагою операційні, кадрові, ІТ-ризики, ризики безперервності діяльності, які насправді можуть мати значно більший вплив.

5. Що справді працює: практичні спостереження

На основі практичного досвіду роботи з українськими страховими компаніями та аналізу кращих практик можна виділити кілька підходів, які реально підвищують ефективність ризик-менеджменту:

1. Інтеграція ризик-менеджменту в бізнес-процеси
   Найефективніші компанії — ті, де ризик-менеджмент вбудований у прийняття рішень, у тому числі на рівні продажів, андеррайтингу, перестрахування, інвестицій. Наприклад, використання ризик-профілю клієнта як частини процесу андеррайтингу.
2. Формалізація взаємодії між RM1 та RM2
   Це, зокрема, матриці відповідальності (RACI), регулярні засідання ризик-комітетів, інструменти звітності, які дозволяють власникам ризиків бачити свою зону відповідальності.
3. Реальне використання KRI
   Ті компанії, які змогли обрати кілька ключових індикаторів ризику (напр., рівень плинності персоналу, частку незастрахованих ТЗ, кількість порушень SLA з клієнтами) і звіряти їх з планом дій — реально покращили контроль над критичними зонами.
4. «Освітній» підхід до регулятора
   Деякі компанії активно працюють із профільними асоціаціями, щоб пояснити особливості страхового ринку регулятору, вплинути на зміст форм звітності, темп впровадження директив. Це — приклад пом’якшення регуляторного ризику.
5. Збалансоване визначення ризик-апетиту
   Компанії, які не лише «затвердили таблицю з порогами», а й реально використовують її для відсікання надризикових угод або перегляду лімітів, змогли підвищити фінансову стабільність і покращити відносини з перестраховиками.

6. Якою має бути звітність про ризики: коротко, точно, вчасно

Навіть найкраща система ризик-менеджменту не буде ефективною без якісної звітності. Але не варто перетворювати її на обтяжливу бюрократію. Практичні висновки такі:

1. Звітність — це не обов’язково PowerPoint на 50 слайдів
   Якісна звітність — це стислий документ на 2–3 сторінки, що дає відповідь на три ключові питання:
   • Які ризики активні?
   • Який їхній рівень та динаміка?
   • Які дії вжиті або плануються?
2. Звіт має бути адресним
   Топменеджменту не потрібен детальний реєстр ризиків — їм потрібна аналітика.
   Наглядовій раді — акценти на стратегічних ризиках і комплаєнсі.
   Правлінню — зміни у профілі ризику, порушення лімітів, необхідність прийняття рішень.
   Внутрішньому аудиту — доступ до архіву звітів, фактів відхилень і контрольних дій.
3. Звітність має бути періодичною та подієвою
   • Регулярна (щоквартальна, щомісячна) — оновлення ризик-карти, моніторинг KRI.
   • Подієва — коли відбулося щось суттєве: збій, зміна ринку, поява нового ризику.
4. KRI мають бути вбудовані у звітність
   Не варто відокремлювати показники ризику від управління. Наприклад:
   • Рівень скарг клієнтів може сигналізувати про зростання операційного ризику.
   • Частка «проблемних» агентів — про ризик недобросовісних продажів.
5. Формалізація потоку інформації — must have
   Для ефективного функціонування RM2 варто зафіксувати, хто, кому, в якому форматі і як часто надає звіт. Наприклад:
   • Власники ризиків — головному ризик-менеджеру.
   • Головний ризик-менеджер — правлінню та наглядовій раді.
   • Внутрішній аудит — із правом доступу до повної документації.
6. Головне — не «розповісти все», а «показати головне»
   У ризик-звітності цінуються не обсяги, а чіткість і дієвість. Якщо звіт допоміг прийняти краще управлінське рішення — він виконав свою функцію.

7. Роль лідера. Що залежить від керівника?

Жодна система управління ризиками не буде працювати без лідера, який розуміє її значення і готовий брати на себе відповідальність за культуру ризик-менеджменту в компанії.

1. Власний приклад — найпотужніший сигнал
   Якщо керівник демонструє, що сам ухвалює рішення з урахуванням ризиків, запитує про сценарії, ризик-профілі, ліміти — це швидко стає новою нормою для команди.
2. Ризик-менеджмент має бути частиною порядку денного
   Якщо на нарадах обговорюються тільки продажі, прибуток і витрати, але не обговорюються ризики — значить, для команди це не пріоритет. Регулярне включення ризиків до управлінських дискусій — це частина RM2.
3. Підтримка головного ризик-менеджера
   Роль CRO в компанії — унікальна. Йому потрібен доступ до всієї інформації, право говорити «незручну правду», підтримка керівника в складних ситуаціях. Коли CRO маргіналізований або позбавлений реального впливу — система перетворюється на паперову.
4. Ризики — частина стратегії, а не «післямова»
   В умовах війни, регуляторних змін і непередбачуваного ринку, стратегічне планування без ризик-аналізу — це гра наосліп. Лідер має ініціювати обговорення не лише цілей, а й загроз, сценаріїв і готовності до несподіванок.
5. Сміливість приймати непопулярні рішення
   Іноді управління ризиками — це про відмову: від продукту, партнера, планів. Роль лідера — вчасно сказати «ні», навіть коли це суперечить короткостроковим вигодам, але зберігає довгострокову стійкість компанії.
6. Підтримка культури прозорості та навчання
   Працівники повинні знати, що повідомлення про ризик або проблему — це не загроза, а відповідальна поведінка. Лідер формує цю культуру: відкритість, рефлексія, навчання на помилках, а не покарання за них.