Контекст як «нульовий крок» RM

Ця стаття відкриває новий цикл у межах проєкту «Абетка ризик-менеджменту», присвячений темі, яка визначає якість усієї системи управління ризиками, але в українській практиці часто залишається в тіні. Йдеться про встановлення контексту управління ризиками — фундаментальний етап, без якого неможливо правильно визначити ризики, коректно побудувати ризик-апетит або підготувати життєздатний ORSA.

У цьому циклі ми розглянемо, як міжнародні стандарти (ISO 31000, EIOPA Guidelines on System of Governance) та українське регулювання (Постанови НБУ №64 і №194) повʼязані з поняттям контексту, як його правильно визначати, як інтегрувати у профіль ризиків, ризик-апетит і звітність, та що означає «контекст у динаміці» для страхових компаній, які працюють у мінливих умовах.

У більшості компаній перший крок ризик-менеджменту виглядає приблизно так: «визначаємо ризики». Але згідно з ISO 31000:2018, процес RM починається не з ризиків, а з Establishing the Context. Це не опціональний крок — це основа, на якій будуються всі подальші рішення.

Цю логіку підтримують і EIOPA Guidelines on System of Governance, де визначення зовнішнього та внутрішнього контексту є необхідною передумовою для оцінки ризиків, формування апетиту та системи контролю. В українському регулюванні цю вимогу відображає Постанова НБУ №64, яка прямо зобов’язує компанію враховувати структуру бізнесу, стратегічні цілі, середовище діяльності, ключові процеси та інші фактори, що є елементами контексту.

Окремо варто згадати Постанову НБУ №194. Вона не містить прямої вимоги «встановлювати контекст», але її положення фактично передбачають, що контекст має бути визначений. Інакше неможливо коректно виконати вимоги до розробки політик, профілю ризиків, лімітів, системи моніторингу, підходів до оцінювання ризиків та інших елементів, описаних у постанові. Тобто логіка така: №64 задає рамку процесу управління ризиками і включає контекст → №194 деталізує вимоги, реалізація яких неможлива без правильно визначеного контексту.

Це важливо окремо проговорити, щоб уникнути хибного враження, що контекст — це явище «міжнародних стандартів», яке не має місця в українському регуляторному середовищі. Насправді він у ньому закладений.

Коректно визначений контекст — це не список факторів і не формальна передмова до профілю ризиків. Це аналітичне розуміння того, у яких умовах компанія працює, які обмеження та можливості створюють регулятори, власники, ринок, технології, геополітика, стратегія та корпоративна культура. Це база, від якої залежить не тільки перелік ризиків, а й те, якими будуть управлінські рішення щодо них.

Для страхового ринку це особливо відчутно: регуляторні зміни, підходи МТСБУ, практика врегулювання збитків, вимоги з перестрахування, поведінка клієнтів, наглядові тренди, публічна звітність — усе це об’єктивно формує контекст, і жоден з цих елементів не є вигадкою чи припущенням. Це факти, які впливають на ризиковий профіль компаній щодня.

Чотири виміри контексту: зовнішній, внутрішній, стейкхолдери та процес RM

У міжнародній практиці, включно з ISO 31000:2018 та EIOPA Governance Guidelines, встановлення контексту розглядається як необхідна передумова для ідентифікації ризиків і побудови системи управління ними. Для компанії це фундамент, який визначає умови прийняття рішень, рамки, у яких формується ризик-апетит, та можливості, що виникають або зникають залежно від зовнішніх і внутрішніх факторів. Цей розділ пояснює, які саме складові входять до контексту і як вони впливають на подальшу побудову RM-процесу.

Зовнішній контекст — це набір факторів, які компанія не контролює, але які безпосередньо визначають умови її діяльності. Нормативне середовище, вимоги регулятора, правила МТСБУ (для учасників ОСЦПВ), фінмоніторинг, макроекономічні умови, технологічні тренди, безпекові та геополітичні обставини — усе це належить до зовнішнього контексту, який легко підтвердити через публічні джерела. Усі ці фактори впливають на ризиковий профіль компанії, змінюють клієнтську поведінку, умови перестрахування, очікування ринку та підходи до формування резервів. Частина висновків щодо впливу цих факторів є узагальненнями, але сам їхній факт не потребує додаткового доведення.

Внутрішній контекст визначає внутрішню логіку компанії: її структуру власті, бізнес-модель, стратегічні цілі, корпоративну культуру, систему стимулів, фінансову модель, рівень автоматизації та стан ключових процесів. Ці елементи формують здатність компанії приймати ризикові рішення, управляти ними та виконувати вимоги НБУ, зокрема Постанови №64 і №194. Частина цього контексту може бути задокументована у внутрішніх документах і звітності, частина — оцінена як узагальнення, наприклад, елементи культури або мотивації. Важливо, що внутрішній контекст напряму визначає, наскільки компанія готова впроваджувати зміни і наскільки реалістичним буде її ризик-апетит.

Контекст зацікавлених сторін є невід’ємною частиною ISO 31000 і охоплює як нормативно визначених стейкхолдерів, так і партнерські та галузеві структури. Наприклад, для вітчизняних страхових компаній до нормативних стейкхолдерів належать Національний банк України, МТСБУ, органи державного нагляду та суди — їхній вплив підтверджується законодавством і регламентами. До партнерських стейкхолдерів належать перестраховики, банки, брокери, юридичні радники, а також Ядерний страховий пул України, чия роль визначається для вузького сегмента специфічних ризиків. До галузевих організацій належать ЛСОУ, НАСУ, АСБ — їхній вплив не є нормативним, але вони формують професійну дискусію, інформаційне середовище та експертні рекомендації. Це узагальнення, яке не претендує на точність щодо впливу на кожну окрему компанію, але коректно описує їхню роль у розвитку ринку.

Четвертий елемент — це контекст самого процесу управління ризиками. Він визначається організацією системи RM, ролями та відповідальністю, наявністю або відсутністю власників ризиків, функціонуванням другої та третьої ліній захисту, доступністю даних, рівнем автоматизації, наявністю систем інцидентів і KRI. Частина цих елементів підтверджується внутрішніми документами та регламентами, частина — узагальнена оцінка зрілості або спроможності. Вимога враховувати пропорційність та відповідність RM-процесу масштабам і складності компанії прямо зазначена у Постанові НБУ №64 та EIOPA Governance Guidelines.

Разом ці чотири виміри формують цілісну картину того, у яких умовах працює компанія та як вона приймає рішення щодо ризиків. Зовнішній контекст задає середовище, внутрішній визначає внутрішню динаміку, стейкхолдери — обмеження та очікування, а контекст RM-процесу — здатність компанії реалізувати свої наміри. Без коректного визначення всіх чотирьох елементів подальша робота над ризиковим профілем, ризик-апетитом, KRI чи ORSA неминуче буде ґрунтуватися на припущеннях, а не на фактичних даних або обґрунтованих узагальненнях.

Типові помилки при встановленні контексту та чому вони небезпечні

Попри те, що встановлення контексту є першим кроком ризик-менеджменту, на практиці саме цей етап найчастіше виконують поспіхом або суто формально. Багато компаній вважають, що контекст — це короткий перелік зовнішніх факторів або опис ринку, який повторюється з року в рік без змін. Проте міжнародні стандарти та національні вимоги показують протилежне: контекст має бути аналітичним, динамічним і таким, що справді відображає умови діяльності компанії. Ігнорування цього призводить до помилок у всіх наступних етапах — від визначення ризиків до формування апетиту та ORSA.

Однією з найпоширеніших помилок є ототожнення контексту з переліком ризиків. На практиці це виглядає так: компанія замість аналізу умов середовища одразу переходить до переліку загроз або операційних проблем. У результаті контекст підмінюють ризиками, а ризики — контекстом, що повністю руйнує логіку ISO 31000 та вимоги Постанови НБУ №64. Контекст має описувати рамку, у якій ризики виникають, а не самі ризики; змішування цих понять веде до дублювання, хаосу в документах і неможливості пояснити логічний зв’язок між умовами діяльності та ризиковими рішеннями.

Інша типова помилка — шаблонність. У багатьох компаніях контекст — це документ на одну-дві сторінки, який роками копіюється без змін. У такому документі зовнішній світ виглядає стабільним, внутрішній — незмінним, а стейкхолдери — однаковими. Проблема в тому, що така шаблонність суперечить реальності: за останні роки змінилися регуляторні вимоги, поведінка клієнтів, технології, підходи МТСБУ та ЯСПУ, міжнародні стандарти, воєнний контекст — але контекст у документах у багатьох компаній залишився тим самим. Це не помилка стилю, це помилка лідерства, адже рішення, прийняті на основі застарілої картини середовища, завжди будуть некоректними.

Ще одна суттєва проблема — неповнота. Деякі компанії описують зовнішній контекст, але ігнорують внутрішній; інші — концентруються на внутрішніх процесах і не враховують потреби стейкхолдерів; треті — описують усе, окрім стану самого процесу RM. Такий підхід створює «дірки» у картині ризикового середовища. Наприклад, компанія може ретельно описати структуру власності та бізнес-модель, але зовсім не оцінити очікування клієнтів чи поведінку судової системи, що впливає на врегулювання збитків. Або навпаки — описати ринкові тренди, але не згадати, що внутрішні процеси не дозволяють адекватно реагувати на ці зміни. Неповнота контексту призводить до того, що ризики визначаються лише частково, а частина ключових факторів залишається поза увагою.

Поширеною є й помилка «змішування фактів та припущень». Деякі компанії подають суб’єктивні оцінки як фактичні твердження, або включають у контекст інформацію без підтвердження. Наприклад, посилання на «тренди судової практики» без джерел, «поведінку клієнтів» без даних або «ринкові тенденції» без посилання на звіти — це не факти, а припущення. Коректний контекст повинен містити тільки підтверджені дані, а будь-які узагальнення мають бути чітко позначені як такі, що не претендують на точність. Це особливо важливо для зв’язку з Постановою №194, де політики та профіль ризиків будуються на основі фактичної інформації, а не міркувань.

Не менш критичною є помилка відсутності динаміки. Контекст — це не статичний опис; це документ, який повинен оновлюватися, коли змінюються умови ринку, регуляторні вимоги або стратегія компанії. Якщо контекст не змінюється роками, це означає, що компанія або не відстежує зовнішні та внутрішні трансформації, або не інтегрує їх у ризик-апетит та профіль ризиків. Такий підхід робить ризик-менеджмент формальним, а рішення — відірваними від реальності.

Нарешті, багато компаній уникають аналізу власної здатності управляти ризиками — тобто забувають, що контекст включає і стан самого RM-процесу. Якщо компанія не має автоматизованої системи інцидентів або KRI, якщо функції другої і третьої ліній є номінальними, або якщо власники ризиків не наділені повноваженнями, — це не технічні дрібниці, а важлива частина контексту. ISO 31000 і EIOPA Governance Guidelines прямо вимагають враховувати спроможність організації. Ігнорування цього аспекту призводить до постановки нереалістичних вимог або ризикових планів, які компанія не може виконати.

Як контекст впливає на ризик-апетит, профіль ризиків, KRI та управлінські рішення

Після того як компанія визначила зовнішній, внутрішній та стейкхолдерський контекст, а також оцінила власну спроможність RM-процесу, виникає ключове запитання: як це використовувати на практиці? Контекст — це не довідковий розділ документа й не теоретичне вступне слово. Це аналітична основа, яка визначає, які ризики компанія має враховувати, як оцінювати їхню суттєвість, які ліміти встановлювати, які KRI використовувати та як формувати ризик-апетит. У міжнародних стандартах (ISO 31000, EIOPA Governance Guidelines) ці зв’язки описані загальними принципами, і саме на основі цих підтверджених підходів формується взаємозалежність між контекстом і всією системою RM.

Зовнішній контекст задає «рамкові межі» ризик-апетиту. Наприклад, зміни у регуляторних вимогах, поведінці ринку перестрахування або суспільних очікуваннях формують ті обмеження, які компанія не може ігнорувати. Якщо нормативні вимоги посилюються, ризик-апетит компанії не може залишатися на рівні, який передбачав нижчий рівень контролю або вищі ризикові експозиції. Це не припущення, а логічний наслідок нормативних рамок і принципу пропорційності, закріпленого у Постанові НБУ №64 та стандартах корпоративного управління. Зміни у макросередовищі, безпековому або технологічному контексті впливають на те, які KRI мають пріоритет, які сценарії включаються до ORSA (якщо компанія його проводить) та які ризики стають суттєвими.

Внутрішній контекст визначає, наскільки амбітним може бути ризик-апетит і чи відповідає він реальній спроможності компанії. Стратегія, бізнес-модель, фінансова структура, культура, структура витрат і рівень цифровізації — усе це визначає як перелік ризиків, так і допустимі межі. Наприклад, якщо компанія працює з високою часткою ручних процесів або має низький рівень автоматизації врегулювання, то апетит до операційних ризиків не може бути формально низьким: це суперечитиме фактичній здатності контролювати операційні помилки. Це не вигадка, а логічний принцип узгодженості між можливостями та управлінськими рішеннями, закріплений у міжнародних підходах до системи контролю.

Контекст зацікавлених сторін визначає не лише обмеження, а й очікування, що прямо впливають на ризикові рішення. Нормативні стейкхолдери (НБУ, МТСБУ) задають обов’язкові вимоги; партнерські (перестраховики, банки, Ядерний страховий пул) визначають умови, без яких частина операцій стає неможливою; галузеві об’єднання (ЛСОУ, НАСУ, АСБ) формують інформаційний простір, який впливає на ринкові стандарти та очікування. Це не означає, що професійні об’єднання визначають ризик-апетит, але їхня діяльність формує інформаційний контекст, у межах якого компанія приймає рішення. Усе це потребує правильної інтеграції у профіль ризиків: те, що є істотним для стейкхолдерів, повинно відображатися принаймні у переліку ризиків та відповідних KRI.

Четвертий вимір — контекст самого RM-процесу — визначає, які рішення компанія може реалізувати на практиці. Якщо другій лінії бракує ресурсів, якщо власники ризиків не мають повноважень, якщо система інцидентів відсутня або дані збираються вручну, — це ставить природні межі ризик-апетиту. На глобальному рівні це підтверджується принципами пропорційності у вимогах EIOPA Governance Guidelines, а в українському середовищі — вимогами Постанови №64 щодо адекватності системи управління до характеру та масштабів діяльності компанії. Компанія може задекларувати «низький апетит» до операційних ризиків або порушень нормативів, але якщо її внутрішні процеси не підтримують таку ціль, це не буде виконуваним рішенням.

Профіль ризиків формується на основі контексту, а не навпаки. Якщо контекст визначений повно і коректно, ризиковий профіль автоматично буде точнішим, а його зміни — логічними та обґрунтованими. Так само і KRI: вони повинні відображати значущі елементи контексту — зміни в ринку, у технологіях, у процесах або у поведінці стейкхолдерів. У міжнародній практиці саме контекст визначає, що варто моніторити та які індикатори будуть раннім сигналом порушення апетиту чи наближення до критичних меж.

Таким чином, контекст є не вступом до документа і не обов’язковим розділом, а «функціональною основою» всієї системи управління ризиками. Він визначає, що є суттєвим, що потребує контролю, які межі можна встановити, які ліміти будуть реалістичними та на що повинна реагувати система раннього попередження. Якщо контекст неповний або некоректний, усі наступні документи — ризик-апетит, профіль ризиків, політики, ORSA (якщо вона застосовується), KRI — стають формальними, бо вони не спираються на реальну картину.

Контекст у динаміці: як оновлювати, відстежувати та інтегрувати зміни

Однією з ключових особливостей контексту є те, що він ніколи не залишається статичним. Зовнішнє середовище змінюється під впливом регуляторних рішень, ринкових трансформацій, технологічних трендів і геополітичної ситуації, а внутрішнє середовище — під впливом стратегії, кадрових змін, цифровізації та процесної зрілості. Це не припущення, а загальний принцип функціонування корпоративних систем управління, відображений у підходах ISO 31000 та EIOPA Governance Guidelines, які прямо визначають необхідність постійного моніторингу та адаптації. Саме тому контекст не може бути документом, який створили колись «для проформи» і забули. Він повинен бути частиною регулярного управлінського циклу.

Перший спосіб підтримувати контекст у динаміці — це його регулярний перегляд. У міжнародній практиці зазвичай застосовується щорічний цикл оновлення контексту, який узгоджується зі стратегічним плануванням та встановленням ризик-апетиту. Для українських страхових компаній логічним є прив’язувати оновлення контексту до циклів оновлення політик або профілю ризиків, які передбачені Постановою НБУ №64. Це не вимагає створення нового документа — лише оновлення аналітичної основи, на якій базується ризиковий профіль. Узагальнення про щорічний цикл не претендує на нормативність, але відповідає загальним принципам corporate governance.

Другий механізм — тригери перегляду. Компанія може встановити перелік подій, які автоматично вимагають оновлення контексту, навіть якщо черговий річний цикл ще не настав. Це можуть бути зміни в регуляторних вимогах, зміни у структурі власності, поява нових продуктів, зміни у вимогах перестраховиків, технологічні впровадження або масштабні зміни у процесах. Важливо, що зміни мають бути задокументовані та відображені в оновлених управлінських матеріалах — профілі ризиків, апетиті, KRI або політиках. Це узагальнений управлінський принцип, що базується на загальних вимогах до актуальності інформації в системі RM, а не на конкретному нормативному положенні.

Третій елемент динаміки — інтеграція змін у управлінські рішення. Контекст має бути не лише оновленим, а й застосованим у роботі. Якщо компанія фіксує зміну у зовнішньому середовищі, але це не відображається у ризик-апетиті чи KRI, контекст залишається формальним документом. У практиці EIOPA Governance Guidelines підкреслюється важливість пропорційності: система управління ризиками повинна відповідати умовам діяльності. Це означає, що актуальний контекст повинен автоматично впливати на планування капіталу, встановлення лімітів, профіль ризиків та реагування на інциденти. Якщо цього зв’язку немає, ризик-менеджмент стає декларативним.

Четвертим аспектом є комунікація контексту. Важливо, щоб контекст був не лише відомий ризик-менеджеру, а й зрозумілий Наглядовій раді, правлінню, власникам ризиків і ключовим підрозділам. Компанії часто помилково вважають контекст технічним документом, який не потрібен менеджменту. Насправді саме контекст пояснює логіку рішень щодо обмежень, індикаторів, лімітів і стратегічних пріоритетів, та забезпечує єдине спільне бачення умов діяльності компанії. Це не нормативна вимога, а хороший принцип корпоративного управління, що допомагає уникати різночитань між стратегією та RM.

Важливо також, що динамічний контекст створює основу для прогнозування та підготовки до майбутніх трансформацій. Якщо зміни у середовищі фіксуються регулярно, вони накопичуються у вигляді трендів, які можна використовувати для сценарного планування, а саме це підкреслюється в моделях ризик-орієнтованого управління. Такі тренди не є прогнозами у вузькому розумінні, але їх наявність допомагає компаніям оцінювати можливі напрями розвитку середовища і відповідно адаптувати ризик-апетит та підхід до контролю ризиків.

На цьому завершується перша стаття циклу про встановлення контексту. У наступній статті ми перейдемо від загальної рамки до практики й спробуємо розглянути, як саме визначати зовнішній і внутрішній контекст для  компанії, які джерела використовувати, які питання ставити та як уникнути шаблонності під час збирання цього матеріалу.

Сергій Бабич