Це фінальна, восьма стаття нашого циклу про звітність у ризик-менеджменті. Ми вже пройшли всі рівні: від власників ризиків до CRO, правління, внутрішнього аудиту та наглядової ради. Але є ще одна тема, про яку рідко пишуть у методичках. Це «сірі зони».

На папері все виглядає ідеально: є політика, є ліміти, є квартальні звіти, є красиві графіки. Але в реальному житті між цими формальними звітами і реальними рішеннями існує простір, наповнений владою, страхом і довірою. Саме тут вирішується: чи система управління ризиками працює насправді, чи залишається театром тіней.

Бо можна мати найкращі KRI й ідеальні матриці, але якщо люди бояться писати правду у звітах, якщо правління відмахується від сигналів, якщо рада не готова чути неприємне — тоді жодна система не врятує.

У цій статті ми поговоримо про те, чого не видно у протоколах:

• як влада впливає на правдивість звітності;
• чому страх паралізує систему;
• і чому довіра є єдиним «антидотом» для сірих зон.

Влада: хто насправді контролює зміст звітів

Будьмо чесні: звіти з ризиків рідко є «чистим дзеркалом реальності». Частіше це дзеркало, в яке вже встигла глянути влада. І вона підправила відображення так, щоб воно виглядало приємніше для тих, хто приймає рішення.

«Не виносьмо сміття з хати»

У багатьох компаніях CRO отримує негласний сигнал: «Про цей інцидент краще напиши сухо й без емоцій. І взагалі, навіщо його виносити на правління?»
Результат: у звіті все виглядає стерильним, а справжній масштаб проблеми бачать лише одиниці.

«Рамка дозволеного»

Буває і так: звіт готують чесно, але перед засіданням правління керівник кидає фразу: «Слухай, не треба робити паніку. Запиши м’якше». І CRO розуміє, що його свобода обмежена не форматом, а владними «червоними лініями».

«Сигнали, які зникають по дорозі»

Власник ризику чесно написав у своєму звіті про інцидент. CRO включив його у консолідований звіт. Але на рівні правління цей сигнал тихо «загубився»: або прибрали у презентації, або сховали у додатку, який ніхто не читає.

Влада завжди впливає на звіти. І це нормально — управління ризиками не живе у вакуумі. Проблема починається тоді, коли влада перетворює звітність із інструмента правди на інструмент політики.

Бо тоді компанія отримує не «систему раннього попередження», а систему колективної самоцензури. І це, мабуть, найнебезпечніший ризик з усіх. Цю проблему добре ідентифікував і звіт COSO “Risk Reporting in Practice” (2020), де підкреслюється: культура самоцензури може звести нанівець навіть найсучасніші рамки звітності.

Страх: чому звіти іноді пишуться для того, щоб вижити

Якщо влада коригує зміст звітів, то страх визначає їхню тональність. У деяких компаніях звіти з ризиків пишуться не для того, щоб показати правду, а для того, щоб уникнути неприємностей.

«Як би не покарали»

Власник ризику бачив, що у відділі був серйозний інцидент. Але замість чесного опису він пише: «короткострокові труднощі, ситуація врегульована». Чому? Бо він знає: якщо напише правду, його чекає не аналіз і допомога, а догана і клеймо «проблемного менеджера».

«Краще змовчати»

CRO теж розуміє правила гри. Якщо він у звіті покаже занадто багато «червоного», правління може сказати: «Він драматизує, він не справляється, може, варто замінити?»
І тоді краще зробити звіт «збалансованим»: трішки проблем, але щоб усе виглядало під контролем.

«Верхівка не хоче чути»

А іноді страх іде згори вниз. CRO чудово знає, що наглядова рада не любить «погані новини». І тоді з’являється внутрішній цензор: «Якщо я напишу чесно, мене попросять пояснювати, чому не попередив. А якщо напишу спокійно — усі кивнуть і підуть далі». Подібні тенденції описує і PwC у звіті “State of Risk Oversight” (2022): у понад половини компаній ризик-звіти свідомо “пом’якшуються”, аби уникнути конфлікту з керівництвом.

У результаті звіти стають схожими на листи до Санти: усі чемні, усі стараються, усі молодці. Але замість реальних ризиків у них — прикрашена реальність.

Проблема в тому, що страх убиває систему управління ризиками тихо й непомітно. Він не створює скандалів, не викликає гучних відставок, але він щодня зменшує чесність сигналів. І коли криза нарешті приходить, усі дивуються: «Чому ж ми цього не бачили?». Deloitte у глобальному опитуванні CRO 2023 року відзначає, що понад 60% керівників визнають: ключові ризикові сигнали часто “губляться” ще до рівня ради — саме через страх показати надто багато “червоного”.

Довіра: єдиний спосіб оживити систему

Можна мати сотні політик, десятки лімітів і гори звітів, але без довіри вся ця конструкція не працює. Бо довіра — це єдиний антидот проти влади, що тисне, і страху, що паралізує. Вона є основою справжньої культури ризик-менеджменту в компанії.

«Можна сказати правду і тебе почують»

У компанії, де є довіра, risk owner не боїться написати у звіті: «Так, у нас був серйозний збій, і ми втратили клієнтів». Він знає, що його не зроблять крайнім, а допоможуть знайти рішення.

«CRO може бути чесним»

Коли у CRO є довіра правління і ради, він може дозволити собі показати «червоне» на карті ризиків. Не для того, щоб злякати, а щоб попередити: «Ось проблема, і ми маємо діяти зараз». Це і є зрілість системи: коли погані новини не караються, а запускають реакцію. McKinsey у своєму огляді 2022 року показала, що компанії з культурою довіри між CRO та правлінням у кризових умовах реагують у 2–3 рази швидше, ніж ті, де переважає атмосфера страху.

«Рада, яка слухає»

Довіра — це коли наглядова рада готова чути навіть неприємні речі й не реагує фразою: «Ви драматизуєте». А питає: «Що нам потрібно зробити?» Це просте, але ключове зрушення.

«Культура замість інструкцій»

Довіру не можна записати у Політику чи прописати у процедурі. Це культура, яка вибудовується роками: коли сигнали не карають, а використовують для розвитку. І тоді навіть найжорсткіша криза стає не катастрофою, а уроком.

У підсумку: довіра — це те, що перетворює звітність із мертвих папок у живу нервову систему. Без неї всі наші цикли, ролі й таблиці залишаються лише декораціями.

Висновки: що між рядками звітів

Ми пройшли довгий шлях — від перших звітів власників ризиків до наглядової ради. Ми бачили, як працює система, коли кожен виконує свою роль: власники ризиків передають сигнали, CRO їх узагальнює, правління приймає рішення, аудит перевіряє, рада дивиться на стратегічний горизонт. Це була логічна й красива картина.

Але життя завжди складніше за схеми. У реальності між звітами й рішеннями є простір, який не видно у таблицях. У цьому просторі живуть влада, страх і довіра. Саме вони вирішують, чи буде система працювати чесно, чи перетвориться на театр для регулятора й акціонерів.

• Якщо переважає влада, звіти стають інструментом політики.
• Якщо переважає страх, звіти перетворюються на прикрашену казку.
• Якщо є довіра, система оживає.

Зрештою, будь-яка звітність — це не про документи. Це про людей і їхню здатність говорити правду один одному. Про культуру, де сигнал ізнизу не зникає нагорі. Про чесність, яка болить сьогодні, але рятує завтра.

Тому головний висновок нашого циклу простий: звітність — це нервова система компанії. І вона працює лише тоді, коли імпульси не блокуються владою, не паралізуються страхом і підтримуються довірою.

Все інше — таблиці, процедури, графіки — лише інструменти. А серцем системи завжди залишаються люди. Institute of Risk Management у своєму дослідженні прямо наголошує: зрілість культури ризик-менеджменту вимірюється не кількістю процедур, а тим, наскільки вільно працівники можуть говорити правду про ризики.

Звітність — це нерви бізнесу: якщо вони передають сигнали чесно й без спотворень, організм виживе навіть у шторм; якщо ні — жодна політика не врятує.

Сергій Бабич