Це третя стаття нашого циклу про звітність у ризик-менеджменті. У першій ми говорили про власників ризиків, у другій — про те, як CRO звітує правлінню. А тепер піднімаємось на найвищий поверх — до наглядової ради.

Якщо правління — це мозок, який щодня приймає рішення, то наглядова рада — це стратеги, які визначають, куди взагалі рухається корабель. Їхнє завдання — не кермувати щодня, а дивитися на горизонт: чи ми йдемо у правильному напрямку, чи там попереду айсберг, чи, може, є коротший шлях.

І тут криється найбільший виклик для CRO. Бо наглядова рада не цікавиться дрібними інцидентами, не хоче знати кількість збоїв у системі чи відсоток скарг за місяць. Їм потрібна велика картина:

• які ризики визначатимуть майбутнє компанії,
• чи відповідає рівень цих ризиків нашій стратегії,
• чи здатна організація пережити бурю й використати нові можливості.

А тепер уяви ситуацію: CRO виходить до наглядової ради з тим самим набором таблиць, що й для правління. Члени ради переглядають сторінки з KRI і думають: «А ми для чого тут? Щоб рахувати інциденти разом із IT-директором?» Це класичний промах. Бо мова для наглядової ради — інша. Тут важлива не мікроскопія, а стратегічний знімок із висоти пташиного польоту.

Що хоче почути наглядова рада

На відміну від правління, яке живе щоденними задачами, наглядова рада мислить категоріями років, а іноді й десятиліть. Тому й очікування від звіту CRO у них зовсім інші.

1. Чи відповідають ризики нашій стратегії?
   Якщо компанія вирішила рости за рахунок діджиталізації, то членам ради важливо почути: «Які стратегічні ІТ-ризики це несе? Чи не опинимось ми в ситуації, коли залежність від одного постачальника зробить нас заручниками?»
2. Чи не ставить бізнес під загрозу виживання?
   Наглядова рада завжди тримає в голові питання: «Чи є у нас ризики, які можуть просто «покласти» компанію?» Це не дрібні операційні збої, а стратегічні удари — судові позови на сотні мільйонів, регуляторні зміни, війна, кібератака на всю систему.
3. Чи є в нас запас міцності?
   Тобто не просто: «ми маємо такі-то ризики», а й: «чи витримаємо ми, якщо вони матеріалізуються?» Це про капітал, репутаційний ресурс, готовність до кризових сценаріїв.
4. Які тренди загрожують у майбутньому?
   Для ради важливо бачити наперед. Наприклад, якщо сьогодні у нас лише кілька ESG-запитів від клієнтів, то через 3–5 років це може стати ключовою вимогою для бізнесу. Члени ради хочуть знати про це вже зараз.
5. Що має зробити сама рада?
   Наглядова рада — не аудитор і не консультант. Вона має приймати стратегічні рішення. Тому звіт CRO повинен завершуватися чітким сигналом: «Шановні члени Ради, у цій сфері потрібне саме ваше втручання. Це не рівень менеджменту — це ваш рівень відповідальності».

І тут головна різниця з правлінням: якщо для менеджменту CRO приносить список конкретних дій, то для наглядової ради він приносить «великий знімок» із позначеними зонами, де потрібне їхнє стратегічне слово.

Як CRO має структурувати звіт для наглядової ради

Звіт CRO для наглядової ради — це не «розширений Excel» і не презентація з 50 слайдів. Це документ, який має силу впливати на стратегічні рішення. Тому він мусить бути простим, але влучним, як удар дзвону.

1. Вступ: стратегічна картина одним абзацом.
   «Наш профіль ризиків загалом у межах апетиту, але два напрямки вимагають особливої уваги: залежність від одного ІТ-постачальника і ризик регуляторних змін у сфері страхування». Усе. Далі члени ради вже слухають із потрібним фокусом.
2. Топ-ризики для стратегії.
   Не всі 20, а 3–5 ключових. І кожен — не у вигляді KRI, а в бізнес-контексті:

• що це за ризик;
• як він може вплинути на стратегічні цілі;
• чи ми готові до нього.

Приклад: «Ризик кібератаки на ключові системи. Потенційний вплив — тижнева зупинка бізнесу. Наша готовність — середня: є резервні потужності, але вони не протестовані під повним навантаженням».

3. Сценарії.
   Наглядовій раді важливо бачити не лише ризики, а й «як може розвиватися майбутнє». Це може бути 2–3 сценарії: оптимістичний, базовий і стресовий. І головне — чи є у компанії план дій на кожен із них.
4. Тренди та нові фактори.
   Тут CRO виступає як «радар»: що ми бачимо на горизонті? Це може бути зміна політики регулятора, технологічні інновації, нові вимоги до ESG. Членам ради це цікаво, бо вони мислять горизонтом у 3–5 років.
5. Запит до наглядової ради.
   Найважливіша частина. У фіналі звіту має бути чітко написано: «Ось питання, які потребують вашого рішення/схвалення/дискусії». Наприклад:

• «Затвердити диверсифікацію ІТ-постачальників»;
• «Виділити бюджет на стрес-тестування капіталу»;
• «Розглянути політику ESG на рівні стратегії».

Без цього звіт — просто розповідь. А з цим — інструмент управління.

Практика: реальні уроки зі звітів CRO

Позитивний приклад

У страховій компанії CRO підготував звіт для наглядової ради щодо ринку ОСЦПВ. Замість сухих показників він показав динаміку збитковості портфеля на три роки вперед: графік чітко йшов угору. Потім наклав цю криву на бізнес-план компанії — і стало зрозуміло, що через два роки рентабельність зникне повністю.

У своєму виступі CRO сказав просту фразу: «За нинішньої політики ціноутворення ми доходимо до нуля в 2027 році. Це не прогноз конкурента, це наша власна крива».

Цього виявилося достатньо, щоб наглядова рада ініціювала стратегічну дискусію й дала завдання переглянути тарифну політику. Результат — компанія змінила стратегію раніше, ніж більшість конкурентів, і вірогідно уникне  значних втрат.

Негативний приклад

В одній фінансовій групі  CRO підготував дуже детальний звіт про кредитні ризики. У ньому було понад 80 слайдів: матриці, heat map, десятки KRI. Але у звіті бракувало головного — оцінки впливу на стратегію.

Члени наглядової ради чемно вислухали, а потім один із незалежних директорів запитав: «Скажіть, будь ласка, а як це все співвідноситься з нашим планом виходу на нові регіони?» Відповіді не прозвучало.

Після цього випадку наглядова рада встановила правило: жоден звіт CRO не приймається, якщо в ньому немає зв’язку з ключовими стратегічними пріоритетами банку.

Трохи іронії з реальності

CRO одного великого страховика розповідав: «Я витратив три тижні на підготовку карти ризиків із 12 показниками. А наглядова рада витратила 30 секунд, щоб сказати: «Гарна картинка. А які наслідки в грошах?»»

Інший випадок: під час засідання ради CRO показав чотири сценарії розвитку ринку. Один з членів Ради уважно подивився й сказав: «Цікаво, але я бачу п’ятий сценарій — що буде, якщо регулятор знову змінить правила?» І справді, за два місяці НБУ опублікував нову вимогу, яка повністю змінила розклади.

Такі моменти викликають усмішку, але й показують головне: наглядова рада завжди дивиться ширше. І завдання CRO — підготуватися до того, що питання будуть несподівані, а розмова — про стратегічне, а не про таблиці.

Висновки: стратегічна роль звітів CRO для наглядової ради

Звіти CRO для наглядової ради — це не про таблиці та методології. Це про майбутнє компанії. Це про те, чи здатна організація передбачати удари й витримати їх.

Тут немає місця дрібним інцидентам чи внутрішнім показникам, які важливі на рівні менеджменту. Наглядова рада мислить іншими категоріями: чи узгоджені ризики з нашою стратегією, чи вистачить капіталу в кризі, чи не загубимо ми репутацію на ринку, чи готові ми до змін, які ще навіть не на горизонті, а лише в передчутті.

І саме CRO має дати відповіді на ці питання. Не абстрактно, не «десь там», а чітко:

• ось ризики, що формуватимуть майбутнє;
• ось сценарії, які можуть реалізуватися;
• ось сфери, де потрібне рішення саме наглядової ради.

Бо без цього звітність CRO для ради перетворюється на черговий додаток у порядку денному. А з цим вона стає стратегічним інструментом управління.

Правда така: наглядова рада не завжди питає про ризики, але вона завжди відповідальна за наслідки. І місія CRO — донести картину так, щоб уникнути мовчазної згоди на небезпеку.

Отже, звіт CRO для наглядової ради — це не просто інформація. Це право компанії на майбутнє.

Наступна стаття циклу буде присвячена квартальним звітам з ризиків — тим самим документам, які зв’язують щоденну роботу з великими стратегічними рішеннями.

Сергій Бабич