Ми вже з’ясували, що ризик-апетит — це не формальність, а стратегічний інструмент. Але у багатьох компаніях після гучних заяв справа далі не йде. Є декларація з правильними формулюваннями, погоджена наглядовою радою, — і все. Вона лежить собі у корпоративній папці, поки менеджери приймають рішення так, як звикли.

І тут виникає ключове питання: як перетворити ризик-апетит з абстрактної декларації на робочий інструмент управління?

Відповідь, начеб то,  проста: через толерантності, KRI та ліміти, які «вшивають» апетит у бізнес-процеси. Це як мати не лише карту, але й дорожні знаки, обмеження швидкості та світлофори. Декларація дає напрямок, а толерантності та KRI показують, чи ми ще на шляху, чи вже ризикуємо вилетіти з дороги.

У цій статті ми подивимося, як саме ризик-апетит трансформується у вимірювані індикатори й конкретні дії. Зрозуміємо, чому без цієї трансформації документ залишиться «мертвим», і розберемо практичні приклади зі страхового бізнесу.

Толерантності: як виглядають «коридори ризику» у реальності

У декларації ризик-апетиту ми говоримо про загальні принципи: «апетит до регуляторних порушень — нульовий», «апетит до ринкових ризиків — помірний», «апетит до інновацій — високий». Але бізнес не працює абстракціями. Бізнес працює з цифрами й діапазонами. І тут на сцену виходить поняття толерантності.

Толерантність — це той самий «коридор», у межах якого компанія може коливатись без паніки та надзвичайних зборів наглядової ради. Це як у медицині: є «норма» кров’яного тиску, є допустимі відхилення, а є критичні показники, що потребують невідкладного втручання.

Приклад 1. Збитковість портфеля

• Декларація каже: «апетит до збитковості — до 65%».
• Толерантність встановлюється: «ми готові жити у діапазоні 60–68%».
• Якщо показник тримається у цих межах — усе під контролем.
• Якщо перевищує 70% — це сигнал для негайного реагування (корекція тарифів, перегляд андеррайтингу).

Приклад 2. Ліквідність

• Декларація: «компанія підтримує достатній рівень ліквідності для виконання зобов’язань».
• Толерантність: «коефіцієнт ліквідності не має опускатися нижче 1,1 протягом кварталу».
• Якщо показник впав до 1,0 — це ще «жовта зона». Якщо нижче 0,9 — «червона зона», потрібне втручання ради директорів.

Приклад 3. ІТ-ризики

• Апетит: «компанія готова прийняти обмежені перебої в ІТ-системах».
• Толерантність: «допустимий простій — не більше 2 годин на місяць».
• Якщо простій сягає 3–4 годин — це сигнал, що захист недостатній, потрібні додаткові інвестиції чи резервні системи.

Таким чином, толерантність робить апетит практичним. Вона дає менеджменту простір для маневру і водночас визначає межі, після яких «гра закінчилася» і починається кризове реагування.

KRI: система раннього попередження

Толерантності задають коридори, але як зрозуміти, що компанія вже наближається до межі? Для цього існують KRI — ключові індикатори ризику. Їхня сила в тому, що вони працюють як маячки на дорозі: показують, що ви ще рухаєтесь правильно, чи вже наближаєтесь до небезпечного повороту.

Уявіть собі страховика, який працює з великим портфелем автоцивілки. У декларації прописано: «апетит до збитковості — 65%». Але збитковість — це показник, який формується постфактум, коли всі збитки вже врегульовані. Це як дивитися у дзеркало заднього виду: корисно, але запізно.

Саме тут у гру вступають KRI. Наприклад:

• Середній розмір виплат за останні три місяці. Якщо він раптом зростає, це сигнал, що збитковість піде вгору.
• Частка виплат по великих аваріях. Якщо цей показник підскочив, треба перевірити, чи не потрапили в портфель клієнти з вищим ризиком.
• Кількість скарг від клієнтів. Зростання скарг — не просто проблема сервісу, а ранній сигнал: скоро може збільшитись кількість судових позовів, отже, і витрати.

Або інший приклад — ІТ-ризики. Декларація каже: «простій систем не більше 2 годин на місяць». Але чекати кінця місяця, щоб порахувати хвилини простою, — це знову запізно. KRI в такій ситуації може бути:

• кількість спроб зовнішніх атак на систему;
• середній час відновлення після збоїв;
• відсоток критичних оновлень, встановлених вчасно.

Ці показники попереджають: якщо атаки зростають, а оновлення «висять» невстановленими — простій обов’язково перевищить допустимий.

Справжня цінність KRI у тому, що вони дозволяють діяти на випередження. Не чекати, поки перевищиш толерантність і доведеться пояснювати наглядовій раді, що сталося. А вчасно побачити жовтий сигнал і скоригувати курс.

У професійному середовищі KRI часто називають «системою раннього попередження». І це справді так. Бо там, де вони працюють, компанія рідше опиняється в ситуації «аварійного гальмування».

Ліміти: як ризик-апетит стає цифрами

Ліміти — це момент істини. Якщо декларація про апетит — це «наші принципи», толерантності — «наші коридори», то ліміти — це конкретні цифри, які не можна переступати. І саме завдяки їм ризик-апетит починає працювати в щоденних процесах.

Уявіть собі капітана корабля. Він може сказати екіпажу: «Ми не маємо апетиту до штормів». Гарно звучить, але що робити матросу на вахті? Йому потрібна конкретна вказівка: «Якщо хвилі перевищують три метри — змінюємо курс». Оце і є ліміт.

Приклад 1. Концентрація активів

• Апетит: «компанія готова приймати лише помірний ринковий ризик».
• Ліміт: «не більше 20% активів в одному банку».
  Це не теорія — це правило для фінансового директора. Якщо ліміт порушено, рішення потрібно негайно виносити на правління.

Приклад 2. Андеррайтинг

• Апетит: «компанія готова страхувати великі корпоративні ризики, але в межах платоспроможності».
• Ліміт: «максимальний розмір відповідальності за одним договором — 5% від власного капіталу».
  Це правило для андеррайтера: бачиш ризик більший за 5% — шукай перестрахування, інакше угода не підписується.

Приклад 3. Ліквідність

• Апетит: «нульовий апетит до ризику неплатоспроможності».
• Ліміт: «залишок грошових коштів на рахунках не менше ніж X млн грн щодня».
  Це правило для фінансового менеджера: якщо нижче — включається механізм продажу активів чи залучення кредитної лінії.

Ліміти — це, по суті, операційна мова ризик-апетиту. Вони дозволяють кожному менеджеру знати: «Ось моя межа. Далі я не маю права йти без додаткового погодження».

І тут є ще одна важлива деталь: ліміти працюють лише тоді, коли їх поважають. Якщо ліміт можна обійти «по дружбі» чи «бо треба виконати план», тоді ризик-апетит стає фікцією. У зрілих компаніях ліміти — це святе. Їхня дисципліна створює культуру довіри: всі знають, що правила однакові для всіх.

Як усе працює разом: від декларації до дії

Окремо кожен елемент виглядає зрозуміло: апетит — наші принципи, толерантності — наші коридори, KRI — маячки, ліміти — правила. Але справжня магія відбувається тоді, коли всі ці частини складаються в єдину систему.

Уявіть собі просту схему:

1. Декларація ризик-апетиту каже:
   – ми маємо низький апетит до ризику неплатоспроможності;
   – помірний апетит до ринкових ризиків;
   – високий апетит до інновацій та нових продуктів.
2. Толерантності уточнюють:
   – коефіцієнт ліквідності не нижче 1,1;
   – збитковість у діапазоні 60–68%;
   – допустиме відхилення від плану запуску нових продуктів — не більше 2 місяців.
3. KRI попереджають:
   – частка прострочених платежів > 10% — сигнал про проблеми з ліквідністю;
   – середній розмір виплат за квартал зростає — сигнал, що збитковість вийде з коридору;
   – кількість інцидентів ІТ безпеки > 5 на місяць — сигнал, що толерантність до ІТ-ризиків скоро буде перевищена.
4. Ліміти закріплюють:
   – не більше 20% активів в одному банку;
   – не більше 5% власного капіталу на один договір без перестрахування;
   – обов’язкова наявність резервних систем для ключових ІТ-процесів.
5. Процеси забезпечують виконання:
   – фінансовий департамент щодня моніторить ліквідність;
   – андеррайтинг перевіряє відповідність нових договорів лімітам;
   – ІТ-департамент фіксує всі інциденти й звітує про KRI на комітеті з ризиків.

У результаті ризик-апетит перестає бути «папером для НБУ». Він стає живою системою координат, у якій рухається компанія. Менеджери знають свої межі, рада директорів бачить картину в цілому, а власники впевнені, що бізнес розвивається у контрольованому середовищі.

У зрілих компаніях ця система працює настільки природно, що люди навіть не замислюються: «О, ми зараз застосували ризик-апетит». Вони просто діють у межах, які давно стали частиною корпоративної культури.

Висновки і крок далі

Ризик-апетит — це не абстрактна декларація для регулятора. Це система, яка працює тоді, коли вона «проживає» у процесах компанії.

• Толерантності задають коридори, у межах яких можна маневрувати.
• KRI попереджають завчасно, коли ми наближаємося до межі.
• Ліміти перетворюють апетит на чіткі правила «роби / не роби».
• Процеси забезпечують виконання, щоб ці правила не лишалися лише на папері.

Разом вони формують єдину мову ризику, зрозумілу і для андеррайтера, і для фінансового директора, і для наглядової ради. Завдяки цій мові стратегія компанії не розпадається на красиві презентації й хаотичні рішення, а стає реалістичною і контрольованою.

Та навіть найкращі декларації, толерантності, KRI й ліміти не працюватимуть, якщо в компанії бракує довіри та культури дотримання правил. Бо що з того, що у вас є таблиця лімітів, якщо її можна «обійти по дзвінку»?

Саме про це ми поговоримо у наступній статті циклу — «Культура ризику: як зробити ризик-апетит частиною ДНК компанії».

Сергій Бабич