Ми звикли мислити ризиками ззовні. Війна, пандемія, інфляція, регуляторний тиск — усе це добре зрозумілі загрози. Вони яскраві, вимірювані, про них говорять ЗМІ, на них реагують миттєво. Але в той час, коли зовнішні ризики зазвичай стають приводом для оперативних рішень, справжні кризи часто визрівають не на поверхні, а глибоко всередині компанії. Йдеться про так звані внутрішні ризики — ті, що зароджуються у щоденних рішеннях, мовчазних компромісах, корпоративній культурі, управлінській інерції.

Ці ризики підступні: вони не гримлять заголовками новин, але повільно підточують фундамент. І якщо їх не ідентифікувати вчасно, вони здатні викривити стратегічне бачення компанії, зруйнувати довіру клієнтів і створити відчуття стабільності, яка є ілюзорною. Цей матеріал — спроба показати, як внутрішні ризики впливають на ORSA (процес внутрішньої оцінки ризиків і достатності капіталу), як вони формують репутаційну вразливість і чому без їхнього глибокого аналізу говорити про RM2 — лише удавання зрілості.

Як внутрішні ризики проникають у ORSA-модель

ORSA — це не просто регуляторна вимога, а інструмент, покликаний допомогти компанії чесно подивитися на себе: на свої ризики, свої ресурси, свої межі. Але що буде, якщо ця «самооцінка» базується на упереджених чи викривлених даних? Що, якщо компанія сама себе не чує або не хоче чути?

Внутрішні ризики можуть викривити ORSA ще на старті. Наприклад, якщо дані для оцінки ризиків збираються вручну, без дублюючого контролю — ми вже маємо справу з ризиком якості інформації. Якщо в компанії існує «страх поганих новин», і аналітики інтуїтивно підганяють цифри під очікування керівництва — ORSA стає не оцінкою, а формальністю. Якщо ж кадрові конфлікти або надмірна залежність від однієї ключової особи не ідентифікуються як чинники ризику — ми бачимо організаційну сліпоту.

Така ORSA не здатна передбачити кризу. Вона лише створює ілюзію керованості, яка зникає при першому серйозному збуренні. Саме тому внутрішні ризики мають бути не десь «у додатку», а в самому серці ORSA-моделі.

Репутаційний ефект внутрішніх ризиків: вразливість, якої не видно одразу

Репутація — це не пост у соцмережах і не полірування сайту. Це віддзеркалення довіри, яку компанія здобула або втратила через свої вчинки. І часто іміджеві втрати не мають зовнішнього походження. Їхнє джерело — саме в дрібницях: затриманих виплатах, неетичних формулюваннях у листуванні, грубій поведінці співробітників або навіть у тому, що компанія не змогла чітко пояснити свої дії.

Візьмемо простий приклад. Якщо компанія затримала виплату через неузгодженість між андеррайтингом і врегулюванням, клієнт не аналізуватиме внутрішні процеси — він просто втратить довіру. А коли таких клієнтів буде кілька, отримаємо інформаційний резонанс. Чому це сталося? Бо десь була прогалина — в інструкції, в контролі, в комунікації.

Репутаційний ризик — це не окремий різновид ризику. Це, радше, наслідок того, що ми пропустили на рівні процесів. І в цьому сенсі, внутрішні ризики — це своєрідна вибухівка повільної дії.

Кілька анонімізованих прикладів із ринку:

• Страхова компанія в Центральній Європі втратила понад 20% премій за пів року після масового відтоку клієнтів. Причина: внутрішній аудит виявив, що клієнтам надсилалися неправильні оновлення полісів. Це була IT-помилка, яку кілька місяців приховували керівники підрозділів, боячись санкцій. Зовні виглядало, що компанія не здатна забезпечити базовий сервіс.
• У країні Балтії страхова група зазнала регуляторної перевірки після того, як її співробітники публічно поскаржились на відсутність стандартів врегулювання збитків. Це викликало суспільний резонанс. У підсумку компанія втратила контракти з банківським партнером. Причина — не зовнішня атака, а внутрішній управлінський занепад і відсутність єдиних процедур.
• Одна з українських компаній кілька років тому втратила стратегічного партнера через неетичну поведінку співробітників call-центру, які дозволили собі дискримінаційні висловлювання. Випадок отримав розголос у медіа. Компанія змушена була вибачатись і провести тренінги з етики, але репутаційні втрати вже були незворотні.

Системна інтеграція: як пов’язати внутрішні ризики з ORSA та репутаційною стратегією

Сучасний підхід до ризик-менеджменту — RM2 — передбачає не тільки виявлення загроз, а їхнє глибоке розуміння, системну інтеграцію в прийняття рішень і створення культури «відкритих очей». У цій логіці внутрішні ризики мають бути не тіньовим елементом системи, а однією з її опор.

Яким чином це реалізувати?

• По-перше, включати внутрішні ризики до карти ризиків — не як додаток, а як окрему категорію (організаційні, культурні, процесні, тощо).
• По-друге, інтегрувати відповідні KRI (наприклад, частка ручних операцій, залежність від ключових осіб, конфлікти між департаментами).
• По-третє, враховувати ці ризики в ORSA-сценаріях — з відповідним обґрунтуванням впливу.
• І нарешті, прописувати репутаційну реакцію, враховуючи, що внутрішня криза майже завжди стане публічною, якщо її не локалізувати на ранньому етапі.

Таким чином, один і той самий внутрішній інцидент (скажімо, втрата ключового спеціаліста) стає одразу трьома речами: KRI, фактором для ORSA і тригером для репутаційної оцінки. Це і є RM2 в дії — комплексне мислення.

Висновки та рекомендації

У сучасному світі репутація — не додаткова цінність, а актив. А внутрішні ризики — не операційна «дрібниця», а один із головних факторів, що формує або руйнує довіру.

Компанія, яка не бачить свої внутрішні слабкі місця — не здатна побудувати чесну ORSA-модель. Компанія, яка не прив’язує процеси до реальних індикаторів — ризикує втратити здатність управляти репутацією. І навпаки: компанія, яка бачить, аналізує й реагує на внутрішні ризики — уже перебуває на вищому рівні культури управління.

Усе, про що йдеться у цій статті — не про «стару школу RM1», де ризики нумеруються, фарбуються у кольори та складаються у папки. Це — про сучасний ризик-менеджмент RM2, в якому процес, етика, комунікація і стратегія поєднуються в цілісну систему. І саме внутрішні ризики — її лакмусовий папірець.