УКРАЇНСЬКА АСОЦІАЦІЯ РИЗИК-МЕНЕДЖЕРІВ

стати учасником

Як змусити KRI працювати: практичні поради для ризик-менеджерів і не тільки

  1. Навіщо компаніям KRI у 2025 році

Кожна компанія хоче бути «на кермі»: приймати обґрунтовані рішення, уникати втрат, вчасно реагувати на зміни. Але що, якщо небезпека вже поруч — просто ми ще її не бачимо? Саме тут на сцену виходять ключові індикатори ризику, або KRI — ті самі покажчики на панелі приладів, які сигналізують: «обережно, ризик наближається».

У 2025 році впровадження KRI вже не можна назвати інновацією — це радше ознака зрілості управління. Регулятори різних галузей (НБУ, НКЦПФР, НКРЕКП) прямо вказують на необхідність моніторингу ризиків і оцінки ефективності контрольного середовища. Проте реальність така: багато компаній продовжують жити за інерцією, обмежуючись ризик-реєстрами та формальними звітами без жодної «панелі індикаторів».

Часто трапляється плутанина: «у нас же є KPI — навіщо ще якісь KRI?». Відповідь проста:

  • KPI — це про досягнення цілей (прибуток, кількість нових клієнтів, обсяги продажів);
  • KRI — це про ризики, що можуть завадити досягнути цих цілей (зростання скарг, зриви SLA, нестабільність IT-систем).

KRI не замінюють KPI, але додають глибину: вони показують, наскільки стабільними є ті досягнення, на які орієнтується бізнес. І найважливіше — KRI перестають бути статистикою, коли стають частиною процесу прийняття рішень. Вони вказують не просто на факт відхилення, а підказують, коли настав час діяти: посилити контроль, змінити продукт, переглянути канали збуту.

  1. KRI: ключ до розуміння ризиків до того, як вони вистрілять

Що таке KRI?
Ключові індикатори ризику (Key Risk Indicators) — це кількісні або якісні показники, які сигналізують про ймовірність або наближення ризикової події. Це ті самі маячки, що спалахують ще до того, як відбудеться аварія.

Як KRI відрізняються від KPI та KCI?
У практиці управління часто виникає плутанина між трьома схожими абревіатурами:

  • KPI (Key Performance Indicators) — показники ефективності. Вони показують, як ми досягаємо цілей: прибутковість, кількість проданих полісів, зростання клієнтської бази.
  • KCI (Key Control Indicators) — показники стану контрольного середовища: чи працюють наші контролі? Наприклад, % документів, що пройшли перевірку на відповідність; час обробки запиту тощо.
  • KRI — сигнал про ризик: що може піти не так? Як часто трапляються збої? Наскільки ми близькі до втрат?

Головна відмінність KRI — у фокусі на майбутню загрозу. Якщо KPI — це «де ми зараз», KRI — «що нас чекає за поворотом».

 

Приклади для порівняння:

Сфера

KPI

KCI

KRI

Онлайн-продажі

Кількість оформлених полісів

% перевірених документів

Частка полісів, оформлених на підозрілі ІПН

Підтримка клієнтів

Середній час відповіді

% дзвінків, оброблених за SLA

Кількість повторних скарг за тиждень

HR

Кількість нових співробітників

% пройдених онбордингів

Рівень плинності персоналу в ключових підрозділах

Проблема «мертвих KRI»

У багатьох компаніях KRI або не впроваджені, або існують формально. Типові помилки:

  • Вибір надто загальних індикаторів (наприклад, «кількість ризиків» замість «ризик перевищення виплат у сегменті А»).
  • Відсутність порогів реагування (немає розмежування, коли просто моніторимо, а коли маємо втручатися).
  • KRI не прив’язані до реального управління (їх ніхто не аналізує, і на них не реагують).

Живий KRI — це не той, який гарно виглядає у таблиці, а той, на який керівник дивиться щопонеділка й запиту

  1. Джерела даних для KRI: де шукати сигнали про ризик?

Жоден KRI не народжується з повітря. Щоб показник був дієвим, потрібно мати надійне джерело даних — регулярне, точне і бажано автоматизоване. Але де саме шукати ці дані?

  1. Операційні системи (core-системи, CRM, ERP)

Це золота жила для збору даних про:

  • кількість транзакцій;
  • частоту збоїв;
  • відхилення від стандартних процедур;
  • порушення SLA у роботі з клієнтами.

Приклад: якщо в CRM можна відстежити, що 15% звернень клієнтів не були оброблені вчасно — це прямий сигнал про можливе зростання операційного ризику або зниження якості обслуговування.

  1. Аналітика звернень клієнтів (скарги, запити, відгуки)

Регулярний аналіз скарг — це не обов’язок комплаєнсу, а дієвий KRI:

  • spike скарг на конкретний продукт може вказати на збій у процесі андеррайтингу або продажу;
  • повторні скарги по одному каналу — сигнал про проблеми у комунікаціях.

Живий приклад: зростання кількості скарг на відмови у виплаті ОСЦПВ може свідчити не лише про агресивну політику врегулювання, а й про слабку якість первинного андеррайтингу.

  1. Внутрішній аудит і перевірки

Плани та результати аудиту — ще одне джерело потенційних KRI:

  • кількість виявлених порушень процедур;
  • відсоток повторних порушень;
  • кількість незакритих рекомендацій.

Якщо понад 20% рекомендацій залишаються невиконаними протягом пів року — це не просто невідповідність, а реальна загроза для контрольного середовища.

  1. HR-дані

Люди — це частина системи контролю. Плинність кадрів, лікарняні, відсутність заміни ключових співробітників — все це створює ризики, які легко проігнорувати.

Якщо з ІТ-підрозділу звільняються двоє ключових адмінів, а процес заміни затягується — компанія опиняється під ризиком втрати контрольованості над критичною інфраструктурою.

  1. Зовнішні джерела

Іноді варто виходити за межі своєї системи:

  • зміни в законодавстві — KRI для регуляторного ризику;
  • судові рішення проти інших страховиків — KRI для ризику прецедентів;
  • поведінка конкурентів — індикатор стратегічного ризику.

Якщо кілька гравців ринку одночасно переглядають тарифи на добровільні види страхування — це може вказувати на зміну ризик-профілю або нову судову практику.

 

Висновок:
KRI — це не ще один «бюрократичний вимір», а спроба подивитися на ризики очима системи. Але без надійного джерела даних — це лише ілюзія контролю.

  1. Як створити дієві KRI: від вибору показника до порогів реагування

Щоб KRI справді допомагали приймати рішення, а не заповнювали Excel-таблиці для перевірки, потрібно пройти кілька важливих кроків. Спробуємо розкласти цей процес по поличках.

Крок 1: Визначте зону ризику, яку хочете моніторити

Почніть не з показника, а з питання: «Який ризик я хочу виявити?»:

  • Проблеми з врегулюванням збитків? → шукаємо ознаки затримок чи конфліктів.
  • Надто ризикові продажі? → аналізуємо поведінку агентів.
  • Регуляторний ризик? → моніторимо зміни в законодавстві, відмови у погодженні продуктів тощо.

Практика: не створюйте KRI на все підряд. Спочатку — мапа ризиків, потім — пріоритезація 10–15 критичних напрямків.

 

Крок 2: Обирайте прості, зрозумілі та доступні показники

Ідеальний KRI:

  • базується на даних, які вже є у системі;
  • легко рахується (не потребує трьох тижнів збирання);
  • його розуміють не лише ризик-менеджери, а й керівники бізнесу.

Погано: “індекс контрольної інтегральної напруги”. Добре: “відсоток скарг на 1000 договорів”.

 

Крок 3: Зробіть KRI динамічним

KRI — це не лише фіксація значення, а і аналіз змін:

  • що було у попередньому періоді?
  • наскільки зросло чи зменшилося?
  • чи це вже тренд, чи просто випадковість?

Звіт має показувати, що «жовте» сьогодні може стати «червоним» завтра.

 

Крок 4: Встановіть пороги реагування

Це один із найважливіших, але часто ігнорованих кроків. Порогові значення (thresholds) перетворюють цифру на сигнал:

  • 🟢 Зелена зона — все в межах прийнятного.
  • 🟡 Жовта зона — потенційна проблема, потрібна увага.
  • 🔴 Червона зона — необхідна дія, ризик вийшов за межі апетиту.

Наприклад:

  • Рівень скарг
  • < 1% — 🟢
  • 1–2% — 🟡
  • 2% — 🔴

 

Крок 5: Прив’яжіть KRI до дій

Без плану дій KRI — це просто цифра. У звіті має бути зрозуміло:

  • хто відповідальний;
  • що потрібно зробити при досягненні певного рівня;
  • як швидко очікується відповідь.

«При досягненні червоного рівня за показником SLA → зустріч із керівником підрозділу протягом 3 днів». Це і є RM2 у дії.

 

Крок 6: Підготуйте візуалізацію

Забудьте про “цифрову кашу”. KRI повинні бути представлені:

  • у графіках, тренд-лініях, кольорових зонах;
  • з мінімумом тексту і максимумом смислу.

Карта зон ризику на одній сторінці — краща за звіт на 20.

 

Висновок:
Дієві KRI — це ті, що не просто “рахуються”, а впливають на реальні дії. Саме тому вибір порогів, відповідальних осіб і реакцій — не технічна, а стратегічна справа.

 

  1. Як впровадити KRI в компанії так, щоб ними реально користувалися

Інколи компанії мають десятки показників ризику, але вони не впливають на ухвалення рішень. KRI стають формальністю — і втрачають сенс. Щоб цього не сталося, важливо правильно організувати впровадження. Нижче — шість практичних принципів.

  1. Залучайте бізнес з самого початку

Не варто розробляти KRI «в кабінеті ризик-менеджера», а потім нав’язувати їх підрозділам.

 Краще: зібрати разом керівника напрямку, аналітика, ризик-менеджера і HR (якщо треба) — і разом відповісти:

  • Який ризик нам болить?
  • Як його побачити до того, як «рване»?
  • Що реально можемо відстежувати?

Приклад: замість загального «ризик втрати ключових кадрів» HR запропонував рахувати «кількість пропущених етапів адаптації новачками» як ранній сигнал.

 

  1. Впроваджуйте поступово: від 3 до 5 ключових показників на початок

Намагання охопити все одразу призводить до перевантаження й формалізму.

Рекомендація: оберіть декілька критичних зон (наприклад, операційні ризики, збитковість, персонал), запровадьте по 1–2 KRI на кожну, і протестуйте протягом кварталу.

Живий приклад: одна компанія почала з трьох KRI у сфері продажів: кількість порушень процедури ідентифікації клієнта, частка повернутих премій, частка заявлених збитків у перші 14 днів після укладення договору.

 

  1. Забезпечте автоматизацію збору даних

Якщо показник треба «вручну» рахувати щомісяця — він приречений. Завдання CRO: разом з IT/аналітикою організувати процес так, щоб дані надходили автоматично, без додаткового навантаження на бізнес.

Приклад: компанія налаштувала щотижневу вивантаження з CRM щодо відсотка договорів без андеррайтингових приміток — як індикатор потенційного ризику недооцінки.

 

  1. Вмонтуйте KRI у регулярні управлінські обговорення

KRI не повинні жити окремим життям. Їх місце — у звітах, які читають.

Практика: щомісячна нарада керівників напрямів — окремий блок «KRI в жовтій/червоній зоні», коротке пояснення — і плани дій.

Приклад: компанія додала секцію «KRI відхилення» у презентації до наглядової ради — і це стало єдиним місцем, яке реально впливало на пріоритети.

 

  1. Прив’яжіть KRI до відповідальності

Показник — це не лише цифра. Це конкретна зона відповідальності.

Чітко зафіксуйте: хто стежить за показником, хто реагує на відхилення, хто надає звіт.

Інструмент: матриця RACI. Наприклад:

  • Власник процесу продажів — відповідальний за дії;
  • Аналітик — надає дані;
  • CRO — контролює і доповідає керівництву.

 

  1. Розвивайте культуру «без покарання»

Якщо кожне відхилення від KRI викликає страх і пошук «винного» — система помре.

Налаштування культури: KRI — це інструмент раннього попередження, а не контрольна палка.

Порада: запровадьте внутрішній принцип — «жовта зона» означає «обговоримо причини», «червона» — «діємо командно». Без штрафів, без показових доган.

Висновок:
Успішне впровадження KRI — це не про досконалі таблиці, а про те, щоб цифри стали частиною прийняття рішень. Якщо бізнес сам просить нові KRI — значить, ви все зробили правильно.

  1. Підсумки і рекомендації — що варто зробити вже сьогодні

Систему KRI не можна створити за один день — але можна вже завтра зробити перші кроки до її перетворення з формальності на інструмент. Якщо коротко — ось як виглядає ефективна система ключових індикаторів ризику в компанії, яка дійсно хоче керувати ризиками, а не лише про це звітувати.

Ознаки ефективної системи KRI:

  1. Вона зрозуміла
    KRI — не складна математика, а прості сигнали. Їх розуміє керівник, аналітик, фахівець на лінії.
  2. Вона інтегрована в управління
    Індикатори не лежать у звітах, а з’являються на екрані, коли приймають рішення.
  3. Вона автоматизована
    Дані не «збирають вручну», а підтягуються з наявних систем.
  4. Вона жива
    KRI оновлюються разом з ризик-профілем, а не існують «раз і назавжди».
  5. Вона підтримується культурою відповідальності, а не страху
    Відхилення — це не привід карати, а тригер для дій і діалогу.

 

Що можна зробити вже зараз (і не потребує бюджету)

  1. Переглянути наявні KRI:
    • Чи розуміють їх бізнес-підрозділи?
    • Чи можна їх обчислити без додаткових витрат?
    • Чи вони дійсно попереджають про ризики?
  2. Оновити реєстр KRI — залишити 5–7 найважливіших.
  3. Запровадити просту матрицю відповідальності (RACI):
    • Хто відповідальний за кожен індикатор?
    • Хто постачає дані?
    • Хто реагує?
  4. Внести секцію KRI у презентацію для правління / ради:
    • 1 слайд, 3 кольори: зелений — стабільно, жовтий — увага, червоний — дія.
  5. Обговорити з бізнесом:
    • «Що б ви хотіли знати заздалегідь, щоб уникнути проблем?»
    • Часто саме ці відповіді і є основою для реальних KRI.

 І наостанок — один важливий меседж:

KRI — це не про контроль, а про підтримку управлінців. Це система раннього попередження, яка каже:
«У нас ще є час відреагувати. Але тільки якщо ми дивимося на цифри — і бачимо за ними сенс».

У світі RM2 — KRI стають не просто показниками, а маркерами стійкості, сигналами для стратегічного маневру і дзеркалом зрілості компанії. А значить — саме їх варто зробити живими, осмисленими і дієвими.

 

Контакти

  • info@ukrarm.org
Linkedin Facebook