Останні роки дедалі більше фахівців з управління ризиками в регульованих галузях — банках, страхових компаніях, фінансових групах — стикаються з дивним парадоксом. Системи управління ризиками формально відповідають усім регуляторним вимогам, звітність заповнена, процеси описані, карти ризиків оновлюються з належною регулярністю. І водночас дедалі частіше звучить запитання: а яку реальну цінність усе це створює для бізнесу?

Саме з цієї точки починає свою розвідку швейцарський професор і практик у сфері risk management Stefan Hunziker. Його теза, сформульована гранично жорстко — «perfectly compliant, hardly relevant» — стала тригером для масштабної професійної дискусії. І справа тут не в критиці регуляторів як таких. Йдеться про глибшу, системну проблему: сучасні моделі управління ризиками надто часто проєктуються як інструмент assurance, а не як механізм підтримки управлінських рішень.

Показово, що ця рефлексія народжується не в академічному вакуумі, а безпосередньо з практики — з розмов з ризик-менеджерами швейцарських банків і страхових компаній, які формально «роблять усе правильно», але не відчувають, що їхня робота реально впливає на стратегічні рішення бізнесу

Позиція автора: коли risk management втрачає сенс

В основі аргументації автора лежить просте, але незручне спостереження: більшість регуляторних вимог і стандартних RM-фреймворків орієнтовані передусім на операційні та комплаєнс-рішення, але майже не підтримують стратегічні управлінські рішення. Саме в цій точці й виникає розрив між формальною відповідністю та реальною корисністю.

Особливо яскраво, за словами автора, цей розрив проявляється в процесі ORSA. Ризики, які ретельно оцінюються для регуляторних цілей — платоспроможності, достатності капіталу, виконання нормативів, — рідко трансформуються у бізнес-релевантні ERM-ризики. Вони майже не впливають на планування, ціноутворення, розподіл ресурсів або стратегічні пріоритети.

У практиці це породжує типові, добре знайомі симптоми.

По-перше, домінування теплових карт. Барвисті матриці «high–medium–low» виглядають переконливо й професійно, але фактично не підтримують жодного управлінського рішення. Вони створюють ілюзію контролю, не відповідаючи на питання «що робити далі».

По-друге, формальне розмежування внутрішньо притаманного ризику (inherent)  та залишкового ризику (residual risk). Автор прямо називає це теоретичною конструкцією, яка не існує в реальному управлінському світі. Для менеджменту важливо працювати з поточною невизначеністю, а не з абстрактними моделями, відірваними від реального контексту.

По-третє, «загальна оцінка ризиків», яка охоплює сотні операційних і комплаєнс-ризиків, але водночас ігнорує стратегічні ризики та ризики можливостей. Така оцінка живе власним життям, не впливаючи на бізнес і не змінюючи управлінських рішень.

Ключовий висновок автора полягає в тому, що проблема не зводиться до окремих інструментів чи методик. Вона має системний, дизайнерський характер. Коли risk management будується передусім як інструмент забезпечення впевненості (assurance), він неминуче витісняє судження, діалог і навчання в умовах невизначеності — ті якості, які є критично важливими для якісних рішень.

У жорстко регульованих галузях це означає необхідність опанування подвійної ролі. З одного боку — забезпечення регуляторної впевненості, «license to operate». З іншого — аналітична та дорадча функція, спрямована на створення цінності для бізнесу. Лише за умови співіснування й узгодження цих двох логік risk management, за словами автора, може повернути собі справжнє призначення — не лише захищати цінність, а й допомагати її створювати

Дискусія під постом: коли професійна спільнота говорить в унісон

Реакція на тезу про «perfectly compliant, hardly relevant» виявилася показовою не лише за кількістю коментарів, а насамперед за їх змістом. Обговорення швидко вийшло за межі згоди або незгоди з автором і перетворилося на широку професійну рефлексію щодо того, чим насправді стало управління ризиками у регульованих галузях.

Risk management як compliance vs risk management як підтримка рішень

Одна з найчіткіших ліній дискусії — протиставлення risk management як інструменту виконання регуляторних вимог і risk management як механізму підтримки управлінських рішень. Одні учасники наголошують, що повна регуляторна відповідність давно перестала автоматично означати корисність для бізнесу. За їхніми словами, ризик-функція часто продукує коректні з погляду нагляду артефакти, але ці артефакти рідко впливають на реальні рішення щодо стратегії, інвестицій або розвитку продуктів.

Інші розвивають цю думку, підкреслюючи, що проблема полягає не в самій наявності регулювання, а в тому, що risk management був концептуально редукований до «заспокійливого механізму» для регулятора. У такій моделі управління ризиками перестає бути мовою бізнесу і перетворюється на окрему, ізольовану функцію з власною логікою, не синхронізованою з цілями організації.

Heat maps, оцінки і «театр забезпечення»

Окрема група коментарів фокусується на інструментарії, який став символом цієї трансформації. Йдеться передусім про теплові карти ризиків, які багато хто прямо називає формою  «ритуал забезпечення впевненості» («assurance theatre»). Одні зауважують, що кольорові матриці створюють ілюзію контролю, але не допомагають відповісти на ключові питання: які ризики справді критичні, що з ними робити і якою є ціна рішень.

Інші йдуть далі, стверджуючи, що фокус на якісних шкалах і візуальних оцінках відволікає увагу від суті проблеми — невизначеності впливу ризиків на фінансові та стратегічні показники. Замість того щоб говорити мовою чисел, сценаріїв і trade-off’ів, risk management часто залишається у світі умовних категорій, зручних для звітності, але непридатних для управління.

Розрив між ризиками бізнес-моделі та ризик-реєстрами

Ще одна важлива лінія дискусії стосується змістовного наповнення ризик-реєстрів. Окремі учасники звертають увагу на те, що в багатьох організаціях risk management зосереджений на тому, що легко ідентифікувати та задокументувати: операційні інциденти, комплаєнс-порушення, контрольні слабкості. Водночас ризики, пов’язані з бізнес-моделлю, конкурентним середовищем, зміною поведінки клієнтів або технологічною трансформацією, залишаються поза фокусом.

Це призводить до парадоксальної ситуації: організація «знає все» про дрібні операційні ризики, але має слабке уявлення про ті фактори, які насправді визначають її довгострокову стійкість. У такому контексті risk management перестає бути компасом і перетворюється на архів проблем минулого, а не інструмент роботи з майбутнім.

Подвійна роль risk-функції і організаційний дизайн

Чимало коментарів розвивають тезу автора про необхідність подвійної ролі управління ризиками. Одні підкреслюють, що в реальності ці дві логіки — захисна та дорадча — часто конфліктують між собою. Ризик-функція змушена одночасно задовольняти очікування регулятора, наглядових органів і внутрішнього менеджменту, кожен з яких має власні пріоритети.

Інші звертають увагу на організаційні наслідки цього конфлікту. Коли risk management структурно і культурно тяжіє до другої лінії захисту, він неминуче віддаляється від бізнес-процесів першої лінії. Це створює розрив у контексті, мові та цілях, який складно подолати лише зміною методик або звітних форм.

«Мінімальні вимоги» як мінімум, а не ціль

Нарешті, окрема група коментарів концентрується на самій природі регуляторних вимог. Одні іронічно зауважують, що термін мінімальні вимоги («minimum requirements») не випадковий: він описує нижню межу прийнятності, а не стандарт досконалості. Інші наголошують, що організації, які обмежуються лише виконанням мінімуму, ризикують залишитися «середніми» — формально безпечними, але стратегічно вразливими.

У цьому контексті звучить важлива думка: регуляція дає «ліцензію на роботу», але не «ліцензію на лідерство». Реальна зрілість управління ризиками починається там, де організація добровільно виходить за межі обов’язкового і використовує risk management як інструмент усвідомленого вибору та розвитку.

Підсумок дискусії: що насправді оголила ця розмова

Якщо звести разом позицію автора та аргументи, що пролунали в обговоренні, стає очевидно: йдеться не про окремі інструменти, не про heat maps як такі і навіть не про надмірне регулювання. Йдеться про втрату первинного сенсу управління ризиками у процесі його інституціоналізації.

Управління ризиками в регульованих галузях дедалі частіше функціонує як система доказів належної поведінки, а не як система підтримки складних рішень в умовах невизначеності. Ця трансформація відбулася поступово й майже непомітно — через стандарти, наглядові очікування, перевірки, аудити та звітність. У результаті risk management навчився добре відповідати на запитання регулятора, але значно гірше — на запитання бізнесу.

Дискусія чітко показує, що більшість практиків не заперечують необхідність регуляторної складової. Навпаки, вона сприймається як неминуча і навіть корисна частина «гігієни» організації. Проблема виникає тоді, коли ця логіка повністю витісняє іншу — логіку управлінського судження, діалогу та вибору між альтернативами.

Ще один важливий висновок полягає в тому, що деградація ролі risk management не є наслідком браку компетенцій або слабких фахівців. Навпаки, у багатьох організаціях risk-функції укомплектовані технічно сильними спеціалістами. Проте їхні знання спрямовані на підтримку системи контролю, а не на розуміння бізнес-моделі, економіки продуктів або стратегічних компромісів.

У цьому сенсі фраза «perfectly compliant, hardly relevant» звучить не як докір окремим risk-менеджерам, а як діагноз системі в цілому. Системі, в якій відповідність правилам стала самоціллю, а управління невизначеністю — побічним ефектом.

Мій погляд: між «ліцензією на діяльність» і відповідальністю за рішення

Зі свого боку я дивлюся на цю ситуацію не лише як на теоретичну проблему, а як на щоденну практичну реальність, з якою стикаються risk-менеджери у фінансових компаніях.

На мою думку, ключова помилка полягає не в тому, що risk management став занадто регульованим. Помилка — у мовчазному прийнятті того, що регуляторна відповідність і є повноцінним управлінням ризиками. У певний момент галузь погодилася з тим, що виконання мінімальних вимог автоматично означає «зрілість», і цим сама себе загнала в пастку.

Я переконаний, що регуляторна модель управління ризиками має чітке і легітимне призначення — забезпечити «ліцензію на діяльність». Вона потрібна. Вона обов’язкова. Але вона не може і не повинна бути єдиною. Коли risk management зводиться лише до цього рівня, він перестає бути управлінською функцією і стає різновидом внутрішнього нагляду.

Справжня цінність risk management починається там, де з’являється відповідальність за якість управлінських рішень, а не лише за коректність звітності. Там, де ризики розглядаються не як перелік подій або порушень, а як прояви невизначеності щодо досягнення конкретних цілей. Там, де питання звучить не «чи ми все задокументували», а «чи ми розуміємо, на що насправді ставимо».

Саме тому дискусія, спровокована цим постом, є настільки цінною. Вона показує, що професійна спільнота вже усвідомлює межі існуючої моделі. Питання тепер не в тому, чи потрібні зміни, а в тому, хто і як наважиться вийти за межі мінімуму, не втративши при цьому регуляторної довіри.

І, можливо, найважливіше — чи готові ми, як ризик-менеджери, перестати бути лише гарантами відповідності і знову взяти на себе роль співучасників управлінського вибору.

Сергій БАБИЧ