Помилки в оцінці ризиків — це не відхилення від норми і не свідчення слабкої системи. Навпаки, вони є природним продуктом будь-якої складної організації, яка намагається формалізувати невизначеність і перетворити її на управлінські рішення. Проблема починається не тоді, коли помилки виникають, а тоді, коли їх перестають помічати або вважають неминучим фоном.

У більшості компаній оцінка ризиків виглядає цілком «правильно»: є матриці, шкали, профілі, апетит до ризику (risk appetite), толерантність (risk tolerance), комітети і звіти. Усе це створює відчуття впорядкованості і контролю. Проте саме в таких системах найчастіше виникає парадокс: формально система працює, а управлінські рішення продовжують ухвалюватися так, ніби оцінки ризиків не існує.

Ця стаття — не про помилки «через некомпетентність». Більшість описаних тут ситуацій виникає у зрілих компаніях, з досвідченими командами і добре прописаними політиками. Причини помилок лежать значно глибше: у формалізмі, поспіху, конфлікті цілей, управлінській втомі, регуляторному тиску і, звісно, у війні, яка радикально змінила контекст для багатьох українських компаній.

Ми будемо говорити про типові помилки, які повторюються знову і знову — у страхових компаніях, фінансових установах і нефінансовому бізнесі. Без назв, без моралізаторства, але з максимальною практичною впізнаваністю. Бо саме в цих помилках найкраще видно, де оцінка ризиків перестає бути інструментом управління і стає ритуалом.

Помилка №1. Оцінка ризиків без управлінського запиту

Одна з найпоширеніших і водночас найменш очевидних помилок — це оцінка ризиків, яка робиться без чіткого управлінського запиту. Ризики оцінюються «тому що так передбачено», «бо настав цикл», «щоб оновити профіль», але не тому, що хтось на управлінському рівні чекає відповіді на конкретне питання або стоїть перед вибором.

Типовий кейс виглядає так. Ризик-менеджмент готує оновлену оцінку ризиків, акуратно збирає інформацію від підрозділів, формує матриці і рейтинги. Документ виноситься на комітет, презентується, береться до відома — і на цьому все закінчується. Жодне управлінське рішення не змінюється, жоден пріоритет не переглядається, жодна стратегічна дискусія не запускається. Формально робота виконана, але управлінського результату немає.

У страхових і фінансових компаніях це часто проявляється у вигляді профілів ризиків, які існують паралельно зі стратегічними і бюджетними рішеннями. Бізнес планує розвиток, скорочення витрат або запуск нових продуктів, не звертаючись до оцінки ризиків як до аргументу. Ризик-оцінка, у свою чергу, не відповідає на запитання «чи можемо ми собі це дозволити» — вона просто описує поточний стан.

Ще один впізнаваний сценарій — оцінка ризиків «для регулятора». Документ готується з урахуванням формальних вимог, але без прив’язки до реального порядку денного компанії. У результаті оцінка виглядає бездоганно з точки зору структури, але не використовується жодним управлінським органом як інструмент вибору. Це не порушення, але це і не управління.

Ключова проблема тут полягає в тому, що оцінка ризиків відповідає на запитання, яке ніхто не ставив. Вона не вбудована в процес ухвалення рішень і тому приречена залишатися фоновим документом. У такій ситуації навіть ідеальна методологія не рятує — бо відсутній зв’язок між оцінкою і дією.

Зріла практика починається з протилежного підходу: оцінка ризиків готується під конкретні управлінські рішення. Чи можемо ми дозволити собі цей крок? Які ризики є стримуючими? Що зміниться, якщо ми приймемо це рішення зараз, а не пізніше? Там, де ці питання поставлені заздалегідь, оцінка ризиків перестає бути формальністю і стає частиною управлінського діалогу.

Помилка №2. Плутанина між аналізом і оцінкою: коли ідеальні матриці не дають відповіді «і що далі»

Ця помилка виглядає особливо підступною, бо зовні вона маскується під високу професійність. Аналітика глибока, таблиці деталізовані, матриці побудовані коректно, шкали узгоджені, формули перевірені. Проблема з’являється не в тому, як усе це зроблено, а в тому, для чого. Аналіз ризиків підміняє собою оцінку, і на цьому етапі система починає працювати «в холосту».

Дуже типовий кейс із практики страхових компаній. Команда ризик-менеджменту проводить ґрунтовний аналіз операційних ризиків: деталізує процеси, описує сценарії, оцінює ймовірності, фінансові та нефінансові впливи, будує багатовимірну матрицю. Результат виглядає переконливо — кілька десятків сторінок якісної аналітики. Але коли цей матеріал потрапляє на управлінський рівень, з’являється пауза. Питання, яке звучить найчастіше: «Добре, а що ми маємо змінити?» І саме на це питання документ не дає чіткої відповіді.

В іншому, не менш впізнаваному кейсі, фінансова компанія витратила значні ресурси на кількісний аналіз ризиків: сценарії, чутливість, стрес-тести, складні розрахунки. Аналітика була бездоганною з технічної точки зору, але в момент обговорення з правлінням виявилося, що жоден із сценаріїв не прив’язаний до конкретних управлінських альтернатив. Менеджмент не зрозумів, чи потрібно змінювати стратегію, зменшувати масштаб операцій, інвестувати в контролі чи, навпаки, прийняти ризик і рухатися далі. Аналіз закінчився аналізом.

Ще один показовий сценарій — матриці ризиків, які стають самодостатніми артефактами. У таких компаніях багато уваги приділяється тому, де саме ризик розташований: у червоній, жовтій чи зеленій зоні. Комітети годинами обговорюють, чи є ризик «4×3» або «3×4», але при цьому не обговорюють, чи є цей ризик прийнятним і що саме означає його поточне положення для бізнесу. У результаті матриця виглядає як інструмент точності, але не як інструмент вибору.

Особливо яскраво ця помилка проявляється в умовах війни або кризи. Компанії продовжують проводити детальний аналіз ризиків за звичною логікою, але управлінські рішення ухвалюються швидко, інтуїтивно і часто поза межами формалізованих процесів. Аналітика не встигає за реальністю, а оцінка ризиків не трансформується в управлінський сигнал. Формально система працює, але фактично вона відокремлена від прийняття рішень.

Ключова відмінність між аналізом і оцінкою полягає саме тут. Аналіз відповідає на питання «що ми знаємо про ризик». Оцінка ж має відповідати на питання «що це означає для наших рішень». Коли ці два рівні змішуються, компанія отримує багато інформації, але втрачає здатність діяти. Це особливо небезпечно в середовищі, де швидкість і своєчасність рішень важливіша за ідеальну точність.

Зріла практика передбачає чіткий перехід від аналізу до оцінки. Після будь-якого аналізу має звучати управлінське резюме: чи є ризик прийнятним, які варіанти дій існують, яка ціна кожного з них і що станеться, якщо нічого не робити. Там, де цей перехід зроблений, навіть неідеальний аналіз дає управлінську цінність. Там, де його немає, найкраща аналітика перетворюється на красиво оформлений, але малокорисний архів.

Помилка №3. Механічне використання матриць і шкал: коли інструмент починає керувати мисленням

Матриця ризиків — один із найпопулярніших інструментів у ризик-менеджменті. Вона проста, наочна і зручна для комунікації. Саме тому в багатьох компаніях матриця поступово перестає бути інструментом, а стає остаточною інстанцією. Ризик вважається важливим або неважливим не тому, що він критичний для бізнесу, а тому, що він опинився в певній клітинці.

Дуже типовий кейс зі страхового ринку. Компанія має кілька «червоних» ризиків у матриці — зазвичай це фінансові або регуляторні ризики. Вони регулярно обговорюються на комітетах, мають плани заходів, перебувають під постійною увагою. Паралельно існує група «жовтих» операційних ризиків: збої в процесах, дефіцит персоналу, проблеми з якістю даних. Формально вони не критичні, тому роками залишаються без серйозних рішень. У певний момент саме їх накопичення призводить до інциденту, який миттєво виводить компанію в кризовий режим. У ретроспективі стає очевидно: матриця показувала «жовтий», а реальність уже давно була «червоною».

Ще один показовий кейс — «гра з балами». У деяких компаніях значна частина дискусій навколо оцінки ризиків зводиться до того, чи є ризик «3×4» чи «4×3». Аргументи будуються навколо точності оцінки, а не навколо наслідків для бізнесу. У результаті команда витрачає час на доведення, що ризик «не такий уже й страшний», замість того щоб обговорювати, чи готова компанія з ним жити і що буде, якщо він реалізується саме зараз.

Особливо небезпечною є ситуація, коли матриця використовується як інструмент заспокоєння. Якщо ризик не потрапив у червону зону, він автоматично вважається контрольованим. Це добре видно на прикладах ІТ- та кіберризиків. Формально ймовірність інциденту може оцінюватися як середня або низька, а фінансовий вплив — як обмежений. У матриці такий ризик виглядає «жовтим». Але якщо бізнес критично залежить від цифрових каналів, навіть короткий збій може мати непропорційні наслідки. Матриця цього не показує, бо вона не бачить контексту.

Ще один впізнаваний сценарій — використання універсальної матриці для принципово різних типів ризиків. Одна і та сама шкала застосовується до стратегічних, операційних, репутаційних і регуляторних ризиків. Формально це спрощує систему, але фактично знецінює оцінку. Наприклад, репутаційний ризик може мати низьку ймовірність і складно вимірюваний фінансовий вплив, але при цьому бути екзистенційним для бізнесу. У матриці він виглядає «помірним», а в реальності — неприйнятним.

У кризових умовах ця помилка посилюється. Компанії продовжують користуватися звичними шкалами, навіть коли контекст радикально змінився. Ризики оцінюються за «мирною» логікою в умовах війни, нестабільності або різкого регуляторного тиску. Матриця залишається незмінною, але її інтерпретація стає небезпечно відірваною від реальності.

Суть цієї помилки не в самій матриці. Матриця — корисний інструмент. Проблема виникає тоді, коли інструмент підміняє мислення. Коли рішення ухвалюється не тому, що ризик неприйнятний, а тому, що він «не червоний». Коли дискусія точиться навколо балів, а не навколо управлінських наслідків.

Зріла практика полягає в тому, щоб використовувати матрицю як відправну точку, а не як фінальний аргумент. Вона має запускати питання, а не давати відповіді. Там, де матриця використовується саме так, вона підсилює управління. Там, де вона стає догмою, вона маскує ризики, замість того щоб їх виявляти.

Помилка №4. Ігнорування контексту: коли оцінка ризиків живе в «мирному часі»

Одна з найбільш небезпечних помилок оцінки ризиків полягає не в неправильних балах або шкалах, а в ігноруванні контексту, в якому ці ризики існують. Формально оцінка може бути логічною, узгодженою і методологічно коректною, але якщо вона не враховує реальні умови — вона стає управлінськи хибною. Сьогодні для українських компаній цей контекст визначається насамперед війною, регуляторним тиском і загальною нестабільністю середовища.

Дуже типовий кейс зі страхових і фінансових компаній останніх років. Ризики оцінюються за тими самими шкалами і припущеннями, що й до 2022 року. Ймовірність переривання діяльності, кадрових втрат або операційних збоїв формально залишається «помірною», бо методологія не змінювалася. Водночас бізнес працює в умовах постійної невизначеності, фізичних загроз, релокацій і психологічного виснаження персоналу. Оцінка виглядає стабільною, але стійкість бізнесу фактично зменшується.

Ще один впізнаваний сценарій — оцінка регуляторних ризиків «у вакуумі». Компанія формально дотримується вимог, має політики, процедури, звітність. У матриці ризик виглядає контрольованим. Але при цьому ігнорується зміна підходів регулятора, зростання уваги до окремих аспектів діяльності або практика застосування санкцій до інших гравців ринку. Контекст змінився, а оцінка — ні. У результаті компанія стикається з претензіями, які здаються «несподіваними», хоча всі сигнали були публічними.

Особливо небезпечним є ігнорування кумулятивного впливу контексту. Окремо взятий ризик може залишатися прийнятним, але в поєднанні з іншими факторами — війною, браком персоналу, зростанням навантаження, обмеженими ресурсами — він переходить у зону неприйнятності. Формальні оцінки цього не фіксують, бо кожен ризик аналізується ізольовано. Управлінська реальність, натомість, завжди комплексна.

Показовими є кейси, коли компанії продовжують оцінювати ризики за «середньостатистичним» сценарієм, ігноруючи хвости розподілу. У мирний час це могло бути виправдано. У кризових умовах саме крайні сценарії стають базовими. Те, що раніше вважалося малоймовірним, сьогодні реалізується регулярно. Якщо оцінка ризиків не відображає цього зсуву, вона вводить менеджмент в оману.

Ігнорування контексту проявляється і в кадрових ризиках. Формально показники можуть залишатися стабільними: плинність у межах норми, вакансії закриваються, процеси працюють. Але при цьому ігнорується якісна сторона — втома людей, втрата мотивації, залежність від окремих ключових фахівців. У документах ризик виглядає помірним, у реальності ж компанія стає крихкою.

Суть цієї помилки полягає в тому, що оцінка ризиків сприймається як абстрактна вправа, відірвана від середовища. Зріла ж практика вимагає постійного запитання: чи залишаються наші припущення валідними в поточному контексті? Там, де це питання ставиться регулярно, оцінка ризиків адаптується. Там, де воно ігнорується, компанія продовжує жити за моделлю реальності, якої більше не існує.

Помилка №5. Підміна оцінки ризиків ризик-апетитом (risk appetite): коли рамка стає виправданням

Ризик-апетит (risk appetite) замислювався як управлінська рамка, що допомагає ухвалювати зважені рішення в умовах невизначеності. На практиці ж у багатьох компаніях він поступово перетворюється на універсальний аргумент, який дозволяє не переглядати оцінку ризиків і не змінювати поведінку. Саме тут виникає одна з найнебезпечніших помилок — підміна оцінки ризиків посиланням на апетит.

Типовий кейс із практики фінансових компаній. Ризик-менеджмент фіксує зростання певного ризику — операційного, ІТ або регуляторного. З’являються нові тригери, слабкі сигнали, інциденти. На комітеті звучить аргумент: «Так, ризик зріс, але він усе ще в межах нашого ризик-апетиту». На цьому дискусія фактично завершується. Оцінка ризику не переглядається, управлінські рішення не змінюються, бо рамка використовується як стоп-сигнал для мислення, а не як інструмент.

Інший, не менш впізнаваний сценарій — коли ризик-апетит формулюється настільки широко і абстрактно, що його можна застосувати до будь-якої ситуації. У документах з’являються формулювання на кшталт «компанія готова приймати помірний рівень ризиків задля досягнення стратегічних цілей». Формально це виглядає коректно. Але в момент, коли ризик реалізується або починає стрімко зростати, таке формулювання нічого не пояснює і нічого не обмежує. Апетит існує, але не працює.

Особливо небезпечною є ситуація, коли ризик-апетит використовується постфактум — для легітимації вже ухвалених рішень. Спочатку бізнес приймає рішення, а потім ризик-менеджмент підганяє оцінку і аргументацію під апетит. У документах усе виглядає узгоджено, але логіка управління перевернута: апетит не спрямовує рішення, а виправдовує їх. У таких випадках оцінка ризиків втрачає незалежність і перетворюється на сервісну функцію.

Показовими є кейси, коли толерантність до ризику (risk tolerance) плутається з апетитом. Допустимі відхилення або тимчасові перевищення починають сприйматися як нормальний стан. Якщо показник ще «не пробив ліміт», значить, усе добре. При цьому ігнорується динаміка, контекст і накопичення ризику. Формально ліміти не порушені, але управлінська ситуація вже небезпечна.

У кризових умовах ця помилка посилюється. Під тиском війни, обмежених ресурсів і швидких рішень компанії схильні розширювати трактування апетиту, щоб зберегти гнучкість. Це може бути виправдано, але лише за умови, що оцінка ризиків переглядається синхронно. Коли ж апетит розширюється мовчки, без переоцінки ризиків, компанія поступово втрачає контроль над власними межами.

Суть цієї помилки полягає в змішуванні рівнів. Оцінка ризиків відповідає на питання “що відбувається з ризиком”, а ризик-апетит — на питання “що ми готові з цим робити”. Коли апетит починає підміняти оцінку, компанія перестає бачити реальну зміну ризикового профілю. Вона знає свої межі, але не помічає, що вже наближається до них занадто швидко.

Зріла практика передбачає протилежну логіку: спочатку — чесна і чутлива оцінка ризиків, потім — співставлення з ризик-апетитом і обговорення варіантів дій. Там, де ці рівні не змішуються, апетит працює як компас. Там, де він використовується як щит, оцінка ризиків поступово втрачає сенс.

Помилка №6. Статична оцінка ризиків у динамічному світі: коли система завжди запізнюється

Цю помилку можна вважати узагальнюючою, бо саме вона лежить в основі багатьох попередніх. Статична оцінка ризиків у середовищі, що постійно змінюється, рано чи пізно починає працювати проти компанії. Вона не просто не встигає — вона створює ілюзію стабільності там, де її вже немає.

Дуже типовий кейс із практики. Компанія має формально актуальний профіль ризиків, затверджений кілька місяців тому. Всі ключові ризики описані, оцінені, розміщені в матриці. Водночас за цей період відбулися кадрові зміни, зросло навантаження на процеси, з’явилися нові регуляторні сигнали або змінилася поведінка клієнтів. У реальності ризиковий профіль уже інший, але документ цього не відображає. Управлінські рішення ухвалюються з опорою на минулу картину.

Ще один впізнаваний сценарій — річний або квартальний цикл оцінки, який ніколи не збігається з моментами, коли ризики реально змінюються. Інциденти, тригери і слабкі сигнали виникають між циклами, але система не передбачає перегляду оцінки «поза графіком». У результаті ризик-менеджмент фіксує зміни в робочих матеріалах, але не має мандата винести їх на управлінський рівень до наступного формального перегляду.

Особливо небезпечно це в умовах війни, кризи або різких трансформацій бізнесу. Ризики змінюються стрибкоподібно, а не поступово. Те, що ще вчора виглядало прийнятним, сьогодні може бути неприйнятним, а завтра — екзистенційним. Статична оцінка не здатна відобразити цю динаміку, бо вона прив’язана до календаря, а не до реальності.

Показовими є кейси, коли компанії роками «тримають» один і той самий рівень ризику в матриці, навіть коли змінюються всі базові припущення. Оцінка виглядає стабільною, але ця стабільність — штучна. Вона не є результатом ефективного управління, а наслідком того, що систему просто не переглядають. У якийсь момент реальність наздоганяє документи — зазвичай у найгірший можливий спосіб.

Суть цієї помилки не в самій статичності як такій. Формальні цикли потрібні. Проблема виникає тоді, коли статична оцінка стає єдиною формою оцінки. Коли між циклами система «сліпа» до змін. Коли ризик-менеджмент не має інструментів і повноважень для ініціювання перегляду на підставі контексту, а не календаря.

Зріла практика передбачає поєднання двох підходів: формальної, структурованої оцінки і динамічного перегляду ключових припущень. Там, де ця комбінація працює, оцінка ризиків залишається актуальною. Там, де її немає, система завжди реагує із запізненням.

Висновки

Типові помилки оцінки ризиків рідко виникають через відсутність методології або знань. Найчастіше вони є наслідком формалізму, управлінської інерції і розриву між документами та реальними рішеннями. Саме тому ці помилки повторюються навіть у зрілих компаніях із добре вибудуваними системами управління ризиками.

У цій статті ми побачили, що оцінка ризиків стає управлінськи небезпечною тоді, коли вона:

• не прив’язана до конкретних управлінських запитів;
• підміняється аналізом без переходу до рішень;
• зводиться до механічного використання матриць;
• ігнорує контекст, у якому працює бізнес;
• маскується ризик-апетитом замість чесної переоцінки;
• залишається статичною в динамічному середовищі.

Ключовий висновок полягає в тому, що якість оцінки ризиків визначається не точністю балів, а її здатністю впливати на управлінські рішення. Там, де оцінка запускає дискусію, змінює пріоритети і допомагає робити вибір, вона виконує свою роль. Там, де вона існує лише як документ, навіть ідеальна методологія не рятує.

Цією статтею ми завершуємо цикл, присвячений оцінці ризиків. Далі починається не менш важливий етап — реагування на ризики, контроль і моніторинг. Саме там остаточно видно, чи була оцінка живою і чесною, чи лише формально правильною.

Сподіваюсь, далі буде…

Сергій БАБИЧ