У багатьох компаніях перелік ключових індикаторів ризику виглядає солідно. Таблиці з KRI охоплюють операційні, фінансові, ІТ- та кадрові ризики, для кожного показника встановлені пороги, визначені відповідальні, налагоджена регулярна звітність. Формально система працює, і саме тому запитання «чому ж ризики все одно реалізуються» часто викликає щире нерозуміння.

На практиці відповідь нерідко лежить не в площині якості даних чи правильності розрахунків. Проблема глибша: більшість KRI не виконують сигнальної функції. Вони фіксують те, що вже сталося, або підтверджують стабільність, але рідко попереджають про зміну ризикового профілю. Компанія бачить показники, але не отримує сигналу до дії.

Особливо показовим є те, що багато KRI насправді є показниками ефективності, лише переіменованими у «ризикові». Вони добре підходять для контролю процесів і звітності, але погано працюють як інструмент раннього попередження. Менеджмент звикає до цих цифр, сприймає їх як частину регулярного управлінського фону і перестає очікувати від них чогось більшого, ніж підтвердження нормального стану речей.

У цій статті ми зосередимося на тому, чому KRI так часто нічого не сигналять, навіть коли вони коректно описані в політиках і акуратно відображені у звітах. Ми не будемо шукати «ідеальні показники» або пропонувати універсальні набори індикаторів. Натомість спробуємо розібратися, як логіка побудови KRI перетворює їх із сигнального інструменту на елемент управлінського комфорту — і чому це становить серйозний ризик для компаній у будь-якій галузі.

Чому більшість KRI насправді є KPI

Одна з ключових причин, чому KRI не виконують сигнальної функції, полягає в їхньому походженні. У багатьох компаніях вони не проектуються з нуля як індикатори ризику, а виростають із уже наявної системи показників. Беруться ті метрики, які давно використовуються для управління ефективністю, і просто отримують нову етикетку. Формально з’являється KRI, але за своєю суттю він залишається KPI.

Це особливо помітно у фінансовому секторі. Наприклад, кількість операційних інцидентів, рівень прострочених виплат або середній час обробки звернень клієнтів часто оголошуються ключовими індикаторами ризику. Насправді ж ці показники добре описують якість виконання процесів, але майже не сигналять про зміну ризикового профілю. Вони реагують на проблеми тоді, коли ті вже проявилися, а отже, виконують скоріше діагностичну, ніж попереджувальну функцію.

У нефінансових компаніях логіка та сама. У промисловості чи інфраструктурі показники виконання планів, коефіцієнти простою або дотримання графіків часто потрапляють до переліку KRI. Вони дають уявлення про поточний стан системи, але не відповідають на запитання, чи стає вона більш вразливою. Поки виробничі показники в межах норми, ризик сприймається як контрольований, навіть якщо запас міцності поступово зникає.

Причина цієї підміни цілком зрозуміла і навіть раціональна. KPI вже вимірюються, вони зрозумілі менеджменту, їх легко включити у звітність і прив’язати до існуючих процесів. Натомість справжні KRI часто потребують переосмислення ризиків, формулювання припущень і готовності працювати з невизначеністю. Це складніше, менш комфортно і не завжди дає швидкий результат у вигляді «гарних цифр».

Ще один важливий аспект — управлінське сприйняття таких показників. KPI за своєю природою орієнтовані на результат і ефективність, а отже, стимулюють оптимізм. Коли ж їх використовують як KRI, вони починають виконувати заспокійливу функцію. Якщо показник у нормі, робиться висновок, що ризик не зростає. При цьому ігнорується той факт, що ризик може накопичуватися приховано, не проявляючись у результативних метриках.

У практиці ризик-менеджменту часто можна спостерігати ситуацію, коли перелік KRI виглядає переконливо, але жоден із них не викликає управлінської дискусії. Показники переглядаються, коментуються, але не ставлять під сумнів припущення менеджменту щодо стабільності бізнесу. Це вірний сигнал того, що перед нами KPI, замасковані під KRI.

Суть проблеми не в тому, що KPI є «поганими» показниками. Навпаки, вони необхідні для управління діяльністю. Проблема виникає тоді, коли від них починають очікувати того, для чого вони не призначені. KPI показують, наскільки добре працює система, але не відповідають на запитання, наскільки вона стає ризиковішою. Поки ця різниця не усвідомлена, будь-яка система KRI залишатиметься формально коректною і водночас управлінськи слабкою.

Запізнілі індикатори (lagging indicators): коли сигнал з’являється після події

Навіть у тих компаніях, де KRI формально відрізняються від KPI, вони часто залишаються запізнілими індикаторами. Такі показники фіксують наслідки, а не передумови, і саме тому створюють небезпечну ілюзію своєчасного контролю. Ризик у таких системах стає видимим лише тоді, коли він уже частково або повністю реалізувався.

У практиці фінансових компаній типовими прикладами запізнілих індикаторів є кількість інцидентів, обсяг збитків, кількість скарг клієнтів або випадків порушення процедур. Усі ці показники безумовно важливі для аналізу, але як інструменти моніторингу вони мають принципове обмеження: вони реагують на подію, а не попереджають її. Натомість випереджальні індикатори зазвичай фіксують зміну умов, у яких ризик може реалізуватися: наприклад, зростання частки ручних операцій, перевищення навантаження на ключових працівників, збільшення кількості тимчасових винятків із процедур або накопичення відкладених ІТ-змін. Саме такі сигнали з’являються задовго до інцидентів, але рідко потрапляють у фокус формального моніторингу.

Проблема ускладнюється тим, що запізнілі індикатори добре вписуються в управлінську логіку. Вони конкретні, зрозумілі, легко пояснювані. Менеджмент звик працювати з такими цифрами, адже вони дають відчуття чіткої причинно-наслідкової логіки: сталася подія — змінився показник. Саме тому ці індикатори часто сприймаються як надійні сигнали, хоча насправді вони лише підтверджують те, що вже відбулося.

У нефінансових секторах ситуація виглядає аналогічно. Наприклад, у промисловості індикаторами ризику можуть вважатися аварії, простої або перевищення допустимих показників. Формально вони сигналізують про проблеми, але фактично фіксують момент, коли ризик уже матеріалізувався. До цього система могла роками демонструвати «нормальні» значення, поступово втрачаючи резервність, зношуючи обладнання або накопичуючи кадрові проблеми.

Запізнілі індикатори створюють ще одну управлінську пастку — відчуття повноти контролю. Якщо всі відомі події зафіксовані, проаналізовані і відображені у звітах, виникає ілюзія, що система бачить усе важливе. Насправді ж вона бачить лише минуле. Ризики, які ще не проявилися у вигляді інцидентів або втрат, залишаються поза фокусом, навіть якщо їхня ймовірність стрімко зростає.

Особливо небезпечним є використання запізнілих індикаторів у періоди високої турбулентності. У таких умовах ризики еволюціонують швидко, а час між появою передумов і реалізацією події скорочується. Якщо система орієнтується виключно на запізнілі сигнали, вона завжди реагує із запізненням, незалежно від того, наскільки дисципліновано побудований моніторинг.

Важливо розуміти, що проблема не в самих запізнілих індикаторах. Вони необхідні для аналізу подій, навчання організації та коригування процесів. Проблема виникає тоді, коли саме їх починають вважати основним інструментом раннього попередження. У такій логіці KRI перестають сигналити про ризик і починають лише підтверджувати, що він уже реалізувався.

Саме тому ключове питання моніторингу полягає не в тому, чи використовує компанія запізнілі індикатори, а в тому, чи існують поруч із ними випереджальні сигнали, здатні вказати на зміну ризикового профілю до того, як подія стане фактом.

Комфортні KRI: індикатори, які не хочеться перевищувати

Окрім того, що багато KRI є запізнілими, значна частина з них має ще одну спільну рису — вони спроєктовані так, щоб не створювати управлінського дискомфорту. Формально ці індикатори можуть виглядати як випереджальні, але на практиці вони рідко викликають необхідність складних рішень або перегляду пріоритетів. У такій конфігурації KRI стають не інструментом сигналу, а елементом підтримки статус-кво.

Це добре видно на етапі встановлення порогових значень. У багатьох компаніях пороги визначаються не виходячи з того, коли ризик стає небезпечним, а з того, коли перевищення показника ще не потребує негайної реакції. Запас «на всяк випадок» закладається одразу, щоб уникнути частих ескалацій і незручних дискусій. У результаті червона зона існує формально, але досягти її в реальному житті практично неможливо.

У фінансових компаніях це проявляється, наприклад, у встановленні високих допустимих рівнів відхилень за операційними або ІТ-ризиками. Поки показник не перевищує поріг, ризик вважається контрольованим, навіть якщо тенденція очевидно негативна. Менеджмент бачить, що формальних підстав для втручання немає, і продовжує працювати в тому самому режимі. KRI у цій ситуації не попереджає, а відкладає розмову.

Схожа логіка працює і в нефінансових секторах. У промисловості або інфраструктурі індикатори ризику часто будуються навколо аварійності, збоїв або простоїв. Пороги встановлюються так, щоб відображати вже серйозні проблеми, а не поступове зниження надійності. Поки система працює, навіть із перевантаженням, KRI «мовчать». Ризик накопичується, але сигналу немає, бо його не закладено в сам дизайн індикатора.

Окремої уваги заслуговує психологічний аспект. Комфортні KRI не викликають спротиву з боку бізнес-підрозділів, бо не ставлять під сумнів поточні моделі роботи. Вони не вимагають додаткових ресурсів, не змушують пояснювати причини відхилень і не створюють відчуття постійного тиску. Саме тому такі індикатори легко погоджуються і швидко вбудовуються в систему. Проблема в тому, що разом із комфортом зникає сигнальна функція.

У практиці ризик-менеджменту це часто виглядає так: KRI регулярно переглядаються, але майже ніколи не перевищуються. У звітах роками зберігається одна й та сама картина, яка підтверджує «стабільність». Якщо ж показник наближається до порогу, замість управлінської реакції нерідко починається дискусія про коректність самого індикатора або доцільність перегляду меж. Фокус зміщується з ризику на захист системи показників.

У результаті комфортні KRI виконують парадоксальну функцію: вони знижують тривожність, але підвищують уразливість. Менеджмент звикає до того, що показники не сигналять про серйозні проблеми, і починає сприймати це як підтвердження безпеки. Ризик при цьому не зникає — він просто випадає з поля управлінської уваги.

Саме тому ефективність KRI не можна оцінювати за тим, наскільки рідко вони перевищуються. Навпаки, індикатор, який ніколи не створює дискомфорту, майже напевно не виконує своєї основної ролі. KRI мають не заспокоювати, а змушувати менеджмент ставити запитання, навіть якщо відповіді на них незручні.

Коли KRI не пов’язані з рішеннями

Навіть добре спроєктовані KRI втрачають сенс, якщо за ними не стоїть чітка управлінська логіка. У багатьох компаніях індикатори ризику існують самі по собі, окремо від процесу ухвалення рішень. Вони регулярно оновлюються, аналізуються, включаються до звітів, але не запускають жодних дій. У такій конфігурації KRI виконують інформаційну функцію, але не управлінську.

Типова ситуація виглядає так: показник перевищує встановлений поріг або наближається до нього, про що зазначається у звіті. Інформація виноситься на комітет, фіксується в протоколі, інколи супроводжується коментарем про причини відхилення. Після цього тема закривається до наступного звітного періоду. Формально процес дотримано, але жодне управлінське рішення не змінюється. KRI у цій схемі стає лише маркером події, а не приводом для дії.

У фінансових компаніях це часто пов’язано з нечітким розмежуванням відповідальності. Незрозуміло, хто саме має ініціювати рішення у разі спрацювання індикатора: власник ризику, ризик-менеджер, профільний директор чи колегіальний орган. У результаті відповідальність розмивається. Усі учасники процесу виконують свої формальні ролі, але жоден не відчуває мандата змінювати статус-кво.

Схожа проблема виникає і в нефінансових секторах. Наприклад, у виробничих або інфраструктурних компаніях KRI можуть фіксувати зростання навантаження, зниження резервності або відхилення від планових параметрів. Інформація доводиться до керівництва, але сприймається як операційна деталь, а не як підстава для перегляду пріоритетів чи інвестиційних рішень. Ризик «береться до відома», але не отримує управлінського статусу.

Окремої уваги заслуговує ситуація, коли дії за KRI формально прописані, але фактично не застосовуються. У політиках можуть бути визначені сценарії реагування, ескалації або додаткового контролю. Проте на практиці вони активуються лише в крайніх випадках, коли ризик уже матеріалізувався або загрожує негайними втратами. У звичайному режимі ці механізми залишаються «сплячими», а KRI продовжують виконувати декоративну роль.

Управлінська проблема тут полягає не в самих індикаторах, а в очікуваннях від них. Якщо KRI сприймаються як інформація «для відома», вони не можуть впливати на рішення. Якщо ж вони не інтегровані у процеси планування, бюджетування, управління ресурсами, то навіть найкращі сигнали залишаються без наслідків. У такій системі моніторинг ризиків відокремлений від управління бізнесом, а це позбавляє його сенсу.

Саме тому ефективність KRI визначається не точністю розрахунків і не коректністю порогів, а тим, чи змінюється поведінка організації після їх спрацювання. Якщо індикатор не здатен вплинути на порядок денний, він не є інструментом управління ризиком — він лише елемент звітності, незалежно від того, як акуратно він оформлений.

Що таке справжній сигнал, а не просто показник

Одна з головних помилок у роботі з KRI полягає в очікуванні, що сигнал має виглядати як чітке числове перевищення або формальний «червоний прапорець». У реальності справжні сигнали ризику рідко бувають однозначними. Вони не завжди зручні для звітності, не завжди легко інтерпретуються і майже ніколи не з’являються у вигляді готового управлінського висновку. Саме тому такі сигнали часто ігноруються або знецінюються.

Справжній сигнал — це не стільки значення показника, скільки зміна контексту, у якому цей показник існує. Він може проявлятися як поєднання кількох незначних відхилень, які окремо не виглядають критичними, але разом свідчать про зростання вразливості. Наприклад, незначне збільшення кількості ручних операцій, поєднане з перевантаженням ключових співробітників і відкладеними оновленнями систем, саме по собі не запускає тривогу, але в сукупності є сильним сигналом зростання операційного та ІТ-ризику.

У практиці управління ризиками справжні сигнали часто виглядають «непереконливо» саме тому, що вони не вписуються в звичну логіку порогів і зон. Вони не дозволяють одразу сказати, що ризик реалізується, але ставлять незручне запитання: чи залишаються наші припущення щодо стабільності системи валідними. Такі сигнали вимагають не автоматичної реакції, а управлінського осмислення, і саме це робить їх складними для використання.

У фінансових компаніях подібні сигнали часто ігноруються як «тимчасові труднощі» або «операційні деталі». У нефінансових секторах їх можуть списувати на сезонність, зовнішні обставини або специфіку бізнесу. У всіх випадках логіка однакова: поки немає формального перевищення KRI, ситуація не вважається ризиковою. У результаті організація пропускає момент, коли ще можна було діяти без надзвичайних заходів.

Важливо розуміти, що справжні сигнали рідко дають готову відповідь, що саме потрібно робити. Їхнє завдання інше — порушити управлінську інерцію і змусити поставити під сумнів усталені припущення. Якщо індикатор не створює дискомфорту і не викликає запитань, він навряд чи є сигналом, незалежно від того, як він називається у звіті.

Саме тут проявляється ключова відмінність між показником і сигналом. Показник вимірює. Сигнал — провокує управлінську реакцію, навіть якщо ця реакція полягає лише в додатковому аналізі або перегляді сценаріїв. Без такої реакції будь-який KRI залишається цифрою, позбавленою практичного сенсу.

Ця логіка підводить до простого, але важливого висновку: ефективний моніторинг ризиків неможливий без готовності працювати з невизначеністю. Сигнали не завжди точні, не завжди зручні і не завжди підтверджуються даними «тут і зараз». Проте саме вони дають шанс побачити зміну ризикового профілю до того, як ризик стане фактом.

Висновки

Проблема KRI рідко полягає в неправильних формулах або нестачі даних. У більшості компаній індикатори ризику існують, регулярно оновлюються і формально відповідають вимогам політик та регуляторів. Проте на практиці вони часто не виконують своєї ключової функції — не сигналять про зміну ризикового профілю.

Причини цього лежать у кількох площинах одночасно. Частина KRI є показниками ефективності, замаскованими під ризикові. Інші фіксують уже реалізовані події, а не передумови. Значна кількість індикаторів спроєктована так, щоб не створювати управлінського дискомфорту, а ті, що все ж спрацьовують, нерідко не мають чіткого зв’язку з рішеннями. У підсумку KRI стають елементом звітності, але не інструментом управління.

Найнебезпечнішим у цій ситуації є те, що система виглядає зрілою. Є перелік індикаторів, визначені пороги, відповідальні особи, регулярні комітети. Саме тому виникає ілюзія, що ризики під контролем. Насправді ж контроль підміняється впевненістю в цифрах, які не ставлять під сумнів управлінські припущення і не змінюють поведінку організації.

Ця стаття показує, що питання ефективності KRI — це не питання дизайну окремих показників. Це питання того, яку роль індикатори відіграють у системі управління. Якщо вони не здатні порушувати інерцію, викликати дискусії і впливати на порядок денний керівництва, вони не виконують сигнальної функції, незалежно від того, як коректно вони описані.

На цьому етапі виникає логічне запитання: якщо формальні KRI так часто мовчать або заспокоюють, як саме компанія має помічати зміну ризикового профілю до того, як показники вийдуть за межі порогів. Відповідь лежить у площині тригерів і слабких сигналів — тих ранніх ознак, які не завжди вимірюються цифрами, але першими вказують на зміну контексту.

У наступній статті ми зосередимося саме на цьому: як розпізнавати тригери, чому слабкі сигнали найчастіше ігноруються і що заважає організаціям чути їх вчасно. Саме там логіка моніторингу остаточно виходить за межі показників і переходить у площину управлінського мислення.

Сергій БАБИЧ