Цикл «Управлінські рішення щодо ризиків» (Risk Response & Decision-Making)

У попередніх статтях ми послідовно рухалися від моменту появи ризику до питання, хто і як насправді ухвалює рішення щодо нього. Логічним наступним кроком є розмова про одну з найбільш поширених, але найменш усвідомлених управлінських практик — рішення щодо ризиків, які ніколи не були зафіксовані як рішення. Саме вони часто визначають реальний профіль ризиків організації, хоча формально можуть виглядати як відсутність дій.

У багатьох компаніях існує негласне переконання: якщо рішення не винесене на правління, не оформлене протоколом і не супроводжується офіційним формулюванням, то воно ніби й не існує. Така логіка створює небезпечну ілюзію управлінської нейтральності. Насправді ж організація постійно приймає рішення щодо ризиків — просто робить це опосередковано, через інші управлінські дії або їх відсутність.

Саме ці «невидимі» рішення часто є найбільш впливовими. Вони формуються не в момент офіційного обговорення ризику, а між засіданнями, у бюджетних циклах, у кадрових призначеннях, у виборі пріоритетів. Вони не мають автора, строку дії чи чітких меж, але саме вони визначають, які ризики стають нормою, а які — винятком.

Проблема полягає не в тому, що такі рішення існують. У складних організаціях це неминуче. Проблема в тому, що вони не усвідомлюються як управлінські рішення щодо ризику, а отже не підлягають перегляду, корекції або ескалації. Ризик у такій системі перестає бути предметом управління і стає частиною фону.

Ця стаття присвячена саме таким ситуаціям. Ми розглянемо, як організації приймають ризики «за замовчуванням», чому відкладення рішень є формою реагування, і як інерція поступово перетворюється на системний фактор ризику. Це дозволить краще зрозуміти, чому навіть за наявності розвиненої системи управління ризиками наслідки часто виглядають несподіваними.

Відкладене рішення як форма прийняття ризику

Однією з найпоширеніших форм неявного прийняття ризику є відкладення управлінського рішення. Формально відкладення виглядає як обережність: потрібно більше інформації, додатковий аналіз, уточнення сценаріїв. У реальності ж відкладення означає, що організація погоджується жити з поточним рівнем ризику ще певний час — часто без чіткого усвідомлення цього факту.

Управлінська привабливість відкладення полягає в тому, що воно дозволяє уникнути негайних конфліктів і складних виборів. Ніхто не виступає проти ризику відкрито, але й ніхто не бере на себе відповідальність за жорстке рішення. У результаті ризик ніби «взятий під контроль», хоча насправді він просто перенесений у майбутнє без визначених умов перегляду.

Особливо небезпечною така практика стає тоді, коли відкладення повторюється. Питання переходить з порядку денного одного засідання на інше, змінює формулювання, але не суть. Кожне окреме відкладення виглядає логічним, проте в сукупності вони формують стійку модель мовчазного прийняття ризику, у якій час працює проти організації.

У фінансових і страхових компаніях це часто проявляється щодо системних операційних або ІТ-ризиків. Компанія визнає проблему, але відкладає її вирішення через бюджетні обмеження, регуляторні пріоритети або стратегічні ініціативи. Формально ризик не ігнорується, але фактично він стає постійним елементом операційного середовища, до якого всі звикають.

Ще одна проблема відкладених рішень полягає в тому, що вони рідко мають чіткі часові або кількісні межі. Якщо не визначено, коли саме рішення має бути переглянуте і за яких умов, відкладення легко перетворюється на безстрокове. У такій ситуації будь-які нові сигнали сприймаються як підтвердження того, що ризик «поки що терпимий», а не як привід змінити підхід.

У підсумку відкладене рішення перестає бути тимчасовим інструментом управління і стає формою прийняття ризику за замовчуванням. Організація продовжує діяти так, ніби рішення ще попереду, хоча насправді ключовий вибір уже зроблено — нічого не змінювати. Саме в цьому і полягає небезпека відкладення як управлінської практики.

Інерція як управлінська стратегія, яку ніхто не обирав

Інерція рідко сприймається як управлінське рішення. Найчастіше її трактують як відсутність змін, нейтральний стан або «продовження роботи в штатному режимі». Проте з точки зору управління ризиками інерція є однією з найбільш потужних і водночас найменш усвідомлених стратегій реагування. Вона визначає, які ризики стають нормою, а які так і не доходять до етапу активного управління.

У реальній практиці інерція виникає там, де організація продовжує діяти за звичними схемами, попри зміну контексту. Процеси, що працювали раніше, не переглядаються; припущення, які були справедливими в минулому, не перевіряються; сигнали про зростання ризику сприймаються як тимчасові відхилення. Формально ніхто не ухвалює рішення «нічого не міняти», але саме це рішення і реалізується щодня.

Особливо небезпечною інерція стає в умовах поступових, а не різких змін. Коли ризик зростає повільно, без очевидних інцидентів, організація легко адаптується до нового рівня небезпеки. Те, що вчора виглядало неприйнятним, сьогодні сприймається як допустиме, а завтра — як норма. Цей процес нормалізації відбувається непомітно і майже ніколи не фіксується в системі управління ризиками.

У фінансових і страхових компаніях інерція часто проявляється через залежність від історичних моделей успіху. Якщо певний підхід довгий час приносив результат, він починає сприйматися як «перевірений», навіть якщо умови, за яких він був ефективним, уже змінилися. Ризики, пов’язані з таким підходом, визнаються, але не вважаються достатньо вагомими, щоб виправдати зміни. У результаті стратегічна інерція стає джерелом нових, більш складних ризиків.

Ще один аспект інерції полягає в тому, що вона часто підкріплюється системою стимулів. Керівники оцінюються за короткостроковими показниками, стабільність винагороджується, а спроби змін — навпаки, створюють додаткові ризики для кар’єри. У таких умовах інерція виглядає не як слабкість, а як раціональна управлінська поведінка. Саме тому вона так стійко вкорінюється в організаційній культурі.

Проблема інерції полягає в тому, що вона не має чіткої точки перегляду. Якщо рішення не було ухвалене, його складно скасувати. Ризик, прийнятий через інерцію, не має строку дії, умов перегляду або відповідального власника. У результаті організація може тривалий час існувати в режимі підвищеного ризику, не усвідомлюючи цього як управлінський вибір.

Таким чином інерція є не просто пасивним станом, а активною формою реагування на ризик, яка формується без явного рішення. Саме тому вона є особливо небезпечною: на відміну від свідомо прийнятого ризику, інерційний ризик не обговорюється, не переглядається і не керується. Усвідомлення інерції як управлінської стратегії є необхідним кроком для того, щоб повернути ризик у поле свідомих управлінських рішень.

Мовчазна згода і зникнення сигналів

Мовчазна згода є однією з найпідступніших форм управлінських рішень щодо ризиків, оскільки зовні вона виглядає як відсутність позиції. Насправді ж мовчання в управлінському контексті майже завжди означає згоду з поточним станом речей. Якщо ризик регулярно виноситься на обговорення, але не викликає реакції, організація фактично сигналізує, що цей ризик вважається допустимим.

У практиці управління ризиками мовчазна згода часто виникає на стику між ризик-менеджментом і керівництвом. Ризик-менеджер або функція внутрішнього контролю фіксують проблему, формують звіти, виносять питання на комітети, але не отримують чіткої відповіді. Відсутність реакції з боку керівництва поступово починає сприйматися як негласне схвалення. Ризик залишається в реєстрі, але перестає бути предметом активної уваги.

Особливо небезпечним є те, що мовчазна згода впливає не лише на рішення, а й на поведінку всередині організації. Якщо співробітники бачать, що певні ризики регулярно ігноруються, вони перестають піднімати ці питання. Слабкі сигнали більше не ескалуються, оскільки попередній досвід показав, що вони не призводять до змін. У результаті система раннього попередження деградує без будь-яких формальних змін.

У фінансових і страхових компаніях це часто проявляється у сфері операційних інцидентів або комплаєнс-порушень невеликого масштабу. Окремі випадки розглядаються як «несуттєві», «поодинокі» або «в межах норми». Проте їхня повторюваність сигналізує про системну проблему. Коли на ці сигнали не реагують, організація фактично приймає рішення не змінювати процеси, навіть якщо формально про це ніхто не заявляє.

Парадокс мовчазної згоди полягає в тому, що вона часто виглядає як раціональна поведінка. Не кожен сигнал справді потребує негайного втручання, і надмірна реакція може бути шкідливою. Але без чітких критеріїв, які сигнали є значущими, а які — ні, мовчання швидко стає стандартною відповіддю. У такій ситуації ризик-менеджмент втрачає здатність відрізняти шум від реальних попереджень.

Ще один аспект проблеми полягає в тому, що мовчазна згода майже ніколи не фіксується як управлінське рішення. Її немає в протоколах, звітах або рішеннях органів управління. Проте саме вона формує управлінську реальність, у якій ризики або нормалізуються, або зникають з поля зору. Коли ризик реалізується, організація часто щиро дивується, хоча насправді цей результат був логічним наслідком тривалої мовчазної згоди.

Таким чином мовчазна згода є не відсутністю управління, а його специфічною формою. Вона визначає, які сигнали мають значення, а які — ні, і тим самим формує реальний профіль ризиків організації. Саме тому в наступному розділі ми поговоримо про те, як інші управлінські рішення — здавалося б, не пов’язані з ризиками — фактично стають ключовими інструментами прийняття ризику.

Коли рішення щодо ризиків ухвалюються «не там»

Однією з ключових особливостей управління ризиками в реальних організаціях є те, що рішення щодо ризиків часто ухвалюються поза межами формальних RM-процесів. Вони не проходять через ризик-комітети, не фіксуються як risk response і не обговорюються в категоріях прийняття чи зменшення ризику. Проте саме ці рішення визначають, з яким рівнем ризику компанія фактично живе.

Найпоширеніший приклад — бюджетні рішення. Скорочення або відкладення інвестицій у системи, персонал, контрольні функції чи ІТ-інфраструктуру майже завжди має прямий вплив на профіль ризиків. Формально це фінансове або стратегічне рішення, але по суті — це вибір рівня операційного, комплаєнс- або технологічного ризику. Якщо такий вибір не артикулюється як рішення щодо ризику, організація втрачає можливість оцінити його наслідки системно.

Ще одна зона, де ризикові рішення ухвалюються «не там», — кадрові рішення. Незаповнені ключові позиції, перевантаження окремих співробітників, поєднання несумісних функцій або толерування хронічної нестачі компетенцій — усе це є формами прийняття ризику. Проте ці рішення зазвичай розглядаються як тимчасові організаційні компроміси, а не як свідомі risk responses з визначеними межами і строками.

У страхових і фінансових компаніях значну роль відіграють також продуктові та комерційні рішення. Запуск нового продукту, зміна умов договорів, агресивні канали продажів або спрощення процедур часто мотивуються ринковими цілями. Водночас вони змінюють експозицію до ризиків — від андеррайтингових до репутаційних. Якщо ці рішення не проходять через призму ризик-менеджменту, ризик фактично приймається без будь-якого усвідомленого контролю.

Проблема таких «позасистемних» рішень полягає не в тому, що вони існують. У складних організаціях неможливо централізувати всі рішення в одному процесі. Проблема в тому, що ризик перестає бути спільною мовою управління. Різні функції приймають рішення у власних категоріях — фінансах, ефективності, швидкості, зростанні — не усвідомлюючи, що насправді формують єдиний ризиковий ландшафт.

У результаті система управління ризиками починає «бігти позаду» реальних рішень. Вона фіксує наслідки вже після того, як ключові вибори зроблено. Ризик-реєстри оновлюються, звіти стають дедалі тривожнішими, але простір для впливу звужується. Управлінські рішення ухвалені, бюджети затверджені, кадри призначені — і ризик стає фактом, а не предметом вибору.

Саме тому питання полягає не в тому, щоб «повернути всі рішення в RM-процес», а в тому, щоб навчитися розпізнавати рішення щодо ризиків там, де вони реально ухвалюються. Без цього ризик-менеджмент залишатиметься паралельною системою, яка спостерігає за ризиками, але не впливає на їхнє формування.

Як повернути мовчазні рішення у поле управління

Якщо уважно подивитися на всі описані механізми — відкладення, інерцію, мовчазну згоду, рішення «не там» — стає очевидно: організації не страждають від нестачі управлінських рішень щодо ризиків. Вони страждають від того, що ці рішення не ідентифікуються як рішення. Ризик приймається, але не називається; межі формуються, але не артикулюються; відповідальність існує, але не фіксується.

Повернення мовчазних рішень у поле управління починається не з процедур, а з мови. Організація має навчитися називати речі своїми іменами: відкладення — це тимчасове прийняття ризику; скорочення бюджету — це зростання експозиції; кадровий дефіцит — це свідомий компроміс із наслідками. Поки ці речі залишаються в різних управлінських «кошиках», ризик продовжує існувати як побічний ефект, а не як предмет вибору.

Другий ключовий крок — встановлення умов мовчазних рішень. Якщо рішення не ухвалюється активно, воно все одно має мати строк дії, тригери перегляду і зрозумілу точку ескалації. Без цього будь-яке «поки що нічого не робимо» автоматично перетворюється на безстрокове прийняття ризику. Управління починається там, де мовчазні рішення перестають бути безмежними у часі.

Третій аспект стосується ролі ризик-менеджменту. Його завданням є не «вибивати» формальні рішення, а робити невидимі управлінські вибори видимими. Це означає вміти ставити незручні, але прості запитання: який ризик ми фактично приймаємо цим рішенням? хто його власник? що має статися, щоб ми переглянули цей підхід? Саме ці запитання повертають ризик у площину управління.

Окремої уваги потребує управлінська культура. Поки мовчазні рішення винагороджуються стабільністю і відсутністю конфліктів, вони залишатимуться домінуючою практикою. Лише тоді, коли усвідомлене рішення щодо ризику — навіть непопулярне — стає ознакою зрілості, організація починає реально керувати своїм ризиковим профілем, а не просто його спостерігати.

У підсумку мовчазні рішення — це не помилка системи, а її природний стан. Питання лише в тому, чи визнає організація їх існування. Без цього ризик-менеджмент завжди працюватиме «після факту», а несподівані події знову і знову сприйматимуться як щось таке, що «неможливо було передбачити».

Саме тому фінальна стаття циклу буде присвячена слабким сигналам і сильним рішенням — тому моменту, коли організація ще могла діяти інакше, але обрала мовчання, інерцію або відкладення. Це дозволить замкнути цикл і показати, що більшість криз починаються не з події, а з рішення, якого ніхто не назвав рішенням.

Сергій БАБИЧ