Цикл статей “Регуляторний ризик у страховому бізнесі: практичний погляд CRO”

У попередніх статтях ми розглянули, як регуляція змінює процеси, впливає на логіку управлінських рішень і поступово відриває систему управління ризиками від реальності. Але навіть цей рівень аналізу не є повним, якщо не подивитися на ще один аспект, який має безпосередній вплив на щоденну діяльність компанії.

Йдеться про операційні ризики, які виникають не через помилки або недоліки процесів, а як прямий наслідок спроби зробити ці процеси «більш контрольованими». І саме тут виникає один із найбільш парадоксальних ефектів: заходи, спрямовані на зниження ризику, починають цей ризик створювати.

На рівні логіки це виглядає контрінтуїтивно. Додатковий контроль, більше перевірок, детальніші процедури — все це має підвищувати надійність. Але на практиці кожен новий елемент контролю змінює структуру процесу, збільшує його складність і створює нові точки потенційного збою.

У результаті компанія може отримати ситуацію, в якій формально рівень контролю зростає, але фактична керованість процесу знижується. З’являються затримки, накопичуються помилки, зростає навантаження на персонал, а сам процес стає менш передбачуваним.

Особливо важливо, що ці ризики рідко ідентифікуються як наслідок регуляції. Вони класифікуються як операційні, відносяться до «людського фактору» або «недосконалості процесів», і їх коренева причина залишається поза увагою.

У цій статті ми розглянемо, як саме контроль може ставати джерелом ризику, чому складність є головним ворогом операційної стабільності і як у реальності формується цей ефект. Тому що без цього розуміння компанія ризикує посилювати контроль, одночасно погіршуючи результат.

Контроль як джерело ризику

У класичній логіці управління ризиками контроль розглядається як інструмент зниження невизначеності. Чим більше перевірок, погоджень і процедур — тим нижча ймовірність помилки. Але ця логіка працює лише до певного моменту. Після нього кожен додатковий контроль починає змінювати процес настільки, що сам стає джерелом ризику.

Ключова проблема полягає в тому, що контроль ніколи не існує сам по собі — він вбудовується в процес. І кожне таке вбудовування змінює його структуру: додає кроки, створює залежності, збільшує кількість взаємодій між підрозділами. У результаті процес стає довшим, складнішим і менш прозорим.

Типовий аналітичний кейс виглядає так: у процес додається додатковий рівень перевірки для підвищення якості. Спочатку це не створює проблем, але з ростом обсягів цей етап стає «вузьким місцем». Операції накопичуються, з’являються затримки, і щоб їх компенсувати, персонал починає працювати в прискореному режимі, що підвищує ймовірність помилок.

Ще один практичний приклад — множинні перевірки одного й того ж аспекту на різних етапах процесу. Формально це виглядає як підвищення надійності, але фактично створює дублювання і перевантаження. У певний момент співробітники починають сприймати частину контролів як формальність і виконувати їх механічно.

Особливо небезпечним є те, що контроль змінює поведінку людей. Коли кількість перевірок зростає, співробітники починають орієнтуватися не на результат, а на проходження контролю. У результаті процес може формально виконуватися правильно, але його зміст і якість погіршуються.

Ще один важливий ефект — це зниження швидкості. Кожен додатковий контроль потребує часу, а сукупність таких елементів суттєво впливає на тривалість процесу. У конкурентному середовищі це означає втрату клієнтів або зниження рівня сервісу, що вже є бізнес-ризиком.

Практика показує, що після певного рівня контроль перестає знижувати ризик і починає його трансформувати. Замість одних ризиків з’являються інші — більш складні і менш очевидні. І ці ризики значно складніше ідентифікувати, оскільки вони виникають як побічний ефект.

Таким чином, контроль не є нейтральним інструментом. Він змінює систему, в яку впроваджується. І якщо ці зміни не аналізуються, компанія може отримати ситуацію, коли контроль формально посилений, але реальний рівень ризику не знижується, а змінює форму.

І ключове питання тут звучить так: чи дійсно кожен додатковий контроль знижує ризик, чи він лише змінює його природу?

Складність як головний ворог операційної стабільності (перероблений варіант)

Коли ми говоримо про операційний ризик у контексті регуляції, дуже часто фокус зміщується на окремі помилки або інциденти. Але на практиці більшість таких помилок є лише наслідком значно глибшої проблеми — зростання складності процесів. І саме складність, а не помилка, є тим фактором, який системно підвищує ризик.

Складність виникає не одразу. Вона накопичується поступово, через серію, на перший погляд, обґрунтованих змін. Кожна нова вимога додає один елемент: додаткову перевірку, новий документ, ще один рівень погодження. Окремо ці зміни виглядають незначними, але в сукупності вони змінюють саму архітектуру процесу.

Розглянемо типовий практичний кейс. Процес врегулювання страхового випадку спочатку складається з кількох ключових етапів і працює достатньо швидко. З часом до нього додаються нові перевірки: уточнення документів, додаткові погодження, перевірка відповідності окремим критеріям. Кожен із цих кроків має логіку і пояснення, але в певний момент процес починає займати вдвічі більше часу, ніж раніше.

Ще один характерний приклад — виникнення «ланцюгів залежностей». Наприклад, рішення одного підрозділу стає умовою для початку роботи іншого. Якщо на першому етапі виникає затримка, вона автоматично передається далі. У результаті один невчасно оброблений кейс може заблокувати десятки наступних, створюючи ефект накопичення.

Практика також показує, що в складних процесах різко зростає кількість так званих «сірих зон» — ситуацій, які не повністю описані процедурами. Співробітники змушені приймати рішення самостійно, але при цьому вони обмежені великою кількістю формальних вимог. У результаті виникає або затримка, або помилка, або спроба обійти процедуру.

Ще один важливий ефект — це втрата цілісного бачення процесу. У простій системі співробітник розуміє не лише свою функцію, а й загальну логіку. У складній системі кожен бачить лише свою частину, а взаємозв’язки залишаються «за кадром». У такій ситуації навіть досвідчені працівники не завжди можуть пояснити, чому виникла проблема.

Особливо показовим є ефект «локального покращення». Кожен підрозділ намагається зменшити ризики у своїй зоні відповідальності, додаючи додаткові перевірки або уточнюючи процедури. Але на рівні всієї системи це призводить до перевантаження і зниження швидкості. У результаті загальний ризик не зменшується, а змінює форму.

Практичний приклад із життя багатьох компаній — ситуація, коли процес настільки ускладнюється, що для його виконання починають створюватися неформальні «обхідні шляхи». Співробітники домовляються між собою, скорочують окремі етапи або виконують їх формально, щоб вкластися в строки. Це вже не просто операційний ризик, а сигнал того, що система втратила баланс.

Таким чином, складність є не просто побічним ефектом регуляції, а ключовим драйвером операційного ризику. Вона створює умови, в яких навіть добре підготовлені і мотивовані співробітники починають помилятися або шукати неформальні рішення.

І ключове питання тут звучить так: чи не створюємо ми систему, в якій помилки стають неминучими через саму її складність?

Людський фактор: як симптом, а не причина

У більшості випадків, коли в компанії виникають операційні помилки, першою реакцією є посилання на людський фактор. Помилився співробітник, не дотримався процедури, не врахував деталь. Це виглядає логічно і навіть частково відповідає реальності. Але така інтерпретація майже завжди є поверхневою і відволікає від справжньої причини.

На практиці людський фактор рідко є першопричиною. Значно частіше він є наслідком системи, в якій працює людина. Якщо процес перевантажений, складний, містить дублювання або суперечності, навіть досвідчений співробітник починає помилятися. І це не виняток, а закономірність.

Розглянемо типовий практичний кейс. У процес додається кілька додаткових перевірок, які мають підвищити якість. У результаті співробітник змушений обробляти більший обсяг інформації, перемикатися між завданнями і працювати в умовах обмеженого часу. Формально він має більше інструментів контролю, але фактично — менше можливостей працювати якісно.

Ще один характерний приклад — ситуація, коли процедура стає настільки деталізованою, що її повне дотримання потребує непропорційно багато часу. У таких умовах співробітники починають скорочувати або спрощувати окремі етапи, щоб вкластися в строки. Це не порушення з наміром, а адаптація до реальних умов.

Показовим є кейс Wells Fargo, де формально вибудувана система контролю і KPI призвела до протилежного результату. Співробітники, перебуваючи під тиском планів і процедур, почали відкривати фіктивні рахунки, щоб відповідати очікуванням. Проблема була не в окремих людях, а в системі, яка створила умови для такої поведінки.

Подібні ефекти можна спостерігати і в менш масштабних, але типових ситуаціях. Коли співробітник виконує одну і ту саму перевірку десятки разів на день, вона поступово втрачає зміст і перетворюється на формальність. У таких умовах ризик помилки не знижується, а навпаки — зростає через втрату уваги і мотивації.

Ще один важливий аспект — це перевантаження відповідальністю без зміни повноважень. Співробітник відповідає за результат, але не має можливості впливати на структуру процесу. У результаті він опиняється між вимогами системи і реальними обмеженнями часу та ресурсів.

Практика показує, що в складних і перевантажених процесах виникає ефект «нормалізації відхилень». Те, що спочатку виглядає як виняток або порушення, з часом стає звичною практикою. І це вже системний сигнал, який свідчить про те, що проблема знаходиться не на рівні людей.

Таким чином, людський фактор у більшості випадків є індикатором того, що система перевантажена або неправильно спроєктована. І поки компанія намагається вирішувати проблему через додатковий контроль або навчання персоналу, вона фактично працює з наслідками, а не з причиною.

І ключове питання тут звучить так: чи дійсно проблема в людях, чи в системі, яка робить помилки неминучими?

Невидимі ризики: коли проблема класифікується неправильно

Одна з найбільш підступних проблем у контексті операційних ризиків полягає в тому, що вони часто ідентифікуються неправильно. Компанія фіксує інцидент, аналізує його і відносить до категорії «операційна помилка» або «людський фактор». Формально все виглядає коректно, але при цьому втрачається розуміння реальної причини.

На практиці це означає, що джерело ризику залишається поза увагою. Якщо процес ускладнений через регуляторні вимоги, але помилка відбулася на рівні виконання, її класифікують як помилку співробітника. У результаті заходи реагування спрямовуються на навчання, контроль або дисципліну, а не на зміну процесу.

Розглянемо типовий практичний кейс. У складному багаторівневому процесі співробітник пропускає одну з перевірок. Інцидент фіксується, проводиться розслідування, і основною причиною визнається «неуважність». При цьому не аналізується, що співробітник виконував десятки подібних перевірок у стислий час і працював у перевантаженому процесі.

Ще один характерний приклад — ситуація, коли різні підрозділи виконують взаємопов’язані функції, але не мають повної картини процесу. Помилка виникає на стику, але кожен підрозділ виконує свою частину правильно. У результаті проблема виглядає як «збій у взаємодії», але її коренева причина — надмірна складність системи.

Показовим є досвід HSBC, де значні ресурси були вкладені в систему контролю і відповідності, але при цьому виявилися серйозні порушення. Це не був дефіцит процедур, а проблема їх ефективності і інтеграції. Формально система існувала, але вона не працювала як єдине ціле.

Практика показує, що в таких ситуаціях компанії починають реагувати на симптоми, а не на причини. Якщо помилка — додається ще один контроль. Якщо затримка — вводиться додаткове погодження. У результаті система ще більше ускладнюється, а ризик не зменшується.

Особливо небезпечним є те, що неправильна класифікація закріплюється в системі управління ризиками. Вона потрапляє у звіти, у статистику, у внутрішні аналізи. І з часом формується викривлене уявлення про природу ризиків у компанії.

Ще один практичний аспект — це вплив на культуру. Коли помилки системно приписуються людям, формується атмосфера, в якій співробітники намагаються уникати відповідальності або приховувати проблеми. Це ще більше ускладнює виявлення реальних причин.

У результаті компанія отримує ситуацію, в якій ризики не лише існують, але й неправильно розуміються. І це робить систему управління ризиками менш ефективною, навіть якщо вона формально розвинена.

Таким чином, правильна ідентифікація джерела ризику є критичною умовою управління. Без цього будь-які заходи будуть спрямовані не туди. І ключове питання тут звучить так: чи правильно ми визначаємо джерело ризику, чи лише фіксуємо його прояв?

Ефект накопичення: коли система «ламається повільно»

Одна з найбільш небезпечних властивостей регуляторно-індукованих змін полягає в тому, що вони рідко створюють проблему одразу. На відміну від класичних інцидентів, де є чітка подія і очевидний збій, тут мова йде про поступове накопичення ефектів. Кожна окрема зміна виглядає незначною, логічною і навіть корисною, але їх сукупність поступово змінює систему настільки, що вона починає втрачати стабільність.

У практиці це проявляється як «повільна деградація процесу». Наприклад, до базового процесу протягом певного часу додаються нові елементи: уточнення, перевірки, погодження, додаткові вимоги до документування. На кожному етапі ці зміни не викликають критичних зауважень, оскільки вони впроваджуються поступово і не створюють різкого навантаження. Але через рік або два процес виглядає зовсім інакше, ніж на початку.

Розглянемо типовий кейс із практики. Процес обробки заяви на врегулювання спочатку займає умовно один день і проходить через обмежену кількість етапів. Після кількох хвиль змін цей самий процес може займати кілька днів, включати в себе кілька додаткових погоджень і вимагати участі більшої кількості підрозділів. При цьому жодна з окремих змін не виглядає критичною, але їх сукупний ефект кардинально змінює результат.

Ще один важливий аспект — це накопичення взаємозалежностей. Кожна нова вимога створює додаткові зв’язки між етапами процесу, і з часом система стає настільки взаємопов’язаною, що будь-який збій має непропорційно великий ефект. У таких умовах навіть незначна затримка або помилка може викликати каскад проблем, які складно локалізувати.

Практика показує, що саме цей ефект часто залишається поза увагою, оскільки він не має чіткої точки початку. Немає моменту, коли можна сказати: «ось тут система зламалася». Замість цього є поступове зниження швидкості, зростання кількості помилок, збільшення навантаження на персонал і зниження якості результату.

Показовим у цьому контексті є кейс Knight Capital, де складність системи і накопичення змін без належної інтеграції призвели до катастрофічного збою. Хоча сам інцидент виглядав як технічна помилка, його коренева причина полягала у відсутності цілісного контролю над системою, яка ускладнювалася з часом.

Ще один характерний прояв — це зміна поведінки персоналу. Коли система стає надто складною, співробітники починають працювати не за логікою процесу, а за логікою «як швидше пройти всі етапи». У результаті виникають неформальні практики, скорочення процедур або вибіркове виконання вимог, що ще більше підвищує ризик.

Особливо небезпечним є те, що цей процес виглядає стабільним. Немає різких сигналів, які змушують переглянути систему. Навпаки, ззовні може здаватися, що все працює, хоча ефективність поступово знижується.

Таким чином, ефект накопичення є ключовим механізмом, через який регуляція створює операційні ризики. Не через окремі вимоги, а через їх сумарний вплив на систему. І ключове питання тут звучить так: чи розуміємо ми, як виглядав процес до змін і у що він перетворився зараз?

Що з цим робити: як не зламати процеси, виконуючи вимоги

Якщо визнати, що регуляторні вимоги можуть створювати операційні ризики через складність, перевантаження і накопичення ефектів, то підхід до управління має змінитися принципово. Йдеться вже не про те, щоб просто впроваджувати контроль, а про те, щоб управляти його впливом на систему. І це означає, що кожна зміна має розглядатися не як окремий елемент, а як частина цілісного процесу.

Перший практичний крок — це обов’язковий аналіз впливу змін на процес до їх впровадження. Не формальний опис, а реальна оцінка: скільки додаткових етапів з’явиться, як зміниться час виконання, чи виникнуть нові залежності між підрозділами, чи не створюються «вузькі місця». Без такого аналізу будь-яка зміна впроваджується «всліпу».

Другий крок — це системне картування процесів після змін. Багато компаній не мають актуального уявлення про те, як виглядає їх процес насправді. Він існує в документах і процедурах, але не відображає реальну практику. Побудова фактичної карти процесу дозволяє побачити дублювання, зайві етапи і точки перевантаження.

Третій крок — це введення показників, які відображають не лише результат, а й стан процесу. Час виконання, кількість помилок, кількість повернень на доопрацювання, навантаження на ключові ролі — це ті сигнали, які дозволяють вчасно побачити, що система починає втрачати стабільність.

Четвертий крок — це регулярний перегляд накопичених змін. Якщо процес змінювався протягом тривалого часу, необхідно періодично повертатися до базової логіки і ставити питання: чи всі елементи залишаються необхідними. Без цього складність буде лише зростати.

П’ятий крок — це зміна підходу до інцидентів. Кожна помилка має аналізуватися не лише на рівні «що сталося», а й на рівні «чому система дозволила цьому статися». Якщо коренева причина пов’язана зі складністю або перевантаженням процесу, рішення має бути спрямоване саме на ці фактори.

Практика показує, що навіть прості інструменти — такі як візуалізація процесу або базові операційні метрики — можуть дати значно більше ефекту, ніж додаткові контролі. Вони дозволяють працювати з причинами, а не з наслідками.

У підсумку, управління операційними ризиками в умовах регуляції — це баланс. Баланс між контролем і простотою, між відповідністю і ефективністю. І цей баланс не можна досягти, якщо розглядати контроль як самоціль.

Місток до наступної статті

У цій статті ми розглянули, як регуляторні вимоги можуть створювати операційні ризики через складність процесів, перевантаження і накопичення змін. Але є ще один рівень, на якому проявляється вплив регуляції. Тому що всі ці ефекти зрештою починають впливати не лише на процеси, а й на те, як компанія будує свою бізнес-модель і стратегію розвитку.

У наступній статті ми розглянемо цей аспект детальніше і відповімо на питання: як регуляторний тиск змінює бізнес-моделі і чому компанії починають втрачати здатність до стратегічного розвитку.

Сергій БАБИЧ