Цикл: Практика ризик-менеджменту

У більшості компаній процес управління ризиками формально виглядає завершеним. Ризики ідентифіковані, оцінені, структуровані, занесені до реєстрів, представлені у звітах і навіть обговорені на рівні правління або наглядової ради. На цьому етапі створюється відчуття, що система працює. Але якщо поставити просте запитання — як саме ця оцінка вплинула на рішення бізнесу — відповідь часто виявляється нечіткою або взагалі відсутньою.

Проблема полягає не в якості самої оцінки. У багатьох компаніях вона може бути достатньо глибокою, з використанням сценаріїв, аналітики та навіть елементів кількісного моделювання. Проблема в іншому — результати цієї оцінки не транслюються у конкретні обмеження, в межах яких бізнес приймає рішення. Іншими словами, ризик може бути добре описаний, але він не визначає, що можна робити, а що — ні.

У такій ситуації управління ризиками починає існувати паралельно до бізнесу. Є один контур, де ризики аналізуються і документуються, і є інший, де приймаються рішення щодо продуктів, тарифів, обсягів, партнерів чи інвестицій. Ці контури можуть перетинатися на рівні презентацій або звітів, але рідко — на рівні реальних обмежень або правил поведінки.

Саме тут виникає ключовий розрив, який часто не усвідомлюється як проблема. Компанія може щиро вважати, що вона керує ризиками, тому що має всі необхідні елементи системи: політики, процедури, реєстри, регулярну звітність. Але без встановлення чітких меж ризику — лімітів, допусків, тригерів — ця система не впливає на головне: на щоденні рішення, які і формують профіль ризику компанії.

По суті, оцінка ризику сама по собі не має управлінської сили. Вона стає значущою лише тоді, коли перетворюється на обмеження — тобто на відповідь на запитання: скільки ризику ми готові прийняти і де проходить межа, за якою рішення вже є неприйнятним. Без цього будь-яка оцінка, навіть найбільш точна, залишається інформацією, а не інструментом управління.

У цій статті я пропоную подивитися на практичний бік цього питання: чому результати оцінки ризиків так рідко перетворюються на реальні обмеження, як саме ці обмеження мають виглядати в робочій моделі компанії і яку роль у цьому процесі насправді відіграє ризик-менеджер. Це розмова не про методологію як таку, а про той момент, де ризик-менеджмент або починає впливати на бізнес, або остаточно втрачає сенс.

Де саме виникає розрив між оцінкою ризику і обмеженнями

Якщо дивитися на це не з точки зору методології, а з точки зору щоденної роботи компанії, розрив між оцінкою ризиків і обмеженнями виникає не в документах. Він виникає в конкретних управлінських рішеннях, які приймаються без прив’язки до тих оцінок, які вже були зроблені.

Найбільш показовий момент — це ситуації, коли компанія вже знає про ризик, але продовжує діяти так, ніби цього знання не існує. І це не питання недбалості. Це питання відсутності механізму, який змушує це знання перетворюватися на дію.

Візьмемо приклад із практики управління постачальниками. Неприбуткова непідприємницька організація проводить оцінку ризиків і виявляє критичну залежність від одного ІТ-провайдера. Ризик описаний коректно: висока концентрація, відсутність альтернативи, потенційний вплив на операційну діяльність у разі відмови. Ризик отримує високий рівень і навіть потрапляє до звітності для правління та наглядової рди. Але при цьому не встановлюється жодного обмеження: ні на частку залежності, ні на вимоги до резервних рішень, ні на терміни диверсифікації. У результаті через пів року, рік і більше ситуація залишається незмінною, але формально ризик “керується”, бо він описаний і моніториться.

Інший типовий сценарій — бюджетування. На етапі оцінки ризиків компанія визнає високу волатильність витрат за певними напрямами, наприклад, через інфляцію або зміну умов контрактів. У звітах це відображається як фактор невизначеності. Але сам бюджет затверджується як фіксований план без будь-яких допусків або сценарних меж. У підсумку будь-яке відхилення від плану сприймається як проблема виконання, а не як реалізація ризику, про який було відомо заздалегідь. Оцінка ризику була, але вона не вплинула на структуру самого рішення.

Ще один приклад — запуск нових продуктів або змін у діючих. Перед запуском проводиться оцінка ризиків: аналізуються потенційні збитки, поведінка клієнтів, операційні навантаження. Формується досить детальна картина ризику. Але далі відсутній наступний крок — визначення меж, у яких цей продукт може розвиватися. Немає обмежень на максимальний обсяг, на допустимий рівень збитковості, на тригери перегляду умов. У результаті продукт починає масштабуватися швидше, ніж компанія встигає зрозуміти його реальний ризик-профіль.

Окрема категорія — це ризики, пов’язані з контрагентами. Компанія може мати якісну систему оцінки: скоринг, внутрішні рейтинги, аналіз фінансового стану. Але якщо ці оцінки не трансформуються у ліміти — наприклад, максимальний обсяг операцій з одним контрагентом або групою пов’язаних осіб — вони залишаються аналітикою без наслідків. І коли концентрація досягає критичного рівня, це виглядає як несподівана проблема, хоча всі сигнали були доступні заздалегідь.

В усіх цих випадках є спільна риса: оцінка ризику існує як окремий продукт, але не як частина механізму прийняття рішень. Вона не “вбудована” у правила гри. Бізнес може ознайомитися з нею, врахувати її або проігнорувати — і це не має формалізованих наслідків. Саме тому розрив між оцінкою і обмеженнями є настільки стійким. Його не можна закрити покращенням методології або деталізацією реєстру ризиків. Він зникає лише тоді, коли з’являється пряма залежність: оцінка ризику автоматично змінює параметри, в межах яких приймаються рішення. Поки цієї залежності немає, ризик-менеджмент залишається інформативним, але не керуючим.

Що таке обмеження на практиці і чому їх часто плутають із деклараціями

Коли в компанії говорять про обмеження ризику, дуже часто мають на увазі документи. Декларацію схильності до ризику, політику, внутрішні правила. Формально це виглядає правильно: межі задекларовані, підходи описані, терміни узгоджені з регуляторними вимогами. Але на практиці ці документи рідко визначають, як саме приймаються рішення в конкретній ситуації.

Проблема в тому, що декларація і обмеження — це різні речі. Декларація відповідає на питання “яке наше ставлення до ризику”. Обмеження відповідає на питання “що ми робимо або не робимо в конкретних умовах”. І якщо перше може існувати на рівні формулювань, то друге завжди має проявлятися в діях.

У робочій моделі компанії обмеження виглядають значно приземленіше, ніж у документах. Це не загальні фрази про “помірний рівень ризику” чи “орієнтацію на стабільність”. Це конкретні параметри, які або дозволяють дію, або блокують її.

Наприклад, у роботі з контрагентами обмеження — це не просто вимога “оцінювати фінансовий стан партнера”. Це встановлений поріг: яка максимальна експозиція допустима на одного контрагента, при якому рівні внутрішнього рейтингу співпраця припиняється або не розпочинається, які додаткові умови вводяться при погіршенні показників. І головне — ці правила застосовуються автоматично, а не за результатами окремого обговорення.

У фінансовому плануванні обмеження проявляються через допуски і сценарні рамки. Якщо компанія визнає, що певні витрати або доходи є волатильними, це має відображатися не лише в описі ризику, а й у структурі плану: допустимі діапазони відхилень, заздалегідь визначені дії у разі їх перевищення, механізми перегляду. Без цього бюджет залишається жорстким планом у середовищі, яке саме ж визнано нестабільним.

У продуктній логіці обмеження часто взагалі відсутні як клас. Продукт запускається, і далі його розвиток визначається попитом, продажами, маркетинговими цілями. Ризик при цьому може оцінюватися на старті, але не визначає межі зростання. У зрілій системі має бути інакше: встановлюються порогові значення за ключовими параметрами — наприклад, рівень збитковості, обсяг продажів у певному сегменті, навантаження на операційні процеси — після досягнення яких запускається перегляд умов або навіть тимчасове обмеження продажів.

Окремо варто виділити тригери. Це той елемент, який найчастіше випадає з практики. Компанія може мати ліміти, але не має чітко визначеного моменту, коли вони вважаються порушеними або близькими до порушення. У результаті реакція завжди запізнюється. Тригери ж дозволяють перевести управління з реактивного в проактивний режим: ще до того, як межа фактично порушена, запускається механізм перегляду.

Саме відсутність таких елементів і призводить до підміни понять. Декларація починає сприйматися як достатній рівень управління, хоча насправді вона лише задає загальний напрям. Без трансляції у ліміти, допуски і тригери вона не має операційної сили.

У практиці це виглядає доволі прямо: якщо рішення можна прийняти, не звертаючись до жодного обмеження, — обмеження фактично не існує. Воно може бути описане в документі, але не є частиною системи управління. І навпаки, якщо будь-яке суттєве рішення автоматично перевіряється на відповідність встановленим межам — значить, оцінка ризику дійсно інтегрована в процес. Саме в цьому і полягає різниця між формальною і робочою моделлю управління ризиками.

Чому компанії не встановлюють реальні обмеження, навіть розуміючи ризики

Якщо дивитися на це зсередини організації, відсутність обмежень — це не випадковість і не недопрацювання ризик-менеджера. У більшості випадків це результат цілком логічних управлінських компромісів, які просто не називаються своїми іменами.

Перша і, мабуть, найсильніша причина — небажання обмежувати зростання. Будь-яке реальне обмеження неминуче вступає в конфлікт із цілями розвитку. Якщо встановити жорсткий ліміт на концентрацію, це означає відмовитися від частини бізнесу. Якщо ввести пороговий рівень збитковості для продукту — це означає бути готовим зупинити продажі, навіть якщо вони “йдуть”. У багатьох компаніях до цього просто не готові, тому обмеження замінюються рекомендаціями або формулюваннями, які не мають прямого впливу на рішення.

Друга причина — конфлікт ролей, який рідко формалізується. Функція продажів або розвитку бізнесу природно орієнтована на розширення. Функція ризик-менеджменту — на стримування. Але якщо в системі не визначено, що саме має пріоритет у конкретній ситуації, рішення приймається ситуативно. І, як правило, на користь зростання. У такій моделі навіть наявність лімітів не гарантує їх дотримання — вони можуть переглядатися “в ручному режимі” під конкретну угоду або можливість.

Третя причина — ілюзія контролю через аналітику. Компанія інвестує в оцінку ризиків: моделі, звіти, дашборди, сценарії. Це створює відчуття, що ситуація під контролем, бо вона добре описана. Але саме це іноді і замінює реальні обмеження. Логіка проста: “ми ж бачимо ризик, значить, ми ним керуємо”. Хоча насправді між “бачимо” і “обмежуємо” лежить принципова різниця.

Четверта причина — відсутність зв’язку між ризиком і фінансовими наслідками на рівні, який зрозумілий для прийняття рішень. Ризик може бути оцінений у термінах “високий”, “середній”, “низький” або навіть у відсотках і сценаріях. Але якщо ця оцінка не трансформується у вплив на капітал, ліквідність або результат, вона не стає аргументом у дискусії. У підсумку ризик-менеджмент звучить як “ще одна думка”, а не як обмеження, яке не можна ігнорувати.

П’ята причина — формалізація заради відповідності вимогам, а не заради управління. Регуляторні вимоги стимулюють створення політик, декларацій, процедур. Компанія виконує ці вимоги, але зосереджується на наявності документів, а не на їх впливі. У результаті обмеження існують “на папері”, але не інтегровані в процеси прийняття рішень. І це знову ж таки виглядає як працююча система — до моменту, коли виникає реальний стрес.

Ще один важливий фактор — небажання фіксувати відповідальність. Реальне обмеження завжди передбачає, що хтось має зупинити або змінити рішення, коли межа досягнута. Це означає взяти на себе відповідальність за недоотриманий дохід або втрачений контракт. У багатьох організаціях простіше залишити ситуацію невизначеною, ніж закріпити правило, яке доведеться застосовувати.

І нарешті — часовий фактор. Обмеження завжди працюють “на випередження”, тоді як бізнес часто живе коротким циклом. Рішення приймаються сьогодні, а наслідки ризику можуть проявитися через місяці або роки. У такій ситуації природно переважає логіка короткострокового результату, і будь-які довгострокові обмеження сприймаються як надмірні.

У підсумку формується парадоксальна, але дуже стійка модель. Компанія може добре розуміти свої ризики, регулярно їх оцінювати і навіть обговорювати на високому рівні. Але при цьому свідомо не переводити цю оцінку у жорсткі обмеження, щоб не звужувати простір для рішень. І саме в цій точці ризик-менеджмент втрачає свою ключову функцію — визначати межі, в яких цей простір існує.

Як результати оцінки ризиків перетворюються на обмеження, що працюють

У практиці це завжди виглядає як ланцюг, де кожен елемент має чітке продовження. Якщо хоча б один крок випадає, система знову повертається до “оцінки без наслідків”. Тому важливо не просто зробити оцінку якіснішою, а вибудувати логіку переходу від оцінки до конкретних меж, які автоматично впливають на рішення.

Перший крок — це переведення ризику з описового рівня у параметри, які можна співвіднести з бізнесом. Формулювання на кшталт “високий ризик залежності” або “значна волатильність витрат” не працюють як основа для обмежень. Потрібно відповісти на інше запитання: у чому саме проявиться цей ризик у цифрах або подіях. Наприклад, яка частка операцій залежить від одного постачальника, який діапазон коливань витрат можливий, який рівень відмов або затримок є реалістичним. Без цього будь-яка подальша деталізація неможлива.

Другий крок — це прив’язка цих параметрів до впливу на компанію. Тут часто виникає провал, тому що оцінка ризику і фінансова логіка живуть окремо. Але саме на цьому етапі формується управлінський зміст. Якщо ризик реалізується, що це означає для результату, ліквідності, виконання зобов’язань або операційної стабільності. Не обов’язково будувати складні моделі — достатньо чітко показати, де проходить межа, після якої наслідки стають неприйнятними.

Третій крок — визначення самої межі. І тут важливо не плутати її з “комфортною зоною”. Межа — це не бажаний рівень, а граничний. Той, після якого компанія або втрачає контроль над ситуацією, або починає нести непропорційні втрати. У практиці це виглядає як ліміт, допуск або комбінація обох. Наприклад, максимальна частка одного постачальника, допустимий діапазон відхилення витрат, пороговий рівень показника, після якого рішення має бути переглянуте.

Четвертий крок — вбудування цієї межі у процес прийняття рішень. Це найбільш критичний момент. Якщо обмеження існує окремо від процесу, воно не працює. Воно має бути “точкою перевірки”: при укладенні договору, затвердженні бюджету, запуску продукту, виборі партнера. Причому перевірка має бути не опціональною, а обов’язковою частиною процесу, як фінансове погодження або юридичний контроль.

П’ятий крок — тригери і дії. Сам ліміт без механізму реагування не дає результату. Має бути визначено, що саме відбувається, коли межа досягнута або наближається до неї. Це може бути автоматичне обмеження нових операцій, обов’язковий перегляд умов, ескалація на рівень керівництва. Ключове — щоб це не вирішувалося кожного разу “з нуля”, а було передбачено заздалегідь.

Щоб це не виглядало теоретично, варто подивитися на простий, але типовий кейс. Компанія виявляє, що значна частина її операцій залежить від одного зовнішнього сервісу. На рівні оцінки ризику це виглядає як “висока залежність”. Але якщо піти далі, можна визначити: яка саме частка операцій припадає на цього провайдера, скільки часу займе відновлення роботи у разі відмови, які фінансові втрати це створить навіть за короткий період простою. На основі цього встановлюється межа — наприклад, максимальна допустима частка залежності або обов’язкова наявність резервного рішення для певних критичних процесів. І далі це вбудовується у процес: нові проєкти не погоджуються без перевірки відповідності цим вимогам, а існуючі — підлягають поступовому приведенню у відповідність.

Аналогічно працює і з фінансовими ризиками. Якщо компанія визнає, що певна стаття витрат є нестабільною, це не повинно залишатися на рівні коментаря до бюджету. Визначається діапазон можливих відхилень, оцінюється їх вплив на результат, встановлюється допустима межа і заздалегідь визначаються дії у разі її перевищення. У такій моделі відхилення перестає бути “сюрпризом” і стає керованим сценарієм.

Ключова особливість цієї логіки в тому, що вона не потребує ідеальних даних або складних моделей. Вона потребує дисципліни у переході від оцінки до рішення. І саме цей перехід визначає, чи є ризик-менеджмент частиною системи управління, чи лише джерелом інформації для неї.

Завершуємо статтю тим, що фактично підсумовує всю логіку і повертає фокус на роль ризик-менеджера як функції, що впливає на рішення.

Роль ризик-менеджера: не оцінювати, а визначати межі

У класичному уявленні ризик-менеджер — це той, хто ідентифікує ризики, оцінює їх і готує звітність. Це важлива частина роботи, але в реальності вона не визначає цінність функції. Компанія може мати якісні оцінки ризиків і при цьому приймати рішення так, ніби цих оцінок не існує. І в такій моделі ризик-менеджмент залишається допоміжною функцією, а не елементом управління.

Справжня роль починається там, де оцінка ризику перетворюється на межі, які не можна ігнорувати без окремого рішення. Це означає, що ризик-менеджер працює не лише з аналізом, а з правилами гри. Він допомагає відповісти не на запитання “який у нас ризик”, а на запитання “де ми зупиняємось”.

На практиці це змінює сам формат участі у прийнятті рішень. Ризик-менеджер більше не виступає як один із учасників дискусії, який висловлює свою позицію поряд з іншими. Його роль — забезпечити наявність чітких меж, в рамках яких ця дискусія відбувається. І якщо рішення виходить за ці межі, це вже не питання аргументів, а питання перегляду або свідомого прийняття відхилення з відповідним рівнем відповідальності.

Це добре видно на прикладах, де межі відсутні. У таких ситуаціях будь-яке обговорення ризику легко перетворюється на обмін думками. Один підрозділ бачить можливість, інший — загрозу, третій — компроміс. І остаточне рішення часто визначається не рівнем ризику, а силою аргументації або поточними пріоритетами бізнесу. Коли ж межі визначені, простір для інтерпретацій значно звужується: або рішення відповідає встановленим параметрам, або потребує окремого погодження.

Важливий момент — ці межі не повинні створюватися у відриві від бізнесу. Якщо ризик-менеджер формує обмеження самостійно, без розуміння операційної логіки і цілей компанії, вони або не будуть застосовуватися, або будуть постійно переглядатися. Тому його роль — не нав’язати обмеження, а побудувати їх разом із бізнесом таким чином, щоб вони одночасно відображали ризик і залишали простір для досягнення цілей.

Ще одна складна, але принципова частина цієї ролі — забезпечення дотримання меж. Сам факт їх наявності нічого не гарантує. У реальності завжди будуть ситуації, коли виникатиме спокуса їх обійти: через терміновість, через значущість угоди, через зовнішній тиск. І саме в цей момент стає зрозуміло, чи є ризик-менеджмент частиною системи управління. Якщо відхилення відбувається без формалізованого рішення і без фіксації — межі фактично не існують.

У зрілій моделі будь-яке відхилення — це окрема управлінська дія. Воно фіксується, обґрунтовується і приймається на відповідному рівні. Це не блокує бізнес, але робить ризик видимим і керованим. І саме тут ризик-менеджер виконує свою ключову функцію — не забороняти, а забезпечувати усвідомленість і прозорість рішень.

У підсумку роль ризик-менеджера зміщується від аналітики до архітектури. Він не просто описує ризики, а формує систему, в якій ці ризики визначають межі дій. І якщо ці межі дійсно працюють, потреба в постійних дискусіях про ризик суттєво зменшується — значна частина рішень приймається автоматично в заданих рамках.

Висновок

Оцінка ризиків сама по собі не змінює поведінку компанії. Вона створює розуміння, але не визначає дії. Єдиний спосіб зробити ризик-менеджмент впливовим — це перетворити результати оцінки на обмеження, які вбудовані в процеси і застосовуються автоматично. Саме в цьому переході — від опису до меж — і проходить межа між формальною і робочою системою управління ризиками. Компанія може мати складні моделі, детальні реєстри і регулярну звітність, але без обмежень усе це залишатиметься інформацією. І навпаки, навіть відносно проста система оцінки може бути ефективною, якщо вона безпосередньо впливає на те, які рішення приймаються і які — ні.

Це не питання методології, а питання управлінської дисципліни. І саме ця дисципліна визначає, чи стає ризик-менеджмент інструментом впливу, чи залишається функцією спостереження.

Сергій БАБИЧ