Цикл: “Практика ризик-менеджменту”

У попередніх статтях цього циклу ми розбирали, як ризик-менеджмент має працювати в логіці управління: як ризики ідентифікуються, як вони оцінюються, як перетворюються на обмеження і як з’являється той, хто ці ризики приймає. Усе це — необхідні елементи системи. Вони створюють каркас, без якого неможливо говорити про зрілий підхід до ризику.

Але є одна проблема, яка стає помітною лише тоді, коли система вже формально побудована. На папері все виглядає правильно: ролі визначені, процеси описані, відповідальність розподілена, звітність формується. Проте в реальності значна частина ризиків виникає і реалізується поза цією конструкцією. Не тому, що хтось її ігнорує свідомо, а тому, що управління в компанії живе трохи іншою логікою, ніж та, яку ми описуємо в політиках.

Ризик-менеджмент зазвичай “бачить” те, що проходить через формалізовані процеси: проєкти, продукти, фінансові показники, інциденти. Але значна частина рішень, які створюють ризик, приймається в інших місцях — швидше, неформальніше, іноді навіть непомітно для самої системи. Це можуть бути дрібні управлінські компроміси, тимчасові домовленості, локальні оптимізації, які не виглядають як ризикові рішення, але саме вони з часом формують профіль ризику компанії.

Саме цю зону я пропоную розглянути в цій статті. Не формальну систему управління ризиками, а її “тіньову” частину — ті сірі зони, де насправді виникають ризики і де вони найчастіше залишаються без управління. Бо проблема тут не в тому, що система не працює. Проблема в тому, що вона не охоплює всю реальність, у якій приймаються рішення. І найнебезпечніше в цій ситуації — це ілюзія повноти. Коли компанія впевнена, що ризики під контролем, тому що вони описані і регулярно обговорюються, але водночас ключові джерела ризику залишаються поза увагою, бо вони не “вписуються” в існуючу модель.

Ризик між процесами: там, де немає власника і немає контролю

Одна з найбільш недооцінених зон — це ризики, які виникають не всередині окремого процесу, а на стику між ними. У більшості компаній процеси описані досить чітко: є відповідальні, є регламенти, є контрольні точки. Але саме в місцях передачі відповідальності — від одного підрозділу до іншого — часто зникає і контроль, і розуміння ризику як такого.

Типова ситуація — взаємодія між продажами і андеррайтингом. Продажі зацікавлені у швидкому укладенні договору, гнучкості умов, утриманні клієнта. Андеррайтинг — у контрольованості збитків, якості інформації, чіткості покриття. Формально обидва підрозділи працюють у своїх зонах відповідальності. Але рішення, які приймаються на етапі продажу — наприклад, погодження нестандартних умов або спрощення анкетування клієнта — прямо впливають на майбутні збитки. І ці рішення часто не сприймаються як управління ризиком, бо вони знаходяться “на межі” процесів.

Ще один практичний кейс — передача ІТ-рішень у бізнес-експлуатацію. Команда розробки впроваджує нову функціональність, бізнес її приймає, система запускається. Формально проєкт завершено успішно. Але при цьому можуть залишатися “тимчасові” рішення: обхідні механізми, спрощені перевірки, відкладені доопрацювання. У момент передачі відповідальність ніби переходить до бізнесу, але сам ризик не стає предметом окремого рішення. Він просто “їде разом із системою” і починає проявлятися вже в операційній діяльності — у вигляді помилок, некоректних даних або навіть фінансових втрат.

Дуже показовою є ситуація з обробкою даних між підрозділами. Наприклад, фінансовий блок формує звітність на основі даних, які надходять із операційних систем. Якщо в цих даних є системні неточності або затримки, фінансова функція часто змушена “вирівнювати” інформацію вручну або через додаткові припущення. Формально звітність формується, процес не зупиняється. Але ризик спотворення даних знаходиться між функціями — і ніхто не сприймає його як свій прямий ризик.

Ще один приклад — взаємодія з зовнішніми партнерами. Наприклад, компанія передає частину процесів на аутсорсинг: кол-центр, врегулювання, ІТ-підтримку. Договір підписаний, SLA визначені, контроль формально є. Але в реальності частина рішень приймається на рівні операційної взаємодії: як обробити нестандартний запит клієнта, як швидко закрити кейс, як інтерпретувати неоднозначну ситуацію. І саме в цих дрібних рішеннях накопичується ризик — операційний, репутаційний, іноді навіть юридичний.

У всіх цих прикладах є спільна риса: ризик виникає не через відсутність процесу, а через відсутність “зшивки” між ними. Кожен окремий елемент системи може працювати коректно, але на стику з’являється зона, де немає ні чіткого власника, ні повноцінного контролю. І саме там формується значна частина тих проблем, які потім виглядають як “несподівані”. Це змушує переглянути сам підхід до ідентифікації ризиків. Якщо ми дивимося лише на окремі процеси або функції, ми неминуче пропускаємо ці сірі зони. Реальна карта ризиків проходить не лише по організаційній структурі, а й по лініях взаємодії між підрозділами, системами і навіть зовнішніми контрагентами. І саме в цих точках ризик-менеджмент має або навчитися працювати, або визнати, що значна частина ризиків компанії знаходиться поза його полем зору.

Тимчасові рішення, які стають постійними: як формується прихований ризик

Одна з найпідступніших форм ризику — це не помилка, не прорахунок і навіть не свідоме прийняття ризику. Це “тимчасове рішення”, яке в моменті виглядає логічним, виправданим і навіть необхідним, але з часом стає частиною постійної практики, не проходячи жодного перегляду з точки зору ризику. Такі рішення зазвичай виникають у ситуаціях тиску: потрібно швидко запустити продукт, закрити проєкт, виконати план, обійти технічне обмеження або компенсувати нестачу ресурсів. У цей момент з’являється компроміс: “зробимо так поки що, а потім повернемося і виправимо”. І саме це “поки що” є початком ризику, який не фіксується як ризик.

Типовий кейс — ручні обхідні процеси в ІТ. Наприклад, система не підтримує певний сценарій, і команда знаходить рішення: обробляти ці випадки вручну або через Excel. Це виглядає як тимчасова міра, яка дозволяє не зупиняти бізнес. Але з часом таких кейсів стає більше, процес ускладнюється, зростає залежність від конкретних людей, і в якийсь момент “тимчасове рішення” стає критичною частиною операційної діяльності. При цьому ризик — помилки, втрати даних, затримки — не був ні оцінений, ні прийнятий як управлінське рішення.

Ще один приклад — спрощення контрольних процедур. Наприклад, у піковий період навантаження компанія тимчасово зменшує обсяг перевірок: скорочує перелік документів, прискорює погодження, делегує частину рішень на нижчий рівень. У моменті це дозволяє впоратися з обсягом і не втратити клієнтів. Але якщо після завершення пікового періоду ці зміни не переглядаються, нова “спрощена” модель стає нормою. І компанія фактично починає працювати з іншим рівнем ризику, не усвідомлюючи цього як зміну.

Дуже характерний кейс — “тимчасові” винятки для ключових клієнтів або партнерів. Наприклад, погодження нестандартних умов, відхилення від внутрішніх політик, особливий порядок врегулювання. Спочатку це одиничні випадки, обґрунтовані бізнес-логікою. Але з часом вони починають накопичуватися, створюють прецеденти і фактично формують паралельну систему правил, яка не описана і не контролюється як система.

Окремо варто згадати ситуації з ресурсами. Наприклад, компанія тимчасово закриває функціональний дефіцит: одна людина бере на себе кілька ролей, частина функцій не виконується або виконується частково, контрольні процедури відкладаються. Це може виглядати як нормальна адаптація до обставин. Але якщо така модель закріплюється, ризик переходить з категорії “операційної напруги” в категорію системного дефіциту контролю.

У всіх цих випадках є спільна логіка: рішення приймається як тимчасове і тому не проходить через повноцінну процедуру оцінки ризику. Його не фіксують як зміну профілю ризику, не співвідносять із встановленими межами, не визначають власника, який готовий працювати з наслідками. Воно просто “вбудовується” в операційну діяльність. Проблема в тому, що з часом такі рішення перестають сприйматися як щось особливе. Вони стають частиною “того, як ми працюємо”. І в цей момент ризик повністю зникає з поля управління. Його вже не обговорюють, не оцінюють і не переглядають — хоча він може суттєво впливати на результат.

Найбільш небезпечний момент настає тоді, коли зовнішнє середовище змінюється або відбувається інцидент. У цей момент виявляється, що компанія фактично працювала з іншим рівнем ризику, ніж вважала. Але цей ризик не був усвідомлено прийнятий — він сформувався поступово, через накопичення “тимчасових” рішень. З точки зору ризик-менеджменту це дуже складна зона. Такі ризики не з’являються в реєстрі, бо вони не виглядають як окремі події чи сценарії. Вони не проходять через стандартні процедури, бо не оформлюються як рішення. Вони формуються на рівні щоденної практики — і саме тому залишаються поза системою. Це означає, що класичних інструментів недостатньо. Потрібен інший підхід: вміння бачити не лише формальні зміни, а й “тимчасові” відхилення від нормальної моделі роботи — і розуміти, що саме вони часто є джерелом найбільш стійких і непомітних ризиків.

Рішення, які вже прийняті: коли ризик-менеджмент підключається занадто пізно

Одна з найменш очевидних, але найбільш поширених проблем — це не ігнорування ризик-менеджменту, а його запізніле включення в процес. Формально все виглядає правильно: функція ризик-менеджменту залучена, аналіз проведено, висновки підготовлені. Але ключове рішення до цього моменту вже фактично прийняте. І роль ризик-менеджменту зводиться не до впливу, а до підтвердження або “супроводу” цього рішення.

Це добре видно на прикладі стратегічних або інвестиційних ініціатив. Наприклад, компанія вирішує вийти в новий сегмент або запустити новий канал продажів. На рівні ідеї це обговорюється в вузькому колі, формується бачення, з’являється внутрішня підтримка. І лише після цього питання виноситься на більш формалізований рівень — із залученням ризик-менеджменту. У цей момент очікування вже сформовані, рішення має “внутрішню інерцію”, і будь-який аналіз ризиків сприймається не як основа для вибору, а як фактор, який потрібно врахувати, але не переглянути саму ідею.

Схожа ситуація виникає в ІТ-проєктах. Рішення про вибір системи або архітектури часто приймається на ранньому етапі — на основі вартості, строків, рекомендацій або попереднього досвіду. Після цього проєкт рухається вперед, витрачаються ресурси, формується план впровадження. І лише на певному етапі з’являється повноцінний аналіз ризиків: залежність від постачальника, обмеження масштабування, питання безпеки. Але до цього моменту “відкатити” рішення вже складно — не з технічних причин, а з управлінських. Ризик-менеджмент опиняється в ситуації, де він може лише зафіксувати ризик і запропонувати пом’якшувальні заходи, але не вплинути на базове рішення.

Дуже показовий кейс — укладення партнерств або великих договорів. Переговори ведуться бізнесом, умови погоджуються поступово, сторони приходять до взаєморозуміння. І вже на фінальному етапі договір передається на внутрішні погодження, включаючи оцінку ризиків. Формально це виглядає як контроль. Але фактично відмовитися від угоди або суттєво змінити умови на цьому етапі дуже складно: є очікування партнера, є внутрішня зацікавленість, є витрачений час. У результаті ризик-менеджмент знову опиняється в ролі того, хто “супроводжує” рішення, а не формує його.

Ще одна ситуація — реакція на інциденти. Після значної події або проблеми компанія починає аналізувати причини, залучає різні функції, включаючи ризик-менеджмент. Формуються висновки, рекомендації, іноді навіть змінюються процеси. Але якщо подивитися глибше, багато рішень у цей момент вже прийняті: як інтерпретувати ситуацію, які фактори вважати ключовими, який масштаб проблеми визнати. І ці рішення визначають подальші дії значно більше, ніж формальний аналіз ризиків.

У всіх цих кейсах спільна проблема — не відсутність ризик-менеджменту, а неправильна точка його включення. Він підключається тоді, коли простір для альтернатив уже звужений. Коли замість питання “що нам робити?” стоїть питання “як реалізувати те, що ми вже вирішили?”. Це створює дуже специфічну динаміку. З одного боку, ризик-менеджмент формально виконує свою функцію: ризики ідентифікуються, оцінюються, документуються. З іншого — його вплив на рішення мінімальний, бо саме рішення вже має внутрішню підтримку і інерцію. І навіть обґрунтовані застереження не змінюють напрям, а лише додають коригуючі заходи.

З практичної точки зору це означає, що питання не в якості аналізу, а в моменті його застосування. Якщо ризик-менеджмент не включається на етапі формування варіантів, він майже не має шансів вплинути на вибір. Він стає частиною процесу реалізації, а не частиною процесу прийняття рішення. І саме це є ключовою проблемою цієї “сірої зони”: система формально працює, але працює “після факту”. А ризик у цей момент вже не управляється — він лише супроводжується.

Неформальні правила гри: як культура визначає ризик більше, ніж політики

Одна з найскладніших для управління зон — це не процеси і не рішення як такі, а неформальні правила, за якими ці рішення приймаються. У будь-якій компанії поряд із формалізованою системою завжди існує інша — неписана. Вона не закріплена в документах, не проходить через погодження і не підлягає аудиту, але саме вона часто визначає, як компанія насправді працює з ризиком. Ці правила не формуються як окреме рішення. Вони виникають поступово — через поведінку керівників, через реакцію на помилки, через те, що заохочується і що карається. І саме тому вони набагато стійкіші, ніж будь-яка політика. Політику можна змінити за один день. Поведінкову модель — значно складніше.

Типовий приклад — ставлення до відхилень від правил. Формально в компанії може існувати чітка система обмежень і процедур. Але якщо на практиці відхилення регулярно погоджуються “в робочому порядку”, без чіткої фіксації і без наслідків, формується неформальне правило: правила можна обійти, якщо є достатньо вагома причина. І з часом це перестає сприйматися як виняток — це стає нормою.

Ще один показовий кейс — реакція на негативні події. Якщо після інциденту основний акцент робиться не на розумінні прийнятого ризику, а на пошуку “винного”, це дуже швидко змінює поведінку людей. Вони починають уникати прийняття ризикових рішень не тому, що це правильно з точки зору бізнесу, а тому, що це безпечніше з особистої точки зору. У результаті ризик не зникає — він просто переходить у неконтрольовану форму, де рішення або не приймаються, або приймаються неявно.

Дуже цікаво проявляється культура в питаннях швидкості. Наприклад, у компанії може існувати неформальне очікування, що рішення мають прийматися швидко, без “зайвих” обговорень. Формально це не суперечить системі управління ризиками. Але на практиці це означає, що будь-який детальний аналіз ризику починає сприйматися як гальмо. І навіть якщо функція ризик-менеджменту залучається, її роль автоматично обмежується, бо вона не вписується в очікувану динаміку.

Ще один кейс — пріоритет результату над процесом. Якщо в компанії стабільно заохочується досягнення цілей незалежно від того, яким чином вони досягнуті, формується дуже проста логіка: головне — результат. У такій моделі ризик починає сприйматися як вторинний фактор, який можна “підлаштувати” під рішення. І це не виглядає як порушення — це виглядає як нормальна бізнес-практика.

Окремо варто звернути увагу на роль неформальних авторитетів. У багатьох організаціях є люди, чия думка має більшу вагу, ніж формальні ролі. І якщо такі люди демонструють певне ставлення до ризику — наприклад, схильність ігнорувати обмеження або, навпаки, уникати будь-якої невизначеності — це дуже швидко стає неформальним стандартом для всієї команди. У результаті система управління ризиками починає працювати не так, як описано, а так, як прийнято поводитися.

У всіх цих випадках ризик визначається не тим, що написано в політиках, а тим, як насправді поводяться люди. І саме тому ця зона є настільки складною: її неможливо повністю формалізувати або “закрити” через процедури. Вона існує паралельно з офіційною системою і постійно на неї впливає. З точки зору ризик-менеджменту це означає, що робота з ризиком не може обмежуватися процесами і інструментами. Вона неминуче включає роботу з поведінкою — з тим, як приймаються рішення, як інтерпретуються правила і як реагують на наслідки. І якщо ця частина ігнорується, формальна система починає втрачати зв’язок із реальністю. Саме тут проходить одна з ключових меж зрілості. Компанія може мати добре описану систему управління ризиками, але якщо неформальні правила суперечать її логіці, фактичний рівень управління буде визначатися саме цими правилами. І навпаки — навіть відносно проста система може працювати ефективно, якщо поведінка узгоджена з її принципами.

Що з цим робити: як працювати з сірими зонами, які не описані в процесах

Перше, що важливо визнати: сірі зони неможливо “закрити” повністю. Це не помилка системи, а її природне обмеження. Будь-яка формалізація завжди відстає від реальності, у якій приймаються рішення. Тому завдання ризик-менеджменту — не створити ідеальну модель, а навчитися працювати там, де модель не покриває практику.

Починати варто не з документів, а з фактичних рішень. Найпростіший і водночас найефективніший підхід — регулярно розбирати не “ризики в реєстрі”, а конкретні ситуації, які вже відбулися. Наприклад, нестандартну угоду, складний кейс врегулювання, запуск нової функціональності, інцидент або навіть “успішне” рішення, яке дало результат. Питання тут не в тому, чи був ризик описаний, а в тому, де саме він виник і чому не був помічений або врахований. Саме такі розбори дозволяють побачити сірі зони не теоретично, а на конкретних прикладах.

Другий важливий крок — зміна фокусу з процесів на взаємодію. Якщо дивитися лише на окремі функції, більшість сіріх зон залишаються невидимими. Тому має сенс свідомо аналізувати “шви” між підрозділами: передачу даних, перехід відповідальності, узгодження рішень. Практично це може виглядати як окремі сесії або обговорення, де учасники різних функцій разом проходять по реальних сценаріях і дивляться, де саме виникає розрив у контролі або розумінні ризику.

Третій напрям — робота з “тимчасовими” рішеннями. У більшості компаній вони існують, але не обліковуються як окрема категорія. Просте правило, яке дає дуже відчутний ефект: будь-яке тимчасове відхилення від стандартного процесу має бути зафіксоване, навіть у спрощеному вигляді. Не для контролю заради контролю, а для того, щоб через певний час до нього повернутися і зрозуміти, чи не стало воно новою нормою. Це дозволяє витягнути з “тіні” ті зміни, які інакше залишаються непоміченими.

Окремо варто працювати з моментом включення ризик-менеджменту. Як показує практика, найбільша цінність виникає не там, де ризики аналізуються детально, а там, де вони враховуються вчасно. Це означає, що функція ризик-менеджменту має бути присутньою на ранніх етапах — не як формальний контроль, а як учасник обговорення варіантів. Це складніше з точки зору організації, але саме це дозволяє впливати на рішення, а не супроводжувати їх постфактум.

Ще один важливий елемент — це зміна формату фіксації рішень. У сіріх зонах проблема часто не в тому, що рішення не приймаються, а в тому, що вони не оформлюються як рішення з точки зору ризику. Тому має сенс вводити просту практику: у ключових випадках фіксувати не лише саме рішення, а й те, який рівень ризику фактично приймається. Це не потребує складних форм, але дозволяє зробити ризик “видимим” у момент, коли він стає частиною управління.

Окрема, і мабуть найскладніша частина — це робота з неформальними правилами. Тут немає швидких інструментів, але є дуже чіткий принцип: люди орієнтуються не на те, що написано, а на те, що реально відбувається. Якщо відхилення від правил регулярно допускаються без наслідків, якщо швидкість стабільно важливіша за якість, якщо результат важливіший за спосіб — це і є реальна модель управління ризиком, незалежно від того, що написано в політиках. І змінюється вона не через документи, а через практику — через те, які рішення підтримуються, а які ні.

Важливо також не намагатися охопити все одразу. Сірі зони є всюди, і спроба “навести порядок” одразу в усьому призводить лише до перевантаження системи. Значно ефективніше працювати точково — з тими зонами, які вже проявили себе через проблеми або інциденти. Саме там зміни дають найбільший ефект і швидше сприймаються бізнесом. У підсумку робота з сірими зонами — це не про створення нових процедур, а про зміну способу мислення. Перехід від логіки “що у нас описано” до логіки “як ми насправді працюємо”. І саме в цій різниці між моделлю і реальністю знаходиться значна частина тих ризиків, які найчастіше виглядають як несподівані.

Висновок

Ризик-менеджмент часто сприймається як система, яка має дати повну картину ризиків компанії. Але на практиці ця картина завжди буде неповною, якщо вона обмежується лише формалізованими процесами. Значна частина ризиків виникає там, де система не дивиться: між функціями, у тимчасових рішеннях, у неформальних правилах і в тих моментах, коли рішення вже фактично прийняті. Це не означає, що система не працює. Це означає, що вона охоплює лише частину реальності. І рівень зрілості визначається не тим, наскільки детально описані процеси, а тим, наскільки компанія здатна бачити і враховувати ці сірі зони. Бо саме там ризик перестає бути абстракцією — і стає частиною щоденних управлінських рішень.

Сергій БАБИЧ