Коли точність вводить в оману: чому сучасний ризик-менеджмент має чесно показувати невизначеність

Останнім часом у професійній спільноті дедалі частіше звучить думка, що головною проблемою ризик-менеджменту є не відсутність даних, а неправильне ставлення до невизначеності. Ми звикли вважати, що якісний аналіз ризиків обов’язково повинен завершуватися конкретною цифрою, рейтингом або місцем ризику на тепловій карті. Проте чи завжди така точність відповідає реальному рівню наших знань?

Це питання порушив професор ризик-менеджменту Stefan Hunziker у своїй нещодавній публікації в LinkedIn. На перший погляд пост присвячений доволі вузькій темі — використанню байєсівського підходу (Bayesian update) для оцінки ризиків за умов обмежених даних. Проте подальша професійна дискусія показала, що насправді йдеться про значно фундаментальніше питання: якою має бути інформація про ризики, щоб вона допомагала керівництву приймати рішення, а не створювала хибне відчуття визначеності.

Особливий інтерес викликає обговорення під постом. До дискусії долучилися практики ризик-менеджменту, консультанти, фахівці з кібербезпеки та корпоративного управління. Причому багато коментарів не лише підтримують автора, а й суттєво розвивають його ідеї, торкаючись питань кількісної оцінки ризиків, якості доказової бази, управлінського судження та ролі невизначеності у процесі прийняття рішень. У результаті невеликий пост перетворився на цікаву професійну дискусію про майбутнє сучасного ризик-менеджменту.

 

«У нас недостатньо даних»: чому це не повинно завершувати дискусію

Поширеною реакцією на спробу кількісно оцінити стратегічні, кібернетичні чи комплаєнс-ризики є твердження: «У нас недостатньо даних для кількісної оцінки». Автор погоджується, що така проблема справді існує. Проте, на його думку, ця фраза дуже часто стає причиною відмови від подальшого аналізу. У результаті ризик або описується загальними словами, або отримує довільну оцінку на тепловій карті, яка лише створює ілюзію точності.

Для ілюстрації своєї думки автор наводить простий приклад. Якщо серед тридцяти подібних компаній відомо лише про один серйозний кіберінцидент, найпростішим рішенням буде зробити висновок, що ймовірність такого інциденту становить приблизно 3%. Проте виникає закономірне питання: чи справді одна подія дозволяє настільки впевнено оцінювати ризик? Автор демонструє принципово інший підхід. Він пропонує не приховувати невизначеність за красивою цифрою, а зробити її явною. Використовуючи просту байєсівську модель, він показує, що за такого обсягу інформації більш чесною буде оцінка, яка відображає не лише середнє значення, а й широкий діапазон можливих результатів — приблизно від 1% до 14%. При цьому автор спеціально наголошує: головним є не число, а логіка його отримання. Чим слабшою є доказова база, тим більшою повинна бути відкритість щодо рівня невизначеності.

Ця думка, як на мене, є ключовою для всієї публікації. Автор фактично пропонує змінити акцент у професійній дискусії. Замість прагнення отримати максимально «точну» оцінку ризику він пропонує чесно відповісти на інше питання: наскільки ми можемо довіряти власній оцінці? Це принципово інший підхід до аналізу ризиків, оскільки він дозволяє керівництву оцінювати не лише сам ризик, а й якість інформації, на якій ґрунтуються майбутні управлінські рішення.

 

Найцікавіше почалося у коментарях: професійна дискусія про природу невизначеності

Однією з особливостей професійних дискусій у LinkedIn є те, що іноді коментарі стають не менш цінними, ніж основна публікація. Саме така ситуація склалася і цього разу. Автор запропонував цікаву ідею щодо необхідності чесного відображення невизначеності, а подальше обговорення дозволило подивитися на проблему значно ширше.

Перший напрямок дискусії стосувався двох крайнощів, у які, на думку одного з коментаторів, найчастіше потрапляє сучасний ризик-менеджмент. Першу він назвав measurement flaw — ситуацію, коли слабка доказова база штучно перетворюється на дуже точні числові оцінки, рейтинги або позиції на теплових картах. Друга крайність отримала назву analysis paralysis — своєрідний «параліч аналізу», коли через відсутність повної інформації організація відкладає рішення, очікуючи появи нових даних. На думку автора коментаря, обидва підходи однаково небезпечні. Один створює хибне відчуття впевненості, другий — призводить до втрати часу та бездіяльності. Натомість справжнє мистецтво ризик-менеджменту полягає у тому, щоб відкрито показати існуючі припущення, пояснити якість доказової бази та надати керівництву достатньо інформації для прийняття рішення вже сьогодні, навіть якщо абсолютної визначеності немає.

Ця думка, на мою думку, заслуговує окремої уваги. Вона фактично переносить акцент із питання «Наскільки точна наша оцінка?» на значно важливіше питання: «Чи достатньо ми знаємо для того, щоб діяти?» Така зміна акцентів сьогодні дедалі частіше зустрічається у сучасній літературі з ризик-менеджменту.

Не менш цікавою стала інша гілка дискусії, присвячена використанню точкових оцінок (point estimates). Один із коментаторів звернув увагу на те, що управлінські рішення все одно потребують певного узагальненого показника. Керівництву необхідно визначати пріоритети, порівнювати альтернативи, розподіляти ресурси. А це практично неможливо зробити, якщо оперувати лише інтервалами або словесними описами невизначеності. На його думку, для аналізу ризику дійсно потрібні діапазони можливих значень, однак для прийняття рішення організації все одно доводиться використовувати конкретні кількісні орієнтири.

Особливу цінність цієї дискусії додає відповідь самого автора. Він фактично погоджується з обома позиціями та пропонує їх об’єднати. На його думку, проблема полягає не у використанні точкових оцінок як таких. Проблема виникає тоді, коли вони починають сприйматися як повний опис ризику. Насправді ж будь-яке число повинно розглядатися лише як узагальнений результат аналізу невизначеності, а не як її заміна. Якщо керівництво бачить лише кінцеву цифру, але не розуміє припущень, якості даних, використаних моделей та рівня впевненості в оцінці, виникає небезпечна ілюзія точності. Автор наполягає: перехід від діапазону можливих результатів до конкретної рекомендації повинен залишатися максимально прозорим.

Ще один цікавий аспект дискусії порушив інший учасник обговорення. Він звернув увагу на те, що навіть найкращі статистичні методи не компенсують недостатнього розуміння самої природи ризику. Якщо аналізуються дані тридцяти різних компаній, це ще не означає, що вони справді є порівнюваними. Кожна організація може мати, і я впевнений, має різні бізнес-процеси, різний рівень захисту інформаційних систем, різні механізми виникнення ризиків та різний рівень загроз. Перш ніж використовувати статистичні моделі, необхідно переконатися, що об’єкти порівняння дійсно мають достатньо спільних характеристик. Інакше математична точність може приховувати концептуальну помилку вже на етапі постановки задачі.

На завершення дискусії прозвучала ще одна важлива думка. Один із коментаторів зазначив, що будь-який аналіз ризику повинен починатися навіть не з вибору математичного методу, а з чіткого визначення самого ризику, його меж, критеріїв оцінки та якості вихідних даних. Автор поста повністю погодився з цим зауваженням, підкресливши, що жоден ризик-звіт ніколи не стане ідеальним відображенням реальності. Прозорість використаних припущень, відкритість щодо обмежень даних та чесне пояснення компромісів між витратами на аналіз і додатковою користю від нього є не менш важливими, ніж самі результати оцінки ризиків.

 

Що означає ця дискусія для українських ризик-менеджерів

На перший погляд може здатися, що дискусія стосується виключно кількісних методів аналізу ризиків або використання байєсівських моделей. Насправді її значення значно ширше. Вона торкається одного з фундаментальних питань сучасного ризик-менеджменту: яку  інформацію повинен отримати керівник, щоб прийняти якісне управлінське рішення?

Традиційно вважалося, що завдання ризик-менеджера полягає в тому, щоб максимально точно оцінити ризик, і звідси походить прагнення до деталізації шкал оцінювання, використання складних рейтингів, матриць ризиків, теплових карт та інших інструментів, які створюють відчуття високої точності. Проте професійна дискусія, що розгорнулася навколо цього поста, демонструє зовсім іншу тенденцію. Дедалі більше фахівців погоджуються з тим, що головною цінністю ризик-менеджменту є не створення красивих цифр, а чесне пояснення того, що ми знаємо, чого не знаємо і наскільки можемо довіряти власним оцінкам.

Для української практики ця думка має особливе значення. Війна, нестабільність економічного середовища, постійні регуляторні зміни, кіберзагрози та дефіцит історичних даних призводять до того, що багато управлінських рішень доводиться приймати в умовах дуже високої невизначеності. У таких ситуаціях спроба представити ризик у вигляді одного «точного» числа може бути навіть небезпечнішою, ніж відкрите визнання того, що наявна інформація має суттєві обмеження.

Водночас не менш небезпечним є інший підхід — відмова від аналізу через нестачу інформації. Особливо цінною видається думка, яка прозвучала в коментарях: недостатність даних не повинна автоматично означати неможливість прийняття рішення. Навпаки, вона повинна спонукати ризик-менеджера відкрито показати рівень невизначеності, описати використані припущення, пояснити сильні та слабкі сторони доказової бази і допомогти керівництву усвідомлено прийняти рішення саме в тих умовах, які існують сьогодні.

На мою думку, тут простежується одна з найважливіших тенденцій розвитку професії. Сучасний ризик-менеджер дедалі менше виступає в ролі людини, яка «вираховує ризики». Його основним завданням стає підтримка процесу прийняття рішень. Це означає, що поряд із самою оцінкою ризику керівництво повинно отримувати відповідь ще на кілька не менш важливих запитань: наскільки надійною є наявна інформація, які припущення лежать в основі аналізу, які альтернативні сценарії можливі та як зміниться рішення, якщо ці припущення виявляться помилковими.

Такий підхід, на мою думку, поступово формує нову культуру управління ризиками. У центрі уваги опиняється вже не точність заради точності, а якість управлінського судження. І в цьому полягає головна практична цінність дискусії, започаткованої автором.

 

Висновки

На перший погляд ця публікація присвячена досить вузькому питанню — використанню кількісних методів оцінки ризиків за умов обмежених даних. Проте професійна дискусія, яка виникла навколо неї, показала значно ширшу проблему. Насправді йдеться про те, як сучасний ризик-менеджмент повинен працювати з невизначеністю.

Особливу цінність матеріалу становить те, що автор не закликає відмовитися від кількісних методів або точкових оцінок. Навпаки, він демонструє, що вони залишаються важливими інструментами підтримки управлінських рішень. Водночас будь-яке число повинно розглядатися лише як результат певних припущень, наявних даних і рівня нашої впевненості в отриманих висновках. Якщо ці обмеження залишаються «за кадром», точність легко перетворюється на ілюзію.

Не менш важливо, що обговорення під постом вийшло далеко за межі статистичних методів. Воно торкнулося фундаментальних питань професії: як оцінювати якість доказової бази, як уникати двох крайнощів — надмірної впевненості та бездіяльності через нестачу інформації, як поєднати кількісний аналіз із професійним судженням і якою має бути інформація, щоб вона дійсно допомагала керівництву приймати рішення.

На мій погляд, головний висновок цієї дискусії можна сформулювати досить просто. Завдання сучасного ризик-менеджера полягає не в тому, щоб створити ілюзію визначеності там, де її немає. Його завдання — чесно показати межі наших знань, зробити невизначеність зрозумілою та допомогти керівництву прийняти обґрунтоване рішення навіть тоді, коли повної інформації не існує.

Ця ідея, як видається, дедалі чіткіше простежується в сучасній світовій практиці. І вона дуже добре узгоджується із загальною тенденцією розвитку професії: ризик-менеджмент поступово переходить від вимірювання ризиків до підтримки прийняття управлінських рішень.

 

Сергій БАБИЧ