УКРАЇНСЬКА АСОЦІАЦІЯ РИЗИК-МЕНЕДЖЕРІВ

стати учасником

Чому ризик ніколи не закінчується подією: фінальний погляд на етап аналізу ризику

Вступ

Цією публікацією ми завершуємо цикл статей, присвячений етапу аналізу ризику в логіці ISO 31000. У попередніх матеріалах ми зосереджувалися на причинах ризику, факторах, що змінюють його поведінку, та тригерах — моментах, у яких управління має переходити від спостереження до дії. Наступним логічним кроком у межах того самого етапу є аналіз наслідків ризику.

У практиці компаній саме цей елемент аналізу часто виявляється найслабшим. Наслідки ризику зводяться до одного виміру — прямого фінансового ефекту. Якщо збиток незначний або відсутній, вважається, що ризик «не спрацював серйозно». Такий підхід створює ілюзію контролю, але погано відображає те, що відбувається в операційній реальності.

Насправді ж більшість ризиків проявляються не лише через втрати в грошах. Значно частіше вони розкриваються через порушення процесів, затримки, ручні обхідні рішення, перевантаження персоналу та каскадні збої, які розтягуються в часі. Саме ці ефекти рідко потрапляють у формальний аналіз, але саме вони визначають реальну глибину впливу ризику на компанію.


Думаю, що багато з вас були свідками, коли пераційний інцидент у процесі врегулювання призводив до затримки виплат. Прямий фінансовий ефект мінімальний. Але далі зростає кількість звернень клієнтів, різко підвищується навантаження на call-центр, контрольні процедури виконуються поспіхом, а ризик нових помилок зростає. Формально ризик реалізувався один раз, але його наслідки живуть тижнями або місяцями.

У цій статті ми залишаємося в межах аналізу ризику і зосереджуємося саме на наслідках — прямих, непрямих, каскадних та відкладених. Йдеться не про оцінку чи пріоритезацію ризиків, а про глибше розуміння того, як саме ризик впливає на операційну модель компанії. Без цього рівня аналізу будь-який подальший перехід до етапу оцінки ризиків неминуче спиратиметься на неповну картину.

 

  1. Прямі наслідки ризику: те, що компанії бачать першими

Коли ризик реалізується, увага управління майже завжди зосереджується на прямих наслідках. Вони найочевидніші, їх легко зафіксувати і відносно просто пояснити. Саме з них зазвичай починається будь-який after-action review.

До прямих наслідків зазвичай відносять:

  • фінансові втрати;
  • додаткові витрати на усунення проблеми;
  • штрафи, пені або донарахування;
  • прямі компенсації клієнтам.

Цей рівень аналізу є необхідним, але на практиці він часто стає єдиним, що фіксується системно.

1.1. Чому прямі наслідки створюють хибне відчуття контролю

Практичний приклад (операційний ризик).
Виявлено помилку в обробці кількох страхових справ. Компанія перераховує виплати, прямі фінансові втрати незначні. У звіті зазначається: «ризик реалізувався з низьким впливом».сФормально висновок коректний — якщо дивитися лише на гроші. Але операційна реальність виглядає інакше:

  • співробітники витрачають додатковий час на виправлення;
  • інші справи відкладаються;
  • контроль виконується вибірково;
  • зростає навантаження на керівників, які змушені втручатися вручну.

Прямий вплив мінімальний, але операційна напруга вже зросла — і вона не відображена в аналізі.

1.2. Типові прямі наслідки в операційних процесах

У страхових і фінансових компаніях прямі наслідки ризиків добре повторюються.

Фінансові втрати.
Це не лише збитки, а й:

  • додаткові витрати на зовнішніх консультантів;
  • термінові доопрацювання ІТ-систем;
  • понаднормова робота персоналу.

Практичний приклад.
Після операційного збою компанія змушена залучати ІТ-підрядника в аварійному режимі. Формально це витрати на відновлення, але вони рідко враховуються як наслідок ризику при його аналізі.

Затримки та простої.
Навіть короткочасне порушення процесу може призвести до накопичення черг, які «розгрібаються» ще довго після усунення первинної проблеми.

Регуляторні та контрактні наслідки.
Без акценту на регуляторику, але в реальному житті прямі наслідки часто включають:

  • додаткові пояснення;
  • позапланові перевірки;
  • посилення контролю з боку контрагентів.

1.3. Де компанії зазвичай зупиняються — і чому цього недостатньо

У багатьох профілях ризиків аналіз на цьому рівні фактично завершується. Є подія — є прямий наслідок — є висновок про «обмежений вплив». Але саме тут і закладається системна помилка.сПрямі наслідки показують, що сталося, але майже нічого не говорять про:

  • вплив на інші процеси;
  • тривалість ефекту;
  • здатність системи витримувати подібні збої в майбутньому.

Без розширення аналізу далі компанія недооцінює ризик не тому, що бракує даних, а тому, що дивиться на нього занадто вузько.

 

  1. Непрямі операційні наслідки: там, де ризик починає «жити»

Якщо прямі наслідки ризику зазвичай видно одразу, то непрямі майже завжди залишаються в тіні. Вони не мають чіткої дати початку, не завжди фіксуються у звітах і рідко потрапляють у профіль ризиків. Але саме вони найчастіше створюють відчуття, що «щось пішло не так», навіть коли формально всі проблеми вже усунуті. У реальному житті непрямі наслідки — це не абстракція. Це щоденна операційна реальність, з якою стикаються підрозділи після будь-якого, навіть відносно невеликого інциденту.

2.1. Коли процес формально відновився, але система — ні

Практичний приклад.
ІТ-збій усунуто за кілька годин. Система знову працює, інцидент закрито, звіт підготовлено. З точки зору прямих наслідків — мінімальний вплив. Але в наступні дні:

  • накопичені заявки обробляються з затримкою;
  • частина операцій виконується вручну;
  • контроль спрощується «тимчасово»;
  • співробітники працюють у режимі постійного поспіху.

Формально процес відновлений. Фактично ж компанія ще тижнями працює в деградованому режимі. Це і є типовий непрямий наслідок ризику — втрата операційної рівноваги, яку важко виміряти, але легко відчути.

2.2. Ручні рішення як прихований наслідок ризику

Одна з найпоширеніших реакцій на інцидент — «обійти проблему руками». У короткостроковій перспективі це виглядає розумно: клієнтів обслуговують, процес не зупиняється, бізнес триває. Але ручні рішення майже завжди мають побічні ефекти.

Практичний приклад.
Після збою в автоматизованому процесі частину перевірок переводять у ручний режим. Це дозволяє швидко «розгребти» чергу. Але:

  • кількість перевірок скорочується;
  • критерії стають менш однорідними;
  • контроль якості слабшає;
  • залежність від конкретних людей різко зростає.

Формально це не новий ризик. Але фактично компанія створює додатковий операційний ризик, який може існувати місяцями і не відображатися в жодному профілі.

2.3. Перевантаження персоналу: наслідок, який ніхто не рахує

Непрямі наслідки ризику майже завжди «осідають» на людях. Саме персонал компенсує збої, затримки і недоліки процесів.

Практичний приклад.
Після серії дрібних операційних інцидентів керівники просять команди «трохи потерпіти». Співробітники залишаються після роботи, працюють без вихідних, беруть на себе додаткові функції. Формально ризик ліквідовано. Насправді ж:

  • зростає втома;
  • падає уважність;
  • кількість помилок поступово збільшується.

Це класичний приклад відкладеного непрямого наслідку: ризик породжує умови для наступного ризику, але цей зв’язок рідко фіксується системно.

2.4. Чому непрямі наслідки майже завжди недооцінюють

Причина проста: їх складно порахувати. Немає однієї цифри, яка показує:

  • втрату концентрації;
  • зниження якості контролю;
  • напруження між підрозділами;
  • втому ключових співробітників.

Але відсутність цифри не означає відсутність впливу. Навпаки — саме такі ефекти часто накопичуються і в певний момент «вистрілюють» у вигляді більш серйозного інциденту.

2.5. Що змінюється, коли компанія починає бачити непрямі наслідки

Компанії, які навчилися фіксувати непрямі операційні наслідки, починають інакше дивитися на ризики. Вони:

  • не закривають інцидент лише тому, що система запрацювала;
  • аналізують, скільки часу процес працював у ручному режимі;
  • звертають увагу на навантаження людей, а не лише на показники.

Саме на цьому рівні аналіз ризику перестає бути формальністю і стає інструментом управління операційною стійкістю.

 

  1. Каскадні наслідки: коли один інцидент запускає ланцюг проблем

Найнебезпечніші наслідки ризику майже ніколи не виникають одразу. Вони не виглядають драматично в моменті і не супроводжуються великими цифрами. Вони починаються тихо — з дрібних збоїв, «тимчасових» рішень і фрази «нічого страшного, розберемося». А потім ризик починає жити власним життям.

3.1. Як це виглядає на практиці

Мабуть, ви самі були свідками ситуацій, коли в одному з процесів виникала затримка — не критична, не масова. Наприклад, кілька справ у врегулюванні «зависли» на кілька днів. Формально — нічого страшного. Фінансових втрат немає, клієнтів небагато, інцидент виглядає локальним.

Але далі події розвиваються майже завжди за одним сценарієм. Клієнти починають частіше телефонувати. Call-центр працює на межі. Співробітники змінюють пріоритети буквально «на ходу». Контрольні процедури виконуються поспіхом, щоб встигнути. У підсумку кількість дрібних помилок повільно, але впевнено зростає. Кожен окремий елемент цієї історії не виглядає катастрофою. Але разом вони створюють нову ситуацію, якої не було на старті. Це і є каскад.

3.2. Коли процеси починають тягнути один одного вниз

У каскадних сценаріях дуже швидко стає видно, як різні процеси перестають узгоджуватися між собою. Так, наприклад, одна компанія під час усунення операційного збою одночасно:

  • намагалася розгрібати накопичені черги;
  • вносила термінові зміни в ІТ-системи;
  • посилювала контроль, щоб «не пропустити ще щось».

Кожен підрозділ діяв логічно у своїй частині. Але загальної картини не було. У результаті:

  • операційні команди працювали з різними версіями даних;
  • рішення ухвалювалися на основі неповної інформації;
  • відповідальність за результат розмивалася;
  • між підрозділами з’являлося напруження, яке раніше не відчувалося.

Формально всі були зайняті корисною справою. Фактично ж компанія почала витрачати дедалі більше ресурсів на координацію, а не на вирішення проблеми.

3.3. Як тимчасові рішення стають постійними

Один із найнебезпечніших моментів у каскадних наслідках — це момент, коли система «звикає» до погіршеного режиму роботи. Напевно, вам знайома ситуація, коли після інциденту частину автоматизованих перевірок переводять у ручний режим. Спочатку — на кілька днів. Потім — «поки не стабілізується». А згодом про це рішення просто перестають згадувати. Процес ніби працює. Але працює вже інакше:

  • повільніше;
  • з більшою залежністю від конкретних людей;
  • з вищим ризиком помилок;
  • з нижчою прозорістю.

Каскад у цьому випадку не закінчується новим інцидентом. Він завершується тим, що гірша версія процесу стає новою нормою.

3.4. Чому про каскадні наслідки не люблять говорити

Каскадні наслідки незручні для аналізу. Їх важко прив’язати до однієї події, ще складніше — до однієї причини. У звіті набагато простіше написати: «інцидент усунено», ніж чесно визнати, що система ще довго працювала в нестабільному режимі.

Крім того, каскади рідко мають одну «винну» сторону. Це завжди результат взаємодії процесів, людей і рішень. А такі речі погано вкладаються в стандартні шаблони.

Саме тому багато компаній стикаються з повторними проблемами і дивуються: «А чому це знову?» — хоча насправді каскад просто не був зупинений вчасно.

3.5. Що змінюється, коли каскади починають помічати

Компанії, які навчилися бачити каскадні наслідки, зазвичай змінюють сам спосіб мислення про ризики. Вони перестають питати лише: «Чи усунули ми інцидент?»
І починають питати:

  • скільки процесів було втягнуто;
  • як довго вони працювали не в штатному режимі;
  • які «тимчасові» рішення досі залишилися;
  • чи не створили ми нові ризики, намагаючись швидко закрити старі.

Саме ці запитання дозволяють зупиняти каскад до того, як він стає фоном повсякденної роботи.

 

  1. Відкладені та репутаційні наслідки: коли ризик повертається пізніше

Є наслідки ризику, які не болять одразу. Вони не заважають закрити інцидент, не псують звіт і не виглядають загрозливо в моменті. Саме тому про них найчастіше забувають. А дарма — бо саме вони мають неприємну звичку повертатися пізніше, коли компанія вже вважає тему закритою. Як правило, це ті наслідки, які не мають чіткої дати початку. Вони накопичуються поступово і довгий час маскуються під «робочі моменти».

4.1. Коли сьогодні все нормально, а завтра — раптом ні

Мабуть, ви бачили ситуації, коли після інциденту компанія щиро вважала, що відбулася «малою кров’ю». Виплати зробили, систему підлатали, клієнтам пояснили. У звіті — зелено. Життя пішло далі.

А через кілька тижнів або місяців починається дивне. Зростає кількість повторних звернень від тих самих клієнтів. Люди стають менш терплячими, навіть якщо формально причин для претензій уже немає. У розмовах з’являється фраза: «У вас знову проблеми?» — навіть коли проблем немає. Це типовий відкладений наслідок. Подія давно минула, але довіра ще не відновилася.

4.2. Репутація псується не скандалами, а дрібницями

Репутаційний вплив ризику рідко виглядає як гучний скандал. Частіше він складається з дрібних, але повторюваних сигналів. Так, наприклад, після серії затримок або плутанини в комунікації:

  • клієнти починають частіше перепитувати;
  • партнери закладають більше часу «про всяк випадок»;
  • контрагенти просять додаткові підтвердження;
  • внутрішні команди очікують проблем і страхуються наперед.

Формально нічого катастрофічного не сталося. Але компанію вже сприймають як менш передбачувану. А це — чиста репутаційна втрата, просто без гучних заголовків.

4.3. Відкладені наслідки всередині компанії

Не менш важливі — внутрішні ефекти. Вони взагалі рідко потрапляють у фокус ризик-менеджменту, хоча саме вони визначають, як компанія переживе наступний інцидент. Після кількох «неприємних, але некритичних» ситуацій:

  • співробітники стають обережнішими, але не в хорошому сенсі;
  • з’являється страх помилитися;
  • рішення починають відкладати;
  • ініціатива зникає.

Люди пам’ятають не сам інцидент, а досвід, який він залишив. І цей досвід впливає на поведінку значно довше, ніж здається.

4.4. Коли регулятор ще мовчить, але напруга вже є

Без акценту на регуляторику, але з практики: відкладені наслідки часто першими проявляються не у формальних вимогах, а в тоні взаємодії. Запити стають детальнішими. Формулювання — обережнішими. Просять пояснити трохи більше, ніж раніше. Нічого критичного, але рівень довіри вже не той. І якщо компанія не усвідомлює, що це теж наслідок ризику, вона продовжує жити так, ніби нічого не сталося — аж поки вимоги раптово не стають жорсткішими.

4.5. Чому відкладені наслідки майже завжди ігнорують

Тому що з ними незручно працювати. Їх не можна:

  • чітко порахувати;
  • прив’язати до конкретної дати;
  • показати одним рядком у таблиці.

Набагато простіше сказати: «Інцидент закрито», ніж визнати: «Нам ще довго доведеться жити з його наслідками». Але саме ця чесність і відрізняє формальний ризик-менеджмент від живого.

4.6. Що роблять компанії, які не хочуть, щоб ризик повертався

Такі компанії після інциденту запитують себе не лише «що ми виправили?», а й:

  • що тепер працює повільніше;
  • де люди стали нервовішими;
  • які питання клієнти ставлять частіше, ніж раніше;
  • що ми почали робити «на всяк випадок».

Ці питання не завжди приємні. Але саме вони дозволяють побачити ризик у довгому хвості, а не лише в моменті.

 

  1. Чому без аналізу наслідків ризик-аналіз завжди буде неповним

Якщо подивитися на багато профілів ризиків збоку, складається враження, що ризик — це щось коротке й локальне. Подія сталася, збиток зафіксували, інцидент закрили. Життя триває. Формально — усе правильно. Але реальне життя компаній виглядає інакше. Ризик майже ніколи не закінчується в той момент, коли його «закрили» у звіті. Він просто переходить в іншу форму — менш помітну, менш формалізовану, але не менш небезпечну.

5.1. У чому головна ілюзія

Найпоширеніша ілюзія — вважати, що наслідки ризику можна описати однією шкалою або однією цифрою. Мовляв:

  • фінансовий вплив — помірний;
  • процес відновлено;
  • скарг небагато.

А тепер чесно: чи означає це, що компанія повернулася в той самий стан, у якому була до інциденту? Зазвичай — ні. Десь процес працює повільніше. Десь контроль став формальнішим. Десь люди перестали довіряти системі й почали «підстраховуватися руками». Ці зміни рідко виглядають драматично, але саме вони поступово з’їдають стійкість.

5.2. Ризик залишає слід — завжди

Кожен ризик, навіть «невеликий», залишає після себе слід. Іноді це:

  • додаткові перевірки;
  • складніші погодження;
  • довші ланцюжки рішень.

Іноді — психологічний ефект:

  • обережність замість впевненості;
  • страх помилитися замість ініціативи;
  • бажання «не висовуватися».

Іноді — зміну сприйняття компанії ззовні: клієнтами, партнерами, контрагентами.

Цей слід не завжди видно одразу. Але він майже завжди впливає на те, як компанія проживе наступний ризик.

5.3. Що відбувається, коли наслідки не аналізують

Компанії, які системно ігнорують непрямі, каскадні та відкладені наслідки, зазвичай стикаються з однією й тією ж проблемою. Вони дивуються повторенню ситуацій. «Ми ж уже це проходили…» «Ми ж зробили висновки…» «Чому знову?» А відповідь зазвичай проста: аналіз закінчився занадто рано. Було проаналізовано подію. Було зафіксовано прямий ефект. А от життя ризику після інциденту залишилося поза увагою.

5.4. Що змінюється, коли наслідки починають бачити повністю

Компанії, які серйозно ставляться до аналізу наслідків, починають інакше дивитися на ризик-менеджмент загалом. Вони:

  • не поспішають закривати інциденти «галочкою»;
  • дивляться, скільки часу система працювала не в штатному режимі;
  • аналізують, які тимчасові рішення стали постійними;
  • звертають увагу на втому людей і напругу між процесами.

І найголовніше — вони починають розуміти, що ризик-менеджмент потрібен не для звітів, а для збереження керованості.

5.5. Місце аналізу наслідків у всьому циклі

Аналіз наслідків — це не «додаток» і не «фінальний абзац» до аналізу ризику. Це його повноцінна частина. Саме тут стає зрозуміло:

  • наскільки глибоким є вплив ризику;
  • як довго компанія відновлюється;
  • чи справді система є стійкою, а не просто живучою.

Без цього будь-яка подальша робота — з пріоритезацією, лімітами, апетитом до ризику — спиратиметься на спрощену картину реальності.

 

Заключення

У цьому циклі ми залишалися в межах аналізу ризику — розбиралися, чому ризики виникають, як вони змінюють свою поведінку, коли про них варто бити на сполох і як вони насправді впливають на операційну реальність компанії. Але на цьому робота з ризиком не завершується.

Наступний логічний крок — оцінка ризиків: порівняння, пріоритезація, рішення про те, з чим жити, що обмежувати, а що змінювати. І без глибокого аналізу — причин, драйверів, тригерів і наслідків — цей етап неминуче перетворюється на формальність.

Саме тому наступний цикл буде присвячений тому, як на основі реального аналізу приймати реальні управлінські рішення, а не просто розставляти кольори в матриці.

 

 

Сергій БАБИЧ

Контакти

  • info@ukrarm.org
Linkedin Facebook