Два завдання сучасного ризик-менеджменту: чи не про те ми сперечалися всі ці роки?

Останніми роками професійна спільнота дедалі активніше обговорює майбутнє ризик-менеджменту. Одні говорять про необхідність ширшого використання кількісних методів аналізу ризиків, інші — про розвиток сценарного мислення, треті — про штучний інтелект, цифрову трансформацію або операційну стійкість. На цьому тлі не вщухає ще одна дискусія — чи повинна функція управління ризиками насамперед контролювати ризики, чи її головним завданням є підтримка процесу прийняття управлінських рішень.

Цікаво, що більшість цих дискусій зосереджується навколо інструментів. Ми порівнюємо теплові карти з Monte Carlo, якісні методи — з кількісними, сперечаємося про ефективність Risk Appetite, Key Risk Indicators або Bayesian Analysis. Водночас набагато рідше звучить інше, значно важливіше запитання: яке завдання взагалі повинен виконувати сучасний ризик-менеджмент?

Поштовхом до цих моїх роздумів стала недавня публікація професора Stefan Hunziker, у якій він запропонував, на перший погляд, дуже просту тезу: ризик-менеджмент має два різних завдання, але більшість існуючих систем побудовані лише для одного з них. Ця думка видається настільки очевидною, що спочатку навіть важко зрозуміти її значення. Проте якщо уважніше придивитися до сучасної практики управління ризиками, стає зрозуміло: можливо, нерозуміння цієї різниці багато років залишається причиною професійних суперечок щодо ролі ризик-менеджменту в організації.

На мою думку, ця ідея заслуговує значно ширшого обговорення, ніж дозволяє формат публікації в LinkedIn. Більше того, вона цікава не лише сама по собі. Останнім часом схожі думки дедалі частіше звучать у роботах провідних міжнародних експертів. Одні говорять про інтелектуальне управління ризиками (Risk Intelligence), інші — про якість управлінських рішень (Decision Quality), треті — про операційну стійкість (Operational Resilience) або ризик-орієнтоване прийняття рішень (Risk-Based Decision Making). Використовується різна термінологія, але загальний напрям розвитку професії виглядає напрочуд схожим, тому варто спробувати подивитися на проблему ширше — не як на окрему думку одного автора, а як на прояв більш глибоких змін у сучасному ризик-менеджменті.

 

Чи існує у ризик-менеджменту одне завдання?

Традиційно ризик-менеджмент сприймається як система, призначена для виявлення, оцінки, моніторингу та контролю ризиків, і так його описує більшість міжнародних стандартів, внутрішніх політик компаній і регуляторних документів. У практичній діяльності це означає побудову реєстрів ризиків, визначення їх власників, оцінку ймовірності та наслідків, встановлення лімітів, контрольних процедур, ключових індикаторів ризику та регулярне звітування керівництву.

Такий підхід безумовно залишається необхідним. Без нього неможливо оцінити фінансову стійкість організації, визначити достатність капіталу, контролювати концентрацію ризиків або оцінити потенційний вплив несприятливих подій. Для банків, страхових компаній та інших фінансових установ ці питання є основою системи управління ризиками і безпосередньо пов’язані з вимогами регуляторів.

Проте виникає запитання: чи вичерпується роль ризик-менеджменту лише цими функціями? Якщо уважно подивитися на сучасну практику роботи керівників компаній, стає очевидно, що значна частина їхніх рішень приймається не щодо вже існуючих ризиків, а щодо майбутнього розвитку бізнесу. Вихід на новий ринок, запуск нового продукту, масштабна ІТ-трансформація, придбання іншої компанії, зміна бізнес-моделі або стратегічних пріоритетів — усі ці рішення приймаються в умовах невизначеності. Вони ще не породили конкретних ризиків у традиційному розумінні, але вже потребують якісного аналізу можливих сценаріїв.

На цю відмінність звертає увагу професор Стефан Хунцікер. На його думку, сучасний ризик-менеджмент виконує два різні завдання. Перше — забезпечити фінансову стійкість організації, тобто відповісти на запитання, чи здатна компанія витримати сукупний вплив реалізації ризиків без втрати своєї платоспроможності або життєздатності. Друге — допомогти керівництву приймати якісні стратегічні рішення в умовах невизначеності, роблячи явними ключові припущення, можливі альтернативи, компроміси та сигнали, які свідчитимуть про необхідність перегляду обраного рішення.

На перший погляд ці два завдання дуже схожі. В обох випадках використовується аналіз ризиків, сценарне моделювання, професійне судження, а іноді й однакові кількісні методи. Проте їхня логіка принципово різна. В одному випадку ризик-менеджмент оцінює здатність організації витримати негативні події. В іншому — допомагає обрати найкраще рішення ще до того, як ці ризики матеріалізуються. І якщо погодитися з таким підходом, стає зрозуміло, чому суперечки про переваги якісних або кількісних методів нерідко виявляються безпредметними. Ми починаємо обговорювати інструменти, не визначившись, для вирішення якого завдання вони взагалі використовуються.

 

Перше завдання — забезпечити фінансову стійкість організації

Якщо уважно подивитися на історію розвитку ризик-менеджменту, то можна побачити, що більшість його інструментів створювалися для вирішення цього завдання. Йдеться про оцінку того, чи здатна організація витримати негативний вплив несприятливих подій, не втративши платоспроможності, фінансової стабільності або можливості продовжувати діяльність.

Звідси походять такі поняття, як достатність капіталу, схильність до ризику (Risk Appetite), межі толерантності до ризику, концентрація ризиків, сукупний ризик, стрес-тестування (Stress Testing), сценарний аналіз (Scenario Analysis), моделювання можливих втрат та оцінка ризикоутримуючої здатності організації (Risk-Bearing Capacity). Незважаючи на різноманітність методик, усі вони мають спільну мету — відповісти на одне запитання: чи вистачить організації ресурсів, щоб пережити реалізацію ризиків?

Особливо добре ця логіка простежується у фінансовому секторі. Банки, страхові компанії та інші фінансові установи працюють із ризиками, які можуть безпосередньо впливати на їхню платоспроможність, і тому регулятори приділяють таку увагу достатності капіталу, якості активів, ліквідності, диверсифікації ризиків та здатності установи витримувати несприятливі сценарії розвитку подій. У цьому контексті ризик-менеджмент виконує насамперед захисну функцію — допомагає зберегти фінансову стійкість організації.

Для виконання цього завдання кількісні методи аналізу ризиків мають вирішальне значення. Неможливо оцінити сукупний вплив ризиків, не використовуючи математичні моделі, статистичний аналіз або сценарні розрахунки. Тому дискусії щодо доцільності кількісної оцінки ризиків у цій сфері, на мою думку, практично не мають сенсу. Якщо метою є оцінка фінансової стійкості, без кількісного аналізу обійтися неможливо.

Разом із тим важливо розуміти, що навіть найдосконаліші моделі не є самоціллю. Вони потрібні не для того, щоб отримати максимально точну цифру, а для того, щоб допомогти керівництву зрозуміти межі фінансових можливостей організації. Іншими словами, у центрі уваги перебуває не окремий ризик, а здатність компанії витримати їх сукупний вплив.

На цьому, власне, і побудована переважна більшість сучасних стандартів, регуляторних вимог та методологій управління ризиками. Якщо говорити мовою професора Стефана Хунцікера, це і є перше завдання ризик-менеджменту. Воно залишається надзвичайно важливим і навряд чи втратить свою актуальність у майбутньому.

Однак виникає закономірне запитання. Чи достатньо цього для сучасної організації? Чи може система управління ризиками, яка бездоганно оцінює фінансову стійкість компанії, одночасно допомагати керівництву приймати стратегічні рішення щодо розвитку бізнесу, запуску нових продуктів, виходу на інші ринки або масштабної цифрової трансформації?

Тут, на мою думку, починається друге завдання ризик-менеджменту. І його логіка суттєво відрізняється від тієї, до якої ми звикли.

 

Друге завдання — допомогти керівництву приймати кращі рішення

Якщо перше завдання ризик-менеджменту можна умовно назвати захисним, то друге має зовсім іншу природу. Його метою є не оцінка того, чи витримає компанія можливі втрати, а допомога керівництву обрати найкращий варіант дій у ситуації, коли майбутнє ще не визначене.

Під час прийняття стратегічних рішень керівництво рідко запитує: «Яка ймовірність цього ризику?». Набагато частіше виникають інші питання. Чи варто виходити на новий ринок? Чи готова компанія інвестувати в нову інформаційну систему? Чи доцільно запускати новий страховий продукт? Чи виправданим буде придбання іншої компанії? У кожному з цих випадків ризики, безумовно, існують, але вони є лише одним із чинників, які необхідно враховувати.

У такій ситуації змінюється і роль ризик-менеджера. Його завдання полягає вже не у складанні реєстру ризиків або побудові чергової теплової карти. Значно важливіше допомогти керівництву зрозуміти, на яких припущеннях ґрунтується майбутнє рішення, які фактори можуть змінити його результат, які сценарії розвитку подій є найбільш реалістичними, які сигнали свідчитимуть про необхідність перегляду обраного курсу і в який момент таке рішення слід переоцінити.

Звернімо увагу на одну важливу деталь. У цьому випадку ризик-менеджмент не підміняє собою стратегічне управління. Він не приймає рішення замість керівництва і не визначає, який варіант розвитку є правильним. Його роль значно практичніша — зробити процес прийняття рішення більш усвідомленим. Іншими словами, не відповісти на запитання «що робити», а допомогти відповісти на запитання «що необхідно врахувати перед тим, як діяти».

Через це змінюються і вимоги до інструментів. Кількісний аналіз не втрачає свого значення, але перестає бути головною метою. Якщо під час оцінки фінансової стійкості математична модель дозволяє визначити можливий розмір втрат, то під час стратегічного аналізу вона допомагає зрозуміти чутливість рішення до зміни ключових припущень, порівняти альтернативні сценарії або оцінити наслідки різних варіантів розвитку подій. Центр уваги зміщується від точності розрахунків до якості управлінського діалогу.

Професор Стефан Хунцікер звертає увагу на цікаву закономірність. Багато організацій намагаються застосувати однакові підходи до обох завдань. Одні обмежуються реєстрами ризиків, щорічними рейтингами та тепловими картами навіть тоді, коли потрібно допомогти керівництву прийняти стратегічне рішення. Інші, навпаки, прагнуть кількісно описати кожну невизначеність, використовуючи складні математичні моделі там, де набагато важливішими є професійне судження, обговорення альтернатив і перевірка припущень. У результаті виникає парадоксальна ситуація: аналіз стає дедалі складнішим, але якість управлінських рішень від цього майже не покращується.

На мою думку, ця теза заслуговує особливої уваги. Протягом багатьох років ми сперечалися про переваги якісних і кількісних методів, теплових карт і математичного моделювання, хоча проблема, можливо, полягала зовсім в іншому. Ми намагалися знайти універсальний інструмент для виконання двох різних завдань. І поки триває пошук «ідеальної» методики, увага поступово зміщується від головного — підтримки якісних управлінських рішень — до вдосконалення окремих інструментів аналізу.

 

Чому у ризик-менеджменту з’явилося друге завдання?

Було б помилкою вважати, що друге завдання ризик-менеджменту виникло тому, що професія змінила свої погляди або з’явилася нова методологія. Значно ймовірніше інше пояснення. За останні двадцять-тридцять років кардинально змінилося середовище, у якому працюють сучасні організації.

У другій половині XX століття більшість ризиків були відносно добре зрозумілими. Компанії накопичували статистику, аналізували історичні збитки, оцінювали ймовірності та будували фінансові моделі. Головним завданням було захистити вже створений бізнес від можливих втрат. У такому світі логічно сформувалася система управління ризиками, орієнтована насамперед на контроль, вимірювання та забезпечення фінансової стійкості.

Сьогодні ситуація виглядає інакше. Компанії дедалі частіше стикаються з ризиками, для яких історичний досвід або відсутній, або швидко втрачає актуальність. Штучний інтелект, цифрова трансформація, кіберзагрози, геополітичні зміни, нові регуляторні вимоги, зміна поведінки споживачів — усе це формує середовище, у якому минуле вже не завжди є надійним орієнтиром для майбутнього.

За таких умов керівництво потребує від ризик-менеджменту не лише відповіді на запитання «Яких збитків ми можемо зазнати?», а й допомоги у виборі напряму розвитку. Перед запуском нового продукту, придбанням компанії, масштабною ІТ-модернізацією чи виходом на новий ринок набагато важливішими стають інші питання. Які припущення лежать в основі нашого рішення? Наскільки вони обґрунтовані? Які сценарії розвитку подій є найбільш імовірними? Які сигнали покажуть, що обране рішення потребує перегляду?

На мою думку, ці зміни й пояснюють, чому сьогодні дедалі більше міжнародних експертів говорять про ризик-менеджмент як про функцію підтримки прийняття рішень. Йдеться не про відмову від традиційних інструментів і не про появу нової професії. Змінився запит бізнесу. Разом із ним почала змінюватися і роль ризик-менеджера.

 

Одна професія — дві різні логіки

Якщо погодитися з тим, що ризик-менеджмент виконує два різні завдання, виникає закономірне запитання: чому протягом багатьох років вони розглядалися як єдина система?

Причина, ймовірно, полягає в історії розвитку професії. Ризик-менеджмент формувався у той період, коли головною проблемою великих компаній було забезпечення фінансової стійкості. Банки, страхові компанії, промислові корпорації потребували інструментів, які дозволяли оцінити можливі втрати, визначити потребу в капіталі та контролювати рівень ризику. Ця логіка залишається актуальною і сьогодні. Без неї неможливо забезпечити платоспроможність, виконати регуляторні вимоги або підтримувати фінансову стабільність організації.

Однак за останні два десятиліття суттєво змінилося бізнес-середовище. Цифрова трансформація, стрімкий розвиток технологій, кіберзагрози, геополітична нестабільність, поява штучного інтелекту, нові бізнес-моделі — усе це призвело до того, що дедалі більше управлінських рішень доводиться приймати в умовах, коли історичних даних недостатньо або вони взагалі відсутні. У таких ситуаціях вже недостатньо відповісти на запитання: «Яких втрат ми можемо зазнати?» Значно важливішим стає інше: «Яке рішення буде найкращим за наявної інформації і як ми зрозуміємо, що його необхідно переглянути?»

У результаті одна професія почала обслуговувати дві різні управлінські потреби. Перша потребує точних розрахунків, агрегування ризиків, моделювання та оцінки капіталу. Друга — аналізу припущень, роботи зі сценаріями, розуміння причинно-наслідкових зв’язків, оцінки альтернатив і підтримки управлінського діалогу. Обидва напрями використовують інструменти ризик-менеджменту, але кінцева мета у них різна.

На мій погляд, нерозуміння цієї різниці багато років породжувало суперечки про те, яким повинен бути сучасний ризик-менеджмент. Одні вимагали більшої математичної точності, інші наполягали на розвитку якісного аналізу. Одні вважали теплові карти застарілим інструментом, інші продовжували будувати навколо них усю систему управління ризиками. При цьому обидві сторони часто мали рацію, але говорили про різні завдання.

Цікаво, що аналогічна тенденція простежується і в сучасній професійній літературі. Останнім часом дедалі більше авторів, хоча й використовують різну термінологію, поступово зміщують акцент від оцінки ризиків до підтримки управлінських рішень. Одні пишуть про інтелектуальне управління ризиками (Risk Intelligence), інші — про якість управлінських рішень (Decision Quality), треті — про ризик-орієнтоване прийняття рішень (Risk-Based Decision Making). Різняться назви, приклади та методології, але загальна тенденція виглядає досить очевидною: професія поступово виходить за межі традиційної контрольної функції.

Для українських компаній цей висновок має практичне значення. Побудувати якісну систему управління ризиками сьогодні означає не лише навчитися правильно оцінювати ризики, а й створити середовище, у якому результати такого аналізу реально впливають на стратегічні та операційні рішення. Якщо цього не відбувається, навіть найдосконаліші методики залишаються лише елементом звітності.

 

Чи потрібні дві системи ризик-менеджменту?

Після всього сказаного може виникнути хибне враження, що організації повинні будувати дві незалежні системи управління ризиками — одну для забезпечення фінансової стійкості, іншу для підтримки стратегічних рішень. На мою думку, це було б помилкою.

Йдеться не про дві системи, а про дві функції однієї системи. Вони використовують спільні джерела інформації, однакові принципи корпоративного управління, спираються на єдину культуру управління ризиками та працюють у межах однієї організаційної моделі. Водночас їхні цілі, підходи та критерії ефективності суттєво відрізняються.

Коли компанія оцінює достатність капіталу або аналізує свою здатність витримати несприятливі сценарії розвитку подій, головною є відповідь на запитання: чи збережеться фінансова стійкість? Коли ж керівництво розглядає запуск нового продукту, масштабний ІТ-проєкт або вихід на новий ринок, головним стає інше запитання: чи є наше рішення достатньо обґрунтованим з огляду на невизначеність, яку ми бачимо сьогодні?

Різниця може здатися незначною, але на практиці вона визначає вибір інструментів, формат взаємодії з керівництвом і навіть роль ризик-менеджера. В одному випадку він виступає експертом з оцінки ризиків і фінансової стійкості. В іншому — учасником управлінської дискусії, який допомагає структурувати невизначеність, перевірити припущення, оцінити альтернативи та підготувати інформацію, необхідну для прийняття рішення.

Можливо,  тому останніми роками дедалі частіше з’являються публікації, присвячені не окремим методам аналізу ризиків, а якості управлінських рішень, операційній стійкості, стратегічній адаптивності або інтелектуальному управлінню ризиками. Вони не заперечують традиційний ризик-менеджмент. Навпаки, вони розширюють його межі, показуючи, що професія поступово виходить за рамки контрольної функції і дедалі більше інтегрується в процес управління бізнесом.

На мою думку, в цьому полягає головна цінність ідеї, запропонованої професором Стефаном Хунцікером. Вона не пропонує нову методологію і не закликає відмовитися від існуючих стандартів. Вона допомагає інакше подивитися на призначення ризик-менеджменту. І якщо погодитися з таким підходом, багато професійних дискусій останніх років починають виглядати зовсім по-іншому. Ми сперечалися про переваги окремих інструментів, хоча набагато важливішим було інше питання — для вирішення якого завдання вони використовуються.

 

Висновки

Професія ризик-менеджера переживає період глибоких змін. Зростає роль штучного інтелекту, посилюється геополітична невизначеність, ускладнюються бізнес-моделі, з’являються нові технологічні та кібернетичні ризики. У цих умовах керівництву потрібна не лише інформація про можливі втрати, а й підтримка під час вибору напрямів розвитку компанії.

Це не означає, що класичний ризик-менеджмент втрачає актуальність. Забезпечення фінансової стійкості, оцінка капіталу, контроль концентрації ризиків і виконання регуляторних вимог залишаються його фундаментом. Проте дедалі очевидніше, що цього вже недостатньо.

Сучасний ризик-менеджмент дедалі більше стає інструментом підготовки якісних управлінських рішень. Його завдання полягає не лише у виявленні ризиків, а й у тому, щоб допомогти керівництву зрозуміти невизначеність, побачити альтернативи, перевірити ключові припущення і вчасно помітити сигнали, які потребуватимуть перегляду обраного курсу.

Можливо, в цьому і полягає головний напрям розвитку професії на найближчі роки. Не у створенні нових моделей чи складніших математичних алгоритмів, а у здатності поєднати дві логіки ризик-менеджменту — захист фінансової стійкості та підтримку прийняття управлінських рішень. Якщо це вдасться, дискусія про те, яким повинен бути сучасний ризик-менеджмент, поступово перейде з площини інструментів у площину його реального призначення.

 

 

Сергій БАБИЧ