У багатьох компаніях аналіз ризиків сприймають як механічну вправу: поставити бал за ймовірність, поставити бал за наслідки, перемножити — і вважати, що роботу виконано. Саме з розбору цієї помилки ми й розпочинаємо цикл статей, присвячений аналізу ризиків (risk analysis) — етапу, який у практиці ризик-менеджменту найчастіше або недооцінюють, або формально підміняють оцінюванням. У наступних публікаціях цього циклу ми послідовно розберемо ключові виміри аналізу ризику: від причин і драйверів до наслідків, контролів, невизначеності та методів аналізу, і покажемо, чому саме на цьому етапі найчастіше закладаються управлінські помилки, які потім вже неможливо виправити жодними лімітами чи матрицями.

Парадокс у тому, що саме такий «спрощений» підхід і є ключовою причиною того, що система управління ризиками не працює. Модель виглядає строгою й логічною, але за нею часто стоїть відсутність справжнього аналізу: ніхто не зʼясовує, чому ризик виникає, що його посилює, які чинники можуть змінити його поведінку, як працюють контролі та наскільки надійними є вихідні дані.

ISO 31000 дуже чітко розмежовує два етапи — analysis та evaluation. Перший — це дослідження ризику, другий — прийняття рішення про те, чи прийнятний він. У реальному житті ці дві дії часто змішуються в одне, і саме це стає проблемою. Компанія намагається оцінити те, чого вона фактично не проаналізувала.

Практика показує, що ігнорування цього розмежування має не теоретичні, а цілком реальні наслідки. Один із найвідоміших прикладів — кейс Wirecard. До моменту колапсу компанія формально проходила процедури оцінювання ризиків, але аналіз (analysis) був поверхневим: не досліджувалася надійність джерел даних, не аналізувалася логіка підтвердження грошових залишків, не ставилося питання, що саме може піти не так у механізмі контролю. У результаті оцінювання існувало без аналізу, а ризик — без реального розуміння його природи.

Регуляторна рамка в Україні — вимоги НБУ до системи управління ризиками — також виходить із тієї ж логіки: рішення має прийматися на основі зрозумілої інформації про ризик, його природу, фактори впливу, можливі наслідки і достатність контролів. Цей підхід зафіксований як у вимогах до системи управління (логіка Постанови №194), так і у спеціальних вимогах до процесів, де потрібен окремий ґрунтовний аналіз ризиків (Постанова №185 щодо управління активами). Обидва документи очікують не формальної оцінки, а саме аналітичного розуміння ризику.

Тому важливо почати з головного: аналіз ризику — це не бал у матриці, а спосіб зрозуміти, що саме може піти не так і чому. І вже потім — що з цим робити.

Що таке аналіз ризиків і чим він відрізняється від оцінювання

Аналіз ризику — це етап, на якому компанія розбирає ризик «по частинах». Не оцінює його прийнятність, не визначає ліміти, не ухвалює рішення. А лише з’ясовує природу ризику. Це фундаментальний момент, який у корпоративній практиці часто спотворюється.

Аналіз — це про “зрозуміти”, оцінювання — про “вирішити”.

ISO 31000 визначає аналіз як процес, який включає:

• дослідження причин ризику та умов, за яких він може реалізуватися;
• визначення факторів, що впливають на ймовірність та наслідки;
• дослідження існуючих контролів та їхнього впливу на рівень ризику;
• аналіз невизначеності та достовірності даних.

Натомість evaluation — це інша дія: співставлення рівня ризику з критеріями, визначеними компанією (Risk Appetite, толерантності, лімітів), і прийняття рішення — приймаємо, посилюємо контролі чи передаємо ризик.

Чому компанії змішують ці етапи?

Є три типові причини:

1. Формальний підхід до ризик-менеджменту.
   Якщо головна мета — заповнити матрицю, тоді немає сенсу витрачати час на справжній аналіз.
2. Невміння відокремити розуміння ризику від оцінки його прийнятності.
   Команди одразу намагаються проставити “Low–Medium–High”, не розуміючи, що бал не скаже чому ризик саме такий.
3. Перекладання процесу на одне джерело інформації.
   Наприклад, операційний підрозділ дає свою «думку», і це сприймається як аналіз, хоча без аналізу причин, наслідків та контролів це лише інтуїція.

Чому правильний аналіз критично важливий?

Тому що без нього компанія:

• завжди недооцінює складні ризики;
• часто переоцінює прості ризики;
• не бачить залежностей між драйверами ризику;
• приймає рішення, які ґрунтуються на помилкових припущеннях;
• вибирає неправильні методи управління ризиком.

Регулятор теж дивиться саме на це: чи ґрунтуються управлінські рішення на реальному розумінні ризику? Якщо ні — з погляду НБУ це означає, що система управління ризиками фактично не функціонує, навіть якщо на папері все виглядає охайно.

Типові помилки компаній на цьому етапі

1. Пропуск аналізу та миттєве проставлення балів.
2. Фокус на наслідках без аналізу причин.
3. Аналіз контролів без розуміння, від яких саме факторів вони мають захищати.
4. Спроба оцінити ризик за “статичними” параметрами, коли впливові фактори є динамічними.
5. Ігнорування невизначеності: дані слабкі, але бал виставляємо впевнено.

Ці помилки не дрібниці. Вони визначають, чи ризик-менеджмент у компанії буде реальним, чи декоративним.

Чому аналіз  — це основа для прийняття рішень

Управлінські рішення не можуть бути якісними, якщо вони ґрунтуються лише на інтуїтивному уявленні про ризики або на надто спрощених оцінках. Саме тому аналіз ( — це не технічний крок, а наріжний камінь усієї системи ризик-менеджменту. Він відповідає на питання, без яких неможливо ухвалити жодне обґрунтоване рішення:

• що є природою цього ризику?
• чому він виникає саме зараз або саме в таких умовах?
• які фактори підсилюють чи послаблюють його дія?
• як саме існуючі контролі змінюють картину?
• наскільки можна довіряти вихідним даним?

Саме ці відповіді визначають, чи ризик буде прийнятий, зменшений, переданий або потребуватиме більш гнучкого моніторингу.

Аналіз  змінює спосіб мислення керівництва

Аналіз  змінює спосіб мислення керівництва. Показовим прикладом є ситуація з Credit Suisse напередодні кризи 2023 року. Ключові ризики — контрагентські, концентраційні, репутаційні — були ідентифіковані, але аналіз залишався статичним і не враховував ключові драйвери ризику — зростання експозицій, концентрацію портфеля, ослаблення контролю з боку другої лінії. У результаті управлінські рішення приймалися на основі «вчорашньої картини ризику», яка вже не відповідала реальності.

У практиці багатьох компаній рішення щодо ризиків приймаються на рівні «так/ні» або «зробити/не зробити». Але коли у керівництва з’являється глибокий аналіз, структура ухвалення рішень змінюється.

Наприклад:

• Компанія планує запустити новий продукт. Без аналізу ризиків рішення буде базуватися на прогнозі продажів і інтуїції. З аналізом керівництво бачить взаємозв’язки: вимоги регулятора, рівень операційної складності, ризики ІТ-інтеграції, поведінку клієнтів, потенційні затримки, вплив на ліквідність та капітал.
• Під час інвестиційного рішення аналіз допомагає виявити, що емітент має високу концентрацію ризиків у певній галузі, або що доступні фінансові дані є недостатніми для формування впевненого висновку. Таке розуміння може змінити рішення навіть тоді, коли на перший погляд актив виглядає привабливо.

Аналіз і внутрішній контроль

Система внутрішнього контролю також починається не з оцінки, а з аналізу:
що саме потрібно контролювати і чому. Не можна побудувати контроль, не зрозумівши логіку ризику. Саме тому вимоги НБУ наполягають на тому, що контролі повинні виходити зі змісту ризику, а не бути відірваними «універсальними» механізмами.

Приклад:
Дві компанії мають однаковий ризик: саботаж або помилка в ІТ-налаштуваннях. Але без аналізу вони оберуть різні ймовірності та наслідки, не усвідомлюючи різницю:

• перша компанія має централізовану ІТ-архітектуру та сильні контролі доступу;
• друга — розрізнену інфраструктуру, legacy-системи та залежність від одного ключового працівника.

Хоча ризик з назви один і той самий, його природа відрізняється, і, відповідно, відрізнятимуться рішення. Це і є суть аналізу: бачити реальність, а не назву ризику.

Роль аналізу в управлінні ризиками

Аналіз — це етап, який визначає якість усієї системи ризик-менеджменту. Якщо на цьому кроці компанія працює поверхнево, похибки неминуче передаються далі:

• на етап оцінки (evaluation) виникне хибне уявлення про прийнятність ризику;
• на етап реагування (treatment) компанія обере неправильні або неефективні заходи;
• на етапі моніторингу показники будуть сигналізувати не те, що реально відбувається.

Регулятор у своїх вимогах наголошує, що всі подальші управлінські дії мають спиратися саме на аналіз ризику — логіку його виникнення, характер впливу, взаємозв’язки з іншими ризиками і роль контролів. Без цього навіть добре прописана політика чи профіль ризиків існують лише «на папері».

Аналіз — це спосіб зменшити невизначеність

Використовуючи терміни ISO, аналіз дає компанії змогу перейти від:

• невідомого до відомого,
• припущень до фактів,
• інтуїції до структурованої інформації,
• хаосу до зрозумілої моделі поведінки ризику.

Це не означає, що компанія може зняти невизначеність повністю. Але аналіз дозволяє зрозуміти, яку частину невизначеності можна зменшити, а яку необхідно враховувати під час прийняття рішення.

Без аналізу рішення приймаються наосліп.

Коли компанія одразу ставить оцінку (evaluation), минаючи аналіз, вона фактично приймає рішення, не маючи інформації про глибинні фактори ризику. З погляду сучасного ризик-менеджменту — це одна з найтиповіших причин серйозних прорахунків.

Чому компанії продовжують недооцінювати цей етап

Навіть ті, хто добре знайомий із регуляторними вимогами, часто роблять мінімальний аналіз. Причини дуже практичні:

1) Брак часу

Аналіз вимагає інтерв’ю, збору даних, уточнення деталей, аналізу драйверів ризику та контролів. У багатьох компаніях цей час вважається «непотрібною розкішшю».

2) Ілюзія простоти

Якщо ризик формулюється просто («ризик ІТ-збоїв», «ризик кадрових втрат»), то здається, що аналіз теж має бути простим. Але назва ризику — це лише верхівка айсберга.

3) Відсутність компетенцій

Аналіз причин (causal analysis), аналіз тригерів, виявлення драйверів ризику — це навички, яким треба вчитися.

4) Спокуса швидких відповідей

Матриця ризиків дає ілюзію завершеності процесу. Але матриця — це лише візуалізація, не аналіз.

Типові помилки в аналізі та як їх уникнути

Однією з головних причин слабкого ризик-менеджменту є те, що компанії або пропускають аналіз, або виконують його надто поверхнево. Більшість промахів не є наслідком відсутності методології — вони виникають через неправильні управлінські звички. Нижче — найпоширеніші помилки та способи їх усунення.

Перша помилка — плутати аналіз (analysis) з оцінкою (evaluation).
Компанії часто одразу виставляють бали, не з’ясувавши структуру ризику. У такій ситуації матриця перетворюється на формальність, а оцінки — на суб’єктивні судження. Уникнути цього можна, лише розділивши процеси: спочатку аналіз логіки ризику, потім прийняття рішення.

Друга помилка — аналізувати ризик у відриві від причин.
Коли аналіз зводиться до опису «що може статися», без відповіді на питання «чому», компанія не бачить точок впливу. Аналіз причин (causal analysis) — це те, що дозволяє переходити від поверхневих припущень до реального розуміння структури ризику.

Класичний приклад такого підходу — історія з Boeing 737 MAX. Після двох катастроф первинні пояснення зосереджувалися на діях пілотів, тоді як реальні причини лежали значно глибше: у логіці проєктування системи MCAS, організаційних компромісах і культурі прийняття інженерних рішень. Ризик аналізувався на рівні події, а не причин, що зробило систему контролів неадекватною реальній природі ризику.

Третя помилка — ігнорувати тригери та драйвери ризику.
Багато ризиків змінюють інтенсивність під впливом зовнішніх або внутрішніх факторів: поведінка клієнтів, якість даних, операційні навантаження, кадрові зміни, технологічні залежності. Компанії часто не відстежують ці динамічні чинники, хоча саме вони дозволяють передбачати появу ризику або його ескалацію. Аналіз драйверів і тригерів має бути обов’язковою частиною процесу.

Четверта помилка — поверхневий аналіз існуючих контролів.
Компанії часто вважають, що наявність контролю автоматично означає його ефективність. Проте для аналізу важливо розуміти не факт існування, а силу впливу контролю: чи він своєчасний, чи покриває всі сценарії, чи працює стабільно. Вимоги НБУ також наголошують, що контролі мають відповідати природі ризику, а не бути декоративними.

Регуляторна практика показує, що це хибне припущення. У межах дослідження FCA щодо ціноутворення в загальному страхуванні було встановлено, що компанії мали формалізовані контролі, комітети й політики, але не аналізували, від яких саме факторів ці контролі мають захищати. Ризик “несправедливе ціноутворення” (unfair pricing) формально оцінювався, але не аналізувався з погляду причин і поведінки, що зробило систему контролю формальною, але неефективною.

П’ята помилка — надмірна впевненість у даних.
Часто компанії виставляють оцінки, не замислюючись, що дані, на яких вони ґрунтуються, можуть бути неповними або ненадійними. Аналіз невизначеності — це не академічна вправа, а практична вимога: якщо ми не знаємо, наскільки точні дані, ми не можемо бути впевнені у висновках. Це особливо важливо в контексті вимог НБУ щодо якості інформації під час аналізу ризиків активів.

Шоста помилка — застосовувати однаковий метод аналізу для всіх ризиків.
Деякі ризики можна аналізувати якісно, інші потребують кількісного підходу або моделювання. Проблема виникає тоді, коли компанія намагається «спростити» процес і застосувати єдиний метод для всього. Правильний вибір методу завжди залежить від доступності даних, природи ризику, складності системи та управлінських потреб.

Як побудувати правильний аналіз ризиків

Щоби уникнути цих помилок, компанії мають забезпечити структурований і послідовний процес аналізу. Він може виглядати так:

1. Чітко сформулювати ризик і його межі.
   Що входить у ризик, що не входить, де його корінь, у якому процесі він виникає.
2. Проаналізувати причини та умови появи ризику.
   Хто або що запускає ризик, які внутрішні фактори його підсилюють.
3. Виявити драйвери та тригери.
   Що змінює ймовірність, а що може слугувати раннім сигналом.
4. Проаналізувати спектр можливих наслідків.
   Прямі, непрямі, відкладені у часі, second-order effects.
5. Оцінити існуючі контролі.
   Не просто перелічити, а визначити їхню реальну силу впливу.
6. Визначити рівень невизначеності та якість даних.
   Яку частину інформації ми знаємо точно, а де залежимо від припущень.
7. Лише після цього переходити до оцінки (evaluation).
   На основі аналізу, а не навпаки.

Висновок

Аналіз — це ключовий етап, який визначає ефективність усієї системи управління ризиками. Він не є бюрократичною процедурою і не обмежується виставленням балів у матриці. Це інтелектуальна робота, яка дозволяє керівництву розуміти природу ризиків, їхню поведінку, фактори впливу та потенційні наслідки.

Регуляторні вимоги — як загальні вимоги НБУ до системи управління, так і спеціальні вимоги до процесів, де аналіз ризиків є передумовою ухвалення рішень — також спираються саме на логіку аналізу, а не на формальні оцінки. Коли компанія справді проводить аналіз, вона зменшує невизначеність, підвищує якість управлінських рішень і будує систему, яка працює не на папері, а в реальності. Саме тому аналіз — це не етап «перед оцінкою», а фундамент, на якому стоїть уся система ризик-менеджменту.

               Після того як ми зрозуміли, чому аналіз (analysis) є фундаментальним етапом і чому він визначає якість усієї системи управління ризиками, логічним наступним кроком стає питання: з чого почати сам аналіз і що саме аналізувати? Будь-який ризик має свою внутрішню логіку, свій «механізм дії», який запускається не випадково, а під впливом конкретних причин, умов, драйверів та тригерів. Якщо компанія не бачить цих механізмів, вона не зможе зрозуміти, як ризик поводиться, коли він посилюється, які сигнали попереджають про його наближення та де розташовані точки впливу. Саме тому наступна стаття присвячена першому й найважливішому виміру аналізу ризику — аналізу причин (causal analysis), драйверів (risk drivers) та тригерів (triggers), без яких жодна модель ризику не працює, а жодне управлінське рішення не може бути повноцінно обґрунтованим.

Сергій БАБИЧ