У попередній статті ми зафіксували принципову річ: оцінка ризиків — це не продовження аналізу, а окремий управлінський етап, на якому компанія відповідає собі на питання прийнятності ризику. Проте будь-яке управлінське рішення, навіть інтуїтивне, спирається на певні критерії. Вони можуть бути формалізовані або ні, усвідомлені або приховані, але без них оцінка ризиків перетворюється на набір суб’єктивних вражень, які важко пояснити, захистити або відтворити.

Найпоширенішою і водночас найспрощенішою моделлю таких критеріїв є класична пара «ймовірність × вплив». Вона зручна, інтуїтивно зрозуміла і легко масштабується у вигляді матриць та шкал. Саме тому ця модель стала стандартом де-факто для багатьох компаній і регуляторних вимог. Проблема полягає не в самій моделі, а в тому, що її починають сприймати як достатню, навіть у складних, нестандартних і динамічних ситуаціях.

На практиці управлінські рішення майже ніколи не ухвалюються лише на основі двох вимірів. Навіть якщо формально в документах фігурує тільки ймовірність і вплив, у реальності менеджмент враховує значно більше факторів: часовий горизонт, незворотність наслідків, концентрацію ризиків, регуляторну чутливість, репутаційні ефекти, стратегічні пріоритети і, зрештою, власну готовність брати на себе відповідальність. Усе це — критерії оцінки, просто не завжди названі своїми іменами.

Особливо очевидною обмеженість моделі «ймовірність × вплив» стає в умовах високої невизначеності. Під час війни, різких регуляторних змін або технологічних зламів історичні дані втрачають релевантність, а формальні оцінки ймовірності стають скоріше відображенням віри, ніж результатом розрахунків. Проте управлінські рішення все одно необхідно ухвалювати — і саме тут на перший план виходять додаткові критерії, які не вкладаються в класичні матриці, але мають вирішальне значення для виживання і розвитку компанії.

Цією статтею ми продовжуємо цикл, присвячений оцінці ризиків, і робимо наступний логічний крок: переходимо від загальної управлінської логіки до конкретних інструментів мислення. Ми поговоримо про те, які критерії реально використовуються при оцінці ризиків, чому їх значно більше, ніж здається на перший погляд, і як вони впливають на управлінські рішення — навіть тоді, коли формально залишаються «за дужками» ризик-менеджмент документів.

У цій статті не буде спроби створити універсальний перелік критеріїв або запропонувати чергову «ідеальну» модель. Натомість ми зосередимося на практиці — на тому, як компанії фактично оцінюють ризики, які критерії вони використовують свідомо, а які — інтуїтивно, і чому ігнорування цієї багатовимірності майже завжди призводить до спрощених і, як наслідок, хибних управлінських рішень.

Ймовірність: коли цифри вводять в оману

Ймовірність традиційно вважається одним із базових критеріїв оцінки ризиків, і саме з неї часто починається будь-яка дискусія. У звітах вона виглядає переконливо: відсотки, шкали, історичні ряди, частота подій. Проте на практиці саме ймовірність є тим критерієм, який найчастіше створює хибне відчуття контролю. Цифра, навіть дуже акуратно розрахована, легко підміняє собою управлінське мислення, особливо коли менеджмент прагне ясності й визначеності там, де їх об’єктивно не існує.

Ключова проблема полягає в тому, що у реальному бізнесі ми майже завжди маємо справу не з «чистою» ймовірністю, а з її сурогатами. Те, що в документах називається ймовірністю, часто є експертною оцінкою, заснованою на обмеженому досвіді, або екстраполяцією минулих подій у майбутнє. У стабільному середовищі такий підхід може працювати прийнятно. Але в умовах структурних зламів — пандемії, війни, різких регуляторних змін — історичні дані втрачають прогностичну силу, а сама цифра ймовірності починає вводити в оману, створюючи ілюзію раціональності.

Це добре було видно у фінансовому секторі на початку повномасштабної війни. Багато ризиків, які раніше оцінювалися як малоймовірні — масові операційні збої, втрата доступу до активів, розрив ланцюгів постачання, неможливість фізичного доступу персоналу до об’єктів, — раптово перейшли з теоретичної площини в практичну. Формально їхня «ймовірність» у попередніх оцінках була низькою, але це жодним чином не означало, що компанії могли дозволити собі ігнорувати їх з управлінської точки зору. Ті, хто продовжував орієнтуватися на старі оцінки, втрачали дорогоцінний час.

Ще одна пастка, пов’язана з ймовірністю, — змішування частоти подій і серйозності наслідків. У багатьох компаніях низькочастотні ризики автоматично отримують нижчий пріоритет, навіть якщо їх реалізація здатна мати катастрофічні наслідки. Це класична ситуація з так званими «tail risks» — подіями, які трапляються рідко, але змінюють правила гри. Формально їхня ймовірність низька, але управлінська увага до них має бути високою, оскільки ці ризики часто є екзистенційними для бізнесу.

На практиці зрілі компанії поступово відмовляються від питання «яка ймовірність?» як головного і починають ставити інше, значно корисніше питання: наскільки ми готові до реалізації цього ризику, навіть якщо вона малоймовірна. Це зрушення є принципово важливим. Воно означає, що оцінка ризиків перестає бути прогнозом і стає інструментом підготовки. У такій логіці низька ймовірність не знижує уваги до ризику, а лише змінює формат управлінської реакції.

Окремої уваги заслуговує роль експертної оцінки ймовірності. У багатьох сферах — від кіберризиків до регуляторних змін — статистичні дані або відсутні, або не відображають реальну картину. У таких випадках компанії змушені спиратися на судження експертів. Проблема виникає тоді, коли ці судження маскуються під точні цифри, створюючи хибне відчуття об’єктивності. Насправді ж управлінська цінність полягає не в самій цифрі, а в обґрунтуванні, припущеннях і сценаріях, які за нею стоять.

Таким чином, ймовірність як критерій оцінки ризиків є необхідною, але небезпечною у своїй простоті. Вона добре працює як інструмент аналізу, але швидко втрачає корисність, коли використовується ізольовано від інших критеріїв і контексту. Для управлінських рішень набагато важливішим є розуміння того, що означає реалізація ризику для компанії, ніж спроба вгадати, як часто ця реалізація може статися. Саме з цього усвідомлення починається перехід від формальної оцінки до зрілого управління ризиками.

Вплив: фінансовий — не означає головний

У більшості компаній критерій впливу інтуїтивно зводиться до грошей. Це зрозуміло: фінансовий ефект легко порахувати, порівняти з бюджетом, капіталом або прибутком і представити у вигляді зрозумілої цифри. Саме тому в багатьох системах управління ризиками фінансовий вплив стає домінуючим, а інші види наслідків — операційні, регуляторні, репутаційні — або знецінюються, або намагаються «перекласти» у гроші будь-якою ціною. На практиці це призводить до суттєвого викривлення оцінки ризиків.

Проблема полягає в тому, що не всі наслідки реалізації ризику проявляються одразу у фінансовій звітності. Регуляторні та репутаційні ризики часто мають відкладений і кумулятивний ефект. Формально компанія може не зазнати значних фінансових втрат у короткостроковій перспективі, але поступово втратити свободу дій, гнучкість бізнес-моделі або довіру ключових стейкхолдерів. У таких випадках фінансовий вплив є лише верхівкою айсберга, тоді як реальні наслідки проявляються значно пізніше і в іншій формі.

Це добре видно на прикладі регуляторних ризиків у фінансовому секторі. Формально штраф або санкція може бути відносно невеликою і не створювати прямої загрози фінансовій стабільності. Проте супутні наслідки — посилений нагляд, обмеження окремих операцій, підвищена увага регулятора до всієї групи — можуть суттєво вплинути на здатність компанії реалізовувати стратегію. У таких ситуаціях ризик, який виглядає «помірним» з фінансової точки зору, насправді є стратегічно чутливим, і саме це має враховуватися при його оцінці.

Не менш показовими є репутаційні ризики. У багатьох компаніях їх намагаються оцінювати через потенційне зменшення доходів або відтік клієнтів, але такий підхід рідко відображає реальну картину. Втрата репутації часто не призводить до миттєвого фінансового удару, але поступово змінює сприйняття компанії на ринку, ускладнює залучення партнерів, підвищує вартість фінансування і знижує толерантність регулятора до помилок. З управлінської точки зору це означає, що вплив ризику не можна коректно оцінити, зводячи його лише до короткострокового фінансового ефекту.

Операційні ризики також часто недооцінюються саме через фінансову призму. Збої процесів, дефіцит персоналу, проблеми з ІТ-системами можуть мати обмежений прямий фінансовий ефект, але при цьому підривати здатність компанії виконувати свої зобов’язання перед клієнтами або регулятором. У критичних секторах, зокрема у фінансових послугах, такі наслідки можуть бути значно серйознішими за одноразові фінансові втрати, оскільки вони впливають на безперервність діяльності і довіру до інституції.

Зрілий підхід до оцінки впливу ризиків передбачає багатовимірність. Це означає, що фінансовий вплив залишається важливим, але перестає бути єдиним або визначальним критерієм. Управлінська оцінка має враховувати, які саме аспекти діяльності компанії опиняються під загрозою: стратегія, ліцензія, операційна спроможність, репутація, відносини з регулятором або ключовими партнерами. У багатьох випадках саме нефінансові наслідки визначають, чи є ризик прийнятним.

Таким чином, фокус виключно на фінансовому впливі є зручним, але небезпечним спрощенням. Він добре працює для аналізу, але погано — для управлінських рішень. Оцінка ризиків вимагає ширшого погляду, який дозволяє побачити справжню ціну реалізації ризику, навіть якщо ця ціна не одразу відображається у фінансових показниках. Саме з такого погляду і починається перехід від формального ризик-менеджменту до управління ризиками як елементу стратегії.

Часовий горизонт і незворотність наслідків: коли «не зараз» означає «назавжди»

Одна з найбільш недооцінених характеристик ризику — час, а точніше те, коли і як довго компанія відчуватиме наслідки його реалізації. У багатьох системах управління ризиками часовий горизонт або взагалі не враховується, або зводиться до формального поділу на коротко-, середньо- та довгострокові ризики. Такий підхід може бути зручним для класифікації, але він майже нічого не говорить про управлінську прийнятність ризику.

На практиці принципове значення має не стільки момент настання наслідків, скільки їхня оборотність. Деякі ризики, навіть реалізувавшись, залишають компанії простір для відновлення: фінансові втрати можна компенсувати, процеси — перебудувати, помилки — виправити. Інші ж ризики мають незворотний характер або створюють ефекти, які змінюють траєкторію розвитку бізнесу на роки вперед. Саме ці ризики часто недооцінюються при класичній оцінці.

Показовими є стратегічні рішення, наслідки яких стають очевидними лише через певний час. Наприклад, вихід на нові ринки, зміна продуктової лінійки або трансформація бізнес-моделі можуть не нести значних ризиків у короткостроковій перспективі. Формально їхній вплив виглядає обмеженим, а ймовірність негативних наслідків — низькою. Проте у випадку помилки компанія може зіткнутися з втратою фокусу, розпорошенням ресурсів або нездатністю повернутися до попередньої моделі без значних втрат. Такі ризики часто виглядають «терпимими» в момент ухвалення рішення, але стають критичними з точки зору довгострокової стійкості.

Ще більш наочним є приклад репутаційних і регуляторних ризиків. Багато з них мають відкладений ефект, який не відображається у фінансових показниках одразу після події. Компанія може пережити окремий інцидент без суттєвих втрат, але кожен наступний крок у «сірій зоні» поступово зменшує простір для помилок. У певний момент настає точка, після якої навіть незначне порушення або інцидент призводить до жорсткої реакції регулятора або різкої втрати довіри з боку ринку. Формально кожен окремий ризик міг виглядати прийнятним, але в сукупності вони створили незворотний ефект.

В умовах війни значення часового горизонту ще більше зростає. Багато управлінських рішень ухвалюються в логіці «пережити наступні кілька місяців», і це часто є єдино можливим підходом. Проте навіть у таких умовах важливо розуміти, які ризики створюють довгострокові наслідки, що виходять далеко за межі поточної кризи. Наприклад, рішення щодо скорочення ключових компетенцій, відмови від інвестицій у критичну інфраструктуру або систематичного ігнорування певних категорій ризиків можуть здаватися виправданими сьогодні, але суттєво обмежити можливості відновлення завтра.

Зрілий підхід до оцінки ризиків передбачає, що часовий горизонт і незворотність наслідків розглядаються окремо від величини фінансового впливу. Ризик із відносно невеликими короткостроковими втратами, але незворотними стратегічними наслідками, часто є значно небезпечнішим за ризик із великим, але контрольованим і оборотним впливом. Саме ця логіка дозволяє пояснити, чому деякі рішення виглядають надмірно обережними з фінансової точки зору, але є цілком раціональними з позиції довгострокового управління.

Таким чином, час у контексті оцінки ризиків — це не просто календарна характеристика. Це показник того, наскільки довго компанія житиме з наслідками своїх рішень і чи матиме вона можливість їх виправити. Ігнорування цього виміру майже завжди призводить до недооцінки стратегічних ризиків і переоцінки короткострокових вигод. Саме тому часовий горизонт і незворотність мають розглядатися як повноцінні критерії оцінки ризиків, а не як допоміжні коментарі в кінці звіту.

Концентрація і кумулятивний ефект: чому «багато дрібних» небезпечніше за один великий

Одна з найпоширеніших управлінських ілюзій у сфері ризик-менеджменту полягає в тому, що ризики оцінюються ізольовано. Кожен ризик має власну картку, власну оцінку ймовірності та впливу, власне місце в матриці. Формально все виглядає логічно й упорядковано. Але саме в такій логіці губиться те, що для бізнесу часто є визначальним, — накопичення і взаємодія ризиків.

На практиці компанії рідко стикаються з реалізацією одного «великого» ризику у вакуумі. Значно частіше проблеми виникають через одночасну або послідовну реалізацію кількох відносно дрібних ризиків, кожен з яких окремо виглядає прийнятним. Саме кумулятивний ефект таких ризиків і створює ситуації, коли бізнес раптово опиняється у кризі, хоча формально жоден із ризиків не був оцінений як критичний.

Показовими є операційні ризики. Невеликий дефіцит персоналу, затримки в окремих процесах, локальні збої ІТ-систем, підвищене навантаження на ключових співробітників — кожен із цих факторів окремо часто отримує низьку або середню оцінку. Проте в сукупності вони можуть призвести до зриву операційної безперервності, погіршення якості сервісу або порушення регуляторних вимог. Формально всі ризики «зелені» або «жовті», але їх концентрація створює червону зону, яку матриця не показує.

Подібна логіка працює і у фінансових ризиках. Концентрація на окремих сегментах клієнтів, продуктах або регіонах може виглядати допустимою, якщо розглядати кожен фактор окремо. Але в разі зовнішнього шоку — економічного, регуляторного чи геополітичного — саме ця концентрація різко підсилює негативний ефект. У таких ситуаціях проблема полягає не в неправильній оцінці окремого ризику, а в недооцінці взаємозалежностей між ними.

Окремо варто згадати кумулятивний ефект управлінських рішень. Часто кожне рішення виглядає раціональним у своєму контексті: оптимізувати витрати, відкласти інвестиції, спростити контроль, делегувати функції. Але коли такі рішення ухвалюються послідовно і без урахування їх сукупного впливу, компанія поступово втрачає запас міцності. У певний момент навіть незначний зовнішній вплив призводить до серйозних наслідків, і це виглядає як «несподівана» криза, хоча насправді вона була результатом накопичення дрібних ризиків.

В умовах війни кумулятивний ефект стає ще більш небезпечним. Обмеження ресурсів, постійна невизначеність, емоційне вигорання персоналу, тимчасові рішення «на виживання» — усе це створює фон, на якому навіть дрібні ризики швидко підсилюють один одного. Формальна оцінка, яка не враховує концентрацію і взаємодію ризиків, у таких умовах втрачає прогностичну цінність.

Зрілий підхід до оцінки ризиків передбачає, що ризики розглядаються не лише як окремі події, а як елементи системи. Це означає необхідність ставити додаткові питання: де концентруються ризики, які з них підсилюють одне одного, які рішення створюють приховані накопичення. Такі питання складніше формалізувати, але саме вони дозволяють побачити реальну картину вразливостей бізнесу.

Таким чином, концентрація і кумулятивний ефект є повноцінними критеріями оцінки ризиків, навіть якщо вони не завжди відображені в стандартних шкалах. Ігнорування цих факторів створює ілюзію керованості там, де насправді накопичується системна нестійкість. Саме тому багато «малих» ризиків у сукупності часто є значно небезпечнішими за один великий, але добре усвідомлений і контрольований ризик.

Контекст як прихований критерій оцінки: чому однакових ризиків не існує

У реальній управлінській практиці не існує ризиків «у вакуумі». Один і той самий ризик може бути прийнятним для однієї компанії і неприйнятним для іншої, навіть якщо їхні фінансові показники, розміри або галузь діяльності схожі. Причина цього — контекст, який рідко формалізується в шкалах або методиках, але фактично є одним із найважливіших критеріїв оцінки ризиків.

Контекст починається зі стратегії. Ризик, який є логічним і прийнятним у фазі зростання, може бути абсолютно неприйнятним у період консервації або стабілізації. Компанія, яка свідомо обирає агресивне масштабування, зазвичай готова приймати підвищені операційні, продуктові або навіть регуляторні ризики як частину ціни за зростання. Та сама компанія, але в умовах обмеженого капіталу або підвищеного нагляду, оцінюватиме ті самі ризики зовсім інакше. Формально ризик не змінився, але його прийнятність — так.

Не менш важливим є організаційний контекст. Дві компанії з однаковими ризиками можуть мати принципово різну здатність їх витримувати. Рівень зрілості процесів, якість управління, досвід команди, наявність резервів і «запасу міцності» — усе це впливає на оцінку ризику значно більше, ніж формальні показники ймовірності або впливу. Саме тому оцінка ризиків, відірвана від реального стану організації, часто виглядає правильною на папері, але не працює на практиці.

Окремо варто виділити регуляторний контекст. В одних і тих самих нормативних рамках різні компанії можуть мати різний рівень регуляторної чутливості — через історію взаємин з регулятором, структуру бізнесу або результати попередніх перевірок. У таких умовах ризик, який формально відповідає вимогам, може бути оцінений як неприйнятний саме через ймовірність жорсткої інтерпретації або підвищеної уваги. Це ще один приклад того, як контекст визначає управлінську оцінку там, де аналіз показує «зелену зону».

В умовах війни контекст стає домінуючим фактором. Обмежені ресурси, нестабільність, кадрові ризики, логістичні обмеження і психологічне навантаження змінюють сприйняття практично всіх ризиків. Те, що в мирний час оцінювалося як допустиме, може стати критичним, і навпаки — певні ризики приймаються свідомо як неминучі. У таких умовах оцінка ризиків без урахування контексту перетворюється на формальність, яка не допомагає ухвалювати рішення.

Таким чином, контекст не є «додатковою інформацією» до оцінки ризиків. Він є рамкою, в межах якої всі інші критерії набувають сенсу. Саме контекст пояснює, чому однакові цифри приводять до різних управлінських рішень і чому спроби уніфікувати оцінку ризиків часто закінчуються втратою управлінської цінності. Зріла оцінка ризиків завжди контекстна — навіть якщо це не прописано в жодній політиці.

Висновки

У цій статті ми зробили наступний крок у межах циклу, присвяченого оцінці ризиків, і показали, що управлінські рішення майже ніколи не спираються лише на класичну пару «ймовірність–вплив». Реальна оцінка ризиків є багатовимірною і включає критерії, які часто залишаються неформалізованими: часовий горизонт, незворотність наслідків, концентрацію і кумулятивний ефект, а також контекст, у якому працює компанія.

Ключовий висновок полягає в тому, що спрощення критеріїв оцінки ризиків може бути зручним, але воно дорого коштує з управлінської точки зору. Воно створює ілюзію об’єктивності там, де насправді потрібне судження, і підміняє зміст формою. Саме тому зрілі компанії фактично завжди використовують більше критеріїв, ніж офіційно задекларовано, навіть якщо не називають це так прямо.

Багатовимірний підхід до оцінки ризиків не означає ускладнення заради ускладнення. Його мета — зробити управлінські рішення більш усвідомленими і захищеними, особливо в умовах високої невизначеності. Оцінка ризиків має допомагати відповісти на питання «чи готові ми з цим жити» з урахуванням усіх суттєвих факторів, а не лише тих, які легко виміряти.

У наступній статті циклу ми перейдемо до ще складнішої, але надзвичайно практичної теми — risk appetite і risk tolerance. Ми поговоримо про те, як компанії намагаються формалізувати свою готовність приймати ризики, чому це часто не працює і як пов’язати задекларований апетит до ризику з реальною оцінкою та управлінськими рішеннями.

Сергій БАБИЧ