Навіщо використовувати кілька методів, а не один

Ідентифікація ризиків — це завжди робота з неповною інформацією. Жодна команда, жоден окремий спеціаліст і жоден процес не дає повної картини ризикової структури компанії. Саме тому ISO 31000 та підтримуючий його стандарт ISO 31010 наголошують: для виявлення ризиків недостатньо використовувати один метод, навіть якщо він здається ефективним або добре відомим. Різні методи висвітлюють різні аспекти діяльності, працюють з різними джерелами даних і дозволяють побачити різні типи ризиків.

Окремий метод завжди має обмеження. Структуровані інтерв’ю показують глибину експертних знань, але не завжди відкривають приховані залежності у процесах. Мозковий штурм дає широту ідей, але його результат залежить від учасників і модератора. Чеклисти допомагають не пропустити базові питання, але не відкривають нових проблем, які не були передбачені у списку. Процесні огляди показують «живу» реальність, але не виявляють довгострокові сценарії чи абстрактні драйвери. Кожен метод — це частина картини, але не картина в цілому.

Саме тому ISO 31010 рекомендує застосовувати комбінацію методів, щоб компенсувати слабкі сторони кожного. Це не означає, що потрібно використовувати десятки інструментів. Але різні типи ризиків виявляються по-різному: інцидентні — через аналіз подій, процесні — через walkthrough, системні — через методи аналізу причин, стратегічні — через сценарне мислення. Комбінація методів дозволяє посилити об’єктивність і уникнути спотворення, коли ризики визначаються за однією логікою або одним джерелом інформації.

Важлива й інша причина: різні учасники процесу мають різний доступ до інформації. ІТ бачить технічні залежності, операційні підрозділи — ручні етапи, менеджмент — стратегічні фактори, актуарії — модельні припущення. Якщо ідентифікація спирається лише на думку однієї групи, ризиковий профіль буде неповним. Використання різних методів дозволяє збалансувати “оптику” різних функцій і зібрати цілісну картину.

Нарешті, використання кількох методів — це вимога зрілості. У COSO ERM та ISO 31000 системність визначається не лише наявністю процесу, а й його відтворюваністю, незалежністю від окремих людей і здатністю працювати в різних умовах. Комбінація методів створює стабільний процес ідентифікації, який не зникне з компанії разом зі звільненням окремих експертів або зміною ІТ-ландшафту.

Саме тому наступні розділи статті будуть присвячені короткому, але точному огляду методів, які лежать у центрі міжнародної практики. Мета — показати, як ці інструменти працюють разом, формуючи системну ідентифікацію ризиків.

Короткий огляд основних методів ідентифікації

Міжнародні стандарти управління ризиками — передусім ISO 31000 та ISO 31010 — пропонують десятки методів ідентифікації й аналізу ризиків. Але у практиці страхових компаній найбільш ефективними є ті, що поєднують структурованість, повторюваність і здатність працювати як з процесами, так і з даними. Ці методи не вигадані, не “популярні”, а мають офіційне підґрунтя і застосовуються у світових практиках. Нижче — короткий огляд тих інструментів, які часто використовують для виявлення ризиків у різних типах діяльності.

Структуровані інтерв’ю — один із найпоширеніших методів, який застосовується практично у всіх міжнародних моделях RM. Його сила полягає у глибокому зборі експертних знань. Це не “вільна розмова”, а формалізований діалог із заздалегідь підготовленими питаннями, які охоплюють процес, залежності, дані, контроли, інциденти та зміни. З точки зору ISO 31010 цей метод дозволяє максимально точно отримати доступ до інформації, яка не зафіксована у документах, але існує у досвіді та практиці співробітників.

Мозковий штурм (facilitated brainstorming) — корисний тоді, коли потрібно зібрати широку палітру можливих ризиків. Але міжнародні стандарти підкреслюють, що такий метод ефективний лише за умови модерації. Неформальні дискусії призводять до хаотичних переліків; модерація — до системного структурування думок і виявлення взаємозв’язків. ISO 31010 розглядає мозковий штурм як метод генерації гіпотез, які потребують подальшого підтвердження іншими техніками.

Чеклисти — це спосіб не пропустити базові питання. ISO 31010 прямо визнає use-case чеклистів, але наголошує, що вони не повинні замінювати ідентифікацію. Чеклист корисний як контрольний інструмент, але не як основний. Він нагадує про відомі ризики, але не відкриває нових, неочевидних джерел. У страхуванні чеклисти застосовують для ключових областей: ІТ, андеррайтингу, безпеки даних.

Process walk-through (огляд процесу за фактом) — один із найсильніших методів для виявлення внутрішніх джерел ризиків. ISO 31010 відносить його до категорії процесно-орієнтованих технік. Це фактичне “проходження” процесу від початку до кінця разом із співробітниками: перегляд документів, робочих екранів, ручних операцій, інтеграцій. Walk-through дозволяє побачити розриви, дублювання, тимчасові рішення, обхідні дії та неформальні практики.

Root Cause Analysis (аналіз першопричин) — метод, що дозволяє знайти джерела ризиків, які лежать глибше, ніж поверхневі події. Він базується на структурованому аналізі того, які фактори спричиняють виникнення інцидентів або слабких місць у процесі. ISO 31010 включає RCA як окрему методику, яка допомагає встановити саме “корінь проблеми”, а не її симптоми.

Bow-Tie Analysis — це візуальний метод, офіційно рекомендований стандартом ISO, який дозволяє поєднати джерела ризику, подію та наслідки в одну логічну модель. Його головна цінність — можливість чітко розмежувати причини, подію, наслідки та контролі. Bow-Tie демонструє, як подія може виникнути, які фактори її запускають і які заходи можуть зупинити розвиток сценарію.

HAZOP — метод, який походить із сфери технічної безпеки та застосовується для складних техпроцесів. ISO 31010 визнає HAZOP як техніку для систем, де важливі параметри, відхилення, сценарії збоїв і взаємодія різних компонентів. У класичному страхуванні він застосовується рідше, але у технічних, інженерних, виробничих чи енергетичних ризиках — це один з найефективніших інструментів.

Lessons Learned — техніка, що ґрунтується на аналізі минулого досвіду. Вона офіційно включена у стандарти ISO та використовується для виявлення повторюваних подій, недоліків у контролях, слабких місць у процесах. Це не лише огляд інцидентів, а системне вивчення того, що вже відбулося і що може статися знову.

Аналіз сценаріїв (Scenario Identification) — метод, який у міжнародних стандартах застосовується для визначення потенційних подій майбутнього. Він допомагає виявити системні, стратегічні та рідкісні ризики, які не можна побачити через інші методи. ISO 31010 розглядає сценарне мислення як один із способів ідентифікації складних і високонаслідкових подій.

У наступному розділі ми поговоримо про те, як обирати методи залежно від процесу, контексту та рівня ризику — і чому неправильний вибір методу часто призводить до неповної або неточної ідентифікації.

Як вибирати метод залежно від процесу

Вибір правильного методу ідентифікації ризиків — це не технічне питання, а елемент управлінського рішення. ISO 31010 підкреслює, що метод має відповідати характеру процесу, обсягу інформації, складності операцій, залученим сторонам та контексту діяльності. Іншими словами, немає «універсального інструменту», який однаково добре працює у всіх випадках. Кожен метод має власну зону ефективності, і завдання компанії — підібрати той, який дасть найбільш повну картину саме в цій ситуації.

Ключовий критерій вибору — тип процесу. Операційні процеси з великою кількістю ручних дій і переходів вимагають глибокого аналізу фактів: process walk-through, огляд контролів, аналіз помилок та інцидентів. Для продуктових або стратегічних рішень ефективнішими є структуровані інтерв’ю, сценарне мислення або комбінація інтерв’ю та мозкового штурму. ІТ-процеси, де важливі параметри, логіка інтеграцій та технічні залежності, потребують технічних методів, таких як RCA або, у складних випадках, HAZOP.

Другий критерій — доступність і якість інформації. Якщо процес добре документований, має описані ролі, регламенти та контрольні точки, компанія може застосовувати комплексні методи: інтерв’ю, walk-through, аналіз контролів. Якщо документація слабка, а процес залежить від знань окремих людей, першими будуть саме інтерв’ю та модерація, які дозволять витягнути приховані знання. ISO наголошує: метод повинен відображати не лише формальний опис, а й реальну структуру процесу.

Третій критерій — масштаб і складність ризику. Для простих операцій достатньо базових методів — чеклистів та інтерв’ю. Для процесів, де ризики мають системний характер (наприклад, врегулювання збитків або актуарні розрахунки), необхідні методи, які дозволяють побачити причини й сценарії: RCA, Bow-Tie, scenario identification. ISO 31010 класифікує методи за здатністю працювати з різною складністю — саме це допомагає не перевантажувати ідентифікацію там, де це не потрібно, і не спрощувати її там, де необхідна глибина.

Четвертий критерій — кількість і тип стейкхолдерів. Якщо процес охоплює багато груп, має різні точки зору і різні інтереси (наприклад, андеррайтинг, фінанси, ІТ, продажі), важливо використовувати методи, які забезпечують баланс: модульовані інтерв’ю, мозкові штурми, інструменти синтезу. Якщо процес технічний та вузькоспеціалізований, працюють методи з чіткою логікою причинно-наслідкових зв’язків.

П’ятий критерій — ціль ідентифікації. Якщо ціль — виявити відомі ризики, достатньо чеклистів та інтерв’ю. Якщо потрібно знайти приховані або системні ризики, необхідно застосовувати walk-through, RCA та інші методи, які дають більшу глибину. Якщо компанія хоче побачити майбутні сценарії, використовуються сценарні методи.

Вибір методу — це свідомий і стратегічний крок. Він визначає якість інформації, яку компанія отримає на виході. ISO 31010 та COSO ERM прямо говорять про те, що методи працюють не ізольовано, а у комбінаціях — саме тому комбінування інструментів часто дає найкращий результат.

У наступному розділі ми розглянемо не менш важливе питання: хто саме має проводити ідентифікацію ризиків і чому неправильна рольова модель спотворює результат.

Хто має проводити ідентифікацію ризиків

У міжнародних стандартах немає сумнівів: ідентифікація ризиків — це не функція ризик-менеджера, а спільна робота всієї організації. Саме тому ISO 31000 та COSO ERM наголошують, що успіх цього етапу залежить не лише від методів, а й від того, хто саме бере участь у процесі. Неправильно обрані учасники автоматично створюють спотворення — або звужують область аналізу, або навпаки роблять його поверхневим.

Перший принцип — власники процесів повинні брати участь обов’язково. Жоден метод не працює, якщо у зустрічі немає людини, відповідальної за процес. Власники процесів мають “приховане знання” — те, що недоступне у регламентах і схемах. Вони бачать ручні операції, незадокументовані переходи, тимчасові рішення, неформальні правила, залежності, що виникли стихійно. ISO 31000 підкреслює, що ідентифікація має спиратися на реальність, а не на формальні моделі — і саме власники процесів дозволяють отримати цю реальність.

Другий принцип — ризик-менеджер модерує, але не “вигадує” ризики. У зрілих моделях RM роль ризик-менеджера — це фасилітація, методологія, контроль якості та узгодженість. РМ забезпечує структурованість дискусії, ставить правильні питання, фіксує результати і стежить, щоб компанія працювала у логіці ISO. Але він не замінює собою експертів. У багатьох організаціях саме ця помилка призводить до того, що ризики вигадані або некоректно сформульовані.

Третій принцип — технічні експерти та ІТ мають бути залучені там, де процес містить технічні залежності. Це важливо, тому що саме в технічних деталях зазвичай приховані ризики, які не бачать менеджери. ISO 31010 прямо зазначає, що складні методи (наприклад, RCA або Bow-Tie) потребують глибокого знання логіки процесу, технології, параметрів та інтеграцій. Без ІТ, без актуаріїв, без технічних фахівців чи без інженерів аналіз стає поверхневим.

Четвертий принцип — участь різних рівнів управління. Менеджмент бачить іншу частину картини — стратегічні ризики, зовнішні фактори, зміни у портфелі, залежності між продуктами, обмеження ресурсів. ISO говорить про “мультидисциплінарний погляд”: ризик, як правило, не виникає у межах однієї ролі. Тому участь різних рівнів — від виконавців до керівників — є обов’язковою умовою повної ідентифікації.

П’ятий принцип — не допускати домінування однієї групи. Якщо процес веде одна функція — наприклад, ІТ або операції — всі ризики автоматично зміщуються в бік їхнього бачення. COSO підкреслює, що це створює методологічне упередження: компанія бачить те, що близько одній групі, і не бачить те, що стосується інших. Саме тому методи мають застосовуватися у змішаних групах, а роль RM — забезпечити баланс.

Правильно організована рольова модель забезпечує якість ідентифікації не менше, ніж методи. Без неї жоден інструмент не дасть повної картини. У наступному розділі ми поговоримо про важливу, але часто недооцінену тему — чому потрібно протоколювати не лише результат, а й сам метод, за яким була проведена ідентифікація.

Чому важливо протоколювати метод, а не лише результат

У багатьох компаніях ідентифікацію ризиків документують лише як перелік ризиків. Але ISO 31000 та ISO 31010 прямо вказують: метод, за яким проведена ідентифікація, є не менш важливим, ніж саме формулювання ризиків. Це принцип системності. Якщо компанія не фіксує, яким способом вона дійшла до результату, — вона не може гарантувати ані повторюваність процесу, ані його якість, ані можливість незалежної перевірки.

По-перше, протоколювання методу забезпечує відтворюваність. Ризики мають ідентифікуватися регулярно, і різні команди повинні мати можливість повторити процес так само, як це робилося раніше. Якщо відомо лише “що знайшли”, але не “як шукали”, — наступна ідентифікація буде залежати від складу групи, її підготовки та інтуїції. Це суперечить вимогам ISO та COSO, де процес RM повинен бути стабільним і незалежним від особистостей.

По-друге, фіксація методу — це вимога прозорості та контролю якості. Регулятор (зокрема НБУ у Постанові №64 і №194) очікує, що компанія зможе пояснити, яким чином вона визначала істотні ризики, які джерела інформації використовувала, які підходи застосовувала під час аналізу. Якщо протокол відображає лише перелік ризиків — компанія не може довести, що процес був системним. Протоколювання методу створює доказову базу, що ідентифікація проведена відповідально та у відповідності до стандартів.

По-третє, саме метод дозволяє зрозуміти межі та обмеження ідентифікації. Наприклад, якщо група використовувала лише інтерв’ю та чеклисти, — очевидно, що приховані або технічні ризики могли залишитися невиявленими. Якщо метод був комплексним і включав walk-through, RCA або сценарний аналіз — ризиковий профіль значно повніший. Протокол методу дає можливість правильно інтерпретувати результати, бачити їхню глибину та контекст.

По-четверте, протонування методу — це основа аудиту та внутрішньої перевірки RM-процесу. Внутрішній аудит перевіряє не лише наявність ризиків, а й якість процесу їх визначення. Якщо компанія не може показати, як саме був проведений аналіз, аудит не може підтвердити, що система RM працює належним чином. Саме тому у зрілих компаніях методи ідентифікації описуються у протоколах не менш детально, ніж самі ризики.

Нарешті, фіксація методів дозволяє постійно вдосконалювати процес. Коли компанія бачить, які інструменти дали результат, а які — ні, вона може поступово змінювати, комбінувати та оптимізувати підходи. Такий розвиток RM неможливий, якщо не задокументовано, що саме використовувалося на практиці.

У наступному розділі ми завершимо статтю коротким узагальненням і логічним переходом до наступної теми циклу — як ідентифікація працює у реальній компанії та чому методологія без практики не має цінності.

Місток → ідентифікація ризиків у реальному житті компанії

Методи ідентифікації — це фундамент, але самі по собі вони не створюють ефективну систему. ISO 31000 наголошує, що процес управління ризиками працює лише тоді, коли методологія інтегрована у реальну діяльність компанії. Іншими словами, важливо не тільки знати методи, а й застосовувати їх там, де це має сенс: у процесах, у змінах, у взаємодії між підрозділами, у технічних залежностях, у роботі з даними. Тому наступний крок нашого циклу — показати, як ці методи працюють у живій організації.

Ідентифікація ризиків у реальній компанії починається не з методів, а з того, де саме вони застосовуються. Стратегічні процеси, продуктові рішення, технічні зміни, операційні цикли, робота з клієнтами, взаємодія з контрагентами — кожна з цих зон створює власні джерела ризиків, і кожна потребує свого набору інструментів. Саме тому методи не можна використовувати “вакуумно”. Їх потрібно накладати на структуру компанії, контекст, ролі та відповідальність.

Друга важлива річ — методи мають працювати разом. Реальні ризики рідко проявляються в одному вимірі. Те, що виглядає як процесна помилка, може виявитися наслідком технічної залежності або недосконалого контролю. Інцидент може бути симптомом системного джерела ризику. Зміна у регуляторних вимогах може активувати слабкість у внутрішніх інструкціях. Саме поєднання методів — інтерв’ю, walk-through, аналіз інцидентів, Bow-Tie, сценарії — дозволяє побачити багатовимірну картину.

Методи також мають працювати у взаємодії з людьми, а не замість них. Власники процесів, технічні експерти, менеджмент, операційні команди — кожна група приносить у процес частину інформації. Ідентифікація стає повною лише тоді, коли методи допомагають зібрати ці фрагменти в єдине ціле. У зрілих системах RM інструменти не “конкурують”, а доповнюють одна одну, забезпечуючи комплексність.

І нарешті, ефективність будь-якого методу визначається не формою, а тим, як компанія перетворює результат у дію. Виявлені джерела ризиків мають переходити у профіль ризиків, у контрольні заходи, у плани реагування, у зміни процесів та ІТ-рішень. Якщо методи працюють, але результати не інтегруються у систему — ідентифікація втрачає цінність.

Саме тому наступна стаття нашого циклу буде присвячена тому, як системна методологія працює в реальному житті страхової компанії. Ми розглянемо логіку застосування методів, рольові моделі, артефакти, документи та місця, де найчастіше виникають “приховані” ризики.

Це буде перехід від методології — до практики: як компанія насправді знаходить ризики, а не просто декларує їх на папері.

Сергій БАБИЧ