Цією статтею ми розпочинаємо окремий цикл публікацій, присвячений етапу оцінки ризиків — одному з найбільш недооцінених і водночас найбільш критичних елементів системи управління ризиками. Недооцінених — бо в багатьох компаніях він зводиться до формальної процедури. Критичних — бо саме тут ризик-менеджмент або стає частиною управління, або остаточно перетворюється на декоративну функцію.

У попередніх статтях ми послідовно проходили попередні етапи процесу управління ризиками: встановлення контексту, ідентифікацію ризиків та їх аналіз. Ми говорили про джерела ризиків, про методи їх виявлення, про слабкі сигнали та тригери, про типові помилки ілюзорної повноти переліків, а також про те, чому сам факт ідентифікації ще нічого не вирішує. Далі ми зосереджувалися на аналізі — на спробі зрозуміти природу ризику, його можливу ймовірність, масштаб і характер впливу. На цьому етапі зазвичай з’являються цифри, шкали, сценарії, таблиці та матриці.

І саме тут у багатьох компаній виникає відчуття, що робота майже завершена. Ризики визначені, проаналізовані, пофарбовані в кольори, включені до звітів і презентовані правлінню або наглядовій раді. Але на практиці в цей момент залишається без відповіді головне управлінське питання: що з усім цим робити? Які ризики прийнятні для компанії, а які — ні? Які потребують негайного втручання, а які можна лише моніторити? Де проходить межа між «ми це усвідомлюємо» і «ми цього не приймаємо»?

Саме на ці питання і має відповідати оцінка ризиків. Не аналіз, не ідентифікація, не формальне ранжування, а саме оцінка — як етап прийняття управлінського рішення. Проте в реальній практиці оцінку ризиків дуже часто плутають із аналізом, зводять її до механічного переміщення ризиків по матриці або до автоматичного порівняння з задекларованим risk appetite. У результаті оцінка ризиків перестає бути управлінським інструментом і перетворюється на технічний додаток до звітності.

Цей цикл статей має іншу мету. Ми будемо говорити про оцінку ризиків не як про формальну стадію процесу, а як про точку, в якій ризик-менеджмент починає реально впливати на бізнес-рішення: на бюджет, пріоритети, продукти, інвестиції, операційні компроміси. Ми будемо виходити не з ідеальної методології, а з практики — з того, як оцінка ризиків працює або не працює в реальних компаніях, у реальному регуляторному середовищі, в умовах високої невизначеності та війни.

Чому аналіз ризиків не дає відповіді на питання «що з цим робити»

На практиці аналіз ризиків часто виглядає як кульмінація всієї роботи з ризиками. Команда витрачає значні ресурси на збір даних, побудову сценаріїв, розрахунок ймовірностей, оцінку можливого впливу, підготовку таблиць і матриць. У результаті формується ґрунтовний опис ризику — його природи, джерел, потенційних наслідків і навіть можливих шляхів реалізації. Але при всій цій глибині аналіз відповідає лише на одне питання: яким є ризик. Він принципово не відповідає на інше, набагато важливіше для управління питання: чи готова компанія з цим ризиком жити і за яких умов.

Ця різниця здається очевидною на рівні методології, але в реальній роботі вона постійно зникає. Дуже часто результати аналізу автоматично сприймаються як підстава для дій, хоча насправді вони є лише інформаційним матеріалом для прийняття рішення. Саме тому правління або топменеджмент нерідко дивляться на добре підготовлені звіти з аналізу ризиків і ставлять, з їхньої точки зору, цілком логічне запитання: і що з цього? Не тому, що аналіз поганий, а тому, що він не транслює управлінської позиції компанії.

Це добре видно на прикладі фінансових ризиків у страхових та банківських групах у періоди різких макроекономічних зсувів. Під час пандемії COVID-19 більшість фінансових установ мали досить швидко оновлені сценарії, стрес-тести, розрахунки впливу на капітал і ліквідність. Аналіз показував підвищену ймовірність реалізації ризиків і зростання потенційних втрат. Проте управлінська дилема полягала не в тому, наскільки зросли ризики — це було зрозуміло з аналізу, — а в тому, які з них компанія готова прийняти в умовах кризи, а які ні, і які бізнес-рішення потрібно обмежити або переглянути. Саме тут аналіз без оцінки виявлявся безсилим.

Інший типовий приклад — операційні ризики, пов’язані з ІТ-інфраструктурою. Аналіз може показати, що ймовірність серйозного збою низька, а потенційний фінансовий вплив — значний, але разовий. З точки зору аналізу це часто класифікується як «середній» ризик. Проте для компанії, яка активно цифровізує канали продажів і врегулювання, такий самий ризик може бути управлінсько неприйнятним, оскільки він підриває не лише фінансові показники, а й стратегічні цілі та довіру клієнтів. Аналіз цього не «бачить» — він лише фіксує параметри. Оцінка ж має відповісти на питання, чи готова компанія приймати такі збої як плату за швидке зростання, чи ні.

Ще один характерний приклад — регуляторні ризики. Аналіз часто зосереджується на ймовірності змін у вимогах та можливому розмірі санкцій. Але управлінське рішення полягає не в арифметиці штрафів, а в тому, чи готова компанія працювати на межі регуляторних вимог, використовуючи інтерпретаційні «сіри зони», або ж свідомо обирає більш консервативну модель поведінки. У багатьох юрисдикціях, зокрема й в Україні, останні роки чітко показали: формально допустимий ризик може швидко стати неприйнятним через зміну підходів регулятора, навіть без формальних змін нормативної бази. Аналіз цього не прогнозує — це зона оцінки.

Проблема полягає ще й у тому, що аналіз ризиків часто створює ілюзію завершеності. Коли ризик описаний, порахований і візуалізований, виникає відчуття, що з ним уже «попрацювали». Насправді ж у цей момент робота тільки починається. Без етапу оцінки ризик залишається у вакуумі: він існує в документах, але не в управлінських рішеннях. Саме тому в багатьох компаніях ризикові профілі живуть окремим життям, майже не перетинаючись із бюджетуванням, інвестиційними рішеннями чи продуктовою стратегією.

Таким чином, ключова слабкість аналізу ризиків полягає не в його якості, а в його природі. Аналіз за своєю суттю описовий і пояснювальний. Він не містить відповіді на питання прийнятності, пріоритетності та допустимості ризику для конкретної компанії в конкретний момент часу. Цю відповідь може дати лише оцінка ризиків, яка виходить за межі цифр і переходить у площину управлінського судження. Саме в цій точці ризик-менеджмент перестає бути технічною функцією і починає виконувати свою справжню роль.

Оцінка ризиків як момент переходу від цифр до рішень

Ключова відмінність оцінки ризиків від аналізу полягає в тому, що вона починається там, де закінчується комфортна зона цифр. Якщо аналіз дає нам кількісні та якісні характеристики ризику, то оцінка змушує поставити набагато менш зручне питання: що означають ці характеристики саме для цієї компанії, у цьому контексті і в цей момент часу. Тут уже недостатньо знати, що ймовірність середня, а вплив високий. Потрібно визначити, чи є такий ризик прийнятним з точки зору стратегії, ресурсів і готовності менеджменту брати на себе відповідальність.

Саме на цьому етапі стає очевидно, що однакові результати аналізу можуть призводити до абсолютно різних управлінських рішень. Для компанії, яка перебуває у фазі агресивного зростання, ризик із підвищеною ймовірністю і контрольованим впливом може бути прийнятним або навіть бажаним, оскільки він є побічним ефектом швидкого масштабування. Для компанії, що зосереджена на збереженні капіталу, стабільності або виконанні жорстких регуляторних вимог, той самий ризик може бути оцінений як неприйнятний. Аналіз цього не «бачить» — він фіксує параметри, але не стратегічну логіку.

Добре це ілюструє практика оцінки кредитних і контрагентських ризиків у фінансових групах. Після проведення аналізу портфеля можна дійти висновку, що концентрація на окремих галузях або групах контрагентів перебуває в межах встановлених лімітів і формально не створює загрози платоспроможності. Проте оцінка ризику в управлінському сенсі може бути зовсім іншою, якщо ці галузі або контрагенти є особливо вразливими до геополітичних або регуляторних змін. У такому випадку рішення про обмеження нового бізнесу або перегляд лімітів ухвалюється не через зміну показників аналізу, а через зміну сприйняття прийнятності ризику.

Ще один показовий приклад — стратегічні ІТ-ризики, пов’язані з міграцією на нові системи або зовнішні платформи. Аналіз зазвичай фокусується на ймовірності збоїв, можливих витратах на відновлення та часових затримках. У багатьох випадках ці ризики оцінюються як помірні або середні. Проте в управлінській площині ключовим стає питання, чи готова компанія прийняти навіть короткострокову втрату операційної безперервності, якщо ІТ-система є критичною для продажів, врегулювання або звітності перед регулятором. Саме тут оцінка ризиків переходить від арифметики до рішення — від «це можливо» до «це для нас допустимо або ні».

Важливо розуміти, що оцінка ризиків завжди містить елемент суб’єктивності, і це не є її слабкістю. Навпаки, це її ключова особливість. Управлінські рішення ніколи не ухвалюються виключно на основі формул — вони ґрунтуються на досвіді, інтуїції, апетиті до ризику і відповідальності за наслідки. Спроби повністю «оцифрувати» оцінку ризиків часто призводять до втрати сенсу: цифри залишаються, але рішення відкладаються або ухвалюються поза рамками ризик-менеджменту.

Особливо яскраво це проявляється в умовах високої невизначеності, зокрема в період війни. Багато ризиків у цей час неможливо коректно проаналізувати з точки зору ймовірності, оскільки історичні дані втрачають релевантність. Проте управлінські рішення все одно потрібно ухвалювати: продовжувати діяльність у певних регіонах, інвестувати в відновлення інфраструктури, змінювати логістику або операційні моделі. У таких умовах саме оцінка ризиків — як поєднання обмеженого аналізу і управлінського судження — стає ключовим інструментом виживання і розвитку.

Таким чином, оцінка ризиків є моментом переходу від знання до дії. Вона не замінює аналіз і не заперечує його важливість, але додає те, чого аналіз принципово не може дати, — відповідь на питання про прийнятність ризику для конкретної компанії. Саме на цьому етапі ризик-менеджмент перестає бути «внутрішнім консультантом з цифр» і стає повноцінним учасником управлінського процесу.

Матриця ризиків: корисний інструмент, але поганий замінник мислення

Матриця ризиків за останні роки перетворилася на, без перебільшення, ікону ризик-менеджменту. Вона присутня у звітах, презентаціях для правління, матеріалах для наглядових рад і регуляторів. Її зручно показувати, легко пояснювати і ще легше копіювати з компанії в компанію. Саме тому матриця стала універсальною мовою ризиків. Проблема полягає не в самій матриці, а в тому, що її дуже часто починають сприймати як рішення, а не як допоміжний інструмент.

На практиці матриця ризиків виконує одну важливу функцію — вона візуалізує результати аналізу. Вона дозволяє швидко показати, які ризики мають вищу ймовірність, які — більший вплив, і де вони розташовуються відносно одне одного. Але саме на цьому її управлінська цінність закінчується. Матриця не відповідає на питання прийнятності ризику, не враховує стратегічного контексту і не пояснює, чому два ризики в одній і тій самій клітинці можуть вимагати абсолютно різних управлінських рішень.

Дуже показовою є ситуація, коли правлінню або наглядовій раді демонструють heat map з умовними «червоними» ризиками, і обговорення зводиться до питання: який із них важливіший. Формально відповідь очевидна — той, що має більший вплив або вищу ймовірність. Але в реальності управлінські рішення ухвалюються зовсім за іншою логікою. Наприклад, стратегічний ризик, який наразі має низьку ймовірність, але здатен повністю змінити бізнес-модель компанії, може бути набагато важливішим за операційний ризик із високою ймовірністю, але обмеженим і контрольованим впливом. Матриця цього не показує, і саме тут починається підміна мислення інструментом.

Ще одна типова пастка — автоматичне трактування кольорів. У багатьох компаніях існує негласне правило: червоні ризики — діяти, жовті — спостерігати, зелені — ігнорувати. Такий підхід може виглядати логічним, але він небезпечний. У реальній практиці зустрічаються ситуації, коли «зелений» ризик є стратегічно неприйнятним, а «червоний» — свідомо прийнятим як частина бізнес-моделі. Наприклад, компанія може свідомо працювати з високоризиковими сегментами ринку, компенсуючи це ціноутворенням, резервами або перестрахуванням. Формально такі ризики виглядатимуть загрозливо, але управлінське рішення щодо них уже прийняте, і воно не потребує негайних коригувальних дій.

Особливо гостро проблема матриць проявляється в регуляторному середовищі. Часто heat map створюється не для управління, а для демонстрації відповідності вимогам. У таких випадках ризики акуратно розподіляються по клітинках так, щоб картина виглядала збалансованою і «керованою». Формально все виглядає правильно, але насправді матриця перестає відображати реальне сприйняття ризиків менеджментом. Вона стає вітриною, а не інструментом. Це одна з причин, чому ризик-менеджмент у таких компаніях не впливає на ключові рішення — він живе в окремій, ізольованій площині.

Не менш важливим є й те, що матриця ризиків за своєю природою статична. Вона фіксує ситуацію в певний момент часу, але погано передає динаміку. У періоди швидких змін — регуляторних, ринкових, геополітичних — ризики можуть змінювати свою прийнятність значно швидше, ніж оновлюється матриця. У результаті компанія формально продовжує орієнтуватися на «вчорашню» картину ризиків, навіть якщо реальність уже суттєво інша. Це особливо характерно для умов війни, коли контекст змінюється швидше, ніж будь-які внутрішні процедури.

Усе це не означає, що від матриці ризиків потрібно відмовлятися. Навпаки, вона залишається корисним інструментом комунікації і візуалізації. Але її місце — після мислення, а не замість нього. Матриця має відображати результати оцінки ризиків, а не підміняти собою цей процес. Якщо рішення ухвалюються виключно на основі розташування ризику в певній клітинці, це означає, що оцінка ризиків так і не відбулася.

Таким чином, матриця ризиків — це мапа, але не маршрут. Вона допомагає зорієнтуватися, але не відповідає на питання, куди і навіщо рухатися. Управлінські рішення народжуються не в клітинках heat map, а в дискусіях про прийнятність ризиків, пріоритети і компроміси. І саме тут оцінка ризиків має відігравати ключову роль.

Коли оцінка ризиків стає формальністю (і чому це відбувається)

У певний момент у багатьох компаніях оцінка ризиків перестає бути етапом прийняття рішень і перетворюється на ритуал. Формально всі необхідні дії виконуються: ризики оцінені, шкали застосовані, матриця оновлена, звіт підготовлений. Але при цьому сама оцінка не впливає ані на порядок денний правління, ані на бюджетні рішення, ані на стратегічні пріоритети. Ризик-менеджмент у такій конфігурації начебто існує, але фактично не працює.

Одна з ключових причин цього — підміна мети. Оцінка ризиків починає сприйматися не як інструмент управління, а як елемент відповідності вимогам: регулятора, аудитора, наглядової ради або внутрішніх політик. У такій логіці головне — щоб процедура була виконана, а не щоб рішення були прийняті. Це особливо характерно для фінансових компаній у періоди активного регуляторного тиску, коли ризик-менеджмент вимушено зосереджується на формі, а не на змісті.

На практиці це виглядає доволі впізнавано. Ризики оцінюються за заздалегідь визначеними шкалами, які рідко переглядаються і майже не адаптуються до змін контексту. Оцінки з року в рік відрізняються незначно, навіть якщо бізнес-модель, ринок або зовнішнє середовище змінюються суттєво. У результаті формується «стабільний» профіль ризиків, який виглядає заспокійливо, але дедалі менше відповідає реальності. Формально оцінка є, фактично — вона відірвана від життя компанії.

Ще одна поширена причина формалізації — відсутність чіткого запиту з боку менеджменту. Якщо правління або топменеджмент не очікують від оцінки ризиків конкретних управлінських висновків, ризик-менеджмент неминуче підлаштовується під цей рівень очікувань. У таких умовах оцінка ризиків зводиться до «інформаційного забезпечення», а не до формування позиції. Це замкнене коло: менеджмент не бачить цінності — не запитує; ризик-менеджмент не отримує запиту — не наполягає на рішенні.

Показовою є ситуація з оцінкою стратегічних ризиків. У багатьох компаніях вони формально присутні в переліках і матрицях, але їхня оцінка майже не змінюється з року в рік. Причина проста: визнання неприйнятності стратегічного ризику автоматично означає необхідність перегляду стратегії, а до цього організація часто не готова. Тому ризик залишається «високим, але контрольованим», без чіткого управлінського висновку. Формально оцінка відбулася, але рішення так і не було прийняте.

Окремої уваги заслуговує роль самого ризик-менеджера у процесі формалізації. Парадоксально, але саме друга лінія захисту іноді свідомо уникає жорстких оцінок, щоб не загострювати відносини з бізнесом або не виходити за рамки «дозволеного». У таких випадках оцінка ризиків стає компромісом, а не відображенням реального сприйняття ризику. Це зрозуміло з людської точки зору, але небезпечно з управлінської: ризик-менеджмент втрачає свою незалежність і поступово — довіру.

У результаті оцінка ризиків починає існувати у власному, ізольованому світі. Вона коректна з точки зору методології, акуратна з точки зору документів і водночас майже не впливає на те, як компанія реально працює. Саме в цей момент ризик-менеджмент стає «функцією для звіту», а не інструментом управління. І що важливо — це не проблема методів або стандартів, а проблема того, як і навіщо ці методи застосовуються.

Таким чином, формалізація оцінки ризиків — це не випадковість і не помилка окремих фахівців. Це системний наслідок відсутності управлінського запиту, страху перед складними рішеннями і підміни змісту процедурою. Усвідомлення цього є необхідною передумовою для повернення оцінці ризиків її справжньої ролі — ролі інструменту управлінського вибору.

Оцінка ризиків як інструмент діалогу між ризик-менеджером і бізнесом

У своїй зрілій формі оцінка ризиків перестає бути внутрішнім документом функції ризик-менеджменту і перетворюється на мову діалогу між бізнесом і другою лінією захисту. Саме на цьому етапі стає зрозуміло, що оцінка — це не про правильні шкали або формулювання, а про здатність перекласти ризики з технічної мови аналізу на мову управлінських рішень, компромісів і відповідальності.

На практиці це означає, що оцінка ризиків має відповідати не на абстрактне питання «наскільки великий ризик», а на цілком прикладні управлінські питання: чи готові ми з цим жити, якою ціною, які альтернативи у нас є, що ми втрачаємо, якщо нічого не робимо. Саме в такій постановці ризик-менеджмент стає корисним для бізнесу, а не сприймається як функція контролю або гальмування ініціатив.

Добре це видно на прикладі бюджетного процесу. У багатьох компаніях ризик-менеджмент формально залучається до бюджетування, але його роль обмежується коментарями до окремих статей або загальними застереженнями. Натомість оцінка ризиків може і повинна формувати рамки допустимих рішень: де можливе агресивне зростання, а де варто закладати консервативні сценарії; які витрати є критичними для зниження ризиків, а які — лише косметичними. Коли оцінка ризиків інтегрована в бюджетну дискусію, вона починає впливати на реальний розподіл ресурсів, а не лише на текст пояснювальної записки.

Ще один показовий приклад — запуск або модифікація продуктів. Аналіз ризиків може виявити низку потенційних проблем: операційних, правових, репутаційних. Але саме оцінка дозволяє перевести ці ризики в площину вибору: запускати продукт у повному обсязі, обмежити його географію, змінити цільову аудиторію або відкласти запуск до появи додаткових контролів. У таких ситуаціях ризик-менеджер перестає бути тим, хто «каже ні», і стає тим, хто допомагає сформулювати прийнятні умови для “так”.

Ключовим елементом цього діалогу є довіра. Бізнес готовий сприймати оцінку ризиків лише тоді, коли бачить, що вона не є спробою перекласти відповідальність або заблокувати рішення. Саме тому важливо, щоб оцінка ризиків була прозорою у своїх припущеннях і обмеженнях. Визнання невизначеності, особливо в умовах війни або швидких змін регуляторного середовища, не послаблює позицію ризик-менеджменту — навпаки, воно робить її більш переконливою.

Оцінка ризиків також є інструментом зворотного зв’язку для самого бізнесу. Вона дозволяє показати, як накопичуються ризики в різних частинах організації, де виникають концентрації і які рішення на перший погляд виглядають локальними, але насправді мають системні наслідки. У цьому сенсі оцінка ризиків стає не лише етапом процесу, а постійним управлінським діалогом, який супроводжує компанію упродовж усього циклу прийняття рішень.

Саме тут проявляється принципова різниця між формальним і зрілим ризик-менеджментом. У першому випадку оцінка ризиків завершується підписаним звітом. У другому — вона стає підставою для дискусій, перегляду планів і зміни рішень. І чим складнішим і нестабільнішим є зовнішнє середовище, тим більшою є цінність такої оцінки як інструменту управління, а не контролю.

Висновки

Оцінка ризиків є тим етапом процесу управління ризиками, на якому остаточно зникають ілюзії. Саме тут стає очевидно, що ідентифікація та аналіз, якими б якісними вони не були, самі по собі не створюють управлінської цінності. Вони дають інформацію, але не дають відповіді на головне питання — чи готова компанія приймати цей ризик і за яких умов. Без цієї відповіді ризик-менеджмент залишається описовою функцією, відокремленою від реальних рішень.

У цій статті ми свідомо зосередилися не на методах чи формулах, а на сенсі оцінки ризиків як управлінського акту. Ми побачили, що матриці, шкали і рейтинги можуть бути корисними інструментами, але стають небезпечними, коли підміняють собою мислення. Оцінка ризиків починається не в клітинці heat map, а в моменті, коли компанія чесно відповідає собі на питання про допустимість ризику з урахуванням стратегії, контексту і власної готовності нести наслідки.

Окремо важливо зафіксувати, що формалізація оцінки ризиків є не випадковою помилкою, а системною проблемою. Вона виникає тоді, коли оцінка існує «для звіту», а не «для рішення», коли менеджмент не формує запит на управлінські висновки, а ризик-менеджмент не наполягає на своїй ролі партнера у прийнятті рішень. У таких умовах ризик-менеджмент втрачає вплив, навіть якщо формально всі вимоги виконані.

Водночас саме оцінка ризиків має потенціал стати ключовим інструментом діалогу між бізнесом і другою лінією захисту. Коли вона використовується як мова компромісів, пріоритетів і вибору, ризик-менеджмент перестає бути гальмом і стає частиною управлінської логіки. Це особливо важливо в умовах високої невизначеності, війни та швидких змін регуляторного середовища, коли рішення все одно доводиться ухвалювати — навіть за відсутності повної інформації.

Цією статтею ми відкрили цикл публікацій, присвячений етапу оцінки ризиків. У наступному матеріалі ми перейдемо від загальної управлінської логіки до конкретних інструментів і поговоримо про критерії оцінки ризиків — про те, чому класичної пари «ймовірність–вплив» часто недостатньо, і як на практиці формується багатовимірне уявлення про прийнятність ризику для компанії.

Сергій БАБИЧ