1. Між помилкою і спокусою

Кажуть, що найбільший ризик будь-якої системи — це людина.
І це правда, але не зовсім. Людина — це не лише джерело ризику, а й його фільтр, антикор, запобіжник. Усе залежить від того, у який момент помилка перетворюється на спокусу, а спокуса — на схему.

Світова статистика давно показує: людський фактор є причиною більшості операційних втрат. За даними Operational Riskdata eXchange (ORX, 2024), понад 60% усіх інцидентів у фінансовому секторі мають людське або процесне походження, а в абсолютному вираженні це близько 200 млрд доларів щороку. І навіть серед них не всі — навмисні. Частина — це банальні помилки, зумовлені втомою, тиском дедлайнів або перевантаженням інформацією.

Але поруч із цими цифрами стоїть інша статистика — холодна і невблаганна.
За звітом Association of Certified Fraud Examiners (ACFE) “Report to the Nations 2024”, середній розмір внутрішнього шахрайства у фінансових компаніях становить 1,2 млн доларів, а кожен такий випадок триває в середньому 14 місяців, перш ніж його виявлять. І лише у 5% випадків зловмисників викриває зовнішній аудит. Усе інше — або випадковість, або whistleblower, або пильний колега, який “щось помітив”.

Отже, людський фактор — це не абстрактна загроза, а цілком вимірювана економічна змінна. Він може коштувати компанії більше, ніж невдалий інвестиційний портфель чи коливання курсу валют.

Український вимір

Для українського ринку ця тема — особливо болюча. По-перше, через постійний стрес: війна, релокація, кадровий дефіцит, перевантаження. По-друге, через зміни у структурі довіри — коли люди роками працюють дистанційно, а процеси спрощуються, щоб “не стояла робота”. Саме тут, у цьому проміжку між добрим наміром і спокусою, народжується зона ризику.

Один керівник великої страхової компанії нещодавно зізнався:

“Найбільше нас підводить не технологія і не регулятор, а звичка довіряти наосліп. Ми досі віримо, що чесність — це стабільна риса, а не змінна залежно від тиску.”

Ця фраза точно відображає суть проблеми. Коли система побудована на персональній довірі без структур контролю, будь-яка криза перетворює чесну людину на потенційного порушника.

Помилка чи намір?

Межа між ними тонка. Помилка — це дія без наміру завдати шкоди.Шахрайство — це дія з наміром отримати вигоду. Але між ними є “сіра зона”, у якій народжуються найнебезпечніші інциденти: “Я просто хотів допомогти клієнту”, “Я виправив помилку системи”, “Я візьму тимчасово — потім поверну”. Саме ця зона — найбільший виклик для будь-якої організації. Її не можна регламентувати інструкціями, бо вона лежить не у площині процесів, а у площині цінностей. І тому боротьба з людським фактором — це не про контроль, а про розуміння мотивації.

Від помилки до системного ризику

З кожної маленької помилки народжується великий ризик. Якщо її не виявити, не проговорити, не зробити висновок — вона стане нормою. І коли норма закріплюється, з’являється “культура обхідних шляхів”: замість перевірки — довіра, замість процедури — “я знаю краще”.

Саме тому в управлінні операційними ризиками людський фактор — не просто одна з категорій, а центральна вісь. Він об’єднує всі інші ризики — ІТ, репутаційні, регуляторні, фінансові. Бо в кожному з них, зрештою, стоїть людина — із її втомою, амбіціями, потребами, іноді — спокусами.

У наступних розділах ми спробуємо розібрати цей “механізм зсередини”:
як виникають помилки, чому з них виростає шахрайство, і що можуть зробити компанії, щоб побудувати систему, де чесність підкріплюється не лише вірою, а й структурою.

2. Анатомія людської помилки

Помилка — це найчесніший різновид ризику. Вона не має злого наміру, але завжди має наслідки. І що складніший процес — то вищі шанси, що хтось натисне не ту кнопку, не дочитає лист або просто втратить концентрацію.

Більшість операційних інцидентів починаються не з техніки, а з людини. За оцінками Human Factor in Risk 2024 (PwC), до 70% внутрішніх збоїв у фінансових установах мають людське походження. Типові причини — перевантаження, багатозадачність, нестача часу, або те, що психологи називають “рутинною сліпотою”: коли очі бачать, але мозок уже не реагує.

Українські реалії лише підсилюють ці ризики. У воєнних умовах люди працюють під стресом, іноді — з генератором і ноутбуком у коридорі під сирену. Відповідальність за десятки процесів концентрується на кількох людях, бо “ніхто інший не знає, як це робиться”. Помилка у таких обставинах — не слабкість, а закономірність. Проте система часто реагує не підтримкою, а покаранням — і тим самим лише підштовхує працівників до приховування промахів.

Одна страхова компанія у 2023 році втратила сотні клієнтів через серію некоректних SMS із нагадуваннями про оплату. Причина — зміна формату номера в базі даних, яку ніхто не перевірив. Жоден алгоритм не помітив помилку, бо людина не поставила позначку “перевірено вручну”. Потім з’ясувалося, що співробітниця просто поспішала, бо закінчувався робочий день під час відключення світла.

Такі історії не виняток — це типова “ланцюгова реакція”, де одна неуважність запускає десятки дрібних наслідків. Саме тому компанії, що прагнуть знизити операційні ризики, починають не з нових політик, а з нової культури помилок — де визнати промах не соромно, а корисно.

Як зазначає EIOPA Operational Risk Review 2023:

“Компанії, які швидко виявляють і аналізують дрібні помилки, рідше стикаються з великими інцидентами.”

Помилки неможливо усунути, але можна створити середовище, де вони не множаться. І головний рецепт тут простий: менше страху, більше прозорості. Бо система, у якій люди бояться визнавати промахи, неминуче накопичує їх у тиші.

3. Коли помилка перетворюється на схему

Будь-яке шахрайство починається з дрібниці. З першої “невинної” дії, яку легко пояснити: “Я просто трохи підправив суму”, “Я взяв тимчасово — потім поверну”, “Компанія ж не збідніє”. Так народжується ланцюг, який поступово змиває межу між помилкою й наміром. Внутрішнє шахрайство — це не лише про гроші, це про можливість і виправдання. Як описує класична модель “fraud triangle” (Donald Cressey, ACFE), будь-яке зловживання потребує трьох складових:

1. Тиск — особисті обставини, борги, страх втратити роботу;
2. Можливість — слабкий контроль, надмірна довіра, доступ до даних;
3. Раціоналізація — “мені недоплачують”, “усі так роблять”, “я заслуговую на це”.

І якщо перші два фактори може створити сама система, то третій — це вже справа корпоративної культури.

Українські реалії

У період турбулентності кількість таких “сірих зон” зростає. Коли кадри змінюються, процеси спрощуються, а перевірки відтерміновуються “до кращих часів”, спокуса завжди поруч. У 2023 році одна страхова компанія втратила понад 800 тисяч гривень через змову менеджера зі СТО. Схема була простою: завищення вартості ремонту, “відкати” за направлення клієнтів. А починалося все з маленької послуги — допомоги знайомому власнику СТО “підтягнути документи”.

Інший приклад — андеррайтер, який упродовж кількох місяців змінював у базі даних терміни дії полісів, продовжуючи їх без оплати. Мотив — не власна вигода, а бажання “зберегти клієнта”. Але наслідок той самий — збитки, недоотриманий дохід і ризик штрафів від регулятора. Межа між помилкою та шахрайством у таких випадках — лише питання часу й контексту.

Ознаки, що система дає збій

Згідно з PwC Global Economic Crime and Fraud Survey 2023, майже половина компаній (46%) вважають внутрішнє шахрайство головною загрозою довгостроковій стійкості бізнесу. І цікаво: більшість зловживань не пов’язані зі складними схемами, а з звичайними процесами, де контроль формальний, а відповідальність розмита.

Тривожні сигнали завжди однакові:

• співробітник, який “занадто незамінний”;
• операції, які ніхто не перевіряє двічі;
• регулярні виправлення даних “з технічних причин”;
• небажання відпускати людину у відпустку, бо “без неї все зупиниться”.

Якщо такі патерни стають нормою — система вже має тріщину. І жодна лінія довіри не допоможе, якщо працівники вважають, що “звертатися нагору небезпечно”.

Висновок

Людський фактор стає шахрайством тоді, коли компанія втрачає прозорість і забуває про баланс контролю та довіри. Там, де всі мовчать, з’являється простір для зловживань. Там, де помилки визнають і обговорюють — шахрайству складніше прорости.  Суть не в тому, щоб викорінити ризики, а в тому, щоб зняти романтику з “маленьких хитрощів” і повернути поняттю чесності його справжній зміст: це не моральна категорія, а елемент бізнес-стійкості.

4. Система запобіжників

Якщо людський фактор неминучий, то єдине, що може стримати його наслідки, — це система запобіжників. Вона не гарантує абсолютної безпеки, але створює структуру, де помилка не перетворюється на збиток, а спокуса — на схему.

Принцип «чотирьох очей»

У більшості українських компаній контроль «чотирьох очей» (dual control) уже звучить знайомо, але працює не завжди. Проблема не в самій процедурі, а в тому, що її часто обходять “для зручності”. Один співробітник перевіряє і вводить дані, інший лише формально підписує. Та коли перевірка стає звичкою, вона перестає бути перевіркою.

Найефективніші компанії впроваджують не лише розподіл ролей, а й динамічне чергування контролерів, щоб уникнути “звикання”. Наприклад, в одній страховій групі перевіряючих щомісяця змінюють — так жодна пара «очей» не притуплює пильність.

Контроль доступів і поведінкові індикатори

Більшість внутрішніх зловживань починається з доступу — зайвого, неперевіреного або “тимчасового”. Якщо система дозволяє працівникові одночасно створити, погодити й оплатити операцію — це вже не ризик, а вразливість. Тому головний принцип — мінімально необхідний доступ (least privilege) і регулярний перегляд прав.

Деякі українські компанії вже тестують поведінкові KRI — показники, що сигналізують про зміну звичної активності користувача. Наприклад: раптове зростання кількості правок у базі, доступи поза робочим часом, зростання частоти помилок у документах. Це не доказ шахрайства, а ранній сигнал, який допомагає вчасно зупинити проблему.

Розподіл обов’язків і “незамінні люди”

Якщо у компанії є працівник, без якого “нічого не працює”, — це не сила, а слабкість.
Саме в таких «незамінних» накопичуються повноваження, які важко контролювати.
Тому сучасна практика — регулярна ротація функцій, взаємозамінність і обов’язкові відпустки. У банківському секторі цей підхід закріплено нормативно, у страхових — поки що лише рекомендовано, але він працює. Один великий страховик в Україні після введення обов’язкової ротації помітив: кількість операційних інцидентів у бек-офісі скоротилася на 40% за пів року.

Культура відкритості

Жодна система не витримає, якщо люди мовчать. Тому запобіжники — це не лише технології, а й культура: можливість сказати про проблему без страху. Whistleblowing-канали, анонімні чати, “відкриті двері” для обговорення — усе це працює, якщо є довіра. І головне: коли керівництво реагує не покаранням, а аналізом.

Висновок

Система запобіжників — це не про підозру, а про відповідальність. Вона не створює атмосферу контролю, а забезпечує умови, у яких чесність легше, ніж порушення.
Бо справжній захист бізнесу — не в тому, щоб мати найкращі інструкції, а в тому, щоб помилка не мала шансів стати схемою.

5. Коли чесність стає політикою

У більшості компаній слово “чесність” звучить красиво, але абстрактно. На корпоративних плакатах воно поруч із “довірою”, “відповідальністю” й “командою”.
Але справжня доброчесність починається не в кодексах, а у щоденних дрібницях:
коли хтось визнає власну помилку, коли керівник не карає, а слухає,
і коли система винагороджує не лише результат, а й спосіб, яким його досягли.

Tone from the top

Культура доброчесності завжди починається зверху. Якщо керівництво закриває очі на порушення “заради плану”, ніякі політики не врятують. Працівники швидко вчаться, що головне — “не попастися”, а не “не зробити”. Навпаки, коли CEO або CRO публічно говорять про власні помилки, визнають складні ситуації й пояснюють, як із них вийшли — це створює зовсім інше поле.

Одна з українських компаній запровадила просте правило: кожен топменеджер раз на квартал ділиться з командою прикладом власної помилки й тим, що з неї виніс. За пів року атмосфера в колективі змінилась — кількість прихованих інцидентів скоротилась удвічі. Не через страх, а через приклад згори.

Whistleblowing як частина культури

Анонімні лінії, внутрішні “гарячі кнопки” та незалежні канали повідомлень — це не ознака недовіри, а інструмент самозахисту компанії. За даними ACFE 2024, саме через внутрішні повідомлення виявляється понад 40% випадків шахрайства, і у 60% з них — завдяки звичайним працівникам, а не аудиторам.

В Україні whistleblowing-інструменти ще тільки набувають популярності, але результати є. Кілька великих фінансових груп уже запровадили внутрішні платформи для повідомлень із повною анонімністю. Секрет успіху простий: не лише прийняти сигнал, а й показати, що він почутий. Бо коли люди бачать, що компанія реагує — довіра росте. А коли сигнал губиться у тиші — система помирає.

“Тиждень етики” і внутрішній діалог

Ще одна тенденція — “етичні тижні”, які стають популярними серед міжнародних страховиків і поступово доходять до України. Це не лекції, а розмови: обговорення дилем, реальних кейсів, спільний пошук відповідей на запитання “що робити, коли інструкція не дає відповіді?”. Саме такі формати формують у працівників внутрішній компас — розуміння не лише правил, а й сенсу.

Коли політика стає поведінкою

У підсумку доброчесність перестає бути “цінністю на папері” і стає політикою поведінки. Вона проявляється в дрібницях: у тоні електронного листа, у відкритому обговоренні конфлікту, у тому, що керівник не шукає винного, а шукає рішення. Коли чесність стає політикою, компанія перестає боятися ризиків — вона вчиться ними керувати. Бо там, де люди не бояться правди, — там ризик-менеджмент працює по-справжньому.

6. Навчити довіряти, але перевіряти

Людський фактор неможливо усунути — і в цьому його сила. Бо саме людина здатна приймати рішення, помічати неочевидне, рятувати ситуацію, коли система зависла.
Та водночас саме вона може її зламати. Тому справжнє мистецтво управління ризиками — не у викоріненні помилок, а у створенні середовища, де чесність має опору.

Баланс двох полюсів

Довіра без контролю — це наївність. Контроль без довіри — це страх. Між ними й проходить лінія зрілості будь-якої організації. Компанії, що вміють поєднувати ці два полюси, виграють: працівники відчувають відповідальність, але не тиск; керівництво має прозорість, але не підозрілість. У такій системі ризики не зникають — вони стають керованими і передбачуваними.

Люди як частина захисту

Сучасний ризик-менеджмент дедалі частіше говорить про “human firewall” — ідею, що працівники можуть бути не джерелом, а першою лінією оборони. Коли кожен розуміє свій вплив і має інструменти для дії — ризики зменшуються навіть без нових технологій. В основі цього — навчання, комунікація і щира підтримка тих, хто помиляється, але готовий виправити.

Одна компанія після серії ІТ-інцидентів запровадила просте правило: за перше ненавмисне порушення — не покарання, а коротке навчання і колективне обговорення.
Результат вразив: кількість повторних помилок упала утричі. Коли люди не бояться визнати слабке місце, система стає сильнішою.

Підсумок

Людський фактор — це не вада, а дзеркало організації. Він показує, наскільки в ній збалансовані довіра, контроль і культура спільної відповідальності. Тому головне завдання не “запобігти всім помилкам”, а навчити людей довіряти, але перевіряти — себе, колег, процеси, рішення. Тоді ризик-менеджмент перестає бути системою контролю й стає системою розвитку. Бо чесність, підкріплена структурою, — це найсильніший захист бізнесу. І, можливо, найкраща інвестиція, яку може зробити компанія у власне майбутнє.

Що далі

У наступній статті циклу ми поговоримо про ІТ-ризики та кібербезпеку — про той рівень операційних загроз, який дедалі частіше виходить за межі технічних департаментів і стає справою всієї компанії. Ми розберемо реальні приклади збоїв, витоків даних і кібератак, які коштували бізнесу грошей, клієнтів і сну, а також покажемо, як навіть невеликі компанії можуть вибудувати культуру цифрової

Сергій Бабич