Цією статею розпочинаємо цикл під умовною назвою “Операційні ризики під мікроскопом: де компанії реально втрачають гроші”

1. Тихий фронт бізнесу

У будь-якій компанії є фронти, які не видно зовні. Без гучних заголовків, без фінансових катастроф, але саме там вирішується доля бізнесу.
Це фронт щоденних рішень, людських помилок, технічних збоїв і дрібних компромісів — те, що у фінансовій звітності називають сухим терміном “операційні ризики”.

У реальності ж це — найлюдяніші з усіх ризиків. Вони народжуються там, де людина натискає не ту кнопку, де система зависає у критичний момент, де лист до регулятора не відправили через відпустку бухгалтера. Це ризики без пафосу, без грому і блискавки. Але вони можуть зробити те, чого не здатен навіть ринковий шторм: поступово зруйнувати довіру — основу бізнесу.

Парадокс у тому, що про ці ризики всі знають, але рідко хто їх справді відчуває.
Фінансовий директор бачить цифри. Андеррайтер — тарифи. ІТ-фахівець — систему.
А операційний ризик живе між цими світами, у невидимих швах організації.
Саме там, де стикаються процеси, повноваження, час і людська втома.

У світі цей “тихий фронт” вже давно не є другорядним. Згідно з даними Operational Riskdata eXchange (ORX), операційні втрати у фінансовому секторі перевищують 300 млрд доларів щороку. І найстрашніше — більшість із них не пов’язані з великими катастрофами. Це — дрібні збої, помилки, внутрішні зловживання, які накопичуються, як пил у механізмі. Врешті-решт, навіть найблискучіший бізнес-план не витримує, якщо у ньому щоранку “застряє” операційна реальність.

Український бізнес, особливо страховий, пережив цей “фронт” з подвійним навантаженням. Війна, релокація персоналу, віддалена робота, кіберзагрози, постійні зміни вимог НБУ — усе це стало ідеальним середовищем для операційних ризиків.
Коли команда працює з різних міст і країн, коли ключові люди виїжджають або служать, коли процеси змінюються щотижня — тоді навіть незначна помилка може запустити ланцюг серйозних наслідків.

Та водночас цей період показав: саме на цьому “невидимому фронті” українські компанії продемонстрували дивовижну стійкість.
Там, де раніше був формалізм і звички, з’явилися імпровізація, довіра і реальний ризик-менеджмент — не на папері, а у щоденних рішеннях. Бо справжній зміст операційних ризиків — не в описах подій, а у вмінні вчитися на них.
І сьогодні, коли ринок поступово виходить із фази виживання до фази розвитку, настав час не лише фіксувати втрати, а зрозуміти, чому вони стали можливими. Що стоїть за кожною помилкою: недолік контролю, втома, байдужість, чи, можливо, відсутність культури відповідальності?

Операційні ризики — це своєрідна індикаторна панель компанії. Якщо вони множаться — значить, десь перегоріла лампа управлінської уваги. Якщо вдається їх зменшувати — значить, компанія дорослішає. Це не просто «ризики процесів», це лакмусовий папірець зрілості бізнесу, що показує, наскільки в ньому збудовані реальні зв’язки між людьми, процесами і технологіями.

2. Що таке операційний ризик у сучасному розумінні

Колись операційний ризик вважали чимось другорядним — “залишком після всіх інших ризиків”. Тим, що не підпадало під категорії “ринковий”, “кредитний” або “страховий”, — отже, ніби не варте системної уваги. У банках його описували як “усе інше”, у страхових — як “похибку процесів”. І лише після низки гучних провалів — від помилок у торгівельних системах до шахрайських схем у відділах продажу — світ зрозумів: це не залишок, це основа.

 Від «іншого ризику» до головного показника зрілості системи

Поворот стався після скандалів на початку 2000-х — Barings Bank, Allied Irish Banks, Société Générale, де втрати через людські дії, маніпуляції або прогалини у контролях сягали мільярдів доларів. Basel II уперше офіційно визначив операційний ризик як: “ризик втрат, що виникають унаслідок неадекватних або помилкових внутрішніх процесів, дій людей, систем чи зовнішніх подій” (Basel Committee on Banking Supervision, 2004).

Відтоді це визначення стало стандартом не лише для банків, а й для всіх фінансових інституцій — від страхових компаній до інвестфондів. Європейські регулятори (EIOPA, PRA, BaFin) розвинули цю логіку далі: операційні ризики — це не просто збитки від помилок, а дзеркало системи управління, яке показує, наскільки компанія здатна вчитися, прогнозувати й реагувати.

Класифікація, що говорить більше, ніж здається

Сучасна класифікація операційних ризиків включає шість великих груп (у різних моделях — від семи до дев’яти):

1. Людські помилки та внутрішнє шахрайство.
2. Зовнішнє шахрайство.
3. Порушення трудових практик або безпеки праці.
4. Недоліки у процесах та системах.
5. Збої ІТ-інфраструктури, кіберінциденти.
6. Ризики зовнішніх подій (force majeure, війна, пандемії).

Цей перелік виглядає як технічна таблиця, але насправді — це портрет компанії, у якому видно все: чи є культура звітності, чи працює внутрішній аудит, чи навчають людей на помилках, чи просто “зачісують” інциденти перед перевіркою.

Українська специфіка: формалізм проти культури

В Україні поняття “операційний ризик” офіційно закріпилося лише кілька років тому — спочатку в банківському секторі, згодом у страховому, після набуття чинності Постановою НБУ №194. Регулятор визначив його майже дослівно за Basel-стандартом, але додав важливий акцент — ризики мають оцінюватися у взаємозв’язку з ризик-апетитом та профілем ризиків компанії. Це начебто проста вимога, але насправді вона змінила логіку всього процесу: від “звіту про втрати” до “розуміння причин”. Раніше операційні ризики сприймали як бюрократичний тягар: “треба заповнити таблицю”. Тепер вони стають інструментом самодіагностики, що дозволяє виявити слабкі місця до того, як вони проявляться у звіті про збитки.

Чому цей ризик — найживіший

На відміну від фінансових, які можна порахувати формулою, операційний ризик — живий, бо його джерело завжди людське. Він народжується там, де людина робить вибір: сказати правду чи приховати, перевірити ще раз чи довіритись інтуїції, дотриматись процедури чи “пропустити дрібницю”. Тому найкраща система контролів не замінить етики, відповідальності та культури взаємоповаги.

Як зазначає Institute of Operational Risk (IOR, 2023),

“у більшості випадків корінь проблеми — не відсутність процедури, а відсутність поведінкової дисципліни”.

Тому компанії, які розуміють природу цього ризику, не женуться за формулами, а будують екосистему контролю, де правила підкріплюються довірою, а довіра — перевіркою.

Підсумовуючи

Операційний ризик — це не “інший”, не “залишковий” і не “допоміжний”. Це той ризик, який об’єднує всі інші, бо кожен фінансовий збиток зрештою має людське, технологічне або процесне коріння. Його важко побачити, доки не трапиться інцидент, але ще важче усунути, якщо компанія не готова змінювати культуру.

Саме тому управління операційними ризиками сьогодні — не технічна функція, а лакмусовий тест зрілості управління. А для українських страховиків і банків — ще й доказ того, що навіть у найскладніших умовах можна побудувати систему, яка не просто реагує на ризики, а вчиться жити разом із ними.

3. Український контекст: після війни, у цифровому світі, під наглядом НБУ

Війна змінила все — навіть операційні ризики. Те, що раніше здавалось “внутрішньою кухнею” компаній, стало питанням виживання. Коли повітряна тривога зупиняє процес врегулювання, коли бухгалтер у Чернівцях не може зв’язатись із аналітиком, який евакуювався до Польщі, коли сервер стоїть у Києві, а дата-бекап у Харкові — це вже не про комфорт, це про стійкість бізнесу. У таких умовах операційні ризики з формальної категорії перетворилися на практичний вимір життєздатності.
І якщо до 2022 року більшість компаній сприймали їх як частину звітності, то тепер вони зрозуміли: це ризики, які визначають, чи зможе компанія працювати завтра.

Війна як “стрес-тест” для процесів і культури

За останні два роки українські страхові компанії пройшли наймасштабніший у своїй історії тест на операційну витривалість.
Умовно це був “natural experiment”:

• зникли звичні офіси, і робота перейшла у віддалений формат;
• змінилися комунікаційні канали, що збільшило ризики витоку даних;
• частина персоналу мобілізована або виїхала за кордон, виник дефіцит компетенцій;
• логістика та ланцюги постачання зруйновані, що вплинуло на виплати, ремонти, огляди;
• регуляторні вимоги не зменшились, а навпаки — зросли.

Як наслідок, виник цілий пласт “нових операційних ризиків”:

• помилки у введенні даних через перевантаження;
• втрата ключових працівників без формалізованої передачі функцій;
• нерівномірна якість процесів між офісами;
• неконтрольоване зростання доступів до систем (щоб “робота не стояла”);
• відсутність чітких процедур Business Continuity Plan у момент евакуацій.

Як слушно зазначив один із українських CRO на конференції UARisk Forum 2024:

“Бізнес не зламався не тому, що мав ідеальні процедури, а тому, що мав людей, які в критичний момент діяли не за інструкцією, а за совістю.”

Це — точне визначення нової епохи управління операційними ризиками: коли на перше місце виходить людська стійкість, гнучкість і довіра.

Цифровізація: нові можливості — і нові пастки

Паралельно з війною відбулася безпрецедентна цифрова трансформація:
електронні поліси, онлайн-врегулювання, дистанційні ідентифікації клієнтів.
Те, що у 2019 році здавалося майбутнім, у 2023 стало буденністю. Але разом із прогресом прийшли нові ризики. Кіберінциденти, фішингові атаки, збої в CRM, несанкціонований доступ до баз даних — усе це стало новою нормальністю для українських компаній. Згідно з дослідженням KPMG Cyber Survey Ukraine 2024, понад 60% компаній стикалися з принаймні одним кіберінцидентом протягом року, причому третина з них — у страхових і фінансових структурах. При цьому лише близько 40% мають затверджені плани реагування на такі події. Цифрова інфраструктура зробила бізнес швидшим, але й вразливішим. Помилка у налаштуванні API або забута роль користувача в системі доступів може обернутись реальною фінансовою втратою або витоком персональних даних. А будь-який витік — це не лише ІТ-проблема, а ще й репутаційний та регуляторний ризик, бо НБУ дедалі частіше розглядає такі події як порушення вимог інформаційної безпеки.

Нові правила гри від НБУ

Регулятор після 2021 року взяв чіткий курс на підвищення зрілості систем управління ризиками. Постанова №194 “Про організацію системи управління ризиками” закріпила вимоги, які раніше були притаманні лише банкам. Тепер кожна страхова компанія зобов’язана:

• визначити перелік операційних ризиків;
• оцінити їх вплив на капітал;
• встановити ліміти, KRI, сценарії подій та плани реагування;
• інтегрувати результати оцінки у систему ризик-апетиту.

Це не просто бюрократія. НБУ поступово формує “ризик-культуру звітності”, коли операційні інциденти більше не приховуються, а розглядаються як джерело покращення процесів. І ті компанії, які це зрозуміли, виграють. Бо нова логіка регулювання — не покарати, а змусити побачити власні слабкі місця.

Як показує досвід перших перевірок, найбільш вразливі зони — ІТ-ризики, людський фактор і ризики третіх сторін. Саме вони найчастіше стають джерелом операційних втрат, штрафів або репутаційних проблем. Регулятор тепер очікує не списків, а аналітики причин: чому сталася подія, які уроки винесені, і чи змінився після цього ризик-профіль компанії.

Підсумок: операційна стійкість як національний виклик

Український бізнес вийшов на новий рівень, де операційна стійкість — не конкурентна перевага, а умова виживання. Війна, цифровізація і регуляторна еволюція злилися в один потік змін, який не залишає місця для формалізму. Тепер кожна компанія має відповідати на три прості, але фундаментальні запитання:

1. Чи ми готові працювати завтра, якщо знову не буде світла або інтернету?
2. Чи ми зможемо звітувати перед регулятором, якщо ключовий аналітик втратить доступ до бази?
3. Чи знаємо ми, які втрати вже відбулися — не у звіті, а в реальному житті?

Відповіді на ці питання і є справжнім індикатором того, наскільки компанія здатна керувати операційними ризиками у XXI столітті — у світі, де форс-мажор став щоденною нормою.

Цим ми завершуємо першу частину статті. Далі  спробуємо проаналізувати деякі практичні кейси українських компаній, подивимось, як операційні ризики відображаються у цифрах і фінансах, а також, і це головне, як компанії управляють операційними ризиками.  

Сергій Бабич