Продовжуємо аналізувати операційні ризики.

4. П’ять історій з української практики

     1. Людський фактор: «Один зайвий нуль у платіжці»

Коли в офісі панує напруження, а бухгалтерія працює у форматі «все терміново», помилки трапляються частіше, ніж здається. Одна зі страхових компаній випадково перерахувала зайвий нуль у сумі виплати, відправивши клієнтові 120 000 грн замість 12 000. Усе через людський фактор — звичайне копіювання даних у Excel, без автоматичної валідації. Клієнт виявився добросовісним, гроші повернув, але інцидент став приводом для службового розслідування й оновлення внутрішніх контролів.

Урок ризик-менеджера: навіть найчесніша команда не застрахована від помилок.
Контроль повинен бути не лише формою звіту, а вбудованим запобіжником у процесі — подвійна перевірка, ліміти підписів, автоматичне блокування сум понад певний поріг.

2. Внутрішнє шахрайство: «Ремонт за свій рахунок»

Кілька років тому один з регіональних підрозділів страхової компанії «допомагав» клієнтам з ремонтом автомобілів після ДТП, направляючи їх до «своєї» СТО. Формально все виглядало бездоганно, але під час внутрішнього аудиту з’ясувалося: менеджер мав частку у сервісі й отримував відкат від кожного ремонту. Збитки для компанії склали кілька сотень тисяч гривень, а головне — репутаційні втрати серед клієнтів.

Урок ризик-менеджера: внутрішнє шахрайство не виникає на порожньому місці.
Воно проростає там, де немає чіткої розмежованості функцій, а контроль довіряють “своїм людям”. Ключ — ротація обов’язків, незалежний аудит і чітке розуміння, що доброчесність — це не довіра, а професійний стандарт.

3. ІТ-збій: «CRM, яка впала в понеділок»

Компанія запустила нову CRM-систему для обслуговування клієнтів. Усе працювало ідеально — до понеділка, коли після нічного оновлення база перестала відкриватися.
Підрядник, який відповідав за підтримку, не встиг повернути доступ, бо його сервери фізично перебували у Харкові, що саме потрапив під обстріл. Протягом двох днів компанія не могла оформлювати поліси, втративши не лише частину премій, а й довіру агентів.

Урок ризик-менеджера: ІТ-ризики — це не про технологію, а про план “що, якщо”.
Наявність резервної інфраструктури, копій даних і прописаного BCP (Business Continuity Plan) — не розкіш, а життєва необхідність. Навіть короткий збій може коштувати дорожче, ніж роки розробки.

4. Регуляторний ризик: «Штраф за звіт, якого ніхто не бачив»

Під час воєнного року одна зі страхових компаній отримала штраф від НБУ — за несвоєчасне подання звіту. Причина виявилася прозаїчною: відповідальний спеціаліст був у відпустці, а його заміну не призначили. Звіт був готовий, але ніхто не мав доступу до електронного кабінету НБУ, щоб натиснути кнопку “надіслати”. Штраф невеликий, але факт залишив слід у історії взаємин із регулятором.

Урок ризик-менеджера: ризик може бути не у звіті, а у процесі звітування.
Навіть банальна відсутність резервної ролі може призвести до санкцій. Система управління ризиками має охоплювати не лише фінансові процеси, а й людські взаємозв’язки та заміни.

5. Репутаційна хвиля: «Один пост у Facebook»

Усе почалося з емоційного поста клієнтки, якій, за її словами, “страхова компанія відмовила у виплаті без причини”. Публікація швидко зібрала тисячі реакцій і коментарів — більшість не читала навіть деталей, але негативна хвиля пішла лавиною. Насправді відмова була обґрунтованою: прострочення платежу, порушення умов договору. Та публічна реакція компанії запізнилась на два дні — і це стало вироком у медійному просторі.

Урок ризик-менеджера: репутаційні ризики не починаються з фактів — вони починаються з мовчання. Кожна компанія має мати сценарій комунікації у кризі, визначених спікерів і правило: «24 години — максимум на відповідь».
Бо сьогодні довіра живе не у контрактах, а у коментарях.

Післямова

Ці історії — не про провали, а про навчання. Вони показують, що операційні ризики — це не винятки з правил, а частина щоденної динаміки бізнесу. Кожен інцидент — це “чорна скринька” компанії, з якої можна витягти головний запис: де система не витримала, де контроль не спрацював, де людина залишилась без підтримки. І саме ці уроки формують справжню культуру ризик-менеджменту — не як нагляд, а як спільну мову відповідальності.

5. Операційні ризики у цифрах і фінансах

У бухгалтерських звітах операційні ризики не мають власного рядка. Вони не виглядають як стаття витрат — радше як тінь, що проходить через кілька рядків одразу. Але саме ця тінь часто визначає різницю між компанією, яка просто виживає, і тією, що стабільно заробляє.

Де ховаються операційні втрати

Світова статистика вражає. За даними Operational Riskdata eXchange (ORX), понад 60% усіх операційних втрат у фінансовому секторі пов’язані з людським фактором і процесними збоями, а середній розмір події становить близько 70 тис. євро. І це — без урахування кіберінцидентів, які за останні п’ять років збільшили частоту втрат у шість разів (ORX Cyber Report 2024).

В українських реаліях цифри офіційно не публікуються, але аналіз звітності та кейсів дозволяє оцінити масштаб: навіть одна суттєва помилка або штраф за невчасну звітність може коштувати від 0,5% до 2% річного прибутку страховика. І якщо додати втрати через низьку операційну ефективність — затримки у врегулюванні, дублювання функцій, неузгоджені процеси — то сукупно йдеться про 10–15% потенційного фінансового результату.

Як ризики з’їдають прибуток

Операційні ризики рідко проявляються одномоментно. Вони нагадують крапельницю, що постійно витікає: тут — кілька зайвих днів у врегулюванні, там — втрата клієнта через затримку, далі — штраф за звітність. Окремо — дрібниці, разом — системна втрата.

• Фінансові наслідки: прямі витрати на усунення інциденту, штрафи, повернення переплат, втрати премій.
• Капітальні наслідки: зростання SCR (Solvency Capital Requirement), якщо ризики відображені у внутрішній моделі чи ORSA.
• Нефінансові наслідки: репутаційні збитки, падіння довіри, погіршення рейтингу у НБУ чи МТСБУ.

У більшості компаній ці втрати не вимірюються — їх просто розчиняють у “адміністративних витратах”. Але саме вони формують розрив між плановим і фактичним ROE, який часто здається «незрозумілим». Розгадка проста: це не стратегія не спрацювала, а система підточила сама себе зсередини.

ORSA і SCR: як операційні ризики впливають на капітал

Згідно з вимогами EIOPA Guidelines on ORSA (2022), кожна страхова компанія має кількісно оцінювати вплив операційних ризиків на власний капітал — навіть якщо немає точних моделей. Українські страховики дедалі частіше включають такі оцінки до розрахунків Solvency Capital Requirement (SCR), щонайменше у вигляді експертного доповнення.

Типовий підхід такий:

• для базового сценарію приймається рівень операційних втрат у 1–2% від чистих премій;
• для стрес-сценарію — 3–5%, залежно від рівня автоматизації та якості контролів.
  Навіть невелика подія може змінити профіль SCR, якщо ризик виявляється системним — наприклад, масовий збій CRM або невиконання вимог регулятора щодо звітності.

У підсумку операційні ризики впливають не лише на прибуток, а й на вартість капіталу: чим вищий їх рівень, тим більше капіталу потрібно резервувати. Тобто кожна помилка, навіть незначна, — це не просто витрата, а зменшення фінансової гнучкості компанії.

Зв’язок із ризик-апетитом

Управління операційними ризиками поступово стає частиною ризик-апетиту компанії. Якщо раніше декларації обмежувалися загальними формулюваннями (“допустимий рівень операційних втрат — низький”), то зараз дедалі більше компаній вводять конкретні ліміти у гривнях або відсотках від премій.

Наприклад:

• “Сукупні операційні втрати не мають перевищувати 1,5% річного прибутку”;
• “Частка ІТ-інцидентів із порушенням SLA не перевищує 5% загальної кількості кейсів.”

Такі параметри стають фінансовими маяками, що допомагають CRO і фінансовому директору розмовляти однією мовою. Адже поки ризики не переведені у гроші — вони здаються далекими. Але щойно кожен відділ бачить, скільки коштує збій або помилка, ризик-менеджмент перестає бути теорією.

Висновок

Операційні ризики — це економіка дрібниць. Вони не зруйнують компанію за день, але здатні непомітно з’їсти її маржу, якщо їх не вимірювати і не контролювати. У світі, де маржинальність падає, а капітальні вимоги зростають, управління операційними втратами стає новим видом фінансової дисципліни. Бо кожна “дрібна” помилка — це не просто збиток, а втрачена можливість. І вміння бачити цю невидиму економіку — головна різниця між бізнесом, який реагує, і бізнесом, який передбачає.

6. Як компанії вчаться управляти операційними ризиками

Управління операційними ризиками — це не про “запобігти всьому”. Це про вміння жити у складному світі, де людські помилки, технічні збої та регуляторні зміни — не виняток, а реальність. І головне питання не “чи станеться інцидент”, а “як швидко ми його побачимо, зупинимо і навчимося на ньому”.

Від формалізму до усвідомленого управління

Ще кілька років тому більшість компаній сприймали операційні ризики як обов’язкову «додаток до політики». Реєстри інцидентів, KRI, карти ризиків існували — але для перевірки. Проте війна, цифровізація й нові вимоги НБУ змусили бізнес подивитись на це інакше.

Сьогодні дедалі більше страховиків переходять від заповнення таблиць до динамічного управління ризиками, коли інциденти аналізуються в режимі реального часу, а рішення приймаються одразу після сигналу. Наприклад, у деяких компаніях звіти з ключових KRI формуються автоматично — якщо рівень невідповідностей або затримок у врегулюванні перевищує поріг, система надсилає сповіщення CRO і керівнику підрозділу. Так ризик перестає бути «паперовим», а стає інструментом оперативного реагування.

Роль CRO: від наглядача до партнера бізнесу

Найбільша трансформація відбулася у ролі головного ризик-менеджера. Колись його бачили як «контролера з червоною ручкою» — того, хто лише зупиняє ініціативи. Сьогодні ефективний CRO — це радник і перекладач, який допомагає бізнесу зрозуміти, де проходить межа між прийнятним ризиком і необачним кроком. Його завдання — не боятись сказати “так, але з умовами”, а не просто “ні”.
У найкращих практиках (Munich Re, Allianz, Lloyd’s) саме CRO формує мову ризику:

• переводить складні регуляторні вимоги у прості бізнес-рішення;
• будує зв’язок між ризиками, капіталом і прибутком;
• координує три лінії захисту — операційний менеджмент, ризик-функцію і внутрішній аудит.

Як влучно сказано в дослідженні McKinsey “Accelerating impact from day one” (2023):

“Сучасний CRO не оцінює ризики — він допомагає бізнесу приймати розумні рішення у світі невизначеності.”

 KRI — нервова система управління

Ключові індикатори ризику (KRI) — це те, що перетворює ризик-менеджмент з аналітики у моніторинг життя компанії. Як температура у пацієнта, вони не лікують, але показують, коли починається лихоманка. Для операційних ризиків це може бути:

• частота інцидентів на 1000 операцій;
• середній час відновлення ІТ-системи;
• частка помилкових виплат;
• рівень плинності персоналу;
• кількість порушень SLA з постачальниками.

Компанії, що реально впровадили систему KRI, отримали просту, але революційну зміну: керівники почали бачити ризики не раз на квартал у звіті, а щодня на екрані дашборда. І це зробило ризик-менеджмент частиною операційного управління, а не паралельним світом.

Ризик-апетит як компас

Інший важливий крок — інтеграція операційних ризиків у ризик-апетит компанії.
Замість абстрактних гасел на кшталт “уникати помилок”, сьогодні дедалі частіше звучить: “допустимий рівень втрат — до 1% річного прибутку”, “час відновлення після інциденту — не більше 8 годин”. Так ризик-апетит перестає бути декларацією і стає управлінським інструментом — він допомагає не лише оцінювати ризики, а й балансувати між швидкістю та безпекою.

Саме тут роль CRO особливо важлива. Він має пояснити правлінню, що ризик-апетит — не про заборони, а про усвідомлений вибір: скільки невизначеності компанія готова прийняти, щоб зберегти темп розвитку. Це тонка межа, але саме вона відділяє страх від стратегічної обережності.

Культура ризику як фундамент

Жодна система не працює без культури. Там, де працівники бояться повідомляти про помилки, — ризики множаться. А там, де їх заохочують ділитися “near miss”-подіями, — з’являється імунітет. Тому провідні компанії будують “безкарну зону” для інцидентів — де головне не знайти винного, а зрозуміти, чому це сталося.

Коли операційний ризик перестає бути “чужим”, а стає спільною відповідальністю,
з’являється справжня зрілість. Це те, що міжнародні експерти називають “risk intelligence” — здатність усіх співробітників мислити категоріями ризику у своїй повсякденній роботі.

Приклад із практики

В одній українській компанії після серії внутрішніх інцидентів було запроваджено щомісячний “ризик-бріфінг”: кожен підрозділ коротко доповідає про помилки, затримки, конфлікти з клієнтами. Замість пошуку винних, команда аналізує причини і шукає запобіжники. Через пів року кількість інцидентів знизилась удвічі, а середній час врегулювання збитків — скоротився на третину.

Висновок простий: управління операційними ризиками — це не про контроль, а про зворотний зв’язок. Саме він створює культуру, у якій ризик — не ворог, а джерело вдосконалення.

Підсумок

Справжня зрілість компанії вимірюється не кількістю політик, а тим, як швидко вона здатна побачити власну помилку і перетворити її на урок. Операційні ризики не можна усунути — але можна навчитися жити з ними усвідомлено. Це і є новий стандарт управління: не “zero risk”, а “smart risk”.

7. Уроки тихого фронту

На війні бувають лінії оборони, яких не видно на карті. Тиша там оманлива — але саме там вирішується результат бою. Так само й в управлінні компанією: операційні ризики — це тихий фронт бізнесу, де немає гучних перемог, але є щоденна боротьба за точність, відповідальність і довіру.

Ми звикли сприймати ризики як щось зовнішнє — курси валют, ринки, клімат. Та найнебезпечніші ризики завжди всередині: у звичках, мовчанні, байдужості,
у фразі “та хто ж міг знати?”. Операційний ризик — це не збій системи, а відображення того, як ми працюємо, навчаємось і спілкуємось. І що чесніше компанія дивиться в це дзеркало, то менше шансів, що воно розіб’ється.

Український ринок пройшов надзвичайне випробування — і довів, що може бути гнучким, коли зовнішні ризики перевищують будь-які моделі. Та попереду інший виклик: навчитися впорядковувати внутрішню складність. Не боятися помилок, але робити з них висновки. Не замовчувати інциденти, а розглядати їх як точки зростання. Не шукати ідеальну формулу, а створювати середовище, де ризик-менеджмент — це не окрема функція, а спосіб мислення кожного працівника. Бо операційні ризики — це не про контроль, а про зрілість. Не про покарання, а про навчання. І не про звітність, а про внутрішню чесність організації перед собою.

Тихий фронт не закінчується

Щодня у будь-якій компанії хтось натискає кнопку “надіслати”, приймає рішення, вносить дані, спілкується з клієнтом. І саме в цих мікромоментах народжується безпека бізнесу — або його вразливість. Тому перемога на тихому фронті не має феєрверків.
Вона виглядає інакше:

• учасники команди не бояться повідомити про помилку;
• CRO і CEO говорять однією мовою;
• ризик-апетит — не таблиця, а живий діалог про межі прийнятного;
• кожна криза стає джерелом нового досвіду.

Можливо, саме це і є справжній зміст сучасного управління ризиками — бачити силу у вразливості й порядок у невизначеності. Бо компанія, яка вміє слухати свій тихий фронт, ніколи не буде застиглою — вона буде живою.

Ця стаття — лише перша сторінка великої розмови про операційні ризики.
У наступних матеріалах ми заглибимося у конкретні теми: від людського фактору і внутрішнього шахрайства до кіберризиків, регуляторних викликів і ролі третіх сторін у створенні вразливостей бізнесу. Ми розберемо, як ці ризики проявляються у фінансових показниках, як формуються системи KRI та ризик-апетиту, і які уроки вже винесли українські компанії. Мета циклу — показати, що операційні ризики — це не “технічна” категорія, а жива історія компанії, у якій кожна помилка може стати або загрозою, або точкою зростання.

Сергій Бабич