У світі ризик-менеджменту є поняття, без яких неможливо побудувати ефективну систему управління ризиками. Одним із таких є поділ ризиків на поточні (inherent) та залишкові (residual). Цей поділ здається формальним лише на перший погляд, але насправді він є одним із ключів до розуміння, де компанія справді вразлива і чи адекватні її заходи контролю.

Що таке поточний ризик і чому він важливий

Поточний ризик — це рівень ризику, який існує до застосування будь-яких заходів контролю. Це своєрідне «чисте» уявлення про те, наскільки сильно може вдарити певний ризик, якщо його просто залишити поза увагою. Наприклад, якщо компанія обробляє персональні дані клієнтів без будь-яких засобів шифрування, без контролю доступу та резервного копіювання — то ризик витоку даних у цьому випадку і є поточним. Знати поточний ризик — це як бачити первинну силу стихії. Це точка відліку, яка дозволяє оцінити ефективність уже існуючих або запланованих заходів контролю.

Поточний ризик формують:

• природа процесу або продукту;
• зовнішнє середовище (регуляторне, конкурентне);
• внутрішні особливості бізнесу (складність, люди, технології).

“Уявіть, що ви запускаєте новий страховий продукт для агросектору. Ви не маєте історичних даних, актуарна модель базується на припущеннях, а клієнти не завжди прозоро звітують. Це типовий приклад високого поточного ризику.”

Що таке залишковий ризик

Залишковий ризик — це те, що залишається після застосування заходів контролю. Наприклад, якщо компанія все ж таки запровадила захист паролем, багатофакторну автентифікацію, систему моніторингу доступу — рівень ризику суттєво знижується. Але він не зникає повністю. Може статися людська помилка, може не спрацювати механізм резервного копіювання, може статися витік через підрядника. І ось цей залишок потенційної шкоди — і є залишковим ризиком.

Саме залишковий ризик — той, який компанія приймає на себе свідомо, і саме він має бути співвіднесений із ризик-апетитом.

Залишковий ризик важливо вимірювати повторно і критично оцінювати: чи дійсно контролі працюють?

“У тому ж прикладі агропродукту, ви вводите обов’язкову перевірку кредитної історії фермерів, проводите польові інспекції перед укладанням договору, укладаєте перестрахування. Але все одно залишається ризик несприятливих погодних умов і фальсифікованих звітів. Це і є залишковий ризик.”

Чому це важливо для керівництва

Плутанина між поточним і залишковим ризиком — одна з найтиповіших помилок у ризик-менеджменті. Якщо звіт про ризики подає лише залишковий ризик, а керівництво не знає, від чого саме компанія захищається — це може створити хибне відчуття безпеки.

Навпаки, коли керівник бачить: «поточний ризик — високий, але ми знизили його до середнього завдяки таким-то заходам» — він розуміє цінність системи контролю. І може ухвалювати зважені рішення щодо подальших інвестицій у захист.

Приклади із життя:

Кейс 1: ІТ-ризик при міграції системи

Страхова компанія вирішила перейти на нову CRM-систему. Поточний ризик — втрати даних під час міграції, або порушення безперервності роботи. За оцінками, потенційний збиток у разі повного збою міг сягнути понад 5 мільйонів гривень (втрати клієнтів, репутаційні наслідки, штрафи).

Команда ризик-менеджменту запровадила заходи: подвійне резервне копіювання, тестування на окремому середовищі, паралельний запуск старої і нової систем. У результаті — залишковий ризик було знижено до прийнятного рівня: ймовірність інциденту стала дуже низькою, а очікувані втрати — незначними. Проєкт був реалізований без проблем, а керівництво отримало впевненість у контрольованості процесу.

Кейс 2: Ризик шахрайства при онлайн-продажах страхових полісів

Одна з компаній вирішила зробити серйозний крок до цифрової трансформації — запровадити платформу для онлайн-продажу полісів. Мета була очевидна: скоротити витрати, зменшити залежність від посередників і надати клієнтам зручний спосіб купувати страхування. Але з першими ж продажами з’явився новий масштаб ризику — ризик шахрайства.

Поточний ризик: Високий

У традиційній моделі клієнта ідентифікує агент, часто особисто перевіряючи документи. В онлайн-форматі це зникає. У результаті — потенційно будь-хто може оформити страховий поліс, використовуючи фальшиві документи або чужі персональні дані. Це відкриває двері до організованого шахрайства, наприклад, створення фіктивних ДТП для отримання виплат. Без контролів ситуація могла б призвести до значних збитків.

Контролі: BankID + поведенковий аналіз

Команда ризик-менеджменту і фахівці з безпеки запропонували низку заходів:

• Запроваджено ідентифікацію через BankID, що дозволяє підтвердити особу клієнта через його банк — без потреби у паперових документах.
• Додатково впроваджено систему поведінкового аналізу, яка виявляє нетипові дії користувача: надто швидке заповнення форми, використання проксі-серверів, повторне оформлення полісів із тієї ж IP-адреси.

Залишковий ризик: Середній

Попри ефективність заходів, деякі схеми шахраїв все ще працюють — особливо у випадках, коли справжні особи свідомо беруть участь у махінаціях. Але загалом ситуацію вдалося взяти під контроль: кількість фродових заяв зменшилася вдвічі, а середня сума виплат за сумнівними випадками скоротилася на 70%. Компанія зберегла можливість розвивати онлайн-канал, водночас мінімізувавши ризики до прийнятного рівня.

Кейс 3: Запуск нового інвестиційного продукту

Страхова компанія вирішила диверсифікувати портфель і запустити новий інвестиційний продукт, що поєднує страхування життя з можливістю накопичення на пенсію через інструменти фондового ринку. Ідея була перспективною — але водночас несе у собі високий рівень ризику, особливо з огляду на турбулентність ринку.

Поточний ризик: Високий

Головна вразливість — це недостатній досвід у керуванні такими інструментами всередині компанії. Команда з продажів, андеррайтингу і навіть бек-офісу раніше працювали здебільшого з класичними продуктами. Додаймо до цього високу волатильність ринку, і ми отримаємо ризик репутаційних та фінансових втрат: клієнти можуть недоотримати обіцяний дохід, що створить хвилю негативу.

Контролі: тестування, ліміти, навчання

Щоб зменшити ризик, було обрано поетапну стратегію:

• Пілотний запуск продукту — спочатку обмежена кількість клієнтів, обмежений набір активів.
• Введено ліміти на експозицію: жоден клієнт не міг інвестувати понад певну суму, а структура портфеля регулювалася внутрішніми політиками.
• Проведено навчання персоналу: від технічних фахівців до консультантів, щоб усі розуміли не тільки правила, а й типові помилки.

Залишковий ризик: Помірний

Завдяки впровадженим заходам, компанія змогла уникнути провалу. Так, інвестиційний дохід не завжди відповідав очікуванням клієнтів, але його коливання залишалися в межах, про які було попереджено заздалегідь. Внутрішні перевірки не виявили серйозних порушень, а кількість скарг залишилася мінімальною. Залишковий ризик — все ще існує, особливо у зв’язку з ринковою нестабільністю, але компанія прийняла його як контрольований і передбачуваний.

Чому залишковий ризик ніколи не дорівнює нулю

Жодна система не є ідеальною. У кожному контролі є сліпі зони. Люди можуть помилятися, технології можуть давати збій. Саме тому залишковий ризик — це завжди компроміс між рівнем безпеки та витратами на її забезпечення. У певний момент компанія каже: «Цей ризик ми готові прийняти, бо його вартість зменшення буде більшою, ніж потенційна шкода».

Типові помилки в роботі з поточним і залишковим ризиком

Навіть у компаніях, які вже запровадили систему управління ризиками, зустрічаються типові помилки у трактуванні понять поточного (inherent) та залишкового (residual) ризику. Ці помилки можуть здатися незначними, але на практиці саме вони нерідко призводять до серйозних управлінських збоїв і втрати контролю над реальними загрозами. Ось  найпоширеніші:

1. Оцінюють лише залишковий ризик

У чому суть помилки:
Компанія фіксує в реєстрі ризиків лише залишковий ризик — тобто той, що лишається після впровадження контролів. При цьому ігнорується рівень ризику до застосування заходів, а отже, втрачається розуміння, наскільки суттєвою є сама загроза в «дикому» стані.

Наслідки:
Таке спрощення формує у керівництва ілюзію безпеки. Наприклад, у звіті бачать «середній ризик витоку даних» — і не підозрюють, що без контролів цей ризик був би критичним. Це унеможливлює правильну пріоритизацію заходів і створює ризик недооцінки загроз, якщо контролі раптом з якихось причин вийдуть із ладу.

Приклад з практики:
В одній компанії залишковий ризик шахрайства з електронними полісами було оцінено як «низький», завдяки впровадженню BankID. Але ніхто не зафіксував, що поточний ризик у разі вимкнення системи ідентифікації — дуже високий. І коли одного разу BankID тимчасово став недоступним, компанія продовжувала продаж полісів без резервних механізмів перевірки — чим негайно скористалися зловмисники.

2. Не переглядають залишковий ризик

У чому суть помилки:
Після початкової оцінки залишкового ризику компанія вважає, що він незмінний. Контрольні заходи впроваджено, документ розроблено — і питання «закривається». Але ж ризик-середовище динамічне.

Наслідки:
Контроль, що був ефективним рік тому, може виявитися неактуальним сьогодні. Змінюються контрагенти, програмне забезпечення, змінюються навіть мотиви шахраїв. Якщо залишковий ризик не переглядати регулярно, компанія поступово втрачає об’єктивність і ризикує пропустити момент, коли рівень загрози знову зросте.

Приклад з практики:
Страхова компанія впровадила обмеження доступу до чутливої інформації через VPN і паролі. Залишковий ризик кібератак був визначений як «низький». Але з часом частина співробітників почала працювати з мобільних пристроїв без оновлень системи безпеки, зʼявилися нові фішингові схеми, а один із підрядників узагалі зберігав резервні копії на незахищеному сервері. При черговій перевірці виявилось, що реальний залишковий ризик знову високий — хоча формально він залишався «низьким» у реєстрі ризиків.

3. Змішують оцінки поточного і залишкового ризику

У чому суть помилки:
Оцінюючи ймовірність або вплив ризику, фахівці вже підсвідомо враховують наявні контролі — хоча за логікою мова має йти про поточний ризик, тобто до втручання. В результаті цифри не відображають реальної картини: поточний ризик занижений, а залишковий ризик формально нічим не відрізняється.

Наслідки:
Це викривлює всі подальші аналітичні звіти. Неможливо порівняти ефективність контролів, бо не видно різниці «було — стало». Такий підхід перетворює систему оцінки ризиків на декоративну.

Приклад з практики:
Ризик витоку даних оцінювався як «низький», тому що ІТ-відділ запевнив: “У нас стоїть фаєрвол і резервне копіювання”. Але під час внутрішнього аудиту з’ясувалося, що оцінювали не первинну загрозу, а вже враховували наявні бар’єри. Коли ж зробили окрему оцінку поточного ризику — стало очевидно, що без контролів ситуація була б критичною. Це змусило оновити підхід і почати фіксувати обидва рівні ризику окремо.

4. Не фіксують змін у рівні залишкового ризику після зміни контролів

У чому суть помилки:
Компанії часто впроваджують або змінюють заходи контролю — наприклад, оновлюють програмне забезпечення, змінюють постачальників, переглядають політики безпеки. Але при цьому залишковий ризик у реєстрі залишається незмінним, навіть якщо вплив нових контролів очевидно відрізняється від попереднього.

Наслідки:
Це створює розрив між реальною ситуацією і задокументованим профілем ризику. Керівництво отримує застарілу інформацію, не бачить ефекту від нових заходів (або погіршення у разі послаблення контролю). У підсумку — ризик-менеджмент втрачає довіру і не може слугувати основою для прийняття зважених управлінських рішень.

Приклад з практики:
Після чергового витоку даних страхова компанія вирішила замінити застарілу систему управління правами доступу на сучасну з автоматичним журналюванням та двофакторною автентифікацією. Проте запис у реєстрі ризиків щодо цього напрямку залишився без змін: залишковий ризик фігурував як «середній», хоча після запровадження нової системи він об’єктивно знизився. Ризик-менеджер просто забув внести оновлення, вважаючи, що основна робота зроблена. Через це нова система виглядала для керівництва як неефективна, бо формальна оцінка ризику залишилася на тому ж рівні.

5. Відсутність кількісного порівняння між поточним і залишковим ризиком

У чому суть помилки:
У багатьох компаніях оцінки ризику ведуться у якісному вигляді — «високий», «середній», «низький». Але без числової прив’язки (наприклад, потенційних втрат у грошовому вираженні або показників ймовірності) неможливо об’єктивно порівняти ефективність контролів. Тобто не видно, наскільки зменшився ризик після впровадження заходів. Фактично — втрачається сенс оцінки поточного ризику.

Наслідки:
Без кількісного порівняння ризик-менеджмент перетворюється на декларативну вправу. Бізнес не бачить, де досягнуто найбільшого зниження ризику, які інвестиції в контрольні заходи були ефективними, а які — ні. Це також ускладнює аналіз ризикового профілю в динаміці та прийняття рішень щодо розподілу ресурсів.

Приклад з практики:
В одній страховій компанії проводили оцінку ризику кіберінцидентів. Поточний ризик класифікували як «високий», залишковий — як «середній». Але вартість потенційного збитку не була розрахована ані до, ані після впровадження контролів. Коли CFO запитав, яку конкретну економію збитків дала нова система кіберзахисту, відповідь була умовною — «зменшилася ймовірність». Через відсутність цифр не вдалося довести фінансову доцільність інвестиції, і наступного року бюджет на кібербезпеку було скорочено.

Формалізація — ключ до зрілості системи

Високозрілі компанії фіксують обидва рівні ризику — поточний і залишковий — у своїх ризикових картах та реєстрах ризиків. Це дозволяє:

• обґрунтовувати потребу у додаткових заходах;
• порівнювати ефективність контролю між різними підрозділами;
• фокусувати увагу на тих зонах, де залишковий ризик перевищує апетит до ризику.

Як вбудувати ці оцінки в систему управління ризиками

1. Розділяйте оцінки у ризик-матрицях

Одна з головних умов ефективної аналітики — наявність двох рівнів оцінки ризику у кожній матриці: поточного (до контролю) та залишкового (після контролю). Це дозволяє не лише ідентифікувати найнебезпечніші зони, а й бачити, якого саме ефекту вдалося досягти завдяки заходам управління. Розділення оцінок також допомагає уникати змішування понять і формує культуру точного розуміння природи ризику.

2. Документуйте контролі

Щоб залишковий ризик не був абстрактним, кожна оцінка повинна бути пов’язана з конкретними заходами контролю, які пояснюють, чому ризик став нижчим. Важливо також чітко вказати, хто відповідає за впровадження, підтримку та моніторинг цих контролів. Це створює відповідальність, прозорість і базу для подальших аудитів чи перевірок.

3. Використовуйте показники ефективності (KCI)

Необхідно регулярно перевіряти, чи справді контрольні заходи працюють. Для цього впроваджуються ключові показники контролю (Key Control Indicators, KCI). Наприклад, для операційного ризику це може бути відсоток виконаних перевірок, кількість зафіксованих відхилень, середній час реакції на інцидент. Це перетворює контроль із декларації на функціональну, вимірювану дію.

4. Регулярно переглядайте залишковий ризик

Залишковий ризик не є сталою величиною. У міру змін у бізнесі, ринку, технологіях або контрагентах, ефективність контролів може падати. Саме тому критично важливо проводити періодичний перегляд ризикових оцінок — наприклад, щокварталу або після настання тригерної події (збій, новий продукт, зміна процесу тощо). Це забезпечує актуальність системи ризик-менеджменту.

5. Комунікуйте!

Ризик-менеджмент має бути видимим і зрозумілим для керівництва. Не достатньо просто надати звіт із цифрами — потрібно показати, якою була ситуація до впровадження контролів і якою вона стала. Візуальні елементи — стрілки, діаграми «до/після», теплові карти — допомагають донести цю різницю навіть тим, хто не глибоко занурений у тематику. Саме ця різниця і є доказом цінності функції управління ризиками.

Висновок: бачити обидві реальності

Поточний ризик показує, наскільки велика загроза. Залишковий — наскільки добре ми її контролюємо. Тільки разом ці два показники дають повну картину. Розуміння та розділення поточного і залишкового ризику — це не просто данина методології. Це інструмент, що дозволяє:

• переконати керівництво інвестувати у контрольні механізми;
• пояснити регулятору раціональність обраної моделі управління;
• зробити систему ризик-менеджменту живою, адаптивною і практичною.

І якщо ризик-менеджмент хоче бути не лише прикрасою у звітності, а реальною частиною системи прийняття рішень — він має навчити бізнес бачити обидві реальності. Тоді і мова піде не про «страшилки», а про ефективні інвестиції в захист того, що справді має значення. Якщо ризик-менеджер чітко показує різницю між тим, що може трапитися, і тим, що ми вже контролюємо — він перетворюється з адміністратора в стратега. І це саме той рівень, до якого прагне RM2.