У попередній статті ми детально розібрали, чому оцінка ризиків не може зводитися до спрощеної моделі «ймовірність × вплив» і чому в реальній управлінській практиці вона завжди є багатовимірною. Проте навіть найглибша оцінка ризиків не має самостійної цінності, якщо компанія не відповіла собі на базове стратегічне питання: скільки ризику вона готова приймати і де проходить межа допустимого. Саме тут у процес управління ризиками входять поняття ризик-апетиту (risk appetite) та толерантності до ризику (risk tolerance).

Формально майже всі фінансові компанії сьогодні мають задекларований ризик-апетит. Він затверджений наглядовою радою, узгоджений із регуляторними вимогами, описаний у відповідних політиках і часто доповнений числовими орієнтирами та лімітами. Проте на практиці саме на цьому етапі найчастіше виникає розрив між документами і реальністю. Компанія ніби знає, який ризик вважає прийнятним, але ухвалює рішення так, ніби цих декларацій не існує.

Причина цього розриву полягає не лише в якості формулювань або в недосконалості методик. Проблема глибша: ризик-апетит часто сприймається як окремий документ, а не як продовження оцінки ризиків і частина управлінського мислення. У результаті оцінка ризиків живе своїм життям, ризик-апетит — своїм, а управлінські рішення ухвалюються десь посередині, керуючись інтуїцією, тиском обставин або короткостроковими цілями.

Ще більш складною є ситуація з толерантністю до ризику (risk tolerance). На папері вона виглядає як чітко визначені межі допустимих відхилень, ліміти або тригери. У реальності ж толерантність часто перетворюється на зону постійних винятків і тимчасових компромісів. Те, що вчора вважалося неприйнятним, сьогодні пояснюється «винятковими обставинами», а завтра — стає новою нормою. Саме так поступово розмивається управлінська логіка, навіть якщо формально всі ліміти залишаються незмінними.

Особливо виразно це проявляється в умовах кризи та війни. Фактичний ризик-апетит компаній змінюється значно швидше, ніж їхні документи. Рішення, які ще вчора виглядали неможливими, сьогодні приймаються як вимушені, а іноді — як єдині можливі. У таких умовах стає очевидно, що справжній ризик-апетит проявляється не в деклараціях, а в конкретних управлінських виборах, які компанія робить під тиском реальності.

Цією статтею ми продовжуємо цикл, присвячений оцінці ризиків, і робимо ще один важливий крок — досліджуємо, як оцінка ризиків співвідноситься з ризик-апетитом (risk appetite) і толерантністю до ризику (risk tolerance) у реальному житті. Ми поговоримо про те, чому ці поняття так часто не працюють так, як задумувалося, де саме виникають управлінські конфлікти і яку роль у цьому всьому має відігравати ризик-менеджер.

У цій статті нас цікавитиме не «як правильно написати документ», а як ризик-апетит і толерантність до ризику реально впливають — або не впливають — на управлінські рішення. Саме в цій площині стає зрозуміло, чи є система управління ризиками живим інструментом, чи лише акуратно оформленою декларацією.

Ризик-апетит (risk appetite): стратегічний орієнтир чи регуляторний артефакт

У своїй первинній управлінській ідеї ризик-апетит (risk appetite) мав бути відповіддю на просте, але незручне питання: який рівень ризику компанія готова приймати заради досягнення своїх стратегічних цілей. Це не про конкретні ліміти і не про формули, а про рамку мислення, у межах якої ухвалюються рішення. Саме так ризик-апетит задумувався — як стратегічний компас, що допомагає менеджменту обирати між альтернативами в умовах невизначеності.

На практиці ж у багатьох компаніях ризик-апетит еволюціонував у зовсім іншому напрямку. Він став документом для відповідності: добре структурованим, узгодженим із регуляторними вимогами, наповненим правильними формулюваннями і водночас майже відірваним від реальних управлінських рішень. У такій формі ризик-апетит перестає бути орієнтиром і перетворюється на артефакт — щось, що потрібно мати, але не обов’язково використовувати.

Це особливо помітно, коли задекларований ризик-апетит вступає в конфлікт із фактичною поведінкою компанії. Наприклад, у документах може бути зафіксовано консервативний підхід до операційних або регуляторних ризиків, але водночас бізнес активно використовує «сіру зону» тлумачення вимог, відкладає інвестиції в контролі або працює з підвищеним навантаженням на ключові процеси. Формально ризик-апетит існує, але фактичний апетит проявляється зовсім в інших рішеннях.

Ще одна поширена ситуація — побудова ризик-апетиту “від зворотного”. Замість того щоб виходити зі стратегії і свідомо визначати прийнятний рівень ризику, компанія спочатку формує бізнес-модель і набір рішень, а вже потім підганяє під них формулювання ризик-апетиту. У результаті документ виглядає логічно і узгоджено, але він не обмежує і не спрямовує поведінку — він її постфактум легітимізує.

Важливо розуміти, що сам по собі ризик-апетит не є чимось статичним. Він змінюється разом із контекстом: фінансовим станом компанії, регуляторним тиском, фазою розвитку, зовнішніми шоками. Проблема виникає тоді, коли задекларований ризик-апетит не встигає за цими змінами, а управлінські рішення починають системно виходити за його межі. У таких умовах ризик-апетит перестає виконувати свою функцію і стає джерелом внутрішнього дисонансу.

Особливо яскраво ця проблема проявляється в кризові періоди. Під тиском обставин компанії свідомо приймають ризики, які раніше вважалися неприйнятними. Це може бути виправдано з точки зору виживання або збереження ключових операцій. Але якщо такі рішення не супроводжуються чесним переглядом ризик-апетиту, виникає розрив між реальністю і задекларованими принципами. Формально система управління ризиками зберігається, але фактично вона перестає відображати реальний стан справ.

Зрілий підхід до ризик-апетиту полягає не в тому, щоб зробити документ максимально «правильним», а в тому, щоб забезпечити його зв’язок з оцінкою ризиків і управлінськими рішеннями. Ризик-апетит має відповідати на питання «чи готові ми це прийняти» до того, як рішення буде ухвалене, а не пояснювати його постфактум. Саме в цій ролі він перестає бути регуляторним артефактом і знову стає стратегічним орієнтиром.

Толерантність до ризику (risk tolerance): межі, які існують лише на папері

Толерантність до ризику (risk tolerance) зазвичай подається як більш «прикладний» інструмент порівняно з ризик-апетитом. Якщо апетит визначає загальний рівень готовності приймати ризик, то толерантність має встановлювати конкретні межі, за якими починається управлінська реакція. У теорії саме тут ризик-менеджмент стає операційним: з’являються ліміти, порогові значення, тригери, ескалації. Але саме на цьому рівні і виникає найбільша кількість самообману.

На практиці толерантність до ризику дуже часто існує лише у вигляді чисел у документах. Ліміти встановлені, KPI та KRI прив’язані, тригерні значення визначені. Проблема починається тоді, коли перевищення толерантності не призводить до жодних рішень. Воно фіксується, пояснюється, коментується — але не змінює поведінку. У таких умовах толерантність перестає бути межею і перетворюється на статистичний показник.

Типовим є сценарій, коли перевищення лімітів пояснюється як «тимчасове». Один місяць — через сезонність, другий — через зовнішні фактори, третій — через стратегічні пріоритети. Формально кожне пояснення може виглядати логічним. Але в сукупності вони створюють ситуацію, коли тимчасове відхилення стає новою нормою, а толерантність втрачає сенс. Фактичний ризик-апетит компанії при цьому вже давно змінився, але документи цього не відображають.

Ще одна поширена проблема — встановлення толерантності без чіткого розуміння, що саме має відбутися у разі її порушення. У багатьох компаніях ліміти існують самі по собі, без прив’язки до управлінських дій. У результаті перевищення толерантності не сприймається як сигнал до вибору між альтернативами, а розглядається як ще один показник у звіті. Це особливо небезпечно у сферах, де ризики мають кумулятивний характер: кожне окреме перевищення здається незначним, але разом вони формують системну вразливість.

Показовою є практика управління операційними та ІТ-ризиками. Компанія може мати формально визначені допустимі рівні інцидентів, збоїв або відмов. Але якщо ці рівні регулярно перевищуються без реального перегляду процесів, ресурсів або пріоритетів, толерантність фактично не працює. Вона лише фіксує стан, але не впливає на рішення. У таких умовах будь-яка наступна криза виглядає «раптовою», хоча всі сигнали були зафіксовані заздалегідь.

Окремо варто згадати парадокс надмірної точності. Іноді толерантність встановлюється з такою математичною деталізацією, що створює ілюзію повного контролю. Але чим точнішими є ліміти, тим складніше їх застосовувати в реальному управлінні, особливо в умовах швидких змін. У результаті менеджмент починає сприймати толерантність не як інструмент допомоги, а як формальну перешкоду, яку легше обійти, ніж використовувати.

У кризових умовах, зокрема під час війни, проблема толерантності до ризику загострюється ще більше. Багато лімітів об’єктивно перестають бути реалістичними, але замість їх перегляду компанії часто просто ігнорують порушення, зберігаючи документи без змін. Це створює небезпечний розрив між фактичним управлінням і формальною системою ризик-менеджменту, який з часом підриває довіру до всієї системи.

Зрілий підхід до толерантності до ризику полягає не в жорсткості лімітів, а в їх управлінській значущості. Толерантність має бути тією межею, після якої компанія зобов’язана обговорювати і змінювати рішення, а не просто пояснювати відхилення. Якщо цього не відбувається, толерантність існує лише на папері, незалежно від того, наскільки красиво вона описана в політиках.

Коли ризик-апетит (risk appetite) не працює: типові управлінські конфлікти

Проблеми з ризик-апетитом рідко проявляються у вигляді прямого порушення документів. Значно частіше вони виходять на поверхню у формі управлінських конфліктів, які на перший погляд не мають стосунку до ризик-менеджменту. Саме в цих конфліктах і стає видно, чи є ризик-апетит живим інструментом, чи лише фоном для прийняття рішень.

Найпоширеніший конфлікт — між задекларованим ризик-апетитом і стратегічними цілями. Компанія може формально декларувати обережний підхід до ризиків, але водночас ставити перед бізнесом амбітні цілі зростання, розширення або підвищення прибутковості в умовах обмежених ресурсів. У такій ситуації ризик-апетит стає перешкодою для досягнення цілей, а отже — його починають ігнорувати. Формально документ залишається чинним, але фактичні рішення ухвалюються за іншою логікою. Це не злий намір, а наслідок того, що стратегія і ризик-апетит не були узгоджені між собою.

Другий типовий конфлікт виникає між бізнесом і другою лінією захисту. Бізнес сприймає ризик-апетит як обмеження, а ризик-менеджмент — як інструмент захисту компанії від надмірних ризиків. Коли ці дві логіки не зводяться в єдину управлінську рамку, ризик-апетит починає виконувати роль «заборонного знаку», який хочеться об’їхати. У результаті бізнес шукає винятки, а ризик-менеджмент — аргументи, чому ці винятки небезпечні. Система починає працювати не на рішення, а на протистояння.

Ще один, значно менш очевидний конфлікт — між короткостроковими цілями і довгостроковою стійкістю. У багатьох компаніях ризик-апетит формально орієнтований на збереження стабільності, але управлінські стимули побудовані навколо короткострокових результатів. У такій ситуації прийняття неприйнятних ризиків стає раціональною поведінкою з точки зору окремих менеджерів, навіть якщо воно суперечить задекларованим принципам. Ризик-апетит у цьому випадку не «ламається» — він просто не має реального впливу.

Показовими є і ситуації мовчазного прийняття ризиків. Компанія може роками жити з ризиками, які формально виходять за межі апетиту або толерантності, але при цьому не виносити це питання на управлінський рівень. Відсутність відкритої дискусії створює ілюзію, що ризик контрольований або незначний. Насправді ж відбувається неусвідомлене зміщення фактичного ризик-апетиту, яке не відображене ні в оцінці ризиків, ні в документах.

Особливо небезпечними є конфлікти, які загострюються в кризових умовах. Під тиском війни, регуляторних змін або фінансових обмежень компанії свідомо приймають рішення, що виходять за межі раніше встановленого ризик-апетиту. Це може бути необхідним і виправданим. Проблема виникає тоді, коли такі рішення не визнаються як відхилення, не обговорюються і не призводять до перегляду управлінських рамок. У результаті система ризик-менеджменту зберігається формально, але втрачає здатність відображати реальність.

Усі ці конфлікти мають спільну рису: вони виникають не через відсутність ризик-апетиту, а через відсутність його зв’язку з оцінкою ризиків і реальними управлінськими рішеннями. Там, де ризик-апетит не використовується як інструмент діалогу і вибору, він неминуче стає джерелом напруги або ігнорування. Саме тому наступний крок у розмові про ризик-апетит — це питання, як повернути його у площину живого управління, а не декларацій.

Оцінка ризиків як міст між аналізом і ризик-апетитом (risk appetite)

Саме на етапі оцінки ризиків вирішується доля ризик-апетиту: або він починає працювати як управлінський інструмент, або остаточно залишається декларацією. Аналіз ризиків дає факти й параметри, ризик-апетит — загальну рамку допустимого. Оцінка ризиків є тим місцем, де ці дві площини мають зійтися і перетворитися на рішення. Якщо цього не відбувається, система розпадається на окремі, слабо пов’язані елементи.

На практиці оцінка ризиків виконує роль перекладача. Вона транслює результати аналізу на мову ризик-апетиту і, водночас, перевіряє ризик-апетит на адекватність реальному контексту. Саме тут стає видно, чи відповідають задекларовані принципи реальним управлінським виборам. Якщо ризик формально «вписується» у показники аналізу, але виходить за межі прийнятності з точки зору стратегії, оцінка має це зафіксувати і винести на рівень рішення, а не залишити у вигляді примітки до звіту.

Дуже показовими є ситуації, коли зміна оцінки ризику стає приводом для перегляду ризик-апетиту. Наприклад, у періоди зростання регуляторного тиску або підвищеної операційної вразливості компанії можуть зіткнутися з тим, що раніше прийнятні ризики більше не вписуються у фактичну здатність їх витримувати. У таких випадках зрілий підхід полягає не в «підгонці» оцінок під старі декларації, а в чесному визнанні зміни апетиту до ризику і відповідному коригуванні рамок.

Не менш важливою є і зворотна ситуація, коли ризик-апетит використовується не як заборона, а як аргумент у дискусії. Оцінка ризиків дозволяє показати, чому саме певне рішення виходить за межі прийнятного, які критерії при цьому спрацьовують і які альтернативи можливі. У такій логіці ризик-менеджмент не блокує рішення, а допомагає знайти форму, в якій воно стає прийнятним: через зміну масштабу, темпу, пріоритетів або додаткові контролі.

Ключову роль у цьому процесі відіграє професійне судження ризик-менеджера. Саме він має звести воєдино результати аналізу, контекст, критерії оцінки і рамки ризик-апетиту. Це не механічна робота і не питання «правильної формули». Це управлінська функція, яка вимагає досвіду, здатності до аргументації і готовності брати на себе відповідальність за незручні висновки. Без цього ризик-апетит так і залишатиметься красивим, але неживим документом.

Таким чином, оцінка ризиків є не просто ще одним етапом процесу, а ключовим механізмом інтеграції аналізу і ризик-апетиту. Саме через неї декларації починають впливати на рішення, а рішення — коригувати декларації. Там, де цей міст працює, система управління ризиками стає цілісною. Там, де його немає, усі елементи існують окремо, не створюючи реальної управлінської цінності.

Висновки

Ризик-апетит (risk appetite) і толерантність до ризику (risk tolerance) часто виглядають як найбільш «формалізована» частина системи управління ризиками. Саме тому з ними пов’язано найбільше ілюзій. Наявність документів, лімітів і формулювань створює відчуття контролю, навіть тоді, коли вони майже не впливають на реальні управлінські рішення.

У цій статті ми побачили, що ключова проблема полягає не в самих поняттях ризик-апетиту і толерантності, а в їх відірваності від оцінки ризиків і управлінського контексту. Там, де ризик-апетит не використовується як рамка для вибору, він неминуче перетворюється на регуляторний артефакт. Там, де толерантність не веде до рішень, вона втрачає сенс як інструмент управління.

Водночас саме оцінка ризиків має потенціал повернути цим поняттям живий зміст. Через оцінку ризик-апетит перестає бути абстрактною декларацією і стає відповіддю на конкретне питання: чи готові ми прийняти цей ризик за цих умов. У зрілій системі управління ризиками саме оцінка є тим механізмом, який поєднує стратегію, аналіз і фактичну поведінку компанії.

Особливо важливо пам’ятати, що справжній ризик-апетит проявляється не в текстах, а в рішеннях. Саме вони показують, які ризики компанія готова приймати, які — уникати, а з якими — жити, постійно балансуючи між можливостями і загрозами. Усвідомлення цього є ключовим кроком до переходу від формального ризик-менеджменту до управління ризиками як елементу стратегічного мислення.

У наступній статті циклу ми зробимо ще один логічний крок і зосередимося на пріоритизації ризиків — на тому, як у реальній управлінській практиці визначати, якими ризиками займатися в першу чергу і чому навіть добре оцінені ризики часто залишаються без належної уваги.

Сергій БАБИЧ