Дискусія про те, що саме є «справжнім» ризик-менеджментом — RM1 чи RM2 — триває вже не перший рік. Одні наполягають на важливості політик, реєстрів ризиків, KRI та комплаєнсу (RM1), інші вважають, що справжнє управління починається лише там, де ризики інтегруються у стратегічні рішення, сценарне планування та адаптацію бізнес-моделі (RM2). Суперечки часом набувають полемічного характеру — мовляв, RM1 мертвий, а RM2 надто абстрактний.

       Особливо гостро ця дилема проявляється в регульованих галузях — таких як банківська справа чи страхування, де компанії вимушені фокусуватися на контролі та звітності. В таких умовах RM1 здається «єдино можливим», тоді як RM2 часто сприймається як розкіш чи філософія «для великих гравців».

      Але, як на мене, проблема полягає не в конкуренції між цими підходами, а у інколи некоректному розумінні їхніх ролей. Насправді RM1 і RM2 не суперечать одне одному. Вони відповідають на різні запити бізнесу і вирішують різні завдання. І саме тому вони мають співіснувати — не ізольовано, а як частини цілісної системи управління ризиками.

Що таке RM1?

     Під RM1 (risk management as control) зазвичай мається на увазі систематизована діяльність із виявлення, оцінки, моніторингу та звітування про ризики. Це те, що найчастіше потрапляє в регуляторні вимоги, методики внутрішнього аудиту, звіти для наглядових рад. Саме тут — реєстри ризиків, ризик-матриці, профілі ризиків, ключові індикатори (KRI), звітність за лімітами ризику, політики та процедури.

    RM1 — це про контроль: виявити відхилення, зафіксувати, відзвітувати, вжити коригуючих дій. Його цінність — у створенні вимірюваної, відтворюваної системи, що дозволяє менеджменту бачити й розуміти поточний ризиковий профіль компанії. У стабільному середовищі RM1 часто справді достатній для досягнення цілей — особливо коли мова йде про виконання нормативів, збереження ліцензії, проходження перевірок.

     Однак RM1 рідко надає відповідь на запитання «що далі?». Він добрий у тому, щоб пояснити, де виникає відхилення, але не завжди дозволяє побачити ризики, які ще не матеріалізувалися. І саме тут починає діяти RM2 — як наступний рівень глибини.

Що таке RM2?

     Ризик-менеджмент другого рівня (RM2) — це управління ризиками як частина стратегічного мислення та прийняття рішень. Якщо RM1 відповідає за контроль уже виявлених ризиків, то RM2 — це про бачення майбутнього: альтернативні сценарії, адаптивність бізнес-моделі, стратегічну стійкість до змін, які ще не настали, але можуть виникнути.

     У рамках RM2 ризики не просто «обліковані» — вони стають фактором вибору напрямку руху компанії. Який сценарій обрати в умовах геополітичної нестабільності? Чи варто запускати новий продукт, знаючи, що він підвищує ризик скарг або кіберзагроз? Який рівень втрат ми готові прийняти, аби отримати стратегічну перевагу?

      На відміну від RM1, RM2 не має чітких інструкцій чи шаблонів. Його інструменти — це сценарний аналіз, карта припущень, аналіз чутливості, моделі поведінки ринку, дискусії на рівні керівництва, де ризик сприймається не як «відхилення», а як умова прийняття рішення.

      Цінність RM2 — у гнучкості та випереджуванні. Це здатність компанії бачити загрозу ще до її реалізації, вбудувати варіанти реагування в стратегію, сформулювати «правила гри», коли середовище радикально змінюється. Там, де RM1 зосереджений на стабільності, RM2 — на виживанні та зростанні в умовах невизначеності.

Де починається інтеграція

      Справжнє управління ризиками починається саме там, де RM1 і RM2 перестають існувати окремо, а починають працювати як частини єдиного управлінського процесу. Це момент, коли стратегічні припущення (RM2) перетворюються на конкретні дії, контрольовані через механізми (RM1).

      Уявімо ситуацію: компанія розглядає кілька сценаріїв розвитку ринку в умовах воєнної нестабільності або регуляторних змін. Вона оцінює можливі втрати, ризики ланцюгів постачання, коливання попиту — усе це RM2. Але щойно обрано один зі сценаріїв як орієнтир дій, включається RM1: розробляються ліміти, KPI, KRI, графіки моніторингу, план звітності, тригерні події.

       Іншими словами, RM2 формулює напрям, а RM1 його стабілізує.
RM2 каже: «Ми готові ризикнути і вийти на новий сегмент», а RM1 відповідає: «Добре, але при цьому ми будемо контролювати збитковість, збереження клієнтської бази та темпи зростання скарг».

    Цей зв’язок особливо цінний у кризові періоди: коли обрана стратегія під тиском, саме поєднання стратегічної гнучкості RM2 з операційною дисципліною RM1 дозволяє не втратити керованість. Так, RM2 може змінити вектор, але RM1 скаже, коли час реагувати, на що звернути увагу, де межа прийнятного.

     Інтеграція RM1 і RM2 — це не технічний процес, а управлінська культура, в якій обидва підходи мають свою роль. Один без іншого — або сліпий, або безсилий.

Де і чому виникає плутанина

      Плутанина між RM1 і RM2 виникає не тому, що підходи справді суперечать один одному, а тому, що їх намагаються застосовувати не за призначенням або розглядають як альтернативи. Особливо це помітно у сфері фінансів та страхування, де регулятор тисне на компанії з вимогою побудови формалізованої системи контролю ризиків — тобто RM1.

      У такому середовищі RM1 часто набуває домінуючої ролі, а ризик-менеджмент сприймається як звітність і політики, а не як допомога бізнесу у прийнятті рішень. Водночас RM2 видається надто «м’яким», абстрактним або непотрібним — особливо, якщо компанія орієнтована на виживання, а не розвиток. Наслідок — переоцінка ролі RM1 і ігнорування потреби у стратегічному управлінні ризиками.

      Інша крайність — коли компанія намагається реалізувати елементи RM2, але без фундаменту з RM1. Наприклад, формуються сценарії, але немає чіткої системи KRI, не встановлено лімітів, не відбувається аналіз відхилень. У результаті управління ризиками залишається на рівні розмов — без здатності до реалізації та контролю.

      Ще одна причина плутанини — відсутність спільної мови між підрозділами. Для операційного керівника «ризик» — це збій у процесі, для стратегічного директора — загроза для бізнес-моделі, для аналітика — відхилення від прогнозу. Якщо в компанії не сформовано узгоджене бачення цілей і ролей ризик-менеджменту, RM1 і RM2 перетворюються на паралельні світи.

     Тож замість того, щоб протиставляти RM1 і RM2, варто говорити про їх взаємне доповнення. Адже слабке місце одного завжди може бути підсилене сильним боком іншого.

Висновки

      Управління ризиками — це не вибір між RM1 і RM2, а поєднання інструментів контролю з мисленням на випередження. Один підхід дає стабільність і чіткість, інший — гнучкість і здатність адаптуватися. І лише разом вони дозволяють компанії не просто виживати, а розвиватися в умовах невизначеності.

     RM1 потрібен, щоб вимірювати, сигналізувати, тримати в межах допустимого. RM2 — щоб бачити далі, ніж звітний період, і приймати сміливі, але обґрунтовані рішення. Справжня сила полягає в інтеграції: коли стратегія формує рамки ризику, а операційна система дає можливість діяти впевнено всередині цих рамок.

       Дискусії між прихильниками RM1 і RM2 часто нагадують суперечки між водієм і навігатором — хоча насправді кожен виконує свою частину спільного маршруту.
       Тому замість розділення, краще шукати способи синхронізації підходів, будуючи культуру, в якій ризики не лише контролюють, а й активно використовують для формування переваг.