Коли управління ризиками починає керувати саме собою

Коли засіб поступово стає метою

Сучасні організації дедалі частіше опиняються в пастці складності, яку самі ж і створили. Закони, регуляції, корпоративні структури, внутрішні політики та контрольні процедури первісно виникали як інструменти впорядкування – для того, щоб люди могли працювати, приймати рішення і досягати цілей у передбачуваному середовищі. Проте з часом ці інструменти починають жити власним життям, обслуговуючи вже не реальні потреби, а саму систему правил.

Саме з цієї, значно ширшої, ніж суто професійна, перспективи пропонує подивитися на управління ризиками Stefan Hunziker у своєму есеї з промовистою назвою "The Cure Becomes the Disease – When Risk Management Starts Managing Itself". Це не критика окремих інструментів і не закид на адресу регуляторів чи стандартів. Це спроба осмислити момент, коли дисципліна, покликана допомагати ухвалювати рішення в умовах невизначеності, поступово перетворюється на самодостатній механізм підтримки власної складності.

Автор виходить далеко за межі вузької професійної дискусії. Він апелює до системного мислення і нагадує класичну ідею: складні соціальні системи рідко спрощують реальність – натомість вони відтворюють і примножують власну складність, аби вижити. Управління ризиками в цій логіці постає не винятком, а яскравим прикладом загального парадоксу сучасних інституцій

Позиція автора: втрата когнітивної ролі управління ризиками

У своїй аргументації автор починає з нагадування про початковий сенс управління ризиками. У найпростішому вигляді це була ідея покращення якості рішень в умовах невизначеності. Не створення реєстрів, не підготовка звітів і не виконання формальних вимог, а допомога управлінцям краще мислити там, де майбутнє не може бути передбачене напевно.

Проте з часом управління ризиками еволюціонувало в окрему індустрію – з власними стандартами, програмним забезпеченням, консалтинговими продуктами і регламентами. У цій еволюції, за словами автора, відбувся поступовий зсув фокусу: від рішень – до процедур, від мислення – до документації, від невизначеності – до формалізованих артефактів. Це не наслідок поганих намірів або помилок окремих фахівців. Проблема має системний характер і закладена в дизайні самих підходів.

Показовим прикладом автор наводить модель трьох ліній захисту (Three Lines Model). Вона створювалася як інструмент прояснення ролей і відповідальності в системі управління та забезпечення впевненості (assurance). Навіть з урахуванням перегляду 2020 року, який робить акцент на співпраці та створенні цінності, практичні спостереження і результати досліджень свідчать: у багатьох організаціях ця модель не зменшує складність, а, навпаки, закріплює структурну інерцію, яку мала подолати.

Схожа доля, на думку автора, спіткала й стандарт ISO 31000. Він задумувався як рамкове керівництво, що інтегрує управління ризиками в процеси прийняття рішень і досягнення цілей. Це ніколи не був чек-лист або формальний стандарт відповідності. Проте в процесі інституціоналізації ISO 31000 часто перетворюється саме на такий перелік вимог – інструмент формального забезпечення впевненості, а не підтримки управлінського мислення. Проблема, підкреслює автор, не в самому стандарті, а в тому, як і з якою метою його застосовують.

Ключовий висновок автора полягає в тому, що управління ризиками поступово втратило свою когнітивну роль. Замість того щоб допомагати осмислювати невизначеність, воно все частіше відтворює власну складність і обслуговує власні процеси. У результаті ризик-менеджмент починає "керувати самим собою", а не реальними ризиками, з якими стикається організація.

У відповідь на це автор не закликає до демонтажу систем чи відмови від стандартів. Йдеться про повернення до першопринципів. Управління ризиками має знову стати інструментом мислення і навчання. Це означає, зокрема:

• використання кількісних показників (numbers – числові оцінки) для зменшення невизначеності в рішеннях щодо ціноутворення, інвестицій і стратегії, а не для заповнення теплових карт;
• інтеграцію ризикового діалогу в процеси планування і бюджетування, коли рішення ще формуються, а не постфактум;
• перетворення забезпечення впевненості (assurance) з ритуалу документування на процес навчання – що саме організація дізналася про невизначеність і як це впливає на наступні рішення.

У підсумку автор формулює просту, але незручну тезу: кожне управлінське рішення – це ставка на невизначене майбутнє. Управління ризиками існує не для того, щоб відтворювати формальну складність, а для того, щоб допомагати робити ці ставки більш усвідомлено

Дискусія під постом: коли управління ризиками починає заважати собі самому

Обговорення, що розгорнулося під публікацією, показове не кількістю схвальних відгуків, а дивовижною смисловою узгодженістю. Коментатори з різних країн, галузей і професійних ролей фактично говорять про одне й те саме явище – самоінституціоналізацію управління ризиками, коли воно поступово віддаляється від реальних рішень і починає обслуговувати власні процеси.

Ритуал замість розуміння

Одні учасники дискусії прямо вказують на те, що управління ризиками дедалі частіше перетворюється на ритуал. Процедури виконуються, звіти готуються, контролі перевіряються – але це не означає, що організація краще розуміє власну невизначеність. Навпаки, з’являється небезпечне відчуття "виконаної роботи", яке знижує потребу в осмисленні.

У цьому контексті звучить думка, що формалізовані контрольні механізми можуть самі ставати джерелом ризику – через бюрократизацію, спотворені стимули або втрату організаційної гнучкості. Контролі, які мали захищати систему, починають її обмежувати.

Делегування мислення про ризики

Інші коментатори звертають увагу на ще глибшу проблему – делегування відповідальності за мислення про ризики. Коли в організації створюється окрема ризик-функція, менеджмент поступово починає сприймати ризики як "чужу зону відповідальності". Ризики звітуються, але не обговорюються; фіксуються, але не усвідомлюються.

У результаті управління ризиками з інструменту колективного мислення перетворюється на сервісну функцію. Ризик-менеджери накопичують реєстри, готують презентації, але стратегічні рішення ухвалюються без реального залучення ризикової перспективи. Це створює ілюзію контролю при фактичній втраті відповідальності.

Кількість замість сенсу

Окремі учасники дискусії торкаються питання кількісних оцінок (numbers – числові оцінки). Вони наголошують, що проблема не в самій ідеї кількісного аналізу, а в тому, як саме ці числа використовуються. Формальні й відірвані від контексту оцінки ймовірностей або впливів часто не зменшують невизначеність, а лише маскують її.

Звучить важливе застереження: числа мають сенс лише тоді, коли вони безпосередньо пов’язані з рішенням – з альтернативами, компромісами, наслідками. В іншому разі кількісний аналіз стає ще одним елементом тієї ж самої формальної складності, яку критикує автор посту.

Від GRC до втрати цілісності

Ще одна лінія дискусії стосується розширення управління ризиками до парасолькового поняття GRC (governance, risk, compliance – управління, ризики, відповідність). Дехто зауважує, що саме в цей момент почався зсув від управлінського мислення до адміністративного контролю. Ризики, контроль і відповідність змішалися в єдиний масив, де головною метою стало виконання вимог, а не досягнення цілей.

У такій конструкції управління ризиками втрачає зв’язок зі стратегією і починає працювати як ще один рівень корпоративної бюрократії. Виникає парадокс: чим більше інструментів і процедур, тим менше реального впливу на рішення.

Повернення до першопринципів

Попри критичний тон, дискусія не є песимістичною. Навпаки, багато хто бачить вихід у радикальному поверненні до першопринципів. Управління ризиками має знову відповідати на базові питання: що ми намагаємося досягти, що може цьому завадити, і як невизначеність впливає на наш вибір.

Окремі коментатори підкреслюють, що найціннішими інструментами управління ризиками є не реєстри й моделі, а якісні стратегічні розмови, які відбуваються вчасно – до ухвалення рішень, а не після. Саме в цих розмовах ризик-менеджмент повертає собі когнітивну функцію і перестає бути самодостатньою системою.

Мій погляд: коли управління ризиками перестає бути управлінням

Для мене ця дискусія є особливо близькою, оскільки вона точно описує напруження, з яким щодня стикаються практикуючі ризик-менеджери. Не на рівні теорії чи стандартів, а в реальних організаціях – з їхніми наглядовими радами, правліннями, регуляторами, аудитами та крайчасами.

На мій погляд, ключова проблема полягає не в надмірній формалізації як такій. Формалізація неминуча. Більше того, у регульованих галузях вона необхідна. Проблема виникає тоді, коли формалізація підміняє собою мислення, а дотримання процедур починає сприйматися як еквівалент управління ризиками.

У якийсь момент управління ризиками погодилося на роль функції, що забезпечує впевненість (assurance), але відмовилося від відповідальності за якість управлінських рішень. Це був, можливо, несвідомий, але критично важливий зсув. Відтоді ризики стали чимось, що "правильно оформлюють", а не тим, що реально впливає на вибір між альтернативами.

Особливо небезпечним я вважаю момент, коли управління ризиками починає керувати самим собою. Коли успішність функції вимірюється кількістю оновлених реєстрів, виконаних процедур, підготовлених звітів або пройдених перевірок. У цій логіці будь-яке спрощення сприймається як загроза, а будь-яке запитання "навіщо?" – як виклик системі.

Водночас зникає головне питання: чи стали управлінські рішення кращими?

Чи допомогло управління ризиками чіткіше усвідомити компроміси? Чи зменшило воно ключову невизначеність перед стратегічними кроками? Якщо відповідь на ці запитання нечітка або негативна, то перед нами вже не управління ризиками, а його імітація.

Я переконаний, що повернення сенсу можливе лише через повернення відповідальності. Не лише відповідальності ризик-менеджерів за методологію, а відповідальності менеджменту за осмислення ризиків. Ризики не можна делегувати повністю – так само як не можна делегувати стратегію чи судження. Управління ризиками має бути спільною мовою, а не окремою функцією.

Це означає, що ризик-менеджмент повинен знову стати:

• частиною стратегічних і фінансових розмов, а не їхнім післямовним додатком;
• інструментом навчання і корекції рішень, а не механізмом фіксації помилок;
• способом мислення про невизначеність, а не каталогом контрольних заходів.

Регуляторні вимоги при цьому нікуди не зникають. Вони залишаються мінімальним рівнем очікувань – мінімальними вимогами, а не стандартом зрілості. Справжня зрілість починається там, де організація свідомо виходить за межі мінімуму і використовує управління ризиками не для самозаспокоєння, а для прийняття складних, але усвідомлених рішень.

Саме тому ця дискусія здається мені надзвичайно важливою. Вона не пропонує простих рецептів і не закликає "викинути стандарти". Вона ставить значно складніше запитання: чи готові ми знову мислити, а не лише виконувати?

І, можливо, це і є той момент, коли управління ризиками може або остаточно перетворитися на самодостатню бюрократичну систему, або повернути собі первинне призначення – допомагати людині робити вибір в умовах невизначеного майбутнього.