У попередній статті ми говорили про те, що FERMA фактично пов’язує ефективність ERM не стільки з методологією, скільки з позицією керівництва і тим, наскільки ризик-менеджмент реально інтегрований у процес прийняття рішень. Але саме тут виникає інше, значно складніше питання. Якщо ризик-менеджер має бути залучений у стратегічні дискусії, працювати поруч із бізнесом і впливати на рішення, то як при цьому зберегти незалежність функції? Де проходить межа, після якої ризик-менеджмент перестає бути системою oversight — незалежного нагляду — і поступово перетворюється на частину операційного управління? Судячи з документа FERMA, саме ця межа сьогодні є однією з найскладніших тем для сучасного ERM. І що цікаво — документ не пропонує простих відповідей або жорстких схем. Натомість він намагається показати логіку, у якій ризик-менеджмент має одночасно залишатися достатньо близьким до бізнесу, щоб впливати на рішення, і достатньо незалежним, щоб зберігати об’єктивність.

Чому FERMA так наполягає на незалежності функції

Одне з найжорсткіших формулювань у документі стосується саме незалежності ризик-менеджменту. FERMA прямо зазначає, що Corporate Risk Management (CRM) має виконувати функцію oversight і зберігати чітку незалежність. Причому це подається не як бажана характеристика, а як фундаментальна умова існування системи. Логіка тут доволі проста: якщо функція ризик-менеджменту втрачає здатність давати незалежну оцінку або ставити під сумнів управлінські рішення, вона перестає виконувати свою роль.

При цьому важливо, що документ не зводить незалежність до організаційної схеми. Йдеться не лише про підпорядкування чи місце в структурі. FERMA говорить про незалежність насамперед як про здатність зберігати об’єктивний погляд на ризики навіть у ситуації, коли бізнес або керівництво перебувають під тиском короткострокових цілей.

Саме тому в документі так багато уваги приділено функції challenge — здатності ставити незручні питання і формувати альтернативний погляд на ситуацію. У тексті це прямо не драматизується, але сама логіка документа показує: без цього ризик-менеджмент дуже швидко починає перетворюватися на механізм підтвердження вже прийнятих рішень.

Особливо цікаво, що FERMA пов’язує незалежність із довірою до функції. У документі підкреслюється, що саме через незалежність правління, наглядова рада і акціонери отримують впевненість у тому, що ризики оцінюються об’єктивно, а не через призму поточних бізнес-інтересів. І в цьому сенсі oversight розглядається не як «контроль заради контролю», а як механізм підтримання якості управлінських рішень.

Ще один важливий аспект — довгостроковий горизонт. У документі неодноразово підкреслюється, що керівництво організації неминуче перебуває під тиском результатів, швидкості реалізації стратегії та ринкових очікувань. У такій ситуації ризик-менеджмент має зберігати здатність дивитися на ризики ширше і довше. Саме тому FERMA настільки послідовно говорить про необхідність окремої ролі CRM leader, який не занурений у щоденне операційне управління.

І тут документ підводить до дуже важливої думки: незалежність потрібна не для ізоляції ризик-менеджменту від бізнесу, а навпаки — для того, щоб його участь у стратегічних дискусіях мала цінність. Якщо функція повністю розчиняється в операційній діяльності, вона втрачає здатність бачити взаємозалежності, довгострокові наслідки і системні вразливості.

Саме тому FERMA досить чітко проводить межу між підтримкою бізнесу і участю в операційному управлінні. У документі зазначено, що CRM може допомагати першій лінії, координувати підходи, підтримувати оцінку ризиків і сприяти узгодженості процесів. Але ця взаємодія має залишатися обмеженою і контрольованою. Якщо ризик-менеджмент починає виконувати функції першої лінії або брати на себе операційні задачі, він поступово втрачає незалежність, а разом із нею — і здатність виконувати свою основну роль.

Це особливо важливо в контексті сучасного підходу до ERM, де ризик-менеджмент дедалі активніше інтегрується у процеси прийняття рішень. FERMA фактично визнає, що саме тут виникає найбільша напруга: організація очікує від CRM leader участі у стратегічних процесах, але одночасно потребує від нього здатності залишатися незалежним від поточних управлінських інтересів.

У підсумку документ формує доволі зрілий підхід до незалежності. Вона не розглядається як дистанція або ізоляція. Навпаки, FERMA показує, що справжня складність полягає в іншому — у здатності бути достатньо близьким до бізнесу, щоб розуміти його логіку і впливати на рішення, але при цьому не втрачати здатності дивитися на ситуацію з позиції всієї організації, а не окремого підрозділу чи короткострокової цілі.

Three Lines: чому FERMA захищає цю модель, але намагається переосмислити її

Коли в професійному середовищі згадують модель Three Lines, розмова дуже швидко переходить у площину схем, структур і розподілу відповідальності. Але в документі FERMA ця модель описується трохи інакше. Складається враження, що для авторів важлива не сама структура трьох ліній, а те, чи допомагає вона зберегти баланс між інтеграцією ризик-менеджменту у бізнес і його незалежністю.

FERMA прямо підтримує модель Three Lines і кілька разів повертається до неї в різних розділах документа. Але при цьому текст виглядає значно менш формалізованим, ніж багато класичних описів цієї моделі. У центрі уваги опиняється не схема підпорядкування, а питання взаємодії між функціями і того, як саме ризик-менеджмент має працювати в реальному управлінському середовищі.

Саме тому документ постійно наголошує на співпраці між CRM і першою лінією — операційними підрозділами. У тексті прямо зазначено, що ризик-менеджмент має підтримувати бізнес, допомагати із підходами до оцінки ризиків і сприяти узгодженості практик у різних частинах організації. Але майже одразу FERMA додає важливе уточнення: ця співпраця не повинна перетворюватися на постійну участь CRM у щоденній операційній діяльності.

І саме тут починається найцікавіше. Документ фактично визнає, що сучасний ризик-менеджмент перебуває у постійній спокусі «піти в операційку». Причина зрозуміла: чим глибше CRM занурюється у процеси бізнесу, тим краще він розуміє ризики, тим швидше отримує інформацію і тим сильніше може впливати на ситуацію. Але одночасно саме це створює ризик втрати незалежності.

FERMA описує цю проблему дуже прагматично. Якщо CRM починає брати на себе функції першої лінії, він поступово втрачає здатність забезпечувати незалежний погляд на ризики. Більше того — функція починає втрачати стратегічний горизонт, тому що значна частина часу і ресурсів витрачається на поточні операційні задачі. Це важливий момент, тому що документ фактично проводить межу між «розуміти бізнес» і «стати частиною бізнес-операцій». Перше — необхідно. Друге — небезпечно для самої природи функції ризик-менеджменту.

У цьому контексті дуже показовою є ще одна теза FERMA. У документі зазначено, що CRM має зберігати здатність виявляти нові ризики, бачити взаємозалежності і прогнозувати потенційні порушення стійкості організації. Але саме це стає складним, коли функція повністю занурена у поточну діяльність. Іншими словами, надмірна близькість до операційної роботи починає звужувати горизонт бачення.

При цьому FERMA зовсім не пропонує ізолювати ризик-менеджмент від бізнесу. Навпаки, весь документ побудований на ідеї інтеграції ERM у процеси організації. Але інтеграція тут розуміється не як поглинання функції бізнесом, а як її постійна присутність у процесах прийняття рішень при збереженні окремої ролі.

Саме тому в документі так багато уваги приділяється координації і взаємодії між лініями. FERMA фактично показує, що Three Lines — це не система ізольованих функцій, а механізм балансу. Перша лінія управляє ризиками у своїй діяльності. Друга — забезпечує методологію, координацію і незалежний погляд. Третя — внутрішній аудит — оцінює ефективність усієї конструкції.

І тут документ виглядає доволі сучасно. Він не намагається перетворити Three Lines на жорстку бюрократичну модель. Навпаки, FERMA постійно повертає читача до думки, що структура сама по собі нічого не гарантує. Якщо між функціями немає реальної взаємодії або якщо CRM втрачає незалежність через надмірне занурення в операційну діяльність, модель починає працювати формально.

Ще один важливий аспект — роль даних та інформації. FERMA прямо зазначає, що CRM має використовувати результати внутрішнього контролю, інформацію про інциденти, висновки внутрішнього аудиту та інші джерела для формування цілісного бачення ризиків. Це підкреслює роль ризик-менеджменту як інтегратора інформації на рівні всієї організації, а не окремого процесу або підрозділу.

У підсумку документ фактично переосмислює модель Three Lines через призму сучасного ERM. Йдеться вже не лише про розподіл ролей, а про здатність системи одночасно забезпечувати взаємодію, інтеграцію і незалежність. І саме цей баланс, судячи з тексту FERMA, сьогодні стає головним викликом для функції ризик-менеджменту.

Oversight: чому FERMA так наполягає саме на цій функції

У документі FERMA слово oversight повторюється настільки часто, що поступово стає зрозуміло: для авторів це не просто одна з функцій ризик-менеджменту, а його ключова характеристика. Причому цікаво, що в тексті майже немає спроб детально формалізувати це поняття. Натомість FERMA описує його через роль, яку ризик-менеджмент має виконувати в організації.

Фактично oversight у логіці документа означає здатність бачити ситуацію на рівні всієї організації, а не окремого підрозділу чи конкретного процесу. Саме тому CRM має формувати «portfolio view» — цілісне бачення ризиків і взаємозалежностей. І саме тому функція не повинна повністю занурюватися в операційну діяльність.

Це важливий момент, тому що в багатьох організаціях ризик-менеджмент поступово починає зміщуватися в бік операційної підтримки бізнесу. Причини зрозумілі: бізнесу потрібна допомога, ризики стають складнішими, а залучення CRM у поточні процеси виглядає природним способом підвищити ефективність системи. Але FERMA фактично попереджає, що саме тут і виникає головна небезпека.

Якщо ризик-менеджмент занадто глибоко входить у щоденне управління, він починає втрачати можливість бачити картину цілком. Функція поступово концентрується на окремих задачах, окремих процесах і короткострокових проблемах. У результаті знижується її здатність виявляти системні взаємозалежності, нові вразливості або ризики, які виникають між функціями, а не всередині них.

Саме тому FERMA настільки послідовно підкреслює необхідність збереження окремої ролі CRM leader. У документі ця роль описується не як «власник усіх ризиків», а як координатор і носій цілісного бачення. І це дуже важлива різниця. Ризик-менеджмент не має замінювати бізнес у прийнятті операційних рішень. Його задача — забезпечувати, щоб організація бачила повну картину ризиків і наслідків своїх дій.

Ще один цікавий момент полягає в тому, що FERMA фактично розглядає oversight як елемент забезпечення довгострокової стійкості організації. Бізнес-підрозділи природно концентруються на досягненні своїх цілей, швидкості реалізації рішень і результатах у межах власної відповідальності. Це нормальна логіка першої лінії. Але саме через це організації потрібна функція, яка дивиться ширше — на взаємний вплив рішень, накопичення ризиків і потенційні системні наслідки.

У документі це прямо пов’язується з governance. FERMA підкреслює, що наглядова рада і правління  потребують не просто набору оцінок ризиків, а незалежного погляду на те, як різні ризики взаємодіють між собою і як вони можуть вплинути на стійкість організації в майбутньому. І саме цю роль має виконувати CRM.

При цьому документ дуже обережно ставиться до ідеї «контролю заради контролю». У тексті немає логіки, у якій oversight означає тотальний нагляд або блокування бізнес-рішень. Навпаки, FERMA постійно повертається до думки, що ризик-менеджмент має допомагати організації приймати більш обґрунтовані рішення, а не гальмувати діяльність.

І саме тут знову проявляється складність моделі. CRM має бути достатньо незалежним, щоб ставити незручні питання і бачити довгострокові ризики, але одночасно достатньо інтегрованим у процеси, щоб його оцінки були практично корисними для бізнесу. Судячи з документа FERMA, саме ця подвійна роль сьогодні і є головним викликом для сучасного ризик-менеджменту.

Чому FERMA постійно повертається до взаємодії, а не до контролю

Ще одна цікава особливість документа — майже повна відсутність «каральної» логіки ризик-менеджменту. FERMA практично не описує CRM як функцію, яка повинна посилювати контроль над бізнесом або будувати додаткові бар’єри. Навпаки, документ постійно повертається до теми взаємодії між функціями, обміну інформацією і координації.

Це особливо помітно в розділах, присвячених Three Lines і governance. FERMA кілька разів підкреслює, що CRM має використовувати інформацію з різних джерел — внутрішнього контролю, аудиту, інцидентів, операційних підрозділів — для формування цілісного бачення ризиків. Тобто ризик-менеджмент описується як точка інтеграції інформації на рівні всієї організації.

І саме тому в документі настільки важливою виглядає тема взаємодії між функціями. Якщо CRM ізольований або сприймається виключно як контрольна функція, організація починає втрачати якість обміну інформацією. Підрозділи концентруються на формальному виконанні вимог, а ризики дедалі більше починають оцінюватися всередині окремих «силосів», а не на рівні всієї системи.

FERMA фактично пропонує іншу модель — де ризик-менеджмент виступає не стільки «центром контролю», скільки механізмом узгодження бачення ризиків між різними частинами організації. І саме тому в документі так багато уваги приділяється комунікації, координації та єдиній мові ризиків.

У підсумку третя стаття циклу підводить до важливого висновку: сучасний ERM у підході FERMA — це не спроба посилити контроль над бізнесом, а спроба побудувати систему, у якій ризики стають частиною спільного управлінського бачення організації. Але для цього ризик-менеджмент має одночасно зберігати незалежність, стратегічний

У цій частині документа FERMA фактично намагається відповісти на одну з головних дилем сучасного ризик-менеджменту: як зробити функцію достатньо впливовою, щоб вона реально брала участь у прийнятті рішень, але при цьому не втратити незалежність і здатність до об’єктивного погляду.

Саме тому документ так послідовно повертається до oversight, моделі Three Lines, координації між функціями і необхідності зберігати окрему роль CRM leader. FERMA фактично показує, що ризик-менеджмент не повинен ізолюватися від бізнесу, але і не може повністю розчинитися в операційній діяльності. Інакше організація дуже швидко втрачає ту саму функцію, яка має бачити ризики на рівні всієї системи, а не окремих процесів чи короткострокових цілей.

Але така модель автоматично породжує інше питання. Якщо сучасний CRM leader має одночасно розуміти бізнес, брати участь у стратегічних дискусіях, зберігати незалежність, координувати різні функції і комунікувати з керівництвом мовою управлінських рішень — то якими компетенціями він взагалі має володіти? Саме цьому буде присвячена наступна стаття циклу — тому, як FERMA бачить ризик-менеджера нової моделі і чому професія сьогодні змінюється значно глибше, ніж це може здаватися на перший погляд.

Сергій БАБИЧ