Місяць тому FERMA — Федерація європейських асоціацій ризик-менеджменту — опублікувала White paper «Building Organisational Value through Strategic Risk Management». Такі документи зазвичай не є стандартами чи регуляторними вимогами. Їхня задача інша: зафіксувати бачення професійної спільноти щодо того, куди рухається професія, які проблеми вона вважає ключовими і як пропонує на них відповідати. Саме тому white papers часто стають значно цікавішими за формальні методичні документи — вони дозволяють побачити не лише набір рекомендацій, а й зміну самої логіки мислення. У цьому циклі ми спробуємо детально розібрати, що саме FERMA говорить про сучасний ERM, роль ризик-менеджера, governance, культуру ризику і місце ризик-менеджменту у процесі прийняття рішень — не у форматі короткого переказу, а через уважний аналіз окремих блоків документа і тієї управлінської логіки, яка за ними стоїть.

Документ FERMA починається не з ролі ризик-менеджера, не з інструментів і навіть не з governance. Він починається з більш незручної, але значно глибшої теми — з того, що саме ми взагалі розуміємо під ERM і чому це розуміння настільки різне. І це не риторичний прийом. У тексті прямо зазначено, що за результатами консультацій визначення і сфера застосування ERM у різних організаціях суттєво відрізняються. Тобто мова йде не про відмінності в деталях, а про те, що одна і та сама функція може означати зовсім різні речі в залежності від компанії.

Це важливий момент, який часто випадає з уваги. Ми звикли говорити про те, що ERM «є» або «не працює», але рідко ставимо під сумнів саму базу — чи говоримо ми про одне й те саме. У документі ця проблема сформульована достатньо прямо: поки немає чіткого і спільного розуміння, як саме має виглядати ERM, його застосування неминуче буде нерівномірним. І саме з цієї точки FERMA починає будувати всю подальшу логіку — не з покращення інструментів, а з уточнення фундаменту.

Ще один важливий акцент вступної частини — контекст. FERMA говорить про зростання невизначеності, взаємопов’язаність ризиків і посилення регуляторного середовища. Але при цьому підкреслює: сама по собі волатильність не є новим явищем. Новим є її інтенсивність і частота. І саме це змінює вимоги до ризик-менеджменту — від реактивного підходу до більш проактивного. У цій логіці ризик-менеджмент розглядається вже не лише як механізм захисту, а як інструмент, який дозволяє організації орієнтуватися в складному середовищі і приймати обґрунтовані рішення.

ERM як система, якої насправді не існує в єдиному вигляді

Ключовий висновок, з якого починається перший змістовний блок документа, звучить доволі просто, але має системні наслідки: ERM не має єдиного визначення. У тексті прямо зазначено, що організації по-різному розуміють як саму суть ERM, так і його межі. І це не просто різниця у формулюваннях — це різниця у тому, як функція працює на практиці. В одних компаніях ERM обмежується процесами ідентифікації та оцінки ризиків, в інших — включає елементи стратегічного планування і прийняття рішень. Відповідно, очікування від функції також відрізняються.

Саме тому FERMA наполягає на необхідності чітко визначати ERM у межах кожної організації. Але важливо, як саме це формулюється. Мова не про формальне визначення в документі, а про встановлення зрозумілої і узгодженої логіки, яка включає принципи, ролі, відповідальність і підходи до оцінки ризиків. Тобто ERM розглядається як система, яка задає правила роботи з невизначеністю, а не як набір окремих процедур.

При цьому в документі підкреслюється необхідність балансу. З одного боку, ERM має бути достатньо гнучким, щоб враховувати специфіку організації, її розмір, галузь і рівень зрілості. З іншого — достатньо чітким, щоб забезпечити узгодженість із стратегічним плануванням і управлінням. Цей баланс виглядає як відповідь на ту саму проблему різночитань: надмірна формалізація призводить до відриву від реальності, а надмірна гнучкість — до втрати системності.

Окремо в документі наголошується, що ERM має охоплювати всі рівні діяльності організації — стратегічний, тактичний і операційний — і працювати з різними часовими горизонтами. Це важливо, оскільки таким чином ERM виходить за межі короткострокового аналізу і включається у довгострокове планування. Фактично, йдеться про те, що ризик-менеджмент не може бути прив’язаний лише до поточних показників або звітності — він має враховувати розвиток організації у часі.

Ще один принциповий момент — місце ERM в організації. У документі прямо зазначено, що він має бути інтегрований у всі процеси — від стратегічного планування до щоденної операційної діяльності. Але важливо не саме формулювання, а те, як воно пояснюється. FERMA підкреслює, що процеси управління ризиками не повинні існувати як окремі підпроцеси. Тобто мова не про те, щоб «додати» ризик-менеджмент до існуючих процедур, а про те, щоб зробити його частиною цих процедур.

Це фактично означає зміну підходу. Якщо ERM існує окремо, він завжди буде сприйматися як додатковий рівень контролю або звітності. Якщо ж він вбудований у процеси, він стає частиною логіки прийняття рішень. І саме ця різниця, судячи з тексту документа, є ключовою для розуміння того, чому в одних організаціях ERM впливає на рішення, а в інших — ні.

У цьому контексті важливо і те, що FERMA говорить про охоплення всієї організації — від ради директорів до кожного співробітника. Це не просто декларація про «культуру ризику». Це наслідок попередньої логіки: якщо ERM інтегрований у процеси, він неминуче стає частиною щоденної діяльності, а не функцією окремого підрозділу. Відповідно, питання культури тут виникає не як окремий напрям роботи, а як результат того, як побудована система.

Окремої уваги заслуговує підхід до так званого risk universe. У документі він описується як структурована рамка, яка визначає, які категорії ризиків має враховувати організація. При цьому підкреслюється, що це не список конкретних ризиків, а саме концептуальна структура. Такий підхід дозволяє забезпечити повноту оцінки і узгодженість між різними частинами організації. Іншими словами, risk universe виконує роль «карти», яка задає межі мислення, а не просто інструменту обліку.

І нарешті, ще один важливий елемент — включення можливостей у процес ERM. У документі прямо зазначено, що організації мають переходити від підходу, орієнтованого виключно на загрози, до підходу, який враховує і можливості. Це формулюється як необхідність інтегрувати оцінку можливостей у процеси управління ризиками. Важливо, що це не винесено в окрему концепцію, а розглядається як природна частина ERM, якщо він дійсно інтегрований у прийняття рішень.

У підсумку перший розділ документа не пропонує нових інструментів і не вводить складних моделей. Він робить інше — фіксує, що без чіткого розуміння того, що таке ERM і де його місце, всі інші елементи системи будуть працювати фрагментарно. І саме з цього рівня — рівня визначення і інтеграції — FERMA пропонує починати будь-які зміни в ризик-менеджменті.

Роль ризик-менеджера: між радником і учасником рішення

Після того як у документі зафіксовано базову проблему — відсутність єдиного розуміння ERM і його місця в організації — логіка природно переходить до наступного рівня: хто саме має забезпечити роботу цієї системи. І тут FERMA досить чітко змінює акцент у порівнянні з тим, як традиційно описується роль ризик-менеджера.

У документі ця роль формулюється через поняття CRM leader — і це не просто інша назва. Вона одразу задає інший масштаб очікувань. Йдеться не про функцію, яка адмініструє процеси, а про роль, яка поєднує різні частини організації в єдине бачення ризиків і підтримує управлінські рішення. Саме тому серед ключових функцій називаються не лише розробка та підтримка ERM-фреймворку, а й координація оцінки ризиків, формування портфельного бачення і забезпечення узгодженості між ризик-апетитом і стратегією.

Але ключове в цьому розділі навіть не перелік функцій, а те, як описується позиція цієї ролі в організації. FERMA прямо зазначає, що CRM leader має виступати як trusted adviser для правління і ради директорів. Це формулювання часто використовується, але тут воно підкріплюється конкретним змістом: ризик-менеджер має не просто надавати інформацію, а забезпечувати розуміння того, як різні ризики взаємодіють між собою і як вони впливають на досягнення цілей.

Це означає, що фокус зміщується з окремих ризиків на їх взаємозв’язки. У документі підкреслюється необхідність формування цілісного бачення вразливостей і взаємозалежностей. І саме це завдання фактично відрізняє CRM leader від класичної ролі, яка часто зосереджена на окремих оцінках або звітах.

Разом з цим змінюється і вимога до комунікації. У документі окремо наголошується, що ризик-менеджер має вміти доносити свої висновки зрозумілою для бізнесу мовою, уникаючи технічного жаргону. Це не стилістична рекомендація, а функціональна вимога: якщо ризик-менеджмент інтегрується у прийняття рішень, його результати мають бути зрозумілими тим, хто ці рішення приймає.

Ще один важливий аспект — компетенції. FERMA прямо зазначає, що сучасний CRM leader має поєднувати стратегічне мислення, аналітичні навички, лідерські якості, здатність до комунікації та технологічну обізнаність. Важливо, що ці компетенції не подаються як «бажані», а як необхідні для виконання ролі в умовах, коли ризик-менеджмент виходить за межі технічної функції.

Однак найбільш показовим у цьому розділі є не опис того, яким має бути ризик-менеджер, а визнання проблеми, яка обмежує його вплив. У документі прямо зазначено, що на практиці CRM leader часто залучається до процесу занадто пізно. Це формулювання виглядає доволі стримано, але його наслідки очевидні: якщо ризик-менеджер підключається після того, як рішення вже сформоване, його роль обмежується оцінкою або коментарем.

Саме тому FERMA підкреслює необхідність раннього залучення. Ризик-менеджер має бути включений у процес ще на етапі формування варіантів, коли рішення як такого ще не існує. У документі це не деталізується через приклади, але логіка достатньо чітка: тільки в цьому випадку ризик-менеджмент може впливати на вибір, а не лише оцінювати його наслідки.

Цей акцент важливий ще й тому, що він безпосередньо пов’язаний із попереднім розділом. Якщо ERM інтегрований у процеси, то і роль ризик-менеджера змінюється — від спостерігача до учасника. І навпаки, якщо ERM існує окремо, ризик-менеджер неминуче опиняється на периферії процесу прийняття рішень.

При цьому FERMA не заперечує класичні функції ризик-менеджменту. У документі прямо зазначено, що CRM leader відповідає за розробку і підтримку фреймворку, координацію оцінок, розвиток культури ризику і оцінку ефективності системи контролю. Але ці функції подаються як частина ширшої ролі, а не як її основа.

У підсумку формується досить чітка картина. Ризик-менеджер у розумінні FERMA — це не функція, яка працює «після» або «паралельно», а роль, яка має бути вбудована в процес формування управлінських рішень. І саме ця зміна позиції, а не зміна інструментів, визначає його реальний вплив на організацію.

Незалежність і вплив: де проходить межа ризик-менеджменту

Після опису ролі ризик-менеджера документ переходить до, мабуть, найскладнішого питання — як поєднати його участь у прийнятті рішень із вимогою незалежності. І тут FERMA не намагається спростити ситуацію. Навпаки, вона фіксує, що ефективний ризик-менеджмент можливий лише за одночасного виконання двох умов, які на практиці часто конфліктують: участі у процесах і збереження дистанції від них.

У тексті це формулюється через вимогу до CRM виконувати функцію oversight, тобто нагляду. Ризик-менеджмент має залишатися незалежним настільки, щоб забезпечувати об’єктивну оцінку і можливість «challenge» — здатність ставити під сумнів управлінські рішення. Це подається як принцип, який не можна розмивати, оскільки саме через нього забезпечується довіра до функції з боку правління, ради директорів і акціонерів. Разом з тим, у попередньому розділі вже було зафіксовано, що ризик-менеджер має бути залучений до процесу прийняття рішень на ранніх етапах. І саме тут виникає напруга, яку документ не приховує, а, скоріше, намагається окреслити.

FERMA вирішує це не через жорстке розмежування, а через визначення ролей і меж. У документі підкреслюється, що CRM має працювати в логіці моделі Three Lines, де ризик-менеджмент займає другу лінію і відповідає за координацію, методологію і незалежну оцінку. При цьому допускається співпраця з першою лінією — операційними підрозділами — але вона описується як обмежена і тимчасова.

Це важливе уточнення. У тексті прямо зазначено, що ризик-менеджмент може підтримувати бізнес у питаннях оцінки ризиків або впровадження підходів, але не має ставати частиною щоденної операційної діяльності. Якщо це відбувається, функція втрачає здатність бачити картину в цілому, виявляти нові ризики і забезпечувати незалежний погляд. Таким чином, межа проходить не по лінії «участь / неучасть», а по лінії «вплив / виконання». Ризик-менеджер може і має впливати на рішення, але не має брати на себе відповідальність за їх реалізацію в операційній площині.

Ця логіка також пояснює, чому в документі окремо підкреслюється необхідність доступу до інформації і участі у стратегічних обговореннях. Незалежність без доступу до даних і без розуміння контексту перетворюється на формальність. І навпаки, участь без незалежності призводить до втрати об’єктивності. Саме тому FERMA говорить про необхідність одночасного забезпечення обох умов.

Окремо розглядається питання governance на рівні організації. У документі зазначено, що ефективний ризик-менеджмент починається з позиції керівництва. Правління і рада директорів мають не лише формально затверджувати підходи, а й активно визначати ризик-апетит, інтегрувати ризики у процеси планування і створювати середовище, в якому обговорення невизначеності є нормою.

Цей аспект важливий у контексті ролі ризик-менеджера. Якщо керівництво не підтримує таку модель, навіть правильно побудована функція не зможе виконувати свою роль. Тому в документі підкреслюється, що залучення CRM leader до процесів має відбуватися «згори», через відповідні управлінські практики і доступ до інформації.

Ще один цікавий момент — взаємодія з іншими функціями. FERMA окремо зазначає, що ризик-менеджмент має використовувати дані з різних джерел: інциденти, результати контролів, висновки внутрішнього аудиту. Це підкреслює його роль як інтегратора інформації, але водночас не змінює базового принципу: координація і аналіз, а не виконання операційних функцій.

У підсумку цей розділ формує досить чітке розуміння того, де саме проходить межа. Вона не є жорсткою у сенсі «дозволено / заборонено», але має чітку логіку. Ризик-менеджмент має бути достатньо близьким до процесів, щоб впливати на них, і достатньо віддаленим, щоб залишатися незалежним. І саме ця подвійна позиція, судячи з документа, є необхідною умовою його ефективності.

Компетенції, культура і професія: що стоїть за новою роллю ризик-менеджера

Після того як у документі послідовно окреслено місце ERM в організації, роль ризик-менеджера і межі його взаємодії з бізнесом, логіка переходить до питання, яке виглядає більш «м’яким», але насправді є критичним: чи відповідають самі ризик-менеджери тим вимогам, які до них висуваються. І тут FERMA не обмежується загальними формулюваннями, а досить прямо говорить про необхідність зміни профілю компетенцій.

У документі підкреслюється, що сучасний CRM leader має поєднувати кілька типів навичок, які традиційно не завжди були характерні для цієї ролі. Йдеться не лише про аналітичні або методологічні знання, а й про стратегічне мислення, здатність працювати з невизначеністю, комунікаційні навички і розуміння бізнес-контексту. Важливо, що ці вимоги не подаються як розвиток «додаткових» компетенцій, а як базова умова ефективності. Тобто роль ризик-менеджера змінюється настільки, що старого набору навичок уже недостатньо.

Цей акцент логічно продовжує попередні розділи. Якщо ризик-менеджер має бути учасником процесу прийняття рішень, працювати з керівництвом і формувати цілісне бачення ризиків, він не може залишатися виключно технічним спеціалістом. Саме тому в документі окремо наголошується на здатності до комунікації — не як умінні «презентувати результати», а як здатності адаптувати зміст під різні аудиторії і говорити мовою бізнесу.

У цьому контексті з’являється ще один важливий елемент — ідея створення European Shared Capability Framework. FERMA пропонує розробити єдину рамку компетенцій для ризик-менеджерів, яка б визначала, що саме означає професійність у цій сфері. При цьому підкреслюється, що така рамка має бути достатньо гнучкою, щоб враховувати національні особливості і різні типи організацій, але водночас забезпечувати певний рівень узгодженості.

Ця ініціатива прямо пов’язана з результатами консультацій, де було зафіксовано, що очікування від ризик-менеджерів зростають і ускладнюються. Відповідно, виникає потреба у більш структурованому підході до розвитку професії. У документі також згадується сертифікація як інструмент підтвердження компетенцій, але важливо, що вона розглядається як добровільний механізм, а не як обов’язкова вимога.

Окремо варто звернути увагу на те, як у документі описується культура ризику. Вона не виділяється як самостійний напрям, а розглядається як результат роботи всієї системи. Ризик-менеджер має сприяти її формуванню, але не через окремі ініціативи, а через інтеграцію ризиків у процеси і рішення. Таким чином, культура постає не як набір цінностей або декларацій, а як практична поведінка організації у роботі з невизначеністю.

Ще один важливий елемент — безперервний розвиток. У документі підкреслюється, що в умовах швидких змін ризик-менеджери мають постійно оновлювати свої знання і навички. Це стосується як нових тем — наприклад, технологій або геополітичних ризиків, — так і загального підходу до управління. У цьому сенсі професія розглядається як динамічна, а не як набір стабільних функцій.

У підсумку цей розділ фактично завершує логіку цієї частини документа. Якщо в попередніх частинах йшлося про систему і її місце в організації, то тут — про людей, які цю систему мають реалізовувати. І висновок досить прямий: без відповідного рівня компетенцій і без зміни підходу до ролі ризик-менеджера всі інші елементи — ERM, governance, інтеграція у процеси — не зможуть працювати так, як це описано.

Якщо підсумувати логіку цього white paper FERMA, вона виглядає достатньо послідовно: спочатку — проблема відсутності єдиного розуміння ERM, потім — необхідність інтеграції у процеси, далі — зміна ролі ризик-менеджера і, нарешті, вимоги до його компетенцій.

Але в цій конструкції залишається ще один важливий рівень, який у документі винесений окремо і фактично визначає, чи буде вся ця система працювати на практиці. Йдеться про роль керівництва — правління і ради директорів — у формуванні підходу до ризику, визначенні ризик-апетиту і прийнятті рішень.

Саме цьому буде присвячена наступна стаття — тому, як FERMA описує відповідальність leadership і чому без цього рівня навіть добре побудований ERM залишається формальністю.

Сергій БАБИЧ