У першій статті ми говорили про те, що FERMA фактично починає розмову про сучасний ризик-менеджмент не з інструментів, а з більш фундаментальної проблеми — відсутності єдиного розуміння того, що таке ERM і де його місце в організації. Але в документі є ще одна наскрізна думка, яка повторюється майже в кожному великому розділі: якою б якісною не була система, вона не працюватиме без підтримки керівництва. Причому мова йде не лише про формальне затвердження політик чи участь у комітетах. FERMA описує значно глибший рівень — управлінський сигнал, який керівництво подає всій організації своїми рішеннями, пріоритетами і поведінкою. Саме тому в документі так багато уваги приділено ролі правління і ради директорів, ризик-апетиту, ранньому залученню ризик-менеджера і тому, як саме в організації приймаються рішення в умовах невизначеності.

ERM починається не з ризик-менеджера, а з керівництва

Один із найважливіших акцентів документа полягає в тому, що відповідальність за ефективність ERM FERMA покладає не на функцію ризик-менеджменту, а на керівництво організації. Це принциповий момент, який змінює всю логіку сприйняття системи. У документі прямо зазначено, що саме senior management і Board мають визначати ризик-стратегію, формувати ризик-апетит і забезпечувати інтеграцію ризиків у процеси планування та прийняття рішень. Тобто ризик-менеджмент розглядається не як окрема функція, яка «працює з ризиками», а як частина загальної системи управління організацією.

Це особливо помітно в тому, як FERMA описує роль керівництва у формуванні культури ризику. У документі немає традиційних фраз про «важливість культури» як окремого напряму роботи. Натомість підкреслюється, що саме керівництво задає тон у ставленні до невизначеності, до обговорення ризиків і до готовності приймати складні рішення. Фактично, мова йде про те, що працівники орієнтуються не на декларації, а на управлінську поведінку. Якщо керівництво демонструє, що ризики є частиною стратегічного обговорення, організація сприймає це як норму. Якщо ж ризик-менеджмент існує лише у вигляді формальної звітності, система дуже швидко починає працювати саме як формальність.

У цьому контексті особливо показовим є те, що FERMA прямо пов’язує ERM із довгостроковим збереженням вартості організації. У документі зазначено, що серед ключових обов’язків ради директорів є визначення довгострокових цілей, забезпечення стійкості бізнесу і контроль того, щоб ризики перебували на прийнятному рівні. Відповідно, ERM розглядається як механізм, який допомагає балансувати між ризиками і можливостями, а не лише як інструмент контролю.

Ще один важливий момент — підхід до ризик-апетиту. У документі FERMA не заглиблюється у методики чи кількісні моделі, але дуже чітко фіксує сам принцип: ризик-апетит має бути пов’язаний зі стратегією і цілями організації. Це виглядає доволі очевидно, але саме тут часто виникає розрив між деклараціями і практикою. Якщо стратегія і ризик-апетит існують окремо, ERM перетворюється на процес паралельного супроводу бізнесу, а не на частину прийняття рішень.

У документі також кілька разів підкреслюється необхідність «educated risk-taking» — усвідомленого прийняття ризику. Це важливий акцент, тому що FERMA послідовно відходить від логіки, у якій ризик-менеджмент асоціюється лише зі стримуванням або обмеженнями. Навпаки, керівництво має не уникати ризику, а визначати, який рівень ризику є прийнятним для досягнення стратегічних цілей. І саме ця позиція, судячи з тексту документа, формує той самий «сигнал згори» (tone at the top), про який сьогодні так багато говорять у професійному середовищі.

При цьому FERMA досить чітко показує, що проблема полягає не лише у формальному затвердженні документів. У тексті прямо зазначено, що Corporate Risk Management Leader (CRM leader) часто залучається до процесу занадто пізно, коли ключові управлінські рішення вже фактично сформовані. І це виглядає як одна з головних причин, чому навіть формально побудовані системи ERM не впливають на бізнес. Якщо ризик-менеджер підключається лише на етапі оцінки або погодження, він уже не бере участі у виборі варіантів — він лише коментує рішення, яке майже прийняте.

Саме тому FERMA настільки наполягає на ранньому залученні ризик-менеджменту. Ідеться не про розширення повноважень функції як такої, а про зміну місця ризик-менеджменту в управлінському процесі. Якщо керівництво справді сприймає ERM як частину прийняття рішень, ризик-менеджер має бути присутнім у момент, коли ще існують альтернативи, а не тоді, коли потрібно підготувати формальний висновок.

У підсумку перший блок документа про leadership фактично зводиться до однієї великої думки: ефективність ERM визначається не якістю методології, а тим, наскільки керівництво готове використовувати ризик-менеджмент як частину реального управління. І саме ця готовність формує той самий «сигнал згори», який або робить систему живою, або перетворює її на набір правильних, але ізольованих процедур.

Коли ризик-менеджмент залучають надто пізно

Одним із найцікавіших моментів документа є те, наскільки обережно, але водночас прямо FERMA описує проблему реального впливу ризик-менеджменту на рішення. У тексті немає різкої критики або гучних формулювань, однак сама логіка документа постійно повертає читача до однієї думки: у багатьох організаціях ризик-менеджмент формально існує, але фактично підключається тоді, коли ключові управлінські рішення вже майже сформовані.

Це важливий акцент, тому що він зміщує проблему з рівня методології на рівень процесу прийняття рішень. FERMA не говорить, що організаціям бракує реєстрів ризиків, оцінок чи звітів. Навпаки, з тексту видно, що проблема часто полягає в іншому — у моменті, коли саме функція ризик-менеджменту включається в управлінський процес.

У документі прямо зазначено, що CRM leader має бути залучений на ранніх етапах стратегічних обговорень. Це формулювання виглядає досить простим, але фактично змінює саму роль функції. Якщо ризик-менеджер бере участь лише після того, як рішення вже підготовлене, його можливості обмежуються оцінкою наслідків або підготовкою формального висновку. У такій моделі ризик-менеджмент не формує рішення — він лише супроводжує його.

FERMA фактично пропонує іншу логіку. Ризик-менеджмент має бути присутнім у момент, коли ще обговорюються варіанти, коли існує невизначеність і коли організація лише визначає, який рівень ризику вона готова прийняти заради досягнення своїх цілей. Саме тому в документі так багато уваги приділяється доступу CRM leader до стратегічних дискусій, планів, інформації та даних.

І тут важливо звернути увагу на ще один нюанс. У тексті не йдеться про те, що ризик-менеджер має «приймати рішення замість бізнесу». Навпаки, FERMA досить послідовно уникає такої логіки. Йдеться про інше — про створення умов, за яких ризики, взаємозалежності та потенційні наслідки стають частиною самого процесу формування рішення, а не темою для окремої перевірки після його підготовки.

Саме тому в документі ризик-менеджер описується як trusted adviser — довірений радник, а не контролер у вузькому сенсі цього слова. Його задача полягає не в тому, щоб блокувати рішення або створювати додаткові бар’єри, а в тому, щоб допомагати керівництву бачити ширшу картину — включно з вразливостями, взаємозалежностями і довгостроковими наслідками.

Ця логіка також пояснює, чому FERMA так наполягає на доступі до інформації. У документі прямо зазначено, що CRM leader має мати доступ до всіх даних і всіх людей, необхідних для ідентифікації, аналізу та оцінки ризиків. Це виглядає як технічна вимога, але насправді мова йде про значно більше — про місце ризик-менеджменту в організації.

Якщо функція не має доступу до стратегічної інформації або залучається лише епізодично, вона фізично не може формувати цілісне бачення ризиків. У такому випадку ERM неминуче перетворюється на фрагментований процес, який існує паралельно до реального управління бізнесом.

У цьому сенсі документ FERMA виглядає доволі послідовним. Спочатку він говорить про необхідність інтеграції ERM у процеси організації, потім — про роль керівництва, а далі підводить до практичного висновку: ризик-менеджмент не може бути інтегрованим у рішення, якщо його залучають лише наприкінці процесу.

І саме тут стає зрозуміло, чому в документі стільки уваги приділяється поведінці керівництва. Раннє залучення ризик-менеджера — це не питання методики чи організаційної схеми. Це управлінське рішення. Воно залежить від того, чи сприймає керівництво ризик-менеджмент як частину процесу формування стратегії, чи лише як функцію перевірки і контролю.

Ризик-апетит: управлінський інструмент, а не декларація

У документі FERMA тема ризик-апетиту не займає центрального місця в сенсі обсягу тексту, але її роль у загальній логіці документа є набагато більшою, ніж може здатися на перший погляд. Практично кожен блок — від governance до ролі керівництва — так чи інакше повертається до питання: який рівень ризику організація готова прийняти для досягнення своїх цілей.

При цьому FERMA послідовно уникає технічного або суто кількісного підходу до ризик-апетиту. У документі немає детального опису методик чи моделей. Натомість ризик-апетит описується насамперед як частина управлінської логіки організації. Він має бути пов’язаний зі стратегією, бізнес-цілями і процесом прийняття рішень.

Це важливий момент, тому що в багатьох організаціях ризик-апетит існує як окремий документ або набір лімітів, які слабо впливають на реальну поведінку бізнесу. FERMA фактично пропонує інший підхід: ризик-апетит має визначати не лише межі допустимого ризику, а й сам спосіб, у який організація приймає стратегічні рішення.

Саме тому в документі так тісно пов’язуються поняття ризик-апетиту, leadership і «educated risk-taking» — усвідомленого прийняття ризику. Організація не повинна уникати ризиків як таких. Її задача — розуміти, які ризики вона готова приймати заради досягнення своїх цілей, а які — ні.

Цей підхід особливо помітний у тому, як FERMA описує роль ради директорів. Board має не лише затверджувати ризик-апетит, а й забезпечувати його узгодженість зі стратегією і довгостроковими цілями організації. Іншими словами, ризик-апетит не може існувати окремо від управлінських рішень — він має бути їх частиною.

І саме тут документ знову повертається до теми сигналу згори (tone at the top). Якщо керівництво декларує один рівень ризик-апетиту, але фактично стимулює зовсім іншу поведінку — система дуже швидко втрачає довіру. У цьому сенсі ризик-апетит стає не лише інструментом управління ризиками, а й індикатором того, наскільки послідовною є сама модель управління організацією.

Чому навіть хороший ERM може залишатися формальністю

Мабуть, одна з найсильніших сторін документа FERMA полягає в тому, що він практично не концентрується на «дефіциті інструментів». У тексті майже немає ідеї, що організаціям бракує методик, моделей чи регламентів. Навпаки, з документа складається враження, що основна проблема сучасного ERM полягає зовсім не в цьому. Проблема — у тому, що навіть добре побудована система може існувати паралельно до реального управління бізнесом.

Ця думка проходить через увесь документ, хоча майже ніде не формулюється прямо. FERMA постійно говорить про інтеграцію у процеси, про раннє залучення, про leadership, про стратегічні дискусії. І саме ця повторюваність поступово формує головний висновок: формалізація сама по собі не означає реального впливу.

Це особливо помітно в тому, як документ описує governance. З одного боку, FERMA підтримує чіткі ролі, структури і модель Three Lines. З іншого — постійно підкреслює, що вся ця конструкція працює лише тоді, коли ризик-менеджмент реально використовується під час прийняття рішень. Інакше система починає існувати у власному контурі — зі звітами, комітетами, оцінками і процедурами, які майже не впливають на стратегічний вибір організації.

Саме тому в документі так багато уваги приділено поведінці керівництва. FERMA фактично показує, що організація дуже швидко починає копіювати реальні пріоритети management, а не формальні документи. Якщо ризики обговорюються лише в межах звітності або контрольних процедур, ERM поступово сприймається як адміністративна вимога. Якщо ж ризик-менеджмент присутній у стратегічних дискусіях і реально впливає на вибір між альтернативами, він стає частиною управлінської культури.

У цьому контексті дуже показовою є позиція FERMA щодо ролі CRM leader. У документі ризик-менеджер постійно описується як учасник стратегічного процесу, а не як окремий технічний експерт. І це виглядає цілком логічно: якщо функція ризик-менеджменту ізольована від управлінських рішень, жодна якість методології не компенсує цієї дистанції.

Ще один важливий момент — ставлення до ризику як до частини створення цінності. FERMA послідовно відходить від підходу, у якому ризик-менеджмент асоціюється виключно зі стримуванням або контролем. У документі прямо зазначено, що організації мають розглядати невизначеність не лише як джерело загроз, а і як джерело можливостей. Але такий підхід неможливий, якщо ERM існує окремо від бізнесу. У цьому випадку функція неминуче концентрується лише на негативних сценаріях і контролі відхилень.

Саме тому документ постійно повертається до теми інтеграції. Не як до організаційного терміна, а як до практичного питання: чи бере ризик-менеджмент участь у реальному управлінні організацією. І в цьому сенсі FERMA виглядає доволі послідовною — вона фактично говорить, що навіть дуже зріла система ERM може залишатися формальністю, якщо керівництво не використовує її як частину процесу прийняття рішень.

У підсумку цей блок документа підводить до доволі жорсткого, хоча і не сформульованого прямо висновку. Проблема сучасного ERM часто полягає не у відсутності процедур або моделей, а у відсутності реального управлінського попиту на них. І саме тому FERMA так багато уваги приділяє leadership, сигналу згори (tone at the top) і місцю ризик-менеджменту в стратегічних дискусіях. Без цього навіть найкраще побудована система ризикує залишитися набором правильних, але ізольованих процесів.

У цій статті FERMA фактично показує, що ефективність ERM визначається не лише методологією чи структурою функції ризик-менеджменту, а насамперед позицією керівництва і тим, наскільки ризики інтегровані у процес прийняття рішень. Але одразу виникає інше питання: як у такій моделі зберегти незалежність ризик-менеджменту? Де проходить межа між участю у стратегічних процесах і втратою об’єктивності? І чому FERMA одночасно наполягає на ранньому залученні CRM leader та на необхідності зберігати функцію oversight — незалежного нагляду? Саме цьому буде присвячена наступна стаття циклу — governance, Three Lines і тій складній межі, де ризик-менеджмент має бути достатньо близьким до бізнесу, щоб впливати на рішення, але достатньо незалежним, щоб залишатися об’єктивним.

Сергій БАБИЧ