В 2021 году комплаенс и управление рисками станут единым направлением

В 2020 году корпорации оказались под огромным давлением. Одной из главных причин стала пандемия, которая, как ящик Пандоры, явила гораздо более разрушительные угрозы, связанные с кибербезопасностью, цепочкой поставок, здоровьем и безопасностью, финансовым мошенничеством и комплаенсом.

Если 2020 год чему-то и научил нас, так это тому, что в управлении рисками недостаточно какого-то одного подхода. Отдельные угрозы и кризисы нарастают как лесной пожар и, объединяясь, они несут в себе непредсказуемую разрушительную силу. 2020, конечно же, закончится, но перед нами стоит еще множество вызовов. Нам необходимо объединить комплаенс и интегрированное управление рисками (IRM), потому что возникающие угрозы взаимосвязаны и требуют соответствующего отношения.

В 2021 году организации будут и дальше объединять процессы и практики комплаенса, IT и управления рисками, связанными с операционной деятельностью, репутацией, третьими лицами и ESG.

Такого рода всесторонняя интеграция потребует четкого разделения коммуникаций и ответственности. Мы ожидаем, что все больше компаний будут назначать руководителей по управлению рисками или руководителей по управлению рисками и комплаенсом, чтобы они смогли выработать стратегию по интеграции рисков. Кроме того, перед комитетами на уровне совета директоров будет стоять задача рассматривать риски и стратегию по их управлению в масштабах предприятия.

Текущее положение интеграции рисков.

Регуляторы, вроде Министерства юстиции США, тщательно исследуют возможности организаций предотвращать неправомерные действия. Климатические изменения или сбои в цепочке поставок несут угрозу операционной деятельности, даже если эти проблемы не относятся с требованиями регуляторов. Различные активисты используют социальные медиа как площадку, где привлекают внимание общественности к ошибкам корпораций, по сути, задавая вопрос: «Почему компании не сумели их предотвратить?»

Это вопрос, который совет директоров и CEO хотели бы никогда не задавать. В 2021 году им потребуются инструменты и информация, чтобы оценивать, управлять и вести отчетность по организационным рискам.

Идея объединить функции, связанные с управлением рисками, не нова, но пандемия 2020 года усилила дезориентацию в корпоративном управлении рисками.

Интегрированное управление рисками — требование нового времени.

Правительства уже подготовились к целому ряду новых угроз, усилив прозрачность и подконтрольность организаций. В США администрация Байдена уже дали понять, что они хотят видеть больше раскрытой компаниями информации по климатическим изменениям и расовому неравенству. К концу 2021 года в силу вступит директива о защите информаторов, принятая Европейским Союзом. За последнее десятилетие существенно ужесточились законы, связанные с противодействием коррупции, отмыванию денег, защитой конфиденциальных данных и торговлей людьми, и это серьезный задел на следующее десятилетие.

Такое активное экономическое, социальное и регуляторное давление требует интегрированного подхода к управлению рисками. Совету директоров, высшему руководству и руководителям бизнес-единиц следует всесторонне подойти к пониманию организационных рисков. Компании, которые не боятся развиваться и умеют отвечать на новые вызовы, преуспеют благодаря большей осведомленности при принятии решений и продуктивности.

Какие шаги предпринять организациям?

1. Заручиться поддержкой при работе с IRM.

В организации интегрированное управление рисками затрагивает разные департаменты, связанные с юридическим направлением, внутренним аудитом, IT, комплаенсом и другими уже существующими отделами по работе с рисками. Сторонникам IRM следует найти и заручиться поддержкой партнеров внутри компании, высшего руководства и советом директоров, поскольку они всецело отвечают за обеспечение эффективного управления рисками.

2. Распределить роли и ответственность.

Объединение функций комплаенса и управления рисками может стать непростой задачей для многих организаций, но четкое распределение ролей и обязанностей устанавливает иерархию при принятии решений и систему подотчетности. Если в компании нет руководителя по управлению рисками и комплаенсом, рассмотрите на эту должность кого-нибудь из высшего руководства, кто может взять на себя эту роль.

3. Определить риски и смягчить последствия от них.

Руководителям любого направления в организации необходимо оценивать риски и соотносить их с процессами и требованиями, сюда относятся риски, связанные с управлением цепью поставок, комплаенсом, финансовой ликвидностью, исками и форс-мажоры, например, экстремальные погодные условия, пандемия и т.д.

В этом могут помочь специальные фреймворки, которые определяют угрозы и снижают последствия от них. Но это амбициозный шаг, предварительно стоит обозначить и распределить роли и обязанности.

4. Разработать систему мониторинга и отчетности

Угрозы необходимо активно мониторить, а к новым рискам нужно относиться настороженно и сообщать о них ключевым заинтересованным лицам. Также следует регулярно сообщать о любых коллективных рисках, так как это поможет руководителям по управлению рисками четко сформировать высокоуровневые риски и насущные проблемы, и несрочные вопросы.

Нам сильно хочется назвать 2020 год аномальным, но он таким и был. Однако, явления, за которыми стоят наиболее крупные кризисы того непростого года, например, растущая по всему миру политическая нестабильность, ослабление институтов и общественных норм, все более запутанные и взаимозависимые цепочки поставок, расширение торговых войн и санкций, экологические проблемы и ускорение глобального потепления, останутся на повестке дня и в 2021 году.

Размежевать комплаенс риски от остальных — это нестратегическое решение для любого бизнеса. Когда раз в столетие случится буря, а она обязательно случится, те, кто объединил работу с рисками в единое направление, устоят и будут процветать.