Zarządzanie ryzykiem i compliance

Niniejszy artykuł porusza następujące kwestie:

  • Na czym polega zarządzanie ryzykiem?
  • Czym jest ryzyko? Definicja ryzyka.
  • Na czym polega zarządzanie zgodnością/ zarządzanie compliance?
  • Czym jest Funkcja Zarządzania Ryzykiem (Funkcja Risk Management)?
  • Czym jest Funkcja Compliance w firmie?
  • Jakie są narzędzia do zarządzania ryzykiem i zgodnością (compliance)?

Zarządzanie ryzykiem (ang. Risk Management) i zgodnością (ang. Compliance) stanowi sedno dziedziny GRC. Choć można by ogólnie mówić tylko o zarządzaniu ryzykiem, często wydziela się z niego aspekt zapewnienia zgodności – i tak też czynię w swojej praktyce. Te dwa obszary powinny się jeszcze łączyć z ogólnym zarządzaniem (ang. Governance), abyśmy w sposób kompletny mogli rozmawiać o wzniesieniu firmy na wyższy poziom poprzez systemowe zarządzanie GRC.

Zarządzanie ryzykiem

Lepsze funkcjonowanie firmy, reagowanie na różnego rodzaju incydenty, ograniczenie odpowiedzialności, przewidywanie problematycznych zdarzeń oraz przeciwdziałanie im możliwe jest dzięki odpowiedniemu zarządzaniu ryzykiem.

Ryzykiem nazywamy możliwość poniesienia straty (finansowej lub niefinansowej) w wyniku wystąpienia określonego zdarzenia.

Zdarzenie to może być następstwem decyzji przedsiębiorcy (np. wprowadzenie na rynek wadliwego produktu lub usługi) albo być niezależne od przedsiębiorcy (np. powódź). Również samo źródło ryzyka może być wewnętrzne (np. kradzież sprzętu przez pracownika) lub zewnętrzne (np. atak hackerski).

Zarządzanie ryzykiem stanowi proces o charakterze ciągłym (proces stały), a jego celem jest przede wszystkim: świadomość istnienia ryzyka, mitygacja (ograniczenie) ryzyka oraz kontrolowanie ryzyka. Działania w procesie zarządzania ryzykiem powinny również obejmować wykrywanie zdarzeń stanowiących materializację ryzyka oraz reagowanie na wystąpienie takiego incydentu. W ten sposób firma spogląda w przeszłość, teraźniejszość i przyszłość, redukuje straty oraz obniża koszty działalności, finalnie uzyskując znaczącą wartość dodaną (zysk finansowy, przewagę konkurencyjną, renomę, zadowolenie pracowników i nie tylko).

Adekwatne i skuteczne zarządzanie ryzykiem możliwe jest dzięki wdrożeniu w firmie zestawu odpowiednich rozwiązań, które składają się na funkcjonowanie systemu zarządzania ryzykiem. Choć słowo „system” różnie nam się kojarzy, tutaj chodzi o spójny zbiór dokumentów, rozwiązań organizacyjnych i biznesowych, a także narzędzi i kultury organizacyjnej wśród pracowników. To dzięki nim można zrealizować cele zarządzania ryzykiem.

Proces zarządzania ryzykiem obejmuje w szczególności:

  • Identyfikację ryzyka,
  • Analizę ryzyka, w tym szacowanie, pomiar, analizy scenariuszowe,
  • Decydowanie w zakresie ryzyka, w tym określanie planów działań i rozwiązań mitygujących ryzyko,
  • Monitorowanie ryzyka,
  • Raportowanie ryzyka,
  • Edukowanie personelu,
  • Adekwatne kontrole wewnętrzne,
  • Wykrywanie zdarzeń stanowiących materializację ryzyka i odpowiednie reagowanie w sytuacji wystąpienia takiego zdarzenia,
  • Rejestrowanie zdarzeń ryzyka.

W zakresie zarządzania ryzykiem można mówić o różnych rodzajach ryzyka, m.in. operacyjnym, biznesowym, płynności, kontrahenta, kredytowym. Kluczowe znaczenie dla działalności firmy ma ryzyko operacyjne, które obejmuje zawodność procesów biznesowych, błędy ludzkie, awarie systemów informatycznych oraz zdarzenia zewnętrzne (jak np. powódź, pożar, epidemia, działalność przestępcza). W ramach ryzyka operacyjnego rozpatruje się także ryzyko prawne i ryzyko braku zgodności, jednak ze względów funkcjonalnych to ostatnie wyodrębnia się i rozpatruje jako osobny obszar zarządzania (compliance).

Zarządzanie zgodnością (compliance)

Ten proces nie różni się szczególnie od ogólnego zarządzania ryzykiem – zastosowanie mogą znaleźć analogiczne typy dokumentów, narzędzi, szkoleń itp. Różnić się jednak będzie postać ryzyka i jego możliwe skutki. Ryzyko to oddziałuje na firmę z zewnątrz oraz z jej środowiska wewnętrznego, stąd bardzo ważne jest przyjęcie określonych ram zarządzania wraz z ich wyraźnym zakreśleniem dla personelu.

Istotną cechą zarządzania compliance jest jej wpływowość na podejmowane decyzje biznesowe. Dlatego większy nacisk w firmie kładzie się na opiniowanie, realizowane przez dział prawny lub zewnętrzną kancelarię. Opinia pozwala na właściwą analizę ryzyka braku zgodności i podjęcie określonych działań, aby ryzyko to zminimalizować.

Obecnie funkcjonujące przepisy często są bardzo ogólne, przez co utrudniona jest ocena w zakresie zgodności. Opinia powinna rozpatrywać różne perspektywy i uwzględniać szeroką gamę czynników ryzyka, co pozwala przeprowadzić rzetelną analizę. Opinia i analiza ryzyka to dwie różne czynności, przy czym w oparciu o właściwą opinię można przeprowadzić porządną analizę, z kolei analiza nie ma wpływu na samą opinię. Stąd też zasadne, aby były one przeprowadzane przez niezależne jednostki (bądź pracowników, bądź outsourcerów).

Compliance – rozumiane jako stan zgodności, a zarazem cel prowadzenia działalności w zgodzie z przepisami – obejmuje nie tylko przepisy prawne, ale i wytyczne organów bądź określonych organizacji/ instytucji albo związków, regulacje wewnętrzne (zgodność z własnymi politykami, procedurami, instrukcjami itp.), standardy grupy kapitałowej/ grupy podmiotów powiązanych, a także normy etyczne. Zarządzanie zgodnością obejmuje więc wszystkie powyższe aspekty przedmiotowe compliance, wpływając na konieczność uwzględnienia w ramach CMS odpowiednich kwalifikacji, wiedzy i umiejętności osób lub podmiotów wdrażających system zarządzania zgodnością. Mowa nie tylko o wykształceniu i wiedzy prawniczej, ale również tych z zakresu ekonomii, zarządzania, etyki, public relations czy psychologii.

Proces zarządzania compliance w firmie obejmuje silne zaangażowanie pracowników bądź podmiotów realizujących tzw. Funkcję Compliance w działania tzw. Drugiej Linii Obrony, a jednocześnie realizację istotnych zadań jako Pierwsza Linia (choć w opracowaniach z zakresu compliance raczej nacisk położony jest na Drugą Linię).

Zarządzanie compliance, podobnie jak zarządzanie ryzykiem, obejmuje identyfikację, analizę, decydowanie, mitygowanie, monitorowanie i raportowanie ryzyka braku zgodności, jak również czynności z zakresu kontroli wewnętrznej (w tym opiniowania prawnego) oraz analiz zgłoszeń nadużyć (np. w ramach whistleblowing). Niejednokrotnie w firmie powoływany jest compliance officer, który w dużej mierze pośredniczy między pracownikami a zarządem w zakresie przestrzegania zgodności, a także rozpatruje zgłoszone nadużycia, strzegąc przy tym informacji poufnych oraz chroniąc tożsamość zgłaszającego. To niezwykle odpowiedzialna rola w organizacji. Zadania compliance officera może ogólnie realizować Funkcja Compliance.

Funkcja Risk Management oraz Funkcja Compliance w firmie

W zakresie sprawowania nadzoru nad ramami systemu zarządzania ryzykiem, a także koordynacji określonych działań w zakresie funkcjonowania tego systemu istotną rolę w firmie odgrywa tzw. Funkcja Zarządzania Ryzykiem, a w obszarze zarządzania zgodnością – Funkcja Compliance. W części firm dozwolone jest połączenie obu tych funkcji w jedną, choć należy przy tym ocenić, czy taka fuzja nie naruszy ram obu tych systemów zarządzania. W przypadku takiego połączenia może mówić o funkcji RCM (Risk and Compliance Management).

Zarządzanie zgodnością obejmuje specyficzne ulokowanie obu tych funkcji. Może ją pełnić pracownik, jednostka organizacyjna, a w niektórych firmach może być ona outsourcowana (zlecona na zewnątrz – także w sytuacji połączenia tych funkcji w jedną).

Dodatkowo Funkcja Compliance powinna być wyodrębniona od wsparcia prawnego, co ma znaczenie pragmatyczne. Jednak wiele firm łączy to wsparcie ze sobą, co jest tańsze i uproszczone, gdy chodzi o strukturę, lecz zaburza nieco wdrożony CMS (ang. Compliance Management System). W mniejszych oraz mniej złożonych firmach outsourcing Funkcji Compliance może się bardziej opłacać, choć zarząd powinien też rozważyć rozwiązanie hybrydowe (pracownik etatowy + zewnętrzny ekspert), tak aby ograniczyć czas pracy eksperta (a co za tym idzie – koszty), a jednocześnie nie czekać latami na fachowe wyspecjalizowanie się swojego pracownika.

Jakie rozwiązania są wdrażane w systemie zarządzania ryzykiem i zgodnością?

Prawidłowe i skuteczne wdrożenie systemu zarządzania ryzykiem i zgodnością w firmie polega na zaimplementowaniu w procesach i działaniach rozwiązań, które pozwolą zrealizować cele takiego zarządzania.

Fundamentalnym filarem systemu zarządzania ryzykiem i zgodnością jest odpowiedni governance oraz kultura organizacyjna oparta na zarządzaniu ryzykiem. Chodzi o to, aby zarządzanie ryzykiem i compliance nie było zależne tylko od jednej komórki czy stanowiska, ale w określonym zakresie właściwe działania podejmował każdy pracownik. Kluczowa okazuje się tu wiedza i nastawienie pracowników, stąd niezbędność szkoleń i innych działań edukacyjnych. Podstawowym rozwiązaniem w tym filarze jest przyjęcie regulacji wewnętrznych (polityk, procedur), w których znajdzie się zbiór zasad, praw i obowiązków pracowników w zakresie zarządzania ryzykiem i zgodnością. Pamiętać jednak należy, że dokumenty te nie mogą pozostać jedynie papierem, a wszelkie zasady, prawa i obowiązki muszą być wykonywane w praktyce.

Kolejnym filarem jest ustanowienie w firmie Funkcji Zarządzania Ryzykiem lub Funkcji Compliance. Personel albo podmiot realizujący tę funkcję w ramach outsourcingu odpowiedzialny jest za kształtowanie ram systemu zarządzania ryzykiem lub systemu zarządzania compliance, a także nadzór nad jego funkcjonowaniem w firmie. Koordynuje on, a często wykonuje konkretne (główne) zadania, tak aby konkretne cele tego systemu były cyklicznie (a część z pewnością na bieżąco) realizowane. Filar ten realizowany jest poprzez odpowiednie zmiany w strukturze organizacyjnej oraz zatrudnienie odpowiednich pracowników (bądź zawarcie umowy outsourcingowej).

W ramach trzeciego filaru możemy wyróżnić narzędzia do skutecznego zarządzania ryzykiem. Nie ma tutaj katalogu zamkniętego, żelaznego „must have” ani rozwiązań kompleksowych. Dobór narzędzi zależy od złożoności i charakteru prowadzonej działalności, a także narażenia na ryzyko (w szczególności w aspektach regulacji prawnych). Możemy jednak wyróżnić narzędzia, które sprawdzają się najlepiej i są stosowane najczęściej, ponieważ najdokładniej wpływają na realizację celów zarządzania ryzykiem i zgodnością. Należą do nich:

  • Mapa ryzyka,
  • Baza zdarzeń operacyjnych,
  • Kluczowe wskaźniki ryzyka,
  • Analizy scenariuszowe,
  • Testy warunków skrajnych,
  • Analiza wpływu na biznes (BIA),
  • Plany Działania (Action Plans), nazywane również planami naprawczymi,
  • System Kontroli Wewnętrznej (SKW), obejmujący kontrole w ramach Pierwszej oraz Drugiej Linii Obrony,
  • Szkolenia i materiały edukacyjne dla personelu,
  • Audyt wewnętrzny (Trzecia Linia Obrony),
  • Raporty do kadry zarządzającej albo funkcjonujących w firmie komitetów.

Zaleca się, aby ogólne ramy tych (i innych) narzędzi zostały określone w odpowiednich politykach i procedurach. Z kolei ich faktyczny kształt oraz szczegółowe funkcjonowanie mogą być realizowane w ramach czynności operacyjnych.

Ostatnim z kluczowych filarów systemu zarządzania ryzykiem i zgodnością jest odpowiednie monitorowanie oraz raportowanie, które pozwalają utrzymać adekwatność i efektywność tego systemu, a także wykryć ewentualne słabości i problemy. Istotne jest, aby filar ten był w pełni nadzorowany przez kadrę zarządzającą firmą, nawet jeśli działania stanowiące monitorowanie i raportowanie jest realizowane przez inną osobę lub podmiot (w tym także przez audytora albo konsultanta zewnętrznego).

System zarządzania ryzykiem i zgodnością oczywiście może być uzupełniany przez szereg innych rozwiązań i dodatkowe filary, które mogą być uzasadnione w kontekście złożoności i charakteru prowadzonej działalności, wielkości firmy, liczby pracowników, złożoności systemów informatycznych etc. Wdrożenie odpowiedniego systemu powinno uwzględniać pełny kontekst prowadzenia działalności gospodarczej oraz narażenia na ryzyko, co powinno być konsultowane z ekspertem w tej dziedzinie.

Czytaj o zarządzaniu ryzykiem i compliance na Blogu

Na Blogu Compliance znajdziesz wiele artykułów poświęconych tematyce zarządzania ryzykiem i zgodnością. Zawierają one tagi: risk management oraz compliance.

Potrzebujesz wsparcia przy wdrażaniu systemu zarządzania ryzykiem i zgodności?

Jeśli potrzebujesz pomocy związanej z wdrażaniem systemu zarządzania ryzykiem i zgodności albo konsultacji jakiejkolwiek kwestii dotyczącej ryzyka lub compliance, skontaktuj się ze mną. Wyślij wiadomość poprzez formularz kontaktowy w zakładce Kontakt, a ja zajmę się Twoją sprawą.

Ten artykuł może być ważny zarówno dla przedsiębiorców, jak i pracowników. Jeśli uznajesz go za przydatny, prześlij go innym. Możesz go udostępnić w swoich mediach społecznościowych, klikając jeden z poniższych przycisków. Jeśli interesuje Cię temat zarządzania ryzykiem i compliance przedsiębiorstw, polub stronę Bloga Compliance na Facebooku oraz LinkedIn, a także zapisz się do Newslettera GRC Compass. Korzystaj z dostępnych materiałów, porad i informacji, a jeśli będziesz miał własne pytania – nie wahaj się wysłać wiadomość e-mail poprzez formularz kontaktowy.