Десятка топовых мировых трендов риск-менеджмента и комплайенса в 2022 году

Управление рисками
Источник: GAAP.RU
Опубликовано: 24 Января 2022


Автор: Жаклин Джаггер (Jaclyn Jaeger), редактор Compliance Week

По материалам: Compliance Week

На протяжении последней пары лет компании во всем мире столкнулись с чередой беспрецедентных вызовов. Многие задачи, с которыми только-только научились справляться их менеджеры, останутся актуальными и в 2022 году. Не вызывает большого удивления сохраняющийся высокий приоритет обеспечения долгосрочной устойчивости бизнеса и выраженный фокус на экологических, социальных и управленческих (“ESG”) аспектах деятельности. А что можно назвать из новых вызовов?

NAVEX – известный международный разработчик специализированного программного обеспечения по управлению рисками и комплайенсу. Compliance Week рассказывает о проведенном им недавно вебинаре, на котором не только подняли тему топ-10 трендов в этой области на наступивший год, но и рассказали, как компании по всему миру продолжат адаптироваться к новой реальности.

Разнообразие, равенство и инклюзивность

Эти три понятия настолько часто упоминаются вместе, что в английской деловой литературе все чаще можно встретить устоявшее сочетание “DEI” – скрыто отсылающую к чему-то “божественному” аббревиатуру, обозначающую “diversity, equity, and inclusion”. Социальные программы “DEI” разрабатываются и внедряются многими организациями, но многим из них, несмотря на вроде бы сформулированные общие задачи, не хватает реальной четкости и специфики.

Социальные программы по обеспечению разнообразия, равенства и инклюзивности немыслимы без культуры и ценностей, поэтому профессиональная этика и комплайенс связаны с ними самым прямым образом. Но это все общие слова, а как насчет конкретики? Теоретик Патрис Палмер (Patrice Palmer), зам. декана бизнес-колледжа при Университете штата Колорадо, подчеркнул важность заявления целей в рамках программ “DEI” и проактивного информирования о них. В качестве примера он привел регулярные информационные обновления в виде постов в социальных медиа и на корпоративных сайтах – по крайней мере, это прекрасный старт.

Палмер рекомендует далее подключать анализ сильных и слабых сторон своих организаций, их рисков и возможностей, с тем чтобы определить, куда направлять работу менеджеров по комплайенсу, выделяя на это адекватные ресурсы и персонал.

“DEI как тренд не убывает – напротив, он только станет более известным”, - уверена Кристи Грант-Харт (Kristy Grant-Hart), основатель и исполнительный директор Spark Compliance Consulting.

Приоритеты ESG

Существенные с финансовой точки зрения ESG-риски вполне логично подключают команды по комплайенсу к непосредственному участию в управлении этими рисками в том числе, и этот тренд в наступившем году сохранится вне всяких сомнений.

Руководитель направления рисков и комплайенса в NAVEX Кэрри Пенман (Carrie Penman) отмечает: “Организации продолжат ощущать повышенное общественное внимание к вопросам ESG, и им придется действовать быстро, чтобы оставаться впереди “кривой” регулирования раскрытий <…>. Роль комплайенса в управлении [рисками] ESG должна и будет далее расти вместе с приоритезацией создания и развития инициатив ESG организациями”.

Обязательная ESG-отчетность

Связанный с этим третий по счету основной тренд – подготовка к новым требованиям ESG-отчетности в США, Европе, Великобритании, да и во всем мире. Кристи Грант-Харт напоминает о принятой в апреле прошлого года новой Директиве по корпоративной отчетности устойчивого развития в ЕС (CSRD), которая повлияет более чем на 50 тыс. организации – в том числе американских, у которых есть европейские представительства. “В 2022 году переход от добровольных руководств по ESG к обязующим требованиям продолжится и ускорится, особенно вместе с CSRD”, - подчеркнула она.

“Новые” рабочие места

Цифровая экономика все так же требует адаптации к условиям, требующим повышенных мер кибербезопасности – подчеркивает Кэрри Пенман. Не менее важно при этом уметь “маркировать” свои данные, которых могут храниться на облачных серверах.

Зато сложнее становится культивировать культуру открытого общения, когда сотрудники могут, не боясь увольнения, преследования и так далее, поделиться тем, что именно их беспокоит в жизни родных организаций. Виртуальный мир создает очень большой информационный “шум”, сквозь который сложнее прорваться, но это необходимо сделать, чтобы достучаться до своих сотрудников и помочь им сфокусироваться на том, что для них важно – говорит Пенман.

Корпоративное обучение и политика

Эксперт считает, что во многом год станет продолжением предыдущих нескольких лет, включая период еще до пандемии. Уже тогда наметился тренд развития и адаптации корпоративной политики и обучающих программ к поляризованному окружению, при одновременных инвестициях в технологии и ресурсы в целях обеспечения равенства образовательного уровня на рабочих местах. Проще говоря, это значит сделать приоритетным доступ к высоким технологиям для всех и обеспечить, чтобы программы обучения были одинаково доступны всем сотрудникам, включая даже “синих воротничков”.

Ингрид Фриден (Ingrid Fredeen), руководитель онлайн-обучения в NAVEX, говорит, что адаптация корпоративных обучающих программ с учетом новых рисков вышла на новый уровень значимости для всех организаций в связи с событиями последних лет, в частности, внедрением антиковидных протоколов, мер против дискриминации и сексуальных домогательств, новых подходов к обеспечению разнообразия и инклюзивности.

Риски непрерывности

Вот уже два года непрерывность деятельности занимает по-настоящему особое место в практике корпоративного комплайенса, особенно если речь заходит о проблемах с линиями поставок и кибербезопасности. Пенманн отмечает, что с точки зрения целостного представления об организации уже невозможно думать об организационных и операционных рисках отдельно, поскольку их взаимное влияние очень существенное.

“Факторы в экосистеме любой компании становятся все более уязвимыми, создавая больше неопределенности, если компании планируют свой успех на краткосрочный период”, - говорит эксперт. Понимание необходимости трансформации операций компании и поддерживающих технологий в целях большей эффективности и экономии придет для многих неожиданно, оставив им судорожные попытки сохранить порядок в операциях на фоне фундаментальных сдвигов в системе внутреннего менеджмента.

Целостное управление рисками связанных сторон

Теперь для компаний во многих мировых юрисдикциях действуют не только лишь требования по антикоррупционной отчетности, ПОД/ФТ, но и ряд других, ставших обязательными в последние годы – по кибербезопасности, ESG и проч.

Due diligence, или комплексные проверки приобрели в этой связи особую важность – отмечает Кристи Грант-Харт. В более общем понимании это также можно понимать как проявление должной осмотрительности. Целостное управление рисками связанных сторон подразумевает не только то, что компании по факту делают, но и выставляемые ими приоритеты. Их стейкхолдеры обязаны понимать, почему due diligence имеет теперь такое значение с точки зрения регулятивных рисков, ESG-рисков, или каких-либо еще.

“Корпоративное информирование” в контексте новой европейской Директивы

Сообщать о нарушениях в ЕС становится все более безопасно, поскольку защита информаторов приобрела в Европе центральное значение в связи с введением в действие новой Директивы 2019/1937. А вот у кого могут быть проблемы, так это у комплайенс-менеджеров. У стран ЕС было два года на внедрение Директивы в национальное законодательство, но многие, как часто бывает, не успели. Это означает дополнительную головную боль для комплайенса, поскольку выполнять требования придется в любом случае.

С национальными требованиями отдельных стран может оказаться сложнее всего. Для примера, Директива 2019/1937 требует, чтобы у каждой организации с численностью персонала свыше 50 человек были налажены формальные каналы и процедуры информирования . Звучит вроде понятно, но как организовать все на практике, чтобы это было правильно, ясно далеко не всем.

“Самые большие трудности обнаружатся в сфере того, как организациям проводить расследования со всеми этими местными требованиями”, - отмечает Кэрри Пенман. Вместе со вступлением в силу новых требований компаниям придется заботиться не только об их выполнении в плане простого соблюдения комплайенса, но и о фактическом расследовании всех случаев потенциального нарушения, о которых приходят сообщения.

Защита персональных данных

На глобальном уровне в наступившем году внимание к программам обеспечения сохранности персональных данных сохранится, а действующие и новые требования законодательства в этой области потребуют от руководства организаций направлять дополнительные ресурсы на поддержание комплайенса – уверена Кристи Грант-Харт.

Многим придется при этом переходить на всесторонние программы обеспечения сохранности данных, которые выходят даже за пределы требований, предписанных каким-то одним законом. Одним из способов сделать это будет взять известные основы и на их основе создать универсальную корпоративную политику в отношении сохранности данных. Выбирать есть из чего: Руководство ОЭСР “по защите неприкосновенности частной жизни и трансграничной передаче персональных данных”, стандарт ISO 27001:2013 “Информационные технологии. Методы защиты. Требования”, Общепринятые принципы конфиденциальности данных Generally Accepted Privacy Principles (GAPP) от AICPA, Принципы добросовестной информационной практики Fair Information Practice Principles (FIPP) от Федеральной торговой комиссии США, NIST Privacy Framework.

Саберметрика комплайенса

Саберметрика представляет собой использование статистики для полного и точного анализа. Большие данные вынудят менеджеров пересмотреть свои подходы. Как отмечает Кайл Уэлч (Kyle Welch), доцент кафедры школы бизнеса Университета Джорджа Вашингтона, это и подразумевается под словосочетанием “compliance sabermetrics” – cаберметрика в контексте комплайенса. Вот пример: в то время как многие организации до сих пор полагают, что многочисленные информационные сообщения о нарушениях свидетельствуют о проблеме организационной культуры, новый взгляд на данные позволит в будущем поставить вопрос несколько иначе: “Есть ли у нас достаточные ресурсы для того, чтобы эффективно расследовать возросший информационный поток от наших сотрудников?” – объясняет Уэлч.

Для отделов комплайенса ключевой вывод заключается в следующем: увеличение частоты сообщений и их последующего анализа поставит под еще большие сомнения давно устоявшиеся допущения о том, какие именно показатели требуют внимания, и о чем именно они говорят относительно состояния организационной культуры. Чтобы быть успешными, необходимо будет вложиться в эту область, отказавшись от привычного интуитивного подхода в пользу более внимательного изучения эмпирических данных – подчеркивает эксперт.

_____________________________

Также от этого автора на GAAP.RU:

Теги: риск-менеджмент  комплайенс  долгосрочная устойчивость  ESG  управление рисками  разнообразие  равенство и инклюзивность  социальные программы  diversity  equity  and inclusion  профессиональная этика  NAVEX  ESG-риски  ESG-отчетность  отчетность устойчив