.webp?width=596&height=596&name=DALL%C2%B7E%202024-03-18%2013.20.49%20-%20Generate%20a%20simplified%2c%20watercolor-style%20illustration%20that%20abstractly%20represents%20the%20future%20of%20risk%20management%20and%20compliance%20in%20a%20professional%20environ%20(1).webp)
W ostatnim czasie dyskusje na temat przyszłości zarządzania ryzykiem nabierają na sile w profesjonalnych środowiskach. Przyczyniają się do tego nieprzewidywalne zdarzenia, takie jak pandemia COVID-19 czy atak Rosji na Ukrainę, a także nagłe zmiany wynikające z tzw. transformacji przełomowej. Świat, jakkolwiek banalnie to brzmi, przeszedł ogromną zmianę. Istnieją przesłanki, by sądzić, że "czarne łabędzie" już zbierają się do kolejnego ataku.
W jaki sposób wpływa to na zarządzanie ryzykiem? Odpowiedź wydaje się oczywista: tradycyjne metody tracą na skuteczności. Obecnie rzadko mamy do czynienia z pojedynczymi, zamkniętymi systemami, które można łatwo odizolować. Współczesność charakteryzuje się obecnością otwartych systemów złożonych, z niezliczonymi powiązaniami, zarówno wewnętrznymi, jak i zewnętrznymi. Długie rejestry i mapy ryzyka, wynalezione w poprzednich dekadach, przedstawiające ryzyko w dwuwymiarowym układzie kartezjańskim "prawdopodobieństwo – skutek", nie są już pomocne.
A co z compliance?
Zgodność, bo tak można przetłumaczyć anglicyzm compliance, także zostaje wciągnięta w wir zmian. Niegdyś skupiała się głównie na wsparciu prawnych działań controllingu i audytów. Obecnie mówimy o szeroko pojętym compliance, który, oprócz zgodności z przepisami i regulacjami prawnymi, obejmuje także dobrowolne zobowiązania takie jak standardy, koncepcje ramowe (COSO, normy ISO), wewnętrzne regulaminy (polityki) czy kodeksy etyczne. Oznacza to, że zarządzanie ryzykiem braku zgodności odbywa się przy użyciu tradycyjnych metod zarządzania ryzykiem, tworząc zasoby kontroli s sposoby, które pozostały niezmienne przez lata. Rzeczywiście, przy tym uwzględniamy zagrożenia, które nie dają się łatwo przedstawić w liczbach ani przypisać do konkretnego paragrafu prawa. Wciąż stosujemy podejście "check-the-box" (ang: zaznacz pole wyboru), zaznaczając pole wyboru i prawie nie adaptując się do nowych realiów przełomowych zmian, jak pandemia COVID-19.
O COVID-19 można dyskutować bez końca, ale skupmy się na jednym przykładzie: BYOD, czyli "Przynieś Swoje Własne Urządzenie". Przed pandemią, w wielu dużych korporacjach, praktyka ta była ściśle zakazana, podobnie jak praca zdalna dla wielu grup pracowników. Obecnie, te antycovidowe poluzowania korporacyjnych zasad stały się nową normą, wymagając od nas przypomnienia o nich z trudem. Współcześnie, powszechne stosowanie zasad BYOD stanowi wyzwanie dla specjalistów ds. bezpieczeństwa i zgodności, mimo że nie ułatwia to walki z takimi zagrożeniami jak mobbing, molestowanie czy działania odwetowe. Zawsze istnieje możliwość "zapomnienia" o wysłaniu zaproszenia na spotkanie czy nieudostępnieniu niezbędnych danych w odpowiednim czasie. Później przychodzą przeprosiny, a wszystko zostaje zrzucone na problemy techniczne czy zatory w światłowodach. Ale to już będzie po fakcie... I na tym kończę, aby nie dostarczać nieuczciwym osobom gotowych rozwiązań.
Należy również wspomnieć o wojnie i sankcjach. Cały nowy „sektor” doradztwa prawnego i logistycznego postał i szybko rozwinął się wokół metod omijania sankcji i utrzymania "business as usual" (ang.: biznes, jak zwykle). Niestety, nawet po dramatycznych wydarzeniach, wielu liderów biznesowych (i nie tylko) wciąż zastanawia się nad "moralnymi dylematami" w kwestiach wymagających jednoznacznego stanowiska. Jak więc ma się sprawa z zasadą "tone at the top" (ang.: ton, płynący z góry)? Kto teraz uwierzy w szczerość autorów kodeksów etycznych? Kto nadal będzie ufać przewódcom?
I co teraz? Jakie jest rozwiązanie?
Przede wszystkim, nie ma prostego rozwiązania. Think tanki, czyli grona ekspertów, dopiero zaczynają zwracać uwagę na wpływu transformacji przełomowych na praktyczne dyscypliny, takie jak zarządzanie ryzykiem i compliance. Opinie są podzielone.
Po drugie, wydaje się, że jednolite kompendia takie jak standardy, normy, "ramy", które są aktualizowane co 10-15 lat, stracą na znaczeniu. Przyjęto założenie, że po stworzeniu odpowiedniej polityki i wdrożeniu zasobów kontroli, system powinien funkcjonować niemal "automatycznie". Jednak ludzie to nie maszyny. Mogą się mylić, bagatelizować problemy, a nawet, nie mając złych intencji, dopuszczać się nieuczciwości (kto nigdy nie ukrył klucza pod wycieraczką lub nie wpuszczał kogoś przez domofon, nie pytając, kto to jest?).
Po trzecie, co zatem należy robić? Prawdopodobnie więcej uwagi należy poświęcić koncepcji business agility, czyli zwinności biznesowej. Oczekuje się, że zostanie znaleziona formuła uwzględniająca zasady zwinności i zarządzanie ryzykiem, w tym ryzyko braku szeroko pojętej zgodności.
Na koniec, pozostaje pytanie: czy w tej całej dyskusji jest miejsce dla systemów zgłoszeniowych? Moja odpowiedź brzmi: TAK. Jednak nie chodzi tylko o systemy zgłoszeniowe, ale o całościowe zarządzanie incydentami. Ważne, aby nie ograniczały się one jedynie do funkcji przyjmowania wiadomości. Kluczowa dla zwinności jest komunikacja z ludźmi, nie tylko w kontekście informacji zwrotnych dotyczących zgłoszeń. Czy pamiętacie taki relikt z przeszłości, "Księgę zażaleń i wniosków", gdzie rzadko kiedy zapisywano coś poza skargami? Właśnie żadnych życzeń, wniosków, petycji nikt nie pisał. Wówczas nie mogło być inaczej, kanał informacji zwrotnej pomiędzy konsumentem i zarządcami handlem detalicznym nie zadziałały, jak w ogóle one nigdy nie działają w między społeczeństwem a władzą autorytarną. Jednak teraz, jeśli chodzi systemy zarządzania compliance, musi być inaczej. Poprzez właściwą prezentację i budowanie zaufania, możliwe jest prowadzenie dialogu w organizacji o jej teraźniejszości i przyszłości oraz wcześniejsze rozpoznawanie nowych powiązań i trendów w organizacji, która już dawno stała się częścią otwartego systemu złożonego.