Останнім часом у професійному середовищі набирають обертів дискусії про управління ризиками у майбутньому. Цьому сприяють непередбачувані події, такі як пандемія COVID-19 або напад Росії на Україну, а також раптові зміни, що виникли внаслідок так званої руйнівної трансформації. Світ, як би банально це не звучало, зазнав величезних змін. Є підстави вважати, що "чорні лебеді" вже готуються до наступної атаки.
Як це впливає на управління ризиками? Відповідь здається очевидною: традиційні методи втрачають свою ефективність.
Сьогодні ми рідко маємо поодинокі замкнуті системи, які можна легко ізолювати. Сьогодення характеризується наявністю відкритих складних систем, з незліченною кількістю зв'язків, як внутрішніх, так і зовнішніх.
Довгі регістри ризиків і карти, винайдені в попередні десятиліття, які представляють ризик у двовимірній декартовій системі «ймовірність проти наслідку», більше не допомагають.
А як щодо комплаєнсу?
Комплаєнс також втягується у вир змін. У минулому він зосереджувався переважно на правовій підтримці внутрішнього контролю та аудиту. Зараз мова йде про комплаєнс в широкому сенсі, який, крім дотримання законів і нормативних актів, містить і добровільні зобов'язання, такі як стандарти, рамкові концепції (стандарти COSO, ISO), внутрішні регламенти (політики) або кодекси етики. Це означає, що управління комплаєнс-ризиками здійснюється з використанням традиційних методів управління ризиками, створюючи ресурси контролю способами, які залишаються незмінними протягом багатьох років.
На практиці при цьому ми враховуємо ризики, які не можуть бути легко визначені кількісно або віднесені до конкретного пункту закону. Втім ми продовжуємо використовувати підходи на зразок розставляння «галочок» в заготовлених формах, майже не пристосованих до нової реальності руйнівних змін, таких як пандемія COVID-19.
COVID-19 можна обговорювати нескінченно, але зосередьмось на одному прикладі: BYOD, або «Bring Your Own Device», тобто «принеси свій прилад». До пандемії в багатьох великих корпораціях така практика була суворо заборонена, як і віддалена робота для багатьох груп співробітників. Тепер ці антиковідні послаблення корпоративних правил стали новою нормою, і зараз навіть і уявити собі складно, що могло бути інакше.
Тепер широке впровадження BYOD є викликом для фахівців з безпеки та комплаєнсу, і, крім того, це не полегшує боротьбу з такими загрозами, як залякування, переслідування та помста. Завжди є ймовірність «забути» відправити запрошення на зустріч або своєчасно не надати необхідні дані. Пізніше будуть вибачення, мовляв, у всьому винні технічні проблеми. Але це буде постфактум... І на цьому я закінчу, щоб не надавати нечесним людям готові виправдання.
Окремо варто згадати про війну та санкції. Створена і стрімко розвивається ціла «галузь» юридичного та логістичного консалтингу навколо методів обходу санкцій та ведення «business as usual». На жаль, навіть після драматичних подій багато керівників підприємств (і не тільки) все ще сумніваються щодо «моральних дилем» з питань, що вимагають однозначної позиції. А як же бути з принципом «тон згори»? Хто тепер повірить у щирість авторів етичних кодексів? Хто й далі довірятиме лідерам?
І що тепер? Яке рішення?
По-перше, простого рішення не існує. Аналітичні центри, так звані think tanks, тобто групи експертів, тільки починають звертати увагу на вплив руйнівних трансформацій на практичні дисципліни, такі як управління ризиками та комплаєнс. Думки розділилися, не має наразі загальноприйнятих концепцій.
По-друге, схоже, що уніфіковані збірки правил і рекомендацій, такі як стандарти, норми, «рамки», які оновлюються кожні 10-15 років, втратять свою значимість. Передбачалося, що після створення відповідної політики та впровадження засобів контролю система повинна функціонувати практично «автоматично». Однак люди – це не машини. Вони можуть помилятися, применшувати проблеми та навіть без злих намірів робити неправильні речі (хто ж не ховав ключ під килимок або не впускав когось через домофон, не запитавши, хто це?).
По-третє, що робити? Напевно, більше уваги варто приділити концепції agility (гнучкість). Очікується, що буде знайдено формулу, яка враховуватиме принципи гнучкості та управління ризиками, зокрема ризикам комплаєнсу.
Врешті-решт, залишається питання: чи є місце системам повідомлень викривачів? Моя відповідь – ТАК. Однак мова йде не тільки про відокремлені системи тільки для подання скарг, а й про цілісне управління інцидентами.
Важливо, щоб вони не обмежувалися лише функцією прийому повідомлень. Комунікація з людьми є ключем до гнучкості не тільки в контексті зворотного зв'язку щодо повідомлень. Пам'ятаєте такий пережиток з минулого, «Книгу скарг і пропозицій», куди дуже зрідка писали щось крім скарг? Ніхто не писав жодних побажань, висновків, клопотань. Інакше тоді й бути не могло, канал зворотного зв'язку між споживачем і торгівцями не спрацював. Тому як це взагалі може працювати між суспільством і авторитарною владою?
Але зараз, коли мова заходить про системи комплаєнс-менеджменту, все має бути інакше. Завдяки правильній презентації та побудові довіри можна говорити про сьогодення та майбутнє організації та заздалегідь розпізнавати нові зв'язки та тенденції в організації, яка є частиною відкритої комплексної системи.