ریسک عدم انطباق (Compliance Risk)

نسخهٔ تاریخ ‏۳ اکتبر ۲۰۲۱، ساعت ۱۴:۱۰ توسط Wikibadmin (بحث | مشارکت‌ها)
(تفاوت) → نسخهٔ قدیمی‌تر | نمایش نسخهٔ فعلی (تفاوت) | نسخهٔ جدیدتر ← (تفاوت)

مفهوم:

والد:

بعد:

فرزند:


لید

احتمال وقوع زیان ناشی از نارسایی‌های داخلی یک بنگاه یا اخلال در کنترل‌ها، عملیات یا رویه های آن، همواره بنگاه‌ها را با انواع ریسک‌های عملیاتی روبرو می‌سازد. در این میان، ریسک انطباق یکی از ریسک‌هایی است که مربوط به تأیید یا گواهی انجام‌دهنده یک کار یا سازنده یا تأمین‌کننده یک محصول است که الزامات اقدامات قابل قبول، قانون‌گذاری، قوانین و مقررات مصوب، استانداردهای معین یا شرایط قرارداد را تأمین می‌کند. علاوه بر این، ریسک انطباق به مفهوم مواجه‌شدن با جرائم حقوقی، توقیف دارایی‌های مالی و زیان‌هایی است که سازمان زمانی با آن مواجه می‌شود که برای انطباق با قوانین و مقررات صنعت، سیاست‌های داخلی یا تجربیات موفق و مورد توافق دچار مشکل می‌شود. لذا، فرآیند مدیریت‌کردن انطباق شرکت برای تأمین الزامات مقرراتی در یک چارچوب زمانی قابل انجام و با توجه به بودجه مشخص، امری ضروری و مهم تلقی می‌گردد که معمولا برای این منظور از دو رویکرد سنتی و نوین استفاده می‌گردد.

تعریف به حد

ریسک انطباق یکی از انواع ریسک عملیاتی و به معنای ریسک عدم رعایت قوانین و مقررات مصوب و استانداردهای معین یا عمل به شرایط قرارداد و تحمل جرائم و زیان‌های ناشی از آن‌ها است. لذا، ریسک انطباق به معنای هرگونه تهدیدی است که وضعیت مالی، سازمانی یا شهرت یک سازمان را تحت تأثیر قرار می‌دهد. در این میان، مدیریت ریسک انطباق برای تأمین الزامات مقرراتی در یک چارچوب زمانی قابل انجام و با توجه به بودجه مشخص بسیار مهم و ضروری است.

وجوه افتراق یا شقوق مختلف

ریسک انطباق در کنار ریسک قوانین، ریسک امنیت، ریسک فن‌آوری اطلاعات و ریسک کنترل عملیات از انواع ریسک‌های عملیاتی تلقی می‌گردد که از لحاظ ویژگی‌ها، شرایط و کارکرد با یکدیگر متفاوت می‌باشند. ریسک عدم رعایت قوانین و مقررات؛ احتمال زیان ناشی از شمول جریمه‌هـا و مجـازات‌هـای قانونی، تنبیهات نظارتی و آسیب به حسن شهرت به دلیل عدم رعایـت قـوانین و مقـررات و سایر الزامات ناظر بر فعالیت‌های بانکی مؤسسه اعتباری است. برای شناسایی، مدیریت، پایش و کاهش ریسک‌های انطباق در یک سازمان، لازم است تا از استراتژی‌های معین بهره‌مند شد. این استراتژی‌ها شامل شناسایی حوزه‌های با ریسک بالا و اطمینان از امکان انجام اقدامات لازم برای هشدارهای مقرراتی و به‌روزرسانی‌های مربوطه خواهد بود.

فهرست مطالب

مقدمه

بسیاری از مقررات حوزه انطباق بر سازمان‌ها وضع می‌شوند تا اطمینان حاصل شود که سازمان‌ها در فعالیت‌های خود به طور منصفانه و اخلاقی عمل می‌کنند یا خیر. اکثر سازمان‌ها دارای فرآیندهای انطباق بوده‌اند تا اطمینان حاصل کنند که به تمامی قوانین و قواعد مربوطه پایبند بوده‌اند و یا در غیر این صورت با عواقب حقوقی، مالی و غیره بالقوه مواجه خواهند شد. ریسک انطباق به معنای هرگونه تهدیدی است که وضعیت مالی، سازمانی یا شهرت یک سازمان را تحت تأثیر قرار می‌دهد. فرآیند انطباق اگر خوب تعریف شود می‌تواند ریسک کلی سازمان را در انحراف از این استانداردها کاهش دهد و با عواقب آن مواجه شود.

مدیریت انطباق و مدیریت ریسک با یکدیگر در ارتباط بوده‌اند اما دو موضوع یکسان نیستند. مدیریت ریسک به مفهوم پیش‌بینی و مدیریت انواع ریسک‌ها می‌پردازد تا از این طریق به سازمان برای محافظت از خود در برابر ریسک‌هایی که ممکن است در نهایت منجر به عدم انطباق شوند، کمک کند. مدیریت ریسک در جایگاه خود فرآیندی برای مدیریت انطباق در درون مرزهای چارچوب زمان و بودجه در اختیار دارد. عدم سازگاری با مقررات انطباق نیز به نوعی همان ریسک به حساب می‌آید.

در واقع نمی‌توان گفت که یک برنامه مدیریت ریسک قدرتمند وجود دارد در حالی که فاقد چارچوب انطباق است و بالعکس. اما برای نمایش و دستیابی به سطحی از انطباق و مدیریت ریسک، نیاز به داشتن رویکردهای متمایز و تاکتیک های اجرایی برای هردو آن‌ها وجود دارد. عدم انطباق به عنوان ریسک شناخته می‌شود اما مدیریت ریسک انطباق محسوب نمی‌شود.

بنابراین، این دو عنوان را باید متفاوت از هم در نظر گرفت. استراتژی مدیریت ریسک صحیح می‌تواند مسائل مربوط به هر دو موضوع انطباق و مدیریت ریسک را مرتفع سازد.

تعریف

مدیریت ریسک انطباق به معنای فرآیند مدیریت‌کردن انطباق شرکت برای تأمین الزامات مقرراتی در یک چارچوب زمانی قابل انجام و با توجه به بودجه مشخص می‌باشد. هر شرکت قاعده‌مند و مطیع مقررات هم لزوماً نمی‌تواند به طور خاص این نوع مدیریت را انجام دهد و برخی دیگر از شرکت‌ها نیز جریمه‌های ناشی از عدم انطباق را به عنوان هزینه عادی انجام یک کسب و کار در نظر می‌گیرند. فلسفه وجود آن‌ها این است که پرداخت مبلغ جریمه‌ها بسیار ارزان‌تر از بکارگیری و نگهداری فرآیند انطباق برای شرکت می‌باشد.

این نوع فکرکردن صرفاً و لزوماً محدود به شرکت‌های کوچک‌تر و با تشکیلات کمتر پیچیده نمی‌شود. حتی بسیاری از شرکت‌های بزرگ نیز ممکن است از عواقب انجام فعالیت‌های غیر منطبق و ناسازگار خود آگاه باشند اما اگر آن فعالیت‌ها پول بسیار بیشتری نسبت به سازمان کسب کنند، آن‌ها نیز به گونه دیگری به موضوع نگاه خواهند کرد. ولز فارگو[۱]، نمونه ای از این نوع نحوه فکرکردن است.

اما همانطور که ولز فارگو دریافت، این رویکرد بسیار پرریسک بوده است. رگولاتورها یا وضع‌کنندگان مقررات نظیر وکلای ایالات متحده  به دو دلیل، بسیار خشن‌تر رفتار می‌کنند 1. کوتاه‌ترشدن جدول زمانی رسیدگی به موضوع انطباق و 2. وضع جریمه‌های بیشتر. علاوه براین ، عدم انطباق می‌تواند بیش از حد تبدیل به یک موضوع عمومی شود که منجر به طرح دعوی در دادگاه، خروج و مهاجرت دسته جمعی سرمایه‌گذاران، و ازبین رفتن شهرت شرکت‌ها گردد.

مدیریت ریسک انطباق؛ رویکرد سنتی

یک تیم انطباق نوعاً به ارزیابی برنامه موجود می‌پردازد به طوری که ارزشیابی فرآیند، تکنولوژی و تحلیل روش‌های بهبود، نحوه مدیریت انطباق را در بر می‌گیرد. تیم انطباق همچنین کار مدیریت بودجه را برای سرمایه‌گذاری در هر نوع تکنولوژی جدید و موردنیاز برای دستیابی به اهداف مطلوب انجام می‌دهد و منابع لازم برای دستیابی به اهداف بزرگ و کوچک را تخصیص می‌دهد.

برای شناسایی، مدیریت، پایش و کاهش ریسک‌های انطباق در یک سازمان، لازم است تا از استراتژی‌های معین بهره‌مند شد. این استراتژی‌ها شامل شناسایی حوزه‌های با ریسک بالا و اطمینان از امکان انجام اقدامات لازم برای هشدارهای مقرراتی و بروزرسانی‌های مربوطه بوده است و تمامی این اقدامات توسط تیم انطباق مدیریت می‌شوند.

مدیریت ریسک انطباق به معنای داشتن برنامه، رویه، و فن‌آوری‌های قابل انجام جهت نظارت بر تلاش‌ها جهت انطباق بیشتر صورت می‌گیرد. با درنظر گرفتن چهار مقوله فوق، می‌توان نگاهی به مدیریت ریسک از نظر پیچیدگی‌های موجود در سطح شرکت و سطوح انطباق داشت.

1.راهی تا مدیریت ریسک انطباق نمانده است: باید در صورت نیاز، مورد کسب و کار مشخصی را در حیطه ریسک بالای عدم انطباق در نظر گرفت و یک تیم انطباق تشکیل داد تا نیازها و الزامات انطباق را شناسایی کرده و ضمن ارزیابی برنامه انطباق موجود، بودجه‌ریزی مرحله‌ای مبتنی بر اهداف و تخصیص منابع برای دستیابی به آن اهداف را نیز انجام داد.

2.فرسودگی فرآیند انطباق و فن‌آوری: باید انطباق و اهداف مربوطه و نیز سرمایه‌گذاری در فن‌آوری جدید را ارزیابی نمود. ممکن است تمایل به سرمایه‌گذاری در یک محصول خاص برای کل شرکت یا محصولات موردی برای تعداد کمی از اماکن عمومی که خوب هم طراحی شده‌اند، در دستور کار قرار گیرد. طیف گزینه‌های موجود از چارچوب‌های «حکمرانی-ریسک-انطباق (GRC)» انسجام‌یافته، گرفته تا محصولات موردی در حوزه انطباق مانند گزارش‌گری مالی برای SOX، ذخیره ابری انطباق یافته برای HIPPA، بررسی ایمیل‌های صادره یا نرم‌افزارهای حسابرسی را در بر می‌گیرد.

3.وجود برنامه انطباق فعال اما میلیون‌ها اسناد موجود برای بررسی: برخی از نهادهای رسیدگی در حوزه انطباق، سازمان‌ها را ملزم می‌کنند تا میلیون‌ها سند را فقط در طول چند هفته مورد بررسی و رسیدگی قرار دهند. از اکنون می‌توان با یادگیری از طریق ماشین اکتشاف الکترونیک و گردش کار خودکار انطباق شروع کرد. این پلتفرم‌ها ارزان قیمت نیستند اما در فرآیند بررسی و ارزیابی برای شرکت‌ها پول و هزینه بسیار زیادی را صرفه‌جویی خواهند کرد و شرکت‌ها نیز آن‌ها را برای تمامی اکتشافات انطباقی و حقوقی اهرم خواهند کرد.

4.سرویس‌دهندگان اینترنتی ارزشمند بدون انجام انطباق فعال و پویا در معرض ریسک قرار می‌گیرند: تقطیع عدم انطباق بالقوه قبل از قرارگرفتن شرکت در یک مسیر انحرافی، مؤثرتر خواهد بود. پایش ارتباطات دیجیتالی، الگوهای مشکوک در ارسال پیام‌های دیجیتالی نظیر الگوهای نگارش متون و ایمیل شاغلین، رسانه‌های اجتماعی یا گپ و گفتگوها را تحلیل می‌کنند.

هرگز فاصله زیادی در انطباق با مقررات وجود ندارد و مسیر انطباق آن قدر پیشرفته نیست که به هیچ عنوان نیاز به نگرانی در مورد آن وجود داشته باشد. لازم است که ارزیابی‌های سالیانه برای فرآیندهای انطباق به موقع صورت گیرد و اطمینان حاصل شود که مقامات انطباق از تغییر مقررات باخبر بوده به نحوی که ممکن است این موضوع بر صنعت مذکور اثرگذار باشد. همچنین باید صنعت تکنولوژی‌های انطباق را برای رصد تحولات، پیشرفت‌ها و دستاوردها رهگیری نمود. کسب و کارها با چنان سرعتی در حال حرکت می‌باشد که روش‌های قدیمی و واکنشی مدیریت ریسک‌های انطباق ممکن است سازمان‌ها را به سمت جاماندن از رقابت سوق دهد و یا این که آن‌ها را در معرض ریسک‌های مقرراتی یا ریسک‌های شهرت بیشتر به مقداری بیش از آن چه که پیش از این انتظار می‌رفت، قرار دهد.

به همین دلیل است که سازمان‌ها به دنبال یافتن روش‌هایی هستند تا ریسک‌های انطباق را بهتر مدیریت کنند و از نظر هوشمندی ریسک در جایگاه مناسب‌تری قرار بگیرند که این امر نیز خودبخود به معنای کسب آگاهی بیشتر از ریسک‌های روزمره می‌باشد. در واقع نیاز به یک مدل انطباق یکپارچه در سطح سازمان وجود دارد تا همواره ریسک انطباق را در حال بررسی نگه دارد و اطمینان دهد که سیاست‌های اخلاق‌مدارانه در هر سطحی در یک سازمان به دنبال آن شکل خواهد گرفت.

این موضوع نیازمند یک رویکرد همه جانبه در جهت مدیریت‌کردن انطباق در یک سازمان می‌باشد. هدف آن است که راه حل منحصربفرد در سطح شرکت پیدا شود. در واقع، منافع حاصل از استراتژی انطباق یکپارچه شامل کاهش ریسک، زمان سریعتر برای بازاریابی، کاهش هزینه‌ها، تجربیات مضاعف در حوزه مشتری و غیره می‌باشد.

شرکت‌هایی که در صنایع مشابه و با اندازه یکسان فعالیت می‌کنند احتمالاً با چالش‌های مشابه در زمینه انطباق مواجه هستند. همتایان شرکت برای کاهش چنین ریسک‌هایی چه اقدامی صورت می‌دهند؟ رهبران کسب و کار نیاز به یافتن استراتژی مدیریت انطباق واحدی دارند تا از رویکردی مشابه با آنچه که همتایان شان از آن استفاده می‌کنند، پیروی نکند.

مدیریت ریسک انطباق؛ رویکرد نوین

مدیریت ریسک انطباق در این رویکر به شش روش انجام می‌گیرد.

1.باید استراتژی انطباق واحدی را پذیرفت و در پیش گرفت.

چنین استراتژی ممکن است روندهای صنعت در سطح کسب و کار، محصولات، خدمات و جغرافیای مختلف و در طی دوره‌های آتی را پیش‌بینی نماید. این امر به سازمان کمک خواهد کرد تا مزیت نسبی را از طریق برنامه‌های مدیریت انطباق با برنامه‌ریزی مناسب به دست آورد.

2.تکنولوژی و ابزارها

ترکیب مناسبی از تکنولوژی و تجربیات موفق می‌تواند فرآیند انطباق را مؤثرتر کند. با وجود ابزارها و فن‌آوری‌های امروزی، پیشگامی و قرار گرفتن در حرکتی به سمت جلو چندان کار دشواری به نظر نمی‌رسد. رویکرد مؤثر برای مدیریت ریسک انطباق آن است که از ابزارهایی استفاده شود که داده‌ها را از سیستم‌ها فرا خوانده و سپس اعلام کند که به عنوان مثال چه عاملی در حال انحراف از سیاست‌های مطلوب بوده است.

3.چارچوب مدیریت ریسک انطباق

روش مناسب برای بهبود نحوه مدیریت ریسک انطباق، ایجاد چارچوب و روش‌شناسی برای ارزیابی ریسک‌هاست. این چارچوب باید به نوبه خود جامع و قابل سفارشی‌سازی‌شدن باشد.

چارچوب انطباق، ناظر بر مجموعه دستورالعمل‌ها و سیاست‌هایی است که نحوه انطباق سازمان با مقررات انطباق را مورد بحث قرار می‌دهد. این کار نوعاً از طریق تیم‌های مدیریت ریسک و انطباق در یک شرکت توسعه داده می‌شوند.

می‌توان چارچوب مدیریت ریسک انطباق را از ابتدا راه‌اندازی کرد و یا این که چارچوب‌های موجود را ارتقاء داد. این امر به صلاحدید و نظر شرکت بستگی دارد. برخی از چارچوب‌های انطباق از پیش ساخته شده‌اند (جمله اصلی در متن انگلیسی ناتمام است)

4.افزایش تشریک مساعی

تشریک مساعی و ادغام از نظر کارکرد باید در میان تمامی اعضایی که در حوزه‌های مختلف انطباق فعالیت دارند از جمله مدیران ارشد و تیم‌های مدیریت ریسک و انطباق افزایش یابد. همچنین باید گردش کار خودکار را نیز در اختیار داشت تا تعامل مناسب با فرآیند انطباق به طور کامل صورت گیرد: این گردش کار نوعاً از تیم‌های مدیریت انطباق و توسعه بر می‌آید.

5.فرآیند مدیریت ریسک در سطح شرکت

ریسک و انطباق باید در قالب فرآیند مدیریت ریسک در سطح شرکت ادغام شوند. این کار اطمینان می‌دهد که هرگونه مسأله مرتبط با ریسک و انطباق که سازمان با آن مواجه می‌شود به طور مستقل در نظر گرفته نشود و تمامی فعالیت‌هایی که با مدیریت ریسک و انطباق در ارتباط است را در بر گیرد. همچنین باید چارچوبی فراهم کرد تا بتوان آن را برای ارزیابی در زمینه مواجهه با ریسک ارتقاء داد.

کارکنان از سطح مدیران ارشد گرفته تا متخصصان حوزه ریسک باید در این امر دخیل باشند. برای شروع نیز لازم است که ساختار ریسک شرکتی ایجاد نمود به نحوی که با ساختار سازمانی شرکت همخوانی داشته باشد.

6.آموزش

به منظور مدیریت بهتر ریسک‌های انطباق، باید از فرآیند تعریف‌شده و مناسب همراه با سیاست‌ها، رویه‌ها و دستورالعمل‌های  مستندشده برخوردار بود. رهبری شرکت باید با انتظارات و ارزش‌ها ارتباط برقرار نماید. این نکته ضروریست که آموزش به افراد کمک می‌کند تا از آنچه که باید انطباق پیدا کنند مانند تمامی قوانین مربوطه، مقررات و سیاست‌های شرکت، اطلاع و آگاهی پیدا کنند.

بررسی‌های دوره‌ای همچنین باید برای حصول اطمینان از وضعیتی انجام گیرد که افراد در آن وضعیت حداقل تا زمانی که فرهنگ انطباق به طور کامل مؤثر واقع گردد، از قواعد موجود پیروی کنند.

جستارهای وابسته

  • ریسک عملیاتی
  • ریسک قوانین
  • ریسک امنیت
  • ریسک فن‌آوری اطلاعات
  • ریسک کنترل عملیات

پانویس/ پاورقی

  1. Wells Fargo

منابع

  • https://commoncontrolshub.com/overview/unified-compliance-framework/
  • https://techbeacon.com/security/heres-better-way-do-compliance-risk-management
  • https://www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx

پیوند به بیرون

الگوهای ناوبری

رده